Curriculum

Inhalte von T.E.S.S.

Alle Inhalte der Schulung, die auf den T.E.S.S. vorbereitet, wie auch die Inhalte der T.E.S.S.-Prüfung orientieren sich an vier grundlegenden Lernzielen:

Prozesse des Security Engineering 

Der Teilnehmer kennt die notwendigen Prozesse des Security Engineering, kann sie prinzipiell durchführen und in den Entwicklungsprozess sowie in die nachfolgenden Betriebsprozesse integrieren. Wesentliche Elemente dieser Prozesse sind:

  • Durchführung einer Bedrohungsanalyse
    • Inventarisierung und Priorisierung der relevanten Werte
    • Identifizierung der möglichen Bedrohungen der Werte
  • Durchführung einer Schutzbedarfsanalyse
    • Festlegung eines Bewertungsschemas für die Erhebung des Schutzbedarfs
    • Festlegung und Einordnung des Schutzbedarfs der einzelnen Werte
  • Durchführung einer Risikoanalyse
    • Schlussfolgerung aus Bedrohungs- und Schutzbedarfsanalyse ziehen
    • Benennung und Priorisierung der Risiken
  • Durchführung einer Anforderungsanalyse
    • Ableitung der Anforderungen für das Systemdesign und den operativen Betrieb
    • Umgang mit den potenziellen Zielkonflikten unterschiedlicher Anforderungen
  • Kenntnis grundlegender Säulen
    • Sicherheitsziele
    • sichere Komposition
    • Architektur als Sicherheitsmerkmal
    • Qualität der zur Verfügung stehenden Standards

Bewertung von Angriffen 

Der Teilnehmer kann Angriffszenarien einordnen und bewerten und kennt Möglichkeiten des angemessenen Umgangs mit Angriffen.

  • Einnehmen der Angreifersichtweise
    • Wer ist der Angreifer?
    • Was kann der Angreifer?
    • Was will der Angreifer?
    • Welche Möglichkeiten hat der Angreifer?
  • Möglichkeiten mit einem Angriff umzugehen.
    • Prävention
    • Detektion
    • Reaktion
    • Schadensbegrenzung

Fallstricke in den Prozessen des Security Engineering 

Der Teilnehmer kennt typische Fallstricke in den Prozessen des Security Engineering und kann die Lehren daraus auf eigene Projekte übertragen.

  • Woran scheitern augenscheinlich gut entworfene Systeme?
    • Kennenlernen exemplarischer Fallbeispiele des Scheiterns
    • Analyse der Fallbeispiele und Extrahieren der relevanten Erfahrungswerte
    • Transfer der Erfahrungen auf eigene bzw. neue Systeme oder Systementwürfe
  • Kenntnis der aktuellen Entwicklungen im Bereich Informationssicherheit
    • Kreativer Blick in die Zukunft üben

Bezug zu Nutzer und Gesellschaft 

Der Teilnehmer kann den Bezug herstellen zwischen dem zu entwickelnden System und seinen Sicherheitseigenschaften auf der einen Seite und den gesellschaftlichen Rahmenbedingungen sowie den zukünftigen Nutzern auf der anderen Seite.

  • Menschliche Faktoren
    • Anwenderkompetenz
    • Nutzbarkeit durch den Anwender (Usability)
    • Bewusstes und unbewusstes Fehlverhalten
  • Rechtliche und gesellschaftlicher Normen und Erwartungen
  • Berücksichtigung potenzieller und tatsächlicher gesellschaftlicher Auswirkungen. 

Informationen zur Prüfung

Die Prüfung dauert 90 Minuten. In Form eines Multiple-Choice-Tests werden insgesamt 60 Fragen gestellt.

Für die Zulassung zu der Prüfung ist ein Nachweis einer Qualifikation erforderlich die umfassende Kenntnisse im Bereich Informationssicherheit und/oder IT- Sicherheit belegt. Dies können sein: ein spezifisches Studium mit dem Schwerpunkt Informationssicherheit/ IT-Sicherheit, oder alternativ fachspezifische Personenzertifikate wie: T.I.S.P., CISSP oder CISM. Zudem ist die Teilnahme an einer anerkannten viertägigen T.E.S.S. Schulung bei einem anerkannten Schulungsanbieter erforderlich.

Bei Nichtbestehen kann die Prüfung ohne erneute Schulung wiederholt werden.

Details dazu finden Sie in der T.E.S.S. Prüfungsordnung.