Einführung in die (ISC)2 CISSP Security-Zertifizierung

Das CISSP-Zertifikat des (ISC)2 gilt als Goldstandard im Security-Bereich. Doch auf was müssen Security-Profis bei der Zertifizierung achten?

Die Zertifizierung zum Certified Information Systems Security Professional (CISSP) des International Information Systems Security Certification Consortium (ISC)2 richtet sich an Spezialisten für IT-Sicherheit.

Die Prüfung für das CISSP-Zertifikat umfasst acht einzelne Themenbereiche, die als Domains bezeichnet werden. Die zehn Themengebiete bilden in den Augen des ISC2 das Kernwissen (Common Body of Knowledge, CBK), das jeder IT-Sicherheitsexperte aus einer theoretischen und einer praktischen Perspektive beherrschen sollte. Das CBK stellt ein Framework und eine Sammlung von Informationen, bewährten Sicherheitsmethoden (Best Practices), Technologien und Konzepten dar. 

Das CISSP-Zertifikat gilt als Goldstandard in der Welt der Security-Zertifizierungen, wird am häufigsten nachgefragt und weltweit akzeptiert. Laut ISC2 haben bis Mai 2014 93.391 Personen in weltweit 149 Ländern dieses Zertifikat erworben. So fordern zum Beispiel das US-amerikanische Verteidigungsministerium und die NSA von allen Angestellten, die mit sensiblen Computersystemen und Daten arbeiten, den Erwerb des CISSP-Zertifikats.

Themen der CISSP-Prüfung

Angesichts der technologischen Entwicklung hat das ISC2 die Inhalte und Anforderungen der CISSP-Prüfung im Laufe der Jahre an die Veränderungen im Bereich der IT-Sicherheit angepasst. So hat das Konsortium den Pool der Prüfungsfragen stetig ergänzt und neue interaktive Fragetypen entwickelt, die Multiple-Choice-Fragen erweitern und höhere Anforderungen an die Teilnehmer stellen.

In diesen Themengebieten müssen Sie über ausreichend Wissen verfügen::

  • Governance und Risiko-Management bei der IT-Sicherheit
  • Zugriffskontrolle
  • Verschlüsselung
  • Sicherheitsarchitektur und -Design
  • Telekommunikations- und Netzwerksicherheit
  • Sicherheit bei der Softwareentwicklung
  • Planung von Business Continuity und Disaster Recovery
  • Compliance und gesetzliche Grundlagen
  • Physikalische Sicherheit (Hardware und räumliche Umgebung)
  • Sicherheit im Betrieb

Das Kernwissen (Common Body of Knowledge, CBK) für die CISSP-Prüfung ist seit April 2015 in diese acht Domains untergliedert:

  1. Security and Risk Management (Security, Risk, Compliance, Law, Regulations, and Business Continuity)
  2. Asset Security (Protecting Security of Assets)
  3. Security Engineering (Engineering and Management of Security)
  4. Communication and Network Security
  5. Identity and Access Management
  6. Security Assesment and Testing
  7. Security Operations
  8. Software Development Security (Understanding, Applying, and Enforcing Software Security)

Die Inhalte der CISSP-Prüfung verändern sich stetig. Insbesondere in letzter Zeit fand ein interessanter Wandel statt, der auch den höheren Reifegrad der Sicherheitsindustrie als Ganzes veranschaulicht. Themen wie die Entwicklung einer Enterprise-Architektur, Sicherheitsmetriken, Lifecycle-Modelle und Governance wurden in den Prüfungsinhalt integriert. Diese formalisierten Ansätze, Vorgehensweisen und Techniken ermöglichen es, Sicherheit in überlegter und kontrollierter Art und Weise durchzusetzen – im Gegensatz zu den Ad-hoc-Ansätzen, die die Sicherheitsbranche in der Vergangenheit praktizierte.

Der Einsatz dieser neuen Konstrukte vereinfacht die Planung der Enterprise-Security-Programme, die Messung der Leistung und ermöglicht es, die Tools während ihrer kompletten Lebensdauer schrittweise auf definierte Art und Weise zu verbessern. 

Damit gestalten Unternehmen nicht nur ihre Sicherheitsmethoden effizienter, sondern können auch ihre Risiken besser identifizieren und minimieren. Kurzum: Unsere Branche wird erwachsen, und diese Änderungen spiegeln sich in der wichtigsten Zertifizierungsprüfung wider.

Aufbau der CISSP-Prüfung

Die CISSP-Prüfung besteht aus über 250 Fragen. Für die Beantwortung der Fragen hat jeder Teilnehmer sechs Stunden Zeit. In den letzten Jahren haben sich nicht nur die Themen und Inhalte der Prüfung verändert, sondern auch die Prüfungsfragen. So gibt es seit einigen Jahren szenariobasierte Fragen, bei denen die Teilnehmer ihre Kenntnisse anhand einer konkreten, realen Situation nachweisen müssen.

Im Jahr 2014 fügte das ISC2 die Fragetypen „Drag and Drop“ und „Hotspot“ hinzu, interaktive Fragen, bei denen die Teilnehmer zeigen müssen, dass sie die Inhalte aus einer praktischen Perspektive heraus verstanden haben. Hotspot-Fragen verwenden Grafiken zur Veranschaulichung von Konzepten, die ein Teilnehmer verstanden haben muss, um sie richtig beantworten zu können. 

Er muss dabei den Teil der Grafik wählen, der die richtige Antwort auf die Frage darstellt. Bei Drag-and-Drop-Fragen ist die richtige Antwort anzuklicken und dann auf die richtige Stelle innerhalb der Frage zu ziehen. In beiden Fragetypen gilt nur eine Antwort als richtig.

Die bloße Kenntnis des Testmaterials reicht nicht aus, um sich der CISSP-Prüfung stellen zu können. Kandidaten müssen über praktische Erfahrungen mit IT-Sicherheit verfügen und ihre Kenntnisse trainieren, um die Prüfung bestehen zu können. In der Vergangenheit haben zu viele Leute die Prüfung bestanden, die diese Anforderungen nicht erfüllten. Wenn Personen die CISSP-Prüfung ablegen, aber keine echte Erfahrung auf dem Gebiet IT-Security besitzen, wird die Zertifizierung zu einem „Papiertiger“ und verliert ihren Wert.

Um dies zu vermeiden, muss mittlerweile jeder einzelne Teilnehmer nach bestandener Prüfung eine Dokumentation beziehungsweise ein Referenzschreiben mit Unterschrift eines zugelassenen Förderers vorlegen. Der Förderer ist entweder ein etablierter CISSP-Inhaber und/oder der Arbeitgeber, der die Erfahrung und berufliche Karriere des Prüflings mit seiner Unterschrift bestätigt. Der Nachweis der praktischen Erfahrung untermauert die Relevanz der Zertifizierung und des neuen Zertifikatsinhabers.

Die CISSP-Prüfung selbst ist kein Spaziergang. Während sich viele Leute früher noch über die Prüfung subjektiver und verwirrend formulierter Fragen beschwerten, hat sich dies im Laufe der Jahre verbessert. Die große Herausforderung bei der CISSP-Prüfung ist die schiere Anzahl der Themen, die sie abdeckt. Es ist sehr viel Lernstoff zu bewältigen, um Fragen zu Themen wie unter anderem  Kryptographie, Forensik, physikalischer Sicherheit, Softwareentwicklung, Compliance und Telekommunikation fundiert beantworten zu können.

Leider sehen die meisten Menschen das CISSP-Zertifikat als gute Ergänzung für ihre Visitenkarte. Daher versuchen sie, die Prüfung so schnell wie möglich zu absolvieren. Doch es bringt nichts, Inhalte nur auswendig zu lernen, sondern man muss diese über längere Zeit verinnerlichen und auch praktisch anwenden. 

Das CISSP-Material bietet die ganzheitliche Grundlage, die jeder zuständige Security-Experte nicht nur kennen, sondern auch kontrollieren und einordnen können sollte. Daher sollten diese sich genug Zeit nehmen, alle Elemente in allen Domänen intensiv zu studieren. Auf diese Weise erhalten sie ein umfassendes Verständnis über die Sicherheitsaspekte und sind so in der Lage, IT-Sicherheit effektiv umzusetzen. Natürlich steigen dadurch auch ihre Karrierechancen und Verdienstmöglichkeiten.

Die CISSP-Prüfung und Sicherheitsmodelle

Ein Aspekt der CISSP-Prüfung, der häufig missverstanden wird, sind scheinbar veraltete oder hinfällige Themen. Natürlich ist die CISSP-Prüfung nicht perfekt, sie deckt aber genau diese Themen ab, weil sie eine unglaubliche Tiefe für entscheidende Konzepte bieten und so eine grundlegende Wissensdatenbank bilden.

Viele Studenten beklagen sich beispielsweise darüber, dass sie geprüfte Sicherheitsmodelle wie zum Beispiel Bell-LaPadula, Biba und Gitter im Laufe ihres Berufslebens niemals benötigen werden. Da genau diese Modelle aber verwendet werden, um sichere Systeme und Software auf architektonischer Ebene zu entwickeln, sind sie sehr wichtig für Personen, die in diesen Spezialgebieten tätig sind. 

Zudem sind diese Modelle Gegenstand jedes Studiengangs weltweit rund um IT-Sicherheit, da sie ein grundlegendes Verständnis dafür schaffen, wie Systeme unter dem Gesichtspunkt Sicherheit gestaltet werden sollten. Wenn mehr Menschen aus unserer Branche die Grundlagen dieser Modelle verstehen würden und wüssten, wie man sie anwendet, wäre die Software in allen Branchen sicherer.

Mehr zum Thema Sicherheits-Zertifikaten:

Security-Ticker: Verschlüsselung, Zertifikate. Schwachstellen. Fitnessbänder.

Welche Datenschutzprüfungen trotz Cloud-Zertifikat notwendig sind.

CISSP-Training Kryptografie: PKI und digitale Zertifikate.

MCSE Private Cloud: Microsoft-Zertifikate für Private Cloud und Virtualisierung.

GICSP: Das neue Security-Zertifikat für industrielle Steuerungssysteme (ICS).

Das Design von Software und digitalen Systemen ist nicht einfach. Noch schwieriger ist es, Sicherheit in den Mittelpunkt der Architektur eines Systems zu stellen und im gesamten System einzubetten, bevor es gebaut wird. Daher enthalten viele unserer Systeme Schwachstellen, die sich nicht einfach mit einem oberflächlichen Patch beheben lassen, weil sich die Sicherheitslücken sehr tief im Inneren des Systems befinden. 

Denn ein Patch kann keinen tief verwurzelten Designfehler beheben. Diese Sicherheitsmodelle dienen dazu, ein System von Grund auf sicher zu machen. In der IT-Branche gilt das Mantra „Sicherheit muss integriert sein, darf nicht nur aufgesetzt sein“. Nur Experten, die diese Modelle verstehen, können in einem System grundlegende Sicherheit integrieren. Denn es gibt eine verheerende Korrelation zwischen den vielen unsicheren IT-Systemen und den vielen „Experten“, die existierende Sicherheitsmodelle missachten.

Diese Sicherheitsmodelle sind sehr komplex und ohne das nötige Vorwissen schwer zu verstehen. Viele von ihnen lassen sich mathematisch beweisen, das heißt Systeme, die auf ihnen basieren, besitzen eine höhere Glaubwürdigkeit als ein System, das auf traditionellen Best Practices aufbaut.

Wären die Modelle nutzlos, würden keine staatlichen Systeme auf ihnen basieren. Sie dienen auch zur Ableitung von Bewertungskriterien für die Zuverlässigkeit von Sicherheitsprodukten, die Unternehmen jedes Jahr kaufen. Auch der international anerkannte Standard Common Criteria (CC) für den Nachweis der Sicherheitseigenschaften von IT-Produkten basiert auf einigen dieser Modelle. Das bedeutet: Die Sicherheitsmodelle sind nicht veraltet und man sollte sich genau mit ihnen befassen.

Natürlich wird kein Security-Experte das formale Bell-LaPadula-Modell jemals in seiner Laufbahn eins zu eins implementieren. Aber wenn er versteht, warum es existiert und wie es einen Bauplan für  die Integration von Sicherheit in Software oder ein System darstellt, wird er erkennen, warum es so wichtig für die reale IT-Welt ist. 

Wenn er hingegen nur die prüfungsrelevanten Aspekte des Modells auswendig lernt, wird er nie verstehen, wie sichere Systeme geplant werden, bevor nur eine einzige Codezeile geschrieben ist. Wer die Modelle nicht versteht, wird sie nicht nutzen können.

Lehren und Lernen für die CISSP-Prüfung

Alle Schüler benötigen grundlegende Kenntnisse als Fundament für ihre Arbeit. Sonst verstehen sie nicht vollständig, wie scheinbar unterschiedliche Themen miteinander verbunden sind und können neu gelernte Themen nicht in einen sinnvollen Zusammenhang einordnen. 

Ein Grund, warum die Konzepte der CISSP-Prüfung nicht richtig gelehrt oder gelernt werden: Zu viele Lehrer und Kurse stützen sich auf ein traditionelles Ausbildungsmodell. Für diese Prüfung ist das Training in der Regel intensiv, konzentriert und stark auf Technologie bezogen. 

Es erlaubt nicht immer Zeit für tiefe, komplexe theoretische Themen, wie sie meist an Universitäten gelehrt werden. Die meisten CISSP-Schulungen und das entsprechende Vorbereitungsmaterial versuchen, komplexe Materie in leicht verdauliche Einheiten zu verwandeln, so dass viele Studenten die wahre Bedeutung nicht erkennen.

Wenn Sie sich auf die CISSP-Prüfung vorbereiten, sollte dies nicht unter dem Ziel erfolgen, die Prüfung zu bestehen. Vielmehr sollte das Ziel der Erwerb von tiefen und nützlichen Kenntnissen sein, die man in der Praxis einsetzen kann. Jeder, der dieses Ziel verfolgt, wird die Prüfung mit Sicherheit bestehen. Wer sich nicht genügend Zeit für ein wirklich tiefes Studium der Prüfungsinhalte nimmt, wird das Thema als verwirrend und Verschwendung von Zeit empfinden.

Bevor Sie mit der CISSP Essential Security School von SearchSecurity starten, sollten Sie noch den Selbsttest absolvieren, damit sie wissen, auf welchen Gebieten Sie Wissenslücken aufweisen. Hierfür eignen sich zum Beispiel die Fragen aus der sechsten Ausgabe des Buches CISSP All-In-One Exam Guide von Shon Harris.

Über den Autor:
Shon Harris war Gründerin und CEO von Logical Security LLC, Informations-Security-Consultant, Technikerin der Einheit Air Force Information Warfare, sowie Lehrerin und Autorin. Sie hat an mehreren internationalen Bestsellern über Informations-Security mitgearbeitet, die von McGraw-Hill und Pearson verlegt wurden. Ihre Bücher wurden millionenfach verkauft und in sechs Sprachen übersetzt. Die Security-Expertin schrieb außerdem akademische Textbücher für diverse Herausgeber und Artikel für Handelsmagazine. Harris starb im Oktober 2014.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close