Viele Unternehmen verfügen über eigene IT-Security-Experten oder können auf solche externen Consultants zugreifen. Der Beruf des IT-Sicherheitsarchitekten ist noch relativ neu, gewinnt aber mit IoT, Smart Devices und autonomen Fahren immer mehr Bedeutung.

So wie der Architekt von Gewerbe- und Wohnimmobilien kein Tausendsassa sein muss, um bei jedem der Gewerke mitzumischen oder Maurer zu ersetzen, muss der IT-Sicherheitsarchitekt auch nicht aus dem FF programmieren können. Er sollte aber über profunde IT- und IT-Security-Kenntnisse verfügen und die nötige Erfahrung haben, um zu wissen, welche Gefahren aus dem Internet oder dem Cyberspace da draußen lauern. Grundlegende Programmierkenntnisse sind natürlich auch zu empfehlen, sagt Ben Kröger, Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security.

Je smarter das Umfeld, desto mehr gefragt

Die Aufgabe des IT-Sicherheitsarchitekten oder der IT-Sicherheitsarchitektin, kurz IT-SA, ist es, zusammen mit dem jeweiligen Chief Security Officer (CSO) beim Kunden, so es einen gibt, oder der IT-Abteilung den Ist-Zustand zu erörtern und Strategien zu entwickeln, um die kritischen Infrastrukturen und Daten wirksam zu schützen.

Je nach Umfeld und Bedarf müssen dabei auch die Compliance-Richtlinien, besonderen Risiken und die Art der Vernetzung berücksichtigt werden. Smarte Lösungen wie die IoT-Anbindung von Maschinen oder autonomes Fahren stellen hier höhere Anforderungen und machen den IT-Sicherheitsarchitekten für die Automobilindustrie mehr und mehr unverzichtbar.

Dieses noch sehr junge Berufsfeld ist so wie das des IT-Security-Experten oder IT-Security-Beraters weder geschützt noch gibt es einen entsprechenden Studienzweig. Ein IT-nahes Studium, Fort- und Weiterbildungskurse sowie Zertifikate wie die vom International Information Systems Security Certification (ISC)² oder vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) sind aber eine gute Voraussetzung für den IT-Sicherheitsarchitekten oder kurz IT-SA, so Kröger. Beim BSI kann man sich auch als Lead Auditor gemäß ISO 27001 zertifizieren lassen. ISO/IEC 27001 gilt schließlich als die internationale Norm für IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme und die entsprechenden Anforderungen.

Gefordert sind auch Softskills und Wirtschaftskenntnisse

Da heißt es, sich immer in die jüngsten Publikationen vom BSI, dem National Institute of Standards and Technology (NIST) der USA oder von Communities wie der Open Security Collaborative Development (OSCD) und der Internet Engineering Task Force (IETF) einzulesen, Fachzeitschriften wie IT-Sicherheit nicht zu vergessen.

Von der Evaluierung bis zur Design-Phase

Typischerweise gehen der IT-SA zusammen mit dem CSO oder IT-Security-Experten des jeweiligen Unternehmens bei der Analyse der vorhandenen Softwareumgebung und der betreffenden Prozesse nach dem Testing Maturity Model (TMM) vor. Dabei gilt es zu erörtern, wie der Stand der vorhandenen Cycersecurity und wie es um die Awareness beschaffen ist. Der IT-SA sollte sich dabei nicht im Detail verlieren, sondern das große Ganze im Blick haben, um darauf aufbauend dann die Design-Phase einzuläuten und entsprechende Empfehlungen auszugeben. Hier kommt es auch sehr oft auf die Erfahrungen und Kenntnisse der Schwerpunkte von Axians Senior Security Consultant Kröger an. Denn diese sind Firewalling, Sandboxing sowie die E-Mail-, Proxy- und Surf-Security. Und da ist auch abermals die Awareness-Bildung im jeweiligen Unternehmen und seinen Mitarbeitenden einschließlich Management ganz entscheidend. Denn viele Nutzer gehen viel zu unbedarft oder blauäugig mit dem E-Mail-Eingang und mit verlockenden Freeware- oder Shareware-Angeboten im Internet um und Cyberkriminellen so oft auf den Leim.

Eine solide IT-Sicherheitsarchitektur sollte daher neben technischen „Bollwerken“ auch auf eine „Human Firewall“ bauen, wie sie Axians bei den B2B-Kunden immer wieder predigt und in einem Whitepaper umfassend darstellt. Eine der größten Gefahren beim E-Mail-Verkehr bildet immer noch das Phishing, jenes Kofferwort aus Fishing und Phreaking, eine frühe Form des Telefon-Hacking.

Die neueste Masche ist der CEO-Trick oder CEO Fraud mit einer E-Mail, die aussieht, als wäre sie vom Chef persönlich. Die Cyberkriminellen greifen dabei auch immer mehr zu Mitteln der künstlichen Intelligenz. Die Aufgabe des IT-Sicherheitsarchitekten und der Cybersecurity wird daher zunehmend sein, mit „gleicher Waffe“ zurückzuschlagen. Noch entlarven sich viele der Spam- und Phishing-Mails selbst, weil sie sie schon in der Betreffzeile von schlechtem Deutsch oder Englisch zeugen, aber die Maschinen oder menschlichen Helfershelfer, viele davon aus weit entfernten Ländern, werden immer besser. Eine Mail vom Chef mit dem dringenden Aufruf, Geld ins Ausland zu überweisen, wie einem großen Zulieferer passiert, sollte aber auf jeden Fall genauer unter die Lupe genommen werden. Wenn nicht der Inhalt Schreibfehler enthält, verrät sich der Betrug möglicherweise schon bei den URL der Mail. Axians und seine Cybersecurity-Experten, einschließlich ausgewiesener IT-SAs, beraten und unterstützen Unternehmenskunden in allen Belangen der IT-Sicherheit. Sie kennen auch die „Pappenheimer“ auf der Gegenseite, ihre Schliche und Tricks, um ihnen ihr schmutziges Handwerk zu nehmen oder zumindest deutlich zu erschweren.

Quelle Titelbild: Adobe Stock / Seventyfour