Im dritten Semester steht die Abschlussarbeit an: Die Master-Thesis. Ansonsten war das Semester unspektakulär und ohne Vorlesungen. Ich konnte mich mit einem Thema beschäftigen, das ich immer noch spannend finde: „Messung von Informationssicherheit“ Wann ist etwas sicher und wie kann ich es messen?
Ob sich das Studium lohnt, hängt natürlich vom individuellen Fall ab. Ich versuche die Fragestellung von der anderen Seite anzugehen. Für wen lohnt es sich nicht? Für alle, die einen CISSP, CISM, CISA, TISP usw. besitzen und keinen Master als weiteren Abschluss benötigen. Es ist ganz klar, auch ein aufbauendes Studium richtet sich nicht an Professionals. Im Umkehrschluss kann es sich für alle lohnen, die nach einem Diplom oder Bachelor noch einen Master machen möchten und eine formale Qualifikation im Bereich Security Management anstreben.
Dennoch muss man klar sagen, dass man im Sicherheitsumfeld Berufserfahrung benötigt. Ein Abschluss kann helfen, muss aber nicht. Ich halte es für unwahrscheinlich, dass ein Absolvent des Studiums Security Management ohne mindestens ein paar Jahre Berufserfahrung in die Position eines CISOs mit Verantwortung kommt. Ausnahmen bestätigen sicherlich die Regel. Und es gibt immer noch genug Unternehmen in Deutschland, bei denen „Studierte“ höher angesehen werden als „Praktiker“. Für realistischer halte ich eher eine fachliche Mitarbeit in einer größeren Security-Abteilung. Aber auch für einen tieferen Einstieg in den Bereich IT-Security wie z.B. Penetration Testing kann das Studium sinnvoll sein. Man sollte dann eben seine Semesterarbeiten, die Projektarbeit und die Master-Thesis geschickt wählen.
Ich selbst trug bereits zu meinem Beginn des Studiums die Verantwortung für den Bereich Security & PCI-Compliance bei einem internationalen Internet Payment Service Provider in Frankfurt. Fachlich hat mir das Studium dennoch weitergeholfen und ich würde es nochmal machen. Einzig negativ ist der mit einem Studium verbundene extrem hohe Aufwand. Dagegen ist die Vorbereitung für die CISSP-Prüfung ein Witz. Den persönlichen Aufwand sollte man am besten vor der Immatrikulation abschätzen. Einen Master gibt es weder ohne großen Aufwand noch umsonst. Wer neben einer Vollzeitstelle einen Master of Science in Security Management anstrebt, kann seiner Freizeit für einige Zeit lebe wohl sagen. Lohnen kann es sich natürlich trotzdem ;-).
Im Studium werden bei den Studenten keine speziellen Vorkenntnisse voraus gesetzt. In allen Vorlesungen steigt man inhaltlich am Anfang ein und steigert sich mal mehr, mal weniger schnell. Soweit entspricht das auch den üblichen Erwartungen an ein Studium. Security Management ist vom Schwierigkeitsgrad ähnlich mit Wirtschaftsinformatik zu vergleichen.
Security Management wird an der FH Brandenburg ganzheitlich gelehrt, d.h. es handelt sich im Studium nicht primär um IT-Security. So werden alle Aspekte von IT-Security bis Gebäudesicherheit behandelt. Komplett ohne grundlegende IT-Kenntnisse wird es dennoch schwierig, bei Vorlesungen wie Netzwerksicherheit mitzuhalten. Wer z.B. den Unterschied von tcp zu udp kennt, wird in ein paar Fächern einen Vorteil besitzen. Voraussetzung für das Studium ist es aber nicht. Ich habe Studenten gesehen, die nicht wie viele aus der IT-Ecke kamen und das Studium trotzdem erfolgreich abgeschlossen haben. Man sollte sich also davon nicht abschrecken lassen.
Abgesehen von IT gibt es noch einen Bereich, in dem Vorkenntnisse helfen: Wissenschaftliches Arbeiten. Anscheinend – und ich nehme mein vorheriges Studium nicht aus – scheint das Schreiben wissenschaftlicher Arbeiten an manchen Hochschulen bzw. Studiengängen keine große Relevanz zu besitzen. Schlimm. In diesem Master-Studium muss man mindestens zwei wissenschaftliche Arbeiten schreiben: Semesterarbeit 1 und 2. Dazu kommt noch die Projektarbeit und bei mir eine umfangreiche Arbeit für die Vorlesung Recht. Man muss sich hier schon anstrengen, um bei seiner Master-Thesis immer noch grundlegende Fehler beim wissenschaftlichen Arbeiten zu machen. Wenn man das wissenschaftliche Schreiben bereits bei seinem Diplom oder Bachelor gelernt hat, wird das von Vorteil sein. Leider ist das meiner Erfahrung nach nicht die Regel.
Ich bekomme eigentlich genug E-Mails, privat sowie beruflich. Auch über SPAM kann ich mich nicht beschweren, meine Filter haben genug zu tun. Sobald man an der FH Brandenburg studiert, erhöht sich das Mailaufkommen nochmals. Und zwar subjektiv gefühlt enorm. Es kommen regelmäßig Mails in das eigene Postfach, z.B. über:
Mindestens 95% der Informationen in den Mails sind für mich wertlos. Nachdem jedoch alle Mails an offizielle Verteiler der FH geschickt werden, kann man nicht einfach alle per Filter in den Papierkorb verschieben. Es könnte etwas wirklich Wichtiges dabei sein.
Ich finde es total sinnlos, z.B. alle FH-Angehörige über einen Ausfall der WLAN-Sprechstunde zu informieren. Man muss auch nicht den 3. in der Woche verlorenen bzw. gefundenen USB-Stick an alle melden. Kann man solche Informationen nicht einfach auf der Homepage der FH unter Fundstelle veröffentlichen? Man stelle sich mal vor, man würde in einem Unternehmen jede Kleinigkeit an ALLE verschicken. Das macht man einfach nicht. Nur weil Mails nichts kosten, kann man sie als Werkzeug dennoch sinnvoll einsetzen. Bitte ändert das zukünftig und lehrt euren Studenten lieber einen sinnvollen Umgang mit Mailverteilern!
Die Mensa der Fachhochschule Brandenburg ist mit Abstand die beste Mensa gewesen, in der ich gegessen habe. Das Essen dort ist natürlich nicht vergleichbar mit einem richtigen Restaurant, aber für eine Mensa durchaus akzeptabel. Günstig war es ohnehin immer und auch die Salatbar war vollkommen in Ordnung.
In der Cafeteria unterhalb der Mensa gab es neben Brötchen & Co sogar richtig guten Kaffee inklusive kostenloser laktosefreier Milch. Für einen Euro ist der Kaffee aus dem Vollautomaten sein Geld wert gewesen. Wenn man Abstriche im Geschmack gemacht hat, gab es auch noch günstigeren Kaffee.
Die Leitung des Studiengangs hatte zu meiner Zeit Prof. Dr. Friedrich Holl inne, der in Zusammenarbeit mit Prof. Dr. Sachar Paulus den Studiengang koordinierte. Andere Professoren waren meist Honorarprofessoren aus der Wirtschaft (z.B. in Forensik) oder andere Professoren der Hochschule (z.B. in Kryptographie).
Meiner Ansicht nach ist Sachar Paulus ein hervorragender Dozent, der u.a. als Chief Security Officer für SAP gearbeitet hatte. Friedrich Holl hatte ich selbst nie in einer Vorlesung gehört. Er betreute bzw. koordinierte die Betreuung der Semesterarbeite 1 und 2 sowie der Projektarbeit. Beide waren stets sehr fair und sind auch auf die Bedürfnisse ihrer Studenten sehr gut eingegangen. Top!
Die Atmosphäre im Studiengang fand ich einzigartig. Ich hatte zuvor bereits an der Technischen Hochschule Mittelhessen (THM) sowie an der Johann Wolfgang Goethe-Universität studiert, aber ein solche direktes und offenes Verhältnis zwischen Studenten und Professoren war mir neu. Der Kulturschock am Anfang: Die meisten Profs in diesem Studiengang duzen nicht nur ihre Studenten, die Studenten duzen auch ihre Profs. Daraus ergibt sich eine viel bessere Atmosphäre, solange die Studenten das „Duzen“ nicht falsch verstehen.
Aus anderen Studiengängen kenne ich Aussagen wie: „Es ist ihr Problem, wenn Sie nicht zu meiner Sprechstunde kommen können, weil sie arbeiten. Sie sind schließlich Student.“ Unvorstellbar, dass das im Studiengang Security Management an der Fachhochschule Brandenburg passieren kann. Es können natürlich keine Prüfungstermine verschoben werden, aber grundsätzlich konnte man auf Verständnis hoffen, wenn es zwischen Studium und Beruf Probleme gab. Nochmals: Top!
Nachdem ich das Studium in sechs Semestern und nicht in drei Semestern absolviert hatte, bin ich zwei Jahrgängen an Studenten begegnet. Beide Jahrgänge bestanden aus etwas weniger als 20 Studenten, wobei ich nicht die offiziellen Immatrikulationszahlen kenne. In den Vorlesungen saßen meist etwa 15, manchmal mehr und manchmal weniger. Der größte Teil der Studenten kam immer aus dem Raum Brandenburg, Berlin, Potsdam und Umgebungen. Der größte Teil hatte zuvor bereits an der Fachhochschule Brandenburg seinen Bachelor gemacht. Es waren viele Wirtschaftsinformatiker vertreten. Die meisten dürften davon etwa in der Altersgruppe 25-30 gewesen sein.
In beiden Jahrgängen gab es Studenten, die eine regelmäßig deutlich größere Anfahrt für den Studiengang in Kauf genommen hatten. Diese waren meist deutlich älter und standen bereits fest im Berufsleben. Nachdem das Studium eine Mindestberufserfahrung benötigt, hatte ich bei meiner Immatrikulation mit einem größeren Anteil dieser Gruppe gerechnet. Immerhin gehört zu einem Security Manager nicht unbedingt ein Abschluss, sondern zwingend ausreichend Berufserfahrung. Der Master ist nur nice to have.
Die beiden „Gruppen“ haben aber immer gut zusammen harmonisiert. Es gab auch keine Gruppierungen, das wäre vielleicht auch etwas überzeichnet ausgedrückt. Ich fand es insgesamt sehr harmonisch, aber gut durchmischt. Wenn die Studenten etwas mehr Berufserfahrung besessen hätten, wäre es kein Nachteil gewesen.
Im zweiten Semester gab es folgende Veranstaltungen:
Ich hatte in diesem Semester nur das Wahlpflichtfach Organisatorische Aspekte der IT-Forensik gewählt und war sehr zufrieden damit. Insgesamt ist der Arbeitsaufwand in diesem Semester deutlich höher als im ersten. Das liegt insbesondere an der Projektarbeit, die einen gewissen Mindestumfang besitzt und dessen Umfang auch protokolliert werden muss. Während die notwendige Arbeitslast bei anderen Fächern in der Realität und unabhängig von den Credit Points eher vom Fach, vom Dozenten und von den eigenen Kenntnissen abhängt.
Von den Pflichtfächern fand ich Sichere Softwareentwicklung, Krisenmanagement im internationalen Kontext und Netzwerksicherheitsmanagement am besten. Bei Gebäudesicherheit habe ich die Vorlesung nicht besucht und mich auf die Prüfung nur mit den Vorlesungsunterlagen vorbereitet. Unternehmensführung war leider nicht sehr gut und es gab beim nächsten Jahrgang auch eine Änderungen des Dozenten.
Im ersten Semester gab es folgende Veranstaltungen:
Als Wahlpflichtfächer habe ich IT-Forensik und Non-Proliferation gehört. Besonders gut gefallen haben mir davon die beiden Wahlpflichtfächer sowie Grundlagen Security Management. Die restlichen Vorlesungen waren nicht schlecht, stachen aber auch nicht hervor. Von allen Vorlesungen war der Arbeitsaufwand für Recht mit Abstand am höchsten. Die meisten anderen vielen mir aufgrund meines Erfahrungsschatzes relativ leicht.
Die Vorlesungen Kryptographie, Netzwerksicherheit, Grundlagen sicherer Kommunikation vermitteln solide Grundkenntnisse in diesen Bereichen. Der mathematische Umfang in Kryptographie war sehr beschränkt. Die vermittelten Inhalte waren durch alle Fächer hinweg für einen „Security Manager“ sicherlich ausreichend. Pentester sind hier verkehrt. Die Studenten wissen danach z.B. warum ein DES unsicher ist und wofür man LDAP benötigt. Für Studenten ohne nennenswerte Berufserfahrung und umfangreiche IT- sowie Security-Kenntnisse ist das dennoch viel gewesen. Es hilft sicherlich, wenn man mit tcp, nmap, gpg usw. schon Erfahrungen gesammelt hat. Von 0 auf 100 ist ansonsten hart.
Grundlagen Security Management hielt Prof. Dr. Sachar Paulus, der ohne Zweifel zu einem der besten Professoren in diesem Gebiet zählt. Er kommt aus der Praxis (SAP) und hat eine sehr gute didaktische Art und Weise Inhalte ansprechend zu vermitteln. Das möchte ich an dieser Stelle nochmals explizit lobend erwähnen.
Die Vorlesung IT-Forensik hatte einen sehr hohen praktischen Anteil und war sehr lehrreich. Als Abschlussarbeit bekamen wir ein ISO-Image eines Windows-Clients und mussten eine forensische Untersuchung durchführen sowie den dazugehörigen Report erstellen. Top!
Die Vorlesung Non-Proliferation handelt thematisch von den Bemühungen die Verbreitung von nuklearem, waffenfähigem Material zu kontrollieren. Thematisch etwas außergewöhnlich, war die Vorlesung dennoch interessant. Es war übrigens auch die einzige, die ausschließlich in Englisch gehalten wurde. Als Dozentin wurde Elena K. Sokova eingeflogen. Ich kann diese Veranstaltung nur empfehlen, insbesondere wenn man seinen Horizont erweitern möchte.
Ich stehe kurz vor dem Abschluss Master of Science in Security Management und warte nur noch auf den Termin zur Verteidigung meiner Master-Thesis. Ich möchte in mehreren Blog-Einträgen meine gemachten Erfahrungen und Empfehlungen weitergeben.
Den Studiengang Security Management gibt es an der Fachhochschule Brandenburg seit dem Wintersemester 2006/2007 und ist in Deutschland auch 2013 immer noch der einzige Studiengang für diesen speziellen Querschnittsbereich zwischen IT, Management und Sicherheit. Er ist ein Vollzeitstudium in 3 Semestern, wobei Teilzeit in 6 in Semestern mittlerweile auch möglich ist. Das Studium ist ein Präsensstudium. Im Gegensatz zu vielen anderen Präsensstudiengängen finden Vorlesungen in der Regel freitags, samstags und montags statt, sodass man den Studiengang neben einer eigentlichen Vollzeitberufstätigkeit besuchen kann, auch wenn man nicht aus dem Land Brandenburg oder Berlin kommt. Das setzt natürlich ein sehr gutes Zeitmanagement und eine selbstquälerische Einstellung voraus. Die meisten Studenten kommen daher auch aus dem geographischen Umfeld wie z.B. aus Potsdam. Es gibt innerhalb des Studiums folgende Profilrichtungen:
Die Kosten liegen bei etwa 450€ / Semester. Für einen Studium an einer staatlichen Hochschule ist das recht viel. Auf der anderen Seite kosten private Master-Studiengänge gerne ein Vielfaches. In den Semestergebühren ist wie üblich ein Semesterticket enthalten, dass die kostenlose Nutzung öffentlicher Verkehrsinfrastruktur im Bereich Brandenburg / Berlin ermöglicht. Nachdem der Studiengang kein Fernstudium sondern ein Präsenzstudium ist, fallen je nach eigenem Wohnort natürlich erhebliche Reisekosten an. Anfallende Hotel- und Fahrtkosten sind schnell wesentlich höher als der eigentliche Semesterbeitrag. Allein ein Zugticket nach Brandenburg von Frankfurt/Main (2. Klasse, Bahncard 50) kostet Hin- und Zurück 100€. Muss man dazu noch in einem Hotel Unterkunft suchen, ist man bei mehreren Hundert Euro pro Studienwochenende (Freitag, Samstag, Sonntag, Montag). Immerhin kann man die Kosten von der Steuer absetzen, sodass sich das wieder etwas reduziert. Günstig ist das Studium somit aber auch nur, wenn man dort aus der Umgebung kommt.
Für offizielle Informationen: www.security-management.de
