Zertifizierte Security-Spezialisten

Die Weiterbildung von Sicherheitsspezialisten zum CISSP stellt hohe Anforderungen.

Artikel erschienen in Swiss IT Magazine 2005/04

     

Das Jahr 2005 ist die hohe Zeit der IT-Security, wie verschiedene Studien belegen. Angesichts von Würmern, Phishing und anderen Bedrohungen aus dem Internet, aber auch Social Engineering und internen Angriffen investieren immer mehr Firmen und Organisationen in hochspezialisierte Hardware und Sicherheitsanwendungen.
Oft wird aber übersehen, dass sich Sicherheit mit Firewalls, Intrusion-Prevention-Systemen und Virenscannern nicht herbeizaubern lässt – technische Massnahmen allein genügen nicht. Vielmehr müssen umfassende Konzepte entwickelt werden, die sowohl die Organisation als auch die Prozesse und die Mitarbeiter einbeziehen. Spezialisten, die den hohen Anforderungen an eine funktionstüchtige, umfassende Sicherheitsinfrastruktur entsprechen, sind (noch) rar. Aus diesem Grund hat die Nonprofit-Organisation ISC2 (International Information Systems Security Certification Consortium) den Titel «Certified Information System Security Professional» (CISSP) entwickelt. Ziel der Ausbildung und Zertifizierung ist es, auf der Grundlage eines Common Body of Knowledge (CBK), der aus ethischen Grundsätzen, Best Practices und Industriestandards besteht, einen hohen Sicherheitsstandard zu erreichen und diesen durch die persönliche Kompetenz jedes einzelnen Mitarbeiters zu halten. ISC2 übernimmt dabei die Aufgabe, den CBK zu pflegen und weiterzuentwickeln sowie die angehenden Spezialisten zu prüfen und zu zertifizieren.


Hohe Anforderungen

In der Schweiz wird die Ausbildung respektive Prüfungsvorbereitung zum CISSP derzeit von mehreren Schulen und Firmen angeboten (siehe Tabelle) – die jeweiligen Kurstermine sind dabei auf die vom ISC2 geplanten Prüfungstermine abgestimmt. Die Kurse dauern jeweils die vom ISC2 vorgeschriebenen fünf Tage und behandeln die zehn Domänen und Arbeitsgebiete des ebenfalls vorgeschriebenen Common Body of Knowledge (siehe Kasten). Dieser soll eine möglichst umfassende Sicht auf die verschiedensten Aspekte von IT-Sicherheit garantieren. Der Prüfungsstoff wurde dabei bewusst auf Internationalität getrimmt, wie Klara Wilhelm vom ISC2 erklärt: Internationale Experten haben sämtliche Fragen überprüft und dafür gesorgt, dass länderspezifische Aspekte nicht vorkommen. Nicht zuletzt deshalb wurde der CISSP-Test auch mit von der International Organization for Standardization unter der Nummer ISO 17024 akkreditiert.



Nach der Absolvierung des Kurses (oder alternativ nach genügendem Selbststudium mit der zahlreich verfügbaren Literatur) kann sich der Kandidat zur Prüfung anmelden, die aus 250 Multiple-Choice-Fragen besteht und innert sechs Stunden abgelegt werden muss. Der CISSP-Test wird üblicherweise in englischer Sprache durchgeführt und kostet 460 Euro; wer sich erst kurz vor dem Termin anmeldet, zahlt 100 Euro mehr. Seit Dezember 2004 werden auch Prüfungen in Deutsch und Französisch abgehalten.




Vor den Titel hat das ISC2 allerdings hohe Anforderungen gestellt. So muss der Kandidat erfolgreich zwei voneinander getrennte Prozesse mit verschiedenen Voraussetzungen absolvieren: die sogenannte Examination und die Certification.




• Für die Examination vorausgesetzt wird der Nachweis, dass der Kandidat mindestens drei Jahre Berufspraxis sowie ein akademisches Diplom in einem der CBK-Felder besitzt. Ohne Diplom werden vier Jahre Praxis verlangt. Ausserdem muss der Kandidat den «CISSP Code of Ethics» unterschreiben. Diese Voraussetzungen sind auch zur Einschreibung bei den meisten der Schweizer Kurse erforderlich.




• Die Anforderungen für die Certification umfassen den erfolgreichen Abschluss des CISSP-Examens sowie das sogenannte Endorsement-Formular – eine Art Zeugnis. Auf diesem Formular bestätigt ein bereits zertifizierter CISSP oder eine anderer ausgewiesene Vertrauensperson aus dem Sicherheitsumfeld, dass der Kandidat über genügend Berufserfahrung verfügt. Zusätzlich wird stichprobenmässig ein Audit durchgeführt, an dem ausgewählte Kandidaten teilnehmen müssen.



Um die Qualität der Ausbildung und den hohen Wissenslevel bei zertifizierten Spezialisten sicherzustellen, verlangt das ISC2 ausserdem, dass sich ein CISSP über drei Jahre hinweg 120 Continuing Professional Credits (CPE) durch Weiterbildung erarbeitet, um mit den ständig neuen Anforderungen in IT-Sicherheit mitzuhalten. Ansonsten muss die Zertifizierung alle drei Jahre mit einer Prüfung erneuert werden. Entsprechende Schulungsangebote gibt es in der Schweiz bisher keine – in der Regel wird die Vorbereitung auf die Rezertifizierung im Selbststudium absolviert.



Schweizer Anbieter von Lehrgängen zur CISSP-Prüfungsvorbereitung


Sonderfall FHBB

Eine spezielle Stellung innerhalb der verschiedenen Angebote nimmt der Nachdiplomkurs (NDK) «Informationssicherheit und IT-Security» der Fachhochschule beider Basel (FHBB) ein. Dieser Kurs dient der Vorbereitung zum CISSP-Prüfung, geht aber beim Umfang des Stoffes und bei der Kursdauer über die Anforderungen des ISC2 hinaus. Wie Thomas Mauch, Leiter Kurse am Institut für Management-Entwicklung der FHBB, erklärt, wird im NDK speziell auch das Schweizer Recht behandelt, das beim auf internationale Verhältnisse zugeschnittenen CISSP überhaupt nicht vorkommt. Zusätzlich zu den technischen Aspekten des CISSP besitzt im NDK auch der Management-Bereich ein starkes Gewicht. Bezüglich der Anforderungen sind sich der NDK und der CISSP-Lehrgang ähnlich: auch die FHBB verlangt Berufserfahrung und einen Abschluss an einer Fachhochschule oder einer Uni. Das Absolvieren der CISSP-Prüfung ist für die NDK-Teilnehmer freiwillig. Deshalb kann er von qualifizierten Kandidaten auch besucht werden, um einen generellen Überblick über moderne IT-Security zu erhalten.


Gute Akzeptanz im Arbeitsmarkt

Wie Klara Wilhelm vom ISC2 erklärt, werden mit dem CISSP-Zertifikat gute Erfahrungen gemacht. Schweizer Firmen hätten (vor allem im Vergleich zum europäischen Umfeld) zu den «Early Adopters» des neuen Titels gehört, nicht zuletzt, weil in der Schweiz viele internationale Unternehmen tätig seien. Auch wird der CISSP bereits von den Arbeitsämtern als Weiterbildung für Stellensuchende anerkannt, was ebenfalls für die gute Akzeptanz spricht. In der Schweiz wurden bisher an rund 10 Prüfungen 189 Kandidaten zertifiziert – dem stehen weltweit allerdings derzeit rund 31'000 CISSPs gegenüber.
Laut Marco Marchesi, CEO von ISPIN, entwickelt sich der CISSP allerdings auch auf dem Schweizer Arbeitsmarkt zum «Must-have»-Papier für Sicherheitsspezialisten – immer häufiger wird das Zertifikat in Stellenanzeigen verlangt, und verschiedene Grossunternehmen haben ihre qualifizierten Mitarbeiter schon zur entsprechenden Weiterbildung und Zertifizierung angehalten.



Liks zu CISSP-Ressourcen


Der Common Body of Knowledge des ISC2

• Zugangskontrolle und Methodologie


• Sicherheit bei Anwendungs- und Systementwicklung


• Betriebliches Kontinuitätsmanagement und Notfallplanung


• Kryptografie


• Gesetze, Ermittlungen und Ethik


• Betriebssicherheit (Operations Security)


• Physische Sicherheit


• Sicherheitsarchitektur und -modelle


• Praxis des Sicherheitsmanagements


• Telekommunikations- und Netzwerksicherheit




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER