CISM

Die Verbreitung von Sicherheitszertifizierungen wie CISSP, CISM, CISA, CEH, OSCP & Co

9 Comments

Mich hatte die Verbreitung der unterschiedlichen Sicherheitszertifizierungen interessiert. Ich habe dazu eine kleine Statistik mit der erweiterten Suche in Xing aufgestellt. Als Suchbegriff habe ich die Abkürzung vom Zertifikat (z.B. CISSP) und das Schlagwort „Security“ verwendet. Bei OSCP/OSCE hingegen das Schlagwort „Offensive“.

Die Suche in Xing war nicht auf Deutschland begrenzt, die absoluten Zahlen sind sicherlich ungenau und nicht jeder zertifizierte Security-Spezialist ist in Xing angemeldet und hat auch seine Zertifikate eingetragen.

Ich denke aber, dass die relativen Verhältnisse der Verbreitung der Sicherheitszertifizierungen zueinander einigermaßen gut wiedergegeben werden. Das Ergebnis:

2.135 Certified Information Systems Security Professional (CISSP)
1.484 Certified Information Systems Auditor (CISA)
890 Certified Information Security Manager (CISM)
477 Certified Ethical Hacker (CEH)
255 TeleTrusT Information Security Professional (T.I.S.P.)
74 Offensive Security Certified Professional (OSCP)
35 Certified Secure Software Lifecycle Professional (CSSLP)
28 ISSECO Certified Professional for Secure Software Engineering (CPSSE)
23 Offensive Security Certified Expert (OSCE)

Der CISSP vom Isc² ist die verbreitetste Zertifizierung, danach folgen die Certs von ISACA. Der deutsche TISP ist weit abgeschlagen im Vergleich zum CISSP. Zertifikate im Bereich sicherer Softwareentwicklung sind wenig verbreitet (CSSLP / CPSSE). Es gibt wesentlich mehr „Certified Ethical Hacker“ als OSCP/OSCE.

Ansonsten sind 488 CISSP auch CISA, 354 auch CISM, 204 auch CISM und CISA. Auch gibt es nur etwa 8 in Xing, die OSCP und CEH sind. 153 CISSP sind auch CEH, aber nur 12 CISSP auch OSCP.

Beim inhaltlich sehr krassen Unterschied zwischen OSCP und CISM sind es nur noch 6 mit dieser Kombination. OSCP und CISA sind 7. OSCE + CISM sind nur noch 2 und OSCE + CISA nur noch 1. Es scheint nur sehr wenige zu geben, die Security Management oder Audit mit Penetration Testing / Hacking verbinden.

Der Vergleich: CISSP vs. CISM

6 Comments

Der CISSP (Certified Information Systems Security Professional) vom Isc² und der CISM (Certified Information Security Manager) von der ISACA gehören zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen für Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben für Personenzertifizierungen (ISO/IEC Standard 17024).

CISSP und CISM setzten beide 5 Jahre nachweisbare Berufserfahrung in für die Zertifizierung relevanten Bereichen voraus. Das Nachweisverfahren dafür ist etwas unterschiedlich. Beim CISM prüft die ISACA die einzureichenden Unterlagen, während das Isc² für den CISSP auf ein Endorsement-Verfahren setzt. In diesem muss ein anderer CISSP die Aufrichtigkeit, Erfahrung und Kompetenz des Prüflings bescheinigen und dafür bürgen. Zusätzlich kann es einem passieren, dass man zufällig für einen genaueren Review ausgewählt wird.

Die Prüfungen sind bei beiden vergleichbar: Jeweils eine dreistellige Anzahl von Multiple-Choice-Fragen und ein paar Stunden Zeit. Wer so etwas noch nie erlebt hat sei gewarnt, die Prüfungen sind schwer und Multiple-Choice kann wirklich knifflig sein. Ohne gute Vorbereitung, Wissen & Erfahrung und eine gute Konzentrationsfähigkeit, sind beide Prüfungen nicht zu meistern. Im Gegensatz zum CISM kann man den CISSP auch am Computer durchführen und ist nicht so abhängig von ein paar wenigen Prüfungsterminen im Jahr wie beim CISM. Der CISSP ist hier deutlich moderner, wobei die ISACA ihre zentralen Prüfungstermine mit Qualitätssicherung begründet. Man kann darüber unterschiedlicher Meinung sein, welcher Ansatz der bessere ist.

Der größte Unterschied von CISSP und CISM sind ihre Schwerpunkte. Der CISM behandelt die folgenden vier verschiedenen Kategorien:

  • Information Security Governance
  • Information Risk Management und Compliance
  • Information Security Program Development und Management
  • Information Security Incident Management

Man sieht auf den ersten Blick wobei es sich beim CISM dreht: Um das Management von Informationssicherheit. Für IT-Sicherheitsexperten ist es das falsche Zertifikat. Für reine Security Manager, die wenig oder gar kein nennenswerten Bezug zur eigentlich IT & IT-Sicherheit haben, ist es das richtige.

Der CISSP ist wesentlich breiter gefasst:

  • Access Control
  • Telecommunications und Network Security
  • Information Security Governance und Risk Management
  • Software Development Security
  • Cryptography
  • Security Architecture und Design
  • Operations Security
  • Business Continuity und Disaster Recovery Planning
  • Legal, Regulations, Investigations und Compliance
  • Physical (Environmental) Security

Der CISSP beinhaltet auch Inhalte zum Management für Informationssicherheit. Der Fokus liegt aber wesentlich stärker in der IT-Sicherheit. Ich bezweifle, dass man die CISSP-Prüfung ohne Erfahrung und damit ohne praktisches Wissen aus der IT-Sicherheit bestehen kann. Man darf das aber auch nicht falsch verstehen: Der CISSP ist weder eine Prüfung für Penetration Tester noch geht es hier um die Administration von Firewalls und ähnlichen Sicherheitsprodukten. Der CISSP ist eine Zertifizierung für IT-Sicherheitsexperten, Projektleitern im Bereich IT-Sicherheit und Sicherheitsmanagern, die aus der IT kommen. Beim CISSP geht es nicht darum, wie man die Informationssicherheit in einem großen Konzern steuert, sondern z.B. darum welche sicherheitsrelevanten Fragestellungen bei der Softwareentwicklung beachtet werden müssen, wie man Sicherheitssysteme aufsetzt, wie man mit Sicherheitsvorfällen umgeht, welche Vorkehrungen man dafür treffen muss, welche Verschlüsselungstechniken sicher sind, wie ein sicheres Netzwerk aufgebaut ist uvm.

Durch seine wesentlich größere Breite ist der CISSP schwieriger als der CISM. Wer beide anstrebt, sollte erst den CISSP machen. Der CISM ist etwas überspitzt ausgedrückt, dann nur noch eine Wiederholung von 4 Bereichen aus dem CISSP. Der CISM ist nicht schlecht, er ist nur eher für Personen geeignet, die aus dem Umfeld der Security Governance kommen.

Ich halte u.a. selbst beide Zertifikate. Der CISSP ist meine persönliche Number One. Sicherlich ist er nicht perfekt und man kann viele Punkte bei den Inhalten und den Prüfungen kritisieren. Er ist in seiner Qualität und Internationalität dennoch bisher meiner Meinung nach die beste Zertifizierung für diesen Bereich.

Berufszertifikate für IT-Security-Professionals: Welches ist empfehlenswert?

Leave a Comment

Es sind einige Berufszertifikate für IT-Security-Professionals auf dem Markt, mit jeweils unterschiedlichen Schwerpunkten. Ich selbst halte zurzeit u.a. CISSP, CISM und T.I.S.P. und kann insbesondere den CISSP empfehlen. Er ist wesentlich breiter aufgestellt als der CISM und international wesentlich besser anerkannt als der TISP. Wer einen etwas größeren Fokus auf Deutschland besitzt, für den ist vielleicht der TISP empfehlenswerter. Hält man bereits einen CISSP oder TISP, sollte es kein Problem sein im Zweifel auch die andere Zertifizierung zu erlangen. Vom CISM würde ich etwas Abstand nehmen. Er richtet sich zwar explizit an Security Manager, aber man erwartet auch von einem Security Manager Kenntnisse zumindest der wichtigsten Grundlagen in IT-Security.

Der jährliche Preis von CISSP und CISM im Vergleich

Leave a Comment

Ich habe heute die jährlichen Gebühren für den CISSP von Isc² und für den CISM von ISACA beglichen. Zum Erhalt der Zertifizierung reicht dies natürlich nicht, da noch der Nachweis von jährlichen CPEs (Continuous Professional Education) zu erbringen ist. Unabhängig davon möchte der Isc² für den CISSP $85 Maintenance Fee. Das kann man nun als viel, wenig oder angemessen betrachten. Ist auch egal, die ISACA nimmt einem diese Entscheidung ab. Der jährliche Preis dort:

  • $135 für die ISACA-Mitgliedschaft
  • $50 für das German Chapter
  • $45 für den CISM

Jetzt einmal ernsthaft: Nur $230? Also nur das 2,7 fache als für den Erhalt des CISSP von Isc². Das Preis/Leistungsverhältnis halte ich für verbesserungswürdig. Dagegen ist der Erhalt des CISSP günstig.

Der CISSP ist keine Pentester-Zertifizierung

Leave a Comment

Nachdem ich letztens wieder eine Stellenanzeige für einen Penetration Tester gesehen habe, die eine CISSP-Zertifizierung fordert, möchte ich dazu ein paar Worte verlieren. Die Kurzform: Der CISSP hat nichts mit Penetration Testing oder Ethical Hacking zu tun. Absolut nichts.

Im Gegensatz zum CISM (Certified Information Security Manager) ist der CISSP (Certified Information Systems Security Professional) technischer ausgerichtet. Das ist soweit korrekt. Nichtsdestotrotz richtet sich der CISSP an Security-Spezialisten, die zwar ein klein wenig technischer orientiert sind als reine klassische Manager, aber deren primärer Fokus eben nicht Pentesting ist. Überhaupt nicht. Sicherlich gibt es Pentester, die eine CISSP-Zertifizierung nachweisen können. Aber man sollte vielleicht eher Pentester-Zertifizierungen wie OSCP, OSCE oder CEH in Stellenanzeigen oder Ausschreibungen fordern.

Certified Information Security Manager

Leave a Comment

Nach der bestandenen CISM-Prüfung darf ich mich nun offiziell als CISM bezeichnen:

„Congratulations! We are pleased to inform you that on 12 August 2013 the CISM Certification Committee approved your application and awarded you the Certified Information Security Manager (CISM) designation.“

Damit erweitert sich meine Zertifikatssammlung auf CISSP, CISM, T.I.S.P. und CPSSE.

Erfahrungen zur CISM-Prüfung

Leave a Comment

Ich hatte vor ein paar Wochen die CISM-Prüfung abgelegt und nun das Ergebnis erhalten: Bestanden mit 563 Punkten. Insbesondere nachdem ich für die Prüfung weniger als die Hälfte der Zeit – unter 2 von 4 Stunden – benötigt hatte, bin ich mit dem Ergebnis sehr zufrieden.

Meine Vorbereitung zur Prüfung bestand aus dem  CISM Review Manual 2013 und der CISM Practice Question Database v13. Ich finde das Review Manual sehr trocken geschrieben und es ist bei mir nach dem ersten Querlesen wieder im Schrank verschwunden. Das Review Manual kann ich nicht empfehlen. Wesentlich hilfreicher war für mich die CISM Practice Question Database, sodass sich meine gesamte Vorbereitung auf diesen Fragekatalog gestützt hat. Ein bis zwei Wochen vor der Prüfung ab und zu mal ein paar Fragen aus der Datenbank zu beantworten, war für mich am sinnvollsten. Im Gegensatz zum Review Manual war die Practice Question Database sein Geld absolut wert.

Die Prüfung selbst habe ich in einem Frankfurter Hotel abgelegt. Es gab kostenlose Getränke, aber Kaffee habe ich sehr vermisst. Wer an einem Samstagmorgen Kaffee benötigt, sollte vorher seine Koffeinversorgung sicherstellen! Die Organisatoren der Prüfer vor Ort schienen mir mit der Masse an CISA, CISM & Co. Prüflingen etwas überfordert, es lief aber insgesamt alles problemlos ab. Das Hinterherlaufen eines Prüfers, wenn man die Toilette besucht, fand ich etwas übertrieben. Natürlich sind sie draußen vor der Toilettentür stehen geblieben.  Auf dem paranoiden Niveau fehlte eigentlich nur noch eine Prüfung, ob man nicht doch ein Smartphone irgendwo am Körper hat.

Ich fand die CISSP-Prüfung im Vergleich zum CISM anstrengender, nachdem der CISSP wesentlich mehr unterschiedliche Kategorien beinhaltet. Da ist in dieser Hinsicht der CISM mit seinen nur vier nicht-technischen Kategorien einfacher.