Kostspieliger Zeitfresser

Was Sie über Cybersecurity-Zertifizierungen wissen sollten

Matthias Zacher ist Senior Consultant bei IDC.
Zertifizierungsprogramme für Cybersecurity sind gerade sehr in Mode. Was sie können und worauf Sie achten sollten, lesen Sie in diesem Beitrag.
Zertifizierungen bescheinigen Fachwissen, nicht aber Erfahrung.
Zertifizierungen bescheinigen Fachwissen, nicht aber Erfahrung.
Foto: Bacho - shutterstock.com

IT-Profis sind schon lange von professionellen Zertifizierungsprogrammen angetan. Die Informationstechnologie verfügt wohl über den umfangreichsten Katalog an Zertifizierungen unter den Fachbereichen, und IT-Profis sammeln oft eine größere Anzahl von Zertifizierungen als ihre Kollegen in vielen anderen Bereichen. Wir führen dies auf eine Reihe von Gründen zurück:

  • Die rasante technologische Entwicklung erfordert, dass IT-Experten ihre vorhandenen Fähigkeiten ständig auf den neuesten Stand bringen und sich in der Regel mindestens einmal während ihrer Karriere völlig neu erfinden.

  • Die traditionellen, studienbegleitenden Ausbildungsprogramme konzentrieren sich tendenziell auf eher theoretische Aspekte der Informatik und bieten oft nicht die praktische Erfahrung, die für die Arbeit mit den neuesten Technologien erforderlich ist.

  • Zertifizierungen bieten eine vergleichsweise kostengünstige Möglichkeit, neue Technologien strukturiert zu erlernen und das Wissen um die Kerninhalte durch eine standardisierte Prüfung nachzuweisen.

  • Die starke Fragmentierung der IT macht es unpraktisch, ein einziges breit angelegtes IT-Zertifizierungsprogramm wie beispielsweise das Zertifizierungsprogramm Certified Public Accountant zu haben, wie es im Rahmen des Buchhaltungswesens üblich ist. Eine solche Zertifizierung wäre zwangsläufig so weitreichend, dass es schwierig bis unmöglich wäre, eine ausreichende Tiefe der Zertifizierung zu haben, um von Nutzen zu sein.

Cybersicherheit ist eine der am schnellsten wachsenden Subdomains innerhalb der Informationstechnologie und erfordert, dass IT-Experten ein breites Spektrum an Know-how beherrschen. Aus diesem Grund kommen Cybersicherheitsexperten oft mit Fachkompetenz in einem oder sogar mehreren anderen Technologiefeldern zum Einsatz und wenden ihre bestehende Expertise dann in ihrer Tätigkeit im Bereich Cybersicherheit an. So kann beispielsweise ein Unternehmen in der Regel alle nachstehend aufgeführten Personen einsetzen:

  • Spezialisten für Netzwerksicherheit mit langjähriger Erfahrung in den Bereichen Routing, Switching und Firewall-Produkte eines einzigen Anbieters.

  • Experten für Applikationssicherheit mit Hintergrund in der Softwareentwicklung und spezialisierter Schulung zur Sicherung kundenspezifischer Anwendungen.

  • Penetrationstester, die in der Lage sind Schwachstellen zu identifizieren und sich so Zugang zu Netzwerken verschaffen.

  • Sicherheit-Consultants mit Business-Know-how, die in der Lage sind Projektteams bei der Identifizierung und Umsetzung von Sicherheitsanforderungen zu unterstützen.

Natürlich erfordert jede dieser Fähigkeiten eine sehr spezielle Wissensgrundlage. So ist es logischerweise eher unwahrscheinlich, dass das Unternehmen einen SecuritySecurity Consultant mit der Durchführung eines Penetrationstests oder den Application Security Specialist mit der Konfiguration eines neuen VLANs beauftragen kann, ohne dass diese Personen eine zusätzliche Ausbildung erhalten. Diese Personen haben unter Umständen nur eine Gemeinsamkeit – und das ist ein Abschluss in Informatik oder einem verwandten Fachgebiet. Alles zu Security auf CIO.de

An dieser Stelle kommen die Zertifizierungsprogramme für Security ins Spiel. Die Branche bietet eine Vielzahl von Zertifizierungen an, die für die jeweilige Fähigkeitsstufe geeignet sind. Der Netzwerksicherheitsexperte kann die vom Networking-Anbieter des Unternehmens angebotenen Authentifizierungsdaten wie beispielsweise die Cisco Certified Network Professional (CCNP) Security Credentials nachweisen. Der Penetrationstester kann die Zertifizierung Certified Ethical Hacker (CEH) oder CompTIA PenTest+ erlangen. Jede dieser Qualifikationsnachweise überprüft verschiedene Wissensgebiete und ermöglicht es Arbeitgebern so, sich ein Bild über die vorhandenen Skills eines Arbeitnehmers oder Bewerbers zu machen.

IDC empfiehlt IT-Entscheidern, dabei auf folgende Aspekte zu achten:

  • Definieren Sie klare Ziele im Hinblick auf die Nutzung von Cybersicherheitszertifikaten in Ihrem Unternehmen. Wird die Zertifizierung in erster Linie als Instrument zur Kandidatenauswahl eingesetzt? Unterstützt man bestehende Mitarbeiter, die im Rahmen ihrer beruflichen Entwicklung zusätzliche Zertifizierungen erhalten? Stellt das Unternehmen eine finanzielle Förderung der beruflichen Weiterbildung bereit?

  • Bewerten Sie die Rolle, die den Zertifizierungsprogrammen in Ihrem Rekrutierungsprozess zukommt. Umfassen Ihre Stellenbeschreibungen eine Auflistung der obligatorischen Zertifizierungen? Ist eine Zertifizierung aufgrund gesetzlicher oder vertraglicher Anforderungen wirklich notwendig? Kann die Stellenbeschreibung gegebenenfalls so modifiziert werden, dass ein Ausschluss von anderen qualifizierten Kandidaten verhindert wird?

  • Nutzen Sie die Zertifizierung als Werkzeug, um kritische Qualifikationslücken zu schließen. Wenn Sie mit kritischen Kompetenzlücken in Ihrem Cybersecurity-Team konfrontiert sind, sollten Sie die Verwendung von Zertifizierungen als Anreiz zur Förderung der bereichsübergreifenden Schulung bestehender Mitarbeiter in Betracht ziehen.

Fazit

Sicherheitszertifizierungsprogramme sind ein wertvolles Instrument für Arbeitgeber, die auf der Suche nach qualifiziertem Personal sind und ihre hochqualifizierten Mitarbeiter langsfristig an sich binden wollen. Sie spielen eine wichtige Rolle im Rahmen des Rekrutierungsprozesses und beweisen Engagement – und zwar sowohl auf Arbeitgeber- und auf Arbeitnehmerseite.

Wie bei jeder anderen professionellen Entwicklungsmaßnahme auch sollten die Zertifizierungsmassnahmen strategisch geplant und kontrolliert werden.

Tipp: Nehmen Sie sich vor "Zertifizierungssammlern" in Acht, die Sie am Ende nur Zeit und Geld kosten.

Zur Startseite