Hadmut Danisch

Ansichten eines Informatikers

Vom CISSP und anderen Security-Zertifizierungen

Hadmut
2.9.2007 10:35

Interessante Überlegungen zum CISSP (Certified Information Systems Security Professional) in diesem Blog-Artikel.

Insbesondere die Aussagen

The CISSP is not a technical certificate, it’s a management certificate. […]

It doesn’t mean you retained the knowledge, it doesn’t mean you understood what you were being tested on. Most importantly, it doesn’t mean you’ll be able to do the job you’re being interviewed for. I’ve met met CISSP’s who don’t understand the basic concepts of security, I’ve met CCIE’s who couldn’t figure out a basic subnetting problem and I’ve met some brilliant security professionals who never held a cert and never wanted to. […]

The CISSP has often been referred to as being “a mile wide and three inches deep.”

bestätigen meinen Eindruck von vielen der Zertifizierungen die im Security-Bereich angeboten werden, auch in Deutschland. Ich habe schon Security-Zertifizierungen von Herstellern mitgemacht, da ging es überhaupt nicht darum, irgendetwas verstanden zu haben, sondern darum, irgendwelche Marketingsprüche wörtlich nachplappern zu können und dem Kunden im Verkaufsgespräch sagen zu können, warum er dieses und jenes Produkt kaufen soll (obwohl der Sicherheitsingenieur sich mit Verkaufsgesprächen eigentlich nicht abgibt). Der krasseste mir bekannte Fall einer Security-Zertifizierung war der, in dem ein Hersteller von seinen Vertriebspartnerfirmen forderte, daß deren Security-Mitarbeiter die Zertifizierung erwerben (ja an sich noch keine schlechte Idee), aber dann gleich vier Dateien mit den Musterlösungen mitgeschickt wurden, weil die, die die Tests entworfen hatten, so wenig Ahnung vom Thema hatten, daß man weder deren Fragen verstehen, noch deren gewollte Antworten erraten konnte, denn gelegentlich waren auch die erwarteten Antworten schlichtweg falsch, oder richtige Antworten wurden nicht akzeptiert. Weil der Hersteller mit diesem nicht vernünftig zu beantwortenden Test (und der angeblich strikten Forderung, daß er Produkte nur noch über Vertriebspartner verkauft, deren Techniker den Test bestanden haben) sich seine eigenen Vertriebswege abgesägt hätte, legte man lieber gleich die Musterlösungen für die vier Tests bei – einfach abtippen und nachzudenken. Ergebnis nach Eingabe der Musterlösung: 100%, 100%, 100%, 70% der Punkte in den vier Tests.

Insofern stehe ich auch kritisch den “Forschungsinstituten” gegenüber, die mit solchen Zertifizierungen ihr Geschäft machen.

Für alle, die es trotzdem interessiert, ein Buchhinweis:

Mike Meyers, Shon Harris
CISSP Certified Information Systems Security Professional
(Das Buch ist trotz des Titels in Deutsch.)
2. Auflage 2007
Redline Verlag, mitp