:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
(ISC)²-Zertifizierung zum CISSP CISSP-Zertifizierung für IT-Sicherheitsexperten
Weiterbildungsmaßnahmen haben sich etabliert, auch im Bereich der IT-Sicherheit. Neben herstellerspezifischen Zertifizierungen erwerben auch immer mehr Berufstätige sogenannte Security-Management-Zertifikate. Weltweit anerkannt ist dabei der Certified Information Systems Security Professional (CISSP).
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Das CISSP-Zertifikat nahm seinen Ursprung in den USA mit der Gründung der Non-Profit-Organisation (ISC)² im Jahr 1989. Wer es erlangen möchte, muss über eine zumindest fünfjährige Berufspraxis verfügen und sich durch Weiterbildungen auf dem aktuellen Stand halten. Dies ist bei vielen Computerführerscheinen und produkt- bzw. herstellerspezifischen Lehrgangsnachweisen nicht der Fall.
Eine andere Möglichkeit die Auszeichnung zu erlangen: mit einem Universitätsabschluss und vier Jahren Berufserfahrung kann man sein Wissen in zwei oder mehr der zehn CBK-Domänen (Common Body of Knowledge) nachweisen.
Es ist auch möglich, die Zertifizierung zu beginnen, wenn die erforderliche Berufserfahrung noch nicht erlangt wurde. In diesem Fall bekommt der Anwärter den Titel „Associate of (ISC)²“ verliehen und darf die Prüfung ablegen, wenn er die erforderlichen vier oder fünf Jahre erreicht hat.
Grundsätzlich ist es für die Prüfung egal, welche Position im Unternehmen bekleidet wird. Die Prüfung steht allen Berufsbezeichnungen offen – also dem IT-Administrator, IT-Sicherheitsanalysten, IT-Sicherheitsberater und Security Systems Engineer ebenso wie dem IT-Leiter, CISO oder CIO.
Die Domänen umfassen alle in der Informationstechnik relevanten Sicherheitsthemen:
- Information Security Governance and Risk Management,
- Access Control,
- Cryptography,
- Physical (Environmental) Security,
- Security Architecture and Design,
- Business Continuity and Disaster Recovery Planning, Telecommunications and Network Security,
- Software Development Security,
- Operations Security sowie
- Legal, Regulations, Compliance and Investigations.
CISSP-Prüfung und Code of Ethics
Um den CISSP zu erlangen, muss eine kostenpflichtige Prüfung abgelegt werden, die aus 250 Multiple-Choice Fragen besteht und alle CBK-Domains umfasst. Innerhalb von sechs Stunden müssen diese Fragen richtig beantwortet und 700 Punkte erreicht werden, um die Zertifizierung erfolgreich abzuschließen.
Die Kandidaten müssen allerdings keine Trainings absolvieren, um die Zertifizierung zu erhalten. Sie müssen lediglich in der Lage sein, die Prüfung zu bestehen – und sie können sich mit verschiedenen Materialien freiwillig darauf vorbereiten, beispielsweise indem sie individuell lernen oder aber an einem Kurs teilnehmen, der die einzelnen CBK-Domänen beleuchtet.
(ISC)2 hat eine Vielzahl von Möglichkeiten entwickelt, um sich auf die Prüfung vorzubereiten. Dazu gehören, ein offizielles Textbook und die bereits eingeführten CBK Trainings, die von bereits zertifizierten Mitgliedern geleitet werden, die dafür in speziellen Schulungen ausgebildet wurden.
Eine weitere Möglichkeit besteht darin, das studiSCope online self-assessment Tool und Beispiel Prüfungen zu absolvieren. Darüber hinaus steht auch noch ein von Ausbildern geführtes oder selbst durchzuführendes eLearning zur Verfügung.
Ein erster Schritt, um das Ziel der Prüfung zu verstehen, ist das Candidate Information Bulletin herunterzuladen und einen der Domain Preview Webcast anzuschauen. Damit erhalten alle Kandidaten eine Art Prüfungs-Skizze zusammen mit Lese-Empfehlungen und sie können sich so selbst prüfen und auf den Test vorbereiten.
Wichtig ist auch festzuhalten, dass das Bestehen der Prüfung nicht nur eine Zertifizierung des Wissens darstellt. Damit einher geht auch die Mitgliedschaft bei der (ISC)2 als professionelle Organisation. Wer hier aufgenommen werden will, muss von einem anderen Mitglied empfohlen werden.
Nach dem Bestehen der Prüfung müssen alle Absolventen den Code of Ethics unterschreiben. Dieser Kodex verpflichtet zur Einhaltung von definierten Richtlinien und zu lebenslangem Lernen, das heißt zur Fortsetzung der Qualifizierungsmaßnahmen.
Erhaltung des CISSP
Danach gilt der CISSP drei Jahre lang, allerdings müssen in diesem Zeitraum 120 sogenannte CPE-Punkte (Continuing Professional Education) gesammelt werden. Sollte dies nicht gelingen, verfällt das Zertifikat und die Prüfung muss erneut durchgeführt werden. Werden die Punkte erreicht, verlängert sich die Zertifizierung um weitere drei Jahr.
In diesem Zeitraum müssen wiederum 120 CPEs gesammelt werden. Damit stellt die Organisation sicher, dass der Qualifikations-Standard kontinuierlich wächst und verbessert wird. Neben der Prüfungsgebühr muss jedes Jahr eine Verwaltungsgebühr in Höhe von 85 US-Dollar gezahlt werden.
Vorteile und Nutzen der Zertifizierung
CISSP-Zertifizierte werden weltweit als Security-Spezialisten anerkannt und verdienen nach den Recherchen der (ISC)2 in der Regel mehr als ihre nicht zertifizierten Kollegen. Für Unternehmen ist es beispielsweise wichtig zu wissen, dass ihre Angestellten sich fortbilden und auf neue Technologien und Trends vorbereitet sind. Hier spielt der Ansatz des lebenslangen Lernens der Organisation den Zertifizierten in die Karten.
Nach außen hin kann das Unternehmen darüber hinaus auch mit den Qualifikationen der eigenen Mitarbeiter werben und Vertrauen bei Partnern und Kunden gewinnen. Für Freiberufler, die in IT-Sicherheitsprojekten engagiert sind, stellt der CISSP eine bedeutende Auszeichnung dar.
Letztlich aber ist der wichtigste Aspekt der Zertifizierung das Training im Bereich Security Management. Da Experten mit der Zeit immer mehr Verantwortung übernehmen müssen, also Budgetverantwortung tragen und strategische Entscheidungen treffen müssen, wird dieses Feld immer wichtiger.
Informationssicherheit ist ein Querschnittsthema, das alle Businessbereiche eines Unternehmens betrifft und demzufolge umfassend betrachtet werden muss. Sowohl die unternehmensinternen Prozesse als auch die nach außen sichtbaren Server (Web/Mail/VPN) sowie Audit und Revisionsanforderungen in den richtigen Zusammenhang zu setzen, ist eine zunehmend häufigere Anforderung an Security-Experten, für die eine CISSP-Zertifizierung eine Grundlage bildet.
Tätigkeiten der Organisation und Erlangung der CPEs
Der Vorteil liegt neben dem umfangreichen Wissen, dass vor und nach der Prüfung vermittelt und erlernt wird auch in den Tätigkeiten der Organisation selbst. Die zertifizierten Experten werden teil einer internationalen Gemeinschaft mit vielen Möglichkeiten on- und offline.
Sie können beispielsweise kostenlos an (ISC)2 organisierten Konferenzen („Security Leadership“-Serie), Initiativen aus der Industrie oder verschiedenen Chapter-Programmen in den einzelnen Ländern teilnehmen. Darüber hinaus organisiert die (ISC)2 immer wieder Veranstaltungen für den fachlichen Austausch, Online-Foren und e-Symposien zu den unterschiedlichen Themen.
Mit dem sozialen Netzwerk InterSeC steht außerdem eine Online-Plattform zur Verfügung, in der sich Experten mit Gleichgesinnten aus aller Welt in Verbindung setzen können. Alle Zertifizierten können bei fast allen dieser hier kurz vorgestellten Aktionen CPEs für ihr Engagement verdienen.
Weitere Möglichkeiten bestehen durch die Rezension eines für die Branche relevanten Buches, für das Schreiben eines Fachbeitrags oder aber für die Teilnahme an themenzentrierten Kongressen. Dadurch erhalten sie sogar einen kleinen Verdienst dafür, dass sie ihr Wissen und ihre Fähigkeiten stetig reflektieren und verbessern.
Über den Autor
Thomas Hemker ist CISSP und Vorstandsvorsitzender für Öffentlichkeitsarbeit beim (ISC)2 Chapter Germany e.V.
(ID:42351098)
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")