Erfahrungsbericht zur Prüfung zum eidg. dipl. ICT Security Expert

Lesen Sie, wie es unserem Experten Umberto Annino an der Prüfung zum ICT Security Expert ergangen ist.

Autor Umberto Annino
Datum 10.01.2019
Lesezeit 8 Minuten

Endlich ist es soweit – die Höhere Fachprüfung für ICT Security Expert steht vor der Tür. Ein kurzer Bericht von mir als Prüfungskandidat, wie ich die beiden Prüfungstage erlebt habe.

Gemäss der Prüfungsordnung gelten für die Anmeldung und Zulassung zur Prüfung folgende Bedingungen:

  • Tertiärabschluss im Informatikbereich (eidg. Fachausweis, eidg. Diplom, Diplom HF, Bachelor, Master) oder eine gleichwertige Qualifikation und mindestens drei Jahre Berufspraxis im Bereich ICT-Sicherheit
    • bei Abschlüssen in anderen Bereichen gelten 4 Jahre erforderliche Berufspraxis
    • bei Abschlüssen der Sekundarstufe II im Informatikbereich gelten 6 Jahre erforderliche Berufspraxis
    • bei Abschlüssen der Sekundarstufe II in anderen Bereichen gelten 8 Jahre erforderliche Berufspraxis
  • aktueller Nachweis, dass kein mit der Berufstätigkeit unvereinbarer Eintrag im Zentralstrafregister vorliegt
  • zusätzlich ist bei erfolgreicher Zulassungsbestätigung die Prüfungsgebühr, momentan CHF 3400.-, zu bezahlen.

Soweit die Bedingungen, um überhaupt zur Prüfung zugelassen zu werden. Die Prüfung selber ist in 3 Teile gegliedert – wobei für den Teil «Portfolio und Expertengespräch» rund 3 Monate vor Prüfungstermin eine entsprechende Portfolio-Arbeit, bestehend aus einer ausführlichen Erläuterung von 3 Arbeitssituationen des Kandidaten im Bereich der ICT Sicherheit, eingereicht werden muss.

3 Prüfungsteile

Die Höhere Fachprüfung zum ICT Security Expert besteht aus 3 Teilen:

  • Portfolio und Expertengespräch: Bestehend aus Einreichung des Portfolio gemäss Vorgaben und einem Expertengespräch von 40-50 Minuten Dauer am Prüfungstag der Fallsimulationen. Portfolioarbeit und Expertengespräch werden mit Faktor 2 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darf für ein erfolgreiches Bestehen die Note 4.0 nicht unterschritten werden.
  • Fallstudien: Der schriftliche Prüfungsteil dauert 2h. Für diesen Prüfungsteil gilt «open book», d.h. man darf schriftliche Unterlagen mitbringen und verwenden; man hat jedoch keinen Online-Zugang und darf keine  elektronischen Unterlagen verwenden. Die Prüfung selber wird handschriftlich auf Papier gelöst. Fallstudien werden mit Faktor 1 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darf für ein erfolgreiches Bestehen die Note 3.0 nicht unterschritten werden.
  • Fallsimulationen: Der interaktive und praxisorientierte Prüfungsteil dauert 5 mal 1h. Für diesen Prüfungsteil dürfen auch elektronische Unterlagen verwendet werden, die auf dem Arbeitsgerät (Notebook, Tablet o.ä.) abgelegt sind – ein Online-Zugang ist nicht erlaubt. Fallsimulationen werden mit Faktor 2 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darf für ein erfolgreiches bestehen die Note 4.0 nicht unterschritten werden.

Insgesamt muss für das erfolgreiche Bestehen der Prüfung eine Gesamtnot von 4.0 erzielt werden.

Aus der Prüfungsordnung ist folgender Zweck der Prüfung zu entnehmen: «Die eidgenössisch höhere Fachprüfung dient dazu, abschliessend zu prüfen, ob die Kandidatinnen und Kandidaten über die Kompetenzen verfügen, die zur Ausübung einer anspruchsvollen und verantwortungsvollen Berufstätigkeit als ICT Security Expert erforderlich sind.»

Selber habe ich die Prüfung auch so erlebt – anspruchsvoll und ohne einschlägige berufliche Praxis kaum machbar.

Fallsimulationen

Insbesondere die Fallsimulationen empfand ich als interessant, abwechslungsreich und sehr anspruchsvoll für die Kandidaten. Es mussten fünf verschiedene Situationen, deren Ausgangslage und Problemstellung auf eine rund 2 Wochen vor der Prüfung ausgehändigten Firmenbeschreibung (darin waren zwei verschiedene Unternehmen beschrieben, die als Grundlage für die Fallsimulationen dienen) gestützt war, bearbeitet werden. Dabei wurde von den sehr gut vorbereiteten Expertinnen und Experten nicht nur die fachliche Kompetenz beurteilt, sondern auch hoher Wert stark auf verschiedene «soft skills» gelegt (dies ist in der Wegleitung gut erläutert und muss durch die Kandidaten ernst genommen werden – entsprechende berufliche Erfahrung hilft sehr, die Situationen angemessen zu bewältigen). So musste ein «Verstoss gegen Vorgaben» der Geschäftsleitung erläutert und mögliche Konsequenzen erarbeitet werden, ein Sicherheitsvorfall zwischen einem sehr optimistischen und «business-orientierten» CIO sowie einem kritischen Security-Analysten verhandelt oder auf eine spontane Management-Anfrage reagiert werden.

In der kurzen verfügbaren Zeit musste durch den Kandidaten die Situation erfasst, management-gerecht aufbereitet und fachlich angemessen gelöst werden. Keine leichte Übung, da der Zeitdruck für zusätzliche Nervosität sorgte und die Experten durch realitätsnahe «Eingriffe» die Übungssituationen stets interessant und abwechslungsreich hielten. Langeweile kam keinesfalls auf – die Kunst des Kandidaten bestand auch daraus, in der wenig verfügbaren Zeit ein sinnvolles Ergebnis zu produzieren.

Expertengespräch

Das Expertengespräch zur Portfolio-Arbeit dauert 40-50 Minuten und man wird dabei ausführlich von zwei Experten zum Inhalt der Arbeit befragt. Die bedingt entsprechend, dass man einerseits die beschriebenen Arbeitssituationen gut kennt und auch auf unvorhergesehene Fragen dazu eine möglichst passende Antwort hat.

Schriftliche Prüfung

Vor den Fallsimulationen findet noch die schriftliche Prüfung (Fallstudien) statt. Die verfügbaren Informationen und Problemstellungen der Fallstudien waren dabei eher spärlich, wobei auch damit fachlich passende Antworten erarbeitbar sind. Dennoch fand ich die Antwortstruktur – bei allen 6 Fragestellungen identisch – zwar «klassisch» und praxisnah, doch mit der Zeit etwas eintönig.

Pro Fallstudie mussten jeweils die Ausgangslage, Problemstellung, mögliche Risiken und Gegenmassnahmen erläutert sowie teilweise ein idealer Soll-Zustand beschrieben werden. Auch beim schriftlichen Teil gilt der Grundsatz: Zum Lesen der mitgebrachten Unterlagen besteht wenig bis keine Zeit. Ich befand mich in der Hälfte der Zeit ungefähr in der Hälfte der Aufgabe 3 (von 6) und war ca. 15 Minuten vor Abgabe-Zeitpunkt fertig mit schreiben, was mir noch etwas Zeit liess, das Schriftbild teilweise zu verschönern – den letzten beiden Fallstudien war der Zeitdruck, im Vergleich zur ersten Antwort, gut anzusehen. Da und dort noch ein Stichwort ergänzt und ich war mit dem Resultat soweit zufrieden.

Wenige Wochen später kam dann der erfreuliche Prüfungsbescheid ins Haus geflattert – ich habe bestanden!

Ich kann die Prüfung sehr empfehlen, allerdings ist das erforderliche fachliche Niveau und die praktische Berufserfahrung nicht zu unterschätzen – es handelt sich um eine Prüfung auf hohem fachlichen Niveau für Kandidatinnen und Kandidaten mit entsprechendem beruflichen Hintergrund, beispielsweise Senior Security Officer oder Chief Information Security Officer. Bei der ersten Durchführung der Prüfung im November 2018 haben entsprechend von 19 Kandidatinnen und Kandidaten 11 Personen die Prüfung erfolgreich bestanden.

Eidg. Dipl. ICT Security Expert

Der neu geschaffene Abschluss trifft den Nerv der Zeit, in der das Thema Security immer wichtiger wird, es aber noch zu wenige Fachspezialisten gibt. Das Diplom eignet sich für Mitarbeitende privater Unternehmen und öffentlicher Institutionen, die im Bereich der Informationssicherheit tätig sind. Das Digicomp Kurspaket bereitet Sie modular auf die Prüfung vor.

Alle Infos zum Eidg. Dipl. ICT Security Expert

Der neu geschaffene Abschluss trifft den Nerv der Zeit, in der das Thema Security immer wichtiger wird, es aber noch zu wenige Fachspezialisten gibt. Das Diplom eignet sich für Mitarbeitende privater Unternehmen und öffentlicher Institutionen, die im Bereich der Informationssicherheit tätig sind. Das Digicomp Kurspaket bereitet Sie modular auf die Prüfung vor.

Alle Infos zum Eidg. Dipl. ICT Security Expert


Über den Autor

Umberto Annino

Umberto Annino ist als Principal Security Consultant bei InfoGuard AG tätig. Nach seinem Einstieg in die Informatik mit einer Lehre als KV-Anwendungsentwickler hat er sich kontinuierlich weitergebildet mit einem Abschluss NDS FH Qualitätsmanagement und auf das Thema Informationssicherheit fokussiert. Neben der Tätigkeit als Security Consultant, Auditor und technischer Datenschutzberater war Umberto bei ISACA Switzerland Chapter sowie ISSS Information Security Society Switzerland im Vorstand aktiv und unterrichtet die Themen Informationssicherheit, IT-Risikomanagement und Datenschutz an verschiedenen Schulen. Umberto ist zertifiziert als CISA, CISM, CRISC, CDPSE, CGEIT (ISACA-Zertifizerungen) sowie CISSP, CISSP-ISSMP, CISSP-ISSAP, CSSLP und CCSP (ISC2-Zertifizierungen) sowie CIPP/E, CIPT und CIPM (IAPP-Zertifizierungen), ISO 27001 Lead Auditor sowie eidg. dipl. ICT Security Expert.