«Als Security-Verantwortlicher ist es wichtig, dass man sehr gut kommuniziert»
David Christen, Head of Digital Health Engineering, erzählt im Interview, wie ihn die CISSP-Weiterbildung beim Aufbau einer DevOps-Organisation und bei Cyber-Sicherheit unterstützt.
Medikamente können auf unterschiedliche Art und Weise eingenommen werden. Zum Beispiel durch Schlucken, Inhalieren, über die Haut oder durch Injektion. Sobald dabei digitale medizinische Lösungen zum Einsatz kommen sollen, bist du gefragt.
Du hast deine berufliche Laufbahn an der ETH begonnen. Nach deinem Studium der Elektrotechnik und Informationstechnologie forschst du auf dem Gebiet der Biomechanik. Du entwickelst Computermodelle, die helfen, das Knochenbruchsrisiko von Patientinnen und Patienten zu beurteilen. Nach deinem Wechsel in die Industrie hast du dich auf die Entwicklung von Softwareanwendungen für medizinische Produkte konzentriert.
Heute bist du Head of Digital Health Engineering bei Gerresheimer, einem auf Arzneimittelverpackungen und Geräte zur Verabreichung von Medikamenten spezialisierten Unternehmen. Dort verantwortest du die Entwicklung und den Betrieb von digitalen Gesundheits- und Medizinanwendungen und führst ein rund 10-köpfiges Team aus Software-Ingenieuren.
Herzlichen Glückwunsch zum CISPP-Zertifikat! Wieso hast du dich entschieden, die Zertifizierung zum CISSP zu machen?
Ich glaube, Organisationen müssen sich in Zukunft noch viel stärker auf die Security ausrichten. Da ich die Verantwortung für die produktspezifische Cyber Security übernommen habe, war es für mich wichtig, einen grossen Überblick über das Thema zu erlangen und die Anforderungen der Security an die Organisation von Beginn an genauer zu verstehen. Mit diesem Wissen kann ich die entsprechenden Prozesse aufstellen, die die Sicherheit unserer medizinischen Lösungen gewährleisten.
Zudem war der CISSP für mich sehr interessant, weil er Aspekte aus dem Software Engineering und dem IT-Betrieb verknüpft. Das umsomehr, weil bei der Webentwicklung die Grenzen zwischen Entwicklung und Betrieb verschwimmen.
Es gibt noch viele weitere Cyber-Security-Zertifizierungen neben dem CISSP. Warum war es für dich der CISSP und nicht beispielsweise der CISM?
Ich habe mich für den CISSP entschieden, weil er international anerkannt und in der Industrie sehr stark verankert ist. Zudem war es für mich wichtig, dass die CISSP-Zertifizierung eine gute Balance zwischen der Vermittlung von technischen Fachwissen und Management-Governance-Wissen bietet.
CISSP Facts im ÜberblickAusrichtung: Eher technisch und operativ Zielgruppe: CISO/ISOs, CIOs, IT/Security Directors & Managers, Security Systems Engineers, Security Analysts, Security Auditors, Security Architects, Security Consultants, Network Architects Prüfungsorganisation: (ISC)² Inhalte (Body of Knowledge): Der CISSP umfasst 8 Wissensgebiete
Prüfung: 100 – 150 Multiple-Choice-Fragen in Englisch in 3h oder bis 250 Fragen in 6h in Deutsch oder Französisch Zulassungs-Voraussetzungen: 5 Jahre Berufserfahrung in 2 der 8 Wissensgebiete (s.o.) Re-Zertifizierung: Nachweis von 40 Weiterbildungsstunden pro Jahr Bildungsweg: keine vorgängigen Zertifikate notwendig, im Anschluss 3 Vertiefungen möglich in Architecture, Engineering oder Management |
Ausrichtung: Eher technisch und operativ
Zielgruppe: CISO/ISOs, CIOs, IT/Security Directors & Managers, Security Systems Engineers, Security Analysts, Security Auditors, Security Architects, Security Consultants, Network Architects
Prüfungsorganisation: (ISC)²
Inhalte (Body of Knowledge): Der CISSP umfasst 8 Wissensgebiete
- Security & Risk Management
- Asset Security
- Security Architecture & Engineering
- Communication & Network Security
- Identity and Access Management
- Security Assessment & Testing
- Security Operations
- Software Development Security
Prüfung: 100 – 150 Multiple-Choice-Fragen in Englisch in 3h oder bis 250 Fragen in 6h in Deutsch oder Französisch
Zulassungs-Voraussetzungen: 5 Jahre Berufserfahrung in 2 der 8 Wissensgebiete (s.o.)
Re-Zertifizierung: Nachweis von 40 Weiterbildungsstunden pro Jahr
Bildungsweg: keine vorgängigen Zertifikate notwendig, im Anschluss 3 Vertiefungen möglich in Architecture, Engineering oder Management
Du hast bei Gerresheimer zum Beispiel ein mit Bluetooth vernetztes Inhalationsgerät mit einer Mobile und Web App entwickelt. Warum ist in diesem medizinischen Anwendungsbereich die Cybersicherheit absolut zentral?
Cybersicherheit ist im Medizinbereich natürlich immer sehr kritisch, weil sowohl die Daten als auch die Anwendung sehr sensibel sind. Nur schon, dass man ein medizinisches Problem hat, kann für die betroffenen Personen eine sehr sensitive Information sein. Es handelt sich um Gesundheitsdaten, die besonders geschützt werden müssen.
Also braucht es die höchsten Sicherheitsmassnahmen, die es gibt?
Tatsächlich ist das Schuetzen im Medizinbereich noch ein bisschen schwieriger als in anderen Bereichen, weil wir die Security auch immer gegen die Safety abwägen müssen. Es gibt etablierte Prozesse mit regulatorischen Behörden, die sicherstellen, dass die medizinischen Anwendungen safe, also sicher sind. Und diese kollidieren zum Teil mit den Erfordernissen, die wir auf der Security-Seite haben. Zum Beispiel möchten wir auf der Security-Seite Software im Feld immer schnell und einfach updaten können, wohingegen es von der Safety-Seite ein grosses Erfordernis ist, dass man Änderungen zuerst ausgiebig testet und sicherstellt, dass sie keine zusätzlichen Risiken bringen bevor man sie ins Feld bringt.
Du hast dich während deiner Weiterbildung zum CISSP auch intensiv damit beschäftigt, was es bedeutet, in einem Unternehmen die Verantwortung für die Cybersicherheit zu übernehmen. Was macht für dich einen guten Sicherheitsverantwortlichen aus?
Als Security-Verantwortliche ist es wichtig, dass du sehr gut kommunizierst. Denn trotz allem ist das Thema Security für viele Organisationen noch neu, es wird oft noch schwammig behandelt und ist wenig verankert. Deshalb bringt diese Position viel Aufklaerungsarbeit mit sich. Umso wichtiger ist es für Security-Verantwortliche – und das macht der CISSP-Kurs auch gut -, dass du diesen kommunikativen Rucksack mitbekommst und entsprechend in die Organisation hineinwirken kannst. Zudem braucht es natürlich auch ein tiefes technisches Verstaendnis. Denn nach den kommunikativen Aufgaben kommt ziemlich viel systematische Detailarbeit, die notwendig ist, um die Cyber Security zu gewährleisten.
Der CISSP ist vermutlich auch deshalb so renommiert, weil die Zertifizierungs-Prüfung als extrem anspruchsvoll gilt.
Die CISSP-Prüfung und die Vorbereitung dafür sind tatsächlich ziemlich anspruchsvoll, weil das geforderte Wissen ein sehr breites Spektrum umfasst, aber gleichzeitig sehr tief geht. Es geht von der Governance bis in die Details von Verschluesselungsalgorithmen und auch physische Sicherheit hinein. Es ist wirklich viel Stoff, den du lernen, aber auch an der Prüfung zeigen musst.
Was hat dir bei der Prüfungsvorbereitung geholfen?
Gerade weil das Themengebiet so breit und gleichzeitig extrem tief geht, war der Besuch des CISSP-Kurses für mich ein wichtiges Element der Vorbereitung. Durch den Kurs konnte ich eine gute Übersicht über den Stoff erhalten und von den Kursinstruktoren erfahren, wie man sich am besten vorbereitet und was wirklich relevant ist. Aber natürlich musst du dich nach dem Kurs trotzdem noch selbst durch die Bücher durcharbeiten
Durch die CISSP-Zertifizierung hast du einen guten Überblick über das Feld der Cyber Security erhalten. Hast du dabei Themen für dich identifiziert, in denen du noch spezialisiertes Wissen aufbauen möchtest?
Grundsätzlich kann ich mir zwei Weiterbildungsrichtungen vorstellen. Einerseits würde ich mich gerne mehr im Bereich Cloud Security vertiefen, andererseits aber auch in das Management und die Governance von Security-Aspekten.
Vielen Dank für das Gespräch und die spannenden Einblicke.
Mehr Info rund um den CISSP:
- CISSP vs. CISM? Welche Zertifizierung ist die richtige?
- Wieso die CISSP-Zertifizierung mit einem Master-Abschluss vergleichbar ist
- Die 7 international gefragtesten IT Security Zertifizierungen
.