BSI IT-Grundschutz Praktiker

[Tiwil]

Hallo zusammen,

ich absolviere zur Zeit ein duales, ausbildungsintegriertes Studium der Informatik  (BSc) und habe vor kurzem meine IHK-Prüfung zum FIAE erfolgreich abgeschlossen - auch dank stillem Mitlesen auf dieser Seite. An dieser Stelle nochmal ein allgemeines Dankeschön.

Der weitere Verlauf des Studiums sieht vor, in meinem Betrieb eine Projektarbeit und die Bachelor Thesis zu schreiben. Konkret ist nun geplant für die Projektarbeit einen Baustein des BSI IT Grundschutz umzusetzen: die IS-Revision. Da ich bisher nur zwei einführende Vorlesungen zum Thema IT-Sicherheit hatte, würde ich gerne vertiefend in den IT Grundschutz einsteigen. Von diversen Anbietern werden ja auch Schulungen zum IT-Grundschutz Praktiker angeboten mit einer anschließenden Zertifizierung. Da die mehrtägige Schulung doch teuer ist, würde ich gerne nur die Prüfung machen und mir die Inhalte im Selbststudium beibringen. Da schließt sich meine Frage an, ob jemand bereits Erfahrungen mit dem IT-Grundschutz Praktiker gemacht hat und insbesondere mit der Prüfung?

Da ich zudem nach dem Studium in den Bereich des Informationssicherheitsmanagements möchte, bspw. als Consultant, stellt sich zudem die Frage, welche Aussagekraft eine solche Zertifizierung hat. Ich möchte die Zertifizierung eigentlich gerne mitnehmen, da ich mich eh mit dem IT Grundschutz nun beschäftigen werde. Welche weiteren Fortbildungen könnt ihr mir diesbezüglich auch noch empfehlen? Gibt es was im Bereich ISO 27001? Nebenbei mache ich noch einige Sachen bei TryHackMe, um mich mit Penetration Testing vertraut zu machen. Auch überlege ich sowas wie den CompTIA Security+ zu machen. Haltet ihr das für realistisch bzw. sinnvoll?

Gerne würde ich auch Ideen zu meiner anschließenden Bachelor Thesis hören, welche zwangsläufig auch im Bereich IT-Sicherheit geschrieben werden muss. Das Thema muss sich aber unterscheiden von der Projektarbeit, sodass ich bislang die Überarbeitung unseres Identity & Access Managements ins Auge gefasst habe. Gerne würde ich Eure Vorschläge dazu hören.

Bearbeitet 19. Januar 2022 von Tiwil

[charmanta]

vor 10 Minuten schrieb Tiwil:

Da schließt sich meine Frage an, ob jemand bereits Erfahrungen mit dem IT-Grundschutz Praktiker gemacht hat und insbesondere mit der Prüfung?

Du findest ja die kompletten Unterlagen und auch Übungsfragen auf den Seiten des BSI Die Schulungen unterstützen nur.

Die Prüfung selbst kostet dann Geld ... im Grunde aber alles kein Hexenwerk. (Leider) aber sehr viel Theorie weil in der Praxis ganz ganz viele Öffis da noch nicht komplett mit durch sind. Kommerzielle Firmen hängen meist eher an der DSGVO, wobei der BSI Grundschutz im Grunde nix anderes ist als vernünftige TOMS für jede Form von Datenverarbeitung

vor 13 Minuten schrieb Tiwil:

als Consultant, stellt sich zudem die Frage, welche Aussagekraft eine solche Zertifizierung hat.

... ich muss gestehen dass ich von zertitifizierten Halbgöttern bei den Kunden umgeben bin, aber den Schein hat keiner

Wird aber vermutlich wie mit meinem Titel als zertifiziertem DSB sein ... wir sind beliebt wie ein Pickel am Hintern... aber wichtig wie der Besuch beim UntenRumDoc. Nur kommt man (auch) bei uns eher zu spät zur Kontrolle

[TooMuchCoffeeMan]

Mit den IT Grundschutz Schulungen und Zertifizierungen kenne ich mich nicht aus. Das hat meiner Erfahrung nach in der Praxis auch eine geringere Bedeutung gegenüber ISO 27001. Es sei denn man arbeitet im Behördenumfeld.

Zu ISO 27001 kann man den Practitioner und den Lead Auditor für den Einstieg empfehlen. Beide Prüfungen sind sehr einfach und vermitteln das benötigte Grundwissen.

Aus deinem Posting schließe ich, dass dich die organisatorische Seite der IT Sicherheit eher interessiert als die technische?! Wenn dem so ist, würde ich mir auch das Thema Business Continuity Management (BCM) und die entsprechende ISO Zertifizierung (22301) mal anschauen. Gerade im Kritis Bereich ist das relevant.

vor 2 Stunden schrieb Tiwil:

Gerne würde ich auch Ideen zu meiner anschließenden Bachelor Thesis hören, welche zwangsläufig auch im Bereich IT-Sicherheit geschrieben werden muss. Das Thema muss sich aber unterscheiden von der Projektarbeit, sodass ich bislang die Überarbeitung unseres Identity & Access Managements ins Auge gefasst habe. Gerne würde ich Eure Vorschläge dazu hören.

Das Thema für deine Bachelor Arbeit musst du dir schon selbst überlegen, aber nice try

[Tiwil]

Hallo nochmals,

danke für Eure Antworten. Ich dachte mir bereits, dass das keinen so
hohen Stellenwert genießt. Soweit ich weiß kann man aber mittels
IT-Grundschutz auch eine Zertifizierung nach ISO 27001 anstreben. Meines
Wissens wird der Grundschutz aber auch außerhalb des Behördenumfelds
genutzt, da er eine gute Leitlinie vorgibt.

Mich interessiert sowohl die organisatorische, wie auch die technische
Sicherheit; insbesondere, da eine Stelle im Consulting sich auch auf
beide Gebiete erstrecken kann. Zudem weiß ich auch noch nicht ganz sicher, welchen Weg ich genau einschlagen werde.

Mein Thema für die BA überlege ich mir schon selbst, ich wollte nur Ideen hören, was man in dem Bereich machen kann. Also eher die organisatorische Seite in dem Fall. Da fallen mir bislang nur Security Awareness Kampagnen und der Aufbau/Weiterentwicklung eines Identity Access Managements ein. Ich erwarte auch kein vorformuliertes Thema, sondern mehr Impressionen. Zumal ein Thema eh für eine BA noch präzisiert werden sollte in Form einer Arbeitshypothese o.ä.

[TooMuchCoffeeMan]

vor 3 Stunden schrieb Tiwil:

Soweit ich weiß kann man aber mittels
IT-Grundschutz auch eine Zertifizierung nach ISO 27001 anstreben. Meines
Wissens wird der Grundschutz aber auch außerhalb des Behördenumfelds
genutzt, da er eine gute Leitlinie vorgibt.

Puh, Vorsicht mit dieser sehr allgemeinen Aussage. IT Grundschutz und ISO 27001 haben natürlich inhaltliche Überschneidungen. Wenn ich mein Unternehmen auf eine Zertifizierung nach IT Grundschutz vorbereite, muss ich im Grunde die gleichen Themen angehen wie bei einer Zertifizierung nach ISO 27001 (Access Management, Asset Management, Kryptographische Verfahren, Incident und Problem Management etc.). Die Zugrunde liegenden Schutzziele der Informationssicherheit (i.W. Vertraulichkeit, Integrität und Verfügbarkeit) müssen bei beiden Zertifizierung bedacht werden.

Für eine Zertifizierung nach ISO 27001 sind allerdings diverse Pflichtdokumente zu erstellen, die nicht zwangsläufig auch für den IT Grundschutz erstellt werden müssen. Zudem muss die Organisation entsprechend umgestellt werden. Da ich einige Jahre als akkreditierter Auditor ISMS Zertifizierungen durchgeführt habe, kann ich nur sagen, dass das Gap zwischen zertifizierungsreif und zertifiziert ziemlich groß sein kann. Anstreben kann man eine ISO 27001 Zertifizierung immer, aber viele Unternehmen gehen letztendlich doch nicht den letzten Schritt zur Zertifizierung, weil die Erstellung der Pflichtdokumente und die (tatsächliche) Umstellung der Organisation sehr zeitaufwendig sein kann.

vor 3 Stunden schrieb Tiwil:

Mein Thema für die BA überlege ich mir schon selbst, ich wollte nur Ideen hören, was man in dem Bereich machen kann. Also eher die organisatorische Seite in dem Fall. Da fallen mir bislang nur Security Awareness Kampagnen und der Aufbau/Weiterentwicklung eines Identity Access Managements ein. Ich erwarte auch kein vorformuliertes Thema, sondern mehr Impressionen. Zumal ein Thema eh für eine BA noch präzisiert werden sollte in Form einer Arbeitshypothese o.ä.

Tut mir leid wenn mein Kommentar etwas schnippisch gewesen ist. Aber meiner Erfahrung nach, ist die Idee für ein BA Thema nicht mal eben aus dem Ärmel geschüttelt. Den meisten Studenten fällt es schwer sich was zu überlegen. Das ist die erste große Hürde der BA und ich kann mich noch erinnern, wie ich mir damals den Kopf darüber zerbrochen habe. Also nichts für ungut, wenn ich mir heute nicht deinen Kopf über ein Thema zerbrechen will

[Tiwil]

Herzlichen Dank für Deine Erfahrungen. Vielleicht interpretiere ich die ISO 27001 auf Basis IT Grundschutz auch etwas falsch, also ist das eher ein Hybrid aus beiden und keine richtige ISO 27001 Zertifizierung?

Ach, ich kann verstehen, dass man nicht jeder x-beliebigen Neuanmeldung immer alles vorkauen möchte, alles gut 😉 Das Thema ist sicherlich nicht aus dem Ärmel geschüttelt, aber da werde ich schon etwas finden. Ich habe eher die Befürchtung, dass das Thema einen zu großen Scope besitzt und dann entweder nicht genügend von mir betrachtet werden kann oder ich so viel zu tun habe, dass ich die Arbeit nicht schaffe in Gänze. Aber vielleicht kannst Du Dir ja morgen Deinen Kopf darüber zerbrechen 😀

Spaß beiseite, eine Frage hätte ich dann noch: wenn Du in dem Bereich der Zertifizierungen tätig warst, inwieweit spielen dann Kenntnisse über die technische Sicherheit eine Rolle? Also macht es Sinn, sich im Bereich Penetration Testing, Cyber Forensik etc. fortzubilden? Machst Du noch immer was in dem Bereich?

[TooMuchCoffeeMan]

vor 30 Minuten schrieb Tiwil:

Vielleicht interpretiere ich die ISO 27001 auf Basis IT Grundschutz auch etwas falsch, also ist das eher ein Hybrid aus beiden und keine richtige ISO 27001 Zertifizierung?

Das scheint mir eine Zertifizierung auf Basis von IT Grundschutz zu sein, bei der abgeprüft wird ob die Inhalte der ISO 27001 abgedeckt werden. Das ist genau das was ich meine, wenn ich von GAP zwischen zertifizierungsreif und wirklich zertifiziert spreche. Die Zertifizierung aus deinem Link ist keine Zertifizierung nach ISO/IEC 27001:2013, sondern nach IT Grundschutz "auf Basis von ISO 27001". Das hat nicht die gleiche Bedeutung. 

Die meisten Unternehmen knöpfen sich bei der Umsetzung eines ISMS zunächst den Annex der ISO 27001 vor und setzen die eher technischen Themen um. Danach nehmen sie sich die organisatorischen Themen aus dem Annex vor. Was viele vergessen ist, dass der Kern der ISO 27001 in den Management Kapiteln vor dem Annex besteht. Das Unternehmen muss nachweisen, dass sie ein Management System mit PDCA Zyklus aufgebaut haben. Und daran scheitert es dann häufig wenn man stur nach IT Grundschutz vorgeht. Ein nachvollziehbarer und dokumentierter Bezug zwischen Bedrohung, Risiko, Mitigation, Evaluation und Verbesserung ist dann meistens nicht erkennbar und vor allem nicht zertifizierbar. Und bei manchen scheitert es schon an so einfachen Dingen wie dem Statement of Applicability oder dem internen Audit, das viele einfach vergessen.

vor 35 Minuten schrieb Tiwil:

Spaß beiseite, eine Frage hätte ich dann noch: wenn Du in dem Bereich der Zertifizierungen tätig warst, inwieweit spielen dann Kenntnisse über die technische Sicherheit eine Rolle? Also macht es Sinn, sich im Bereich Penetration Testing, Cyber Forensik etc. fortzubilden? Machst Du noch immer was in dem Bereich?

Technische Kenntnisse schaden nie. Das hilft vor allem beim Verständnis der Umsetzung der Vorgaben aus dem Annex der ISO 27001. Damit bist du vielen Auditoren schon einen Schritt voraus, die z.B. "nur" Wirtschaftsinformatik studiert haben und die technischen Details nicht kennen.

Penetration Testing und Cyber Forensik sind schon wieder sehr spezialisierte Bereiche in der IT Security. Ich habe sowohl Pentesting als auch Zertifizierung gemacht, aber die Kombination ist eher selten und auch nicht unbedingt sinnvoll. Das hat sich bei mir einfach so ergeben. Ich würde mich eher auf das eine oder das andere spezialisieren.

Ich bin derzeit in der Konzernrevision tätig und prüfe dort vorrangig die Themen IT Sicherheit und Datenschutz.

[Tiwil]

Okay, danke für Deine Einschätzung. Es hilft mir auf jeden Fall weiter, einmal Erfahrungen von einem Experten erhalten zu haben.