Ich war heute auf der Mitgliederversammlung vom ISACA Germany Chapter e.V. Ich musste leider aus beruflichen Gr\u00fcnden kurz vor dem Mittagessen die Versammlung verlassen, konnte mir aber zwei Vortr\u00e4ge anh\u00f6ren.<\/p>\n
Der erste Fachvortrag war von Tobias Glemser, der als OWASP German Chapter Lead das \u201eOpen Web Application Security Project\u201c (OWASP) vorgestellt hat. Inhaltlich zwar f\u00fcr mich nichts neues, daf\u00fcr war der Vortrag gut gemacht und dennoch unterhaltsam. Einer der besseren Vortr\u00e4ge im Security-Bereich, die ich bisher gesehen habe.<\/p>\n
Der zweite Vortragende kam vom BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) und stellte den demn\u00e4chst offiziell erscheinenden \u201eLeitfaden Cyber-Sicherheits-Check\u201c vor. Dieser soll eine M\u00f6glichkeit darstellen, die \u201eCyber-Sicherheit\u201c eines Unternehmens oder einer Beh\u00f6rde zu beurteilen. Die Beurteilungskriterien werden auf einer oder mehreren Ver\u00f6ffentlichungen der \u201eAllianz f\u00fcr Cyber-Sicherheit\u201c beruhen. Nachdem ich letztes Jahr erst meine Master-Thesis \u00fcber die \u201eMessung von Informationssicherheit\u201c geschrieben habe, bin ich gespannt darauf, welche Kriterien sich das BSI ausgedacht hat. Technische Analysen werden dort laut Aussage des BSI w\u00e4hrend dem Vortrag nicht enthalten sein. Ich bin sehr skeptisch, ob eine Pr\u00fcfung, die technische Details ausblendet, \u00fcberhaupt aussagekr\u00e4ftig sein kann. Ich bef\u00fcrchte, dass ein \u201egr\u00fcner\u201c Cyber-Sicherheits-Check Unternehmen eher in falscher Sicherheit wiegen k\u00f6nnte!<\/p>\n
Zus\u00e4tzlich dazu wird das BSI demn\u00e4chst eine Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP) anbieten, welche nachweisen soll, dass eine Person ausreichend Wissen \u00fcber den durchzuf\u00fchrenden Cyber-Sicherheits-Check besitzt. Die Schulung daf\u00fcr soll einen Tag dauern. Berufserfahrung muss nicht nachgewiesen werden.<\/p>\n
Ich pers\u00f6nlich halte das f\u00fcr fatal. Es gibt in Deutschland schon genug zertifizierte oder gepr\u00fcfte externe Datenschutzbeauftragte, die kaum oder wenig Ahnung von IT- und Informationssicherheit besitzen. Demn\u00e4chst kann man dann direkt vom BSI als zertifizierter \u201eCyber-Security-Practicioner CSP) die Sicherheit eines Unternehmens beurteilen. Ich halt das f\u00fcr eine schlechte Entscheidung, man h\u00e4tte als Qualifikation entweder auf international anerkannte Zertifizierungen wie CISSP, CISM, CISA oder zumindest auf bereits in Deutschland anerkannte Zertifizierungen wie T.I.S.P.\u00a0 zur\u00fcckgreifen k\u00f6nnen. Alle diese Zertifikate setzen nicht nur mehrere Jahre einschl\u00e4gige Berufserfahrung voraus, sondern auch das Bestehen einer mehrst\u00fcndigen Pr\u00fcfung. Wir brauchen keine weitere 1-Tages-Schulungs-Zertifizierung, deren Zweck zwar nicht der Nachweis von Kompetenz und Erfahrung ist, diesen aber suggerieren wird – immerhin kommt das Zertifikat von der obersten deutschen Beh\u00f6rde f\u00fcr Sicherheit in der IT und wir Deutsche haben leider manchmal immer noch einen besonders starken Glauben an formale Qualifikationen insbesondere wenn sie von Beh\u00f6rden kommen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Mitgliederversammlung ISACA Ich war heute auf der Mitgliederversammlung vom ISACA Germany Chapter e.V. Ich musste leider aus beruflichen Gr\u00fcnden kurz vor dem Mittagessen die Versammlung verlassen, konnte mir aber zwei Vortr\u00e4ge anh\u00f6ren. Der erste Fachvortrag war von Tobias Glemser, der als OWASP German Chapter Lead das \u201eOpen Web Application Security Project\u201c (OWASP) vorgestellt hat. Inhaltlich … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34],"tags":[149],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-1159","6":"format-standard","7":"category-it-sicherheit","8":"post_tag-bsi-csp"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=1159"}],"version-history":[{"count":5,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1159\/revisions"}],"predecessor-version":[{"id":1164,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1159\/revisions\/1164"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=1159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=1159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=1159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}