Mit steigender Anzahl an Cyberbedrohungen nimmt auch die Zahl der Cybersicherheits-Experten zu. Eine neue Studie verrät, dass es ein 350%iges Wachstum von nicht besetzten Stellen in der Cybersicherheit bis zum Jahr 2021 geben wird (Beginn 2013). Man nimmt an, dass dadurch bis zu 3,5 Millionen offene Jobs in der Branche entstehen.
Rückblickend auf den diesjährigen ESET Antimalware Day befragten wir für unsere kleine Artikelserie verschiedene ESET-Sicherheitsforschende. Wir wollten herausfinden, wie sie zu ihrer Expertise gekommen sind und was sie von universitärer vs. autodidaktischer Bildung in Bezug auf die Cybersicherheit halten.
Kann man sich Cybersicherheit selbst beibringen?
Weltweit bieten immer mehr Hochschulen und Universitäten Studiengänge im Bereich der Computer- und Cybersicherheit an. Allerdings gibt es mittlerweile auch viele nicht-akademische Programme. Viele Sicherheitsexperten bildeten sich autodidaktisch auf dem Gebiet weiter oder erlernten ihre Fähigkeiten durch verschiedene nicht-akademische Kurse und Zertifizierungen.
Der ESET-Sicherheitsforscher Aryeh Goretsky begann Ende der 1980er Jahre seine Karriere in der IT-Sicherheit. Er merkt an, dass es damals keine speziellen Cybersicherheits-Kurse oder Zertifizierungen gab und erklärt weiter: “Eine Form der Computersicherheit wurde damals bereits gelehrt. Dabei ging es aber hauptsächlich um Modelle der Zugriffskontrolle. Der Schwerpunkt lag bei der Sicherung von Computersystemen, auf die mehrere Benutzer zugriffen. Hierbei handelte es sich aber vielmehr um eine atomistische Betrachtungsweise. Den Blick für das große Ganze, also wie sich Computer untereinander in einem Netzwerk verhalten, musste man sich sozusagen selbst beibringen. Ein Teil meines Wissens eignete ich mir zwar durch das Lesen von Primärliteratur zu den Themen Informatik und Technik an sowie durch das Erlernen des Computer- und Netzwerkbetriebs. Aber einiges Know-how sammelte ich auch durch … sagen wir inoffizielle und sehr praxisorientierte Experimente.“
Gleiches hörten wir auch von Marc-Etienne M.Léveillé, Malware-Forscher bei ESET in Kanada, der Softwareentwicklung und Technische Informatik studierte. Er sagte: „Die Dinge, die ich im College oder der Universität lernte, hatten keine direkte Relevanz für meine Position als Security Researcher. Viele Sicherheits-Aspekte musste ich mir schlichtweg selbst beibringen.“
Zweifellos ist das auch bei vielen anderen Experten der Fall. Heutzutage existiert eine Vielzahl von Online-Lernressourcen, darunter zahlreiche MOOCs (Massive Open Online Courses) für Menschen mit unterschiedlichen Fähigkeiten und Erfahrungen. Darüber hinaus bieten die sozialen Netzwerke, wie Twitter, YouTube und andere großartige Möglichkeiten, Wissen und Erfahrungen untereinander auszutauschen.
ESET Brazil Sicherheitsforscher Daniel Cunha Barbosa sagt: „Tatsächlich wächst die Tech und Security Community und viele Menschen möchten ihr Wissen teilen. Neulinge können auf diese Weise schnell von etablierten Fachleuten lernen.“ Er fügt an: „Zwar kann man sich vieles autodidaktisch beibringen, wie viele Experten der Cybersicherheitsbranche beweisen. Das ist aber nicht die einzige Option.“
Unter den Security-Spezialisten herrscht Einigkeit darüber, dass sie sich selbst fast täglich autodidaktisch weiterbilden müssen, viele bestreiten aber nicht den Wert der akademischen Ausbildung.
„Wenn ich mich noch mal entscheiden müsste, würde ich wieder den Weg über das College und die Universität wählen. Beides bot mir die Möglichkeit, neue Menschen zu treffen und Aktivitäten nachzugehen, die wie Wettbewerbe oder Sicherheitskonferenzen außerhalb der Institutionen stattfanden. Einige Einrichtungen vermittelten auch Praktika, was den späteren Berufseinstieg nochmals erleichterte.“, sagt Léveillé.
Offizielle Cybersicherheitsprogramme
Mit der dramatischen Zunahme der Cyber-Bedrohungen, so Goretsky, steige auch der Wunsch derjenigen, die gerne Cybersicherheit praktizieren wollen, pädagogische Aspekte zu standardisieren.
„Insgesamt nehme ich das breite Spektrum der Cybersicherheits-Bildung auf allen Ebenen – nicht nur auf universitärer – als sehr positiv war. Allerdings bin ich etwas besorgt, um deren Qualität. Es braucht Theoretiker genauso wie Praktiker, die sich mit den Bausteinen des komplexen Systems auskennen. Wirklich vieles kann gelehrt werden. Man benötigt aber immer ein gewisses Maß des Selbstunterrichts, damit das Gelernte in komplexe Strukturen und Ideen eingebettet werden kann. Helfen Aufbaustudiengänge und Zertifizierungen, das durch die Universität erworbene Wissen weiter zu vertiefen oder ist das alles viel zu oberflächlich, um wirklich solide Cybersicherheitskonzepte entwickeln zu können? – Ich weiß es nicht.“, sagt Goretsky.
Cunha Barbosa fügt hinzu: „Ich empfinde es als positiv, dass neben Abschlüssen auch Spezialisierungs- und Aufbaustudiengänge existieren. Gemeinsam mit den Informationen, die über technologische Aspekte hinausgehen, bietet das künftigen Experten eine breite Bildungsgrundlage, um später auf Herausforderungen besser vorbereitet zu sein.“
Mangelndes Bewusstsein in Sachen Cybersicherheit
Jungen Menschen fällt die Entscheidung für einen Karriereweg oft schwer. Viele beenden die High School ohne eine klare Vorstellung an die Zukunft. Cybersicherheit ist dabei keines der ersten Dinge, die ihnen da in den Sinn kommt. Viele wissen einfach zu wenig über diesen weniger traditionellen Karriereweg. Oft existieren gar falsche Annahmen.
„Die Jugendlichen beeindruckt das Bild vom jungen Hacker, der offensive Computerattacken durchführt und Ruhm und Reichtum erlangt. Allerdings fehlt hier die Erkenntnis, dass Cybersicherheit weitaus mehr als das ist.“, bekräftigt Goretsky.
Über die vergangenen Jahre stieg das allgemeine Interesse an einer Karriere in der Cybersicherheit jedoch. Man kann also davon ausgehen, dass das ein oder andere Missverständnis langsam beseitigt worden zu sein.
„Ich sehe heute viel mehr Studenten, die sich für Computersicherheit interessieren. Früher musste man sich selbst dafür interessieren. Nun gibt es Unternehmen und Schulen, die immer mehr junge Menschen dazu ermutigen, das Feld der Cybersicherheit zu betreten. Ich denke, dass die Nachfrage in der Branche wächst, möglicherweise aufgrund der Zunahme von Cyberattacken.“, sagt Léveillé.
Im Interview beschäftigten wir uns kurz mit der Bedeutung von Sicherheit in der Softwareentwicklung, und zwar auch in historischer Hinsicht. Wir fragten, ob Marc-Etienne der Meinung ist, dass die Lehrpläne von Hochschulen und Universitäten den Studenten genügend Möglichkeiten bieten, die Security-by-Design Prinzipien zu verinnerlichen.
Er antwortete: „Ich denke, dass sichere Softwareentwicklung heutzutage gut gelehrt wird. Entwickler benötigen jedoch einen Anreiz, das Gelernte anzuwenden. Unsicherer Code sollte beispielsweise während der Code-Überprüfung abgefangen und nicht in ein Projekt aufgenommen werden dürfen. Wenn die Entwickler bemerken, dass ihr Code wiederholt durch die Sicherheitsprüfung fällt, werden sie automatisch umdenken.“
Fazit
Angesichts der wachsenden Cyberbedrohungen ist es dringend erforderlich, die nächste Generation von IT-Sicherheitsexperten heranzuziehen. Das sogenannte „Talent-Gap“ muss geschlossen werden – Möglichkeiten, um gut ausgebildet zu werden, sind vorhanden. Eine Karriere in der Cybersicherheit ist auf alle Fälle vielversprechend.