(ISC)² Certified Cyber Forensics Professional (CCFP) – Ein Erfahrungsbericht

Ein Beitrag von Jan-Tilo Kirchhoff, Vorstand im (ISC)² Chapter Germany und Presales Engineer bei Compass Security AG

[datensicherheit.de, 24.10.2016] Die Computer-Forensik ist nicht zuletzt aufgrund zahlreicher Kriminalserien in aller Munde. Der Beruf des Forensikers erfreut sich wachsender Beliebtheit, gerade weil immer mehr Unternehmen Opfer von Hackerangriffen werden, die Vorgänge in ihrem Netzwerk aber nur mit Hilfe von Spezialisten analysieren und aufarbeiten können.

Ziemlich genau zwei Jahre ist es her, dass die Certified Cyber Forensics Professional (CCFP-EU) Prüfung auch in Deutschland verfügbar gemacht wurde. Mit der Zertifizierung verfolgte die (ISC)² das Ziel die wenigen Weiterbildungsangebote um einen international anerkannten Standard zu ergänzen. Für den Erwerb der Zertifizierung müssen umfassendes und profundes Wissen nachgewiesen werden, das Forensiker heute benötigen.

Die Ausbildung zum CCFP-EU umfasst die Bereiche digitale Forensik und Informationssicherheit. Die sechs (ISC)² CBK (Common Body of Knowledge) Themenbereiche sind „Rechtliche & ethische Grundsätze“, „Ermittlungen“, „Forensische Wissenschaft“, „Digitale Forensik“, „Anwendungs-Forensik“ und „Hybride & neue Technologien“.

Foto: privat

Jan-Tilo Kirchhoff, Vorstand im (ISC)² Chapter Germany und Presales Engineer bei Compass Security AG

Mein Interesse an der Prüfung war schon beim ersten Lesen der Informationsbroschüre geweckt. Das Thema passte zu meinen Interessen und Neigungen und auch zu meinen Aufgaben im Job. Nach einem Gespräch mit Lorenz Kuhlee, einem der beiden maßgeblich für die Europäisierung der Zertifizierung ehrenamtlich für (ISC)² Tätigen, am Rande der Secure Munich Konferenz 2014 war ich entschlossen meinen CISSP mit dieser Zertifizierung zu erweitern. Dass es so lange dauern würde, bis ich die Prüfung tatsächlich angehe, hatte ich nicht gedacht.

Lernmaterialien und Hilfen

Da ich die Zeit und auch die Kosten für die Vorbereitungskurse wie schon beim CISSP scheute, entschied ich mich für das Selbststudium und besorgte mir erst einmal die entsprechende Literatur, den „Official (ISC)²® Guide to the CCFP CBK“. Viele Themen waren mir bereits aus anderen Werken und der praktischen Arbeit vertraut. Die größten Schwierigkeiten erwartete ich eigentlich im rechtswissenschaftlichen Bereich. Hier möchte ich ein wenig Kritik an den verfügbaren Informationen und Unterlagen erheben. Während das offizielle Buch viele Hinweise zu diesen Themen beinhaltet, beschränkt es sich doch auf die US-amerikanische Gesetzgebung und Rechtsprechung. Zusätzliche und ergänzende Materialien, zur EU-Variante wurden von (ISC)² bisher nicht veröffentlicht.
Also begann ich im Internet nach deutschen und europäischen Veröffentlichungen zum Thema IT-Forensik zu recherchieren. Dabei habe ich viel über die EU, Datenschutzrecht und die Problematik nationaler uneinheitlicher Regelungen herausgefunden und gelernt. Aber sicher war ich mir nicht, würde das für die Prüfung reichen? Ich fragte noch einmal Lorenz Kuhlee, der auch an der Ausarbeitung des Prüfungskataloges für den CCFP-EU beteiligt war und außerdem als Chefermittler im RISK Team bei Verizon täglich in dem Beruf arbeitet. Natürlich konnte er mir keine Details verraten, meinte aber, dass ich mir nicht zu viele Gedanken machen sollte. Es wäre ja nur ein Teil der Prüfung. Vieles ließe sich mit solidem Grundwissen und gesundem Menschenverstand lösen. Erst nach Ablegen der Prüfung habe ich verstanden, was er meinte und wie recht er damit hatte.

Die Prüfung

Die Prüfung selbst war zum Teil wie erwartet. Jeder Teilnehmer kommt in eines der PearsonVUE Testcenter und muss sich mit zwei Ausweisdokumenten identifizieren, den Prüfungsbedingungen zustimmen und dann geht es an den Rechner, um in maximal vier Stunden 125 Multiple-Choice Fragen möglichst korrekt zu beantworten.
Inhaltlich war die Prüfung zugleich einfacher und schwerer als ich befürchtet hatte. Neben dem offiziellen Buch hatte ich bei der Vorbereitung in den letzten zwei Jahren auch den „CCFP All-In-One Exam Guide“ durchgearbeitet und hatte das Gefühl die Kontrollfragen in beiden Büchern recht sicher beantworten zu können. Ich rechnete mit Fragen zu relevanten Windows Registry Einträgen, Festplatten Geometrie, gesetzlichen Regeln, dem Code of Ethics und ähnlichen wissensbasierte Themen. Die Prüfungsbroschüre weist zwar ausdrücklich auf Szenario-basierte Fragen hin, dass diese dann den weitaus größeren Teil der Prüfung ausmachen, hatte ich jedoch nicht erwartet.

Tatsächlich hat es (ISC)² geschafft, einen Multiple Choice Test zu erstellen, der an eine praktische Prüfung grenzt. Als Kandidat wird man mit realistischen Szenarien konfrontiert, in denen man als hinzugezogener Forensiker entscheiden muss, welche Schlüsse aus den vorliegenden Beweismitteln möglich sind. Bei der Auswahl der Antworten muss man auch die rechtlichen und ethischen Rahmenbedingungen im Blick behalten und die korrekten Entscheidungen treffen. Mit reinem Buchwissen ist diese Prüfung daher kaum zu bestehen.

Fazit

Ich empfehle jedem, der die CCFP-EU Zertifizierung anstrebt, sich bei der Vorbereitung insbesondere mit den „For Further Thought“ titulierten Abschnitten am Ende der jeweiligen Kapitel und Sektionen zu beschäftigen. Diese geben einen kleinen Vorgeschmack auf die Arten von Fragen, die sich aus den verschiedenen Szenarien ergeben. Das Weitere von (ISC)² in Form eines Online-Quiz und der Quizlet-App fürs Mobiltelefon bereitgestellte Material kann hilfreich sein, wenn es um das Erlernen von einigen Begriffsdefinitionen geht, ist aber für die Prüfung nur wenig relevant.
Am besten hilft es vor allem schon praktische Erfahrungen bei forensischen Untersuchungen gesammelt zu haben und einen gesunden moralischen Kompass mitzubringen. Meine Recherchen zur Rechtslage in der EU waren zwar interessant, haben sich aber als für das Bestehen der Prüfung viel zu weitreichend erwiesen. Dennoch helfen mir diese Informationen im Alltag weiter, so dass ich diese nicht umsonst durchgearbeitet habe.