Standard für Security-Wissen

Was eine CISSP-Ausbildung bringt

IT-Sicherheitsexperten sind gefragt wie nie - doch wer ist wirklich "Experte" und wer wird nur für einen gehalten? Mit dem Zertifizierungsprogramm zum "Certified Information Systems Security Professional (CISSP)" schafft der nichtkommerzielle Fachverband (ISC)² Abhilfe.

Digitale Angriffe auf staatliche Einrichtungen, Unternehmen und Einzelpersonen haben gerade seit der Jahrtausendwende auf der ganzen Welt erheblich zugenommen. Da ist es nur zu verständlich, dass die Community der Informations- und IT-Sicherheit in den letzten Jahren ebenfalls einen erheblichen Schub in der Entwicklung ihrer Technik erlebt hat. Da der Mensch mit der neuen Technologie aber umzugehen wissen muss, braucht es geschultes Fachpersonal und einheitliche Wissens-Standards für IT-Sicherheitsexperten. Deren Etablierung ist naturgemäß mit Schwierigkeiten verbunden - zumal, wenn sie die unterschiedlichsten Arbeitsgebiete und Regionen miteinander in Einklang bringen soll. Eine große Herausforderung ist beispielsweise die zeitliche Komponente - bis ein Standard einmal eingeführt ist, ist er möglicherweise schon wieder überholt, weil sich die Gefährdungslage maßgeblich verändert hat.

IT-Sicherheitsstandards von heute sind morgen oft schon die von gestern.
IT-Sicherheitsstandards von heute sind morgen oft schon die von gestern.
Foto: Sergey Nivens_shutterstock.com

Der einzige Weg der Standardisierung besteht deshalb darin, die grundlegenden Prinzipien der Informationssicherheit herauszuarbeiten und mit weltweit einheitlichen Begriffen und Konzepten zu hinterlegen. Der nicht-kommerzielle Fachverband für Informations-Sicherheit (ISC)² hat dafür ein Zertifizierungsverfahren für Sicherheitsspezialisten entwickelt, das den Aufbau dieses gemeinsamen globalen Standards sicherstellen soll: die (ISC)²-Zertifizierung zum Certified Information Systems Security Professional (CISSP).

Dieses Zertifikat weist zum einen nach, dass der Sicherheitsexperte über Kompetenz auf seinem Fachgebiet verfügt. Zum anderen stellt es sicher, dass dieser sich in seinem beruflichen Alltag an einen bestimmten, international gültigen Standard hält - unabhängig ob er nun in Europa, Amerika oder Asien arbeitet, ob er für ein Pharmaunternehmen, eine Regierung oder eine Non-Profit-Organisation tätig ist. 1989 wurde das CISSP-Zertifikat von Informations-Sicherheitsexperten entwickelt. Inzwischen hat es sich weltweit als anerkanntes Prädikat für Fachpersonal etablieren können. An über 100.000 Fachleute konnte es mittlerweile ausgestellt werden. Mit dem Zertifikat decken sie zehn Fachbereiche der Sicherheit (Domänen) ab - von Kontrolle und Management bis hin zu Design und Architektur.

250 Fragen in sechs Stunden

Um ein CISSP-Zertifikat zu bekommen, müssen die Kandidaten eine schriftliche Prüfung absolvieren - 250 Fragen zu Informationssicherheit binnen sechs Stunden. Eine Vorbereitung ist möglich im Selbststudium und in Trainingskursen, die sowohl online als auch als Präsenz-Veranstaltung angeboten werden - bereits zertifizierte Fachkräfte leiten die Kurse. Das erforderliche Lehrmaterial wird von (ISC)² zur Verfügung gestellt. Interessierte können sich jederzeit zu einer der Prüfungen anmelden, die von zugelassenen Pearson Vue Test-Centern in Deutschland, Österreich und der Schweiz angeboten werden.

Um das CISSP-Zertifikat schließlich zu bekommen, ist aber noch eine weitere Voraussetzungen zu erfüllen: eine mindestens fünfjährige Berufspraxis als Sicherheitsspezialist in zwei oder mehr der vom Zertifikat behandelten Domänen. Mit einem akademischen Abschluss in einem für das Arbeitsgebiet der Informations-Sicherheit relevanten Gebiet verkürzt sich die erforderliche Berufspraxis auf vier Jahre. Die Prüfung selbst lässt sich schon vorher absolvieren, bis zur Erlangung der erforderlichen Berufserfahrung erhält der Zertifizierte dann jedoch lediglich Übergangsstatus eines Associate of (ISC)². Erst mit Nachweis der Berufspraxis erhält er die volle Zertifizierung und die damit verbundene Vollmitgliedschaft im (ISC)².

CISSP - mehr als ein Zertifikat

Ein CISSP-Zertifikat bietet zahlreiche Vorteile: Unternehmen können mit zertifizierten Mitarbeitern sicherstellen, dass die Sicherheit ihrer IT auf weltweitem Spitzenniveau gewährleistet ist - und dies lässt sich dann einfacher nach außen gegenüber Kunden und Aktionären kommunizieren. Den angestellten Sicherheitsexperten eröffnen die Zertifikate bislang verschlossene Karrierechancen und Verdienstmöglichkeiten. Studien belegen, dass das Karriere- und Verdienstpotenzial mit dem Grad der Zertifizierung steigt - laut der (ISC)²-Global Information Security Workforce Study sogar um bis zu 25 Prozent. Außerdem werden die Träger eines Zertifikates Teil einer vielfältig engagierten Gemeinschaft, in der sie weitere Anerkennung erfahren.

(ISC)²-Mitglieder sind in Regionalgruppen organisiert, die nicht nur in ständigem fachlichen Austausch stehen, sondern sich auch in gesellschaftlichen Initiativen einbringen. Dabei geht es beispielsweise um die Aufklärung von Kindern und Jugendlichen über Gefahren im Internet oder die Beratung von Regierungen bei Problemen der nationalen IT-Sicherheit. Nicht zuletzt dient das Zertifikat der Schaffung eines globalen Sicherheitsstandards für Sicherheitsexperten. Dabei geht es nicht nur um die Annäherung unterschiedlicher Wissensstände, sondern ebenso um die Schaffung eines gemeinsamen Begriffs- und Konzept-Apparates, mit dessen Hilfe Experten aus den unterschiedlichsten Teilen der Welt in einen gemeinsamen Dialog treten können; Ressourcen können gebündelt und Netzwerke gemeinsam gegen international agierende Cyber-Kriminelle, Hacker und Staaten geschützt werden.

"Umfassende Abdeckung"

Um die Träger des CISSP-Zertifikats stets auf dem neuesten Stand zu halten, hat (ISC)² zwei Verfahren eingeführt. Um die Aktualität der Zertifikats-Prüfung selbst sicherstellen zu können, wurde ein dreistufiges Verfahren, die sogenannte Job Task Analysis, entwickelt. Die Grundlage dieser Sicherstellung bildet eine regelmäßige Erhebung unter den bereits Zertifizierten, die zu aktuellen Aufgaben- und Verantwortungsbereichen befragt werden. Darüber hinaus werden spezielle Vertreter von Zertifizierten regelmäßig zu (ISC)²-Workshops eingeladen, auf denen sie ebenfalls ein Feedback zu ihrer Arbeit geben können. Die Äußerungen werden dann analysiert, in die Fragenkomplexe eingearbeitet und die überarbeitete Prüfung schließlich, in einem dritten Schritt, psychometrischen Tests unterzogen.

Der Wissensstand der bereits Zertifizierten muss ebenfalls aktuell gehalten werden. Daher sind diese nach ihrer Zertifizierung und Mitgliedschaft im (ISC)² angehalten, an Schulungskursen und Konferenzen teilzunehmen und sich durch Fachpublikation und Projektmitarbeit zu engagieren. Für alle diese Tätigkeiten erhalten sie spezielle Credit-Points, die ihre stetige berufliche Weiterbildung belegen und die Gültigkeit ihres CISSP-Zertifikats sicherstellen.

Wie die Teilnehmer die CISSP-Ausbildung erfahren, erläutert (ISC)²-Chapter-Mitglied und CISSP Jan-Tilo Kirchhoff: "Neben der Wertigkeit des Zertifikats hat mich am CISSP die umfassende Abdeckung des gesamten Umfeldes der Informationssicherheit begeistert. Mit den acht Domänen des "Common Body of Knowledge" hat es (ISC)² geschafft, einen gemeinsamen Corpus an Fachwissen zu definieren, der mir heute immer wieder hilft mit Menschen, deren Hintergrund eher im Management, IT-Operations oder einem anderen Bereich der IT- oder Unternehmenssicherheit liegt, zu kommunizieren und ein gemeinsames Verständnis zu finden." (sh)

 

plrost

Für die deutschen Belange optimiert (z.B. Datenschutz), gibt es das TISP-Zertifikat, das vom Herstellerverband der IT-Security-Branche geprüft und verliehen wird. Der TISP deckt ein gegenüber CISSP etwas konkreteres Anwendungsspektrum ab und behandelt neben IT-Sicherheitsprozessen auch den IT-Grundschutz des BSI. Mehr Infos dazu gibt es auf der Homepage des Verbands TeleTrusT e.V.

comments powered by Disqus