Zertifizierung

Warum sich Sicherheitsprofis zertifizieren lassen

15.07.2009

Von

Hans Königes war bis Dezember 2023 Ressortleiter Jobs & Karriere und damit zuständig für alle Themen rund um Arbeitsmarkt, Jobs, Berufe, Gehälter, Personalmanagement, Recruiting sowie Social Media im Berufsleben.

Alle Posts des Autors Email: Connect:

IT-Sicherheit ist mittlerweile zu einem der wichtigsten Themen geworden. Security-Profi Markus Wutzke erläutert, warum eine Zertifizierung weiterhilft.

CW: Warum haben Sie sich zum Certified Secure Software Lifecycle Professional (CSSLP) zertifizieren lassen?

Wutzke: Als Senior Consultant für IT-Sicherheit bei einem IT-Dienstleister betreue ich das Thema sichere Software- beziehungsweise Systementwicklung. Hierbei geht es unter anderem um Projekte zu Schutzbedarfs- und Risikoanalysen, Design-Reviews und Penetrationstests. Der Erwerb des Zertifikats einer international anerkannten Organisation ist für mich neben meinen Projektreferenzen ein weiteres Mittel, meine Kompetenz auf diesem Gebiet nachzuweisen.

CW: Wo gibt es Bedarf für CSSLP-zertifizierte Experten?

Markus Wutzke, zertifizierter Sicherheitsprofi: "Je später in der Entwicklung sicherheitstechnisch geprüft wird, desto teurer kann es werden."

Wutzke: Studien bestätigen, dass die kontinuierliche Berücksichtigung von Sicherheitsaspekten in der Softwareentwicklung langfristig günstiger ist als das nachträgliche Nachbessern. Je später eine Schwachstelle identifiziert wird, umso höher sind in der Regel die Kosten für ihre Beseitigung. Insbesondere dann, wenn das Design der Anwendung komplett überarbeitet werden muss, besteht die Gefahr, dass das Projektbudget überzogen wird. Der Schlüssel zum Erfolg ist also ein Vorgehen, das Sicherheitsaspekte kontinuierlich über den gesamten Softwarelebenszyklus hinweg berücksichtigt und Schwachstellen so früh wie möglich identifiziert, um geeignete Gegenmaßnahmen einleiten zu können. Dieser Ansatz ist das zentrale Element der CSSLP-Schulung.

CW: Was ist das Besondere am CSSLP?

Wutzke: Das Zertifikat ist nicht auf eine bestimmte Programmiersprache oder einen einzigen Verantwortungsbereich beschränkt. Dadurch kann bei allen, die am Software-Lebenszyklus beteiligt sind, eine solide Wissensgrundlage geschaffen werden, die für die Entwicklung sicherer Software notwendig ist. Die Zertifizierung ist so konzipiert, dass Teilnehmern abschließend die Fähigkeit attestiert werden kann, Sicherheitsanforderungen in der Softwareentwicklung von Anfang an zu identifizieren und anschließend durch geeignete Maßnahmen umzusetzen. Hauptziel ist dabei die Vermeidung typischer Schwachstellen.

Das Sicherheits-Zertifikat

Das Ausbildung zum Certified Secure Software Lifecycle Professional (CSSLP) unterteilt sich in sieben Bereiche, so genannte Domains:

Der erste beschäftigt sich mit grundlegenden Softwaresicherheitskonzepten und dem sicheren Entwicklungsprozess an sich. Die restlichen sechs orientieren sich an den typischen Phasen des Softwarelebenszyklus:
Initiation/Planning,
Requirements Analysis,
Design,
Implementation/Coding,
Testing/Acceptance und
Deployment/Operations/Maintenance/Disposal.

Dabei werden zunächst Sicherheitsanforderungen und Methoden zu ihrer Identifizierung und Beschreibung vermittelt. Anschließend werden Software-Design-Elemente (Security Patterns) und Praxisbeispiele zur Erfüllung dieser Anforderungen dargestellt und das notwendige Know-how zur Entwicklung sicherer Codes und Vermeidung typischer Programmierfehler vermittelt. Im Bereich Testing/Acceptance zeigt der Kurs Methoden auf, wie sich die Sicherheitsfunktionalität und ihre Widerstandsfähigkeit gegen Angriffe sowohl auf Modulebene als auch für die gesamte Software adäquat überprüfen lässt.

Informationen zur Ausbildung sind beim Zertifizierungskonsortium (ICS)2 oder im Karriere-Wiki der COMPUTERWOCHE erhältlich.

Mehr um Thema Zertifizierungen lesen Sie ...

... Karriere-Wiki der COMPUTERWOCHE. Mitmachen erwünscht!

Aktuelle Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren