![[externer Link]](../../../../images/link.gif)
www.cert-it.de).Der Weiterbildungs-Markt hat heute in Sachen Informationssicherheit eine kaum überschaubare Vielzahl von Kursen und Zertifikaten zu bieten. Für die folgende Übersicht haben wir uns ausschließlich auf umfassende, zumeist in einem international oder national normierten Rahmen organisierte Qualifikationen beschränkt. Den ebenfalls großen Bereich von Angeboten durch Hochschulen oder hochschulnahe Organisationen werden wir in einer der folgenden <kes>-Ausgaben des Jahres näher betrachten.
IT-Spezialisten-Zertifikate sind ein international gültiger Abschluss nach ISO/IEC 17024 im Rahmen der beruflichen Weiterbildung (Näheres s. S. 23). Von insgesamt 29 möglichen Spezialistenprofilen sind in Sachen Sicherheit der IT Security Coordinator und der Security Technician einschlägig. Jedes Profil ist durch die Beschreibung der Arbeitsprozesse und die jeweiligen spezifischen Kompetenzfelder definiert. Die Zertifizierung richtet sich sowohl an Absolventen von IT-Ausbildungen und -Studiengängen als auch an berufserfahrene Seiteneinsteiger. Die prozessorientierte Qualifizierung erfolgt berufsbegleitend in einem realen IT-Projekt am Arbeitsplatz; die Dauer beträgt je nach Projektlaufzeit und Ausgangsqualifikation zwischen drei Monaten und maximal zwei Jahren (Erfahrungsbericht s. Kasten). Der Teilnehmer organisiert seine Weiterbildung weitgehend eigenverantwortlich, das Zertifizierungsverfahren koordiniert die Cert-IT ( www.cert-it.de).
----------Anfang Textkasten----------
Walter Kuschill (46 Jahre) ist zertifizierter IT Security Coordinator und arbeitet für die Stadt Freiburg. Seine Erfahrungen mit dem Expertenzertifikat beschreibt er wie folgt:
"Eher zufällig erfuhr ich von der Möglichkeit der arbeitsprozessorientierten Weiterbildung (APO). Die Idee, Handlungskompetenz in realen Arbeitsprozessen zu erwerben, fand ich sehr gut. Durch meine langjährige Tätigkeit als E-Mail-Administrator bei der Stadt Freiburg war ich schon immer gezwungen, mich mit der System- und E-Mail-Sicherheit zu befassen. Die rasante Entwicklung im IT-Bereich und stetig wachsende Gefahren erfordern detaillierte, immer "up to date" zu haltende Kenntnisse im IT-Security-Bereich und damit laufende Weiterbildung.
Außerdem hatte mich das Thema schon immer fasziniert und ich wollte mir mehr Wissen und Kompetenzen hierzu aneignen. Durch die arbeitsprozessorientierte Weiterbildung hatte ich nun die Möglichkeit, dies parallel zum Berufsalltag praxisbezogen zu tun. Mein Projekt war die Aktualisierung und Erweiterung des E-Mail-Systems der Stadt Freiburg, das heißt: Service und Mail-Sicherheit für rund 2 000 PC-Arbeitsplätze an 27 Standorten verbessern, insbesondere auch Zugriffe über Web Access zu ermöglichen.
Bis dahin hatte ich mein Wissen durch Selbststudium oder klassische Seminare erworben. Diese waren meist sehr kompakt auf wenige Tage verteilt gewesen, danach war ich schnell wieder zurück im "täglichen Geschäft." Wenn überhaupt, blieb immer nur wenig Zeit, das Erlernte auf mich einwirken zu lassen und zu reflektieren. Das, was ich gelernt hatte, hielt deshalb auch häufig nicht lange vor. Anders beim Expertenzertifikat: Durch die vorgeschriebene Lernprozessbegleitung profitierte ich zusätzlich, denn in den entsprechenden Sitzungen konnte ich Erlerntes und neue Erfahrungen besprechen und nochmals aufbereiten.
Mit den erworbenen Kompetenzen möchte ich das E-Mail-System, für das ich als Administrator verantwortlich bin, sicherer machen. Durch die prozessorientierte Vorgehensweise, die ich mit den Empfehlungen des IT-Grundschutzhandbuchs (GSHB) des BSI verbunden habe, bin ich diesem Ziel näher gekommen. Alles in allem habe ich durch das APO-Projekt innerhalb von fünf Monaten meine Handlungs- und Fachkompetenzen im IT-Security-Bereich erweitern können. Durch das Zertifikat "IT Security Coordinator" wurden mir diese Kompetenzen letztendlich auch bestätigt, was für mich persönlich und für meinen beruflichen Werdegang von entscheidender Bedeutung ist." (Walter Kuschill)
----------Ende Textkasten----------
Der Professional ist hingegen ein staatlich geprüfter IHK-Abschluss, wobei zwischen operativen und strategischen Professionals unterschieden wird: Die strategischen Professionals decken den Bereich der geschäftsführenden Tätigkeiten ab. Für Beschäftigte im Themenfeld der IT-Security, die Projektleitung und Managementaufgaben wahrnehmen, können vor allem vier Profile der operativen Professionals interessant sein: geprüfter IT-Entwickler (Certified IT Systems Manager), geprüfter IT-Projektleiter (Certified IT Business Manager), geprüfter IT-Ökonom (Certified IT Marketing Manager) und geprüfter IT-Berater (Certified IT Business Consultant).
Die IT-Fortbildungsverordnung ( www.apo-it.de/download/it_fortbildungsverordnung.pdf) unterscheidet hier wie folgt: IT Systems Manager planen, steuern und kontrollieren Projekte zur Entwicklung und Implementierung technisch optimaler und marktgerechter IT-Lösungen – hierunter fallen also auch Managamenttätigkeiten für Security-Produkte und Dienstleistungen. Liegt der Schwerpunkt jedoch auf der Projektleitung, so kommt das Profil des IT Business Managers in Betracht, der selbstständig und eigenverantwortlich "einmalige Vorhaben" leitet, die durch spezifische Ziele, zeitliche, finanzielle und personelle Begrenzungen sowie eine projektspezifische Organisation gekennzeichnet sind.
Sofern der Marketingaspekt im Vordergrund steht, wäre das Profil des IT Marketing Managers (IT-Ökonomen) zutreffend, der "im Spannungsfeld zwischen der strategischen Unternehmens- und Managementberatung sowie dem kaufmännisch-betriebswirtschaftlich ausgerichteten Marketing" tätig ist und dabei IT-Produkte, -Dienstleistungen und Geschäftsmodelle des eigenen Unternehmens vermarktet. Im Referenzprofil zum IT-Berater heißt es schließlich: "IT Business Consultants sind verantwortlich für die erfolgreiche und profitable Abwicklung von Beratungs- und Kundenprojekten. Dabei entwickeln sie innovative IT-gestützte Branchenlösungen und realisieren den Kundennutzen."
Schon 1980 wurde die erste Prüfung zum Certified Information Systems Auditor (CISA) der Information Systems Audit and Control Association (ISACA) abgehalten – mittlerweile gibt es nach Anbieterangaben über 44 000 CISAs. Die ISACA ist ein Berufsverband für Spezialisten der IT-Sicherheit und -Revision ( www.isaca.org). Das Berufsbild des CISA wird etwa alle vier Jahre neu untersucht, die Prüfungsinhalte entsprechend angepasst: Der Schutz von Informationswerten hat dabei im Lauf der Jahre deutlich an Gewicht gewonnen und stellt heuer 31 % der 200 Multiple-Choice-Fragen, die in einer 4-stündigen, kostenpflichtigen Prüfung zu beantworten sind. Die weiteren Bereiche des Examens sind IT-Revision (10 %), IT-Governance (15 %), Systems and Infrastructure Lifecycle Management (16 %), IT Service Delivery and Support (14 %) sowie Business Continuity and Disaster Recovery (14 %). Vorbereitungskurse werden von den jeweiligen nationalen "Chapters" der ISACA organisiert.
Außer der bestandenen Prüfung sind fünf Jahre einschlägiger Berufserfahrung (Substitutionsregeln u. a. für Hochschulabschlüsse und -tätigkeiten anwendbar), die Verpflichtung zum Code of Professional Ethics und den Auditing Standards der ISACA sowie zur kontinuierlichen Weiterbildung notwendig. Jedes Jahr müssen hierzu 20 Stunden so genannter Continuing Professional Education (CPE) nachgewiesen werden, überdies insgesamt mindestens 120 CPE in einem Dreijahreszeitraum.
Aufgrund einer Mitgliederbefragung hat die ISACA 2002 die Zertifizierung zum Certified Information Security Manager (CISM) ergänzt (vgl. <kes> 2003#1, S. 78) – in den ersten zwei Jahren danach wurden laut Anbieter weltweit rund 5500 Zertifikate vergeben. Im CISM-Examen wird Fachwissen der folgenden Sachgebiete abgefragt: Information Security Governance (21 %), Risk Management (21 %), Information Security Programme Management (21 %), Information Security Management (24 %) und Response Management (13 %).
Die Voraussetzungen zum Zugang und zur Aufrechterhaltung des Zertifikats entsprechen im Wesentlichen denen des CISA, wobei von den mindestens fünf Jahren Berufserfahrung auf dem Gebiet der IT-Sicherheit bis zu zwei Jahre durch ein CISA- oder CISSP-Zertifikat oder einen passenden Hochschulabschluss ersetzt werden können (weitere Substitutionsregeln anwendbar). Sowohl CISM als auch CISA-Zertifizierung sind vom American National Standards Institute (ANSI) gemäß der Personalzertifizierungsnorm ISO/IEC 17024 anerkannt.
Der Certified Information Systems Security Professional (CISSP) nahm seinen Ursprung 1989 in den USA mit der Gründung der Non-Profit-Organisation (ISC)², dem International Information Systems Security Certification Consortium Inc. ( www.isc2.org). Als Hintergrund des Zertifikats dient der Common Body of Knowledge (CBK), eine Best-Practices-Sammlung, die 10 Domänen umfasst: Information Security and Risk Management, Access Control, Cryptography, Physical (Environmental) Security, Security Architecture and Design, Business Continuity and Disaster Recovery Planning, Telecommunications and Network Security, Application Security, Operations Security sowie Legal, Regulations, Compliance and Investigations.
Voraussetzung für die Teilnahme an der CISSP-Zertifizierung sind mindestens vier Jahre nachgewiesene Berufserfahrung in mindestens einer der 10 CBK-Domänen (bestimmte Hochschulabschlüsse können ein bis zwei Jahre ersetzen). Darüber hinaus müssen alle Kandidaten den so genannten Code of Ethics unterschreiben, mit dem sie sich zur Einhaltung bestimmter Policies und zu fortgesetzten Qualifizierungsbemühungen verpflichten.
Die kostenpflichtige Prüfung umfasst alle CBK-Bereiche und besteht aus 250 Multiple-Choice-Fragen, für deren Beantwortung bis zu sechs Stunden zur Verfügung stehen. Vorbereitungskurse werden in Deutschland von der Lanworks AG ( www.lanworks.de) und von Trainingcamp ( www.trainingcamp.de) angeboten.
Nach erfolgreich bestandenem Examen ist die Zertifizierung drei Jahre lang gültig. In dieser Zeit müssen 120 CPE-Punkte (Continuing Professional Education) gesammelt werden, um die Gültigkeit aufrecht zu erhalten. Andernfalls muss das Examen anschließend erneut abgelegt und bestanden werden. Derzeit sind laut (ISC)² weltweit über 40 000 Sicherheitsexperten als CISSP zertifiziert, davon rund 350 in Deutschland, etwa 300 in der Schweiz und circa 40 in Österreich.
Rund 1600 CISSP haben mittlerweile auch eine von drei möglichen Schwerpunktsqualifikationen erlangt, die auf dem CISSP aufbauen und seit 2004 angeboten werden – allerdings sind nur etwa 30 davon dem deutschsprachigen Raum zuzuordnen. Die drei Vertiefungsrichtungen sind Architektur, Management und Technik von Informations-Sicherheitssystemen und führen zu den Zertifikaten Information Systems Security Architecture (ISSAP), Management (ISSMP) beziehungsweise Engineering Professional (ISSEP).
Der ISSEP-Kurs wurde dabei in Zusammenarbeit mit der US-amerikanischen National Security Agency (NSA) entwickelt und basiert auf Anforderungen des US Department of Defense (DoD). Kandidaten für ein Schwerpunkt-Zertifikat müssen neben dem CISSP zwei weitere Jahre Berufserfahrung im jeweiligen Bereich nachweisen und in einem dreistündigen Examen 150 Fragen zum Spezialgebiet beantworten.
Um auch ein Zertifikat für Mitarbeiter anzubieten, die auf der "taktischen Ebene" Sicherheits-Policies und -Maßnahmen umsetzen, hat (ISC)² 2001 den Systems Security Certified Practitioner (SSCP) geschaffen. Für dieses Zertifikat genügt bereits ein Jahr praktische Berufserfahrung in der IT-Security oder einem Bereich, der die Anwendung praktischen IT-Security-Wissens erfordert. Die Anerkennung des Code of Ethics und nachgewiesene Weiterbildung im Dreijahres-Gültigkeitszeitraum entsprechen dem CISSP, allerdings umfasst die Prüfung nur sieben CBK-Bereiche und es müssen anschließend nur 60 CPE gesammelt werden.
Der SSCP ist bislang überwiegend in Nordamerika präsent: Von 571 bis zum Jahresbeginn abgeschlossenen Zertifizerungen waren 446 in den USA und Kanada verzeichnet, der deutschsprachige Raum konnte hingegen nur 4 SSCPs vorweisen. Sowohl SSCP als auch CISSP sind vom American National Standards Institute (ANSI) gemäß der Personalzertifizierungsnorm ISO/IEC 17024 anerkannt.
Zur besonderen Betonung deutscher und europäischer Anforderungen wurde unter dem Dach des TeleTrusT ( www.teletrust.de) das Expertenzertifikat TISP entwickelt, der TeleTrusT Information Security Professional (vgl. <kes> 2006#1, S. 33). Der erste Vorbereitungskurs hierzu fand im Sommer 2004 statt – bis zum Frühjahr 2006 wurden nach Anbieterangaben rund 100 Teilnehmer erfolgreich zertifiziert.
Voraussetzungen für den TISP sind der Nachweis einer mindestens dreijährigen Berufserfahrung, die Teilnahme an einem einwöchigen Vorbereitungskurs und die bestandene Prüfung. Das Examen besteht aus zwei zweistündigen Multiple-Choice-Tests mit jeweils 10 zu den folgenden 18 Modulen: Netzwerksicherheit, Firewalls, Intrusion Detection, Hacker-Methoden, VPN, Sicherheit in Web und E-Commerce, Sicherheit in mobilen Netzen, Kryptografie, PKI, Authentifizierung und Berechtigungsmanagement, Business Continuity Planning, Awareness und Endanwendersicherheit, physische Sicherheit, betriebswirtschaftliche Aspekte der IT-Sicherheit, Recht, Computer-Viren, Content Security sowie Betriebssystemsicherheit.
Alle Inhalte und Prüfungen sind in deutscher Sprache abgefasst. Vorbereitungskurse und Prüfungen werden von derzeit sechs Anbietern durchgeführt: apsec ( www.apsec.de), GITS ( www.gits-ag.de), CAST e. V. ( www.castforum.de), Fraunhofer SIT ( http://sit.fraunhofer.de), Secunet ( www.secunet.de) und Siemens LS Training & Services ( www.internet-academy.de/tisp).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#3, Seite 27
| 