Sieben Tipps für die Prüfung zum zertifizierten CISSP

Matt Middleton-Leal, General Manager EMEA bei Netwrix

CISSP ist eine der begehrtesten Zertifizierungen in der IT-Security-Branche und die meisten Geschichten von der Prüfung sind wahr: Sie ist eine echte Herausforderung, abschreckend und benötigt einige Ressourcen. Das bedeutet, dass eine Ausstellung der Zertifizierung nur dann erfolgt, wenn sie verdient ist. Es ist aber nicht unmöglich, sie zu bekommen. Aus der Erfahrung eines Absolventen möchte ich sieben Tipps weitergeben, wie die Prüfung im ersten Anlauf klappt.

Tipp #1. Den CISSP kennen und die Voraussetzungen erfüllen

Was ist CISSP? Wahrscheinlich ist bereits bekannt, dass CISSP für Certified Information Systems Security Professional steht, und die Zertifizierung 1991 vom International Information Systems Security Certification Consortium, auch als (ISC)² bekannt, erstellt wurde. Die CISSP-Zertifizierung ist ein Weg, um sein Wissen als Cybersicherheitsspezialist zu demonstrieren und zu beweisen, dass man ein Programm für die Informationssicherheit konzipieren, umsetzen und leiten kann.

Die CISSP-Prüfung umfasst acht Bereiche aus dem (ISC)² Common Body of Knowledge (CBK):

1. Security and Risk Management

2. Asset Security

3. Security Engineering

4. Communications and Network Security

5. Identity and Access Management

6. Security and Assessment Testing

7. Security Operations

8. Software Development Security

Um sich für den Test zu qualifizieren, müssen bestimmte Voraussetzungen erfüllt werden. Erstens benötigen die Bewerber mindestens fünf Jahre Berufserfahrung in Vollzeit, die mindestens zwei der Bereiche abdeckt. Alternativ können die Anforderungen nach vier Jahren erfüllt werden, wenn ein passender Hochschulabschluss in der Cybersicherheit vorliegt. Zweitens müssen Sie dem (ISC)² Code of Ethics zustimmen, was bedeutet, das Wissen nicht für strafrechtlich Relevantes zu nutzen.

Zuletzt muss natürlich die Prüfung selbst geschafft werden: Sechs Stunden mit 250 Fragen aus acht Domänen erwarten die Teilnehmer an der Prüfung, die mindestens 70 Prozent der Punkte erreichen müssen.

Tipp #2. Die CISSP-Sprache fließend sprechen.

Es gilt, nicht zu selbstbewusst zu sein und das eigene Wissen über Sicherheit und in den CISSP-Domänen nicht zu überschätzen. Selbst wenn ein gutes Verständnis für die Cybersicherheit vorliegt, heißt das nicht, dass alle Arten von Fragen, die in der Prüfung relevant werden, verstanden werden. Daher sollte der Vorbereitungsprozess unbedingt damit beginnen, jede Domäne in den Studienleitfäden durchzugehen, um sicherzustellen, dass die Sprache der Prüfung, der Inhalt der Fragen und die Konzepte, die der CISSP vermitteln will, verstanden wurden. Ein Trick dafür ist, die Konzepte mit Beispielen aus der Praxis verknüpfen, die aus der eigenen Karriere bekannt sind, um sich die Informationen besser zu merken.

Tipp #3. Mehrere Studienquellen verwenden.

Ich habe zwei oder drei CISSP All-in-One-Studienführer zur Übung genutzt. Am besten beginnt man mit einem offiziellen CISSP-Studienführer: Diese Leitfäden decken das gesamte Material in jedem der Bereiche ab. Zusätzlich gibt es online zahlreiche Beispieltests, die sich ausgezeichnet zur Übung eignen.

Tipp #4. Sich mit anderen Prüfungsteilnehmern zusammenschließen.

CISSP-Schulungen und Bootcamps kosten viel Geld, das allerdings gut investiert ist. Ich hatte das große Glück, in der Woche vor der Prüfung einen Platz in einem Bootcamp zu bekommen, um gemeinsam mit anderen Cybersicherheitsexperten von Montag bis Freitag zu lernen. Obwohl das Camp in Barcelona viele Ablenkungen bot, hat es sehr geholfen. In Gruppendiskussionen werden in der Regel, die geprüften Domänen gemeinsam besprochen und Themen diskutiert, die noch nicht von jedem verstanden wurden. Diese Art der Prüfungsvorbereitung ist nützlich, weil sie Ratschläge und Anleitungen von anderen Personen bietet, die ebenfalls kurz vor der Prüfung stehen, sich eingearbeitet haben und möglicherweise andere Themen besser verstehen als man selbst.

Tipp #5. Die Zeit für die Prüfungsvorbereitung vorausschauend planen.

Meine Erfahrung ist sehr individuell, aber ich habe etwa zwei Monate gebraucht, um mich vorzubereiten. Zwei bis drei Stunden pro Tag waren an jedem Wochenende für die Studienmaterialien eingeplant. Wenn an einem Werktag abends Zeit blieb, habe ich die Prüfungen online getestet und sie häufiger wiederholt, bis ich mindestens 70 Prozent der Punkte erzielen konnte.

Natürlich ist die Erfahrung sehr individuell. Wie viel Zeit tatsächlich benötigt wird, hängt von den Vorkenntnissen ab und wie leicht es dem jeweiligen Prüfungsteilnehmer fällt, neue Informationen auswendig zu lernen. Für die Planung empfiehlt es sich, im ersten Schritt die Studienleitfäden durchzugehen und sich sowohl die Bereiche zu markieren, die bereits verstanden wurden als auch jene zu markieren, die bislang unbekannt sind. Das hilft bei der Planung, ab wann eine Teilnahme an der Prüfung realistische Chancen bietet, sie zu bestehen.

Für die Aufteilung der Zeit ist ein vernünftiger Ansatz, eine Hälfte der Zeit damit zu verbringen, die Unterlagen zu studieren und zu lernen sowie in der anderen Hälfte der Zeit die Online-Tests zu machen. Wenn die Vorbereitung auch Arbeitsgruppen oder Bootcamps umfassen, empfiehlt sich ein Verhältnis von 40 Prozent zum selbstständigen Lernen, 40 Prozent für die Tests und 20 Prozent der Zeit für die gemeinsamen Diskussionen aufzubringen.

Tipp #6. Genügend Schlaf vor der Prüfung bekommen.

Die sechsstündige, 250 Fragen umfassende CISSP-Prüfung zehrt an den Nerven und ist ausgesprochen lang. Die Meisten verlassen die Prüfung erschöpft und verunsichert, weil sie nicht wissen, ob sie bestanden haben oder nicht. Gut ausgeschlafen zur Prüfung zu kommen, macht einen wesentlichen Unterschied, weil die Prüfung viel Energie benötigt. Dieser Energiebedarf darf nicht unterschätzt werden.

Tipp #7. Sich eine Strategie vorbereiten.

Der Prüfungserfolg ist auch eine strategische Angelegenheit: Eine einfache Strategie kann sein, sich zunächst alle Fragen durchzulesen, um sicherzustellen, dass man sich auf der gleichen Wellenlänge wie die Prüfer befindet. Anschließend kann man sich allen Fragen widmen, bei denen man sich vollständig sicher ist, ehe man die Fragen beantwortet, bei denen man nicht ganz sicher ist, allerdings glaubt, sie richtig beantworten zu können. Bei einer guten Vorbereitung bleiben nur noch einige Fragen offen, deren Antworten man nicht kennt. Weil die CISSP-Prüfung eine Multiple-Choice-Prüfung ist, können anschließend die beiden Antworten ausgeschlossen werden, die eindeutig falsch sind. Die Auswahl einer der beiden verbleibenden Antworten ist dann ein Glücksspiel, bei der die gesammelte Erfahrung und das richtige Gespür helfen sollten.

Abschließende Überlegungen zur CISSP-Zertifizierung

Die CISSP-Zertifizierung ist die formale Anerkennung, dass der Träger die Branche gut versteht, und ich schreibe definitiv einige meiner persönlichen Erfolge der Prüfung zu. Das angeeignete Wissen gibt viel Selbstvertrauen im Umgang mit den Geschäftsführern, Vorständen und dem Management im eigenen Unternehmen und vermittelt das notwendige Verständnis für die Bedürfnisse der Cybersicherheitsprofis, mit dem man den notwendigen Diskussionen im eigenen Unternehmen einen echten Mehrwert verleiht.

Allerdings sollte jeder CISSP daran denken, dass die Zertifizierung auf einen lebenslangen Lernprozess ausgerichtet ist, sodass das Bestehen der Prüfung nur ein Schritt ist. Die CISSP-Zertifizierung muss alle drei Jahre erneuert werden und eine kontinuierliche Weiterbildung wird vorausgesetzt. Teil dieser Weiterbildung kann die Teilnahme an Veranstaltungen und Webinare sein, oder die Urheberschaft eigener Whitepapers. Am wertvollsten sind jene Aktivitäten, die helfen, das eigene Wissen über die Informationssicherheitsbranche ständig zu verbessern und über Neuigkeiten und Trends auf dem Laufenden zu bleiben.

Autor: Matt Middleton-Leal

Diesen Artikel empfehlen

Unternehmen im Fokus