oder: Warum ein Qualifikationszertifikat keine Allround Heilmittel ist.
Aktuell 2023 und die Jahre davor boomen Schulungen und Seminare zur Cybersicherheit in allerlei Fach- und Produktrichtungen, sodaß unsere letzte Zählung (05/2023) die erstaunliche Anzahl von 254 IT- oder Cybersecurity Qualifikationszertifikaten ergab. Wussten Sie das?
Darunter waren noch kaum Hersteller Zertifikate, sondern nur Zertifikate von allerlei Organisationen die mit mehr oder weniger Aufwand suchen Kundschaften und Unternehmen davon zu überzeugen, das exakt ihr Zertifikat für das wesentliche Stück ‘ Cybersicherheit’ im Unternehmen sorgt. Es neben ein paar wichtigen und richtigen Zertifikaten der Versuch, dem Kunden, die eierlegende Wollmilchsau zu verkaufen. Seht her unsere Wollmilchsau ist besonders toll, schön und kann (nahezu) Alles. Doch ist in einer so komplexen IT-Welt, Prozess- und Produktionswelt, die Lösung alles mit Qualifikation durch Security Zertifikate zu erschlagen? Und was ist mit der Berücksichtigung vielbeschworener << krimineller Energie>>, geht diese auch so vor wie die Wirtschaft, und macht alles nach Handbuch und über Qualifikationszertifikate? – Wohl kaum, man sucht sich Allrounder oder Multitalente und keinen handbuch Prediger oder Missionar der << einen unumstößlichen Security Wahrheit >>.
Die Kosten für solche Security Schulungen sind auch nicht ohne. Manchmal sind es ‘nur’ USD 700 pro Kurs. Doch selten geht etwas unterhalb von 2.000 – 3.000 € . Und für die Mühe und “bestandene Prüfung” aus inhaltlichen Multiple-Choice-Fragen darf man sich eines Titels sicher sein, der die Güte , wie Certified Information Systems Security Professional (CISSP) durch möglichst gut und logisch klingende Stichworte ausdrückt.
Sicher Zertifizierungen sind wichtig, Normen und Handbücher und die Vermittlung von best-practise Ansätzen auch. Alles könnte man unterschreiben, wenn ! – Ja wenn was nicht wäre? – Die Flut, und Ausschließlichkeit der Angebote in der Masse der Angebote. Es scheint da draußen in den Weiten des Globus nur wenige Personen zu geben die sich mit echter und anstregender Cybersicherheit der Datenstrukturen, Algorithmen, Ciphers, Rainbow Tables und vielem mehr auseinandersetzen zu wollen – und zu müssen. In kaum einem anderen Job ist soviel Phantasie und Vorstellungskraft für abstraktes Denken gefordert wie in der Cybersicherheit, denn Alles ist abstrakt. Beginnend von den Grundlagen der Rechnerarchitektur, Computernetze, Kommunikationsprotokolle, Hashes und Ciphers, hinübergehend zur Systemarchitektur und Konfiguration. Ja auch der Angriff auf eine vermeintliche Schwachstelle oder Idee ist erst einmal abstrakte Idee und benötigt kreative Phantasie. Und je mehr sture Handbücher verwendet werden – um so besser für den Angreifer. Es macht es ihm leichter.
Aber weiter…
Wir fanden bei unserer Recherche zu diesem Artikel nahezu Null studierte Cybersecurity Fachkräfte auf Hochschul oder Universitätsniveau! Kein Wunder schließen deutschlandweit nur etwa im unteren dreistelligen Bereich Bachelors ab. Und noch weniger der Absolventen arbeiten schließlich in der Cybersicherheit an passenden Positionen. Aber immerhin. Bei angenomen 450 Absolventen mit Cybersecurity Bachelor braucht die BRD bei 2.5 Millionen KMU nur 5.555 Jahre um den heutigen Bedarf zu befriedigen! Kein Wunder gehen die Gehälter für fähige ( und nicht immer studierte) Leute hoch und erreichen locker 160.000 € p.a. zzgl. Bonus und Dienstwagen. Aber dafür muss man auch in Vorleistungsschmerz gehen.
Also als Mensch sich hinsetzen und explizit IT-Sicherheitsinformatik (und dazu auch Informatik) von der Pike auf studieren in tausenden von Stunden Workload. Semesterferien ist nicht. Da der vorliegende Autor zumindest ‘IT- und Unternehmenssicherheit’ für fünf Jahre an der Hochschule Offenburg, Fakultät für IT-Sicherheit im B.Sc. studiert hat und 12 Jahre in der Industrie der nahmhaften Cybersicheitshersteller mit gewissem Erfolg herumturnt, sei ihm dieses Kommentar und Wertungskenntnis gestattet.
Ohne harte Arbeit, kommt weder nachhaltige leistungsfähige Informationssicherheit oder eine taugliche Cybersicherheitstechnologie ins Unternehmen – um, dort effizienten Schutz zu leisten. Schutz vor vielen Dingen, wie Informationsdiebstahl, IT-Datenklau, Datensabotage, und und und. Vom Betrieb eines SOC also Security Operations Center oder eines MDR eines Managed Detection & Response Teams oder Zentrums reden wir mal gar nicht erst.
Dennoch suchen überall Menschen mit vollständig it-sicherheitsfremden Vorausbildungen sich über den Weg einer zertifizierenden Maßnahme, Kurs oder Seminar, einen neuen (vermeintlich) lukrativen Berufsstand aufzubauen. Den Menschen sei es verziehen, denn jeder muss von etwas leben und seine Rechnungen bezahlen. Und mit der Zeit wird aus interessierten Quereinsteigern auch ein Meister, allerdings dauert das natürlicherweise Jahre. Jahre die die Wirtschaft nicht hat, weswegen man sich wohl strategisch auf westlichen Regierungsebenen sagt: “Viel hilft viel, und etwas Positives (an zusätzlicher Security) wird schön hängen bleiben! Lass laufen.” . Das diese Strategie aufgehen wird, darf stark bezweifelt werden. Zumindest nicht, wenn man sich real auf einen geopolitischen Konfrontationskurs mit Russland, China und den BRICS Staaten begibt. Denn es dürfte diese Staaten wenig interessieren welchen Titel ein Security Spezialist hat, sondern nur, wie leicht man sich Zugang verschaffen kann zu den gewünschten Daten oder Informationen.
Seriöse Unternehmen oder solche die hochpreisliche und wertige Güter herstellen, reißen sich unserer Erfahrung nach nicht sonderlich um solche rasch qualifizierten “Fachkräfte”, denn sie wissen um die Realitäten.
CEO’s , CTO’ s , IT-Leiter die darauf abfahren, zumindest wenn sie vom Fach ‘Informatik’ auf Universitätsniveau ansatzweise etwas verstehen, sind nicht auszumachen. Es sei denn die Unternehmen nehmen diese Ausgangsbasis für kostenintensive Nachschulungen so wie es EMC² bereits erfolgreich vormachte, und investieren richtig Geld in ihr Personal. Dann kann auch aus einem Queereinsteiger mit Interesse ein echter Crack in der Sicherheit werden? Ja und Nein.
– Zu groß sind oft die Grundlagen, die Wissenslücken, und ohne den harten Weg eines White Hackers zu gehen wie es einmal der Chaos Computer Club nett ausdrückte, und der besteht aus viel, viel lernen wie: Rechnerarchitektur, Computernetze, Datenstrukturen, Mathematik und Betriebs- und Systemwissen und vielem mehr, fällt einfach kein Meister durch Zertifikat vom Himmel.
Das einzige was vom Himmel fällt sind Script Kiddies oder Script Daddies, wenn man von IT-Wirtschaftsinformatiker oder IT-Wirtschaftsingenieur umsattelt auf IT-Sicherheit. Nichts gegen diese Berufsstände die ihre Berechtigungen haben und gebraucht werden. Wohl aber doch etwas dagegen einzuwenden, wenn man der irrigen Annahme ist, seine intimsten und sensibelsten Betriebsgeheimnisse und Daten, abzusichern vor unbefugtem Zugriff! – Sowas kann nur schiefgehen – und dann richtig. Metasploit oder Kalilinux als einzige Grundlage seiner Security Health Checks oder Handbücher zur Beratung zu nehmen, ohne nebenbei zu wissen << Was man da eigentlich wohin überträgt >> ist fahrlässig oder auch vorsätzlich.
Und nun noch die Antwort zu << Nein, ein Studium der Cybersicherheit alleine schützt auch nicht >> weil die Antwort, so unbequem sie für die Universitäten und Wirtschaft sein mag, so positiv lerreich für die Zukunft sein kann: >> Ein Studium bildet nicht darin aus mit krimineller Energie zu improvisieren ! <<
Improvisation, beziehungsweise die Improvisationsgabe eines Menschen, ist nicht unwesentlich von seiner allgemeinen Breitenbildung abhängig, und der Notwendigkeit sich (ob durch Zwang oder Motivation) – einen neuen Weg einfallen zu lassen, um das gewünschte Ziel zu erreichen.
In westlichen Firmen ist viel, noch immer viel zu holen, selbst nachdem schon zahlreiche Kopien von Geschäftsmodellen und Frabrikationsprozessen, Einzug in die Hallen fernöstlicher Neuproduzenten gefunden haben. Es ist die neue Zukunft die noch entwickelt wird die es zu schützen gilt. Es ist der technische Vorsprung von Morgen der vernünftig risikobedacht abzuriegeln ist – um auf dem Weltmarkt des Turbokapitalismus überhaupt in Erscheinung zu treten.
Leider ist keines der westlichen Bildungssysteme darauf ausgelegt ‘Allrounder’ in der Cybersicherheit bereitzustellen. Ob nach der Security Zertifizierung eines aus 254 oder nach einem Bachelor- oder Masterstudium ist Schluss. Und danch gehen Alle oder die Meisten mit Handbuch gegen dynamische Cyberbedrohungen vor die von den kleversten IT-Allroundern oder Agenten ausbaldovert wurden.
>>Zurück ans Reißbrett << möchte man da gerne zurufen! Gut tut wer sich als Unternehmen bewusst wird, um was es bei den cybersecurity Attacken geht, die er sieht oder nicht sieht (aber da sind), und sich mit Ernsthaftigkeit um mehr als nur IT-Grundschutz nach dem BSI-Grundschutzhandbuch bemüht. Der Lohn könnte das positive Fortbestehen des Unternehmens sein – und dessen Wegfall durch Datenverluste, merken Gesellschafter und Inhaber auch: Am Portemonaie!
Wie immer senden wir diese Nachricht und Anregungen an den freundlichen und unbekannten Server im KVP Nirvana !