Certified Information Systems Security Professional

Zertifikat für Weiterbildung in der Informationssicherheit

Der Certified Information Systems Security Professional (CISSP) ist eine Zertifizierung, die vom International Information Systems Security Certification Consortium, Inc. (auch: (ISC)²) angeboten wird. Es handelt sich bei dem Zertifikat um einen international anerkannten Weiterbildungsstandard auf dem Gebiet Informationssicherheit.[1] Laut (ISC)² gab es am 1. Januar 2022 weltweit 152.632, in Deutschland 2.727, in der Schweiz 1.087, und in Österreich 293 CISSP-zertifizierte Personen.[2]

Zur Erlangung des Zertifikats ist umfangreiches Wissen über sicherheitsrelevante Aspekte aus acht Bereichen des sogenannten Common Body of Knowledge (CBK) nachzuweisen. Die Bereiche spannen dabei einen Bogen von physischer Sicherheit, Softwarearchitekturen, Netzwerk und Telekommunikation sowie Kryptographie bis hin zu rechtlichen Fragestellungen (vollständige Liste der Bereiche s. u.). Während die rechtlichen Fragestellungen stark auf die USA fokussieren,[3] enthalten die übrigen Bereiche international gültige Sicherheitsvorgaben, was die weltweite Relevanz des Zertifikats erklärt.

Der CISSP ist vom UK NARIC als Level 7 gemäß dem Europäischen Qualifikationsrahmen (EQR) anerkannt und entspricht somit einem Master[4]. Für Deutschland und den europäischen Raum existieren spezialisierte Zertifizierungen wie das vom TeleTrusT e. V. entwickelte Teletrust Information Security Professional (T.I.S.P.) Zertifikat.[1][5]

Nutzen eines CISSP-Zertifikats Bearbeiten

Die Prüfung zum Certified Information Systems Security Professional ist eine Wissensprüfung im Bereich der Informationssicherheit. Die Prüfung wurde als erste Zertifizierung durch ANSI als ISO-Standard 17024:2003 für Sachverständige im Bereich Informationssicherheit akkreditiert[6] und soll Security Professionals eine objektive Bewertung ihrer Kompetenz bieten. Zur Qualitätssicherung der Zertifizierung gehören u. a. ein Zwang zum Nachweis relevanter Berufserfahrung sowie die Pflicht zur ständigen Weiterbildung, um die Zertifizierung aufrechtzuerhalten[7]. Die Prüfung ist neben Fachleuten in der Informationssicherheit vor allem für Personen interessant, die im IT-Umfeld oder im IT-Security-Umfeld arbeiten.

Erlangung des CISSP-Zertifikats Bearbeiten

Der Zertifizierungsprozess besteht aus mehreren Teilen. Zunächst ist eine Prüfung über acht vorgeschriebene Wissensgebiete abzulegen, auf die man sich durch eine Schulung oder durch Selbststudium vorbereiten kann. Danach wird der eigentliche Zertifizierungsprozess eingeleitet. Dazu muss die berufliche Expertise der Kandidaten von einer dritten Person bestätigt werden. Alle Kandidaten können zufällig für ein Audit ausgewählt und noch eingehender auf ihre fachlichen Kenntnisse hin überprüft werden.[7] Damit soll sichergestellt werden, dass der Kandidat die geprüften Kenntnisse auch wirklich in der Praxis erworben und eingesetzt hat.

Aufbau der CISSP-Prüfung Bearbeiten

Grundlage der Prüfung ist der aus acht Themengebieten (Domains) bestehende Common Body of Knowledge (CBK).[8]

Es handelt sich um eine Multiple-Choice-Prüfung. Während sechs Stunden sind 250 Fragen aus den acht CBK-Bereichen zu beantworten. Es geht um die schnelle Beantwortung von Fragen, deren Antwort durch entsprechende Lerntechnik gelernt werden sollte. Logisches Herleiten und frei formulierte Antworten sind nicht gefragt. Die Prüfung soll einen möglichst breiten Querschnitt des Sicherheitsspektrums abdecken und durch gezielte Fragen das breitbandige Wissen der Kandidaten testen.

Die Fragen sind nach einem ganz bestimmten Schema aufgebaut. Die Grundidee der Prüfung ist es, nur sogenannte geschlossene Fragen zu stellen. Jede Frage muss also genau so formuliert sein, dass bei vier gegebenen Antwortmöglichkeiten genau eine richtig ist. Es gibt im Grunde nur drei Typen von Fragen: Auswahl (Erkennung), Reihung (Ranking) und Näherung (am besten/am schlechtesten). Diese kehren immer wieder und lassen sich leicht an Schlüsselwörtern ablesen.

Seit 2005 kann die Prüfung auch auf Deutsch absolviert werden. Da die Prüfungsfragen sehr häufig auf Definitionen und Beschreibungen mit einem sehr speziellen Vokabular und bestimmten Schlüsselwörtern abzielen, ist eine rein deutsche Prüfung aber nicht zu empfehlen. Trotzdem sollte man derzeit als Prüfungssprache Deutsch angeben. Man bekommt dann einen zweisprachigen Fragenkatalog und kann so die Vorteile beider Sprachen nutzen.

Während die offiziellen Fragenkataloge nicht öffentlich sind und daher für die Prüfungsvorbereitungen nicht genutzt werden können, gibt es in Büchern und im Internet Übungsfragen. Die hier zu beantwortenden Fragen geben einen guten ersten Eindruck über die Tiefe und Qualität der Fragen, die denen der offiziellen Fragen oftmals ähnlich sind. Dadurch kommt es bei diesem Quiz gelegentlich auch zu falschen Musterantworten. Hier ist Vorsicht angebracht.

Rezertifizierungsanforderungen Bearbeiten

Um seine Zertifizierung zu behalten, muss der CISSP Weiterbildungsaktivitäten (CPE = continuous professional education) unternehmen, um in einer Dreijahresperiode 120 CPE-Punkte zu sammeln. Dazu stehen eine ganze Reihe unterschiedlicher Möglichkeiten zur Auswahl. Die meisten CPE-Punkte bringen Lehrtätigkeiten in der Sicherheit (4 Punkte pro Stunde, maximal 80), Veröffentlichungen von Artikeln oder Büchern (maximal 40 Punkte) und das Selbststudium, mit maximal 40 Punkten, oder Lesen von sicherheitsrelevanten Büchern, mit maximal 30 Punkten. Weitere Weiterbildungsaktivitäten sind der Besuch von Hersteller-Trainings (1 Punkt pro Stunde), der Besuch von Sicherheitskongressen (1 Punkt pro Stunde) und Studiengänge an Hochschulen im Bereich Sicherheit (11,5 Punkte pro Schein). Auch Engagement in der Berufspolitik oder in Ehrenämtern wird honoriert: Die Mitgliedschaft im Vorstand eines Berufsverbandes in der Sicherheit mit maximal 20 Punkten und ehrenamtliche Arbeit für das (ISC)² nach deren Ermessen.[9]

Code of Ethics Bearbeiten

Jeder CISSP muss sich zur Einhaltung bestimmter ethischer Grundsätze verpflichten. Handelt ein CISSP nicht nach diesen Grundsätzen, kann er jederzeit durch einen anderen CISSP bei der (ISC)² gemeldet werden. Dies kann ein formelles Audit zur Folge haben, welches bis zu der Aberkennung des Zertifikats und zum Ausschluss aus der (ISC)² führen kann.

Der Code hat folgende Bestimmungen:[10]

Weiterentwicklung: Concentrations Bearbeiten

Als Weiterentwicklungsmöglichkeit stehen zertifizierten CISSPs drei Concentrations zur Auswahl, die eine Spezialisierung und ein vertieftes Wissen in eine bestimmte Richtung darstellen.[11]

  • Information Systems Security Architecture Professional (ISSAP), Weiterentwicklung zu Sicherheitsarchitekturen
  • Information Systems Security Engineering Professional (ISSEP), Weiterentwicklung im Bereich sicherer Softwareentwicklung
  • Information Systems Security Management Professional (ISSMP), Weiterentwicklung im Informationssicherheits-Management

CBK-Bereiche für die CISSP-Prüfung Bearbeiten

Die CBK-Bereiche stellen eine Sammlung von Themen aus dem Bereich der Informationssicherheit dar. Sie sind in 10 Themengebiete untergliedert.[8]

Access Control – Bereich 1 Bearbeiten

In diesem Themengebiet (Domain) werden vor allem die Grundmechaniken der Zugriffskontrolle abgehandelt.

Sicherheitsmodelle Bearbeiten

Regeln und Strukturen, die eine Entscheidung über einen Zugriff ermöglichen nennt man Sicherheitsmodelle. Sie regeln die Beziehung zwischen Subjekten, Objekten und Operationen. Für die Prüfung werden vor allem die im Folgenden dargestellten Modelle und ihre Funktion abgefragt.[12]

 
Schichten des Biba-Modells
 
Schichten des Bell-LaPadula-Modells

Zunächst unterscheidet man einige Grundlagenmodelle, deren Konzepte zum Teil Einzug in die weiterführenden Modelle gehalten haben. Ziel der Zustandsorientierten Maschine ist ein sicherer Systemzustand zu jeder Zeit. Dazu arbeitet das Modell in klar definierten Zuständen. Das Informationsfluss-Modell hebt vor allem auf den zwischen den Ebenen der mehrschichtigen Modelle stattfindenden Informationsflüsse ab. Als weiteres Grundlagenmodell hat das Goguen-Meseguer-Modell oder Modell der Nichteinmischung die Verhinderung von Rückschlüssen zwischen den Ebenen zum Ziel.

Das Clark-Wilson-Modell hat die Sicherstellung der Integrität zum Ziel und verfolgt dabei alle drei Integritätsziele. Unzulässige Modifikationen durch unautorisierte Anwender, unzulässiger Modifikationen durch autorisierte Anwender sowie interne und externe Inkonsistenz werden gleichermaßen verhindert.

Beim mehrschichtigen, zustandsorientierten Bell-LaPadula-Modell wird die Vertraulichkeit sichergestellt. Dabei gelten für die Subjekte zwischen den Ebenen die beiden Regeln nicht nach oben lesen und nicht nach unten schreiben. Das ebenfalls mehrschichtige Biba-Modell verfolgt das erste Integritätsziel, die unzulässige Modifikationen durch unautorisierte Anwender. Dabei gelten für die Subjekte zwischen den Ebenen die beiden Regeln nicht nach oben schreiben und nicht nach unten lesen.

Das Brewer-Nash-Modell oder auch Modell der Chinesischen Mauer passt die Zugriffsrechte eines Anwenders dynamisch und aktivitätsorientiert an um mögliche Interessenskonflikte zu verhindern.

Das beziehungsorientierte Graham-Denning-Modell stellt einen grundlegenden Befehlssatz für Operationen zwischen den Subjekten und Objekten zur Verfügung und verfolgt damit wie das auf Rechtsänderung, Erstellung und Löschung von Subjekten und Objekten spezialisierte Harrison-Ruzzo-Ullman-Modell einen praxisbezogenen Ansatz.[13]

Zugriffskontrollmodelle Bearbeiten

Zugriffskontrollmodelle sind eng verwandt mit den Sicherheitsmodellen. Auch hier steht der Zugriff von Subjekten auf Objekten im Mittelpunkt der Betrachtung. Sie dienen der Umsetzung von Regeln und Zielen einer allgemeinen Sicherheitsrichtlinie.

Die drei wichtigsten Zugriffskontrollmodelle für die CISSP-Prüfung sind die offenen, die geschlossenen und die rollenbasierten Modelle.

 
Beispiel für eine Access Control List

Die offenen Zugriffskontrollmodelle oder auch Discretionary-Access-Control-Modelle (DAC) erlauben dem Eigentümer von Objekten Art und Umfang des Zugriffs zu kontrollieren. Dies geschieht meist mittels Access Control Lists (ACLs), in denen die Rechte nach dem need-to-know-Prinzip vergeben werden.

Geschlossene Zugriffskontrollmodelle oder auch Mandatory-Access-Control-Modelle (MACs) dagegen nehmen dem Subjekt die Entscheidungen zur Zugriffskontrolle ab. Jedes Objekt trägt eine Sicherheitskennung, mit deren Hilfe der Zugriff geregelt wird. Besitzt ein Subjekt nicht die nötige Freigabe kann kein Zugriff erfolgen.

Die rollenbasierten Modelle oder auch Role-Based-Access-Control-Modelle (RBACs) treffen die Zugriffsentscheidung anhand spezieller Rollen- bzw. Gruppenzugehörigkeiten. Die Subjekte werden bei den RBACs in diese Systematik eingeordnet und erhalten so ihre Rechte. Das zugeordnete Objekt erbt die Rechte der jeweiligen Rolle oder Gruppe.

DAC-, MAC- und RBAC-Modelle können gemeinsam benutzt und zu einem Gesamtsystem zusammengefügt werden. Sie werden durch physikalische, administrative, logische und datenbasierende Zugriffskontrollelemente umgesetzt.[14]

Praktische Zugriffskontrolle Bearbeiten

 
Iris-Erkennung mit einem Handgerät
 
Token von RSA Security mit Einmalkennwort

Eine wichtige Kategorie stellen die biometrischen Zugriffskontrollen dar. Zu den in der CISSP-Prüfung relevanten Varianten gehören die bereits länger erprobten Methoden mit Fingerabdrücken, Netzhaut- und Iris-Scannern, Aber auch speziellere Techniken wie Gesichtserkennung, Handgeometrie, das Tippverhalten auf Tastaturen oder die individuelle Sprecher-Erkennung spielen eine Rolle.

Bei der Authentifizierung mittels Token werden Speicherkarten und Smart Cards näher betrachtet.

Des Weiteren werden die Funktionsweise, Vor- und Nachteile von ticket-basierten Zugriffskontrollen wie z. B. Einmalkennwörter oder Single-Sign-On-Lösungen wie Kerberos oder das Secure European System for Applications in a Multi-Vendor Environment (SESAME) abgefragt.

Bei den Techniken der zentralen Zugriffskontrollverwaltung sind vor allem die drei Technologien RADIUS, TACACS+ und Diameter von Interesse. RADIUS ist ein Authentisierungsprotokoll zur Zugriffskontrolle bei Einwahlverbindungen, das hauptsächlich durch Internetdienstanbieter genutzt wird. TACACS+ bietet ähnliche Funktionalitäten wie RADIUS, bietet jedoch aufgrund umfangreicherer Verschlüsselung ein höheres Sicherheitsniveau. RADIUS und TACACS+ können jedoch nicht zur Authentisierung beliebiger Geräte genutzt werden, da die nutzbaren Protokolle beschränkt sind. Diese zusätzliche Flexibilität liefert das Diameter-Protokoll.[15]

Weitere Themen Bearbeiten

Zu den bisher genannten Themen in der Domain 1 kommen viele weitere Security-Themen. Als organisatorische Sicherheitsmaßnahme werden das Vier-Augen-Prinzip oder auch Separation of Duty eingeführt. Diese Maßnahme ist geeignet andere Maßnahmen zu ergänzen und zu verschärfen.

Die sichere Gestaltung von Passwörtern und Passphrasen und der sichere Umgang mit Personal-IDs gehören zum Thema Identifikations- und Authentifikationstechniken.

Es werden umfangreiche Kenntnisse zur Überprüfung der Access-Control-Maßnahmen abgefragt. Hierzu gehören Kenntnisse über Einbruchserkennungssysteme (IDS) ebenso wie der sichere und rechtlich unbedenkliche Betrieb von speziellen Fallen für Angreifer: Die sogenannten Honeypots.

 
Man-in-the-Middle-Angriff

Unter dem Oberbegriff der Penetrationstests wird Wissen zu verschiedenen Angriffsarten abgeprüft. Hierzu gehören Techniken zum Ausnutzen bisher unbeseitigter Programmierfehler durch Zero-Day Exploits und das Fälschen von Webseiten durch den Austausch der Webseiten-Adresse (DNS-Spoofing). Insbesondere die Risiken und technischen Voraussetzungen für Man-in-the-Middle-Angriffe werden betrachtet. Dies sind Angriffe, bei denen sich der Angreifer unbemerkt zwischen das Opfer und das System schaltet, das das Opfer gerne verwenden möchte.

Das abgefragte Themengebiet wird durch Fragen zu Wörterbuchangriffen und der Brute-Force-Methode auf Passwörter ergänzt. Bei Wörterbuchangriffen werden softwaregestützt Wortlisten als Passwörter durchprobiert. Bei der Brute-Force-Methode wird diese Idee auf alle möglichen Passwörter ausgedehnt. Für die Prüfung ist wichtig, diese Angriffsmethoden in den Kontext von Sicherheitsmaßnahmen stellen zu können.

Angriffe, deren Ziel es ist die Verfügbarkeit von Systemen zu beeinträchtigen bezeichnet man als Denial-of-Service-Angriffe (DoS). Der CISSP muss über Wissen zu den verschiedenen Varianten von DoS-Angriffen verfügen. Dies beinhaltet z. B. Wissen zum Smurf-Angriff.

Information Security and Risk Management – Bereich 5 Bearbeiten

Für die CISSP-Prüfung werden Grundlagen zur CIA-Triade abgefragt. Unter diesem Schlagwort werden die Begriffe confidentiality, integrity und availability (deutsch: Vertraulichkeit, Integrität, Verfügbarkeit) zusammengefasst. Unter Integrität versteht man den Schutz vor Verlust und den Schutz vor vorsätzlicher Veränderung. Eine weitere Forderung ist die nach Nachvollziehbarkeit von Systemoperationen und nach Privatsphäre.

Ein großer Teil der Prüfung beschäftigt sich mit Fragen zur Management-Sicht auf Informationssysteme. Dies beinhaltet die Themen Risikomanagement, Sicherheitsanalyse und Sicherheitsmanagement. Im Gegensatz zu anderen Ansätzen richtet sich die CISSP-Prüfung dabei an der Sicherheit in Informationssystemen aus. Das geht – je nach Begriffsdefinition – über die reine Sicherheit von Informationen hinaus. Im Management-Teil befasst sich die CISSP-Prüfung mit Techniken des Change- und Konfigurationsmanagements.

Es werden Modelle zur Klassifizierung von Informationen in der Öffentlichen Verwaltung (inkl. Militär) und der Privatwirtschaft abgefragt. Des Weiteren sind personelle Maßnahmen wichtig. Jobrotation wird im Rahmen des CISSP in Bezug auf Korruptionsprävention eingeführt. Sicherheitsmaßnahmen bei Stellenbeschreibungen gehören ebenso wie die Gestaltung von Vertraulichkeitsvereinbarungen zum Prüfungsumfang. Zur Steigerung der Akzeptanz von Sicherheitsmaßnahmen werden Möglichkeiten von Security Awareness Programmen beleuchtet.

Der CISSP-CBK verlangt umfassende Kenntnisse über Industriestandards aus den Bereichen Informationssicherheit und IT-Sicherheit. Am wichtigsten sind die Standards der ISO/IEC-27000-Reihe, ITSEC, Common Criteria, COBIT und TCSEC, die das Thema Sicherheit aus verschiedenen Blickwinkeln beleuchten. Ein zertifizierter CISSP muss für konkrete Situationen in der Lage sein, den jeweils richtigen Standard auszuwählen.

Telecommunications and Network Security – Bereich 10 Bearbeiten

Physikalische Charakteristiken

Netzwerk Layouts

Routers und Firewalls

Protokolle

Services

Sicherheitsrelevante Techniken

Weitere Themen

Weitere Bereiche Bearbeiten

Application Security – Bereich 2

In dieser Domain werden softwarebasierte Sicherheitsmaßnahmen, die Softwareentwicklung und insbesondere der Software-Lebenszyklus zusammengefasst.

Business Continuity and Disaster Recovery Planning – Bereich 3

Ausgehend von einer Business Impact Analyse (BIA) werden in Domain 3 Strategien zu Reaktions- und Wiederanlaufmaßnahmen abgefragt. Dazu gehören insbesondere Maßnahmen zum Business Continuity Management (BCM) und der Disaster Recovery Plan (DRP).

Cryptography – Bereich 4

Die Kryptologie unterteilt sich in die zwei Hauptbereiche Kryptographie und Kryptoanalyse (eine wörtliche Übersetzung von Cryptography wäre also eine unzulässige thematische Einschränkung). Es werden wichtige Konzepte, wie z. B. Public-Key-Infrastrukturen (PKI) und verbreitete Algorithmen sowie deren Schwachstellen in dieser Domain behandelt.

Legal, Regulations, Compliance and Investigations – Bereich 6

Besonders in Domain 6 kommen die rechtlichen Unterschiede zum europäischen Raum zum Tragen. Das deutsche Recht spielt in der Prüfung keinerlei Rolle. Insbesondere im Bereich des Bundesdatenschutzgesetzes (BDSG) sind die Unterschiede erheblich. Grundlage bilden die US-amerikanischen Gesetze. Auf andere Länder wird nur am Rande eingegangen. Sie werden nur im Rahmen grenzüberschreitender Datenübertragung abgefragt, jedoch nicht im Detail.[3]

Operations Security – Bereich 7

In diesem Abschnitt kommen hauptsächlich Themen aus dem Bereich des IT-Managements zum Tragen. Medienverwaltung, Backupstrategien und Change Management werden in Domain 7 abgeprüft.

Physical (Environmental) Security – Bereich 8

Physikalische Sicherheit wird oft nicht zum Bereich der Informationssicherheit gezählt. Für die CISSP-Prüfung sind Brandschutz, Standortsicherheit und Bewachung wichtige Themen.

Security Architecture and Design – Bereich 9

Bereich 9 befasst sich mit Trusted Systems und Trusted Computing. Weitere Themen sind System und Enterprise Architecture.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. a b Mit Auszeichnung – Zertifikate für Security Professionals. In <kes>, 3, 2006, S. 27.
  2. (ISC)² Member Counts
  3. a b Mike Meyers, Shon Harris: CISSP. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 22.
  4. (ISC)² CISSP Certification Now Comparable to Masters Degree Standard. 11. Mai 2020, abgerufen am 8. März 2024 (englisch).
  5. TeleTrust Deutschland e. V. T.I.S.P. – TeleTrusT Information Security Professional
  6. (ISC)²: Career Path Brochure 09/2008, S. 12.
  7. a b CISSP® – How to Certify
  8. a b About the (ISC)² CBK®
  9. Mike Meyers, Shon Harris: CISSP. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 26.
  10. (ISC)² Code of Ethics
  11. isc2.org: CISSP Concentrations (Memento vom 11. Dezember 2014 im Internet Archive)
  12. Mike Meyers, Shon Harris: CISSP. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 129 ff.
  13. Mike Meyers, Shon Harris: CISSP. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 139.
  14. Mike Meyers, Shon Harris: CISSP. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 86 ff.
  15. Mike Meyers, Shon Harris: CISSP. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 65 ff.