Erfahrungsbericht zur Prüfung zum eidg. dipl. ICT Security Expert
Erfahre in diesem Beitrag, wie es unserem Experten Umberto Annino an der Prüfung zum ICT Security Expert ergangen ist.
Endlich ist es soweit – die Höhere Fachprüfung für ICT Security Expert steht vor der Tür. Ein kurzer Bericht von Absolvent Umberto Annino, wie er die Prüfung erlebt hat.
Gemäss der Prüfungsordnung gelten für deine Anmeldung und Zulassung zur Prüfung folgende Bedingungen:
- Tertiärabschluss im Informatikbereich (eidg. Fachausweis, eidg. Diplom, Diplom HF, Bachelor, Master) oder eine gleichwertige Qualifikation und mindestens drei Jahre Berufspraxis im Bereich ICT-Sicherheit
- bei Abschlüssen in anderen Bereichen gelten 4 Jahre erforderliche Berufspraxis
- bei Abschlüssen der Sekundarstufe II im Informatikbereich gelten 6 Jahre erforderliche Berufspraxis
- bei Abschlüssen der Sekundarstufe II in anderen Bereichen gelten 8 Jahre erforderliche Berufspraxis
- aktueller Nachweis, dass kein mit deiner Berufstätigkeit unvereinbarer Eintrag im Zentralstrafregister vorliegt
- zusätzlich ist bei erfolgreicher Zulassungsbestätigung die Prüfungsgebühr, momentan CHF 3400.-, zu bezahlen.
Soweit die Bedingungen, um überhaupt zur Prüfung zugelassen zu werden. Die Prüfung selber ist in 3 Teile gegliedert – wobei für den Teil «Portfolio und Expertengespräch» rund 3 Monate vor Prüfungstermin eine entsprechende Portfolio-Arbeit, bestehend aus einer ausführlichen Erläuterung von 3 Arbeitssituationen des Kandidaten im Bereich der ICT Sicherheit, eingereicht werden muss.
3 Prüfungsteile
Die Höhere Fachprüfung zum ICT Security Expert besteht aus 3 Teilen:
- Portfolio und Expertengespräch:�Bestehend aus Einreichung des Portfolio gemäss Vorgaben und einem Expertengespräch von 40-50 Minuten Dauer am Prüfungstag der Fallsimulationen. Portfolioarbeit und Expertengespräch werden mit Faktor 2 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darfst du für ein erfolgreiches Bestehen die Note 4.0 nicht unterschreiten.
- Fallstudien: Der schriftliche Prüfungsteil dauert 2h. Für diesen Prüfungsteil gilt «open book», d.h. du darfst schriftliche Unterlagen mitbringen und verwenden; du hast jedoch keinen Online-Zugang und darfst keine� elektronischen Unterlagen verwenden. Die Prüfung selber löst du handschriftlich auf Papier. Fallstudien werden mit Faktor 1 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darfst du für ein erfolgreiches Bestehen die Note 3.0 nicht unterschreiten.
- Fallsimulationen:�Der interaktive und praxisorientierte Prüfungsteil dauert 5 mal 1h. Für diesen Prüfungsteil darfst du auch elektronische Unterlagen verwenden, die auf dem Arbeitsgerät (Notebook, Tablet o.ä.) abgelegt sind – ein Online-Zugang ist nicht erlaubt. Fallsimulationen werden mit Faktor 2 gewichtet für die Gesamtnote. Bei diesem Prüfungsteil darfst du für ein erfolgreiches Bestehen die Note 4.0 nicht unterschreiten.
Insgesamt muss für das erfolgreiche Bestehen der Prüfung eine Gesamtnot von 4.0 erzielt werden.
Aus der Prüfungsordnung ist folgender Zweck der Prüfung zu entnehmen: «Die eidgenössisch höhere Fachprüfung dient dazu, abschliessend zu prüfen, ob die Kandidatinnen und Kandidaten über die Kompetenzen verfügen, die zur Ausübung einer anspruchsvollen und verantwortungsvollen Berufstätigkeit als ICT Security Expert erforderlich sind.»
Selber habe ich die Prüfung auch so erlebt – anspruchsvoll und ohne einschlägige berufliche Praxis kaum machbar.
Fallsimulationen
Insbesondere die Fallsimulationen empfand ich als interessant, abwechslungsreich und sehr anspruchsvoll für die Kandidatinnen und Kandidaten. Es mussten fünf verschiedene Situationen, deren Ausgangslage und Problemstellung auf eine rund 2 Wochen vor der Prüfung ausgehändigten Firmenbeschreibung (darin waren zwei verschiedene Unternehmen beschrieben, die als Grundlage für die Fallsimulationen dienen) gestützt war, bearbeitet werden. Dabei haben die sehr gut vorbereiteten Expertinnen und Experten nicht nur die fachliche Kompetenz beurteilt, sondern wurde auch grosser Wert auf verschiedene «soft skills» gelegt (dies ist in der Wegleitung gut erläutert und musst du als Kandidatin oder Kandidat ernst nehmen – entsprechende berufliche Erfahrung hilft sehr, die Situationen angemessen zu bewältigen). So musstest du einen «Verstoss gegen Vorgaben» der Geschäftsleitung erläutern und mögliche Konsequenzen erarbeiten, einen Sicherheitsvorfall zwischen einem sehr optimistischen und «business-orientierten» CIO sowie einem kritischen Security-Analysten verhandeln oder auf eine spontane Management-Anfrage reagieren.
In der kurzen verfügbaren Zeit musstest du die Situation erfassen, management-gerecht aufbereiten und fachlich angemessen lösen. Keine leichte Übung, da der Zeitdruck für zusätzliche Nervosität sorgte und die Expertinnen und Experten durch realitätsnahe «Eingriffe» die Übungssituationen stets interessant und abwechslungsreich hielten. Langeweile kam keinesfalls auf – die Kunst des Kandidaten bestand auch daraus, in der wenig verfügbaren Zeit ein sinnvolles Ergebnis zu produzieren.
Expertengespräch
Das Expertengespräch zur Portfolio-Arbeit dauert 40-50 Minuten und du wirst dabei ausführlich von zwei Expertinnen und Experten zum Inhalt der Arbeit befragt. Das bedingt entsprechend, dass du einerseits die beschriebenen Arbeitssituationen gut kennst und auch auf unvorhergesehene Fragen dazu eine möglichst passende Antwort hast.
Schriftliche Prüfung
Vor den Fallsimulationen findet noch die schriftliche Prüfung (Fallstudien) statt. Die verfügbaren Informationen und Problemstellungen der Fallstudien waren dabei eher spärlich, wobei auch damit fachlich passende Antworten erarbeitbar sind. Dennoch fand ich die Antwortstruktur – bei allen 6 Fragestellungen identisch – zwar «klassisch» und praxisnah, doch mit der Zeit etwas eintönig.
Pro Fallstudie mussten jeweils die Ausgangslage, Problemstellung, mögliche Risiken und Gegenmassnahmen erläutert sowie teilweise ein idealer Soll-Zustand beschrieben werden. Auch beim schriftlichen Teil gilt der Grundsatz: Zum Lesen der mitgebrachten Unterlagen besteht wenig bis keine Zeit. Ich befand mich in der Hälfte der Zeit ungefähr in der Hälfte der Aufgabe 3 (von 6) und war ca. 15 Minuten vor Abgabe-Zeitpunkt fertig mit schreiben, was mir noch etwas Zeit liess, das Schriftbild teilweise zu verschönern – den letzten beiden Fallstudien war der Zeitdruck, im Vergleich zur ersten Antwort, gut anzusehen. Da und dort noch ein Stichwort ergänzt und ich war mit dem Resultat soweit zufrieden.
Wenige Wochen später kam dann der erfreuliche Prüfungsbescheid ins Haus geflattert – ich habe bestanden!
Ich kann die Prüfung sehr empfehlen, allerdings ist das erforderliche fachliche Niveau und die praktische Berufserfahrung nicht zu unterschätzen – es handelt sich um eine Prüfung auf hohem fachlichen Niveau für Kandidatinnen und Kandidaten mit entsprechendem beruflichen Hintergrund, beispielsweise Senior Security Officer oder Chief Information Security Officer. Bei der ersten Durchführung der Prüfung im November 2018 haben entsprechend von 19 Kandidatinnen und Kandidaten 11 Personen die Prüfung erfolgreich bestanden.
.