Herbert Abben, SANS Institute: Weiterbildung und unternehmensinterne Kommunikation als Schlüssel für Cybersecurity
November 2022 von Manuel Langhans, Global Security Mag
Gespräch auf der it-sa 2022. Ein vielfältiges Kursangebot für einen ganzheitlich Ansatz in der Cybersecurity: SANS Institute will Wissen nachweisbar machen und einen technisch hohen Standard bieten
Global Security Mag: Stellen Sie bitte kurz ihr Unternehmen vor
Unsere Mission ist es, Unternehmen vor Cyberangriffen zu schützen und dafür die Skills der Leute auf ein Level zu bringen, das permanent verbessert wird, um sozusagen die Angriffsfläche zu verkleinern. Dazu haben wir Trainings und Zertifizierungen, die Trainings in einer Breite von Online-Angeboten über virtuelle Klassenräume, bis hin zu großen Veranstaltungen. Unsere Kunden sind im wesentliche große Unternehmen und Regierungsorganisationen.
GSM: Was stellen Sie auf der it-sa vor?
Die it-sa ist natürlich stark produktbezogen, da sind wir schon eher der Exot. Aber wir nutzen die Messe, um hier unser Portfolio als Trainingsanbieter vorzustellen und uns vor Ort zu vernetzen. Wir bieten über 70 qualitativ hochwertige und zertifizierbare Kurse an.
GSM: Was sind Ihre Stärken?
Ich sehe uns von der Qualität her ganz weit oben. Wir sind kein klassischer Trainingsanbieter, der irgendwo Trainingscenter hat, sondern wir holen die echten Spezialisten zu den Veranstaltungen, d.h. ein Forensikkurs wird nie von einem Trainer gegeben, der Pentesting macht, Defenseexperten werden nie etwas im Offensebereich machen. Wir holen die Leute aus der ganzen Welt, die hoch spezialisiert auf dem Bereich sind, für den sie dann auch den Kurs geben.
Eine unserer Kernkompetenzen ist der hohe technische Grad. Da wo es ein SOC gibt, da wo ein CERT-Team sitzt, da wo Incident Responder oder Pentester sitzen, überall dort wird sehr speziell und tiefgreifend auf die jeweiligen Themen eingegangen und dementsprechend kommt einen hohe Zahl an technisch Orientierten zu uns in die Trainings.
Es gibt aber auch Managementkurse, die genauso wichtig sind, oder Kurse, in den wir das Wissen vermitteln, wie die technischen Abteilungen den Businessentscheidern klar machen können, dass Investitionen nötig sind, um das Risiko zu reduzieren.
Der Umfang unseres geschlossenen Curriculums mit über 70 Kursen ist auf einen ganzheitlichen Ansatz für die Cyberorganisation ausgerichtet. Ich glaube, das ist schon einzigartig, dass große Organisationen, die zu uns kommen im Grunde ihre komplette Organisation bei uns abbilden können.
Zusätzlich haben wir eine enge Kooperation mit GIAC. Wir wollen Wissen nachweisbar machen. In Zeiten, in denen alle Experten suchen ist es natürlich noch wichtiger ein Benchmark für den Wissenstand zu haben und dafür ist die GIAC-Zertifizierung da. Zu jedem unserer Kurse gibt es eine spezielle GIAC-Zertifizierung. Man legt einen Test bei einem neutralen Testanbieter ab und besitzt die Zertifizierung dann in der Regel für 4 Jahre. Danach kann sie erneuert werden, was natürlich sinnvoll ist, weil sich alles permanent ändert. Es gibt natürlich auch Unternehmen, die die Zertifizierung direkt einfordern.
Momentan werden übrigens viele Kurse im Bereich kritische Infrastruktur nachgefragt. Das ist bei uns der ICS-Bereich. Aber auch Basiskurse werden häufig gebucht, da es auch immer noch viele Quereinsteiger in der Branche gibt.
GSM: Was ist Ihre Message an unsere Leser?
Eine Kernmessage ist die Kommunikation zwischen technischen Abteilungen und Businessentscheidern. Das ist für mich immer die Basis für alle Maßnahmen. Wenn man an der Stelle ein sauberes Verständnis dafür hat, wo wirklich die Risiken sind, und wenn beide Seiten sie verstehen. Wenn der technische Entscheider nicht versteht, was für den Businessentscheider wichtig ist und andersrum der Businessentscheider die Risiken, die viel zu technisch zu ihm rüberkommen, nicht versteht, dann wird es nicht gelingen und dann geht das Geld an die falsche Stelle oder es wird zu wenig Geld investiert.
Die zweite Message bleibt, das ist natürlich klar: wir haben Fachkräftemangel. Man muss also kreativ im Ausbau seiner entsprechenden Organisation sein und Personal schulen.