Herr Cribb, wann haben Sie zuletzt einen IT-Sicherheitsexperten vermittelt?
Das ist nicht lange her – einen Geschäftsführer für ein Unternehmen, das IT-Sicherheitslösungen für Unternehmenskunden anbietet. Für diese Position die richtige Person zu finden, war extrem schwierig und sehr langwierig. Der Prozess hat sich über fast zwölf Monate hingezogen – also mehr als doppelt so lange wie bei der Vermittlung von Kandidaten auf diesem Hierarchielevel außerhalb des IT-Sicherheitsbereichs.

Woran lag‘s?
Zum einen daran, dass dieser Markt extrem zerklüftet ist – in unterschiedliche Lösungen, ja geradezu Glaubensrichtungen. Heißt: Der Spezialisierungsrad in diesem Bereich ist sehr hoch – ist ein Kandidat Experte für einen bestimmten Aspekt, heißt das noch lange nicht, dass diese Person in einem anderen sicherheitsrelevanten Aspekt genauso gut zu Hause ist. Zum anderen liegt es daran, dass laut aktuellen Statistiken knapp 60 Prozent aller Unternehmen Ziel eines Hackerangriffs waren. Kürzlich erzählte ein hochrangiger Beamter des Bundeskriminalamts, man könne zwei Arten von Unternehmen unterscheiden: die, die gehackt wurden. Und die anderen, die auch gehackt wurden – es aber nicht gemerkt haben.

Unterschätzen Unternehmen die Gefahr, sich über ihre IT angreifbar zu machen?
Letztlich ja. Unternehmen wissen einerseits durchaus, dass sie sich vor Datenklau durch Hacker, aber auch durch ihre eigenen Mitarbeiter sowie gegen Datenverlust durch Systemabstürze schützen müssen. Andererseits sprechen wir heute nicht mehr über IT-Sicherheit, sondern über den weitergehenden Begriff der Informationssicherheit. Hintergrund: Bedeutung und Komplexität dieser Daten nehmen durch die Digitalisierung exponentiell zu. Daten werden an unterschiedlichsten Orten, über verschiedenste Zuständigkeiten und über immer mehr Schnittstellen auch außerhalb des Unternehmens ausgetauscht: mit Kunden, mit Dienstleistern, mit Mitarbeitern. Daten, die gleichzeitig immer wertvoller werden, weil sie für einen immer größeren Teil der Wertschöpfung innerhalb digitaler Geschäftsmodelle verantwortlich sind. Und die deshalb den Zugriff für Unbefugte immer attraktiver machen. Das Gros der Unternehmen, auch unsere Mittelständler, braucht da noch ein tieferes Bewusstsein für die potenziellen Gefahren – und die optimale Struktur, um diesen Gefahren zu begegnen. Zumindest, wenn sie nicht mehr ausschließlich unmittelbar rund um ihren Kirchturm tätig sind.

Begünstigende Faktoren für die Begehung computerkrimineller Handlungen. Begünstigende Faktoren für die Begehung computerkrimineller Handlungen (© 2017 KPMG, Deutschland)

 

Was empfehlen Sie mittelständischen Unternehmen?
Sich den Wert ihrer Daten und den damit verbundenen Wettbewerbsvorteil bewusst zu machen. Und vor allem, Sicherheitsexperten nicht mehr als Bedenkenträger, sondern als strategisch relevante Entscheider und Hüter des Betriebsvermögens zu verstehen, die wesentlich dazu beitragen, den Wert dieser Daten im Sinne des Unternehmens einzusetzen. Und andererseits sicherzustellen, dass diese Daten nicht in falsche Hände geraten. Kurz: Informationssicherheit zu einem Kern der Unternehmensstrategie zu machen.

Wie lässt sich das umsetzen?
Sie brauchen vielleicht keinen expliziten Geschäftsführer für Digitalisierung. Aber jemanden, der – zumindest neben anderen Aufgaben – explizit für das Thema Informationssicherheit verantwortlich ist. Der mit einer kleinen, zentralen Einheit die Sicherheitslage eines Unternehmens analysiert und daraus die wichtigsten Entscheidungen in diesem Bereich ableitet.

VITA DWIGHT CRIBB

Der Gründer
Dwight Cribb, 47, hat Marketing und Psychologie in Schottland studiert und arbeitete ab 1994 im Technologiebereich. 1998 gründete der Brite in Hamburg die Cribb Personalberatung.

Das Unternehmen
Die Cribb Personalberatung zählt zu Deutschlands führenden Headhuntern. Gegründet 1998, hat sich das Unternehmen von Beginn an auf die Besetzung von Board-, Vorstands- und Geschäftsführungspositionen mit ausgeprägter Digital- und Online-Kompetenz fokussiert. Neben dem Hauptsitz in Hamburg hat das Unternehmen Büros in Berlin und Zürich eröffnet. Die Cribb Personalberatung gilt innerhalb der Headhunter-Branche mit ihrer Digital-Expertise zu den mehrfach ausgezeichneten Vorreitern. Zu Cribbs Kunden gehören viele der weltweit führenden Internetunternehmen, Konzerne und eine stattliche Anzahl deutscher Weltmarktführer.

Wie schwierig ist es, die Mitglieder für ein solches Team zu finden – also Entwickler, Administratoren, IT-Architekten?
So schwer wie die sprichwörtliche Nadel im Heuhaufen. Gute Kandidaten kennen einerseits ihren Marktwert, andererseits ist die Gehaltshöhe selten entscheidend für die Wahl des Arbeitgebers. Das sind oft Individualisten, die zum einen größere Freiheitsgrade als andere Mitarbeiter einfordern und zum anderen ein Umfeld erwarten, in dem sie von anderen lernen können. Kein Entwickler will der beste in seinem Unternehmen sein – das würde diese Menschen eher langweilen. Wer solche Mitarbeiter von sich überzeugen will, muss kreativ sein.

Zum Beispiel wie?
Etwa so wie der Technologie-Vorstand eines Unternehmens in Berlin: Ihm war es innerhalb weniger Monate gelungen, 20 zusätzliche Entwickler einzustellen. Eine sensationelle Quote – vor allem, nachdem er zuvor unter 100 Bewerbungen mit Glück mal einen passenden Kandidaten herauspicken konnte.

Vermutlich hat er den Bewerbungsprozess einfach erleichtert?
Im Gegenteil – er hat ihn erschwert.

Wie bitte? Wie denn?
Indem er Bewerbungen nicht mehr über klassische Anzeigen, sondern über die IT-Schnittstellen des Unternehmens gesteuert und damit den Prozess in eine Testaufgabe verwandelt hat. Mit der Konsequenz, dass Bewerber sich richtig in die Materie vertiefen mussten, um zu verstehen, wie man sich bei dem Unternehmen überhaupt bewerben konnte. Eine Konstellation, die einen natürlichen Ausleseprozess ausgelöst und die Besten offenbar am richtigen Punkt gepackt hat – ihrem Ehrgeiz. Kurz: Wer durchkam, hatte nicht nur sein fachliches Können bewiesen, sondern auch sein Interesse am Unternehmen.

Was müssen gute Experten für Informationssicherheit neben tiefer Fachkenntnis noch mitbringen?
Sie müssen in der Lage sein, Gefahren und Angriffe zu erkennen und sie dann abzuwehren. Gelingt das mal nicht, müssen sie in der Lage sein, einen solchen Angriff und den daraus entstandenen Schaden überhaupt wahrzunehmen – und dann den resultierenden Defekt zu minimieren. Das gelingt denen am besten, die vorgehen wie Schachspieler – also versuchen, die nächsten Züge ihrer Gegner zu antizipieren. Kurz: Kandidaten, die denken wie ein Hacker.

Personaberater Dwight Cribb Personalberater Dwight Cribb (© 2017 Dwight Cribb Personalberatung GmbH)

 

Was ein IT-Sicherheitssystem leisten muss

  • Schnelle und zielgenaue Reaktion bei Störfällen
    Ob Startup, Konzern oder Mittelständler: Unabhängig von der Größe und Komplexität eines Unternehmens müssen Security-Lösungen vor allem eines leisten können: bei Störfällen schnell, angemessen und zielgenau reagieren. Nach einer Untersuchung des Marktforschungsinstituts Ponemon klappt das bisher allerdings nur bedingt: Mehr als einen Monat dauert es durchschnittlich, bis ein Unternehmen Angriffe durch Hacker oder Insider erkennt und eindämmt – der bis dahin aufgelaufene finanzielle Schaden liegt laut Untersuchung im Schnitt bei 850.000 Euro.
  • Erkennung in Echtzeit
    Solche Schäden lassen sich nur vermeiden, wenn das System in der Lage ist, Angriffe unmittelbar zu erkennen. Wie gut ein Sicherheitssystem das ist, lässt sich zuverlässig überprüfen: Über die sogenannten Real Time Thread List (RTTL) können Tester auf aktuellste Schadsoftware-Muster zugreifen, mit denen sie Programme zuverlässig testen können. Diese Liste wird von der Anti-Malware Testing Standards Organization (AMTSO) verwaltet und auf dem neuesten Stand gehalten. Die Organisation sammelt die darin enthaltenen Muster weltweit und bildet darüber alle aktuellen Bedrohungen durch Schadsoftware im Internet ab.
  • Hoch automatisierte Schadenbeseitigung
    Doch die aktuellste Software zur Erkennung und Abwehr von Angriffen ist nutzlos, wenn sich Attacke und Schaden nicht automatisch und hoch automatisiert beseitigen lassen. Die Annahme, man könne händisch eingreifen, ist unrealistisch.
  • Integrierte Sicherheitsarchitektur
    Um das zu erreichen, ist eine integrierte Sicherheitsarchitektur nötig. Das heißt: Um mögliche Angriffe schneller zu erkennen  und abzuwehren, müssen alle Instanzen und Komponenten eines Sicherheitssystems intelligent miteinander kommunizieren.
  • Übergreifendes Reporting und cloudbasierte Security
    Nicht nur IT-Administratoren müssen in Sachen IT-Sicherheit im Bilde sein. Im Sinne der Compliance und Risikobewertung ist auch das Management verpflichtet, genau zu wissen, wie gut das Unternehmen bezogen auf seine IT-Systeme aufgestellt ist, welche Gefahren drohen und wie sie abgewendet werden. Dafür ist einerseits ein detailliertes und übergreifendes Reporting für IT-Administratoren wichtig, andererseits aber auch ein Informationssystem, das dem Management eine klare Aussage über den aktuellen Sicherheitsstatus liefert. Hintergrund: Die Verantwortung für die IT-Sicherheit wandert von der IT-Abteilung zunehmend in Richtung Management. Innovative Konzepte und Technologien wie die cloudbasierte Security helfen dabei, die Sicherheit für das Unternehmen im Griff zu haben.