Der abnehmende Grenznutzen von Sicherheitszertifizierungen

von |13. November 2016|Zertifizierung|0 Kommentare|

Wie viele Zertifizierungen als IT-Sicherheitsexperte braucht man? Am Anfang dachte ich einmal, viel hilft viel und zu viele Zertifikate kann man nicht haben. Mittlerweile bin ich anderer Meinung: Im Prinzip reicht eine oder auch gar keine Zertifizierung. Das liegt an mehreren Gründen:

  • Die meisten Inhalte der Zertifikatsprüfungen sind ähnlich. Hat man eine, kann man auch die meisten anderen erreichen. Von ein paar Nischen-Pentest-Zertifikaten o.ä. einmal abgesehen.
  • Wer lässt sich wirklich von Zertifikaten beeindrucken? Primär Personaler, Projektvermittler und Headhunter. Warum? Weil sie in der Regel fachfremd sind und eine Suche nach Schlagwörtern wie „CISSP OR TISP“ viel einfacher ist als sich im Detail mit Profilen auseinander zu setzen.
  • Es gibt zu viele Zertifikate und nachdem neben älteren Organisationen wie (ISC)² und ISACA zahlreiche private Unternehmen sowie TÜV und IHKs auf den Zug aufgesprungen sind, gibt es eine absolut unübersichtliche Zahl von Zertifizierungsprogrammen.
  • Sorry, aber jeder Depp hat eins. Der CISSP ist nicht mehr elitär und jede „Schnarchnase“ ist zertifizierter irgendetwas. Ist auch nicht verwunderlich, wenn Anbieter auf dem Markt sind bei deren Prüfungen man praktisch nicht durchfallen kann.
  • Die meisten Zertifikate sind reine Geldmacherei. Die wenigsten sind unabhängig. Die wenigsten kennen die Details.
  • Es gibt eine Menge Bootcamps, die einen auf diverse Zertifikatsprüfungen zielgerichtet vorbereiten und den ganzen Sinn ad absurdum führen.

Wenn man unbedingt ein Zertifikat vorweisen möchte, nehmt den CISSP vom (ISC)². Der (ISC)² ist unabhängig. Man kann die Prüfung ohne zwingenden Lehrgang absolvieren. Man kann tatsächlich durchfallen (habe ich gehört). Er ist international anerkannt. Man muss sich nicht dafür entschuldigen, dass es zu mehr nicht gereicht hat. Nicht, dass der CISSP das Nonplusultra ist, aber er ist das beste was man international in diesem Bereich haben kann. Und nach dem CISSP? Keines mehr. Lohnt sich nicht.

Aber was ist mit dem T.I.S.P. – sozusagen der CISSP made in Germany? Wenn man die Zwangsschulung gerne besuchen möchte und einem der Nachweis von 5 Jahren Berufserfahrung vom CISSP zu viel ist, dann gerne. Was man nach dem TISP machen könnte? Den CISSP..