Lebenslanges Lernen - Vorbereitung für den CISSP

In der Berufswelt spricht man immer von dem lebenslangen Lernen. Daher stellt man sich häufig die Frage nach dem nächsten Kurs, Lerninhalt und Zertifikat, dass einen weiterbringt.

Für mich war die Antwort den Certified Information Systems Security Professional, kurz CISSP, von ISC2 in Angriff zu nehmen.

Aber das ist meine Entscheidung, jeder sollte im ersten Schritt das Angebot der verschiedenen Anbieter anschauen und sich das für einen persönlich passende Schulungsinhalt, bzw. Zertifikat und Format entscheiden.

Alternativen ist sicherlich aus meiner Sicht auch der CISM von ISACA. Letztendlich ist es eine persönliche Entscheidung.

Für mich war der CISSP der richtige Mix aus Technik- und Management-Themen.

Der Themenumfang beim CISSP sind:

1. Security and Risk Management

   1. Grundlegende Sicherheitsprinzipien

   2. Compliance, rechtliche und regulatorische Fragen

   3. Sicherheitsrichtlinien, -standards und -richtlinien

   4. Risikoanalyse und -management

   5. Business Continuity & Disaster Recovery

   6. Ethik (Code of Ethics – ISC²)

2. Asset Security

   1. Datenklassifizierung

   2. Eigentümerschaft von Informationen

   3. Datenschutz und Datenschutzgesetze

   4. Schutzmechanismen für Informationen

3. Security Architecture and Engineering

   1. Sicherheitsmodelle und -konzepte

   2. Secure Design Principles

   3. Sicherheitsarchitekturen (z. B. Trusted Computing Base)

   4. Kryptografie-Grundlagen

   5. Schwachstellen in Systemkomponenten (Hardware, Software, Cloud)

4. Communication and Network Security

   1. Netzwerkarchitekturen (OSI, TCP/IP, etc.)

   2. Sichere Netzwerkkomponenten

   3. Firewalls, VPNs, IDS/IPS

   4. Netzwerkangriffe und Abwehrmaßnahmen

5. Identity and Access Management (IAM)

   1. Authentifizierungsmethoden

   2. Zugriffskontrollmodelle (z. B. RBAC, ABAC)

   3. Identity Lifecycle Management

   4. Single Sign-On, Federation, MFA

6. Security Assessment and Testing

   1. Sicherheitsbewertungen (z. B. Penetration Testing, Vulnerability Scans)

   2. Sicherheitsmetriken

   3. Kontinuierliche Überwachung

   4. Log-Reviews und Audits

7. Security Operations

   1. Sicherheitsvorfälle und Reaktion (Incident Response)

   2. Business Continuity/Disaster Recovery in der Praxis

   3. Forensik

   4. Logging, Monitoring, SIEM

   5. Physical Security

8. Software Development Security

   1. Secure Software Development Lifecycle (SDLC)

   2. Bedrohungen und Schwachstellen in Software

   3. Sicherheitskontrollen in Entwicklungsprozessen

   4. DevSecOps, Codeanalyse

Eine grosse Bandbreite der Informations-Sicherheit. Der Deep Dive in ein Thema, wird hier nicht erreicht, aber jeder hat die Möglichkeit sich in sein "Lieblingsthema" im Nachgang tiefer einzuarbeiten.

Als ich an diesem Punkt angekommen bin, ging es los. Welches Buch brauche ich? Im Internet gibt es natürlich unendlich viele Empfehlungen. Also startete ich mit dem

(ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide und zu empfehlen ist das Practice Test Buch mit zu bestellen. Beide Bücher sind als Bundle zu bekommen.

Warum gleich das Practise Test Buch dazu? Es ist gut gleich mal am Anfang Fragen zu den jeweiligen Kapiteln oder Themen im Prüfungsniveau zu bekommen und es ist ein Level meines Lernerfolgs. Bei zu vielen falschen Antworten sollte man die fehlerhaften Bereich noch einmal durcharbeiten. Hier sollte noch erwähnt sein, es ist kein blankes auswendig lernen, es geht um das Verständnis. Denn die Fragen werden sich nicht in der Prüfung wiederholen. Leider 😉

Bevor man aber mit dem Lernen startet, kann ich nur empfehlen, sich Gedanken um die Dokumentation seines Lernen und der Notizen zu machen. Es ist wirklich notwendig und spart Zeit und Nerven.

Zu Schulzeiten hat man in den Stunden mitgeschrieben oder nicht und dann nahm ichmir meine Aufzeichnungen zur Hand und lernte daraus.

Viele wissenschaftliche Ansätze sagen, dass die handschriftlichen Notizen das Lernen besonders unterstützen. Ich kann nur sagen, jeder muss seinen individuellen Weg bzw Arbeitsweise finden. Vielleicht auch durch ausprobieren. Es lohnt sich.

Ich habe viele Konzepte versucht, handschriftlich auf dem Ipad, elektronische Notizen in Notion und letztendlich bin ich bei der MindMap gelandet.

Aber jedes neue Konzept bedeutet Neuanfang, anderes Arbeiten und eine andere Struktur. Also am Besten gleich am Anfang Gedanken mach und den einen Weg bis zum Ende gehen. Spart Zeit und Aufwand.

Meine MindMaps habe ich so aufgebaut, dass in der Mitte das Kapitel ist und dann die einzelnen Themen als Arme weitergehen. Damit hatte ich am Schluss 8 MindMaps.

Die weitere Verästelung habe ich weitere Details und Informationen zu den Themen eingetragen. Somit habe ich immer weitere detaillierte Informationen zu den Themen je weiter ich am Ast nach außen gehe. Somit kann ich in den Notizen weitere Details zu dem Thema ausarbeiten. Die erstellten MindMaps kann ich auch nach der Zertifizierung für das weitere Ausarbeiten von Themen nutzen.

Viele MindMap Tools haben noch ein sehr hilfreiches Feature. Man kann neben Notizen auch Tags an die einzelnen Texte hängen. In den Notizen habe ich Fragen oder Punkte notiert, die mir unklar waren und ich mehr Recherche für das Verständnis benötigte. So musste ich nicht aus dem Lernfluss rausgehen und recherchieren. Die weitergehende Recherche konnte ich dann in einem Extratermin durchführen.

Die Tags nutze ich dazu, Wichtige Themen, weitere Fragen oder wenn ich der Meinung bin, dass Thema detaillierter auszuarbeiten zu müssen zu markieren. Somit habe ich beim Lesen und Lernen die Möglichkeit im Nachgang Themen weiter auszuarbeiten, in dem ich weitere Informationsquellen, wie Internet, Foren oder Bücher nutze. Es ist oft hilfreich, im Nachgang sich noch andere Informationsquellen heranzuziehen und unklare Punkte weiter zu recherchieren.

Hier ein Ausschnitt einer meiner MindMaps:

Durch das Auf- und Zuklappen der Äste habe ich auch die Möglichkeit mich selber abzufragen. Dann die Äste weiter aufklappen und meine Antworten überprüfen.

Dies in regelmäßigen Abständen erhöht den Lern- und Merklevel, was für die Prüfung sehr hilfreich ist.

Nun stellt sich nur noch eine Frage.

Sollten Notizen in Deutsch oder Englisch verfasst werden? Diese Entscheidung kann den Lernerfolg maßgeblich beeinflussen. 

Das Schreiben auf Englisch hilft, sich direkt in der Prüfungssprache auszudrücken. So vermeidet man Missverständnisse und gewinnt Sicherheit beim Formulieren. 

Deutsch kann beim tiefgehenden Verstehen unterstützen, aber birgt die Gefahr, sich von der Prüfungsanforderung zu entfernen. Englisch zwingt dazu, sich präzise auszudrücken und gezielt zu lernen. 

Ich setze auf englische Notizen, um mich optimal auf die Prüfung vorzubereiten und gleichzeitig meine Sprachfähigkeiten zu verbessern. So profitiere ich doppelt!

Jedem der sich der Prüfung zum CISSP stellt, drücke ich die Daumen.