Norbert Pohlmann (Institut für Internet-Sicherheit):
„Ex schola pro vita – Studien- und Fortbildungsangebote zur Cybersicherheit“,
KES – Die Zeitschrift für Informations-Sicherheit,
DATAKONTEXT-Fachverlag,
3/2021
Studien- und Fortbildungsangebote zur Cybersicherheit
Aus- und Weiterbildung im Bereich Cyber-Sicherheit –
Cyber-Sicherheit spielt für unsere digitale Zukunft, sowohl im Alltag, als auch im Berufsleben, eine zentrale Rolle. Aus diesem Grund wird es immer wichtiger, dass wir ausreichend Cyber-Sicherheitsexperten haben, um die Zukunft für unsere Gesellschaft sicher und vertrauenswürdig zu gestalten. Vor diesem Hintergrund wird im folgenden Beitrag die Wichtigkeit der Cyber-Sicherheit aus verschiedenen Blickwinkeln diskutiert und die Möglichkeit der Aus- und Weiterbildung dargestellt.
Die Bedeutung von Cyber-Sicherheit
Die Digitalisierung (Informationstechnik (IT), Internet …) ist Motor und Basis für das Wohlergehen unserer modernen und globalen Informations- und Wissensgesellschaft. Dabei eröffnet die Digitalisierung über alle Branchen und Unternehmensgrößen hinweg enorme Wachstumschancen und führt zu immer besseren Prozessen, die die Effizienz steigern und die Kosten reduzieren. Der Digitalisierungsprozess beschleunigt auf allen Ebenen und der Wertschöpfungsanteil der IT in allen Produkten und Lösungen wird immer größer. Somit werden Wirtschaftskraft und Wohlstand sowie die Leistungsfähigkeit unserer modernen Gesellschaft insbesondere durch einen gelungenen digitalen Wandel bestimmt.
Wir müssen aber auch realisieren, dass seit Beginn der IT die Cyber-Sicherheitsprobleme jedes Jahr größer und nicht kleiner werden. Eine wichtige Erkenntnis ist, dass die heutigen IT-Architekturen unserer Endgeräte, Server, Netzkomponenten und zentralen IT-Dienstleistungen nicht sicher genug konzipiert und aufgebaut sind, um den Angriffen intelligenter Hacker erfolgreich entgegenzuwirken. Die Vielzahl der lokalen und zentralen Anwendungen, die unterschiedlichen Zugänge zum Internet, die Masse der IT-Systeme, die vielfältigen Zusammenhänge usw. machen die Komplexität der IT immer größer und damit auch die Anfälligkeit für bösartige Angriffe. Täglich können wir den Medien entnehmen, wie sich kriminelle Hacker die unzureichende Qualität der Software für erfolgreiche Angriffe zunutze machen, indem sie Malware installieren, Passwörter sowie Identitäten stehlen, mit Fake News Wahlen beeinflussen, unsere Endgeräte ausspionieren und die IT-Systeme verschlüsseln und Lösegeld für die notwendigen Schlüssel zur Entsperrungsschlüsselung erpressen (Ransomware). Die Robustheit und Resilienz unserer IT-Systeme ist ungenügend und der Level an Cyber-Sicherheit entspricht nicht dem „Stand der Technik“. Deutlich wird dabei, dass das Fortschreiten der Digitalisierung auch das Risiko eines Schadens immens steigert. Wenn wir diese Cyber-Sicherheitsprobleme in der Zukunft nicht mit wirkungsvolleren Cyber-Sicherheitslösungen in den Griff bekommen und damit auch Vertrauen aufbauen, wird eine nachhaltige Digitalisierung nicht gelingen.
Heutige und zukünftige Schäden im Bereich Cyber-Sicherheit
Laut einer aktuellen Studie wird durch Wirtschaftsspionage jährlich ein Schaden von über 100 Milliarden Euro verursacht. Diesen hohen Betrag an Schäden können sich ein Staat wie Deutschland nicht leisten, insbesondere, weil die Summe kontinuierlich anwächst. Die Angreifbarkeit der IT und des Internets wird immer größer und Werte, die als Bits und Bytes auf unseren IT-Systemen zur Verfügung stehen, werden immer risikobehafteter für die einzelnen Unternehmen, die Bürger:innen und den Staat.
Eine zusätzliche und immer bedrohlichere Herausforderung ist Cyberwar: Angriffe auf Kritische Infrastrukturen wie Energie-, Wasser-, Lebensmittel-, Gesundheitsversorgung stellen eine höhere Angreifbarkeit unserer Gesellschaft dar und bilden eine neue Ebene der existenziellen Bedrohung. Die ökonomische Relevanz der Cyber-Sicherheitsindustrie, eine angemesse Cyber-Sicherheit der Unternehmen und Behörden sowie die Notwendigkeit von innovativen Lösungen im Bereich der Cyber-Sicherheit zu etablieren, wird immer größer.
Mit Stuxnet haben wir lernen müssen, dass mit einem Kostenaufwand von rund 9 Mio. US Dollar für eine intelligente Malware politische Ziele einfach und sehr erfolgreich erzwungen werden können. Mit der intelligenten Malware Stuxnet haben die Amerikaner und Israelis zusammen die Uran-Aufbereitung im Iran um zwei Jahre verzögern können.
Die schreckliche Alternative dieses politischen Zieles wäre gewesen, dass mehrere hunderttausend Soldaten in den Iran einmarschiert wären, was nicht nur Kosten von mehreren Milliarden US Dollar verursacht, sondern auch Menschenleben aufs Spiel gesetzt hätte. Wir müssen uns auf diese neue Wirklichkeit von Cyberwar professionell einstellen und deutlich mehr und wirkungsvollere Cyber-Sicherheitslösungen einsetzen, um uns als Gesellschaft schützen.
Cyber-Sicherheit als Wirtschaftsfaktor
Die Cyber-Sicherheitsbranche ist ein sehr wichtiger Markt. Wir haben uns im Rahmen mehrerer Befragungen über Schäden und Cyber-Sicherheitstechnologien bei Unternehmen auch mit der Frage auseinandergesetzt, wie hoch die Ausgaben für Cyber-Sicherheit in Unternehmen sind. Die Ergebnisse der Befragungen zeigen auf, dass die Unternehmen im Schnitt 0,1% ihres Gesamtumsatzes in Cyber-Sicherheitslösungen ohne Dienstleistungen investieren. Bei einem Bruttoinlandsprodukt von 3,44 Billionen Euro wären das 3,4 Milliarden für 2019 allein in Deutschland. Das weltweite Bruttoinlandsprodukt lag 2019 bei 86,6 Billionen Dollar. Danach wären dies 86,6 Milliarden Dollar Ausgaben für Cyber-Sicherheitsprodukte ohne Dienstleistungen für 2019. Aber auch die Anzahl der Mitarbeiter:innen im eigenen Unternehmen, die sich mit Cyber-Sicherheit beschäftigen, ist nicht zu unterschätzen. Bei den DAX-Unternehmen sind das im Schnitt 131 Mitarbeiter:innen, auch hier ca. 0,1 % der Mitarbeiter:innen insgesamt.
Das prognostizierte Wachstum im Bereich Cyber-Sicherheit ist in der Studie: „Die Internetwirtschaft 2020–2025“ von eco Verband und Arthur D. Little mit durchschnittlich 10% im Jahr prognostiziert worden. Der Wachstumswert im Bereich Cyber-Sicherheit ist höher als der prognostizierte für IT-Ausgaben als Ganzes.
Damit werden die Ausgaben für Cyber-Sicherheitslösungen schneller wachsen als IT-Gesamtausgaben, was die Bedeutung der Cyber-Sicherheit noch mal deutlich macht. Damit ist die Cyber-Sicherheitsindustrie / IT-Sicherheitsindustrie eine ideale Branche, sich erfolgreich zu etablieren und zu wachsen. Doch da zurzeit nicht genügend Cyber-Sicherheitsexperten zur Verfügung stehen, kann das vorhandene Potenzial nicht voll ausgeschöpft werden. Hier muss dringend kurz-, mittel- und langfristig nachjustiert werden.
Europa als Motor für Cyber-Sicherheit – der europäische Binnenmarkt
Europa hat in den letzten Jahren sehr viel Energie in die Gesetzgebungen im Bereich der IT-Sicherheit und des Datenschutzes investiert, dazu zählen die Datenschutz-Grundverordnung (DSGVO), die Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS), der Cybersecurity Act und die Richtlinie für Bezahldienste – Payment Services Directive (PSD2). Weitere Verordnungen und Richtlinien sind in Planung. Auch wenn die Cyber-Sicherheitsindustrie Regulierungen nicht gut findet, werden dadurch Standards in Europa etabliert, die den Cyber-Sicherheitsmarkt in Europa deutlich stärken und Chancen für die weltweite Cyber-Sicherheitsindustrie eröffnen.
Ökonomische Relevanz der Cyber-Sicherheit
IT und das Internet gehören zu den Schlüsselkomponenten unserer modernen Gesellschaft und Daten stellen zunehmend das Kapital von Unternehmen dar. Mit modernen, sicheren und vertrauenswürdigen Cyber-Sicherheitslösungen muss für eine verlässliche und nachhaltige Nutzung gesorgt werden. Aus diesem Grund bekommt die Cyber-Sicherheit eine immer größer werdende ökonomische Relevanz unserer Gesellschaft.
Da aber weniger Cyber-Sicherheitsexperten zur Verfügung stehen als der reelle Bedarf, ist das Wohlergehen der Gesellschaft gefährdet.
Bedarf an Cyber-Sicherheitsexperten
Um dieser immer größer werdenden Cyber-Sicherheitsherausforderung und dem damit verbundenen Risiko entgegenzuwirken, brauchen wir deutlich mehr Cyber-Sicherheitsexperten – Cyber-Sicherheitsexperten von morgen, die Sicherheitslücken finden, bevor kriminelle Hacker sie für ihre Zwecke ausnutzen können. Cyber-Sicherheitsinnovatoren, die Cyber-Sicherheitslösungen entwickeln, die gegen zunehmend intelligente Angriffsvektoren wirken und damit das Risiko von Schäden minimieren. Wir brauchen aber auch Cyber-Sicherheitsexperten allen weiteren Disziplinen, um die fortschreitende Digitalisierung sicher und vertrauenswürdig zu gestalten.
Dabei haben Cyber-Sicherheitsexperten eine sehr gute Chance in einer stark wachsenden Zukunftsbranche auf eine berufliche Top-Karriere. Laut der Studie „(ISC)2 Security Workforce Study“ waren in 2020 in Deutschland über 60.000 Stellen im Bereich Cyber-Sicherheit nicht besetzt, weil keine passenden Cyber-Sicherheitsexperten zur Verfügung standen.
In welchen Bereichen brauchen wir Cyber-Sicherheitsexperten?
Im Folgenden werden ein paar Beispiele aufgezählt: Wir brauchen Cyber-Sicherheitsexperten, die moderne Cyber-Sicherheitslösungen entwickeln, die gegen zunehmend intelligente Angriffsvektoren wirken, aber auch Angriffe erkennen können, damit wir durch geeignete, möglichst automatisierte Reaktionen Schäden reduzieren und vermeiden können. Wir brauchen Softwareentwickler, die IT-Systeme und IT-Dienste sicher entwickeln können, damit diese weniger Schwachstellen und Angriffsflächen haben, die von Angreifern erfolgreich genutzt werden können. Wir brauchen Cyber-Sicherheitsadministratoren, die Firewall– und VPN-Systeme, Anti-Spam– und Anti-Malwaresystem, Verschlüsselungs- und Backup-System … sicher konfigurieren und verwalten können. Wir brauchen Wirtschaftler, die Cyber-Sicherheit im Sinne von Return on Security Investment (RoSI) rechnen können, damit wir Cyber-Sicherheitsinvestment für einen angemessenen Schutz unserer Unternehmen tätigen können. Wir brauchen Journalisten und PRler, Sozialwirtschaftler und Psychologen, die helfen unsere Mitarbeiter:innen und Bürger:innen gegen Social Engineering Angriffe aufzuklären, damit die Betroffenen erste Anzeichen erkennen können, ihr Verhalten anpassen und diese Angriffe an Wirkung verlieren. Wir brauchen Juristen, die Gesetze wie das IT-Sicherheitsgesetz, die Datenschutz-Grundverordnung (DSGVO) usw. einschätzen und umsetzen können, um die notwendige Compliance-Anforderungen zu erfüllen, um Bußgelder und Schadensansprüche zu vermeiden. Wir brauchen Cyber-Sicherheitsexperten bei der Polizei und in Unternehmen, die helfen, Cyberkriminalität entgegenzuwirken und mithilfe der Digitalen Forensik Angriffe zu analysieren, um daraus Anforderungen für den Schutz zu formulieren. Wir brauchen Cyber-Sicherheitsexperten bei der Bundeswehr, die helfen, uns vor Cyber-War-Angriffen wirkungsvoll zu schützen. Wir brauchen Cyber-Sicherheitsmanager wie Chief Information Security Officer (CISOs), die im Rahmen der Gesamtverantwortung in der Lage sind, die Cyber-Sicherheit zu managen und damit das Unternehmen risikoarm gegen die Gefahren der IT / Digitalisierungen zu steuern. Um all das zu erreichen, brauchen wir deutlich mehr Cyber-Sicherheitsexperten in zahlreichen Branchen, die uns auf den verschiedenen Ebenen helfen, eine sichere und vertrauenswürdige digitale Zukunft zu gestalten. Der Stand der Aus- und Weiterbildungsmöglichkeit im Bereich Cyber-Sicherheit
Im Bereich der akademischen Ausbildung und Weiterbildung im Bereich Cyber-Sicherheit hat sich in den letzten Jahren sehr viel getan. In diesem Abschnitt werden die aktuellen prinzipiellen Möglichkeiten aufgezeigt und diskutiert. 1. Eigenständige Cyber-Sicherheitsstudiengänge
Es gibt zunehmend Bachelor- und Master-Studiengänge im Bereich von Cyber-Sicherheit (IT-Sicherheit, Internet-Sicherheit, Informationssicherheit …), die junge und motivierte Leute ausbilden, damit sie helfen können, die digitale Zukunft sicherer und vertrauenswürdiger zu gestalten. Häufig sind diese Cyber-Sicherheitsstudiengänge in den Fachbereichen Informatik, Elektrotechnik / Informationsverarbeitung … angesiedelt. Die Cyber-Sicherheitsstudiengänge haben entsprechend der Fachbereiche und der vorhandenen Professoren verschiedene Fokusthemen und Schwerpunkte. Typischerweise ist an den Universitäten die Lehre und Forschung eher theoretischer ausgeprägt, weil die Professoren in der Regel eine reine akademische Ausbildung und keine praktische Erfahrung haben. An den Fachhochschulen ist die Lehre und Forschung anwendungsorientierter, auch weil die Professoren praktischer Erfahrungen in ihrem Spezialgebiet haben müssen. Besondere Orte, an denen sehr viele Cyber-Sicherheitsexperten ausgebildet werden und viel Cyber-Sicherheitsforschung stattfindet sind: Das Ruhrgebiet mit dem Horst-Görtz-Institut, der Ruhr-Universität, dem Max-Plank-Institut für Cybersicherheit und Schutz der Privatsphäre sowie dem Institut für Internet-Sicherheit – if(is) der Westfälischen Hochschule. In Darmstadt mit der Technische Universität Darmstadt, der Hochschule Darmstadt und den entsprechenden Fraunhofer-Instituten. In Saarbrücken mit der Universität des Saarlandes und dem CISPA Helmholtz-Zentrum für Informationssicherheit. In München mit der Universität der Bundeswehr München, der TU-München und den entsprechenden Forschungsinstituten. In Karlsruhe mit dem Karlsruher Institut für Technologie (KIT) Aber auch viele weitere Hochschulen haben in den vergangenen Jahren Studiengänge aufgebaut, in dem Cyber-Sicherheitsexperten ausgebildet werden. Der Bundesverband für IT-Sicherheit – TeleTrusT hat entsprechende Studiengänge zur Orientierung in einer Liste zusammen gestellt und auf der Internetseite dargestellt. https://www.teletrust.de/it-sicherheitslehre/ Die Liste ist noch nicht zu 100 % vollständig, aus diesem Grund ist jetzt jeder Hinweis wichtig, damit die Liste möglichst vollständig wird. Cyber-Sicherheitsunternehmen, die bestimmte Cyber-Sicherheitsexperten suchen, sollten dazu sich die Studieninhalte der Hochschulen genauer ansehen, um dort dann die passenden Absolventen rekrutieren. 2. Integrativer Teil von weiteren Studiengängen
Aber auch Studienrichtungen, die nicht den Schwerpunkt Cyber-Sicherheit haben, integrieren das Thema durch Cyber-Sicherheitsprofessoren, die das Thema Cyber-Sicherheit aufgreifen, oder Professoren integrieren das Thema Cyber-Sicherheit in den eigenen Schwerpunkten wie Netzwerke, Internet-Protokolle, Verteilte Systeme, Betriebssysteme, Datenbanken, … aber auch in Fächer, die einen Bezug zur Digitalisierung haben. 3. Berufsbegleitende Cyber-Sicherheitsstudiengänge
Neben Vollzeitstudiengängen haben sich auch berufsbegleitende Cyber-Sicherheitsstudiengänge etabliert, bei denen Mitarbeiter:innen in Unternehmen, neben ihrer eigentlichen Berufstätigkeit Cyber-Sicherheit studieren können, wie zum Beispiel der Master IT-Sicherheit an der Ruhr-Universität Bochum oder Bachelor IT-Sicherheit an der Technische Hochschule Brandenburg. An der Westfälischen Hochschule studieren zum Beispiel einige Studierende den Master Internet-Sicherheit nur zu 2/5. Das heißt, diese Studierenden haben eine 3/5-Stelle in einem Unternehmen und können den Rest der Zeit den Master Internet-Sicherheit studieren. Dies ist möglich, weil der Master flexibel aufgebaut ist und so genug Spielraum bietet. Natürlich treten immer wieder Situationen auf, bei denen die Unternehmen auch flexibel sein müssen, zum Beispiel in den Klausurphasen. Aber rechtzeitige und verlässliche Absprachen sorgen für einen reibungslosen Ablauf. 4. Weitere Möglichkeiten der Aus- und Weiterbildung Selbststudium – Cyber-Sicherheit
Eine weitere Möglichkeit sich im Bereich Cyber-Sicherheit weiterzubilden, ist das Selbststudium. Mithilfe von Büchern und verfügbaren Videos kann sich jeder Interessierte in den gewünschten Bereichen weiterbilden. Dazu gehört viel Selbstdisziplin, aber es ist ausreichend kostenloses Material verfügbar. Für die mehr praktisch veranlagten Interessierten gibt es im Internet Software, Vorgehensweisen und Plattformen, bei denen die Fähigkeiten, Sicherheitslücken zu finden, erworben und aufgebaut werden kann. Ein Beispiel im Bereich Kryptografie ist das CrypTool-Portal: https://www.cryptool.org/de/ Fundierte Lehrbücher im Bereich Cyber-Sicherheit sind zum Beispiel: Cyber-Sicherheit – Das Lehrbuch für Architekturen, Konzepte, Prinzipien, Mechanismen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung im Springer-Verlag erschienen. Zu diesem Buch gibt es auf der Webseite des Autors auch noch 17 Vorlesungen und entsprechende Übungsaufgaben mit Ergebnissen, damit kann das erworbene Verständnis überprüft werden kann. Außerdem sind aktuelle Artikel, Vorträge und ein Glossar Cyber-Sicherheit verfügbar.
Ein weiteres Standard-Lehrbuch ist IT-Sicherheit: Konzepte – Verfahren – Protokolle im De Gruyter Studium Verlag erschienen.
Videos über Cyber-Sicherheitsvorlesungen gibt es zum Beispiel an einigen Hochschulen, insbesondere weil in der Corona-Kriese die Vorlesungen alle Online stattgefunden haben. Personenzertifikate
Eine andere Möglichkeit, sind die Personenzertifikate, die in der Regel von den Unternehmen voll- oder teilfinanziert werden. Beispiele von Personenzertifikaten im Bereich Cyber-Sicherheit sind: TeleTrusT Information Security Professional vom Bundesverband IT-Sicherheit – TeleTrusT und CISSP – Certified Information Systems Security Professional von (ISC)² . T.I.S.P. berücksichtigt besonderes die Prinzipien des IT-Grundschutzes sowie die deutsche und europäische Gesetzgebung. …
kostenlos downloaden
Informationen über das Lehrbuch: „Cyber-Sicherheit“
Studien- und Fortbildungsangebote zur Cybersicherheit
| 
