Was macht ein Experte für Systemhärtung? Welche Skills muss er beherrschen?
2022-11-10T11:31:00+01:00Wenn Sie sich als IT Security Spezialist auf die Härtung von Systemen fokussieren, haben Sie gute Jobaussichten. Das sind die Gründe dafür.
Darum wird Systemhärtung immer wichtiger
Die Lage ist ernst. Sehr ernst. Täglich müssen zahlreiche Unternehmen und Organisationen eingestehen, dass sie Opfer einer Cyberattacke wurden. Die Hacker erbeuten brisante Geschäftsgeheimnisse und wichtige Kundendaten, schalten Maschinen ab oder verschlüsseln die IT-Systeme, um “Lösegeld” zu erpressen. Alleine der deutschen Wirtschaft entsteht so pro Jahr ein dreistelliger Milliarden-Schaden.
Verständlich, dass Experten für Informationssicherheit und Datenschutz gerade extrem gefragt sind. Sie müssen unter anderem die Angriffe abwehren und die entstandenen Schäden minimieren. Dafür sind zahlreiche Skills gefragt, dementsprechend gibt es eine breite Auswahl an IT Security Jobs und Spezialgebiete.
Ein Tätigkeitsfeld, das bislang ein Schattendasein fristete: die Systemhärtung. Was es damit auf sich hat und welche Kompetenzen Sie dafür benötigen, erklärt Florian Bröder in unserem Interview.
Florian Bröder ist Gründer und Geschäftsführer der FB Pro GmbH. Er und sein Team sind unter anderem als Berater für IT Sicherheit und Datenschutz tätig, zudem entwickeln sie eigene Software-Lösungen für automatisierte Systemhärtung.
Ratbacher: Was versteht man unter Systemhärtung? Warum gilt sie als wichtig?
Florian Bröder: Betriebssysteme sind “ab Werk” auf maximale Nutzbarkeit optimiert. Damit diese zustande kommt, haben die Hersteller viele Dienste und Features aktiviert, zum Beispiel Autofill-Einstellungen in Browsern oder der Xbox-Dienst unter Windows. Doch die Komfort-Funktionen wie auch Dienste, welche die meisten User gar nicht nutzen, sind beliebte Einfallstore von sogenannten Cybergangstern.
Bei der Systemhärtung, im Englischen “System Hardening” genannt, schaltet man alle unnötigen und nicht dringend benötigten Elemente eines Betriebssystems und einzelner Anwendungen ab. Zudem wird alles so sicher konfiguriert, dass es Angreifer schwer haben, in ein IT System einzudringen.
Wird ein System dadurch absolut sicher?
Nein, aber die Angriffsfläche verkleinert sich deutlich. Trotzdem bleibt immer ein Restrisiko. Besonders, da man es bei der Härtung nicht übertreiben sollte! Ansonsten ergibt sich eine sehr gut “abgeriegelte”, aber unbenutzbare Software. Jede Schutzmaßnahme muss also genau abgewägt werden. Deshalb sollten Profis die Systemhärtung übernehmen und individuelle Konfigurationen erarbeiten.
Es werden immer mehr Gesetze erlassen, die Unternehmen dazu verpflichten, ihre IT Security zu verbessern. Wird in diesem Zug auch eine Systemhärtung vorgeschrieben?
Bislang wurde das wichtige Thema “Systemhärtung” recht stiefmütterlich behandelt. Aber das ändert sich gerade. Gesetzgebungen und rechtliche Anforderungen, beispielsweise durch die BAFIN oder das BSI, sorgen dafür, dass System Hardening zunehmend auf den Schirm der Entscheider kommt.
Auch die aktualisierte Norm ISO 27001, ein international anerkannter Standard für Informationssicherheit, nimmt die Systemhärtung als Maßnahme auf. Zudem werden weltweit neue regulatorische Vorgaben wie NIS und SOC2 vorangetrieben, bei denen die sichere Konfiguration von Systemen ein wichtiger Bestandteil darstellt.
Welche Art von Unternehmen engagieren die Profis für Systemhärtung?
Aktuell findet man sie häufig im Großkonzern. Dort ist die Härtung der Systeme aufgrund der teilweise guten, personellen Besetzung und der Vielzahl an unterschiedlichen Rollen einfacher als im Mittelstand zu implementieren. Insgesamt gibt es aber bei Unternehmen jeder Größe viel Nachholbedarf.
Was nie vergessen werden darf: Die Absicherung von IT Systemen, zum Beispiel durch eine spezielle Konfiguration, ist in jeder Firma - egal, ob klein oder groß - eminent wichtig. Denn Hacker und andere Angreifer suchen sich gerne die leichtesten “Opfer” aus. Und sie richten Schaden an, wo es geht.
“Experte für Systemhärtung” stellt kein eigenes Job-Profil dar. Stattdessen werden die Aufgaben von Security Administratoren oder Security Consultants nebenbei durchgeführt. Warum?
Die Annahme, dass es in allen Unternehmen sogenannte Security Admins gibt, gehört in den Bereich des Wunschdenkens. Stattdessen übernehmen meist die “klassischen” Systemadministratoren die IT Sicherheit. Doch die haben allerhand zu tun. Sie müssen unter anderem Druckertoner austauschen, Computer und Server einrichten, die Peripherie reparieren und Software-Probleme lösen.
Das bedeutet, die strukturierte Bearbeitung von Sicherheitsthemen bleibt aufgrund von Personal- und Zeitmangel oft liegen. IT Security wird dann als reaktive Maßnahme verstanden. Da spielt Systemhärtung oft gar keine Rolle - obwohl der Sicherheitsgewinn als präventive Maßnahme extrem hoch sein kann.
Welche Ausbildung oder welches Studium benötigt man, um ein Profi für Systemhärtung zu werden?
Es reicht eine fundierte Ausbildung zum Fachinformatiker Systemintegration mit entsprechender Weiterbildung. Auch motivierte IT Quereinsteiger können im Feld der Systemhärtung Fuß fassen. In jedem Fall sollten Interessenten einige Jahre IT Berufserfahrung mit sich bringen.
Warum?
Jedes aktuelle Betriebssystem hat Tausende von Einstellmöglichkeiten. Hier die richtigen Abschätzungen zu treffen, was man wie konfigurieren kann, ohne wichtige Business-Software negativ zu beeinflussen, ist äußerst kompliziert und komplex. So etwas lernt man nicht in wenigen Wochen oder in ein paar Online-Kursen, sondern in der Praxis.
Welche Fortbildungen sind empfehlenswert?
IT Sicherheit besteht aus mehr als “nur” Technik. Hilfreich ist eine Erweiterung des Blicks auf vorhandene und kommende rechtliche Anforderungen. Auch Kenntnisse über Projektmanagement und prozessuale Themen sollte jeder besitzen, um strukturierter arbeiten zu können.
Attraktive Jobs im Bereich IT Security
Welche Soft Skills sollten System Hardening Experten unbedingt besitzen?
Teamfähigkeit und der Drang, Dinge auf eine gesunde Art zu hinterfragen und besser machen zu wollen, zählen zu den wichtigsten Eigenschaften. Auch die Kommunikationsfähigkeit gehört zu den wichtigsten Kompetenzen. Meine langjährige Erfahrung zeigt mir, dass IT Projekte oft an unverständlich formulierten Aufgaben und mangelhaftem Austausch scheitern.
Wie gelingt einem der Einstieg?
Jeder, der sich für das Thema interessiert, sollte einfach mal im eigenen Web-Browser in die Einstellungen gehen. Dann gilt es, kritisch zu hinterfragen, ob es wirklich gut ist, dass alle Eingaben in der Adresszeile direkt an Google übertragen oder die Geo-IP-Information einfach so an alle Websites gesendet werden.
Beschäftigt man sich mit diesen Basics, lernt man schnell die wichtigsten Grundlagen. Um besser zu werden, sind lange Ratgeber und Anleitungen - meist in Englisch - zu lesen. Wer sich hier durchbeißt und experimentiert, hat den ersten Schritt getan.
Wie ist gerade die Nachfrage nach Experten für Systemhärtung?
Ich sehe eine steigende Nachfrage. Zum einen nehmen die Bedrohungen durch Cyberattacken massiv zu, deshalb müssen Unternehmen handeln - oder sie gefährden unter Umständen ihre Existenz. Zum anderen ändern sich gerade die rechtlichen Randbedingungen, sodass in den kommenden Jahren die Nachfrage nach Systemhärtung ansteigen wird.
Vielen Dank für das Interview.
Bild: Adobe Stock