Erfahrungsbericht

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 5: Die Professoren

Leave a Comment

Die Leitung des Studiengangs hatte zu meiner Zeit Prof. Dr. Friedrich Holl inne, der in Zusammenarbeit mit Prof. Dr. Sachar Paulus den Studiengang koordinierte. Andere Professoren waren meist Honorarprofessoren aus der Wirtschaft (z.B. in Forensik) oder andere Professoren der Hochschule (z.B. in Kryptographie).

Meiner Ansicht nach ist Sachar Paulus ein hervorragender Dozent, der u.a. als Chief Security Officer für SAP gearbeitet hatte. Friedrich Holl hatte ich selbst nie in einer Vorlesung gehört. Er betreute bzw. koordinierte die Betreuung der Semesterarbeite 1 und 2 sowie der Projektarbeit. Beide waren stets sehr fair und sind auch auf die Bedürfnisse ihrer Studenten sehr gut eingegangen. Top!

Die Atmosphäre im Studiengang fand ich einzigartig. Ich hatte zuvor bereits an der Technischen Hochschule Mittelhessen (THM) sowie an der Johann Wolfgang Goethe-Universität studiert, aber ein solche direktes und offenes Verhältnis zwischen Studenten und Professoren war mir neu. Der Kulturschock am Anfang: Die meisten Profs in diesem Studiengang duzen nicht nur ihre Studenten, die Studenten duzen auch ihre Profs. Daraus ergibt sich eine viel bessere Atmosphäre, solange die Studenten das „Duzen“ nicht falsch verstehen.

Aus anderen Studiengängen kenne ich Aussagen wie: „Es ist ihr Problem, wenn Sie nicht zu meiner Sprechstunde kommen können, weil sie arbeiten. Sie sind schließlich Student.“ Unvorstellbar, dass das im Studiengang Security Management an der Fachhochschule Brandenburg passieren kann. Es können natürlich keine Prüfungstermine verschoben werden, aber grundsätzlich konnte man auf Verständnis hoffen, wenn es zwischen Studium und Beruf Probleme gab. Nochmals: Top!

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 4: Die Studenten

Leave a Comment

Nachdem ich das Studium in sechs Semestern und nicht in drei Semestern absolviert hatte, bin ich zwei Jahrgängen an Studenten begegnet.  Beide Jahrgänge bestanden aus etwas weniger als 20 Studenten, wobei ich nicht die offiziellen Immatrikulationszahlen kenne. In den Vorlesungen saßen meist etwa 15, manchmal mehr und manchmal weniger. Der größte Teil der Studenten kam immer aus dem Raum Brandenburg, Berlin, Potsdam und Umgebungen. Der größte Teil hatte zuvor bereits an der Fachhochschule Brandenburg seinen Bachelor gemacht. Es waren viele Wirtschaftsinformatiker vertreten. Die meisten dürften davon etwa in der Altersgruppe 25-30 gewesen sein.

In beiden Jahrgängen gab es Studenten, die eine regelmäßig deutlich größere Anfahrt für den Studiengang in Kauf genommen hatten. Diese waren meist deutlich älter und standen bereits fest im Berufsleben. Nachdem das Studium eine Mindestberufserfahrung benötigt, hatte ich bei meiner Immatrikulation mit einem größeren Anteil dieser Gruppe gerechnet. Immerhin gehört zu einem Security Manager nicht unbedingt ein Abschluss, sondern zwingend ausreichend Berufserfahrung. Der Master ist nur nice to have.

Die beiden „Gruppen“ haben aber immer gut zusammen harmonisiert. Es gab auch keine Gruppierungen, das wäre vielleicht auch etwas überzeichnet ausgedrückt. Ich fand es insgesamt sehr harmonisch, aber gut durchmischt. Wenn die Studenten etwas mehr Berufserfahrung besessen hätten, wäre es kein Nachteil gewesen.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 3: 2. Semester

Leave a Comment

Im zweiten Semester gab es folgende Veranstaltungen:

  • Gebäudesicherheit
  • Krisenmanagement im internationalen Kontext
  • Netzwerksicherheitsmanagement
  • Sichere Softwareentwicklung
  • Unternehmensführung
  • Semesterarbeit 2
  • Projekt
  • Organisatorische Aspekte der IT-Forensik (WPF)

Ich hatte in diesem Semester nur das Wahlpflichtfach Organisatorische Aspekte der IT-Forensik gewählt und war sehr zufrieden damit. Insgesamt ist der Arbeitsaufwand in diesem Semester deutlich höher als im ersten. Das liegt insbesondere an der Projektarbeit, die einen gewissen Mindestumfang besitzt und dessen Umfang auch protokolliert werden muss. Während die notwendige Arbeitslast bei anderen Fächern in der Realität und unabhängig von den Credit Points eher vom Fach, vom Dozenten und von den eigenen Kenntnissen abhängt.

Von den Pflichtfächern fand ich Sichere Softwareentwicklung, Krisenmanagement im internationalen Kontext und Netzwerksicherheitsmanagement am besten. Bei Gebäudesicherheit habe ich die Vorlesung nicht besucht und mich auf die Prüfung nur mit den Vorlesungsunterlagen vorbereitet. Unternehmensführung war leider nicht sehr gut und es gab beim nächsten Jahrgang auch eine Änderungen des Dozenten.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 2: 1. Semester

Leave a Comment

Im ersten Semester gab es folgende Veranstaltungen:

  • Grundlagen sicherer Kommunikation
  • Kryptographie
  • Netzwerksicherheit
  • Recht
  • Grundlagen Security Management
  • Semesterarbeit 1

Als Wahlpflichtfächer habe ich IT-Forensik und Non-Proliferation gehört. Besonders gut gefallen haben mir davon die beiden Wahlpflichtfächer sowie Grundlagen Security Management. Die restlichen Vorlesungen waren nicht schlecht, stachen aber auch nicht hervor. Von allen Vorlesungen war der Arbeitsaufwand für Recht mit Abstand am höchsten. Die meisten anderen vielen mir aufgrund meines Erfahrungsschatzes relativ leicht.

Die Vorlesungen Kryptographie, Netzwerksicherheit, Grundlagen sicherer Kommunikation vermitteln solide Grundkenntnisse in diesen Bereichen. Der mathematische Umfang in Kryptographie war sehr beschränkt. Die vermittelten Inhalte waren durch alle Fächer hinweg für einen „Security Manager“ sicherlich ausreichend. Pentester sind hier verkehrt. Die Studenten wissen danach z.B. warum ein DES unsicher ist und wofür man LDAP benötigt. Für Studenten ohne nennenswerte Berufserfahrung und umfangreiche IT- sowie Security-Kenntnisse ist das dennoch viel gewesen. Es hilft sicherlich, wenn man mit tcp, nmap, gpg usw. schon Erfahrungen gesammelt hat. Von 0 auf 100 ist ansonsten hart.

Grundlagen Security Management hielt Prof. Dr. Sachar Paulus, der ohne Zweifel zu einem der besten Professoren in diesem Gebiet zählt. Er kommt aus der Praxis (SAP) und hat eine sehr gute didaktische Art und Weise Inhalte ansprechend zu vermitteln. Das möchte ich an dieser Stelle nochmals explizit lobend erwähnen.

Die Vorlesung IT-Forensik hatte einen sehr hohen praktischen Anteil und war sehr lehrreich. Als Abschlussarbeit bekamen wir ein ISO-Image eines Windows-Clients und mussten eine forensische Untersuchung durchführen sowie den dazugehörigen Report erstellen. Top!

Die Vorlesung Non-Proliferation handelt thematisch von den Bemühungen die Verbreitung von nuklearem, waffenfähigem Material zu kontrollieren. Thematisch etwas außergewöhnlich, war die Vorlesung dennoch interessant. Es war übrigens auch die einzige, die ausschließlich in Englisch gehalten wurde. Als Dozentin wurde Elena K. Sokova eingeflogen. Ich kann diese Veranstaltung nur empfehlen, insbesondere wenn man seinen Horizont erweitern möchte.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 1: Einführung und Kosten

Leave a Comment

Ich stehe kurz vor dem Abschluss Master of Science in Security Management und warte nur noch auf den Termin zur Verteidigung meiner Master-Thesis. Ich möchte in mehreren Blog-Einträgen meine gemachten Erfahrungen und Empfehlungen weitergeben.

Den Studiengang Security Management gibt es an der Fachhochschule Brandenburg seit dem Wintersemester 2006/2007 und ist in Deutschland auch 2013 immer noch der einzige Studiengang für diesen speziellen Querschnittsbereich zwischen IT, Management und Sicherheit. Er ist ein Vollzeitstudium in 3 Semestern, wobei Teilzeit in 6 in Semestern mittlerweile auch möglich ist. Das Studium ist ein Präsensstudium. Im Gegensatz zu vielen anderen Präsensstudiengängen finden Vorlesungen in der Regel freitags, samstags und montags statt, sodass man den Studiengang neben einer eigentlichen Vollzeitberufstätigkeit besuchen kann, auch wenn man nicht aus dem Land Brandenburg oder Berlin kommt. Das setzt natürlich ein sehr gutes Zeitmanagement und eine selbstquälerische Einstellung voraus. Die meisten Studenten kommen daher auch aus dem geographischen Umfeld wie z.B. aus Potsdam. Es gibt innerhalb des Studiums folgende Profilrichtungen:

  • Informationssicherheit
  • Business Continuity und Krisenmanagement
  • Forensik
  • Anlagen- und Reaktorsicherheit
  • Cyberwar und Cybersecurity

Die Kosten liegen bei etwa 450€ / Semester. Für einen Studium an einer staatlichen Hochschule ist das recht viel. Auf der anderen Seite kosten private Master-Studiengänge gerne ein Vielfaches.  In den Semestergebühren ist wie üblich ein Semesterticket enthalten, dass die kostenlose Nutzung öffentlicher Verkehrsinfrastruktur im Bereich Brandenburg / Berlin ermöglicht. Nachdem der Studiengang kein Fernstudium sondern ein Präsenzstudium ist, fallen je nach eigenem Wohnort natürlich erhebliche Reisekosten an. Anfallende Hotel- und Fahrtkosten sind schnell wesentlich höher als der eigentliche Semesterbeitrag. Allein ein Zugticket nach Brandenburg von Frankfurt/Main (2. Klasse, Bahncard 50) kostet Hin- und Zurück 100€. Muss man dazu noch in einem Hotel Unterkunft suchen, ist man bei mehreren Hundert Euro pro Studienwochenende (Freitag, Samstag, Sonntag, Montag). Immerhin kann man die Kosten von der Steuer absetzen, sodass sich das wieder etwas reduziert. Günstig ist das Studium somit aber auch nur, wenn man dort aus der Umgebung kommt.

Für offizielle Informationen: www.security-management.de

Der Vergleich: CISSP vs. TISP

Leave a Comment

Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.?

Merkmale vom CISSP:

  • Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre.
  • Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden
  • International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab.
  • Beinhaltet Aspekte zur sicheren Softwareentwicklung.
  • Ist international anerkannt.
  • Die Vorbereitung zur Prüfung ist jedem Prüfling selbst überlassen. Eine Schulung ist kein muss.
  • Ist grundsätzlich thematisch umfangreicher.
  • Es muss zur Erhalt der Zertifizierung eine stetige Weiterbildung nachgewiesen werden.
  • Der CISSP ist ISO 17024:2003 akkreditiert.

Merkmale vom T.I.S.P.

  • Geringere Anforderungen an die Berufserfahrung, nur 3 Jahre.
  • Nur in Deutschland anerkannt (oder vielleicht auch im sonstigen DACH-Raum).
  •  Schulung ist zwingend erforderlich.
  • Aktuell drei Schulungsanbieter: Frauenhofer SIT, secorvo und isits.
  • Leichte Ausrichtung auf „deutsche Themen“ wie BSI, BDSG usw.
  • Keine Aspekte zur sicheren Softwareentwicklung.
  • Auch hier muss zum Erhalt der Zertifizierung ein aber etwas geringerer Weiterbildungsaufwand nachgewiesen werden.
  • Zusätzlich muss einmal alle drei Jahre ein TISP-Community-Meeting besucht werden.
  • Eine Akkreditierung nach ISO 17024:2003 ist nicht vorhanden.

Nachdem ich beide Zertifizierungen halte, würde ich den CISSP dem TISP vorziehen. Die Internationalität schlägt klar die wenigen speziell deutschen Themen vom TISP. Das BDSG & Co kann man sich auch zusätzlich zum CISSP als Einschlaflektüre zu Gemüte ziehen. Auch finde ich es vorteilhaft, wenn man nicht zwingend einen Vorbereitungskurs besuchen muss, wie es beim TISP notwendig ist. Je nach eigenem Kenntnisstand und Berufserfahrung kann das reine Zeit- und Geldverschwendung sein. Vorteilhaft ist meiner Ansicht nach der TISP nur, wenn man nicht die für den CISSP notwendige Berufserfahrung besitzt und ohnehin gerne einen Kurs besuchen möchte oder muss. Zumal die Vorbereitungskurse zum TISP günstiger als die CISSP-Bootcamps sind.

Erfahrungen zur CISM-Prüfung

Leave a Comment

Ich hatte vor ein paar Wochen die CISM-Prüfung abgelegt und nun das Ergebnis erhalten: Bestanden mit 563 Punkten. Insbesondere nachdem ich für die Prüfung weniger als die Hälfte der Zeit – unter 2 von 4 Stunden – benötigt hatte, bin ich mit dem Ergebnis sehr zufrieden.

Meine Vorbereitung zur Prüfung bestand aus dem  CISM Review Manual 2013 und der CISM Practice Question Database v13. Ich finde das Review Manual sehr trocken geschrieben und es ist bei mir nach dem ersten Querlesen wieder im Schrank verschwunden. Das Review Manual kann ich nicht empfehlen. Wesentlich hilfreicher war für mich die CISM Practice Question Database, sodass sich meine gesamte Vorbereitung auf diesen Fragekatalog gestützt hat. Ein bis zwei Wochen vor der Prüfung ab und zu mal ein paar Fragen aus der Datenbank zu beantworten, war für mich am sinnvollsten. Im Gegensatz zum Review Manual war die Practice Question Database sein Geld absolut wert.

Die Prüfung selbst habe ich in einem Frankfurter Hotel abgelegt. Es gab kostenlose Getränke, aber Kaffee habe ich sehr vermisst. Wer an einem Samstagmorgen Kaffee benötigt, sollte vorher seine Koffeinversorgung sicherstellen! Die Organisatoren der Prüfer vor Ort schienen mir mit der Masse an CISA, CISM & Co. Prüflingen etwas überfordert, es lief aber insgesamt alles problemlos ab. Das Hinterherlaufen eines Prüfers, wenn man die Toilette besucht, fand ich etwas übertrieben. Natürlich sind sie draußen vor der Toilettentür stehen geblieben.  Auf dem paranoiden Niveau fehlte eigentlich nur noch eine Prüfung, ob man nicht doch ein Smartphone irgendwo am Körper hat.

Ich fand die CISSP-Prüfung im Vergleich zum CISM anstrengender, nachdem der CISSP wesentlich mehr unterschiedliche Kategorien beinhaltet. Da ist in dieser Hinsicht der CISM mit seinen nur vier nicht-technischen Kategorien einfacher.

Erfahrungen zum TISP

Leave a Comment

Ich habe letzten Samstag die TISP-Prüfung abgelegt und zuvor den Pflicht-Kurs besucht. Im Gegensatz zum CISSP fehlte mir insbesondere der gesamten Themenpunkt von Sicherheit im Softwarelebenszyklus. Hier hinkt meiner Meinung nach der TISP gegenüber dem CISSP inhaltlich sehr hinterher. Ansonsten merkt man dem TISP seine „Verwandtschaft“ zum CISSP deutlich an. Die Hinzunahme relevanter deutscher Punkte wie BSI und diverse Gesetze ist durchaus gelungen. Auch wenn ich die starke Ausrichtung zumindest im Kurs an BSI nicht direkt verstehen kann. Im Gegensatz zur TISP FAQ denke ich auch nicht, dass der IT-Grundschutz in Europe irgendeine nennenswerte Bedeutung hat.[1] Leider negativ ist mir noch aufgefallen, dass z.B. das Frauenhofer SIT und secorvo unterschiedliche Definitionen des ROSI verwenden. Das spricht nicht direkt für ein einheitliches Qualitätsmanagement.

[1] Vgl. http://www.teletrust.de/tisp/tisp-faq/, Stand 02.07.2013

Erfahrungen zur CISSP-Prüfung

2 Comments

Ich habe Ende 2012 erfolgreich die Prüfung zum CISSP bestanden und möchte noch meine Erfahrungen dazu mitteilen. Zur Prüfungsvorbereitung habe ich ausschließlich folgende Bücher benutzt:

  • CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart, Mike Chapple und Darril Gibson
  • CISSP All-in-One Exam Guide von Shon Harris
  • Official (ISC)2 Guide to the CISSP CBK ((ISC)2 Press) von Harold F. Tipton

Der Study Guide von Stewart/Chapple/Gibson lässt sich relativ locker lesen und könnte auch ausreichend sein. Das Buch von Harris geht stellenweise mehr in die Tiefe, war aber zu dem Zeitpunkt des Kaufs nicht an das aktuelle CBK angepasst (im Gegensatz zum vorher genannten Study Guide). Beide Bücher waren insbesondere zusammen für mich ausreichend. Den offiziellen Guide kann ich weniger empfehlen. Er liest sich einfach zu trocken.

Die Zeit in der Prüfung war für mich mehr als komfortabel. Neben theoretischen Kenntnissen und praktischen Erfahrungen, die in der Prüfung abgefragt werden, sollte man auch die eigene Konzentration über einen längeren Zeitraum aufrecht halten können. So schnell man die ersten Fragen beantwortet, so langsam wird es dann am Ende. Nachdem man während der Prüfung auf Toilette gehen kann, sollte man die Gelegenheit nutzen die Beine zu vertreten um kurz etwas anderes zu sehen als den Prüfungsbildschirm. Man kann zwar – genug Zeit vorausgesetzt – am Ende nochmals alle Fragen durchgehen, vielleicht ist dazu auch noch genug Zeit, aber ich würde und habe darauf verzichtet.  Am Ende war ich schon froh, dass ich alle Fragen und in der Regel auch mit einem guten Gefühl beantwortet habe. Wie viele andere finde ich es schade, dass man kein genaueres Prüfungsergebnis im Erfolgsfall bekommt als die Information, dass man bestanden hat.