Berufszertifizierungen in der Computer-Forensik [Update]

© Ben Chams - Fotolia.comBeinahe täglich erreichen mich E-Mails von Interessierten, die sich gern im Bereich der Computer-Forensik weiterbilden wollen. Seien es Absolventen oder General IT-Practicioner, die das Betätigungsfeld wechseln möchten. Oft kommt die Frage dann auch auf die für diesen Bereich sinnvolle Berufszertifizierungen (CISSP, EnCE, CISA, CEH, CFE, CHFI, GCFA, GCIA, GCIH usw). Allen Interessierten möchte ich hierzu gern ein paar Hinweise geben, die natürlich nur auf meiner persönlichen Erfahrung beruhen und keinen Anspruch auf Vollständigkeit haben. Die ganze Geschichte hat mehrere Seiten. Zum einen dienen diese Kurse dazu, sich Wissen in einem bestimmen Fachgebiet anzueignen (sic!). Der andere wichtige Aspekt ist, dass man damit auch einem Dritten nachweisen kann, dass man sich nach anerkannten Standards weitergebildet und einer Prüfung unterzogen hat. Beim zweiten Aspekt macht es eigentlich wenig Sinn, sich NICHT an eine große und global bekannte Institution zu halten. Wir merken, dass dies von Mandanten ganz konkret nachgefragt wird und bei zunehmenden globalen Wettbewerb auch sinnvoll ist. Irgendein IHK-Zertifikat ist halt für einen nicht-deutschen Mandanten nicht einfach zu bewerten. Zusätzlich werden immer häufiger auch Produktzertifikate nachgefragt. Hiermit kann man natürlich wieder etwas über den Umfang mit dem Produkt lernen, aber auch nachweisen, dass man damit umgehen kann. Fast alle professionellen Anbieter von Computer-Forensik Werkzeugen bieten hier etwas für die eigene Produktpalette: EnCase, Access Data, X-Ways Forensics, Paraben, Clearwell, Introspect, NUIX etc. Wer also gern z.B. EnCE werden möchte, sollte sich bei den Herstellern erkundigen. Betriebssystemspezifische Zertifizierungen á la MCSE sind auch sinnvoll, sagen aber logischerweise nix über Forensik aus.

Kommen wir nun zu den eigentlichen Berufszertifizerungen. Die Webseite der Information Systems Security Association (ISSA) listet eine große Anzahl von möglichen Zertifizierungen auf. Dazu gehören u.a. auch die  „Klassiker“ wie CISSP (Certified Information Security Professional), CISA (Certified Information Systems Auditor) und CEH (Certified Ethical Hacker) auf. Diese Zertifizierungen haben zwar ihren Ursprung in der Informationssicherheit bzw. IT-Security, bilden aber eine gute Basis, um Schwachstellen und damit auch Security Incidents zu verstehen.

Eher speziell auf Incident Response bzw. Computer Forensics ausgerichtete Berufszertifizierungen, die ich für mein Team immer empfehle, sind die Kurse der Global Information Assurance Certification (GIAC). Die Schulungen werden über das SANS-Institut (SANS steht für „SysAdmin, Networking and Security“) durchgeführt und am Ende müssen die Kandidaten ein Paper verfassen. Bei der GIAC finden sich zwar auch andere Zertifizierungen, für den Bereich der Computer-Forensik sind m.E. die folgenden Zertifiakte sinnvoll und in der Branche anerkannt:

Zusätzlich möchte ich noch gern auf die Digital Forensics Association (DFA) hinweisen. Diese Non-Profit Organisation hat es sich zur Aufgabe gemacht, Ausbildungsstandards im Bereich Computer-Forensik zu schaffen und die Interessenten untereinander zu vernetzen.Möchte man auch im klassischen Bereich der Fraud-Investigation tätig sein, empfehle ich den international ebenfalls weit verbreiteten Certified Fraud Examiner (CFE).

Es bleibt festzuhalten, dass man die Frage nach der idealen Berufszertifizierung nicht mit einem Satz beantworten kann. Ich empfehle als erstes zu überlegen, wofür ich das Zertifikat benutzen möchte.

Es gibt auch einige Zertifikate aus Deutschland, da habe ich aber nicht den direkten Überblick. Hinweise gern per Mail an mich.

7 thoughts on “Berufszertifizierungen in der Computer-Forensik [Update]”

  1. Hätte ich diese Tür nur nicht aufgemacht ;-). Es trudeln hier gerade Mails zu Computer-Forensik Kursen in Deutschland ein. Mal sehen, evtl. werde ich mich mal einer Übersicht über die deutsche Hochschullandschaft widmen. Hier m.E. ist der richtige Hebel.

    1. Vielen Dank für den Hinweis, ich schrieb ja, dass ich mich zu den unterschiedlichen Hochschulprogrammen noch gesondert äßern werde. Bei diesen Studeniengängen gibt es ja keine international anerkannte Berufszertifizierung – noch nicht.

      Ich war gestern auf der it-sa in Nürnberg und habe mir auch die dort vertretenen Hochschulen mit ihren Ausbildungsprogrammen kurz angeschaut. Ist derzeit ein noch recht durchwachsenes Bild. Mir wurde aber versichert, dass sich hier im nächsten Jahr noch einiges tun wird. Mehr dazu später.

  2. Hallo,

    ich hatte das Glück über ein EU-Programm an einem Basiskurs der nonprofit Organisation „International Association of Computer Investigative Specialists“ (www.iacis.com) teilnehmen zu dürfen. Das Lehrprogramm/Unterricht bestand hauptsächlich aus 2 Wochen Interpretration von Rohdaten aus Computer Forensik Sicht ohne den Einsatz üblicher Forensik Tools. Der Schwerpunkt lag in den Dateiverwaltungssystemen FAT und NTFS. Danach konnte man sich freiwillig einem Prüfverfahren unterziehen (6 Teilprüfungen auf Englisch), dass über 8 Monate ging. Dabei mussten entweder Fragenkataloge beantwortet oder Images untersucht und Untersuchungsberichte gefertigt werden. Daneben wurde das Thema Softwarevalidierung, Auftreten vor Gericht und Aufbau eines Forensiklabors behandelt. Bei erfolgreichem Abschluß erhält man den Titel CFCE (Certified Forensic Computer Examiner). Das Prüfprogramm wird immer wieder an die neuen Betriebssysteme, Browser etc. angepasst und muss nach 3 Jahren durch ein verkürztes Prüfprogramm „upgedatet“ werden, um das Zertifikat weiter führen zu dürfen.
    Obwohl ich seit 10 Jahren im Computer Forensik Bereich arbeite, halte ich diesen Forensik Basiskurs für ausgezeichnet, der tiefgreifend auf das Thema eingeht und einen in die Lage versetzt z.B. Rohdaten einer Master File Table oder einen UNIX Timestamp auch ohne die Tools zu interpretieren. Dies steigert nachhaltig die Glaubwürdigkeit vor Gericht, wenn man erläutern kann, wie eine Datumsangabe in Encase oder XWays zustande kommt.
    Nach meinem Kenntnisstand ist der CFCE der „Quasi- Standard“ von Computerforensikern in US Law Enforcement Einrichtungen.

    mfg

    Frank Meixelsperger

  3. Hallo,

    ich schreibe gerade meine Bachelorarbeit im Bereich Computer Forensiks und bin beim Thema Zertifizierung in Deutschland stecken geblieben. Ich finde sehr viel Material wie das in der USA oder Australien mit der Zertifizierung ist, aber nicht etwas klares über Deutschland. Ich habe mehrere Studiengänge die das Thema beinhalten aber nicht wie dass dann mit den Zertifizierungen läuft. Was wird genau in Deutschland anerkannt? Wie wird das vor Gericht angenommen? Gibt es eine Standardisierung in Deutschland?
    Ich würde sehr dankbar sein wenn mir jemand weiterhelfen kann.

    Mit freundlichen Grüßen,
    Rada Sereseanu

  4. Hi,

    unter certbycels wird eine Berufsbildzertifizierung im Bereich IT-Forensik angeboten. Diese wurde von Berufstätigen erstellt. Vielleicht könnte das etwas für euch sein 🙂

  5. Das Thema ist nun leider schon etwas in die Jahre gekommen. Ich sehe es allerdings mit den Herstellerzertifizierungen genauso wie es der Autor es beschrieben hat.

    Es sagt, dass du den Funktionsumfang der Software eines Hersteller kennst, vielleicht sogar damit umgehen kannst.

    Was ich allerdings nicht so ganz verstehe, ist die Tatsache, dass man mit einen Werkzeug
    umgehen kann. Für eine Berufszertifizierung ist dies aus meiner Sicht zu wenig, denn die Zusammenhänge von OS und Auswirkungen wären sehr sinnvoll, vor allem, wenn Du als Gutachter vor Gericht bist und dort die Zusammenhänge vorstellen musst. 😉

    Only my 50ct for you

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.