Zertifizierung – Seite 2 – InfoSec Blog | Patrick Sauer & Dominik Sauer

Erfahrungen zur Prüfung zum Datenschutzbeauftragten DSB-TÜV (Schwierigkeitsgrad)

3. Februar 2014 by Patrick Sauer Leave a Comment

Ist die Prüfung schwer? Ich möchte die Frage so beantwortet: Wer nach 4-5 Tagen in einem Kurs zum Datenschutzbeauftragten durch die Prüfung zum DSB-TÜV fällt hat entweder wirklich sehr viel Pech oder einfach die letzten Tage so gar nicht aufgepasst.

Alleine vom Umfang kann man sie nicht mit den harten Prüfungsbrocken CISSP, CISM & Co vergleichen. Wer einen CISSP, CISM oder TISP hat, wird die Prüfung zum zertifizierten Datenschutzbeauftragten DSB-TÜV sicherlich bestehen.

Berufszertifikate für IT-Security-Professionals: Welches ist empfehlenswert?

4. November 2013 by Patrick Sauer Leave a Comment

Es sind einige Berufszertifikate für IT-Security-Professionals auf dem Markt, mit jeweils unterschiedlichen Schwerpunkten. Ich selbst halte zurzeit u.a. CISSP, CISM und T.I.S.P. und kann insbesondere den CISSP empfehlen. Er ist wesentlich breiter aufgestellt als der CISM und international wesentlich besser anerkannt als der TISP. Wer einen etwas größeren Fokus auf Deutschland besitzt, für den ist vielleicht der TISP empfehlenswerter. Hält man bereits einen CISSP oder TISP, sollte es kein Problem sein im Zweifel auch die andere Zertifizierung zu erlangen. Vom CISM würde ich etwas Abstand nehmen. Er richtet sich zwar explizit an Security Manager, aber man erwartet auch von einem Security Manager Kenntnisse zumindest der wichtigsten Grundlagen in IT-Security.

Der jährliche Preis von CISSP und CISM im Vergleich

25. Oktober 2013 by Patrick Sauer Leave a Comment

Ich habe heute die jährlichen Gebühren für den CISSP von Isc² und für den CISM von ISACA beglichen. Zum Erhalt der Zertifizierung reicht dies natürlich nicht, da noch der Nachweis von jährlichen CPEs (Continuous Professional Education) zu erbringen ist. Unabhängig davon möchte der Isc² für den CISSP $85 Maintenance Fee. Das kann man nun als viel, wenig oder angemessen betrachten. Ist auch egal, die ISACA nimmt einem diese Entscheidung ab. Der jährliche Preis dort:

$135 für die ISACA-Mitgliedschaft
$50 für das German Chapter
$45 für den CISM

Jetzt einmal ernsthaft: Nur $230? Also nur das 2,7 fache als für den Erhalt des CISSP von Isc². Das Preis/Leistungsverhältnis halte ich für verbesserungswürdig. Dagegen ist der Erhalt des CISSP günstig.

Der CISSP ist keine Pentester-Zertifizierung

1. Oktober 2013 by Patrick Sauer Leave a Comment

Nachdem ich letztens wieder eine Stellenanzeige für einen Penetration Tester gesehen habe, die eine CISSP-Zertifizierung fordert, möchte ich dazu ein paar Worte verlieren. Die Kurzform: Der CISSP hat nichts mit Penetration Testing oder Ethical Hacking zu tun. Absolut nichts.

Im Gegensatz zum CISM (Certified Information Security Manager) ist der CISSP (Certified Information Systems Security Professional) technischer ausgerichtet. Das ist soweit korrekt. Nichtsdestotrotz richtet sich der CISSP an Security-Spezialisten, die zwar ein klein wenig technischer orientiert sind als reine klassische Manager, aber deren primärer Fokus eben nicht Pentesting ist. Überhaupt nicht. Sicherlich gibt es Pentester, die eine CISSP-Zertifizierung nachweisen können. Aber man sollte vielleicht eher Pentester-Zertifizierungen wie OSCP, OSCE oder CEH in Stellenanzeigen oder Ausschreibungen fordern.

Zertifizierung als Datenschutzbeauftragter DSB-TÜV

6. September 2013 by Patrick Sauer Leave a Comment

Heute wurde ich vom TÜV Süd als „Datenschutzbeauftragter DSB-TÜV“ zertifiziert. Die vorherige Schulung war interessant und sehr gut. Obwohl der Stoff – das BDSG – sehr trocken ist, wurden die relevanten Inhalte gut vermittelt. Ich bin zufrieden und kann den Kurs uneingeschränkt weiterempfehlen.

Tipps zur Vorbereitung auf die CISSP-Prüfung

24. August 2013 by Patrick Sauer 5 Comments

Wer kein „CISSP-Bootcamp“ für mehrere Tausend Euro besuchen möchte, dem empfehle ich folgende Vorbereitung:

1. Kaufen, Lesen und Verstehen von den beiden Büchern:

CISSP All-in-One Exam Guide von Shon Harris
CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart

2. Zusätzlich finde ich die offiziellen Testfragen vom Isc² absolut lohnenswert: https://www.expresscertifications.com/ISC2/Catalog.aspx. Der Zugang zu allen Testfragen kostet zwar insgesamt $289, dafür sind sie aber auf demselben Niveau wie die Fragen in der Prüfung. Fragen aus Büchern sind meiner Meinung nach damit nicht vergleichbar.

Mein Tipp: Die Fragen ordern und durcharbeiten. Danach die beiden Bücher lesen und den Stoff bearbeiten. Abschließend die Fragen so oft durchgehen, bis man zumindest dort alle richtig beantworten kann.

ISSECO Certified Professional for Secure Software Engineering

18. August 2013 by Patrick Sauer Leave a Comment

Ich hatte meinen CPSSE vor ein paar Jahren gemacht. Im Gegensatz zum CSSLP von Isc² kommt der CPSSE sowie die dazugehörige Organisation ISSECO (International Secure Software Engineering Council) aus Deutschland. Die ISSECO wurde 2008 in Potsdam gegründet. Inhaltlich beschäftigt sich der CPSSE mit der Sicherheit im Softwarelebenszyklus:

Viewpoints of attackers and customers
Trust & threat models
Methodologies
Requirements engineering with respect to security
Secure design
Secure coding
Security testing
Secure deployment
Security response
Security metrics
Code & resouce protection

Für die Prüfung zum CPSSE muss ein dreitägiger Schulungskurs absolviert werden. Die Kurse werden von mehreren Anbietern durchgeführt. Für die Vorbereitung gibt es zusätzlich auch ein Buch „Basiswissen Sichere Software“ von Sachar Paulus, welches meiner Meinung nach recht gut ist. Ich hatte keinen Kurs der Anbieter besucht, sondern mir wurde als Kurs die Vorlesung „Sichere Softwareentwicklung“ an der Fachhochschule Brandenburg anerkannt. Die Vorlesung hielt Prof. Dr. Sachar Paulus.

Ich fand den CPSSE leichter als die aus den USA stammenden Zertifikate von Isc² (CISSP) und ISACA (CISM), dennoch sollte man schon über Erfahrung im Bereich Security und Softwareentwicklung besitzen, wenn man die Prüfung zum CPSSE bestehen möchte. Nachdem ich den CSSLP von Isc² nicht habe, kann ich die beiden Zertifizierungen CPSSE und CSSLP nicht vergleichen. Der „deutsche“ CPSSE ist nicht speziell auf deutsche Bereiche ausgerichtet, wie z.B. der T.I.S.P., sondern ist thematisch länderunabhängig. Nachdem ohnehin nur wenige Angebote zur Weiterbildung bzw. Zertifizierung existieren, kann ich den CPSSE durchaus empfehlen.

Certified Information Security Manager

15. August 2013 by Patrick Sauer Leave a Comment

Nach der bestandenen CISM-Prüfung darf ich mich nun offiziell als CISM bezeichnen:

„Congratulations! We are pleased to inform you that on 12 August 2013 the CISM Certification Committee approved your application and awarded you the Certified Information Security Manager (CISM) designation.“

Damit erweitert sich meine Zertifikatssammlung auf CISSP, CISM, T.I.S.P. und CPSSE.

Ironie: Benefits of being a CISSP

14. August 2013 by Patrick Sauer Leave a Comment

Ich finde das Video „Benefits of being a CISSP” ist eine schöne selbstironische Darstellung und Kritik an der CISSP-Zertifizierung. Sehenswert! Insbesondere für alle CISSP, die sich selbst zu wichtig nehmen. Der CISSP ist eine gute Zertifizierung zum Nachweis der eigenen Kompetenz und Erfahrung im Sicherheitsumfeld. Aber auch nicht mehr.

Der Vergleich: CISSP vs. TISP

16. Juli 2013 by Patrick Sauer Leave a Comment

Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.?

Merkmale vom CISSP:

Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre.
Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden
International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab.
Beinhaltet Aspekte zur sicheren Softwareentwicklung.
Ist international anerkannt.
Die Vorbereitung zur Prüfung ist jedem Prüfling selbst überlassen. Eine Schulung ist kein muss.
Ist grundsätzlich thematisch umfangreicher.
Es muss zur Erhalt der Zertifizierung eine stetige Weiterbildung nachgewiesen werden.
Der CISSP ist ISO 17024:2003 akkreditiert.

Merkmale vom T.I.S.P.

Geringere Anforderungen an die Berufserfahrung, nur 3 Jahre.
Nur in Deutschland anerkannt (oder vielleicht auch im sonstigen DACH-Raum).
Schulung ist zwingend erforderlich.
Aktuell drei Schulungsanbieter: Frauenhofer SIT, secorvo und isits.
Leichte Ausrichtung auf „deutsche Themen“ wie BSI, BDSG usw.
Keine Aspekte zur sicheren Softwareentwicklung.
Auch hier muss zum Erhalt der Zertifizierung ein aber etwas geringerer Weiterbildungsaufwand nachgewiesen werden.
Zusätzlich muss einmal alle drei Jahre ein TISP-Community-Meeting besucht werden.
Eine Akkreditierung nach ISO 17024:2003 ist nicht vorhanden.

Nachdem ich beide Zertifizierungen halte, würde ich den CISSP dem TISP vorziehen. Die Internationalität schlägt klar die wenigen speziell deutschen Themen vom TISP. Das BDSG & Co kann man sich auch zusätzlich zum CISSP als Einschlaflektüre zu Gemüte ziehen. Auch finde ich es vorteilhaft, wenn man nicht zwingend einen Vorbereitungskurs besuchen muss, wie es beim TISP notwendig ist. Je nach eigenem Kenntnisstand und Berufserfahrung kann das reine Zeit- und Geldverschwendung sein. Vorteilhaft ist meiner Ansicht nach der TISP nur, wenn man nicht die für den CISSP notwendige Berufserfahrung besitzt und ohnehin gerne einen Kurs besuchen möchte oder muss. Zumal die Vorbereitungskurse zum TISP günstiger als die CISSP-Bootcamps sind.