Nice to/Must have Zertifikate für IT-Sicherheitsexperten

#1
Hey,
könnt ihr mir ein paar Zertifikate empfehlen, die man als IT-Sicherheitsexperte erwerben sollte oder welche sinnvoll für diesen Beruf sind? Ich will langfristig des Ethical Hacker Certificate abschließen, aber das ist noch in ferner Zukunft.

Viele Grüße
 

SchwarzeBeere

Moderator
Mitarbeiter
#2
Die zentrale Frage ist doch: Was willst du denn als "IT-Sicherheitsexperte" machen? Ich gebe dir mal einige Beispiele:

- Beratung, Managementberatung, Strategische vs. Operative Themen
- Security Architektur, ganzheitliche Informationssicherheit (z.B. ISMS)
- Penetration Testing / Hardcore IT Security (Hierrunter fällt für mich auch der CEH...)
- Softwareentwicklung / Projektmanagement
- IT Forensik, Strafverfolgung und -aufklärung
- Bestimmte Themenfelder (z.B. Cloud, Incident Management, ...)
- Auditing und Behörden
- ...
 
Zuletzt bearbeitet:
#3
Die zentrale Frage ist doch: Was willst du denn als "IT-Sicherheitsexperte" machen? Ich gebe dir mal einige Beispiele:

- Beratung, Managementberatung, Strategische vs. Operative Themen
- Security Architektur, ganzheitliche Informationssicherheit (z.B. ISMS)
- Bestimmte Themenfelder (z.B. Cloud, Incident Management, ...)
- Auditing und Behörden
- ...
Ja, diese Richtung. Zunächst mit dem Blick auf Unternehmen und Bedarf dieser zur IS. Für Pentests habe ich bislang zu wenig Erfahrung und Wissen über Computer, Netzwerke und co. So Skripte von Kalilinux zu bedienen kann ja praktisch jeder, der mindestens auf englisch lesen kann, aber da denke ich mir: Das ist in jedem Fall kein echter Pentester.

Für ISMS wird ja häufig nach ISO 27001 zertifiziert. Mit sowas würde ich zum Beispiel anfangen. Die Norm selbst kenne ich bereits ein wenig, sehe mich aber aktuell nicht in der Lage solch eine Zertifizierung eigenverantwortlich durchzuführen.

Also Zielbereich: SiBe, ISMS+, Audit.
(+ bedeutet mindestens, bestmöglich mehr)
 
Zuletzt bearbeitet:

SchwarzeBeere

Moderator
Mitarbeiter
#4
Was willst du dann mit dem CEH? ;)

Allgemein solltest du so herstellerunabhängig bleiben wie möglich und dich auf breit angelegte Zertifizierungen fokussieren. Hierbei übliche Zertifikate sind die drei großen Cs: CISA, CISM (beide ISACA) und CISSP (ISC2). Alle drei fordern afaik mind. 4-5 Jahre Erfahrung inkl. Hochschulabschluss, sind also eher für Menschen etwas, die bereits Berufserfahrung haben. In Deutschland gibt es auch noch den TISP, der aber eher auf den deutschen Markt beschränkt ist, während die anderen drei internationaler ausgerichtet sind (und dabei oftmals ebenfalls uninteressant sind ;)).

Daneben gibt es dann die Framework-spezifischen Zertifikate z.B. ISO2700x Lead Auditor vom PECB, sowie ähnliches für PCI-DSS und Co. von anderen Organisationen. Hier kommt es sehr drauf an, in welchen Märkten du dich bewegen möchtest (Behörden, Enterprises, Finanzbranche, National/International...). Auch kannst du mit weiteren Skills oder Zertifikaten punkten, z.B. im Bereich Projektmanagement (IPMA, PMP, ...).

Von Einsteigerzertifikaten rate ich prinzipiell ab. Was will man denn hier zertifizieren? Den Besuch einer teuren 5-tägigen Schulung? Hier geht es wirklich nur ums Geld, weniger um die Professionalisierung der Industrie. Zertifikate von OCSP, CEH oder auch der SSCP (ISC2) sind daher meiner Ansicht nach nicht zu empfehlen. Absolventen von Hochschulen mit IT Security Spezialisierung bringen das grundlegende Wissen meistens schon mit, alles weitere wird im Job gelernt. Und dass diese Menschen gesucht werden ist unbestritten.

Lass dich also hier nicht locken und konzentriere dich die ersten Jahre aufs Machen, statt aufs Zertifizieren von Luftschlössern. Später dienen die Zertifikate dann als Einlasskarte durch die HR Firewall, aber erst die Erfahrung hilft dir im Bewerbungsgespräch und später im Job. Nur, weil jemand einen CISSP hatte, ist ein Unternehmen noch lang nicht sicherer geworden ;)
 
#5
Den CEH hätte ich gerne für mich, ist auch eine tolle Werbung für eine Firma "Wir haben einen CEH". Dafür weiß ich aber, trotz meiner mathematischen Fokussierung der Kryptologie nicht genug praxisrelevante Inhalte. Eine Anstellung habe ich bereits (sobald ich den Abschluss erworben habe), wollte mich aber möglichst schnell und zielsicher in die Tätigkeit einarbeiten und entsprechend auch an Fortbildungen teilnehmen. Dabei dachte ich dann auch an Zertifikate, die "Nice to Have" sind. :)

Vielen Dank für die Übersicht. Ich werde aber deinen Rat berücksichtigen ;)
 

Chromatin

Moderator
Mitarbeiter
#6
Für ISMS wird ja häufig nach ISO 27001 zertifiziert. Mit sowas würde ich zum Beispiel anfangen. Die Norm selbst kenne ich bereits ein wenig, sehe mich aber aktuell nicht in der Lage solch eine Zertifizierung eigenverantwortlich durchzuführen.
In der Praxis spielt die formale Kenntnis einer solchen Norm überhaupt keine Rolle, denn jeder Idiot kann sich die Norm durchlesen und verstehen.
Das, was ein Consultant leistet, ist dafür zu sorgen dass eine Firm die IT Prozesse derart umgestaltet und/oder Dokumentiert, dass sie die Zertifizierung bestehen.
Ich schreibe und/oder weil es in der Praxis in manchen Punkten ausreicht eben einfach nur zu dokumentieren warum man es bei einigen Punkten so- oder gar nicht macht.

Als Berater für solche Zertifizierungen geht es um Management und Kommunikationsskills. Die notwendigen technischen Skills beschränken sich in der Praxis darauf, dass man ungefähr weiß, wie die Technologie funktioniert - mit Exterpenwissen hat das rein gar nichts zu tun.
 
#7
Die formale Kenntnis über eine ISO-Norm reicht ja noch lange nicht aus :D Die ist so allgemein gehalten, dass man bereit sein muss die richtigen (weiterführenden) Interpretationen anzustellen. Aber in Firmen, die sich damit beschäftigen, gibt es Vorlagen, die die Arbeit wesentlich erleichtern und eine Art "How-To" abbilden. Aber nichts desto trotz, sollte man schon die Gesetze ein wenig kennen, sodass man den Mindestanforderungen gerecht werden kann (und auch besser verkaufen kann...)

Es ist immer schön, irgendwo gerahmte Zertifikate rumhängen zu haben, die einem die Teilnahme an irgendwas bestätigen :D
 

SchwarzeBeere

Moderator
Mitarbeiter
#8
In der Praxis spielt die formale Kenntnis einer solchen Norm überhaupt keine Rolle, denn jeder Idiot kann sich die Norm durchlesen und verstehen.
Genauso naiv wäre es zu erwarten, jeder verstünde Brecht nur durch das Lesen eines seiner Bücher...

Die Kenntnis des Rahmens, der Anhänge, der Best Practices und Guidelines, der Messbarkeit UND der Risikomanagement Methodik ist nur ein kleiner Teil, das ist richtig. Aber die Grundlagen, auf denen die ISO Normen aufsetzen, wie z.B. den Demingkreis oder die Top-Down Methodik (z.B. in Kontrast zu älteren Version des IT Grundschutz) werden dort nicht beschrieben. Als Beraterin sollte man die Grundlagen in jedem Fall beherrschen, um später zu den von dir genannten Schlüssen zu finden: Management-Talk und Kommunikationsskills. Ansonsten dümpelt man weiter in der IT Abteilung rum, ohne Macht, ohne Geld, ohne Ahnung und ohne Nutzen. Also wie 99% der Datenschutzbeauftragten :D

Es ist immer schön, irgendwo gerahmte Zertifikate rumhängen zu haben, die einem die Teilnahme an irgendwas bestätigen :D
Es ist auch immer schön eine Lederjacke zu haben, weil man damit besonders cool rüberkommt, so wie es der Verkäufer auf dem türkischen Basar eben auch gesagt hat. Und der muss es ja wissen.
Am Ende war das Geschäft aber nur schön für den Verkäufer, der sie dir zum zehnfachen Preis andrehen konnte.

Die meisten Zertifikate sind nutzlos, ihr Geld nicht wert und verschandeln eher die Professionalität, als dass sie sie fördern. Investiere das Geld lieber in einen schönen Urlaub oder in einen Sprachkurs und konzentriere dich auf die Dinge, die aktiv VON DIR NACHGEFRAGT oder dir von Menschen empfohlen werden, denen du Vertrauen schenken kannst. Alles andere ist plump auf Werbung hineinzufallen.

Aber in Firmen, die sich damit beschäftigen, gibt es Vorlagen, die die Arbeit wesentlich erleichtern und eine Art "How-To" abbilden.
Öhm. Nein. Und genau das ist es, was ich oben angesprochen habe: Es geht nicht um Sicherheit und schon garnicht um Technik. Es geht um Politik. Ums Verkaufen. Um Geld. Jemand muss für Sicherheit bezahlen. Und kein Top Management bezahlt gerne für etwas, das ihm oder ihr kein Geld einbringt oder einspart. Oder das ihnen auf einmal mit Risiken kommt und sie für etwas haftbar machen will. Die Business-Ziele, sei es einen Anstieg der Verkäufe durch Markting mit dem ISO-Stempel eines großen Prüfunternehmens mit drei Buchstaben, oder sei es der Nachweis der Produktsicherheit für den lang ersehnten Markteintritt, müssen erarbeitet werden und stehen im Fokus deiner Arbeit (sowohl als Berater, als auch als Auditor), nicht die Technik und schon garnicht die Security.
 
Zuletzt bearbeitet:

Chromatin

Moderator
Mitarbeiter
#9
Zitat von Chromatin

In der Praxis spielt die formale Kenntnis einer solchen Norm überhaupt keine Rolle, denn jeder Idiot kann sich die Norm durchlesen und verstehen.



Genauso naiv wäre es zu erwarten, jeder verstünde Brecht nur durch das Lesen eines seiner Bücher...

Die Kenntnis des Rahmens, der Anhänge, der Best Practices und Guidelines, der Messbarkeit UND der Risikomanagement Methodik ist nur ein kleiner Teil, das ist richtig. Aber die Grundlagen, auf denen die ISO Normen aufsetzen, wie z.B. den Demingkreis oder die Top-Down Methodik (z.B. in Kontrast zu älteren Version des IT Grundschutz) werden dort nicht beschrieben. Als Beraterin sollte man die Grundlagen in jedem Fall beherrschen, um später zu den von dir genannten Schlüssen zu finden: Management-Talk und Kommunikationsskills. Ansonsten dümpelt man weiter in der IT Abteilung rum, ohne Macht, ohne Geld, ohne Ahnung und ohne Nutzen. Also wie 99% der Datenschutzbeauftragten :D
Es geht um Normen - eben. Und das steht geschrieben. Und weil es in der FORM keine besondere Anstrengung braucht, kann es auch jeder verstehen, der halbwegs bei Verstand ist.
Am Ende geht es darum dass ein Typ ins Haus kommt, der die Sache anpackt und die Abteilungen dazu bringt die nötigen Arbeiten zu machen, damit der Mann vom TÜV seinen Stempel gibt. Und da geht es um die von mir genannten Kernqualifikationen. Das lernen der Form bleibt Fleißarbeit und verlangt weder besondere Kreativität, technische Skills oder einen übermäßigen Intellekt.

Allerdings sieht es die Branche selbst natürlich anders...
 
#10
Öhm. Nein. Und genau das ist es, was ich oben angesprochen habe: Es geht nicht um Sicherheit und schon garnicht um Technik. Es geht um Politik. Ums Verkaufen. Um Geld. Jemand muss für Sicherheit bezahlen. Und kein Top Management bezahlt gerne für etwas, das ihm oder ihr kein Geld einbringt oder einspart. Oder das ihnen auf einmal mit Risiken kommt und sie für etwas haftbar machen will. Die Business-Ziele, sei es einen Anstieg der Verkäufe durch Markting mit dem ISO-Stempel eines großen Prüfunternehmens mit drei Buchstaben, oder sei es der Nachweis der Produktsicherheit für den lang ersehnten Markteintritt, müssen erarbeitet werden und stehen im Fokus deiner Arbeit (sowohl als Berater, als auch als Auditor), nicht die Technik und schon garnicht die Security.
Das wird sich in Zukunft aber ändern, wenn die EU-DSGVO in Kraft tritt. Dann werden nämlich die Strafen für Nicht-Einhaltung sehr empfindlich. Ich merke jedenfalls aktuell einen spürbaren Anstieg bei Aufträgen, bei denen ich Sicherheitskonzepte erstellen und/oder bei ihrer Umsetzung unterstützen soll.
 
#11
Ich schätze, dass der Leitung in vielen Fällen der Datenschutz als sehr unwichtig erscheint (u.a. da er die Gefahren nicht abschätzen kann, oder sie für ihn keine Rolle spielen..) und diese offenbar nur den Gesetzen genügen wollen. Ihr Ziel ist also: Möglichst kein Geld für gesetzeskonforme Sicherheit.
Als Consultant sollte man doch dann von "mehr Sicherheit" überzeugen und entsprechend mehr Leistungen/höheres Stundenvolumen verkaufen.

Mir persönlich ist das Anliegen der Endnutzer am wichtigsten. Soweit es mir meine Bildung zulässt versuche ich stets die bestmöglichste Empfehlung auszusprechen. Beruflich wird es dann vermutlich anders laufen müssen ;)

Btw. wer heutzutage ein neues Public-Key-System bei sich integrieren will, sollte direkt auf Gitterbasierte Krypto setzen. Die scheinen sehr gute Leistungen zu erzielen und verlieren (derzeit) nur 50% ihrer Komplexität, falls Quantencomputer entstehen.
 

Chromatin

Moderator
Mitarbeiter
#12
Ich schätze, dass der Leitung in vielen Fällen der Datenschutz als sehr unwichtig erscheint (u.a. da er die Gefahren nicht abschätzen kann, oder sie für ihn keine Rolle spielen..) und diese offenbar nur den Gesetzen genügen wollen. Ihr Ziel ist also: Möglichst kein Geld für gesetzeskonforme Sicherheit.
Als Consultant sollte man doch dann von "mehr Sicherheit" überzeugen und entsprechend mehr Leistungen/höheres Stundenvolumen verkaufen.
Du bringst Dinge durcheinander, etwa den Schutz der IT Systeme und die darauf liegenden Daten und den Datenschutz, von dem Datenschützer reden und wo es darum geht wer warum wann was und wie lange über wen speichern darf.
 

SchwarzeBeere

Moderator
Mitarbeiter
#13
Am Ende geht es darum dass ein Typ ins Haus kommt, der die Sache anpackt und die Abteilungen dazu bringt die nötigen Arbeiten zu machen, damit der Mann vom TÜV seinen Stempel gibt. Und da geht es um die von mir genannten Kernqualifikationen. Das lernen der Form bleibt Fleißarbeit und verlangt weder besondere Kreativität, technische Skills oder einen übermäßigen Intellekt.
Ich habe gerade so einen Fall vorliegen. Es geht um den "Stempel", nicht um mehr. Technische Skills sind zweitrangig, das geht bei der Zahl von Systemen eh nicht mehr. Dass es den Stempel aber nicht gibt, wenn es kein Commitment vom oberen Management gibt (ohne Commitment gibt es keinen Scope), da die Maßnahmen praktisch nicht ohne Managementunterstützung durchsetzbar sind, das ist bislang noch nicht durchgedrungen. Deswegen liefen in der Vergangenheit alle Anstrengungen ins Leere.

Das ist ein typischer Fall. Die blinde Anwendung führt nicht zum Erfolg, weder fachlich, noch im Business. Du sagst, man bräuchte keine Kreativität und keinen Intellekt hierfür. Das ist schlichtweg falsch, denn ohne diese Eigenschaften wäre die Situation auch weiterhin aussichtslos und die ISO nicht das Papier wert, auf der sie geschrieben steht. Nur wer geschickt argumentieren kann, wer für die Probleme des oberen Managements Lösungen findet, ist erfolgreich, auch im Hinblick auf das Sicherheitsniveaus des Unternehmens oder zumindest den Teil des Unternehmen im Scope.

Das wird sich in Zukunft aber ändern, wenn die EU-DSGVO in Kraft tritt. Dann werden nämlich die Strafen für Nicht-Einhaltung sehr empfindlich. Ich merke jedenfalls aktuell einen spürbaren Anstieg bei Aufträgen, bei denen ich Sicherheitskonzepte erstellen und/oder bei ihrer Umsetzung unterstützen soll.
Wir merken das hier ebenfalls. Die Unternehmen beschäftigen sich zunehmend damit, aktuell allerdings maßgeblich noch auf juristischer Ebene. Viele Themen sind noch offen, beispielsweise das Thema Consentverwaltung oder die Auditierung - wie auditiert man denn "By design" oder "By default"? -, ohne die GDPR auch nur ein zahnloser Tiger wäre. Vieles wird sich erst in der Praxis zeigen und viele Unternehmen spekulieren meiner Erfahrung aktuell noch darauf, dass es schon nicht so schlimm werden wird, wie vom Marketing der Security Unternehmen immer angekündigt wird.
 
Zuletzt bearbeitet:

Chromatin

Moderator
Mitarbeiter
#14
Du sagst, man bräuchte keine Kreativität und keinen Intellekt hierfür.
Ich meinte damit das Framework selbst -also das vorgegebene Material. Das zu lesen und zu verstehen finde ich nicht sonderlich anspruchsvoll.

Die Implementierung bei einem Kunden ist eine andere Sache und die erfordert selbstverständlich Skills. Aber wie ich schon meinte geht es da ja erstmal um den Umgang mit Menschen in den verschiedenen Positionen und darum wie man die Zertifizierung ausgestaltet. Und wenn der Kunde das eben wegen des Stempels will - so what.
 
#15
Und wenn der Kunde das eben wegen des Stempels will - so what.
Ich würde den Namen meines Unternehmens nicht riskieren wollen durch eine leichtfertige Vergabe von Gütesiegeln/Stempeln, die ein gewisses Maß an Sicherheit bezeugen sollen. Ich finde ja, wenn man Sicherheit haben will, muss man diese auch wirklich wollen. Ansonsten ist das Augenwäscherei.
 

Chromatin

Moderator
Mitarbeiter
#16
Ich würde den Namen meines Unternehmens nicht riskieren wollen durch eine leichtfertige Vergabe von Gütesiegeln/Stempeln, die ein gewisses Maß an Sicherheit bezeugen sollen. Ich finde ja, wenn man Sicherheit haben will, muss man diese auch wirklich wollen. Ansonsten ist das Augenwäscherei.
Du vergibst das Gütesiegel ja auch nicht - du erledigst mit dem Kunden zusammen die Vorarbeiten damit er es innerhalb der eigentlichen Prüfung bekommt.
 
#17
Wenn du nicht auch gleichzeitig Prüfer bist.

Dazu mal ne Frage: Darf ein zertifizierter ISO 27001 Prüfer auch die Einführung und Einhaltung der notwendigen Rahmenpunkte mitbetreuen? Damit ist er ja in einer sehr starken finanziellen Machtposition..
 

SchwarzeBeere

Moderator
Mitarbeiter
#18
Oben