Anzeige Milliardenschäden in der Wirtschaft: Aktuelle Server schützen vor Cyberattacken [Anzeige]

[Eagle-PsyX-]

[...] Die Head Hunter berichten mir auch immer wieder, dass die meisten Kandidaten denen gar nicht antworten, einfach weil niemand der zufrieden in seinem Job ist, wechseln möchte. [...]

Das tue ich aber auch nicht. Das Problem hierbei, die Head Hunter haben oft keine Ahnung und suchen mit Schlüsselwörter und schicken jedem "passenden" Anfragen, die meist:

• diffus sind: "Neue Herausforderungen", "Branchenführenden Unternehmen" aufgequollen mit Bla bla,
• falsche Anreden benutzen (K.O. Kriterium, passiert nur durch Automatisierung),
• sich keine 5 Sekunden das Profil angeschaut haben (siehe Punkt 2).

Von ~35 Head Hunter habe ich an zwei geschrieben und ein Gespräch mit einem Unternehmen geführt. Das waren die einzigen, die irgendwas mit Hand und Fuß geschrieben hatten. Gefühlt darf sich jeder Head Hunter nennen, wie auch Immobilienmakler...

 

[FR3DI]

„DNS ist meine DNA“, so Migrations-Talent Felix (27). Security-Genie Lisa (25) ergänzt: „Firewall? Die Mauer steht!“ – Das sind nur 2 der insgesamt 5 fiktiven Server-Expert*innen, die die Kolleg*innen der CPN Cooperation Network GmbH im Rahmen einer großen Kampagne für Microsoft ins Leben gerufen haben.

Award für große Microsoft-Kampagne, made by CPN

Danke für eure Aufmerksamkeit,

Gruß Fred.

 

[elmex201]

Also das sehe ich anders. Ich weiß wie schwer ist jemanden zu finden auch wenn man 6-stellige Gehälter bietet.
Wie gesagt, wir reden von Fachkräften, nicht von einem Serveradmin oder PHP Entwickler. Die kann man mit genug Geld finden aber die Security Community in DE ist noch relativ klein. Sieht man ja wenn man auf die it-sa geht.

Fachkräfte muss man ausbilden bzw. die Chance geben, die entsprechende Erfahrung in der Firma zu sammeln. Zu glauben, man könne den maßgeschneiderten Mitarbeiter für lau finden, ist einfach illusorisch. Da werden zehnjährige Erfahrung für Programmiersprachen verlangt, die gerade mal 2 Jahre alt sind. Die IT-Welt ist unter ständiger Veränderung. Deswegen muss man ständig dazulernen und sich weiterbilden. Der Arbeitgeber muss das berücksichtigen und fördern.

 

[Falc410]

Gefühlt darf sich jeder Head Hunter nennen, wie auch Immobilienmakler...

Natürlich ist da viel Schrott dabei. Ich werde immer mal wieder angeschrieben für Java EE Projekte (das gibts noch?) und mach dann gedanklich einen /facepalm

Aber das ändert nichts an der Tatsache, dass man selbst nicht aktiv werden muss. Man muss keine Bewerbung schreiben, man kann drauf reagieren und selbst bestimmen ob man mit der Firma reden möchte oder nicht. Natürlich gibt es auch Headhunter die nur den Lebenslauf abphishen möchten. Aber sorry, wenn man in der Branche tätig ist, dann sollte man so viel Kompetenz haben, zu erkennen ob es eine seriöse Anfrage ist oder nicht

Fachkräfte muss man ausbilden bzw. die Chance geben, die entsprechende Erfahrung in der Firma zu sammeln.

Man kann sich auch selbst weiter bilden. Gerade heutzutage stehen einem so viele Möglichkeiten offen. Ich habe selbst IT-Sicherheit an einer großen ("Elite" Was auch immer das heißen mag) Uni in DE unterrichtet und bei mir in der Vorlesung waren auch regelmäßig Gasthörer drin die definitiv keine Studenten mehr waren (Jahrgang 1970 und älter). Dann bietet Youtube noch viel (LiveOverflow z.B.) oder mit TryHackMe kann man sich etwas beibringen. Klar das sind noch keine Zertifikate, aber ich will damit nur sagen, wenn man in dem Bereich unbedingt arbeiten möchte, dann schafft man das. Die Ausrede: "Ich hab keine Firma die mir die Möglichkeit gibt mich weiter zu bilden" lasse ich nicht gelten.

Also ich bin ebenfalls interessiert welche Zertifikate der arbeitslose IT-Security Experte hat. Ein kostenloses Udemy Pen-Test Zertifikat ist natürlich nicht viel wert aber es zeigt wenigstens, dass die Person motiviert war sich mit dem Thema zu beschäftigen. Aber klar wollen die Firmen Leute mit Erfahrung haben oder direkt Studenten nach der Uni.
Wir versuchen immer Studenten schon während dem Studium zu bekommen, in der Hoffnung, dass die dann ihre Abschlussarbeit bei uns schreiben und direkt danach bei uns anfangen. Anders kriegt man kaum junge Leute. Und die lernen dann schon schnell genug bei uns, da ist mangelnde Erfahrung kein K.O. Kriterium.

 

[doof123]

Daten werden primär ausgewertet, genutzt und weitergegeben.
Wenn sie auf Grund der Regeln des Wettbewerbes im Sinne der Gewinnmaximierung möglichst sparsam geschützt werden, wird das Risiko durch die Weitergabe an 3. also Weiterverkauf quasi gespreadet, schon bei Übertragung zu diesen.
Diese DSVGO war in meinen Augen auch erstrangig nur dazu gedacht, Skandale zu verringern und die Datenschützer zu besänftigen, mehr ist es nicht.
Geändert hat sich so gut wie gar nix 0.
Im Gegenteil, die Folgekosten der Digitalisierung werden totgeschwiegen und die mangelnde Sicherheit ist ein wachsendes und hohes Risiko, viele sind angreifbar und die sensiblen Daten für Kleinkriminelle abgreifbar.
Das mag nicht immer zutreffen, aber so ist es leider fast grundsätzlich.

Digitalisierung ist zu einem erheblichen Kostenfaktor geworden, der jetzt schon in keiner Relation mehr steht und den überhitzten Wettbewerb so richtig blöd anheizt.
Was das alles an Energie verschlingt und wie viele Daten überhaupt erst übermittelt werden müssen, bis es in der Auswertung endlich an Relevanz gewinnt.

 

[duckyisshiny]

@Falc410 @Kenshin_01

Ihr zwei Nasen macht es doch unkompliziert.

@Kenshin_01 sag doch deinem Kollegen, dass er mal seine Zertifizierungen/Lebenslauf (anonymisiert) über dich an @Falc410 schicken soll.

@Falc410 guck dir das doch mal an? Vllt. ist das echt einer der gut ist, aber von Business/Bewerbungen einfach absolut nichts versteht?

Worst Case: Ihr habt 10 Minuten eurer Lebenszeit geopfert.
Best Case: Der Kollege hat einen Anstoss wie er es besser machen kann und findet einen Job.

So sehe ich das. Jetzt küsst euch

 

[madmax2010]

Kommt in die Azure Cloud haben sie gesagt. Da ist es sicher haben sie gesagt.
https://twitter.com/amiluttwak/status/1437898746747097090

MS hat ja auch nur ein halbes Jahr gebraucht diesen Fuckup in den Griff zu bekommen
https://twitter.com/_msw_/status/1438014701107957766

oder einfach mal eine DB nackt am netz halten.
https://www.heise.de/news/Cloud-Dat...-Kunden-ueber-gravierende-Luecke-6176601.html

Oder einfach gleich den Storage
https://msrc-blog.microsoft.com/202...g-misconfigured-microsoft-storage-location-2/

Danke @Microsoft fuer erstklassige Infrastruktur auf professionellem Niveau. Euch vertraue ich wenn es um Sicherheit geht.

 

[ssh]

Solche Bullshitwerbung könnt ihr euch sparen. Die meisten Sicherheitsprobleme im Jahr 2021 waren nachweislich duch Microsoft selbst verursacht worden. Einfach keinen Exchange Server nutzen und 99% aller Sicherheitsprobleme einer Firma sind Vergangenheit. Gegen Zero Day Lücken ist man als Admin machtlos. Die meisten Firmen investieren in Monitoring und halten ihre Systeme so aktuell wie möglich, dazu noch eine saubere Backupstrategie, bringt nur nichts wenn die Software offen wie ein Scheunentor ist. Microsoft ist die Problemursache, nicht die Lösung. Komischerweise waren die teuren Cloudlösungen von den Exchange Lücken nicht betroffen, sind aber keine Alternative.

 

[agent-orange]

Also das sehe ich anders. Ich weiß wie schwer ist jemanden zu finden auch wenn man 6-stellige Gehälter bietet.
Wie gesagt, wir reden von Fachkräften, nicht von einem Serveradmin oder PHP Entwickler. Die kann man mit genug Geld finden aber die Security Community in DE ist noch relativ klein. Sieht man ja wenn man auf die it-sa geht.

Wie schon Helmut Schmidt gesagt hat, wenn die Wirtschaft Fachkräfte benötigt, dann soll sie die auch gefälligst ausbilden!

 

[klausk1978]

Sind die Xeons aus Sicherheitssicht wirklich besser als Epyc? Oder wurden sie bloß als Beispiel genannt?

Beide Hersteller hatten in der Vergangenheit kritische Lücken bei ihren Prozessoren. AMD weniger als Intel.
Und wenn eine Attacke einmal auf dieser Ebene passiert, dann spielt das Ganze eh in einer anderen Liga. Da geht es dann nicht mehr um etwaige Krypto-Trojaner oder ähnliches.

 

[elmex201]

Man kann sich auch selbst weiter bilden.

Ja klar auf eigene Kosten! Dann sollen sich die Arbeitgeber aber auch nichts von Fachkräftemangel schwadronieren, wenn sie die handverlesenen und mundgerechten Fachkräfte nicht freihaus bekommen. Die Anforderungen vieler Firmen sind so speziell, dass es unmöglich ist, die passende Fachkraft zu finden. Zusätzlich kommt der Learning-by-doing-Faktor hinzu.
Das ist doch wie im Fußball. Jeder will die Top-Spieler haben, die sofort weiterhelfen und die Tore schießen. Aber für diese Spieler muss man hohe Ablösen und Gehälter und ein attraktives Umfeld bieten. Auch fallen diese Spieler nicht aus dem Himmel, sondern müssen ausgebildet werden. Viele Arbeitgeber sind selbst Regionalliga, aber wollen Champions League Spieler zum Kreisligagehalt. Das geht einfach nicht auf.

wenn man in dem Bereich unbedingt arbeiten möchte

Oh wie generös. So despektierlich du dich über "PHP Entwickler" und "Server Admins" äußerst und denen den Fachkraftstatus absprichst, habe ich Zweifel, ob du selber Fachkenntnis hast. Der Fachinformatiker Anwendungsentwicklung = "PHP Entwickler" und Fachinformatiker Systemintegration sind IHK Ausbildungsberufe. Fachkraft steck ja schon in der Berufsbezeichnung. Sorry, einfach nur abgehoben. Es muss nicht immer gleich ein Master-Abschluss oder ein Doktor-Titel sein. Und wenn man das will, muss man auch entsprechend bezahlen.

 

[Kenshin_01]

@duckyisshiny das kann ich ja mal machen wenn er wieder daheim ist. Momentan ist er auf Reha. Ironischerweise im Arbeitsamt die Treppe runter gefallen nach einem Beratungstermin -> Knie verdreht und Unterschenkel gebrochen. War ein super Tag, war am gleichen Tag verletzungsbedingt im KH.

 

[Nine-tailed Fox]

Beide Hersteller hatten in der Vergangenheit kritische Lücken bei ihren Prozessoren. AMD weniger als Intel.

Danke für die Antwort.

So genau kenn ich mich in der Materie nicht aus. Ich verfolge lediglich oberflächlich die Linux Kernel Entwicklung. Gerade Intel war da in letzter Zeit ja immer mal wieder ein Thema beziehungsweise wurde was gepatched.

Da im Artikel explizit dazu geraten wurde die Hardware zu aktualisieren oder generell aktuell zu halten und ich dazu Intel Xeon gelesen hatte, dachte ich Microsoft würde da aus Erfahrung und/oder aus internen Tests sprechen und evtl die neusten Xeons empfehlen.
Alles in allem halte ich Microsoft schon für überaus kompetent und das sie diesbezüglich vermutlich mehr wissen.

Ich bin allerdings auch nur reiner Privatuser und kein echter ITler.
Die IT an meiner Arbeit wird komplett von extern betreut, da hab ich nix mit zu tun außer sie zu benutzen.

 

[Falc410]

Der Fachinformatiker Anwendungsentwicklung = "PHP Entwickler" und Fachinformatiker Systemintegration sind IHK Ausbildungsberufe. Fachkraft steck ja schon in der Berufsbezeichnung. Sorry, einfach nur abgehoben. Es muss nicht immer gleich ein Master-Abschluss oder ein Doktor-Titel sein.

Nein muss es nicht aber dann muss die Person eben über die nötigen skills und Erfahrung verfügen. Und sorry aber Fachinformatiker / Anwendungsenteickler sind keine Fachkräfte. Das wären eher Architekten, Solutions Engineer oder Scrum Master etc.
Admins und Entwickler sind keine schlechten Berufe aber die sind halt am untersten Ende der Nahrungskette. Das sollte dir klar sein. Das sind nicht die Jobs die schwer zu besetzen sind

 

[konkretor]

@Falc410 komische Definition von Fachkräften bei dir.

Was ist dann der Handwerker, der dir dein Haus baut?

Selten so einen Stuss gelesen. Hier in Deutschland gibt es das duale Ausbildungssystem, um Fachkräfte auszubilden.

https://www.neumueller.org/glossary-terms/fachkraft-2/

Eine Fachkraft ist eine Arbeitskraft, die eine Berufsausbildung erfolgreich abgeschlossen hat. Auch Personen, die einen bestandenen akademischen Abschluss an einer (Fach)-Hochschule vorweisen können, summieren sich unter diesem Begriff.

 

[Falc410]

Was ist dann der Handwerker, der dir dein Haus baut?

Selten so einen Stuss gelesen.

Das selbe kann ich ebenso sagen. Wir reden wir über einen Fachkräftemangel in der IT-Security Branche. Was will ich da mit einem Handwerker? Genau wegen deiner Definition gibt es doch immer diese dumme Diskussion wenn die Presse von "Fachkräftemangel" spricht und Firmen kein Personal finden können. Dann kommen eben Leute um die Ecke die von 2.5 Mio Arbeitslosen "Fachkräften" sprechen und behaupten, es gibt keinen Mangel.

Aber gut, dann lassen wir unsere Kritische Infrastruktur in Zukunt von Metzger:innen und Erzieher:innen gegen Cyberangriffe (ich mag den Begriff eigentlich nicht) schützen.

Und die ewige Diskussion von wegen "die Firmen bilden nicht aus", stimmt auch nicht. Ich habe mit mehreren SOC-Leitern von weltweigen ISPs gesprochen und die haben mir alle erzählt, dass sie z.B. ihre Analysten selbst ausbilden müssen. Einfach weil es keine Ausbildung / Studium gibt, das dem gerecht werden würde. Das dauert dann 6-12 Monate. Denen sind die Vorkenntnisse teilweise egal. In Dänemark haben Sie mir erzählt, die Leute waren vorher Krankenpfleger. Fand ich jetzt nicht so prickelnd aber für einen Level 1 Analysten mag das noch möglich sein. Und wenn man 24x7 mit entsprechenden SLAs seinen Kunden verkauft, dann nimmt man einfach Leute die motiviert sind und sich einarbeiten möchten. Aber das kann sich halt nicht jede Firma leisten. Die restlichen Kämpfen um die doch relativ kleine Gruppe von Spezialisten die es im Moment auf dem Markt gibt.

 

[konkretor]

Stimmt ja. IT-Security geht ja nur mit Master Abschluss und Doktor Titel laut dir, sonst ist es keine Fachkraft.

Dann definiere mal, was eine IT Security Fachkraft genau definiert, damit es bei dir als Fachkraft gilt.
Ich bin sehr gespannt und andere hier auch. Das runtermachen von Programmierern oder IT Admins ist auch nicht die feine Art. Auch diese Personen werden gebraucht um Sicherheit zu gewährleisten.

 

[Falc410]

IT-Security geht ja nur mit Master Abschluss und Doktor Titel

Hab ich nie behauptet. Wo habe ich das bitte geschrieben? Da zählt eher Erfahrung und eben entsprechendes Skillset. Daher auch die Verwunderung, dass jemand der angeblich jede Menge Schulungen / Zertifikate in dem Bereich besitzt, dann angeblich keinen Job findet - es nicht einmal bis zum Vorstellungsgespräch schafft.

Auch diese Personen werden gebraucht um Sicherheit zu gewährleisten

Ja natürlich braucht es Leute die operative Security umsetzen, aber an denen mangelt es i.d.R. nicht und deswegen werden diese auch schlechter (aber immer noch gut) bezahlt. Ich weiß nicht warum es für euch so schwer ist, den Unterschied zu verstehen? Ja ich brauche Leute die einen AV über GPO in meiner Organisation ausrollen aber diese Leute arbeiten nicht unbedingt im Red / Blue Team oder als Threat Hunter. Ihr vergleicht da Äpfel mit Birnen.

Genauso ist es auch bei Programmierern. Warum gibt es denn so viele Schwachstellen in Software? Warum gibt es Secure Coding Reviews? Welcher Programmierer kann einen Fuzzer bedienen oder ROP Chaining? Ist ja auch nicht deren Anwendungsgebiet. Die sind in ihrer Domäne Experten und das ist auch gut so.

Im übrigen, nicht nur Offensive Security ist gefragt, auch Forensik ist im Moment extremst nachgefragt. Also wer sich da auskennt oder weiterbildet hat die nächsten Jahre eine goldene Zukunft vor sich. Und natürlich alles in Richtung IT Risk Management etc. da sich immer mehr Firmen zertifizieren lassen müssen / wollen. Ich kenne keinen Admin der mit BSI Grundschutz, TISAX oder ISO 27000 vertraut ist. Warum auch?

 

[konkretor]

So liest es sich leider bei dir raus und da bin ich immer etwas Allergisch.
Tut mir leid, ich will da keine toxische Diskussion starten, nur damit ich irgendwo recht habe.
Es ist immer sehr Definitionssache "Fachkraft" vielleicht sollte man auch unterscheiden zwischen jemand, der IT-Security Design konzipiert und jemand, der dies in der Praxis umsetzt und täglich mit den Anwendern zu tun hat. Der Faktor Mensch kommt mir persönlich immer viel zu kurz.
In vielen Firmen ist der IT Admin, der die Security fixes einspielt und die GPO etc. definiert.

Aus eigener Erfahrung IT-Security kann sehr trocken und theoretisch sein, denke, das schreckt viele auch ab.

Wieso der Kollege, der oben genannt wird, keine Arbeit findet im IT-Security Bereich finde ich sehr seltsam.

 

[Nine-tailed Fox]

@Falc410
Metzger oder Erzieher sind sehr wohl Fachkräfte. Halt nicht für IT sondern für ihre eigenen Branchen.
Warum sollte man die in der IT Security einsetzen? Wie werden in ihren eigenen Bereichen gebraucht, in denen ebenfalls Fachkräftemangel herrscht.

Ich glaube das Problem ist weniger die Bezahlung sondern das viele nicht mehr die hohe Verantwortung die eine Fachkraftstelle mitbringt übernehmen wollen. Geld lässt sich auch als Helfer gut und sorgenfrei verdienen.