Perspektiven in der Sicherheitsberatung (III) – Trainings: „Qualität hat ihren Preis“

Pic_MS_L

Dieser Beitrag ist Teil einer Interviewreihe zum Thema „Perspektiven als Berater für Informationssicherheit“. Heute: Fünf Fragen an Manuel Schönthaler, Direktor Deutschland beim Schulungs- und Zertifizierungsexperten SANS Institut.

Herr Schönthaler, Praxiserfahrung ist das A und O für Berater – welchen Mehrwert können denn Schulungen zu Informationssicherheit da noch bringen?

Nun, die eigentliche Frage ist doch, mit welcher Dienstleistung man als Berater am Markt agieren möchte und woher man sich das Wissen dafür aneignet. Sicher bringt es nicht so viel, wenn man nur theoretische Kenntnisse besitzt, man muss sie schon auch in der Praxis anwenden und mit der gesammelten Erfahrung verknüpfen können. Die IT ist aber eine schnelllebige Branche, in der sich die Anforderungen manchmal sogar mehrmals im Jahr ändern – man denke zum Beispiel an die zahlreichen Updates für Mobilbetriebssysteme. Ein IT-Forensiker wird seine Dienstleistung nicht mehr verkaufen können, wenn er nicht mit den aktuellsten Systemen umgehen kann. In der Beratungsbranche ist Wissen also Kapital, und dieses sich ständig ändernde Know-how in den zahlreichen Fachbereichen wie etwa aus Forensik oder Penetrations-Testing unterrichten wir am SANS Institut.

Welche Trainings werden bei Ihnen gerade besonders stark nachgefragt?

Da sich die Inhalte wie bereits angesprochen stetig weiterentwickeln, ist es mit dem Besuch eines einzelnen Trainings nicht getan. Vielmehr handelt es sich um berufsbegleitende Weiterbildungsmaßnahmen, die stetig stattfinden müssen, um auf dem aktuellen Stand zu bleiben. Es geht also meist mit einem Einstiegsthema los und entwickelt sich dann anwendungsspezifisch weiter. Dennoch stellen wir fest, dass immer mehr Unternehmen Beratungsdienstleistungen im IT-Sicherheitsumfeld buchen, aber auch eigenes Know-how aufbauen, um mit den anhaltenden und immer effektiver werdenden Angriffsmethoden Schritt halten zu können. Jedoch werden nicht nur tief technische Kurse nachgefragt, die klar den Schwerpunkt des SANS Trainingsprogramms darstellen, sondern auch Themen wie Security Awareness, für das viele Unternehmen aktuell Kampagnen entwickeln. Aber auch im Bereich kritischer Infrastrukturen oder im produzierenden Gewerbe sehen wir wachsenden Trainingsbedarf, da hier oft noch uralte Systeme im Einsatz sind, die früher abgeschottet waren und nun plötzlich ans Internet angeschlossen werden.

Stellen Sie sich vor, ein erfahrener IT-Experte möchte seine Kenntnisse in Informationssicherheit vertiefen – welches Training würden Sie ihm empfehlen?

Zuerst würde ich ihn fragen, worin seine Kernkompetenz besteht, um dann herauszufinden, in welche Disziplin ich ihn einordnen kann. Anschließend wäre zu klären, in welche Richtung er sich weiterentwickeln möchte – beispielsweise könnte er sich in bereits bekannte Themenbereiche vertiefen. Etwa wenn er bereits Erfahrung mit Netzwerk-Penetrationstests hat, so könnte hier ein Spezialisierungskurs in Frage kommen, was am Ende in Richtung Exploit-Entwicklung geht. Genauso könnte aber ein Forensiker, der sich zurzeit vorwiegend mit Windowssystemen beschäftigt, sich in die Breite weiterentwickeln und Kenntnisse für Mac-Systeme oder auch Smartphones hinzu erwerben. Es gibt aber auch die Möglichkeit, sich ins Management hochzuarbeiten, wo es weniger um technische Expertise, als um strategische Fähigkeiten, rechtliche Kenntnisse sowie Kommunikations-Fähigkeiten geht – auch hier unterrichten wir entsprechendes Know-how.