Der Kampf gegen Hacker, aber ohne Soldaten: Der Mangel an Experten bedroht die Cybersicherheit

Die Kosten für Schäden, die allein in diesem Jahr durch Cyberangriffe verursacht wurden, werden 9,5 Billionen Dollar erreichen, was diesen kriminellen Bereich zur drittgrößten ‚Wirtschaft‘ der Welt nach dem BIP macht, direkt nach den USA und China. Leider steigen die Kosten für Hacking-Angriffe jedes Jahr um 15 Prozent, was den Bedarf an Schutz vor Cyberbedrohungen erhöht. Gleichzeitig gibt es einen globalen Mangel von bis zu vier Millionen Cybersicherheitsexperten, um diesen Bedrohungen entgegenzuwirken, was eine erhebliche Herausforderung darstellt, die Sicherheitsniveaus mit einem Mangel an Experten aufrechtzuerhalten. Kroatien ist in dieser Hinsicht keine Ausnahme, und der Mangel an Experten wird durch neue Studien- und Bildungsprogramme sowie durch Umschulung und lebenslanges Lernen angegangen. Allerdings ist das Feld der Cybersicherheit, um es milde auszudrücken, nicht der Traumjob für jeden IT-Professionellen.

Notwendige Ausbildung, aber auch Networking

Zum Beispiel schreiben sich jedes Jahr nur acht Studenten im Fachstudium Informationssicherheit an der Fakultät für Elektrotechnik und Informatik in Zagreb ein (zum Vergleich: FER schreibt jedes Jahr mehr als 600 Studenten ein, von denen 450 bis 500 ihren Abschluss machen). Das Studium der Informationssicherheit richtet sich an Programmierer, Netzwerk- und Systemadministratoren sowie Datenbankadministratoren, die ihre Karriere umorientieren möchten. Stjepan Groš, außerordentlicher Professor an der Fakultät für Elektrotechnik und Informatik, betont, dass sie versuchen, das Fachstudium der Informationssicherheit attraktiver zu gestalten und es im Verhältnis zu globalen Marken in diesem Bereich zu positionieren.

– Aus diesem Grund haben wir unseren Zweck definiert, Fachleuten, die nicht in der Cybersicherheit tätig sind, den Einstieg in dieses Feld zu erleichtern. Wir tun dies auf zwei Arten, durch Bildung und durch Networking von Studenten mit Fachleuten. Bildung ist der einfachere Teil, der in verschiedenen Formen überall angeboten wird, aber wir möchten auch unseren Studenten helfen, durch unsere Kontakte in die Gemeinschaft der Cybersicherheitsexperten einzutreten und sie somit in ihrer Karriere zu unterstützen – erklärt Groš.

Die größte Herausforderung, fügt er hinzu, besteht darin, das Bewusstsein für die Notwendigkeit von Investitionen in Bildung sowohl für Einzelpersonen als auch für Unternehmen und staatliche Institutionen zu schärfen.

– Zum Beispiel hatten wir Situationen, in denen eine Person studieren möchte, aber ihr Arbeitgeber nicht bereit ist, für dieses Studium zu zahlen, weil er es nur als Kosten sieht. Es gibt auch Situationen, in denen ein Mitarbeiter für eine Ausbildung bezahlt wird, aber mit dem ausschließlichen Motiv, ihn zufrieden zu stellen, ohne den Nutzen zu berücksichtigen, den der Arbeitgeber von einem Mitarbeiter hat, der neues Wissen erworben hat. Es sollte verstanden werden, dass dies eine Investition ist, genau wie jede andere Investition, die sich in Zukunft mit höheren Einnahmen auszahlt. Darüber hinaus zahlt es sich durch größere Arbeitszufriedenheit aus – betont Groš und fügt hinzu, dass FER auch verschiedene Programme für lebenslanges Lernen, Kurse für Unternehmen und Beratungsdienste anbietet.

Das Fachstudium für Sicherheitsmanagement und Audit von Informationssystemen, das von der Fakultät für Organisation und Informatik in Varaždin durchgeführt wird, erfährt ein stabiles Interesse, sagt die Studienleiterin Renata Mekovec. Da es sich um eine enge Spezialisierung handelt, wird es hauptsächlich von denen eingeschrieben, die bereits in diesem Bereich arbeiten, ihr Wissen vertiefen möchten, aber nicht viel Zeit für Bildung haben.

– Die größte Herausforderung bei der Ausbildung von Cybersicherheitsexperten liegt in der Geschwindigkeit der Veränderungen in der Technologie. Der Cyberraum verändert sich ständig, und täglich tauchen neue Bedrohungen und Technologien auf. Bildungsprogramme haben Schwierigkeiten, mit diesem Tempo Schritt zu halten, was bedeutet, dass die Studenten nach Abschluss der formalen Ausbildung kontinuierlich lernen und sich verbessern müssen. Was die Studenten heute lernen, könnte morgen bereits veraltet sein. Darüber hinaus stellen der Mangel an qualifizierten Lehrern und die Notwendigkeit praktischer Erfahrung zusätzliche Herausforderungen dar. Um auf diese Herausforderungen zu reagieren, ist es notwendig, effektive Lernprogramme zu etablieren, die Zusammenarbeit mit der Industrie zu stärken und einen interdisziplinären Ansatz in der Bildung zu fördern – glaubt Mekovec.

Bachelor- und Masterprogramme beliebter als Fachprogramme

Mit den fast täglichen Fortschritten in der Technologie und den Angriffsmethoden Schritt zu halten, ist die größte Herausforderung für die Technische Hochschule Zagreb, insbesondere in einem ‚langsamen bürokratischen Staatsystem, das die Effizienz bei der Anpassung von Studienprogrammen oder der Beschaffung von Ausrüstung einschränkt‘, betonen sie aus dem Büro des Dekans von TVZ. Allerdings hat TVZ im Gegensatz zu beispielsweise FER sein Studium der Informationssicherheit und digitalen Forensik gefüllt. Zugegeben, vielleicht weil es sich um ein Masterprogramm handelt, nicht um ein Fachprogramm.

– Das Interesse an dem Studium in Kroatisch war in diesem Jahr bisher am höchsten. Wir hatten 90 Bewerbungen für eine Quote von 60 Studenten und haben das Studium gefüllt – sagen sie von TVZ, und sie haben bereits dasselbe Studium in Englisch für ausländische Studenten vorbereitet und arbeiten mit Experten von Unternehmen zusammen, die sich mit Informationssicherheit und digitaler Forensik beschäftigen.

Es gibt auch großes Interesse an dem neu gestarteten Bachelorprogramm in Cybersicherheit an der Algebra Universität, bestätigt Zlatan Morić, der Leiter dieses Programms, und merkt an, dass sie im ersten Jahr etwas mehr als fünfzig Studenten eingeschrieben haben.

– Dieses Interesse spiegelt auch den wachsenden Bedarf an Experten in der Branche wider, um auf zunehmend komplexe Cyberbedrohungen zu reagieren – sagt Morić und fügt hinzu, dass das gesamte Programm des neuen Studiums in Zusammenarbeit mit Unternehmen aus dem privaten und öffentlichen Sektor sowie Institutionen, die sich mit Cybersicherheit beschäftigen, entwickelt wurde.

Nur 63 Gutscheine

Von den zahlreichen Programmen für lebenslanges Lernen in Kroatien kann man sich auch im Bereich Cybersicherheit über verfügbare Gutscheine für die Erwachsenenbildung umschulen. Die Kroatische Arbeitsagentur bietet seit 2022 verschiedene Arten von Schulungen und Verbesserungen über ein Gutscheinsystem an, das Programme für grüne und digitale Fähigkeiten mitfinanziert, für die es auf dem Arbeitsmarkt einen Mangel an Experten gibt. Bisher haben laut HZZ-Daten bis zu 24.995 Personen die Gelegenheit genutzt, zusätzliche Fähigkeiten zu erwerben, von denen fast 18.000 die Ausbildung abgeschlossen haben und über fünftausend derzeit an einem der ausgewählten Programme teilnehmen. Für Cybersicherheit stehen den Teilnehmern drei Programme an 16 Bildungseinrichtungen in mehreren kroatischen Städten zur Verfügung – Informationssystemsicherheit, Implementierung von Sicherheit in der Cloud und Anwendung von Techniken des ethischen Hackings. Die Programme sind auch online verfügbar; jedoch betont HZZ, dass das Interesse in diesem Bereich sehr gering ist.

– Das Programm zur Informationssystemsicherheit wurde vor zwei Jahren zur Aufnahme in die Datenbank der verfügbaren Programme genehmigt, während die anderen beiden genannten Programme vor fast einem Jahr genehmigt wurden. Das aktuelle Interesse an der Einschreibung in diese Programme ist jedoch relativ gering. Derzeit haben 63 Nutzer Anträge auf Gutscheine eingereicht oder nehmen an den genannten Programmen teil – sagt HZZ.

– Mögliche Gründe für das geringere Interesse der Nutzer könnten genau in den komplexeren Einschreibebedingungen für diese Programme und der Tatsache liegen, dass der Abschluss zu einer Mikroqualifikation führt, während die Nutzer es vorziehen, den Gutschein für die Ausbildung für einige der angebotenen Teil- oder Vollqualifikationen zu verwenden – erklären die Gründe für die Unbeliebtheit dieser Programme.

Dennoch haben diejenigen, die Programme im Bereich der Informationssystemsicherheit über Gutscheine abgeschlossen haben, positive Erfahrungen gemacht, weshalb HZZ in Zukunft mit einer noch größeren Anzahl von Programmen in diesem Bereich rechnet und somit auch mit einem größeren Interesse der Nutzer.

Wesentliche und ‚weiche‘ Fähigkeiten

Angesichts der Komplexität dieses Bereichs und des ständigen Wachstums neuer Bedrohungen sind sich alle Gesprächspartner einig, dass zukünftige Cybersicherheitsexperten neben den unverzichtbaren technischen (‚harten‘) Fähigkeiten (wie dem Verständnis von Computernetzwerken, Betriebssystemen, Datenbanken, Programmierung, Sicherheitsprotokollen und -infrastrukturen, Kryptographie und Verschlüsselung, Penetrationstests, Schwachstellenanalyse und ethischem Hacken, digitaler Forensik) und letztendlich dem Verständnis des Hintergrunds von Cyberangriffen auch weiche (’soft‘) Fähigkeiten durch Bildung einfließen lassen müssen. Teamarbeit, kritisches Denken, Problemlösung, Organisation, Kommunikation, Menschenmanagement, Projektleitung und Anpassungsfähigkeit sind nur einige davon.

Ebenso müssen Cybersicherheitsexperten die rechtlichen Rahmenbedingungen verstehen, insbesondere mit dem Inkrafttreten der NIS2-Richtlinie der Europäischen Union sowie ethische Fragen. Auf diese Weise, so die Gesprächspartner, werden sie bereit sein, unvorhersehbaren Situationen zu begegnen und die Cybersicherheit der Organisation, in der sie arbeiten, schnell und angemessen zu verwalten.