Berufszertifikate in der IT-Security: Wer braucht was?

Zertifikate der aktuellen beruflichen Situation anpassen

(06.01.10) - Berufszertifikate für IT-Security-Professionals erfreuen sich sowohl bei Arbeitgebern als auch bei Kunden wachsender Beliebtheit. Sie können die Karriere ankurbeln und die Attraktivität für potentielle Kunden steigern. Wer braucht also welches Zertifikat?

Von Ionut Ionescu, (ISC)²-zertifizierter CISSP, IT-Security Consultant und Mitglied im (ISC)² European Advisory Board

Die Vielzahl der Zertifikate und Qualifizierungsmöglichkeiten zeigt, dass die IT-Security in den letzten Jahren einen bedeutenden Schritt nach vorne gemacht hat. Zu diesem Fortschritt haben auch die verschiedenen Zertifizierungsprogramme beigetragen. Als Security-Verantwortlicher sollte man stets darauf bedacht sein, sich weiterzuqualifizieren. Dazu eigenen sich Zertifikate, unabhängig davon, ob sie eher technik- oder betriebswirtschaftlichorientiert sind. Eine einseitige Ausrichtung ist meiner Ansicht nach jedoch nicht empfehlenswert. Das Wichtigste ist aber, dass das ausgewählte Zertifikat zu der aktuellen beruflichen Situation passt und einen Grundstein für die weitere Karriereplanung bildet.

Die Frage, welches Zertifikat für einen Security-Professional richtig ist, lässt sich nicht allgemein, sondern nur individuell beantworten. Es gibt kein "Killer-Zertifikat", das alle Bereiche abdeckt und für alle beruflichen Situationen geeignet ist. Bei der Auswahl eines Zertifikats lassen sich jedoch zwei grobe Richtlinien skizzieren, die meiner Meinung nach helfen können, sich für das richtige Zertifikat zu entscheiden:

· Das Zertifikat sollte der Karrierestufe, auf der man sich befindet, entsprechen.

· Die Inhalte des Zertifikats sollten in Verbindung mit den aktuellen beruflichen Aufgaben stehen.

Für Security-Analysten oder (Junior) Security Consultants, deren Spektrum sich größtenteils auf Security-Technik und die Implementierung dieser fokussiert, erweisen sich zwei Arten von Zertifikaten als nützlich. Empfehlenswert sind auf der einen Seite die anbieterspezifischen und auf der anderen die unabhängigen technikfokussierten Zertifikate. Abhängig von den Technologien, die den beruflichen Alltag bestimmen, kann man sich beispielsweise für ein Cisco Networking and Security oder Checkpoint Firewall Zertifikat entscheiden. Darüber hinaus gibt es weitere Anbieter von Sicherheitstechnologie, die eigene Zertifikate auf den Markt gebracht haben. Solche Zertifikate helfen kurzfristig, einen Arbeitgeber oder potenzielle Kunden davon zu überzeugen, dass man das nötige Know-how mitbringt, um Systeme zu installieren, zu konfigurieren und zu analysieren.

Seitdem man aber erkannt hat, dass die Kompetenz eines Security-Verantwortlichen weiter reichen muss als die eines reinen Netzwerk- beziehungsweise Systemadministrators, spielen auch Zertifikate, die zwar technikorientiert, aber nicht applikationsspezifisch sind, eine entscheidende Rolle. In diesem Zusammenhang stellt das GSEC (GIAC Security Essentials Certification) vom SANS’ GIAC Programme eine sinnvolle Zertifizierungsoption dar. Das GSEC ist zwar stark amerikanisch geprägt, jedoch weltweit ein hoch anerkannter Standard.

Sobald sich der berufliche Aufgabenbereich erweitert, so dass Themen wie Security-Architektur, -Beratung und -Auditierung eine Rolle spielen, ist es sehr wichtig zu zeigen, dass man kein so genanntes "One-Trick-Pony" ist, sondern dass man über ein breites und fundiertes Security-Know-how verfügt. Dieses kann man zum gewissen Teil im beruflichen Alltag erlangen, man kommt jedoch nicht drumherum, sich über Zertifikate weiterzuqualifizieren.

Hierfür gibt es auch eine Vielfalt von Zertifikaten, wie CISA, CISM oder das von (ISC)² angebotene CISSP (Certified Information Systems Security Professional). Der CISSP belegt, dass man über fundiertes Wissen aus allen relevanten Security-Bereichen, angefangen bei Netzwerk- und Applikationssicherheit über sicherere Geschäftsprozesse, bis hin zu physikalischer Sicherheit verfügt. Eine Erweiterung des CISSP mit dem auch von (ISC)² angebotenen ISSAP (Information Systems Security Architecture Professional) Zertifikat macht dann Sinn, wenn der Fokus stärker auf Architektur-Security liegen soll.

Auditierung ist ein weiteres wichtiges Feld, auf dem sich Security-Verantwortliche zertifizieren lassen können. Hierbei kann zwischen einem standard- oder prozessorientierten Zertifikat gewählt werden. Als standardorientiertes Zertifikat würde ich das ISO/IEC27001 Lead Auditor vorziehen. Die Qualifikation, diesen internationalen Standard für Security-Management in unterschiedlichen Umgebungen anzuwenden, ist bei vielen Unternehmen sehr gefragt. Aber auch das eher prozessorientierte CISA (Certified Information Systems Auditor) Zertifikat von ISACA ist im Markt anerkannt, vor allem, wenn man in der Beratung tätig ist und Auditierung anbietet. Es ist zweifelsohne wichtig, sich weiterzubilden und sich diese Maßnahmen auch zertifizieren zu lassen, dennoch wird der Wert eines Auditors weniger an der Anzahl seiner Zertifikate, sondern über-wiegend an seiner Berufserfahrung, der Art, Größe und Komplexität der Bereiche, die dieser bereits auditiert hat, wie auch an seinen Kommunikationsfähigkeiten, vor allem in Bezug auf das leitende Management, gemessen.

Als Security-Verantwortlicher sollte man neben dem technischen und sicherheitsrelevanten Know-how auch über betriebswirtschaftliches Wissen verfügen, um in der Lage zu sein, Geschäfts-prozesse und die Unternehmensstrategie, die entscheidende Variablen des Security-Managements, sind zu verstehen. Dieses Wissen kann im Rahmen des international etablierten CISM (Certified Information Security Manager) Zertifizierungsprogramms oder des neueren CGEIT (Certified in the Governance of Enterprise IT) Zertifizierungsprogramms erlangt werden. Beide Zertifikate werden von ISACA angeboten. Das CGEIT ist in dem Sinne keine Security-Zertifizierung, da es hauptsächlich vermittelt, warum die IT und somit auch die IT-Security ein immer bedeutenderer Bestandteil der Unternehmensführung geworden ist. Die meisten Unternehmen haben verstanden, dass die Anwendung von IT-Systemen in den täglichen Geschäftsprozessen Security-Management notwendig macht. Aus diesem Grund haben diejenigen, die das Know-how nachweisen können und das entsprechende Zertifikat haben, gute Chancen auf dem Arbeitsmarkt.

Für diejenigen, die im SDLC (Software Developing Lifecycle) ihre Aufgabenbereiche haben, ist das CSSLP (Certified Secure Software Lifecycle Professional) oder das nur in Deutschland von ISSECO angebotene CPSSE (Certified Professional for Secure Software Engineering) Zertifikat interessant. Basierend auf der Erkenntnis, dass 70 Prozent aller Sicherheitsvorfälle auf unsicher entwickelte Software zurückzuführen sind, bietet (ISC)² mit dem CSSLP ein Zertifizierungsprogramm an, das sich fundiert mit Sicherheitsaspekten in der Softwareentwicklung beschäftigt. Diese Art von Zertifikat ist meiner Ansicht nach eine Chance, sich im Markt zukunftsorientiert zu positionieren.

Sowohl technik- als auch managementorientierte Zertifikate können, abhängig von der momentanen beruflichen Position und den damit verbundenen Aufgaben hilfreich sein, um die Karriere voranzutreiben. Berufsspezifische Security-Zertifikate zu ignorieren wäre genau so fahrlässig, wie wenn man sich ausschließlich nur auf diese fokussieren und somit den gesamten Business-Kontext ausblenden würde. ((ISC)²: ma)