Mitgliederversammlung ISACA
Ich war heute auf der Mitgliederversammlung vom ISACA Germany Chapter e.V. Ich musste leider aus beruflichen Gründen kurz vor dem Mittagessen die Versammlung verlassen, konnte mir aber zwei Vorträge anhören.
Der erste Fachvortrag war von Tobias Glemser, der als OWASP German Chapter Lead das „Open Web Application Security Project“ (OWASP) vorgestellt hat. Inhaltlich zwar für mich nichts neues, dafür war der Vortrag gut gemacht und dennoch unterhaltsam. Einer der besseren Vorträge im Security-Bereich, die ich bisher gesehen habe.
Leitfaden Cyber-Sicherheits-Check
Der zweite Vortragende kam vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und stellte den demnächst offiziell erscheinenden „Leitfaden Cyber-Sicherheits-Check“ vor. Dieser soll eine Möglichkeit darstellen, die „Cyber-Sicherheit“ eines Unternehmens oder einer Behörde zu beurteilen. Die Beurteilungskriterien werden auf einer oder mehreren Veröffentlichungen der „Allianz für Cyber-Sicherheit“ beruhen. Nachdem ich letztes Jahr erst meine Master-Thesis über die „Messung von Informationssicherheit“ geschrieben habe, bin ich gespannt darauf, welche Kriterien sich das BSI ausgedacht hat. Technische Analysen werden dort laut Aussage des BSI während dem Vortrag nicht enthalten sein. Ich bin sehr skeptisch, ob eine Prüfung, die technische Details ausblendet, überhaupt aussagekräftig sein kann. Ich befürchte, dass ein „grüner“ Cyber-Sicherheits-Check Unternehmen eher in falscher Sicherheit wiegen könnte!
Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP)
Zusätzlich dazu wird das BSI demnächst eine Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP) anbieten, welche nachweisen soll, dass eine Person ausreichend Wissen über den durchzuführenden Cyber-Sicherheits-Check besitzt. Die Schulung dafür soll einen Tag dauern. Berufserfahrung muss nicht nachgewiesen werden.
Ich persönlich halte das für fatal. Es gibt in Deutschland schon genug zertifizierte oder geprüfte externe Datenschutzbeauftragte, die kaum oder wenig Ahnung von IT- und Informationssicherheit besitzen. Demnächst kann man dann direkt vom BSI als zertifizierter „Cyber-Security-Practicioner CSP) die Sicherheit eines Unternehmens beurteilen. Ich halt das für eine schlechte Entscheidung, man hätte als Qualifikation entweder auf international anerkannte Zertifizierungen wie CISSP, CISM, CISA oder zumindest auf bereits in Deutschland anerkannte Zertifizierungen wie T.I.S.P. zurückgreifen können. Alle diese Zertifikate setzen nicht nur mehrere Jahre einschlägige Berufserfahrung voraus, sondern auch das Bestehen einer mehrstündigen Prüfung. Wir brauchen keine weitere 1-Tages-Schulungs-Zertifizierung, deren Zweck zwar nicht der Nachweis von Kompetenz und Erfahrung ist, diesen aber suggerieren wird – immerhin kommt das Zertifikat von der obersten deutschen Behörde für Sicherheit in der IT und wir Deutsche haben leider manchmal immer noch einen besonders starken Glauben an formale Qualifikationen insbesondere wenn sie von Behörden kommen.
