TISP

Der abnehmende Grenznutzen von Sicherheitszertifizierungen

Leave a Comment

Wie viele Zertifizierungen als IT-Sicherheitsexperte braucht man? Am Anfang dachte ich einmal, viel hilft viel und zu viele Zertifikate kann man nicht haben. Mittlerweile bin ich anderer Meinung: Im Prinzip reicht eine oder auch gar keine Zertifizierung. Das liegt an mehreren Gründen:

  • Die meisten Inhalte der Zertifikatsprüfungen sind ähnlich. Hat man eine, kann man auch die meisten anderen erreichen. Von ein paar Nischen-Pentest-Zertifikaten o.ä. einmal abgesehen.
  • Wer lässt sich wirklich von Zertifikaten beeindrucken? Primär Personaler, Projektvermittler und Headhunter. Warum? Weil sie in der Regel fachfremd sind und eine Suche nach Schlagwörtern wie „CISSP OR TISP“ viel einfacher ist als sich im Detail mit Profilen auseinander zu setzen.
  • Es gibt zu viele Zertifikate und nachdem neben älteren Organisationen wie (ISC)² und ISACA zahlreiche private Unternehmen sowie TÜV und IHKs auf den Zug aufgesprungen sind, gibt es eine absolut unübersichtliche Zahl von Zertifizierungsprogrammen.
  • Sorry, aber jeder Depp hat eins. Der CISSP ist nicht mehr elitär und jede „Schnarchnase“ ist zertifizierter irgendetwas. Ist auch nicht verwunderlich, wenn Anbieter auf dem Markt sind bei deren Prüfungen man praktisch nicht durchfallen kann.
  • Die meisten Zertifikate sind reine Geldmacherei. Die wenigsten sind unabhängig. Die wenigsten kennen die Details.
  • Es gibt eine Menge Bootcamps, die einen auf diverse Zertifikatsprüfungen zielgerichtet vorbereiten und den ganzen Sinn ad absurdum führen.

Wenn man unbedingt ein Zertifikat vorweisen möchte, nehmt den CISSP vom (ISC)². Der (ISC)² ist unabhängig. Man kann die Prüfung ohne zwingenden Lehrgang absolvieren. Man kann tatsächlich durchfallen (habe ich gehört). Er ist international anerkannt. Man muss sich nicht dafür entschuldigen, dass es zu mehr nicht gereicht hat. Nicht, dass der CISSP das Nonplusultra ist, aber er ist das beste was man international in diesem Bereich haben kann. Und nach dem CISSP? Keines mehr. Lohnt sich nicht.

Aber was ist mit dem T.I.S.P. – sozusagen der CISSP made in Germany? Wenn man die Zwangsschulung gerne besuchen möchte und einem der Nachweis von 5 Jahren Berufserfahrung vom CISSP zu viel ist, dann gerne. Was man nach dem TISP machen könnte? Den CISSP..

 

Die Verbreitung von Sicherheitszertifizierungen wie CISSP, CISM, CISA, CEH, OSCP & Co

9 Comments

Mich hatte die Verbreitung der unterschiedlichen Sicherheitszertifizierungen interessiert. Ich habe dazu eine kleine Statistik mit der erweiterten Suche in Xing aufgestellt. Als Suchbegriff habe ich die Abkürzung vom Zertifikat (z.B. CISSP) und das Schlagwort „Security“ verwendet. Bei OSCP/OSCE hingegen das Schlagwort „Offensive“.

Die Suche in Xing war nicht auf Deutschland begrenzt, die absoluten Zahlen sind sicherlich ungenau und nicht jeder zertifizierte Security-Spezialist ist in Xing angemeldet und hat auch seine Zertifikate eingetragen.

Ich denke aber, dass die relativen Verhältnisse der Verbreitung der Sicherheitszertifizierungen zueinander einigermaßen gut wiedergegeben werden. Das Ergebnis:

2.135 Certified Information Systems Security Professional (CISSP)
1.484 Certified Information Systems Auditor (CISA)
890 Certified Information Security Manager (CISM)
477 Certified Ethical Hacker (CEH)
255 TeleTrusT Information Security Professional (T.I.S.P.)
74 Offensive Security Certified Professional (OSCP)
35 Certified Secure Software Lifecycle Professional (CSSLP)
28 ISSECO Certified Professional for Secure Software Engineering (CPSSE)
23 Offensive Security Certified Expert (OSCE)

Der CISSP vom Isc² ist die verbreitetste Zertifizierung, danach folgen die Certs von ISACA. Der deutsche TISP ist weit abgeschlagen im Vergleich zum CISSP. Zertifikate im Bereich sicherer Softwareentwicklung sind wenig verbreitet (CSSLP / CPSSE). Es gibt wesentlich mehr „Certified Ethical Hacker“ als OSCP/OSCE.

Ansonsten sind 488 CISSP auch CISA, 354 auch CISM, 204 auch CISM und CISA. Auch gibt es nur etwa 8 in Xing, die OSCP und CEH sind. 153 CISSP sind auch CEH, aber nur 12 CISSP auch OSCP.

Beim inhaltlich sehr krassen Unterschied zwischen OSCP und CISM sind es nur noch 6 mit dieser Kombination. OSCP und CISA sind 7. OSCE + CISM sind nur noch 2 und OSCE + CISA nur noch 1. Es scheint nur sehr wenige zu geben, die Security Management oder Audit mit Penetration Testing / Hacking verbinden.

Der Vergleich: CISSP vs. CISM

8 Comments

Der CISSP (Certified Information Systems Security Professional) vom Isc² und der CISM (Certified Information Security Manager) von der ISACA gehören zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen für Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben für Personenzertifizierungen (ISO/IEC Standard 17024).

CISSP und CISM setzten beide 5 Jahre nachweisbare Berufserfahrung in für die Zertifizierung relevanten Bereichen voraus. Das Nachweisverfahren dafür ist etwas unterschiedlich. Beim CISM prüft die ISACA die einzureichenden Unterlagen, während das Isc² für den CISSP auf ein Endorsement-Verfahren setzt. In diesem muss ein anderer CISSP die Aufrichtigkeit, Erfahrung und Kompetenz des Prüflings bescheinigen und dafür bürgen. Zusätzlich kann es einem passieren, dass man zufällig für einen genaueren Review ausgewählt wird.

Die Prüfungen sind bei beiden vergleichbar: Jeweils eine dreistellige Anzahl von Multiple-Choice-Fragen und ein paar Stunden Zeit. Wer so etwas noch nie erlebt hat sei gewarnt, die Prüfungen sind schwer und Multiple-Choice kann wirklich knifflig sein. Ohne gute Vorbereitung, Wissen & Erfahrung und eine gute Konzentrationsfähigkeit, sind beide Prüfungen nicht zu meistern. Im Gegensatz zum CISM kann man den CISSP auch am Computer durchführen und ist nicht so abhängig von ein paar wenigen Prüfungsterminen im Jahr wie beim CISM. Der CISSP ist hier deutlich moderner, wobei die ISACA ihre zentralen Prüfungstermine mit Qualitätssicherung begründet. Man kann darüber unterschiedlicher Meinung sein, welcher Ansatz der bessere ist.

Der größte Unterschied von CISSP und CISM sind ihre Schwerpunkte. Der CISM behandelt die folgenden vier verschiedenen Kategorien:

  • Information Security Governance
  • Information Risk Management und Compliance
  • Information Security Program Development und Management
  • Information Security Incident Management

Man sieht auf den ersten Blick wobei es sich beim CISM dreht: Um das Management von Informationssicherheit. Für IT-Sicherheitsexperten ist es das falsche Zertifikat. Für reine Security Manager, die wenig oder gar kein nennenswerten Bezug zur eigentlich IT & IT-Sicherheit haben, ist es das richtige.

Der CISSP ist wesentlich breiter gefasst:

  • Access Control
  • Telecommunications und Network Security
  • Information Security Governance und Risk Management
  • Software Development Security
  • Cryptography
  • Security Architecture und Design
  • Operations Security
  • Business Continuity und Disaster Recovery Planning
  • Legal, Regulations, Investigations und Compliance
  • Physical (Environmental) Security

Der CISSP beinhaltet auch Inhalte zum Management für Informationssicherheit. Der Fokus liegt aber wesentlich stärker in der IT-Sicherheit. Ich bezweifle, dass man die CISSP-Prüfung ohne Erfahrung und damit ohne praktisches Wissen aus der IT-Sicherheit bestehen kann. Man darf das aber auch nicht falsch verstehen: Der CISSP ist weder eine Prüfung für Penetration Tester noch geht es hier um die Administration von Firewalls und ähnlichen Sicherheitsprodukten. Der CISSP ist eine Zertifizierung für IT-Sicherheitsexperten, Projektleitern im Bereich IT-Sicherheit und Sicherheitsmanagern, die aus der IT kommen. Beim CISSP geht es nicht darum, wie man die Informationssicherheit in einem großen Konzern steuert, sondern z.B. darum welche sicherheitsrelevanten Fragestellungen bei der Softwareentwicklung beachtet werden müssen, wie man Sicherheitssysteme aufsetzt, wie man mit Sicherheitsvorfällen umgeht, welche Vorkehrungen man dafür treffen muss, welche Verschlüsselungstechniken sicher sind, wie ein sicheres Netzwerk aufgebaut ist uvm.

Durch seine wesentlich größere Breite ist der CISSP schwieriger als der CISM. Wer beide anstrebt, sollte erst den CISSP machen. Der CISM ist etwas überspitzt ausgedrückt, dann nur noch eine Wiederholung von 4 Bereichen aus dem CISSP. Der CISM ist nicht schlecht, er ist nur eher für Personen geeignet, die aus dem Umfeld der Security Governance kommen.

Ich halte u.a. selbst beide Zertifikate. Der CISSP ist meine persönliche Number One. Sicherlich ist er nicht perfekt und man kann viele Punkte bei den Inhalten und den Prüfungen kritisieren. Er ist in seiner Qualität und Internationalität dennoch bisher meiner Meinung nach die beste Zertifizierung für diesen Bereich.

Wie wird man Spezialist bzw. Experte für IT-Sicherheit?

2 Comments

Wie wird man Spezialist bzw. Experte für IT-Sicherheit? Primär durch Erfahrung und Praxis! Es existiert in Deutschland kein spezieller Ausbildungsberuf, dafür mittlerweile ein paar Studiengänge, die sich diesem Thema angenommen haben.

Gab es früher nur weiterbildende Master-Studiengänge in diesem Bereich, starten nun auch Bachelor-Studiengänge. Ich halte spezielle Bachelor-Programme nicht für den richtigen Ansatz. Man kann das Thema IT-Sicherheit nicht ausreichend in 3 Jahren „studieren“, ohne viel zu viele Lücken in der eigentlichen IT oder Informatik vorzuweisen. Ich empfehle eher reine Informatikstudiengänge, bei denen man idealerweise IT-Sicherheit über Wahlpflichtfächer als einen Schwerpunkt im eigenen Studium setzen kann. Danach muss man trotzdem realistisch sagen, dass man nur Grundkenntnisse und meist nur vernachlässigbare Erfahrung in der IT-Sicherheit vorweisen kann. Es ist eine mögliche Grundlage für eine Karriere in der IT-Sicherheit, mehr aber auch nicht.

Einschlägigen Master-Studiengänge wir z.B. Security Management an der Fachhochschule Brandenburg, Digitale Forensik an der Hochschule Albstadt-Sigmaringen oder weiteren Master-Studiengängen an Universitäten/Hochschulen bin ich positiver gestimmt. Man sollte diese nicht ohne vorherige Praxiserfahrung beginnen. Das mag zwar möglich sein, aber auch die Praxis zu kennen ist ein nicht zu unterschätzender Vorteil. Idealerweise arbeitet man parallel zum Studium in einer einschlägigen Position oder Bereich und kann zeitgleich Praxis und Theorie sammeln. Meiner Ansicht nach ist das die ideale Herangehensweise für eine Karriere in der IT-Sicherheit.

Insgesamt ist aber ein Studium nicht zwingend notwendig. Es bedeutet immer Aufwand (Zeit & Geld) und muss sich für die jeweilige Person lohnen. Es gibt genug autodidaktisch veranlagte Sicherheitsspezialisten oder hochmotivierte Technik-Enthusiasten, die ihr Niveau auch ohne ein Studium erreicht haben. Zudem sind die Studiengänge in diesem Bereich noch relativ neu und es soll auch eine Zeit gegeben haben, da existierte noch nicht einmal der Ausbildungsberuf als Fachinformatiker. Insgesamt zeigt es aber, was neben der Erfahrung und der Praxis für ein IT-Sicherheitsspezialist als Grundlage unbedingt notwendig ist: Ein starkes Interesse. Eine hohe Begeisterung für diesen Bereich. Ansonsten wird man in der IT-Sicherheit arbeiten, aber nicht zu einem Experten werden können.

Wie sieht es mit den Lehrgängen aus – z.B. zum CISSP (Certified Information Systems Security Professional) oder zum T.I.S.P. (TeleTrusT Information Security Professional)? Eigentlich sind das Zertifizierungen für Professionals mit Berufserfahrung und kein Einstieg in diesen Beruf. Zudem muss man sich im Klaren darüber sein, dass man durch einen 5-Tage-Lehrgang zwar viel Wissen vermitteln bekommen mag, aber nicht zu einem Experten wird. Praxis und Erfahrung sammelt man damit auch nicht. Wer die finanzielle Investition tragen möchte, wird dennoch das eine oder andere aus solch einem Lehrgang mitnehmen. Ob man am Ende ohne Erfahrung die Prüfung besteht, bezweifle ich aber.

Mein Fazit: Man muss eine Begeisterung für IT bzw. IT-Sicherheit besitzen und in der Praxis Erfahrung sammeln. Als theoretische Grundlage kann man ein Master-Studium absolvieren und später noch eine Zertifizierung ablegen.

Berufszertifikate für IT-Security-Professionals: Welches ist empfehlenswert?

Leave a Comment

Es sind einige Berufszertifikate für IT-Security-Professionals auf dem Markt, mit jeweils unterschiedlichen Schwerpunkten. Ich selbst halte zurzeit u.a. CISSP, CISM und T.I.S.P. und kann insbesondere den CISSP empfehlen. Er ist wesentlich breiter aufgestellt als der CISM und international wesentlich besser anerkannt als der TISP. Wer einen etwas größeren Fokus auf Deutschland besitzt, für den ist vielleicht der TISP empfehlenswerter. Hält man bereits einen CISSP oder TISP, sollte es kein Problem sein im Zweifel auch die andere Zertifizierung zu erlangen. Vom CISM würde ich etwas Abstand nehmen. Er richtet sich zwar explizit an Security Manager, aber man erwartet auch von einem Security Manager Kenntnisse zumindest der wichtigsten Grundlagen in IT-Security.

Der Vergleich: CISSP vs. TISP

Leave a Comment

Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.?

Merkmale vom CISSP:

  • Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre.
  • Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden
  • International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab.
  • Beinhaltet Aspekte zur sicheren Softwareentwicklung.
  • Ist international anerkannt.
  • Die Vorbereitung zur Prüfung ist jedem Prüfling selbst überlassen. Eine Schulung ist kein muss.
  • Ist grundsätzlich thematisch umfangreicher.
  • Es muss zur Erhalt der Zertifizierung eine stetige Weiterbildung nachgewiesen werden.
  • Der CISSP ist ISO 17024:2003 akkreditiert.

Merkmale vom T.I.S.P.

  • Geringere Anforderungen an die Berufserfahrung, nur 3 Jahre.
  • Nur in Deutschland anerkannt (oder vielleicht auch im sonstigen DACH-Raum).
  •  Schulung ist zwingend erforderlich.
  • Aktuell drei Schulungsanbieter: Frauenhofer SIT, secorvo und isits.
  • Leichte Ausrichtung auf „deutsche Themen“ wie BSI, BDSG usw.
  • Keine Aspekte zur sicheren Softwareentwicklung.
  • Auch hier muss zum Erhalt der Zertifizierung ein aber etwas geringerer Weiterbildungsaufwand nachgewiesen werden.
  • Zusätzlich muss einmal alle drei Jahre ein TISP-Community-Meeting besucht werden.
  • Eine Akkreditierung nach ISO 17024:2003 ist nicht vorhanden.

Nachdem ich beide Zertifizierungen halte, würde ich den CISSP dem TISP vorziehen. Die Internationalität schlägt klar die wenigen speziell deutschen Themen vom TISP. Das BDSG & Co kann man sich auch zusätzlich zum CISSP als Einschlaflektüre zu Gemüte ziehen. Auch finde ich es vorteilhaft, wenn man nicht zwingend einen Vorbereitungskurs besuchen muss, wie es beim TISP notwendig ist. Je nach eigenem Kenntnisstand und Berufserfahrung kann das reine Zeit- und Geldverschwendung sein. Vorteilhaft ist meiner Ansicht nach der TISP nur, wenn man nicht die für den CISSP notwendige Berufserfahrung besitzt und ohnehin gerne einen Kurs besuchen möchte oder muss. Zumal die Vorbereitungskurse zum TISP günstiger als die CISSP-Bootcamps sind.

Erfahrungen zum TISP

Leave a Comment

Ich habe letzten Samstag die TISP-Prüfung abgelegt und zuvor den Pflicht-Kurs besucht. Im Gegensatz zum CISSP fehlte mir insbesondere der gesamten Themenpunkt von Sicherheit im Softwarelebenszyklus. Hier hinkt meiner Meinung nach der TISP gegenüber dem CISSP inhaltlich sehr hinterher. Ansonsten merkt man dem TISP seine „Verwandtschaft“ zum CISSP deutlich an. Die Hinzunahme relevanter deutscher Punkte wie BSI und diverse Gesetze ist durchaus gelungen. Auch wenn ich die starke Ausrichtung zumindest im Kurs an BSI nicht direkt verstehen kann. Im Gegensatz zur TISP FAQ denke ich auch nicht, dass der IT-Grundschutz in Europe irgendeine nennenswerte Bedeutung hat.[1] Leider negativ ist mir noch aufgefallen, dass z.B. das Frauenhofer SIT und secorvo unterschiedliche Definitionen des ROSI verwenden. Das spricht nicht direkt für ein einheitliches Qualitätsmanagement.

[1] Vgl. http://www.teletrust.de/tisp/tisp-faq/, Stand 02.07.2013