Zertifizierung

Warum sich Sicherheitsprofis zertifizieren lassen

Hans Königes ist Ressortleiter Jobs & Karriere und damit zuständig für alle Themen rund um Arbeitsmarkt, Jobs, Berufe, Gehälter, Personalmanagement, Recruiting, Social Media im Berufsleben. Zusätzlich betreut das Karriereressort inhaltlich das Karrierezentrum auf der Cebit.
IT-Sicherheit ist mittlerweile zu einem der wichtigsten Themen geworden. Security-Profi Markus Wutzke erläutert, warum eine Zertifizierung weiterhilft.

CW: Warum haben Sie sich zum Certified Secure Software Lifecycle Professional (CSSLP) zertifizieren lassen?

Wutzke: Als Senior Consultant für IT-Sicherheit bei einem IT-Dienstleister betreue ich das Thema sichere Software- beziehungsweise Systementwicklung. Hierbei geht es unter anderem um Projekte zu Schutzbedarfs- und Risikoanalysen, Design-Reviews und Penetrationstests. Der Erwerb des Zertifikats einer international anerkannten Organisation ist für mich neben meinen Projektreferenzen ein weiteres Mittel, meine Kompetenz auf diesem Gebiet nachzuweisen.

CW: Wo gibt es Bedarf für CSSLP-zertifizierte Experten?

Markus Wutzke, zertifizierter Sicherheitsprofi: "Je später in der Entwicklung sicherheitstechnisch geprüft wird, desto teurer kann es werden."
Markus Wutzke, zertifizierter Sicherheitsprofi: "Je später in der Entwicklung sicherheitstechnisch geprüft wird, desto teurer kann es werden."

Wutzke: Studien bestätigen, dass die kontinuierliche Berücksichtigung von Sicherheitsaspekten in der Softwareentwicklung langfristig günstiger ist als das nachträgliche Nachbessern. Je später eine Schwachstelle identifiziert wird, umso höher sind in der Regel die Kosten für ihre Beseitigung. Insbesondere dann, wenn das Design der Anwendung komplett überarbeitet werden muss, besteht die Gefahr, dass das Projektbudget überzogen wird. Der Schlüssel zum Erfolg ist also ein Vorgehen, das Sicherheitsaspekte kontinuierlich über den gesamten Softwarelebenszyklus hinweg berücksichtigt und Schwachstellen so früh wie möglich identifiziert, um geeignete Gegenmaßnahmen einleiten zu können. Dieser Ansatz ist das zentrale Element der CSSLP-Schulung.

CW: Was ist das Besondere am CSSLP?

Wutzke: Das Zertifikat ist nicht auf eine bestimmte Programmiersprache oder einen einzigen Verantwortungsbereich beschränkt. Dadurch kann bei allen, die am Software-Lebenszyklus beteiligt sind, eine solide Wissensgrundlage geschaffen werden, die für die Entwicklung sicherer Software notwendig ist. Die Zertifizierung ist so konzipiert, dass Teilnehmern abschließend die Fähigkeit attestiert werden kann, Sicherheitsanforderungen in der Softwareentwicklung von Anfang an zu identifizieren und anschließend durch geeignete Maßnahmen umzusetzen. Hauptziel ist dabei die Vermeidung typischer Schwachstellen.

Das Sicherheits-Zertifikat

Das Ausbildung zum Certified Secure Software Lifecycle Professional (CSSLP) unterteilt sich in sieben Bereiche, so genannte Domains:

  1. Der erste beschäftigt sich mit grundlegenden Softwaresicherheitskonzepten und dem sicheren Entwicklungsprozess an sich. Die restlichen sechs orientieren sich an den typischen Phasen des Softwarelebenszyklus:

  2. Initiation/Planning,

  3. Requirements Analysis,

  4. Design,

  5. Implementation/Coding,

  6. Testing/Acceptance und

  7. Deployment/Operations/Maintenance/Disposal.

Dabei werden zunächst Sicherheitsanforderungen und Methoden zu ihrer Identifizierung und Beschreibung vermittelt. Anschließend werden Software-Design-Elemente (Security Patterns) und Praxisbeispiele zur Erfüllung dieser Anforderungen dargestellt und das notwendige Know-how zur Entwicklung sicherer Codes und Vermeidung typischer Programmierfehler vermittelt. Im Bereich Testing/Acceptance zeigt der Kurs Methoden auf, wie sich die Sicherheitsfunktionalität und ihre Widerstandsfähigkeit gegen Angriffe sowohl auf Modulebene als auch für die gesamte Software adäquat überprüfen lässt.

Informationen zur Ausbildung sind beim Zertifizierungskonsortium (ICS)2 oder im Karriere-Wiki der COMPUTERWOCHE erhältlich.

Mehr um Thema Zertifizierungen lesen Sie ...

... Karriere-Wiki der COMPUTERWOCHE. Mitmachen erwünscht!