an alle Security-Pro's aus der InfoSec area: ich würde gerne in die Runde fragen, ob jemand von euch eine oder mehrere der im Betreff genannten Zertifikate besitzt und mir einige offenen Fragen beantworten könnte.
(CISSP)
beim CISSP muss man sich schon reinknien und gut vorbereitet sein, um die Prüfung zu bestehen. Wenn ich mich für den CISSP entscheiden sollte (derzeit mein Favorit Nr. 1) dann würde ich den Firebrand Kurs dazu besuchen. Der soll ziemlich intensiv sein, 7 Tage und ~10h täglich, also bis in die Abendstunden. Damit man überhaupt erst zur Prüfung angemeldet werden kann, muss man 5-jährige Berufserfahrung in mindestens 2 der 10 Domains des Lerninhalts nachweisen. Am Ende des Kurses gibt man dann die Prüfung ab und sollte man bestehen, hat man nur die halbe Miete (siehe button "Kursüberblick" --> "Voraussetzungen").
Ich habe aber irgendwo mal gelesen und schwach in Erinnerung, dass man wohl nach erfolgreicher Prüfung erstmal noch 3 Jahre Berufserfahrung sammeln muss und dieser genannte "Pate" erst dann bescheinigt, dass man alle Voraussetzungen eines CISSP erfüllt und mit seiner Unterschrift bürgt.Nachdem ein Kandidat die CISSP-Prüfung bestanden hat, muss er die Bewerbung von einem CISSP bescheinigen lassen, bevor die Zertifizierung ausgehändigt werden kann. Steht kein CISSP zur Verfügung, kann ein entsprechend qualifizierter Experte mit Erfahrung in Informationssystemen oder ein Vorgesetzter des Unternehmens die Berufserfahrung des Kandidaten bescheinigen. Der Unterzeichner bestätigt, dass die Angaben des Kandidaten zur Berufserfahrung nach bestem Wissen der Wahrheit entsprechen und dass der Kandidat in der IT-Sicherheitsbranche einen guten Ruf genießt. Nach Empfang des Bescheinigungsformulars (und falls der Kandidat nicht per Zufallsauswahl ein Audit seiner Berufserfahrung absolvieren muss) wird die CISSP-Zertifizierung generell innerhalb von einem Arbeitstag erteilt. Die offizielle Benachrichtigung erfolgt per E-Mail.
Fragen:
(1) Was stimmt denn nun? Kann man seinen CISSP Titel schon gleich nach der erfolgreich absolvierten Prüfung erhalten, insofern man einen CISSP kennt und dieser dafür bürgen würde im Anschluss? Oder muss man nach der Prüfung wirklich erstmal noch zusätzlich eine bestimmte Anzahl von Jahren Berufserfahrung nachweisen ?
(2) Was wenn ich keinen CISSP persönlich kenne (ist nämlich der Fall), wie sieht der Ablauf dann aus?
(3) Kann ich diesen Kurs unvorbereitet besuchen, weil ich alles notwendige dort im intensiven Unterricht erlerne? Oder sollte ich mich zwingend mit Lektüre selbständig vor Kursantritt schon vorbereiten?
OSCP/OSCE und CEH
Meines Wissens nach sind dies die praxisnahesten, die mit Penetration-Testing zu tun haben der OSCP, OSCE und CEH. Vor allem der OSCP soll wohl sehr intensiv und herausfordernd sein. OSCE wäre dann die weiterführende Zertifizierung, die man aber wohl lieber erst macht nachdem man erfolgreich OSCP erlangt hat weil das schon heavy ist. In den Stellenausschreibungen ist mir aufgefallen, dass wenn ein Arbeitgeber OSCP fordert, meistens auch CEH mit erwähnt wird. Firebrand bietet CEH ebenfalls an.
(4) Ich habe jedoch schon in einem Blog lesen müssen, dass es sich bei CEH lediglich um Theorie handelt und nur um ein Papierzertifikat mit keinerlei Praxisnähe. Ist das wahr?
EDIT: hat sich soeben erledigt. Hab soeben noch einen Beitrag gefunden, der das auf den Punkt bringt. Also ist CEH wirklich nur ein Fetzen Papier, das keinen Stellenwert besitzt (zumindest nicht bei den Geeks). Wird ja immer schöner *schluck* dieses dubiöse EC Council ist wohl nichts seriöses, keine offene Organisation wie beispielsweise der ISC².
(5) Gibt's jemanden unter euch der den OSCP und/oder CEH hat und könnte etwas darüber berichten wie das mit dem Lernstoff aussieht?
All das frage ich aus folgendem Aspekt. Ich möchte meine bisherigen Kenntnisse vertiefen und in die IT-Security abtauchen weil mich dieser Bereich schon immer stark interessiert hatte. Am liebsten wäre mir eine praxisnahe Ausbildung, die ich wohl am ehesten mit dem OSCP hätte. Denn dort arbeitet man anscheinend auch mit Kali und Metasploit, die ich auch bereits kenne und 'angekratzt' hatte. Ich möchte so weit wie möglich "nah an der Technik" bleiben. Allerdings möchte ich mich in Zukunf beruflich besser positionieren und deshalb achte ich auch auf den "Stellenwert" eines Zertifikats. Meiner subjektiven Empfindung nach ist der CISSP das höchstangesehenste aus diesem Bereich und damit kann man sich Mitbewerbern sicherlich besser entgegensetzen. CISSP ist aber schon sehr manager-gewichtet, also für leitende Positionen, deswegen auch der höhere Stellenwert nehme ich an.
Ich liebäugle mit CISSP aufgrund des hohen Stellenwertes, würde aber schon gerne mit der Technik arbeiten wie es z.B. Penetration-Testing tut und somit wäre OSCP wohl eher was für mich.
Vielleicht kann mir der eine oder andere etwas Hilfestellung bei der Entscheidung geben, persönliche Erfahrungen sind mir dabei sehr wichtig und wünschenswert.
Danke @ll

Pangu