Fight the Fachkräftemangel – SOC- & Security-Spezialisten aus den eigenen Reihen
Fight the Fachkräftemangel – SOC- & Security-Spezialisten aus den eigenen Reihen
Gäbe es Security-Personal im Supermarkt wären die Regale leer. Wie bilden wir also am besten eigene Spezialisten aus oder finden sie in unseren bestehenden Teams?
Zu Vieles für zu Wenige
Als Rundum-Sorglos-Anbieter für alle Security-Themen unserer Kunden wissen wir nur allzu gut, wie schwer es ist, IT-Spezialisten mit dem passenden Schwerpunkt zu finden – und das in allen Bereichen unabhängig dessen, ob es sich um Berater in Cloud-Security-Projekten, Penetrationstester für Webanwendungen oder SOC-Analysten handelt.
„Build or buy“ fragen wir uns in der IT bereits ständig, also warum nicht auch bei den Skills unserer Mitarbeitenden? In Anbetracht der heutigen Akquise-Kosten wird „build“ als Strategie in der Tat immer spannender!
Kurse vs. Lernen
Jetzt mögen Viele denken: „Na klar, Kurse gibt es doch wie Sand am Meer, ist doch kein Problem!“ Aus meiner eigenen Erfahrung mit ebensolchen „klassischen“ Kursen kann ich guten Gewissens sagen, sie brachten (mir) kaum etwas.
Sind wir mal ehrlich. Wer kennt es nicht?
Das gewohnte Schulungs-Setup: 12 alte PCs in einem Raum, der Instructor kämpft mit der Schulungsumgebung oder dem VPN, auf dem Tisch liegen dicke Kladden mit Übungsaufgaben auf Papier, die auch ohne zu verstehen, was gerade vor sich geht, durchexerziert werden könnten.
Nach drei, vier, fünf Tagen absolviert man einen Multiple-Choice-Test und kann dann das nächste Zertifizierungs-Kürzel in sein Xing-Profil eintragen.
Die Kursteilnehmer sind für diese Zeit komplett aus dem Arbeitsalltag gerissen, alle Projekte und TODOs stehen auf Pause. Und im schlimmsten Fall lernen sie Dinge, die gar nicht für die eigene Arbeit relevant sind, sondern halt im Curriculum des Kurses stehen.
Das geht besser
Disclaimer: Ich habe keine pädagogische Ausbildung. Die hier beschriebene Sichtweise basiert auf persönlichen Erfahrungen meinerseits und meines Teams. Diese Erfahrungen sagen eindeutig, dass es nachhaltigeren Erfolg bringt, das Lernen als festen Bestandteil in den Arbeitsalltag zu integrieren.
Heutzutage stehen uns hilfreiche Plattformen, wie bspw. RangeForce oder TryHackMe, zur Verfügung, die mit ihren Inhalten speziell auf IT-Security zugeschnitten sind.
Mit der entsprechenden Enterprise Subscription ist es mit den Tools möglich, Lernpfade und -Ziele für sein Team zu definieren und den Fortschritt zu verfolgen. Sie eignen sich damit also bestens, um die Mitarbeitenden an den Stellen zu fördern, wo es nötig und dem Unternehmen dienlich ist.
Must haves & Must nots
Was muss ein Lernsystem aus unserer Sicht mitbringen?
Zunächst muss natürlich die zuvor genannte Steuerbarkeit gegeben sein, damit nicht einfach drauf los gelernt wird (oder eben gar nicht). Außerdem ist es unabdingbar, dass die Inhalte nicht nur in der Theorie behandelt, sondern unter (einigermaßen) realen Bedingungen praxisnah erschlossen werden.
Hierfür bieten beide genannten Anbieter den Lernenden eine (nicht-persistente) Cloud-Umgebung, in der die jeweiligen Module bearbeitet werden. Dabei handelt es sich um echte Linux- oder Windows-VMs, auf denen etwa Pentesting-Software zum Einsatz kommt.
Mit den vorhandenen Tools müssen dann die Aufgaben gelöst werden. Wie die Lernenden ans Ziel kommen, wird ihnen überlassen.
Als hilfreich hat es sich gezeigt, wenn die Lernplattform die Leute bei Laune hält. Das klappt gut mit eingebauten Gamification-Elementen, wie Ranglisten, Abzeichen, Erfahrungspunkten/Leveln und beispielsweise Serien, die nicht abreißen dürfen.
Gelerntes anwenden
Unabhängig dessen, ob die Schwerpunkte eher offensiv (Pentesting) oder defensiv (SOC-Analyst) gesetzt wurden, ist es wichtig, dass alle Skills zur Anwendung kommen, denn sonst fängt man mit dem Lernen bald wieder von vorne an. Ein Ernstfall, in dem man sein Können unter Beweis stellen kann, tritt (glücklicherweise!) nicht allzu oft ein. Aber wenn es so weit ist, muss jeder Handgriff sitzen.
Nicht nur im Blaulicht-Sektor (Rotes Kreuz, THW, u.a.) gibt es regelmäßig Katastrophenschutzübungen, sondern eben auch in anderen Bereichen. Warum sollte es so etwas nicht auch in der IT-Security geben? Gibt es!
RangeForce bietet hier „Cyber Ranges“ an, die speziell die Verteidigerseite (Blue Team) herausfordern, in dem in einer geschützten Umgebung (beispielsweise) ein Malware-Ausbruch mitigiert werden muss. Auf diese Weise können sich unsere Security-Pros unterschiedlichen Angriffsszenarien stellen. Für die Teams ist es ein großartiges Event, das zum Zusammenhalt beiträgt und die Führungskräfte entdecken vielleicht das eine oder andere bislang verborgene Talent unterihren Leuten.
Für Red Teams (also die Angreiferseite) gibt es solche Events übrigens schon lange, z.B. bekannt unter dem Begriff „Capture the Flag“ bzw. „CTF“.
Fazit
Klassische standardisierte „Kurse“ sind dann hilfreich, wenn es darum geht, ein vordefiniertes Wissenspaket zu vermitteln, beispielsweise als Vorbereitung auf eine Zertifizierungsprüfung, die für das Unternehmen wichtig ist. Weniger gut geeignet scheint das Format, wenn es darum geht, Mitarbeitenden grundlegend neue Themen beizubringen oder ihr Fachwissen in bestimmten Bereichen zu stärken. Setzen Sie also auf die bessere Variante: Lernen gehört zur persönlichen Entwicklung und damit in den Arbeitsalltag!
Mit Cyber Ranges erleben Sie den Ernstfall, allerdings völlig risikofrei und ohne großen Aufwand. Ein solches (z. B. halbjährliches) Event zeigt Lücken in den eigenen Prozessen auf, lässt Talente scheinen und fördert ungemein den Team-Spirit.