Weiterbildung

8 03, 2014

Die Verbreitung von Sicherheitszertifizierungen wie CISSP, CISM, CISA, CEH, OSCP & Co

von |8. März 2014|Zertifizierung|9 Kommentare|

Mich hatte die Verbreitung der unterschiedlichen Sicherheitszertifizierungen interessiert. Ich habe dazu eine kleine Statistik mit der erweiterten Suche in Xing aufgestellt. Als Suchbegriff habe ich die Abkürzung vom Zertifikat (z.B. CISSP) und das Schlagwort „Security“ verwendet. Bei OSCP/OSCE hingegen das Schlagwort „Offensive“.

Die Suche in Xing war nicht auf Deutschland begrenzt, die absoluten Zahlen sind sicherlich ungenau und nicht jeder zertifizierte Security-Spezialist ist in Xing angemeldet und hat auch seine Zertifikate eingetragen.

Ich denke aber, dass die relativen Verhältnisse der Verbreitung der Sicherheitszertifizierungen zueinander einigermaßen gut wiedergegeben werden. Das Ergebnis:

2.135 Certified Information Systems Security Professional (CISSP)
1.484 Certified Information Systems Auditor (CISA)
890 Certified Information Security Manager (CISM)
477 Certified Ethical Hacker (CEH)
255 TeleTrusT Information Security Professional (T.I.S.P.)
74 Offensive Security Certified Professional (OSCP)
35 Certified Secure Software Lifecycle Professional (CSSLP)
28 ISSECO Certified Professional for Secure Software Engineering (CPSSE)
23 Offensive Security Certified Expert (OSCE)

Der CISSP vom Isc² ist die verbreitetste Zertifizierung, danach folgen die Certs von ISACA. Der deutsche TISP ist weit abgeschlagen im Vergleich zum CISSP. Zertifikate im Bereich sicherer Softwareentwicklung sind wenig verbreitet (CSSLP / CPSSE). Es gibt wesentlich mehr „Certified Ethical Hacker“ als OSCP/OSCE.

Ansonsten sind 488 CISSP auch CISA, 354 auch CISM, 204 auch CISM und CISA. Auch gibt es nur etwa 8 in Xing, die OSCP und CEH sind. 153 CISSP sind auch CEH, aber nur 12 CISSP auch OSCP.

Beim inhaltlich sehr krassen Unterschied zwischen OSCP und CISM sind es nur noch 6 mit dieser Kombination. OSCP und CISA sind 7. OSCE + CISM sind nur noch 2 und OSCE + CISA nur noch 1. Es scheint nur sehr wenige zu geben, die Security Management oder Audit mit Penetration Testing / Hacking verbinden.

16 02, 2014

Wie wird man Spezialist bzw. Experte für IT-Sicherheit?

von |16. Februar 2014|IT-Sicherheit|2 Kommentare|

Wie wird man Spezialist bzw. Experte für IT-Sicherheit? Primär durch Erfahrung und Praxis! Es existiert in Deutschland kein spezieller Ausbildungsberuf, dafür mittlerweile ein paar Studiengänge, die sich diesem Thema angenommen haben.

Gab es früher nur weiterbildende Master-Studiengänge in diesem Bereich, starten nun auch Bachelor-Studiengänge. Ich halte spezielle Bachelor-Programme nicht für den richtigen Ansatz. Man kann das Thema IT-Sicherheit nicht ausreichend in 3 Jahren „studieren“, ohne viel zu viele Lücken in der eigentlichen IT oder Informatik vorzuweisen. Ich empfehle eher reine Informatikstudiengänge, bei denen man idealerweise IT-Sicherheit über Wahlpflichtfächer als einen Schwerpunkt im eigenen Studium setzen kann. Danach muss man trotzdem realistisch sagen, dass man nur Grundkenntnisse und meist nur vernachlässigbare Erfahrung in der IT-Sicherheit vorweisen kann. Es ist eine mögliche Grundlage für eine Karriere in der IT-Sicherheit, mehr aber auch nicht.

Einschlägigen Master-Studiengänge wir z.B. Security Management an der Fachhochschule Brandenburg, Digitale Forensik an der Hochschule Albstadt-Sigmaringen oder weiteren Master-Studiengängen an Universitäten/Hochschulen bin ich positiver gestimmt. Man sollte diese nicht ohne vorherige Praxiserfahrung beginnen. Das mag zwar möglich sein, aber auch die Praxis zu kennen ist ein nicht zu unterschätzender Vorteil. Idealerweise arbeitet man parallel zum Studium in einer einschlägigen Position oder Bereich und kann zeitgleich Praxis und Theorie sammeln. Meiner Ansicht nach ist das die ideale Herangehensweise für eine Karriere in der IT-Sicherheit.

Insgesamt ist aber ein Studium nicht zwingend notwendig. Es bedeutet immer Aufwand (Zeit & Geld) und muss sich für die jeweilige Person lohnen. Es gibt genug autodidaktisch veranlagte Sicherheitsspezialisten oder hochmotivierte Technik-Enthusiasten, die ihr Niveau auch ohne ein Studium erreicht haben. Zudem sind die Studiengänge in diesem Bereich noch relativ neu und es soll auch eine Zeit gegeben haben, da existierte noch nicht einmal der Ausbildungsberuf als Fachinformatiker. Insgesamt zeigt es aber, was neben der Erfahrung und der Praxis für ein IT-Sicherheitsspezialist als Grundlage unbedingt notwendig ist: Ein starkes Interesse. Eine hohe Begeisterung für diesen Bereich. Ansonsten wird man in der IT-Sicherheit arbeiten, aber nicht zu einem Experten werden können.

Wie sieht es mit den Lehrgängen aus – z.B. zum CISSP (Certified Information Systems Security Professional) oder zum T.I.S.P. (TeleTrusT Information Security Professional)? Eigentlich sind das Zertifizierungen für Professionals mit Berufserfahrung und kein Einstieg in diesen Beruf. Zudem muss man sich im Klaren darüber sein, dass man durch einen 5-Tage-Lehrgang zwar viel Wissen vermitteln bekommen mag, aber nicht zu einem Experten wird. Praxis und Erfahrung sammelt man damit auch nicht. Wer die finanzielle Investition tragen möchte, wird dennoch das eine oder andere aus solch einem Lehrgang mitnehmen. Ob man am Ende ohne Erfahrung die Prüfung besteht, bezweifle ich aber.

Mein Fazit: Man muss eine Begeisterung für IT bzw. IT-Sicherheit besitzen und in der Praxis Erfahrung sammeln. Als theoretische Grundlage kann man ein Master-Studium absolvieren und später noch eine Zertifizierung ablegen.

3 02, 2014

Erfahrungen zur Prüfung zum Datenschutzbeauftragten DSB-TÜV (Schwierigkeitsgrad)

von |3. Februar 2014|Zertifizierung|0 Kommentare|

Ist die Prüfung schwer? Ich möchte die Frage so beantwortet: Wer nach 4-5 Tagen in einem Kurs zum Datenschutzbeauftragten durch die Prüfung zum DSB-TÜV fällt hat entweder wirklich sehr viel Pech oder einfach die letzten Tage so gar nicht aufgepasst.

Alleine vom Umfang kann man sie nicht mit den harten Prüfungsbrocken CISSP, CISM & Co vergleichen. Wer einen CISSP, CISM oder TISP hat, wird die Prüfung zum zertifizierten Datenschutzbeauftragten DSB-TÜV sicherlich bestehen.

1 10, 2013

Der CISSP ist keine Pentester-Zertifizierung

von |1. Oktober 2013|Zertifizierung|0 Kommentare|

Nachdem ich letztens wieder eine Stellenanzeige für einen Penetration Tester gesehen habe, die eine CISSP-Zertifizierung fordert, möchte ich dazu ein paar Worte verlieren. Die Kurzform: Der CISSP hat nichts mit Penetration Testing oder Ethical Hacking zu tun. Absolut nichts.

Im Gegensatz zum CISM (Certified Information Security Manager) ist der CISSP (Certified Information Systems Security Professional) technischer ausgerichtet. Das ist soweit korrekt. Nichtsdestotrotz richtet sich der CISSP an Security-Spezialisten, die zwar ein klein wenig technischer orientiert sind als reine klassische Manager, aber deren primärer Fokus eben nicht Pentesting ist. Überhaupt nicht. Sicherlich gibt es Pentester, die eine CISSP-Zertifizierung nachweisen können. Aber man sollte vielleicht eher Pentester-Zertifizierungen wie OSCP, OSCE oder CEH in Stellenanzeigen oder Ausschreibungen fordern.

6 09, 2013

Zertifizierung als Datenschutzbeauftragter DSB-TÜV

von |6. September 2013|Zertifizierung|0 Kommentare|

Heute wurde ich vom TÜV Süd als „Datenschutzbeauftragter DSB-TÜV“ zertifiziert. Die vorherige Schulung war interessant und sehr gut. Obwohl der Stoff – das BDSG – sehr trocken ist, wurden die relevanten Inhalte gut vermittelt. Ich bin zufrieden und kann den Kurs uneingeschränkt weiterempfehlen.

18 08, 2013

ISSECO Certified Professional for Secure Software Engineering

von |18. August 2013|Zertifizierung|0 Kommentare|

Ich hatte meinen CPSSE vor ein paar Jahren gemacht. Im Gegensatz zum CSSLP von Isc² kommt der CPSSE sowie die dazugehörige Organisation ISSECO (International Secure Software Engineering Council) aus Deutschland. Die ISSECO wurde 2008 in Potsdam gegründet. Inhaltlich beschäftigt sich der CPSSE mit der Sicherheit im Softwarelebenszyklus:

  • Viewpoints of attackers and customers
  • Trust & threat models
  • Methodologies
  • Requirements engineering with respect to security
  • Secure design
  • Secure coding
  • Security testing
  • Secure deployment
  • Security response
  • Security metrics
  • Code & resouce protection

Für die Prüfung zum CPSSE muss ein dreitägiger Schulungskurs absolviert werden. Die Kurse werden von mehreren Anbietern durchgeführt. Für die Vorbereitung gibt es zusätzlich auch ein Buch „Basiswissen Sichere Software“ von Sachar Paulus, welches meiner Meinung nach recht gut ist. Ich hatte keinen Kurs der Anbieter besucht, sondern mir wurde als Kurs die Vorlesung „Sichere Softwareentwicklung“ an der Fachhochschule Brandenburg anerkannt. Die Vorlesung hielt Prof. Dr. Sachar Paulus.

Ich fand den CPSSE leichter als die aus den USA stammenden Zertifikate von Isc² (CISSP) und ISACA (CISM), dennoch sollte man schon über Erfahrung im Bereich Security und Softwareentwicklung besitzen, wenn man die Prüfung zum CPSSE bestehen möchte. Nachdem ich den CSSLP von Isc² nicht habe, kann ich die beiden Zertifizierungen CPSSE und CSSLP nicht vergleichen. Der „deutsche“ CPSSE ist nicht speziell auf deutsche Bereiche ausgerichtet, wie z.B. der T.I.S.P., sondern ist thematisch länderunabhängig. Nachdem ohnehin nur wenige Angebote zur Weiterbildung bzw. Zertifizierung existieren, kann ich den CPSSE durchaus empfehlen.

16 07, 2013

Der Vergleich: CISSP vs. TISP

von |16. Juli 2013|Zertifizierung|0 Kommentare|

Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.?

Merkmale vom CISSP:

  • Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre.
  • Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden
  • International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab.
  • Beinhaltet Aspekte zur sicheren Softwareentwicklung.
  • Ist international anerkannt.
  • Die Vorbereitung zur Prüfung ist jedem Prüfling selbst überlassen. Eine Schulung ist kein muss.
  • Ist grundsätzlich thematisch umfangreicher.
  • Es muss zur Erhalt der Zertifizierung eine stetige Weiterbildung nachgewiesen werden.
  • Der CISSP ist ISO 17024:2003 akkreditiert.

Merkmale vom T.I.S.P.

  • Geringere Anforderungen an die Berufserfahrung, nur 3 Jahre.
  • Nur in Deutschland anerkannt (oder vielleicht auch im sonstigen DACH-Raum).
  •  Schulung ist zwingend erforderlich.
  • Aktuell drei Schulungsanbieter: Frauenhofer SIT, secorvo und isits.
  • Leichte Ausrichtung auf „deutsche Themen“ wie BSI, BDSG usw.
  • Keine Aspekte zur sicheren Softwareentwicklung.
  • Auch hier muss zum Erhalt der Zertifizierung ein aber etwas geringerer Weiterbildungsaufwand nachgewiesen werden.
  • Zusätzlich muss einmal alle drei Jahre ein TISP-Community-Meeting besucht werden.
  • Eine Akkreditierung nach ISO 17024:2003 ist nicht vorhanden.

Nachdem ich beide Zertifizierungen halte, würde ich den CISSP dem TISP vorziehen. Die Internationalität schlägt klar die wenigen speziell deutschen Themen vom TISP. Das BDSG & Co kann man sich auch zusätzlich zum CISSP als Einschlaflektüre zu Gemüte ziehen. Auch finde ich es vorteilhaft, wenn man nicht zwingend einen Vorbereitungskurs besuchen muss, wie es beim TISP notwendig ist. Je nach eigenem Kenntnisstand und Berufserfahrung kann das reine Zeit- und Geldverschwendung sein. Vorteilhaft ist meiner Ansicht nach der TISP nur, wenn man nicht die für den CISSP notwendige Berufserfahrung besitzt und ohnehin gerne einen Kurs besuchen möchte oder muss. Zumal die Vorbereitungskurse zum TISP günstiger als die CISSP-Bootcamps sind.

13 07, 2013

Erfahrungen zur CISM-Prüfung

von |13. Juli 2013|Zertifizierung|0 Kommentare|

Ich hatte vor ein paar Wochen die CISM-Prüfung abgelegt und nun das Ergebnis erhalten: Bestanden mit 563 Punkten. Insbesondere nachdem ich für die Prüfung weniger als die Hälfte der Zeit – unter 2 von 4 Stunden – benötigt hatte, bin ich mit dem Ergebnis sehr zufrieden.

Meine Vorbereitung zur Prüfung bestand aus dem  CISM Review Manual 2013 und der CISM Practice Question Database v13. Ich finde das Review Manual sehr trocken geschrieben und es ist bei mir nach dem ersten Querlesen wieder im Schrank verschwunden. Das Review Manual kann ich nicht empfehlen. Wesentlich hilfreicher war für mich die CISM Practice Question Database, sodass sich meine gesamte Vorbereitung auf diesen Fragekatalog gestützt hat. Ein bis zwei Wochen vor der Prüfung ab und zu mal ein paar Fragen aus der Datenbank zu beantworten, war für mich am sinnvollsten. Im Gegensatz zum Review Manual war die Practice Question Database sein Geld absolut wert.

Die Prüfung selbst habe ich in einem Frankfurter Hotel abgelegt. Es gab kostenlose Getränke, aber Kaffee habe ich sehr vermisst. Wer an einem Samstagmorgen Kaffee benötigt, sollte vorher seine Koffeinversorgung sicherstellen! Die Organisatoren der Prüfer vor Ort schienen mir mit der Masse an CISA, CISM & Co. Prüflingen etwas überfordert, es lief aber insgesamt alles problemlos ab. Das Hinterherlaufen eines Prüfers, wenn man die Toilette besucht, fand ich etwas übertrieben. Natürlich sind sie draußen vor der Toilettentür stehen geblieben.  Auf dem paranoiden Niveau fehlte eigentlich nur noch eine Prüfung, ob man nicht doch ein Smartphone irgendwo am Körper hat.

Ich fand die CISSP-Prüfung im Vergleich zum CISM anstrengender, nachdem der CISSP wesentlich mehr unterschiedliche Kategorien beinhaltet. Da ist in dieser Hinsicht der CISM mit seinen nur vier nicht-technischen Kategorien einfacher.

2 07, 2013

Erfahrungen zum TISP

von |2. Juli 2013|Zertifizierung|0 Kommentare|

Ich habe letzten Samstag die TISP-Prüfung abgelegt und zuvor den Pflicht-Kurs besucht. Im Gegensatz zum CISSP fehlte mir insbesondere der gesamten Themenpunkt von Sicherheit im Softwarelebenszyklus. Hier hinkt meiner Meinung nach der TISP gegenüber dem CISSP inhaltlich sehr hinterher. Ansonsten merkt man dem TISP seine „Verwandtschaft“ zum CISSP deutlich an. Die Hinzunahme relevanter deutscher Punkte wie BSI und diverse Gesetze ist durchaus gelungen. Auch wenn ich die starke Ausrichtung zumindest im Kurs an BSI nicht direkt verstehen kann. Im Gegensatz zur TISP FAQ denke ich auch nicht, dass der IT-Grundschutz in Europe irgendeine nennenswerte Bedeutung hat.[1] Leider negativ ist mir noch aufgefallen, dass z.B. das Frauenhofer SIT und secorvo unterschiedliche Definitionen des ROSI verwenden. Das spricht nicht direkt für ein einheitliches Qualitätsmanagement.

[1] Vgl. http://www.teletrust.de/tisp/tisp-faq/, Stand 02.07.2013

6 02, 2013

Erfahrungen zur CISSP-Prüfung

von |6. Februar 2013|Zertifizierung|2 Kommentare|

Ich habe Ende 2012 erfolgreich die Prüfung zum CISSP bestanden und möchte noch meine Erfahrungen dazu mitteilen. Zur Prüfungsvorbereitung habe ich ausschließlich folgende Bücher benutzt:

  • CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart, Mike Chapple und Darril Gibson
  • CISSP All-in-One Exam Guide von Shon Harris
  • Official (ISC)2 Guide to the CISSP CBK ((ISC)2 Press) von Harold F. Tipton

Der Study Guide von Stewart/Chapple/Gibson lässt sich relativ locker lesen und könnte auch ausreichend sein. Das Buch von Harris geht stellenweise mehr in die Tiefe, war aber zu dem Zeitpunkt des Kaufs nicht an das aktuelle CBK angepasst (im Gegensatz zum vorher genannten Study Guide). Beide Bücher waren insbesondere zusammen für mich ausreichend. Den offiziellen Guide kann ich weniger empfehlen. Er liest sich einfach zu trocken.

Die Zeit in der Prüfung war für mich mehr als komfortabel. Neben theoretischen Kenntnissen und praktischen Erfahrungen, die in der Prüfung abgefragt werden, sollte man auch die eigene Konzentration über einen längeren Zeitraum aufrecht halten können. So schnell man die ersten Fragen beantwortet, so langsam wird es dann am Ende. Nachdem man während der Prüfung auf Toilette gehen kann, sollte man die Gelegenheit nutzen die Beine zu vertreten um kurz etwas anderes zu sehen als den Prüfungsbildschirm. Man kann zwar – genug Zeit vorausgesetzt – am Ende nochmals alle Fragen durchgehen, vielleicht ist dazu auch noch genug Zeit, aber ich würde und habe darauf verzichtet.  Am Ende war ich schon froh, dass ich alle Fragen und in der Regel auch mit einem guten Gefühl beantwortet habe. Wie viele andere finde ich es schade, dass man kein genaueres Prüfungsergebnis im Erfolgsfall bekommt als die Information, dass man bestanden hat.