Menü
IT Sicherheit ist ein Weg, kein Ziel!
31.05.2018

Spezialisierung in der IT Security

Spezialisierung ist, so behaupten manche Menschen, nur etwas für Ameisen!

Der Mensch hat es nur als dominierende Rasse geschafft, indem er sich durch Vielfältigkeit und Flexibilität gegen seine Evolutions-Konkurrenz durchgesetzt hat. Allein der Gedanke,

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

dass beispielsweise in der Schulzeit schon festgelegt werden würde, wer Schriftsteller, Ingenieur, Fließbandarbeiter oder Politiker werden wird ist nicht vorstellbar. Denn die Individualität der jeweiligen Person würde auf der Strecke bleiben und ggf. wertvolles Potential ungenutzt verkümmern.

Also machen wir es doch richtig, wenn wir uns erst zu einem späten Zeitpunkt entscheiden, was wir einmal machen wollen bzw. uns darin versuchen – oder?

Nun ja, teilweise – denn dies führt jedoch mitunter zu recht ungewöhnlichen Konstrukten. Denn im Berufsumfeld sind wir i.d.R. fremdgesteuert und können gelegentlich die angestrebte Tätigkeit (u.U. zeitlich begrenzt) verfehlen. Beispielsweise ist es doch seltsam, wenn der Unix-Guru sich mit dem Datenschutz auseinandersetzen soll und der C-Programmierer auf einmal die Firewall des Unternehmens konfigurieren soll. Obwohl es ist ja doch irgendwie naheliegend für Themenfremde, denn alles hat ja mit IT zu tun!
Wobei es jedoch schnell fragwürdig wird, wenn der IT-Sachbearbeiter, mit einem profunden Wissen in den klassischen Office-Anwendungen nun als Pen-Tester agiert soll oder der Python-Entwickler in Assembler Tools erstellen soll.
Aber alles ist möglich, denn wir sind ja flexibel und dies ist unser menschliches Plus. Nur scheint es so, als würde man hier der Evolution keinen Dienst erweisen und in eine Sackgasse laufen, der keine Zukunft beschieden ist.

Denn im Gegensatz zu vielen anderen Themen, braucht IT Sicherheit eben doch eine Spezialisierung. Es macht mittel- und langfristig keinen Sinn, ungeschulte Personen mit Security-Aufgabe zu beauftragen, wenn ihnen das Basiswissen und ggf. auch der Biss für das Thema fehlt. Spezialisierung ist hier Trumpf, je besser ein Thema beherrscht wird umso besser die Ergebnisse. Dies bedeutet auch, dass ein Security-Spezialist heutzutage einen klassischen T-Skill haben sollte.

Die Querlinie des Ts (aka T-Fähigkeit) bedient dabei all die diversen Security-Themen die in der heutigen IT-Landschaft anfallen. Es solle als ein Grundverständnis vorhanden sein, wenn von CVEs, Proxy, Application-Firewall, Ransomware, RSA, Steganographie, Zertifikaten, Ports und DLL Hijacking die Rede ist.
Die senkrechte T-Linie bedient hingegen ein Thema, für das Security-Spezialist DER Spezialist ist, der im Unternehmen dieses Fachthema bedient.

Der Generalist (Querlinie) kann dabei aus den vorhandenen Informationen Rückschlüsse und Entscheidungen ableiten, die dann der Spezialist (Senkrechte Linie) mit seinem Fachwissen umsetzt, miteinander in Beziehung bringt und sein Thema bestmöglich implementiert.

Doch dieses Zusammenspiel von Generalist und Spezialist in einer Person ist in der Praxis nicht flächendeckend vorhanden. Denn es erfordert a) mehr qualifiziertes Fachpersonal und b) auch eine abweichende Aus- und Weiterbildung, die dem heute gelebten IT-Mix widerspricht. Heutzutage trifft man bei den meisten Firmen auf eine gewachsene IT-Abteilung, in der Neueinsteiger noch in der Minderzahl sind. Doch im Laufe der Zeit, einhergehend mit einer natürlichen Fluktuation sollte sich jedes Unternehmen, zur IT Sicherheit zukunftsorientiert auszurichten. Basis dafür ist der Ansatz des Security-Spezialisten der einem T-Skill folgt!

Empfehlenswert ist dieser Schritt allemal, denn die Hacker und Cyberkriminellen machen es ebenso. Wer Ransomware für ein Betriebssystem programmiert macht dies exklusiv, während die Überwindung der diversen maschinellen und personellen Hindernisse (Firewall, Malwarescanner, geschulte Mitarbeiter etc.) dem Spam-Spezialisten überlassen bleibt. Denn dieses Konzept verspricht die besten Erfolge beim Diebstahl von Informationen und Vermögenswerten.
Ist es da nicht naheliegend, Feuer mit Feuer zu bekämpfen und den spezialisierten Cyberkriminellen, die ein Unternehmen angreifen, ebensolche spezialisierten Verteidiger (Firewall-, Datenbank- SAP-, Antimalware- oder Netzwerk-Security-Experten) entgegen zu stellen?