Standard für Security-Wissen

Was eine CISSP-Ausbildung bringt

05.09.2015 von Rainer Rehm
IT-Sicherheitsexperten sind gefragt wie nie - doch wer ist wirklich "Experte" und wer wird nur für einen gehalten? Mit dem Zertifizierungsprogramm zum "Certified Information Systems Security Professional (CISSP)" schafft der nichtkommerzielle Fachverband (ISC)² Abhilfe.
  • Um ein CISSP-Zertifikat zu bekommen, müssen die Kandidaten eine schriftliche Prüfung absolvieren – 250 Fragen zu Informationssicherheit binnen sechs Stunden. Zusätzlich müssen mehrere Jahre Praxiserfahrung nachgewiesen werden.
  • Unternehmen können mit zertifizierten Mitarbeitern sicherstellen, dass die Sicherheit ihrer IT auf weltweitem Spitzenniveau gewährleistet ist - und dies lässt sich dann einfacher nach außen gegenüber Kunden und Aktionären kommunizieren. Den angestellten Sicherheitsexperten eröffnen die Zertifikate bislang verschlossene Karrierechancen und Verdienstmöglichkeiten.

Digitale Angriffe auf staatliche Einrichtungen, Unternehmen und Einzelpersonen haben gerade seit der Jahrtausendwende auf der ganzen Welt erheblich zugenommen. Da ist es nur zu verständlich, dass die Community der Informations- und IT-Sicherheit in den letzten Jahren ebenfalls einen erheblichen Schub in der Entwicklung ihrer Technik erlebt hat. Da der Mensch mit der neuen Technologie aber umzugehen wissen muss, braucht es geschultes Fachpersonal und einheitliche Wissens-Standards für IT-Sicherheitsexperten. Deren Etablierung ist naturgemäß mit Schwierigkeiten verbunden - zumal, wenn sie die unterschiedlichsten Arbeitsgebiete und Regionen miteinander in Einklang bringen soll. Eine große Herausforderung ist beispielsweise die zeitliche Komponente - bis ein Standard einmal eingeführt ist, ist er möglicherweise schon wieder überholt, weil sich die Gefährdungslage maßgeblich verändert hat.

IT-Sicherheitsstandards von heute sind morgen oft schon die von gestern.
Foto: Sergey Nivens_shutterstock.com

Der einzige Weg der Standardisierung besteht deshalb darin, die grundlegenden Prinzipien der Informationssicherheit herauszuarbeiten und mit weltweit einheitlichen Begriffen und Konzepten zu hinterlegen. Der nicht-kommerzielle Fachverband für Informations-Sicherheit (ISC)² hat dafür ein Zertifizierungsverfahren für Sicherheitsspezialisten entwickelt, das den Aufbau dieses gemeinsamen globalen Standards sicherstellen soll: die (ISC)²-Zertifizierung zum Certified Information Systems Security Professional (CISSP).

Security-Spezialisten gefragt wie nie
Christian Frei, usd:
"Als Sicherheitsfachmann müssen Sie die ganze Breite der Informatik beherrschen."
Günther Ennen, BSI:
"Man braucht ein Gespür für Unsicherheit in Prozessen und Systemen."
Rene Paegelow, BSI:
"Viele Unternehmen setzen zumindest auf den IT-Grundschutz."
Stephan Pfisterer, Bitkom:
"Wir brauchen mehr berufsbegleitende Qualifizierungsmöglichkeiten."

Als IT-Sicherheitsexperte bei usd dringt <strong>Rainer Thome</strong> im Auftrag von Firmen in deren Computersysteme ein."

Dieses Zertifikat weist zum einen nach, dass der Sicherheitsexperte über Kompetenz auf seinem Fachgebiet verfügt. Zum anderen stellt es sicher, dass dieser sich in seinem beruflichen Alltag an einen bestimmten, international gültigen Standard hält - unabhängig ob er nun in Europa, Amerika oder Asien arbeitet, ob er für ein Pharmaunternehmen, eine Regierung oder eine Non-Profit-Organisation tätig ist. 1989 wurde das CISSP-Zertifikat von Informations-Sicherheitsexperten entwickelt. Inzwischen hat es sich weltweit als anerkanntes Prädikat für Fachpersonal etablieren können. An über 100.000 Fachleute konnte es mittlerweile ausgestellt werden. Mit dem Zertifikat decken sie zehn Fachbereiche der Sicherheit (Domänen) ab - von Kontrolle und Management bis hin zu Design und Architektur.

250 Fragen in sechs Stunden

Um ein CISSP-Zertifikat zu bekommen, müssen die Kandidaten eine schriftliche Prüfung absolvieren - 250 Fragen zu Informationssicherheit binnen sechs Stunden. Eine Vorbereitung ist möglich im Selbststudium und in Trainingskursen, die sowohl online als auch als Präsenz-Veranstaltung angeboten werden - bereits zertifizierte Fachkräfte leiten die Kurse. Das erforderliche Lehrmaterial wird von (ISC)² zur Verfügung gestellt. Interessierte können sich jederzeit zu einer der Prüfungen anmelden, die von zugelassenen Pearson Vue Test-Centern in Deutschland, Österreich und der Schweiz angeboten werden.

Um das CISSP-Zertifikat schließlich zu bekommen, ist aber noch eine weitere Voraussetzungen zu erfüllen: eine mindestens fünfjährige Berufspraxis als Sicherheitsspezialist in zwei oder mehr der vom Zertifikat behandelten Domänen. Mit einem akademischen Abschluss in einem für das Arbeitsgebiet der Informations-Sicherheit relevanten Gebiet verkürzt sich die erforderliche Berufspraxis auf vier Jahre. Die Prüfung selbst lässt sich schon vorher absolvieren, bis zur Erlangung der erforderlichen Berufserfahrung erhält der Zertifizierte dann jedoch lediglich Übergangsstatus eines Associate of (ISC)². Erst mit Nachweis der Berufspraxis erhält er die volle Zertifizierung und die damit verbundene Vollmitgliedschaft im (ISC)².

CISSP - mehr als ein Zertifikat

Ein CISSP-Zertifikat bietet zahlreiche Vorteile: Unternehmen können mit zertifizierten Mitarbeitern sicherstellen, dass die Sicherheit ihrer IT auf weltweitem Spitzenniveau gewährleistet ist - und dies lässt sich dann einfacher nach außen gegenüber Kunden und Aktionären kommunizieren. Den angestellten Sicherheitsexperten eröffnen die Zertifikate bislang verschlossene Karrierechancen und Verdienstmöglichkeiten. Studien belegen, dass das Karriere- und Verdienstpotenzial mit dem Grad der Zertifizierung steigt - laut der (ISC)²-Global Information Security Workforce Study sogar um bis zu 25 Prozent. Außerdem werden die Träger eines Zertifikates Teil einer vielfältig engagierten Gemeinschaft, in der sie weitere Anerkennung erfahren.

Deutsche Security-Anbieter und ihre Marktaussichten
T-Systems
Security Services für Unternehmenskunden gehören zu den Fokusthemen von T-Systems. Dabei werden auch die Risiken durch aktuelle Entwicklungen wie Mobile Enterprise und Big Data adressiert.
T-Systems
Der Sicherheitstacho bietet ein Bild der aktuellen Bedrohungslage, wie sie die "Sicherheitssensoren" der Telekom wahrgenommen haben. Solche Bedrohungsanalysen helfen auch bei der Abwehr von Cyber-Attacken durch die Managed Security Services der Telekom.
G Data
G Data bietet Lösungspakete für Internet- und Datensicherheit vom Basisschutz bis hin zur umfassenden Security Suite.
G Data
Auch sicherheitsrelevante Aufgaben wie das Mobile Device Management (MDM) lassen sich mit Lösungen von G Data unterstützen.
antispameurope
Auch bei einem Managed Security Service ist die hohe Verfügbarkeit des Supports entscheidend, zum Beispiel bei dem E-Mail- und Spam-Schutz von antispameurope.
antispameurope
antispameurope bietet verschiedene Filterlösungen, mit denen sich der Internetverkehr der betrieblichen Nutzer steuern und damit sicherer machen lässt.
Avira
Avira sichert speziell Endgeräte, Server und die Internetnutzung ab.
Avira
Für Unternehmen gibt es auch eine zentrale Management-Konsole, um die Einstellungen für alle geschützten Endpunkte zu verwalten.
gateprotect
gateprotect richtet sich an kleine und mittlere Unternehmen ebenso wie an Großunternehmen. Zusätzlich stehen spezielle Branchenlösungen zur Verfügung.
gateprotect
Hervorzuheben ist das Angebot von gateprotect, Netzwerk- und Endpunktsicherheit aus einer Hand zu bekommen.
genua
genua bietet unter anderem spezielle Firewall-Lösungen wie die vs-diode. Diese ermöglicht Einbahn-Datenverkehr mit bis zu 1 Gbit/s Durchsatz, in der Gegenrichtung wird der Abfluss von Informationen dagegen blockiert.
genua
Die VPN-Appliance genucrypt 300s von genua dient der sicheren Vernetzung von Unternehmensstandorten. Damit adressiert genua das Risiko von Lauschangriffen auf Datenverbindungen.
NCP
Die NCP Secure VPN GovNet Box ist eine hochsichere VPN-Lösung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) speziell für Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich.
NCP
NCP bietet universelle VPN Clients für Windows, Android, OS X und Windows Mobile mit Kompatibilität zu allen gängigen VPN-Gateways.
secunet
secunet bietet unter anderem Lösungen im Bereich der öffentlichen Sicherheit wie eGate als Zutritts- und Dokumentenkontrolle.
secunet
SINA (Sichere Inter-Netzwerk Architektur) dient der sicheren Bearbeitung, Speicherung und Übertragung von Verschlusssachen (VS) sowie anderen sensiblen Daten und wird insbesondere bei Behörden, Streitkräften und Geheimschutz-betreuten Unternehmen eingesetzt.
Steganos
Steganos Online Shield VPN ermöglicht eine verschlüsselte Datenverbindung und unterstützt die Anonymität im Internet, indem Tracking-Versuche blockiert und IP-Adressen verschleiert werden.
Steganos
Die Steganos Privacy Suite vereint mehrere Datenschutz-Funktionen in sich wie Verschlüsselung, Passwort-Management und die Löschung von Nutzungsspuren auf dem gesicherten Endgerät.
Zertificon
Z1 SecureMail Gateway ermöglicht die Kombination aus sicherer Verschlüsselung mittels PKI oder Passwort zusammen mit der De-Mail-Zustellung. So kann jede vertrauliche E-Mail auch als De-Mail versendet werden.
Zertificon
Z1 SecureHub wurde für Situationen entwickelt, in denen große, sicherheitskritische Dateien an unterschiedliche Empfänger übertragen werden müssen, um den Beschränkungen bei E-Mail-Anhängen zu begegnen.
Secomba
Boxcryptor von Secomba verschlüsselt Daten, bevor diese in die Cloud übertragen werden, auch auf mobilen Endgeräten.
Secomba
Die Verschlüsselungslösung Boxcryptor unterstützt zahlreiche Cloud-Speicherdienste und ist somit flexibel einsetzbar.

(ISC)²-Mitglieder sind in Regionalgruppen organisiert, die nicht nur in ständigem fachlichen Austausch stehen, sondern sich auch in gesellschaftlichen Initiativen einbringen. Dabei geht es beispielsweise um die Aufklärung von Kindern und Jugendlichen über Gefahren im Internet oder die Beratung von Regierungen bei Problemen der nationalen IT-Sicherheit. Nicht zuletzt dient das Zertifikat der Schaffung eines globalen Sicherheitsstandards für Sicherheitsexperten. Dabei geht es nicht nur um die Annäherung unterschiedlicher Wissensstände, sondern ebenso um die Schaffung eines gemeinsamen Begriffs- und Konzept-Apparates, mit dessen Hilfe Experten aus den unterschiedlichsten Teilen der Welt in einen gemeinsamen Dialog treten können; Ressourcen können gebündelt und Netzwerke gemeinsam gegen international agierende Cyber-Kriminelle, Hacker und Staaten geschützt werden.

"Umfassende Abdeckung"

Um die Träger des CISSP-Zertifikats stets auf dem neuesten Stand zu halten, hat (ISC)² zwei Verfahren eingeführt. Um die Aktualität der Zertifikats-Prüfung selbst sicherstellen zu können, wurde ein dreistufiges Verfahren, die sogenannte Job Task Analysis, entwickelt. Die Grundlage dieser Sicherstellung bildet eine regelmäßige Erhebung unter den bereits Zertifizierten, die zu aktuellen Aufgaben- und Verantwortungsbereichen befragt werden. Darüber hinaus werden spezielle Vertreter von Zertifizierten regelmäßig zu (ISC)²-Workshops eingeladen, auf denen sie ebenfalls ein Feedback zu ihrer Arbeit geben können. Die Äußerungen werden dann analysiert, in die Fragenkomplexe eingearbeitet und die überarbeitete Prüfung schließlich, in einem dritten Schritt, psychometrischen Tests unterzogen.

Der Wissensstand der bereits Zertifizierten muss ebenfalls aktuell gehalten werden. Daher sind diese nach ihrer Zertifizierung und Mitgliedschaft im (ISC)² angehalten, an Schulungskursen und Konferenzen teilzunehmen und sich durch Fachpublikation und Projektmitarbeit zu engagieren. Für alle diese Tätigkeiten erhalten sie spezielle Credit-Points, die ihre stetige berufliche Weiterbildung belegen und die Gültigkeit ihres CISSP-Zertifikats sicherstellen.

Wie die Teilnehmer die CISSP-Ausbildung erfahren, erläutert (ISC)²-Chapter-Mitglied und CISSP Jan-Tilo Kirchhoff: "Neben der Wertigkeit des Zertifikats hat mich am CISSP die umfassende Abdeckung des gesamten Umfeldes der Informationssicherheit begeistert. Mit den acht Domänen des "Common Body of Knowledge" hat es (ISC)² geschafft, einen gemeinsamen Corpus an Fachwissen zu definieren, der mir heute immer wieder hilft mit Menschen, deren Hintergrund eher im Management, IT-Operations oder einem anderen Bereich der IT- oder Unternehmenssicherheit liegt, zu kommunizieren und ein gemeinsames Verständnis zu finden." (sh)