Erfahrungsbericht zur Prüfung zum eidg. dipl. ICT Security Expert
Lesen Sie, wie es unserem Experten Umberto Annino an der Prüfung zum ICT Security Expert ergangen ist.
Endlich ist es soweit – die Höhere Fachprüfung für ICT Security Expert steht vor der Tür. Ein kurzer Bericht von Absolvent Umberto Annino, wie er die Prüfung erlebt hat.
Gemäss der Prüfungsordnung gelten für die Anmeldung und Zulassung zur Prüfung folgende Bedingungen:
- Tertiärabschluss im Informatikbereich (eidg. Fachausweis, eidg. Diplom, Diplom HF, Bachelor, Master) oder eine gleichwertige Qualifikation und mindestens drei Jahre Berufspraxis im Bereich ICT-Sicherheit
- bei Abschlüssen in anderen Bereichen gelten 4 Jahre erforderliche Berufspraxis
- bei Abschlüssen der Sekundarstufe II im Informatikbereich gelten 6 Jahre erforderliche Berufspraxis
- bei Abschlüssen der Sekundarstufe II in anderen Bereichen gelten 8 Jahre erforderliche Berufspraxis
- aktueller Nachweis, dass kein mit der Berufstätigkeit unvereinbarer Eintrag im Zentralstrafregister vorliegt
- zusätzlich ist bei erfolgreicher Zulassungsbestätigung die Prüfungsgebühr, momentan CHF 3400.-, zu bezahlen.
Soweit die Bedingungen, um überhaupt zur Prüfung zugelassen zu werden. Die Prüfung selber ist in 3 Teile gegliedert – wobei für den Teil «Portfolio und Expertengespräch» rund 3 Monate vor Prüfungstermin eine entsprechende Portfolio-Arbeit, bestehend aus einer ausführlichen Erläuterung von 3 Arbeitssituationen des Kandidaten im Bereich der ICT Sicherheit, eingereicht werden muss.
3 Prüfungsteile
Die Höhere Fachprüfung zum ICT Security Expert besteht aus 3 Teilen:
- Portfolio und Expertengespräch: Bestehend aus Einreichung des Portfolio gemäss Vorgaben und einem Expertengespräch von 40-50 Minuten Dauer am Prüfungstag der Fallsimulationen. Portfolioarbeit und Expertengespräch werden mit Faktor 2 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darf für ein erfolgreiches Bestehen die Note 4.0 nicht unterschritten werden.
- Fallstudien: Der schriftliche Prüfungsteil dauert 2h. Für diesen Prüfungsteil gilt «open book», d.h. man darf schriftliche Unterlagen mitbringen und verwenden; man hat jedoch keinen Online-Zugang und darf keine elektronischen Unterlagen verwenden. Die Prüfung selber wird handschriftlich auf Papier gelöst. Fallstudien werden mit Faktor 1 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darf für ein erfolgreiches Bestehen die Note 3.0 nicht unterschritten werden.
- Fallsimulationen: Der interaktive und praxisorientierte Prüfungsteil dauert 5 mal 1h. Für diesen Prüfungsteil dürfen auch elektronische Unterlagen verwendet werden, die auf dem Arbeitsgerät (Notebook, Tablet o.ä.) abgelegt sind – ein Online-Zugang ist nicht erlaubt. Fallsimulationen werden mit Faktor 2 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darf für ein erfolgreiches bestehen die Note 4.0 nicht unterschritten werden.
Insgesamt muss für das erfolgreiche Bestehen der Prüfung eine Gesamtnot von 4.0 erzielt werden.
Aus der Prüfungsordnung ist folgender Zweck der Prüfung zu entnehmen: «Die eidgenössisch höhere Fachprüfung dient dazu, abschliessend zu prüfen, ob die Kandidatinnen und Kandidaten über die Kompetenzen verfügen, die zur Ausübung einer anspruchsvollen und verantwortungsvollen Berufstätigkeit als ICT Security Expert erforderlich sind.»
Selber habe ich die Prüfung auch so erlebt – anspruchsvoll und ohne einschlägige berufliche Praxis kaum machbar.
Fallsimulationen
Insbesondere die Fallsimulationen empfand ich als interessant, abwechslungsreich und sehr anspruchsvoll für die Kandidaten. Es mussten fünf verschiedene Situationen, deren Ausgangslage und Problemstellung auf eine rund 2 Wochen vor der Prüfung ausgehändigten Firmenbeschreibung (darin waren zwei verschiedene Unternehmen beschrieben, die als Grundlage für die Fallsimulationen dienen) gestützt war, bearbeitet werden. Dabei wurde von den sehr gut vorbereiteten Expertinnen und Experten nicht nur die fachliche Kompetenz beurteilt, sondern auch hoher Wert stark auf verschiedene «soft skills» gelegt (dies ist in der Wegleitung gut erläutert und muss durch die Kandidaten ernst genommen werden – entsprechende berufliche Erfahrung hilft sehr, die Situationen angemessen zu bewältigen). So musste ein «Verstoss gegen Vorgaben» der Geschäftsleitung erläutert und mögliche Konsequenzen erarbeitet werden, ein Sicherheitsvorfall zwischen einem sehr optimistischen und «business-orientierten» CIO sowie einem kritischen Security-Analysten verhandelt oder auf eine spontane Management-Anfrage reagiert werden.
In der kurzen verfügbaren Zeit musste durch den Kandidaten die Situation erfasst, management-gerecht aufbereitet und fachlich angemessen gelöst werden. Keine leichte Übung, da der Zeitdruck für zusätzliche Nervosität sorgte und die Experten durch realitätsnahe «Eingriffe» die Übungssituationen stets interessant und abwechslungsreich hielten. Langeweile kam keinesfalls auf – die Kunst des Kandidaten bestand auch daraus, in der wenig verfügbaren Zeit ein sinnvolles Ergebnis zu produzieren.
Expertengespräch
Das Expertengespräch zur Portfolio-Arbeit dauert 40-50 Minuten und man wird dabei ausführlich von zwei Experten zum Inhalt der Arbeit befragt. Die bedingt entsprechend, dass man einerseits die beschriebenen Arbeitssituationen gut kennt und auch auf unvorhergesehene Fragen dazu eine möglichst passende Antwort hat.
Schriftliche Prüfung
Vor den Fallsimulationen findet noch die schriftliche Prüfung (Fallstudien) statt. Die verfügbaren Informationen und Problemstellungen der Fallstudien waren dabei eher spärlich, wobei auch damit fachlich passende Antworten erarbeitbar sind. Dennoch fand ich die Antwortstruktur – bei allen 6 Fragestellungen identisch – zwar «klassisch» und praxisnah, doch mit der Zeit etwas eintönig.
Pro Fallstudie mussten jeweils die Ausgangslage, Problemstellung, mögliche Risiken und Gegenmassnahmen erläutert sowie teilweise ein idealer Soll-Zustand beschrieben werden. Auch beim schriftlichen Teil gilt der Grundsatz: Zum Lesen der mitgebrachten Unterlagen besteht wenig bis keine Zeit. Ich befand mich in der Hälfte der Zeit ungefähr in der Hälfte der Aufgabe 3 (von 6) und war ca. 15 Minuten vor Abgabe-Zeitpunkt fertig mit schreiben, was mir noch etwas Zeit liess, das Schriftbild teilweise zu verschönern – den letzten beiden Fallstudien war der Zeitdruck, im Vergleich zur ersten Antwort, gut anzusehen. Da und dort noch ein Stichwort ergänzt und ich war mit dem Resultat soweit zufrieden.
Wenige Wochen später kam dann der erfreuliche Prüfungsbescheid ins Haus geflattert – ich habe bestanden!
Ich kann die Prüfung sehr empfehlen, allerdings ist das erforderliche fachliche Niveau und die praktische Berufserfahrung nicht zu unterschätzen – es handelt sich um eine Prüfung auf hohem fachlichen Niveau für Kandidatinnen und Kandidaten mit entsprechendem beruflichen Hintergrund, beispielsweise Senior Security Officer oder Chief Information Security Officer. Bei der ersten Durchführung der Prüfung im November 2018 haben entsprechend von 19 Kandidatinnen und Kandidaten 11 Personen die Prüfung erfolgreich bestanden.