All About Security

Manuel Schönthaler, Direktor Deutschland, SANS Institut

Welche Ziele hat sich das SANS Institut in Deutschland in den nächsten Jahren gestellt, was soll erreicht werden?

Zunächst einmal wollen wir uns hierzulande für unser Zielpublikum greifbarer machen und mehr Sichtbarkeit erzeugen, da man das SANS Institut bisher vorrangig im englischsprachigen Bereich kennt. Das liegt zum einen sicher daran, dass die Organisation in Amerika gegründet wurde. Dort gehört sie zum „who is who“ der Branche und beschäftigt namhafte Experten wie Dr. Eric Cole. Auf der anderen Seite werden die Kurse derzeit allesamt in Englisch unterrichtet, da das Thema aus einer globalen Betrachtungsweise heraus gesehen werden muss. Das entspricht auch dem heutigen Anspruch an die Anforderungen eines modernen IT-Security-Experten, der auf Weltniveau mitreden will. Natürlich plane ich, mittelfristig auch deutsche Trainer zu akquirieren und langfristig eine deutsche Präsenz zu etablieren, die uns dabei unterstützt, noch mehr Awareness auf diesem anspruchsvollen Markt zu erreichen.

Sollen noch weitere Mitarbeiter angestellt werden, welche Positionen sollen noch besetzt werden?

Mit dem Kommitment des SANS Instituts, einen dedizierten Posten mit exklusivem Fokus auf Deutschland und dessen wachsenden Bedürfnissen nach hochqualifizierten IT-Sicherheitsexperten zu schaffen, zeigt das weltweit renommierte Institut, wie wichtig dieser Markt innerhalb Europas ist. Das Ziel der Organisation ist, in Europa langsam und beständig zu wachsen, aus diesem Grund wurden bereits in anderen Ländern ähnliche Positionen geschaffen. Nach und nach sollen diese Standorte dann ausgebaut werden.

Welche Zielgruppe will das SANS Institut erreichen, geht es mehr um technische oder mehr um Management-Themen?

Die Aus- und Weiterbildungsangebote des SANS Instituts fokussieren sich ganz klar auf technische Praxisanwender, die in ihrem Job mit den vielfältigen Themen, die wir in den Kursen behandeln, tagtäglich zu tun haben. Wir vermitteln nicht nur theoretische Inhalte, sondern legen besonderen Wert auf Hands-On-Mentalität, Deshalb ermöglichen wir den Teilnehmern unserer Trainings nach den bis zu 6-tägigen Kursen die erlernten Kenntnisse sofort in die Praxis umzusetzen, wenn sie an Ihren Arbeitsplatz zurückkehren. Nichts desto trotz haben wir aber auch ein Paar Management-Kurse im Angebot, um der Nachfrage rundum gerecht zu werden.

Sie bieten vor allem Trainings zur Weiterbildung an. Wie muss ich mir ein solches Training vorstellen und welche Voraussetzungen müssen die Teilnehmer erfüllen?

Ja, das ist richtig! Bei uns können zwar auch Grundlagenkurse besucht werden, wenn man in bestimmte Themen ohne allzu viel Hintergrundwissen einsteigen möchte. Jedoch gehen unsere Kurse i.d.R. schon sehr in die Tiefe und sprechen daher auch die erfahrensten Experten auf dem Markt an. Trotz vielfältiger Lernpfade sind aber keine fest vorgegebenen Kurs-Wege zu befolgen, bevor man mit einem anderen Thema weitermachen kann. Der Schüler bestimmt selbst, in welcher Reihenfolge er die Trainings besucht! Natürlich sollte er sich vorher auf der Kursseite mit den jeweiligen Anforderungen vertraut machen und sicherstellen, dass er sie erfüllt, um später nicht hinterherzulaufen. Kleine Lücken füllen die erfahrenen Trainer jedoch problemlos on Demand. So z.B. die Linux-Grundlagen im Bereich Ethical Hacking für Teilnehmer, die sonst nur auf Windows arbeiten.

Wo finden die nächsten Trainings statt und welche Schwerpunktthemen werden dort behandelt?

Trainings finden das ganze Jahr über weltweit statt, wobei wir hier sicherlich vornehmlich Europa betrachten. Die nächsten wichtigen Trainings sind unser großes Pen Testing Event in Berlin Mitte Juni, danach ein Themen-Rundumschlag auf dem London Summer Mitte Juli gefolgt von Schwerpunktthema Ethical Hacking in Tallinn/Estland. Darüber hinaus sind auch schon die Planungen für das nächste Jahr weit voran geschritten, so dass wir bereits jetzt bestätigen können, dass es im Frühjahr 2015 wieder ein Folge-Event in München geben wird, das noch größer und attraktiver wird.

Was bringt mir ein Training, welche Vorteile erfahre ich dadurch in meinem Beruf als IT-Sicherheitsexperte?

Zunächst einmal stelle ich fest, dass derzeit ein Großteil der Schüler aus eigenem Antrieb an unseren Kursen teilnimmt. Aus Anwendersicht zeigt mir das, dass auch ohne bisherige lokale Firmenpräsenz in der Community ein ganz klarer Mehrwert durch die hochwertigen Inhalte, Trainer und deren Hands-On-Mentalität existiert, der sich unter Experten herumspricht. Hier geht es also oft nicht nur um die puren Inhalte, sondern auch um Anerkennung in der Branche. Und wer jetzt allein von Prestige spricht, dem sage ich, dass es vielmehr auf die Glaubwürdigkeit und Erfahrung ankommt. Die Kombination aus Know How und Praxis ist hier also erneut das Stichwort. IT-Sicherheitsexperten haben somit in übergreifenden Projekten nachhaltig ein höheres Standing, wenn sie bestimmte Kenntnisse ausweisen können. Unsere Trainings und die angegliederten Zertifizierungen können dabei helfen, indem sie erste Hürden bei der Projektierung nehmen.

Wer erkennt die Trainings an und brauche ich die Trainings nur für internationale oder auch für nationale Projekte?

Keiner der Teilnehmer muss nach dem Training einen Test für eine Zertifizierung durchführen. Es ist möglich, einfach nur die Trainings zu besuchen und die Inhalte mitzunehmen. Die SANS-eigene Zertifizierungseinheit namens GIAC (Global Information Assurance Certification) nimmt ansonsten die Prüfungen über lokal ansässige Trainingscenter ab und erkennt sie international an. Derzeit sind über 58.000 IT-Sicherheitsexperten zertifiziert, viele Teilnehmer verzichten aber auch ganz darauf. Die vermittelten Inhalte können überall eingesetzt werden, egal auf welcher Länderebene man unterwegs ist. Jedoch hilft es ungemein, sich in der Community mit den entsprechenden Zertifizierungen zu erkennen zu geben, um schnell das notwendige Fachwissen nachzuweisen, wenn es beispielsweise um die Eignung für bestimmte Aufgaben oder die Zusammenstellung von Kriseninterventionsteams im Ernstfall geht.

Welche Weiterbildungen kann ich noch erwerben und welche Vorteile bringen mir diese?

Das hängt ganz allein davon ab, welche Themen im täglichen Arbeitsalltag relevant sind. Hier können berufliche ebenso wie persönliche Ziele eine Rolle spielen. Das SANS Institut bietet eine breite Trainingspalette mit über 50 Kursen an, unter anderem aus den Bereichen Information Security, Incident Response, Pen Testing, Cyber Forensik,  Auditing und Development.

Was kostet ein Training und wo kann ich mich am besten darüber informieren?

Die Kosten hängen vom jeweiligen Training ab, dieses kann bis zu 6-Tage in Anspruch nehmen und sowohl offline als auch online wahrgenommen werden. Hier gibt es eine Vielzahl an verfügbaren Formaten, über die man sich am besten auf der SANS Homepage informiert, auf der alle Details nach individuellen Bedürfnissen angezeigt werden können. Besonders interessant sind auch die erweiterten Möglichkeiten rund um die Standardtrainings, wie das NetWars-Turnier, das den Experten ein virtuelles Spielfeld zur Anwendung ihrer erlernten Kenntnisse bietet. Des Weiteren bieten wir das Secure The Human Programm, welches sich der Sensibilisierung der normalen IT-Anwender widmet, oder auch unsere Cyber Assessment Tools, die Personalabteilungen dabei helfen können, die richtigen IT-Sicherheitsexperten auf dem Markt zu identifizieren.

Noch eine persönliche Frage zum Abschluss, was machen Sie, wenn Sie nicht für das SANS Institut arbeiten?

Zur Zeit spiele ich als Schlagzeuger in einer Rockband, besuche selbst regelmäßig Konzerte und kombiniere das wo immer möglich mit meiner Tochter, die einige meiner künstlerischen Hobbies teilt.