MCP, MCSE, CCSA, CCSP, CFSA, CFSO, CISM, CISA, CISSP Marc Ruef | 02.02.2009 Die einen sagen es sei in erster Linie Glück, die anderen sprechen von Können oder eisernem Durchhaltewillen. Ich denke es ist ein bisschen von allem, wenn es darum geht, warum ich die Möglichkeit habe meinen Job als Penetration Tester mit angenehmen Erfolg auszuüben. Ich habe über Jahre eine Unmenge an Büchern und Fachartikeln gelesen, Angriffstechniken in meinem eigenen Netzwerk ausprobiert und versucht durch eigene Implementierugen die Hintergründe dieser zu verstehen. Dass mir dann die Möglichkeit geboten wurde - ursprünglich durch Siemens Security Schweiz - mich in diesem Bereich zu bewähren, hatte dann sicher auch ein bisschen mit Glück zu tun. Wirkliche Titel oder aktuelle Zertifizierungen kann ich nicht aufweisen. Wenn ich mir manchmal die Visitenkarten oder Autorenbeschreibungen anderer durchlese, da prangen dann vermeintlich eindrucksvolle Akronyme wie MCP, MCSE, CCSA, CCSP, CFSA, CFSO, CISM, CISA und CISSP. Nun, beeindrucken tun mich diese nicht wirklich. Sie zeigen zwar, dass der Inhaber voraussichtlich ein Grundverständnis für gewisse Bereiche mitbringt und dass er sich die Zeit genommen hat, die oftmals schlecht strukturierten Bücher und noch schlechter gehaltenen Workshops zu besuchen. Über die Möglichkeiten des vernetzten Denkens und des weitreichenden Verständnisses des komplexen Themengebiets sagen sie aber gar nichts aus. Vor einiger Zeit war ich mit einem Geschäftspartner essen. Wir sind über die Jahre gute Freunde geworden. Er hatte in der IT Security-Abteilung einer grösseren Bank gearbeitet und wir haben eine Vielzahl an Projekten zusammen durchgeführt. Mittlerweile war er ebenfalls als Penetration Tester tätig. Voller Freude erzählte er mir, dass er sich nun um eine CISSP-Zertifizierung (Certified Information Systems Security Professional) bemühen würde. Sogleich fügte er an, dass er schliesslich auch einmal so "gut" werden wolle wie ich. Dass er der Meinung ist, dass meine Arbeit eine gute Qualität aufweist, hat mich natürlich geschmeichelt. Zeitgleich fühlte ich mich ein bisschen dadurch beleidigt, dass er davon ausgeht, dass ihm das Besuchen eines solchen Kurses alles beibringen würde, was ich weiss und kann. Es wäre natürlich schön, wäre dem so, denn dann könnte der Bereich der Computersicherheit innert kürzester Zeit endlich jene Qualität erlangen, die schon lange erforderlich wäre. Man muss jedoch bedenken, dass ich mehrere hundert Bücher zu den verschiedensten Bereichen durchgearbeitet habe. Ich führte in den letzten 10 Jahren hunderte von Audit-Projekten durch. Ich habe eine Vielzahl an Tools und Exploits entwickelt, die mir meine Arbeit erleichtern sollten. Und dann habe ich noch tausende Stunden damit verbracht, Fachartikel und Bücher zum Thema zu schreiben. Mein Studium der Informatik im Allgemeinen und der Computersicherheit im Speziellen geht also schon viele Jahre Tag für Tag weiter. Ich zweifle daran, dass da ein 12-Monate-Grundkurs die gleiche Quantität und Qualität mitführen kann. Ich habe mir natürlich einige der Kursunterlagen, Bücher und Abschlussprüfungen der jeweiligen Ausbildungen angeschaut. Was man da manchmal vorgesetzt bekommt, ist der reinste Horror. In den Vorbereitungen zur CISSP-Prüfung wurde zum Beispiel folgendes gefragt: quoteWas bietet mehr Sicherheit? a) Wachpersonal b) Wachhund c) SecurID-Token d) Zaun/quote Wie soll man die Sicherheit messbar machen? Ein Wachmann kann voraussichtlich intelligenter agieren als ein Wachhund. Ein Wachhund hingegen kann besser riechen, schneller rennen und kräftiger zubeissen. Und ein Zaun kann entweder 1 Meter oder 5 Meter hoch sein, er kann aus Maschendraht oder Beton bestehen, er kann Stacheldraht aufweisen oder unter Starkstrom gesetzt werden. Wie kann man bloss in derartig dummer Weise Äpfel mit Birnen vergleichen? Ich habe selten eine solch bescheuerte und von der Realität losgelöste Frage gesehen. Wie kann ich einer Zertifizierung ernst nehmen, deren Teilnehmer sich mit derartig ungenauen Fragen auseinandersetzen müssen? Und zu allem Überfluss noch die Ungenauigkeit mit Multiple-Choice überdecken! Zertifizierungen sind mit Sicherheit nützlich. In erster Linie helfen sie Leuten dabei, innert kürzester Zeit die Möglichkeiten einer Person zu skizzieren. Wenn ich gar keine Ahnung von IT-Security habe und ich muss einen Sicherheitsspezialisten einstellen, dann kann ich mich durchaus an CISA und CISSP orientieren. Habe ich jedoch ein bisschen Fachwissen, dann lade ich die Bewerber (auch jene ohne CISA- und CISSP-Titel) ein und rede mit ihnen über spezifische Probleme. Nur so kann man nämlich sehen, ob jemand etwas kann oder ob dies nur durch seine Bewerbungsunterlagen behauptet wird. Meine Erfahrungen bei Vorstellungsgesprächen haben mir jedenfalls gezeigt, dass die wahren Perlen oft jene sind, die noch nicht mal wissen, was CISA und CISSP überhaupt sind.