Berufszertifikate in der IT-Security: Wer braucht was?

Berufszertifikate für IT-Security-Professionals erfreuen sich sowohl bei Arbeitgebern als auch bei Kunden wachsender Beliebtheit. Sie können die Karriere ankurbeln und die Attraktivität für potentielle Kunden steigern. Wer braucht also welches Zertifikat?

Die Vielzahl der Zertifikate und Qualifizierungsmöglichkeiten zeigt, dass die IT-Security in den letzten Jahren einen bedeutenden Schritt nach vorne gemacht hat. Zu diesem Fortschritt haben auch die verschiedenen Zertifizierungsprogramme beigetragen. Als Security-Verantwortlicher sollte man stets darauf bedacht sein, sich weiterzuqualifizieren. Dazu eigenen sich Zertifikate, unabhängig davon, ob sie eher technik- oder betriebswirtschaftlichorientiert sind. Eine einseitige Ausrichtung jedoch nicht empfehlenswert. Das Wichtigste ist aber, dass das ausgewählte Zertifikat zu der aktuellen beruflichen Situation passt und einen Grundstein für die weitere Karriereplanung bildet.

Die Frage, welches Zertifikat für einen Security Professional richtig ist, lässt sich nicht allgemein, sondern nur individuell beantworten. Es gibt kein „Killer-Zertifikat“, das alle Bereiche abdeckt und für alle beruflichen Situationen geeignet ist. Bei der Auswahl eines Zertifikats lassen sich jedoch zwei grobe Richtlinien skizzieren, helfen können, sich für das richtige Zertifikat zu entscheiden:

Das Zertifikat sollte der Karrierestufe, auf der man sich befindet, entsprechen.

Die Inhalte des Zertifikats sollten in Verbindung mit den aktuellen beruflichen Aufgaben stehen.

Für Security-Analysten oder (Junior) Security Consultants, deren Spektrum sich größtenteils auf Security-Technik und die Implementierung derselben fokussiert, erweisen sich zwei Arten von Zertifikaten als nützlich. Empfehlenswert sind auf der einen Seite die anbieterspezifischen und auf der anderen die unabhängigen technikfokussierten Zertifikate. Abhängig von den Technologien, die den beruflichen Alltag bestimmen, kann man sich beispielsweise für ein Cisco Networking-and-Security- oder Checkpoint-Firewall-Zertifikat entscheiden. Darüber hinaus gibt es weitere Anbieter von Sicherheitstechnologie, die eigene Zertifikate auf den Markt gebracht haben. Solche Zertifikate helfen kurzfristig, einen Arbeitgeber oder potenzielle Kunden davon zu überzeugen, dass man das nötige Know-how mitbringt, um Systeme zu installieren, zu konfigurieren und zu analysieren.

Seitdem man aber erkannt hat, dass die Kompetenz eines Security-Verantwortlichen weiter reichen muss als die eines reinen Netzwerk- beziehungsweise Systemadministrators, spielen auch Zertifikate, die zwar technikorientiert, aber nicht applikationsspezifisch sind, eine entscheidende Rolle. In diesem Zusammenhang stellt das GSEC (GIAC Security Essentials Certification) vom SANS‘ GIAC Programme eine sinnvolle Zertifizierungsoption dar. Das GSEC ist zwar stark amerikanisch geprägt, jedoch weltweit ein anerkannter Standard.

Sobald sich der berufliche Aufgabenbereich erweitert, so dass Themen wie Security-Architektur, -Beratung und -Auditierung eine Rolle spielen, ist es sehr wichtig zu zeigen, dass man kein so genanntes „One-Trick-Pony“ ist, sondern über ein breites und fundiertes Security-Know-how verfügt. Dieses kann man zum gewissen Teil im beruflichen Alltag erlangen, man kommt jedoch nicht drum herum, sich über Zertifikate weiterzuqualifizieren.

Hierfür gibt es auch eine Vielfalt von Zertifikaten wie CISA, CISM usw., wobei das von (ISC)² angebotene CISSP (Certified Information Systems Security Professional) seit Jahren weltweit der anerkannteste Standard ist. Der CISSP belegt, dass man über fundiertes Wissen aus allen relevanten Security-Bereichen, angefangen bei Netzwerk- und Applikationssicherheit über sicherere Geschäftsprozesse bis hin zu physikalischer Sicherheit, verfügt. Eine Erweiterung des CISSP mit dem auch von (ISC)² angebotenen ISSAP- (Information-Systems-Security-Architecture-Professional-) Zertifikat ist dann sinnvoll, wenn der Fokus stärker auf Architektur-Security liegen soll.

Auditierung ist ein weiteres wichtiges Feld, auf dem sich Security-Verantwortliche zertifizieren lassen können. Hierbei kann zwischen einem standard- oder prozessorientierten Zertifikat gewählt werden. Als standardorientiertes Zertifikat ist das ISO/IEC27001 Lead Auditor vorzuziehen. Die Qualifikation, diesen internationalen Standard für Security Management in unterschiedlichen Umgebungen anzuwenden, ist bei vielen Unternehmen sehr gefragt. Aber auch das eher prozessorientierte CISA- (Certified-Information-Systems-Auditor-) Zertifikat von ISACA ist auf dem Markt anerkannt, vor allem, wenn man in der Beratung tätig ist und Auditierung anbietet. Es ist zweifelsohne wichtig, sich weiterzubilden und sich diese Maß;nahmen auch zertifizieren zu lassen, dennoch wird der Wert eines Auditors weniger an der Anzahl seiner Zertifikate, sondern überwiegend an seiner Berufserfahrung, der Art, Größ;e und Komplexität der Bereiche, die dieser bereits auditiert hat, wie auch an seinen Kommunikationsfähigkeiten, vor allem in Bezug auf das leitende Management, gemessen.

Als Security-Verantwortlicher sollte man neben dem technischen und sicherheitsrelevanten Know-how auch über betriebswirtschaftliches Wissen verfügen, um in der Lage zu sein, Geschäftsprozesse und die Unternehmensstrategie, die entscheidende Variablen des Security-Management sind, zu verstehen. Dieses Wissen kann im Rahmen des international etablierten CISM- (Certified-Information-Security-Manager-) Zertifizierungsprogramms oder des neueren CGEIT- (Certified-in-the-Governance-of-Enterprise-IT-) Zertifizierungsprogramms erlangt werden. Beide Zertifikate werden von ISACA angeboten. Das CGEIT ist in dem Sinne keine Security-Zertifizierung, da es hauptsächlich vermittelt, warum die IT und somit auch die IT-Security ein immer bedeutenderer Bestandteil der Unternehmensführung geworden ist. Die meisten Unternehmen haben verstanden, dass die Anwendung von IT-Systemen in den täglichen Geschäftsprozessen Security Management notwendig macht. Aus diesem Grund haben diejenigen, die das Know-how nachweisen können und das entsprechende Zertifikat haben, gute Chancen auf dem Arbeitsmarkt.

Für diejenigen, die im SDLC (Software Developing Lifecycle) ihre Aufgabenbereiche haben, ist das CSSLP- (Certified-Secure-Software-Lifecycle-Professional-) oder das nur in Deutschland von ISSECO angebotene CPSSE- (Certified-Professional-for-Secure-Software-Engineering-) Zertifikat interessant. Basierend auf der Erkenntnis, dass 70 % aller Sicherheitsvorfälle auf unsicher entwickelte Software zurückzuführen sind, bietet (ISC)² mit dem CSSLP ein Zertifizierungsprogramm an, das sich fundiert mit Sicherheitsaspekten in der Softwareentwicklung beschäftigt. Diese Art von Zertifikat ist eine Chance, sich auf dem Markt zukunftsorientiert zu positionieren.

Sowohl technik- als auch managementorientierte Zertifikate können, abhängig von der momentanen beruflichen Position und den damit verbundenen Aufgaben hilfreich sein, um die Karriere voranzutreiben. Berufsspezifische Security-Zertifikate zu ignorieren, wäre genauso fahrlässig, wie wenn man sich ausschließ;lich nur auf diese fokussieren und somit den gesamten Business-Kontext ausblenden würde.