Certified Authorization Professional - Experteninterview mit Alexander Kühl
Certified Authorization Professional (CAP) ist eine Zertifizierung, die sich an Personen richtet, die Zertifizierungs- und Akkreditierungsprozesse in Informationssystemen überwachen und verwalten. Dabei werden die Fertigkeiten und Erfahrungen dieser Person bei der Implementierung und Aufrechterhaltung der Autorisierung von Informationssystemen getestet, validiert und zertifiziert.
Die Zertifizierung von Personen wird vom International Information Systems Security Certification Consortium ISC2 entwickelt und durchgeführt. Doch welche Anforderungen müssen dabei erfüllt werden und wie bereitet man sich richtig auf eine CAP-Prüfung vor?
Alexander Kühl, Head of Consulting Services der Kalweit ITS GmbH und zertifizierter CAP, wird im folgenden Interview die wichtigsten Fragen rund um die CAP-Zertifizierung klären.
Herr Kühl, Sie arbeiten seit Oktober 2018 für die Kalweit ITS GmbH. Können Sie uns über Ihre Aufgaben im Unternehmen und Ihre Beweggründe, an einer CAP-Weiterbildung teilzunehmen, berichten?
Die Kalweit ITS ist spezialisiert auf die Beratung zur Informationssicherheit und Risikoabwehr im IT-Bereich. Als Leiter der Abteilung für die Beratungsdienstleistungen muss ich stets auf dem neuesten Stand der Technik sein, um den Anforderungen an die hohe Qualität und Sorgfalt unserer Kunden gerecht zu werden. Die CAP-Zertifizierung fokussiert als einzige Zertifizierung den obligatorischen Standard zur Informationssicherheit und Risikomanagement nach dem Mandat DoD 8570 des US-amerikanischen Verteidigungsministeriums.
Allein durch die aktuelle Brisanz des Themas wird deutlich, dass dieser Standard einer der besten weltweit ist. Aufgrund der Globalisierung und Internationalisierung der Wirtschaft gewinnt der amerikanische Standard zunehmend an Einfluss, auch in Deutschland. Ich sehe diesen Umstand aufgrund von Zertifizierungen, wie insbesondere dem CAP, als Chance für Unternehmen in Deutschland, den internationalen Anforderungen zu entsprechen und als Vorbild der Sicherheit für andere europäische Länder zu fungieren. Als zertifizierter Berater habe ich nun die Möglichkeit, Unternehmen bei genau dieser Mission zu unterstützen.
Die CAP-Zertifizierung wurde erstmals 2005 eingeführt. Seitdem wurden viele Cybersicherheitsexperten zertifiziert. Welche Anforderungen müssen für eine Teilnahme an einer CAP-Prüfung erfüllt werden?
Es wurde bisher (Stand April 2019) fünf Personen, meine mit eingeschlossen, in Deutschland zertifiziert und noch weniger in jeweils allen anderen europäischen Ländern. Dies ist eine sehr geringe Zahl im Vergleich zu anderen Zertifikaten, was meine Aussage unterstützt, dass Europa noch daran arbeitet, den Vergleich mit Amerika zu wagen. Auf der anderen Seite müssen aber auch große Hürden genommen werden, um sich zertifizieren zu lassen. Es gibt drei Anforderungen:
- Man muss eine Prüfung der eigenen Vertrauenswürdigkeit bestehen, worunter auch ein Befolgen des ISC²-Verhaltenskodex gehört.
- Die Teilnehmer müssen zwei Jahre Berufserfahrung im Risikomanagement nachweisen.
- Die schriftliche Prüfung muss man anschließend bestehen. Derzeit gibt es nach meinem Wissen keine offizielle Schulung außerhalb der USA, daher habe ich die Dokumente, die sich in englischer Sprache über mehrere fachliche Publikationen erstrecken, im Selbststudium gelernt.
Sie haben die CAP-Prüfung erfolgreich abgelegt. Wie bereitet man sich am besten auf diese Prüfung vor und worauf sollte besonders geachtet werden?
Es gibt ein offizielles Buch zur Vorbereitung, das sogenannte CBK. Dieses Buch erleichtert einem den Einstieg in die sonst relativ komplizierte Materie. Die Prüfung ist jedoch nur zu bewältigen, wenn man die folgenden Publikationen sehr gut verstanden hat und den Risikomanagementprozess nach dem RMF in allen Teilschritten beherrscht. Die wichtigsten Publikationen sind folgende: NIST SP 800-30, -37, -39, -53, -53A, -60, -135, sowie FIPS 199 und FIPS 200. Eventuell sollte man sich auch zusätzlich unterstützende Publikationen durchlesen.
Welche Vorteile bringt eine CAP-Zertifizierung mit sich und welche Auswirkung kann die Zertifizierung auf die weitere Karriere haben?
Es gibt sehr wenige Schulungen mit diesem Umfang, die so praxisnah sind. Es werden die Tätigkeiten des Risikomanagements und der -analyse, Audits, der Betrieb vom Informationssicherheitsmanagement und Überwachungsstrategien behandelt. Nach meiner Erfahrung hat man in Kombination mit der Theorie, wie bspw. einem Studium oder einer mehr theoretischen Zertifizierung, sehr gute Chancen im Arbeitsmarkt, eine Position in diesem Bereich zu bekommen.
Die CAP-Zertifizierung ist nach DoD 8570 anerkannt und nach den Richtlinien kann sie als Voraussetzung für den Manager Level 2 anerkannt werden. Man kann beispielsweise als Information Security Manager, Cyber Risk Manager, Security Architect, Auditor, Security Consultant oder einer vergleichbaren Position einsteigen, das kommt dann auf die eigenen Vorlieben an. Selbstverständlich hat man auch international eine sehr gute Ausgangssituation, insbesondere im amerikanischen Raum oder beim Militär. ISC² selbst behauptet, dass eine Person mit mindestens einer ihrer Zertifizierungen im Schnitt 35% mehr Gehalt bekommt als eine Person, die nicht zertifiziert ist.
Vielen Dank Herr Kühl für die interessanten Einblicke in die CAP-Zertifizierung.
Computer Futures, ein Kooperationspartner der Kalweit ITS GmbH, bietet Ihnen einen Beratungsservice an und hilft Ihnen dabei, den passenden nächsten Karriereschritt für Sie zu finden. Werfen Sie noch heute einen Blick auf unsere neuesten Stellenangebote. Durch die Vielzahl von Stellenangeboten sind wir in der Lage, Ihnen ein breites Spektrum an Möglichkeiten anzubieten. Füllen Sie noch heute unser Kontaktformular aus, um mehr zu erfahren!