«Als Security-Verantwortlicher ist es wichtig, dass man sehr gut kommuniziert»
David Christen ist Head of Digital Health Engineering bei Gerresheimer. Dort begleitet er den Aufbau einer DevOps-Organisation und ist verantwortlich für die Cyber-Sicherheit sensibler medizinischer Gesundheits-Anwendungen. Im Interview erzählt er, wie Ihn die Weiterbildung zum Certified Information Systems Security Professional (CISSP) dabei unterstützt.
Medikamente können auf unterschiedliche Art und Weise eingenommen werden. Zum Beispiel durch Schlucken, Inhalieren, über die Haut oder durch Injektion. Sobald dabei digitale medizinische Lösungen zum Einsatz kommen sollen, ist David Christen gefragt.
David Christen begann seine berufliche Laufbahn an der ETH. Nach seinem Studium der Elektrotechnik und Informationstechnologie, forscht er auf dem Gebiet der Biomechanik. Er entwickelt Computermodelle, die helfen das Knochenbruchsrisiko von Patientinnen und Patienten zu beurteilen. Nach seinem Wechsel in die Industrie konzentrierte er sich auf die Entwicklung von Softwareanwendungen für medizinische Produkte.
Heute ist David Christen Head of Digital Health Engineering bei Gerresheimer, ein auf Arzneimittelverpackungen und Geräte zur Verabreichung von Medikamenten spezialisierten Unternehmen. Dort verantwortet er die Entwicklung und den Betrieb von digitalen Gesundheits- und Medizinanwendungen und führt ein rund 10-köpfiges Team aus Software-Ingenieuren.
Herzlichen Glückwunsch zum CISPP-Zertifikat! Wieso hast du dich entschieden, die Zertifizierung zum CISSP zu machen?
Ich glaube, Organisationen müssen sich in Zukunft noch viel stärker auf die Security ausrichten. Da ich die Verantwortung für die produktspezifische Cyber Security übernommen habe, war es für mich wichtig, einen grossen Überblick über das Thema zu erlangen und die Anforderungen der Security an die Organisation von Beginn an genauer zu verstehen. Mit diesem Wissen kann ich die entsprechenden Prozesse aufstellen, die die Sicherheit unserer medizinischen Lösungen gewährleisten.
Zudem war der CISSP für mich sehr interessant, weil er Aspekte aus dem Software Engineering und dem IT-Betrieb verknüpft. Das umsomehr, weil bei der Webentwicklung die Grenzen zwischen Entwicklung und Betrieb verschwimmen.
Es gibt noch viele weitere Cyber-Security-Zertifizierungen neben dem CISSP. Warum war es für dich der CISSP und nicht beispielsweise der CISM?
Ich habe mich für den CISSP entschieden, weil er international anerkannt und in der Industrie sehr stark verankert ist. Zudem war es für mich wichtig, dass die CISSP-Zertifizierung eine gute Balance zwischen der Vermittlung von technischen Fachwissen und Management-Governance-Wissen bietet.
CISSP Facts im ÜberblickAusrichtung: Eher technisch und operativ Zielgruppe: CISO/ISOs, CIOs, IT/Security Directors & Managers, Security Systems Engineers, Security Analysts, Security Auditors, Security Architects, Security Consultants, Network Architects Prüfungsorganisation: (ISC)² Inhalte (Body of Knowledge): Der CISSP umfasst 8 Wissensgebiete
Prüfung: 100 – 150 Multiple-Choice-Fragen in Englisch in 3h oder bis 250 Fragen in 6h in Deutsch oder Französisch Zulassungs-Voraussetzungen: 5 Jahre Berufserfahrung in 2 der 8 Wissensgebiete (s.o.) Re-Zertifizierung: Nachweis von 40 Weiterbildungsstunden pro Jahr Bildungsweg: keine vorgängigen Zertifikate notwendig, im Anschluss 3 Vertiefungen möglich in Architecture, Engineering oder Management |
Ausrichtung: Eher technisch und operativ
Zielgruppe: CISO/ISOs, CIOs, IT/Security Directors & Managers, Security Systems Engineers, Security Analysts, Security Auditors, Security Architects, Security Consultants, Network Architects
Prüfungsorganisation: (ISC)²
Inhalte (Body of Knowledge): Der CISSP umfasst 8 Wissensgebiete
- Security & Risk Management
- Asset Security
- Security Architecture & Engineering
- Communication & Network Security
- Identity and Access Management
- Security Assessment & Testing
- Security Operations
- Software Development Security
Prüfung: 100 – 150 Multiple-Choice-Fragen in Englisch in 3h oder bis 250 Fragen in 6h in Deutsch oder Französisch
Zulassungs-Voraussetzungen: 5 Jahre Berufserfahrung in 2 der 8 Wissensgebiete (s.o.)
Re-Zertifizierung: Nachweis von 40 Weiterbildungsstunden pro Jahr
Bildungsweg: keine vorgängigen Zertifikate notwendig, im Anschluss 3 Vertiefungen möglich in Architecture, Engineering oder Management
Du hast bei Gerresheimer zum Beispiel ein mit Bluetooth vernetztes Inhalationsgerät mit einer Mobile und Web App entwickelt. Warum ist in diesem medizinischen Anwendungsbereich die Cybersicherheit absolut zentral?
Cybersicherheit ist im Medizinbereich natürlich immer sehr kritisch, weil sowohl die Daten als auch die Anwendung sehr sensibel sind. Nur schon, dass man ein medizinisches Problem hat, kann für die betroffenen Personen eine sehr sensitive Information sein. Es handelt sich um Gesundheitsdaten, die besonders geschützt werden müssen.
Also braucht es die höchsten Sicherheitsmassnahmen, die es gibt?
Tatsächlich ist das Schützen im Medizinbereich noch ein bisschen schwieriger als in anderen Bereichen, weil wir die Security auch immer gegen die Safety abwägen müssen. Es gibt etablierte Prozesse mit regulatorischen Behörden, die sicherstellen, dass die medizinischen Anwendungen safe, also sicher sind. Und diese kollidieren zum Teil mit den Erfordernissen, die wir auf der Security-Seite haben. Zum Beispiel möchten wir auf der Security-Seite Software im Feld immer schnell und einfach updaten können, wohingegen es von der Safety-Seite ein grosses Erfordernis ist, dass man Änderungen zuerst ausgiebig testet und sicherstellt, dass sie keine zusätzlichen Risiken bringen bevor man sie ins Feld bringt.
Du hast dich während deiner Weiterbildung zum CISSP auch intensiv damit beschäftigt, was es bedeutet, in einem Unternehmen die Verantwortung für die Cybersicherheit zu übernehmen. Was macht für dich einen guten Sicherheitsverantwortlichen aus?
Als Security-Verantwortlicher ist es wichtig, dass man sehr gut kommuniziert. Denn trotz allem ist das Thema Security für viele Organisationen noch neu, es wird oft noch schwammig behandelt und ist wenig verankert. Deshalb bringt diese Position viel Aufklärungsarbeit mit sich. Um so wichtiger ist es für Security-Verantwortliche – und das macht der CISSP-Kurs auch gut -, dass man diesen kommunikativen Rucksack mitbekommt und entsprechend in die Organisation hineinwirken kann. Zudem braucht es natürlich auch ein tiefes technische Verständnis. Denn nach den kommunikativen Aufgaben kommt ziemlich viel systematische Detailarbeit, die notwendig ist, um die Cyber Security zu gewährleisten.
Der CISSP ist vermutlich auch deshalb so renommiert, weil die Zertifizierungs-Prüfung als extrem anspruchsvoll gilt.
Die CISSP-Prüfung und die Vorbereitung dafür sind tatsächlich ziemlich anspruchsvoll, weil das geforderte Wissen ein sehr breites Spektrum umfasst, aber gleichzeitig sehr tief geht. Es geht von der Governance bis in die Details von Verschlüsselungsalgorithmen und auch physische Sicherheit hinein. Es ist wirklich viel Stoff, den man lernen, aber auch an der Prüfung zeigen muss.
Was hat dir bei der Prüfungsvorbereitung geholfen?
Gerade weil das Themengebiet so breit und gleichzeitig extrem tief geht, war der Besuch des CISSP-Kurses für mich ein wichtiges Element der Vorbereitung. Durch den Kurs konnte ich eine gute Übersicht über den Stoff erhalten und von den Kursinstruktoren erfahren, wie man sich am besten vorbereitet und was wirklich relevant ist. Aber natürlich muss man sich nach dem Kurs trotzdem noch selbst durch die Bücher durcharbeiten
Durch die CISSP-Zertifizierung hast du einen guten Überblick über das Feld der Cyber Security erhalten. Hast du dabei Themen für dich identifiziert, in denen du noch spezialisiertes Wissen aufbauen möchtest?
Grundsätzlich kann ich mir zwei Weiterbildungsrichtungen vorstellen. Einerseits würde ich mich gerne mehr im Bereich Cloud Security vertiefen, andererseits aber auch in das Management und die Governance von Security-Aspekten.
Vielen Dank für das Gespräch und die spannenden Einblicke.
Mehr Info rund um den CISSP: