CPSSE

Die Verbreitung von Sicherheitszertifizierungen wie CISSP, CISM, CISA, CEH, OSCP & Co

9 Comments

Mich hatte die Verbreitung der unterschiedlichen Sicherheitszertifizierungen interessiert. Ich habe dazu eine kleine Statistik mit der erweiterten Suche in Xing aufgestellt. Als Suchbegriff habe ich die Abkürzung vom Zertifikat (z.B. CISSP) und das Schlagwort „Security“ verwendet. Bei OSCP/OSCE hingegen das Schlagwort „Offensive“.

Die Suche in Xing war nicht auf Deutschland begrenzt, die absoluten Zahlen sind sicherlich ungenau und nicht jeder zertifizierte Security-Spezialist ist in Xing angemeldet und hat auch seine Zertifikate eingetragen.

Ich denke aber, dass die relativen Verhältnisse der Verbreitung der Sicherheitszertifizierungen zueinander einigermaßen gut wiedergegeben werden. Das Ergebnis:

2.135 Certified Information Systems Security Professional (CISSP)
1.484 Certified Information Systems Auditor (CISA)
890 Certified Information Security Manager (CISM)
477 Certified Ethical Hacker (CEH)
255 TeleTrusT Information Security Professional (T.I.S.P.)
74 Offensive Security Certified Professional (OSCP)
35 Certified Secure Software Lifecycle Professional (CSSLP)
28 ISSECO Certified Professional for Secure Software Engineering (CPSSE)
23 Offensive Security Certified Expert (OSCE)

Der CISSP vom Isc² ist die verbreitetste Zertifizierung, danach folgen die Certs von ISACA. Der deutsche TISP ist weit abgeschlagen im Vergleich zum CISSP. Zertifikate im Bereich sicherer Softwareentwicklung sind wenig verbreitet (CSSLP / CPSSE). Es gibt wesentlich mehr „Certified Ethical Hacker“ als OSCP/OSCE.

Ansonsten sind 488 CISSP auch CISA, 354 auch CISM, 204 auch CISM und CISA. Auch gibt es nur etwa 8 in Xing, die OSCP und CEH sind. 153 CISSP sind auch CEH, aber nur 12 CISSP auch OSCP.

Beim inhaltlich sehr krassen Unterschied zwischen OSCP und CISM sind es nur noch 6 mit dieser Kombination. OSCP und CISA sind 7. OSCE + CISM sind nur noch 2 und OSCE + CISA nur noch 1. Es scheint nur sehr wenige zu geben, die Security Management oder Audit mit Penetration Testing / Hacking verbinden.

ISSECO Certified Professional for Secure Software Engineering

Leave a Comment

Ich hatte meinen CPSSE vor ein paar Jahren gemacht. Im Gegensatz zum CSSLP von Isc² kommt der CPSSE sowie die dazugehörige Organisation ISSECO (International Secure Software Engineering Council) aus Deutschland. Die ISSECO wurde 2008 in Potsdam gegründet. Inhaltlich beschäftigt sich der CPSSE mit der Sicherheit im Softwarelebenszyklus:

  • Viewpoints of attackers and customers
  • Trust & threat models
  • Methodologies
  • Requirements engineering with respect to security
  • Secure design
  • Secure coding
  • Security testing
  • Secure deployment
  • Security response
  • Security metrics
  • Code & resouce protection

Für die Prüfung zum CPSSE muss ein dreitägiger Schulungskurs absolviert werden. Die Kurse werden von mehreren Anbietern durchgeführt. Für die Vorbereitung gibt es zusätzlich auch ein Buch „Basiswissen Sichere Software“ von Sachar Paulus, welches meiner Meinung nach recht gut ist. Ich hatte keinen Kurs der Anbieter besucht, sondern mir wurde als Kurs die Vorlesung „Sichere Softwareentwicklung“ an der Fachhochschule Brandenburg anerkannt. Die Vorlesung hielt Prof. Dr. Sachar Paulus.

Ich fand den CPSSE leichter als die aus den USA stammenden Zertifikate von Isc² (CISSP) und ISACA (CISM), dennoch sollte man schon über Erfahrung im Bereich Security und Softwareentwicklung besitzen, wenn man die Prüfung zum CPSSE bestehen möchte. Nachdem ich den CSSLP von Isc² nicht habe, kann ich die beiden Zertifizierungen CPSSE und CSSLP nicht vergleichen. Der „deutsche“ CPSSE ist nicht speziell auf deutsche Bereiche ausgerichtet, wie z.B. der T.I.S.P., sondern ist thematisch länderunabhängig. Nachdem ohnehin nur wenige Angebote zur Weiterbildung bzw. Zertifizierung existieren, kann ich den CPSSE durchaus empfehlen.