Cybersecurity: Kompetenz schlägt Technik

NIS 2 Richtlinie NIS-2 NIS2

NIS2, DORA, TISAX und TIBER-DE: Warum Unternehmen nicht an fehlender Technik, sondern an fehlenden Kompetenzen scheitern.

In den vergangenen Jahren haben Unternehmen erhebliche Investitionen in Cybersecurity-Technologien getätigt. Firewalls wurden modernisiert, Endpoint-Detection-Systeme eingeführt, Cloud-Sicherheitslösungen implementiert und Security Operations Center aufgebaut. Gleichzeitig steigen die regulatorischen Anforderungen kontinuierlich.

Zusammenfassung (TL; DR):

  • Die Einhaltung von Vorschriften wie NIS2 und DORA scheitert oft nicht an fehlender Technik, sondern am Mangel an internen Kompetenzen und Fachpersonal.
  • Nachhaltige Cyber-Resilienz erfordert den Aufbau eigener Expertise in Risikomanagement und Incident Response, anstatt nur Zertifikate einzukaufen.
  • Unternehmen sollten daher systematisch benötigte Rollen identifizieren und gezielt in die Qualifizierung ihrer Mitarbeitenden investieren.

Mit NIS2, DORA, KRITIS-Vorgaben, TISAX-Anforderungen und TIBER-DE stehen viele Unternehmen vor der Frage: Welche Kompetenzen benötigen wir eigentlich, um diese Anforderungen nachhaltig zu erfüllen? Die Diskussion konzentriert sich häufig auf technische Maßnahmen. In der Praxis zeigt sich jedoch, dass Projekte oftmals nicht an fehlenden Werkzeugen scheitern, sondern an fehlendem Know-how, unklaren Verantwortlichkeiten und mangelnder Qualifikation der beteiligten Personen.

Regulatorik fordert Fähigkeiten – keine Zertifikate

Keine der genannten Regulierungen schreibt bestimmte Zertifizierungen vor. Dennoch verlangen alle Regelwerke nachweisbar qualifizierte Personen, die in der Lage sind,

  • Risiken zu bewerten,
  • Sicherheitsmaßnahmen zu planen,
  • Audits durchzuführen,
  • Sicherheitsvorfälle zu behandeln,
  • Sicherheitsprogramme zu steuern und
  • die Wirksamkeit von Schutzmaßnahmen kontinuierlich zu verbessern.

Die entscheidende Frage lautet daher nicht: Welche Zertifizierung sollen wir einkaufen? Sondern: Welche Kompetenzen benötigen wir im Unternehmen?

Typische Rollen in regulierten Umgebungen

Informationssicherheitsmanagement

Viele Organisationen benötigen Personen, die Sicherheitsstrategien entwickeln, Risiken bewerten und Sicherheitsprogramme steuern.

Typische AufgabenAufbau und Betrieb eines ISMS, Risikomanagement, Sicherheitsrichtlinien, Governance, Management-Reporting,

Audit und Compliance

Mit steigenden regulatorischen Anforderungen wächst auch der Bedarf an qualifizierten Auditoren und Compliance-Verantwortlichen.

Typische Aufgaben: Durchführung interner Audits, Bewertung von Kontrollsystemen, Nachweisführung gegenüber Kunden und Prüfern, Lieferantenbewertungen

Technische Sicherheitsprüfungen

Insbesondere im Umfeld von TIBER-DE, Red Teaming und technischen Sicherheitsbewertungen werden Spezialisten benötigt, die Angriffe nachvollziehen und Schwachstellen identifizieren können.

Typische Aufgaben: Penetrationstests, Red Teaming, Purple Teaming, Angriffssimulationen

Incident Response und Detection

Regulierungen wie NIS2 und DORA verlangen wirksame Verfahren zur Erkennung und Behandlung von Sicherheitsvorfällen.

Typische Aufgaben: Incident Handling, Forensik. Threat Hunting, Security Monitoring

Die häufigste Fehlentscheidung

In vielen Unternehmen wird versucht, regulatorische Anforderungen durch den Einkauf einzelner Technologien oder punktueller Beratungsleistungen zu erfüllen. Dadurch entstehen häufig Abhängigkeiten von externen Dienstleistern, während internes Wissen nur begrenzt aufgebaut wird. Nachhaltige Cyber-Resilienz entsteht jedoch erst dann, wenn Unternehmen eigene Kompetenzen entwickeln und Sicherheitswissen dauerhaft in der Organisation verankern.

Ein pragmatischer Ansatz

Statt mit Zertifizierungen zu beginnen, empfiehlt sich häufig folgende Vorgehensweise:

Erst am Ende dieser Betrachtung stellt sich die Frage, welche Zertifizierungen den Kompetenzaufbau sinnvoll unterstützen können.

Fazit

NIS2, DORA, TISAX, KRITIS und TIBER-DE sind letztlich keine Technologieprojekte. Es handelt sich um Organisations- und Kompetenzprojekte. Unternehmen, die frühzeitig in den Aufbau geeigneter Fähigkeiten investieren, schaffen nicht nur bessere Voraussetzungen für Audits und Nachweise. Sie erhöhen gleichzeitig ihre operative Widerstandsfähigkeit gegenüber Cyberangriffen. Wer langfristig erfolgreich sein möchte, sollte daher weniger nach der „richtigen Zertifizierung“ suchen und stärker darüber nachdenken, welche Kompetenzen künftig im Unternehmen benötigt werden.

Autor

  • ManufakturIT GmbH | Basis-Veranstalter

    Die Manufaktur IT GmbH ist im Bergischen Land bei Köln ansässig. Unser Geschäftsbereich "Information Security Trainings for Business" bietet Ihnen ein umfassendes Schulungsprogramm in allen Bereichen der Informationssicherheit. Als offizieller Schulungspartner der ISC2 und der OffSec führen wir Intensivkurse für die Prüfungsvorbereitung auf die Examen CISSP, CCSP und OSCP durch. Desweiteren bereiten wir unsere Schulungsteilnehmer auf die ISACA Prüfungen zum CISM und CISA vor. Neben den Zertifizierungstrainings haben wir speziell zugeschnittene Security-Trainings für Software-Entwicklungs-Teams, sowie interaktive Security Awareness Seminare zur Sensibilisierung von Fachseiten und Endanwendern entwickelt. Unser Angebot an Trainings ist sehr dynamisch und erweitert sich fortwährend nach den aktuellen Bedürfnissen des Marktes. So haben wir auch praktische Hacking Trainings für Red Teams, Blue Teams und Purple Teams im Programm, und es geht fortwährend weiter...

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Das könnte Sie auch interessieren