Die durchschnittlichen Kosten für eine einzige Cybersicherheitsverletzung in Deutschland belaufen sich im Jahr 2022 auf 4,85 Millionen Euro (IBM, 2022). Vor allem systemkritische Industrien wie das Gesundheitswesen oder der Finanzsektor leiden besonders stark unter den durch Datendiebstahl verursachten Kosten. Wir haben mit dem erfahrenen CISO und Head of Cyber Security bei Hays, Michael Beaupre, über den aktuellen Stand im Kampf gegen Cybercrime gesprochen.
Zwischen Militär und Business Welt- Was ist der Kampf im Bereich Cyber Security?
Vor Ihrer Position als CISO bei Merck waren Sie als als Cyberexperte für das amerikanische Militär im Einsatz.
Warum sprechen wir von einem „Kampf“ gegen Cyber Crime, können Sie die Leserschaft hier Einblicke in den Status des Kampfes geben?
Michael Beaupre: Die Begriffe „Kampf“ und „Krieg“ beschreiben den Cybersecurity-Alltag und unsere gemeinsamen Anstrengungen gegen Cybercrime sehr treffend. Cybersecurity ist keine statische Disziplin, sondern ein ständiger Kampf zwischen gegnerischen Kräften: Auf der einen Seite stehen diejenigen, die Daten schützen, und auf der anderen Seite jene, die Daten stehlen.
Mit jeder neuen Innovation und Technologie entsteht ein neues Risiko oder eine neue Schwachstelle. Datendiebe suchen aktiv nach solchen Angriffsmöglichkeiten und nutzen vermeintliche Schwachpunkte aus. Datenschützer wiederum ergreifen geeignete Gegenmaßnahmen, um Lücken zu schließen und somit deren Ausnutzung zu verhindern. Darüber hinaus entwickeln sie innovative Methoden zur Risikominderung. Als Reaktion darauf suchen die Angreifer in kürzester Zeit nach Möglichkeiten, diese Schutzmaßnahmen erneut zu umgehen. Es ist ein anhaltender Krieg, der kein Ende findet und stets weiter eskaliert.
Wer sind die Akteure? Handelt es sich um kriminelle Einzelpersonen oder können wir von organisiertem Verbrechen sprechen?
Michael Beaupre: Angreifer und Gegner treten in verschiedenen Formen und Größen auf, wie zum Beispiel staatseigene Unternehmen (SEOs), Hacktivisten, organisierte Verbrechersyndikate, individuelle Täter, Scriptkiddies und Anarchisten. Das MITRE Attack Framework (MITRE ATT&CK®) ist eine meiner Hauptreferenzen, um die Komplexität dieses Krieges besser zu erfassen und darzustellen.
Können Sie uns erklären was solche Frameworks bieten und wie Sie diese nutzen?
Michael Beaupre: Frameworks wie das genannte basieren auf den realen Taktiken und Techniken, die von Angreifern am häufigsten verwendet werden, und beschreiben die besten Gegenmaßnahmen, die in der jeweiligen Phase des Kampfes zu ergreifen sind. Außerdem werden tiefgehende, aussagekräftige und praktische Einblicke in den anhaltenden Krieg geboten, und das über eine Vielzahl von Dimensionen hinweg. Vor allem aber geht es darum, verschiedene Gemeinschaften zusammenzubringen, um eine effektivere Cybersecurity zu fördern. Wir wollen Koalitionen von Verbündeten aufbauen, ausbilden und ausrüsten, die uns dabei helfen, den Krieg zu gewinnen.
Wie sind Unternehmen hinsichtlich Cybersecurity aufgestellt?
Michael Beaupre: Das hängt ganz von Ihrer Perspektive ab und in welchem Land Sie diese Fragestellung betrachten. Das Cybercrime Magazine geht davon aus, dass Cyberkriminalität bis 2025 weltweit wirtschaftliche Schäden von 10,5 Billionen Euro pro Jahr verursachen wird. Es macht darauf aufmerksam, dass global gesehen schätzungsweise 3,5 Millionen Cybersecurity-Stellen unbesetzt sind.
Es finden sich auch noch weitere Berichte mit erstaunlichen Fakten und Zahlen, die aus dem Zusammenhang gerissen durchaus erschreckend sind. Das Cybercrime Magazine und vergleichbare Organisationen leisten hervorragende Arbeit und liefern wertvolle Informationen, die uns dabei helfen, diesen Krieg besser zu verstehen. Bei der Auswertung dieser Informationen müssen wir jedoch den gesamten Kontext aus einer breiteren Perspektive betrachten. Oft werden nur Auszüge und Teilinformationen hervorgehoben, um die eigene Interpretation zu untermauern.
Auf den ersten Blick mag es so aussehen, als würden wir den Krieg verlieren und die Gegner die Oberhand gewinnen. Doch das entspricht nicht der ganzen Wahrheit. Wie bei jedem Konflikt muss das Gesamtbild untersucht und klar verstanden werden. Es handelt sich um einen erbitterten und komplexen Kampf, der auf vielen Ebenen geführt wird. Aber wir dürfen die erzielten Fortschritte nicht aus den Augen verlieren. Ansonsten könnte man schnell die Hoffnung verlieren und aufgeben. Dann ist die Niederlage gewiss.
Zum Beispiel liefert Derek Brink aufschlussreiche Ratschläge zum Verständnis des realen Risikos durch statistische Analysen der neuesten Berichte und Zahlen zum Thema Cybersecurity. Im Gespräch mit dem Vorstand und anderen Führungskräften können die Verwendung des Mittelwerts statt des Durchschnitts und das Verständnis der Datenverteilung wertvolle Perspektiven bieten. Dadurch entsteht oft ein ganz anderes Bild als die Schlagzeilen vermuten lassen.
Wir dürfen auch nicht vergessen, dass wir im Laufe der Jahrzehnte bedeutende Erfolge erzielt haben. Kevin Mandia ist ein Pionier in der Branche und ein wahrer Kämpfer, der sich nie geschlagen gibt. Die revolutionären Fortschritte bei der Analyse von Bedrohungen mithilfe von Mandiant haben uns geholfen, bedeutende Schlachten in diesem anhaltenden Krieg zu gewinnen.
Wo müssen Unternehmen Prioritäten setzen?
Interview mit Ron Bushar, CTO bei Mandiant
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Hays trifft sich mit führenden Vertretern der Cyber Security aus der ganzen Welt, um deren Einblicke in die heutigen Herausforderungen zu erfahren. Wir erfahren etwas über die Cyber-Risikoprofile der Unternehmen, mit denen sie zusammenarbeiten, wie sich globale Ereignisse auf ihre Arbeitsweise ausgewirkt haben und hören, wie sie Talente für ihre Sicherheitsteams finden und entwickeln.
In dieser Folge spricht Michael Beaupre mit Ron Bushar, Senior Vice President und Global Government CTO bei Mandiant. Ron berichtet von seinen Erfahrungen an der vordersten Front der Cybersicherheit und erörtert, wie Unternehmen ihre Prioritäten setzen müssen.
Michael Beaupre: Wie alle Kämpfer an der Front haben auch Kevin und sein Team einige Rückschläge einstecken müssen. Aber sie kämpfen weiter. Die jüngste Übernahme von Mandiant durch Google Cloud wird ihre Fähigkeiten weiter ausbauen und verbessern, um auf noch breiterer Ebene aktiv zu sein.
Was tun Konzerne im Kampf gegen Cyber Crime?
Microsoft, Apple, Amazon und andere Tech-Riesen investieren massiv in diesem Bereich, um den Vorsprung gegenüber Cybergegnern auf globaler Ebene auszubauen:
Amazon wird seine Schulungen zum Thema Cybersecurity Awareness der Öffentlichkeit kostenlos zur Verfügung stellen.
Microsoft wird über fünf Jahre 20 Milliarden Euro investieren, eine vierfache Steigerung gegenüber den bisherigen Investitionen. Zusätzlich werden 150 Millionen Euro an technischen Services zur Verfügung gestellt, um Bundes-, Landes- und Kommunalbehörden bei der Aktualisierung von Sicherheitssystemen zu unterstützen.
IBM wird über drei Jahre mehr als 150.000 Personen im Bereich Cybersecurity schulen und mit historisch afroamerikanischen Colleges und Universitäten zusammenarbeiten, um eine vielfältigere Belegschaft in diesem Sektor zu fördern.
Google investiert in den nächsten fünf Jahren 10 Milliarden Euro in Cybersecurity und wird 100.000 Amerikanern dabei helfen, branchenweit anerkannte Zertifikate für digitale Kompetenzen zu erwerben, die hochbezahlte Arbeitsplätze in Aussicht stellen.
Ich spreche oft von Cyberstürmen in Anlehnung an Hurrikans, von Cyberkriegsführung und anderen Metaphern, die verdeutlichen, dass gemeinsame Anstrengungen und Koalitionen zur Überwindung von Katastrophen und Konflikten notwendig sind. Dadurch möchte ich klar vermitteln, dass innovative Technologien eine Schlüsselkomponente für den Sieg in diesem Krieg sind. Gleichzeitig müssen wir uns jedoch bewusst machen, dass unser nachhaltiger Erfolg auf gemeinsamen Partnerschaften und globalen Kooperationen basiert. Nur so gewinnen wir den Kampf gegen einen fortschrittlichen und hartnäckigen Gegner.
Im Wilden Westen lautete das Motto: Wenn man einen Kreis bildet und sich gegenseitig den Rücken deckt, zeigen die Gewehre nach außen und nicht nach innen. Wir können nur erfolgreich sein, wenn wir als Verbündete gemeinsam kämpfen und nicht als Konkurrenten auftreten. Immer mehr Tech-Riesen, Branchenführer und einflussreiche Regierungsvertreter schließen sich zusammen, um ihre Fähigkeiten und Kapazitäten im Bereich Cybersecurity gemeinsam einzusetzen. Das ist der Schlüssel zum Erfolg und deshalb bin ich zu Hays gekommen.
Wir kämpfen nicht allein. Wir stehen Seite an Seite, um gemeinsam zu siegen.
Künstliche Intelligenz und Automatisierung im Bereich Cybersecurity: Realistisch oder futuristisch?
Künstliche Intelligenz (KI) und Automatisierung gelten im Bereich Cybersecurity als eine große Chance, Kosten einzusparen. Wirtschaftliche Schäden aufgrund von Sicherheitsverletzungen in Unternehmen, die eine vollständig implementierte Sicherheits-KI und Automatisierung vorweisen fallen deutlich geringer aus.
Ist solch eine Lösung angesichts der verfügbaren Ressourcen der meisten Unternehmen überhaupt realistisch?
Michael Beaupre: Hier kommt es wiederum auf die Perspektive an. Ich würde die Frage anders stellen: Können es sich Unternehmen leisten, in diesem Bereich nicht zu investieren?
Cyberkriminalität kostet die Wirtschaft schätzungsweise 10,5 Billionen Euro im Jahr. Vergleichen Sie das mit den weltweiten Gesamtinvestitionen in Cybersecurity von rund 262 Milliarden Euro. Wir investieren deutlich zu wenig in unsere Verteidigung. Doch dieser Trend ist derzeit im Wandel.
IBM veröffentlicht einen jährlichen Bericht über die Kosten von Datenschutzverletzungen. Der elfte Bericht dieser Art wurde dieses Jahr veröffentlicht und enthält wertvolle Erkenntnisse. Eines der Highlights in diesem Bericht erklärt den Wert von KI und automatisierten Lösungen wie folgt:
Datenschutzverletzungen in Unternehmen ohne Sicherheits-KI und Automatisierung kosten durchschnittlich 6,2 Millionen Euro im Vergleich zu durchschnittlich 3,15 Millionen Euro in Unternehmen mit vollständig implementierter Security AI und Automatisierung.
Das entspricht einer Kosteneinsparung von 65,2 Prozent (3,05 Millionen Euro)!
Statistiken wie diese sind sehr wertvoll. Es lohnt sich sie mit den von Derek Brink empfohlenen Methoden zu untersuchen, um die tatsächlichen Vorteile beurteilen zu können. In jedem Krieg ist der Wert fortschrittlicher Technologien klar zu erkennen. Stellen wir uns zwei gegnerische Nationen in einem Krieg vor: Die eine Seite investiert in Panzer, Langstreckenraketen und Tarnkappenbomber. Die andere in Knüppel, Heugabeln und Fackeln für ihre Landsleute. Welche Seite wird diesen Krieg aller Voraussicht nach gewinnen? Unser gemeinsamer Gegner investiert in modernste Technologien für seine Angriffe und wird dies auch weiterhin tun. Wenn wir nicht mithalten, gewinnt der Gegner die Oberhand. Es handelt sich um ein Wettrüsten im strategischen und langfristigen Cyberkrieg. Als solchen müssen wir diesen Konflikt betrachten.
Was bedeutet dies für Freelancer? Kennen Sie sich mit modernen Cybertechnologien aus? Halten Sie mit den neuesten Innovationen Schritt und eignen Sie sich die entsprechenden Kenntnisse im Umgang mit diesen Tools an? Bauen Sie Ihre Fähigkeiten als Führungskraft und Mentor aus und vermarkten Sie diese? Ist das der Fall, nimmt auch Ihr Wert in diesem Krieg deutlich zu. Dies wirkt sich wiederum auf Ihre Tagessätze aus sowie auf Ihre Chancen, Projekte für sich zu gewinnen.
Bekämpfung des Fachkräftemangels im Bereich Cybersecurity
Aktuell sind 62 Prozent der Unternehmen personell zu schwach besetzt, um ihre Anforderungen an das IT-Sicherheitsmanagement zu erfüllen (IBM, 2022). Viele Unternehmen haben Schwierigkeiten, die Stellen in ihren IT-Sicherheitsteams zu besetzen. Der Personalmangel und die extrem hohe Nachfrage äußern sich zum einen in Stundensätzen und zum anderen in der deutlich höheren Arbeitsbelastung der vorhandenen Spezialisten.
Als Head of Cyber Security bei Hays haben Sie es sich zur Aufgabe gemacht, die Fachkräftelücke in diesem Bereich zu schließen.
Was sind aus Ihrer Sicht die größten Stellschrauben bei diesem Vorhaben? Welche erfolgreichen Strategien verfolgen die Unternehmen am Markt?
Michael Beaupre: Das Schließen der Cyberkompetenzlücke sehe ich als eine komplexe Herausforderung. Es geht NICHT nur darum, mehr Leute einzustellen. Es müssen die richtigen Personen mit den erforderlichen Kompetenzen gefunden werden, um ständig fortschreitende Technologien korrekt einzusetzen und die dafür verantwortlichen Teams zu leiten. Wir benötigen vorausschauende Führungskräfte, die den gegenwärtigen Krieg verstehen.
Hays hat 17.000 offene Cyberstellen in ganz Deutschland mit folgendem Ergebnis analysiert:
Cyber Experten (#1), Cyber Berater (#2) und Sicherheits Ingenieure (#3) sind die drei Stellen mit den höchsten Vakanzen.
Führungspositionen sind die am vierthäufigsten gesuchten Stellen, darunter CISOs und Produktmanager sowie Manager für Governance und Compliance im Bereich Cybersecurity.
Sicherheitsbeauftragte für IT und Datenschutz landen auf Platz 5.
Ingenieure und Experten für Netzwerksicherheit nehmen Platz 6 ein.
Es wird oft über den Fachkräftemangel in technischen Bereichen geredet. In Artikeln wird darüber berichtet, wie schwierig es ist, auf das Level der technischen Genies zu kommen. Wir übersehen dabei jedoch einen wichtigen Aspekt der Qualifikationslücke: Führung und Management.
Meiner Meinung nach ist es einfacher und effizienter, hochqualifizierten Führungskräften beizubringen, wie man Cyberexperten leitet, als zu versuchen, hochtechnischen Cyberexperten Führungsqualitäten anzueignen. Statt auf begrenzte Kapazitäten an technischen Experten zurückzugreifen, um Führungs- und Managementpositionen zu besetzen, können wir diesen Bedarf mit Kräften aus anderen eng verwandten Bereichen decken. Als Gemeinschaft sollten wir diesen Aspekt der Qualifikationslücke genauer untersuchen.
Im Laufe meiner Karriere habe ich mit einfachen Ansätzen komplexe Herausforderungen lösen können. Beim Schließen der Fachkräftelücke müssen zwei zentrale Faktoren berücksichtigt werden.
Über den ersten haben wir gerade gesprochen: Die Auswahl der richtigen Fähigkeiten und der geeigneten Führungskräfte. Der zweite Faktor betrifft den Einsatz moderner Technologien, künstlicher Intelligenz und automatisierter Lösungen als Multiplikator. Wir sollten nicht nur den Bedarf an technischen Ressourcen sowie an Management- und Führungskräften decken, sondern auch durch Automatisierung und Technologie zur Reduzierung des gesamten Personalbedarfs für diesen Krieg beitragen.
Die Investition in moderne Technologien hilft unter anderem einen Vorteil gegenüber den „Cyberpanzern“ und „Langstrecken-Cyberraketen“ des Gegners zu sichern. Das bedeutet, dass wir in Kompetenzen investieren müssen, die für die Verwaltung und den Einsatz dieser Technologien erforderlich sind. Und dass wir mit starken Führungspersönlichkeiten, die entsprechend befähigt werden und qualifiziert sind, diese Kompetenzen mit den Verantwortlichen im Unternehmen in Einklang bringen. Diese Zielsetzungen sind komplementär und nicht konkurrierend.
Die Aufgabe ist anspruchsvoll und umfangreich. Wäre sie einfach, gäbe es keinen Fachkräftemangel im Bereich Cybersecurity.
Es bedarf globaler strategischer Partnerschaften mit Tech-Riesen, Innovatoren, Universitäten und Institutionen, um sowohl Talente als auch technische Kompetenzen zu erwerben. Dieser Trend wird immer deutlicher, und ich sehe es als eine meiner Aufgaben bei Hays, diese Entwicklung weiter zu beschleunigen.
Wir müssen als Partner agieren, um diesen positiven Trend voranzutreiben, indem wir uns gegenseitig schulen und weiterbilden und die Cyberindustrie entmystifizieren. Es handelt sich nicht um eine elitäre Branche, in die man nur schwer einsteigen kann und in der ausschließlich Tech-Freaks und Hacker arbeiten. Wir müssen Führungskräften deutlich machen, dass es in der Cyberindustrie mehr um Geschäftsrisiken, Führung und Bewusstsein geht als um Technologie. Wie bereits erwähnt, brauchen wir Technologie und Innovation – doch diese sind nur ein Teil der Lösung. Strategische Investitionen in Cybersecurity sind aus unternehmerischer Sicht relevant und werden unterstützt durch Führungskräfte, die erkannt haben, wie bedeutsam der Kampf in diesem Bereich ist.
Eines meiner Lieblingszitate aus Sunzis „Die Kunst des Krieges“ beschreibt eine Grundwahrheit des Cyberumfelds:
„Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. Wenn du dich selbst kennst, doch nicht den Feind, wirst du für jeden Sieg, den du erringst, eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen.“
Wie lässt sich dies auf den Cyberkrieg übertragen?
Zuallererst müssen wir verstehen, dass wir uns in einem Krieg befinden.
Zweitens müssen wir uns dazu verpflichten, diesen Krieg zu gewinnen.
Und drittens müssen wir das notwendige Verständnis, die Kompetenzen und die Verbündeten gewinnen, die für den Sieg erforderlich sind.
Wir müssen nicht nur uns selbst verstehen und was uns als Unternehmen erfolgreich macht, sondern auch den Gegner und was er in diesem Krieg erreichen will. Auf diese Weise brauchen wir „den Ausgang von hundert Schlachten nicht zu fürchten“.
Die Vorteile dieses Ansatzes sind klar zu erkennen. Laut IBM belaufen sich die durchschnittlichen Kosteneinsparungen bei einer Datenschutzverletzung auf 550.000 Euro in Unternehmen mit ausreichendem Fachpersonal im Vergleich zu sonstigen Unternehmen. Dabei kann ich nicht genug betonen, dass sich „ausreichendes Personal“ nicht nur auf die Mitarbeiterzahl beschränkt. Es kommt auf die entsprechenden Fähigkeiten an, die genau auf das Risikoprofil des Unternehmens und auf die größten Bedrohungen in der zu schützenden Branche abgestimmt sind. Oder anders gesagt: ein Unternehmen, das nach dem oben erwähnten Prinzip von Sunzi besetzt ist.
Quereinstieg im Bereich Cyber Security als IT Freelancer
Könnte der enorme Bedarf an Spezialisten für Cybersecurity auch eine Chance für Quereinsteiger bieten?
Was würden Sie IT-Fachkräften raten, die den Einstieg als Freelancer im Bereich Cybersecurity wagen wollen? Welche Vorkenntnisse sind nötig?
Michael Beaupre: Ich denke, darüber habe ich bereits ausführlich gesprochen. Kurz gesagt: Haben Sie keine Angst und lassen Sie sich nicht einschüchtern, wenn Sie den Quereinstieg wagen möchten. Es ist nicht so kompliziert oder einseitig, wie manche Leute aus der Branche es darstellen. Die Möglichkeiten und Methoden, um sich weiterzuentwickeln und fortzubilden, sind vielfältig. Einer der jüngsten Artikel des IT Freelancer Magazins zu diesem Thema bietet einen guten Ausgangspunkt.
Vor allem aber sollten Sie sich mit einem Cyberexperten von Hays in Verbindung setzen und von unserer Erfahrung und Expertise bei der gemeinsamen Planung Ihres Einstiegs profitieren. Wir sind aktuell dabei, mehrere Partnerschaften mit Vertretern aus Mathematik, Informatik, Naturwissenschaften und Technik (MINT) in diversen Ländern aufzubauen. Darüber hinaus arbeiten wir mit führenden Cyberexperten in der Branche zusammen, die den Übergang aus Ihrem aktuellen Fachbereich sponsern können. Nehmen Sie Kontakt mit uns auf und wir helfen Ihnen dabei, auf der richtigen Ebene Kontakte zu knüpfen, um Ihre Ziele und Wünsche zu erfüllen.
Einstieg im Bereich Cyber Security?
Hungrig auf brandaktuelle Cyber Insights?
Nehmen Sie sich 5-10 Minuten Zeit, um an unserer Umfrage zum Thema Cyber Security teilzunehmen!
Wie reagieren Unternehmen auf Cyber-Bedrohungen im Jahr 2022? Vor welchen Herausforderungen stehen Ihre Kollegen im Bereich der Cybersicherheit, wenn es darum geht, die richtigen Talente zu finden und zu halten? Wie viel wird weltweit für Cyber-Teams ausgegeben?
Hays nimmt Ihre Themen und Herausforderungen im Bereich Cybersicherheit in den Fokus und veröffentlicht auf Basis Ihrer Angaben einen Cyber Security Report.
Füllen Sie unsere kurze Umfrage aus und wir werden Ihnen im Frühjahr 2023 die Ergebnisse zusenden.
Über Michael Beaupre
Michael Beaupre ist führender Technologieexperte mit über 25 Jahren Erfahrung in der Beratung von internationalen Einrichtungen des öffentlichen Sektors, DAX-30-Unternehmen und mittelständischen internationalen Firmen bei strategischen Technologieinitiativen. Er ist Spezialist für Digitalisierung und IT-Transformation und ein Vordenker in den Bereichen Cybersecurity, organisatorisches Risikomanagement und IT-Compliance.
Seine Teams sorgen für Kosteneinsparungen und Wirtschaftlichkeit durch praktische technologische Innovationen in verschiedenen Bereichen. Als Freelancer berät er weltweit kleine und große Unternehmen mit 20 bis 220.000 Mitarbeitern in den Bereichen Medizin, Pharma, Biotechnologie, Übersetzung und Fertigung.
Ein Kommentar
Sehr schöne Artikel! Gut gemacht !