Weiterbildung bei Fraunhofer SIT: Widerstandsfähigkeit gegen Cyberangriffe stärken

Cybersicherheitswissen – Warum so besonders?

Die Rahmenbedingungen für Cybersicherheitswissen unterscheiden sich deutlich von anderen Gebieten. Sind in anderen IuK-Bereichen Marktanforderungen und neue Funktionen die Evolutionstreiber, so ist es in Cybersicherheit die Bedrohungslage. Die Vorhersehbarkeit ist hier meist deutlich geringer als in anderen Bereichen. Cybersicherheitswissen veraltet und wird durch neue Erkenntnisse abgelöst. Die Halbwertszeit des taktischen Wissens liegt bei wenigen Monaten, in anderen IuK-Bereichen bei wenigen Jahren; beim strategischen Wissen stehen wenige Jahre vielen Jahren gegenüber

Die geforderten Reaktionszeiten können sehr kurz sein, in anderen IuK-Bereichen akzeptiert man längere Zeiträume. Auch die Obsoleszenz ist unterschiedlich ausgeprägt: abruptes Aufgeben bei Cybersicherheit versus gradueller Übergänge bei anderen IuK-Bereichen. Darüber hinaus sind aufgrund der Notwendigkeiten zum kurzfristigen Handeln Dokumentationen mit Bezug zu Cybersicherheit oft unvollständig, in anderen IuK-Bereichen sind sie eher umfangreich und strukturiert.

Cybersicherheit ist heute eines der am schnellsten evolvierenden Felder in der IuK-Technologie. Dies hat enorme Implikationen für das, was Organisationen in Cybersicherheit wissen müssen, und wie sie dieses Wissen aktuell halten. Was gestern noch richtig war, kann morgen schon obsolet sein. Diese Diskrepanzen in Bezug auf Wissen in Cybersicherheit und anderen IuK-Bereichen ergeben sich aus verschiedenen Einflussfaktoren: Fachkräftemangel, Überlastung, technologische Komplexität, Vergrößerung der Angriffsfläche, Asymmetrie zwischen Angreifer- und Verteidigerseite, neue Angriffsmethoden, neue regulatorische Anforderungen, Ausdifferenzierung verschiedener Rollen und Aufgaben, Anwendungsorientierung versus Grundlagen.

Neben langfristigem Wissen (z.B. grundlegende Prinzipien, kryptographische Primitive) spielen in Cybersicherheit auch mittel- (z.B. Bedrohungen aus neuen Anwendungstechnologien, Werkzeuge) und kurzfristiges Wissen (z.B. neue Schwachstellen, Patches) eine wichtige Rolle. Kurzfristiges Wissen kann ad hoc relevant werden, aber auch schnell wieder veralten. Solides mittel- und langfristiges Wissen hilft bei der selbständigen Einordnung von aktuellen Meldungen.

Für Hochschulen ist es oft herausfordernd, mit ihren Curricula Schritt zu halten. Darüber hinaus braucht es seine Zeit, bis Studierende als Fachkräfte auf den Arbeitsmarkt kommen. Um sich besser zu schützen, müssen Unternehmen auf Weiterbildungen in Cybersicherheit setzen, am besten kontinuierlich. Nicht zuletzt helfen sie der Geschäftsführung auch zum Beleg der ihr obliegenden Risikovorsorge.

Verpflichtungen für Organisationen

Zur Wahrung der eigenen Interessen müssen Organisationen das Notwendige tun, um auf dem aktuellen Stand bzgl. Cybersicherheit zu bleiben. Tun sie dies nicht, und leiten sie nicht die erforderlichen Maßnahmen daraus ab, droht Organisationsversagen. Spätestens nach erfolgten Angriffen wird dies transparent.

Weiterbildungen in Cybersicherheit, z.B. als Schulungen oder Trainings, sind für Organisationen nach verschiedenen Rechtsakten verpflichtend. Dies gilt für Organisationen entweder direkt (z.B. DSGVO, IT-Sicherheitsgesetz) oder indirekt gemäß den Sorgfaltspflichten für Vorstände oder Geschäftsführungen (z.B. AktG, GmbHG). Diesen obliegt auch die Bereitstellung der erforderlichen Ressourcen (z.B. Zeit, Finanzen).

Bedarfe

Der Fachkräftemangel in Cybersicherheit ist nicht auf Deutschland beschränkt. Unternehmen und Behörden suchen weltweit nach geeigneten Fachkräften, deren Expertisen die anwendungsorientierten Anforderungen erfüllen. Hierfür sind gute Ausbildung und entsprechende Weiterbildung gefragt.

In einer Untersuchung in den USA hatte man vor einigen Jahren festgestellt, dass auch die Universitätsabsolventen der Ivy-League die inhaltlichen Anforderungen von Organisationen nicht mehr erfüllt haben. Da man auf staatlicher Seite im Fachkräftemangel und inhaltlichen Defiziten ein nationales Sicherheitsproblem gesehen hat, wurde die National Initiative for Cybersecurity Education (NICE) ins Leben gerufen; sie hat ein Kompetenzrahmenwerk für Aus- und Weiterbildung erarbeitet. Auch andere Länder, z.B. China, sehen in der Aus- und Weiterbildung in Cybersicherheit eine Säule ihrer nationalen Sicherheit. In Anlehnung an NICE hat man in Europa mit dem EU Cybersecurity Skills Framework (ECSF) reagiert.

Unternehmen brauchen Weiterbildungen, die sich inhaltlich und im Ablauf gut in die praktische Arbeitswelt integrieren lassen. Von praktischen Komponenten in der Wissensvermittlung erwartet man schnellere und effektivere Lernerfolge. Wichtige neue Erkenntnisse sind unverzüglich in Weiterbildungscurricula aufzunehmen. 

Wissen auf kurzen Wegen

Das Fraunhofer SIT ist Mitwirkender im Nationalen Forschungszentrum für angewandte Cybersicherheit Athene, dem größten Forschungszentrum für Cybersicherheit in Europa. Neben F&E hat das Fraunhofer SIT ein umfangreiches Weiterbildungsangebot. Die Nähe zur angewandten Forschung ist sehr wertvoll, da neue Erkenntnisse zügig übernommen werden:

TISP: Die Inhalte decken praxisrelevantes Wissen zu technischen, organisatorischen, rechtlichen, und wirtschaftlichen Themen ab, das sich an nationalen und internationalen Standards orientiert.

Athene Cyber Range: Hier kann man die Erkennung und Verteidigung von echten Cyberangriffen trainieren.

Lernlabor Cybersicherheit: Es werden Inhalte anhand praktischer Übungen und kompakter Theorie vermittelt. Die praktische Anwendung von neu erworbenem Wissen führt zu besseren Lernerfolgen.

Fazit

Zum Schutz gegen Cyberangriffe müssen Organisationen ihren Mitarbeitenden ermöglichen, sich kontinuierlich in der Cybersicherheit weiterzubilden. Lebenslanges Lernen ist wichtig, da Cybersicherheit rasant evolviert. Weil sich Inhalte und Angebote sehr stark ausdifferenzieren, ist es entscheidend, die für die eigenen Bedarfe relevanten Trainings und Schulungen auszuwählen.