Google hat vor einigen Monaten ein Berufseinsteigerzertifikat für den Bereich Cyber Security Analyst veröffentlicht. Hintergrund dafür war, dass es nicht genügend Fachkräfte für Cybersecurity Analysten und Security Operation Center Stellen gibt und die staatlichen Ausbildungsstätten die relevanten Skills nicht gut vermitteln. Ich habe kürzlich das neue Cyber-Security Zertifikat von Google absolviert und empfand das als lohnende Erfahrung und Ergänzung für mein Know-how im Cybersecurity Bereich. Im Folgenden möchte ich meine Eindrücke schildern und erklären, für wen sich das Zertifikat lohnt, was der Kurs mit sich bringt und mit welchem Aufwand zu rechnen ist.
Anders als in den Sozialwissenschaften ist es in der IT üblich, das eigene Wissen und die Fähigkeiten mit Zertifikaten nachzuweisen. Dazu absolviert man einen Kurs und eine Prüfung, die nachweist, dass man bestimmte Fähigkeiten wirklich erlangt hat. Genau so einen Kurs hat Google kürzlich veröffentlicht. Dieser umfasst 8 Module, welche die erforderlichen Fähigkeiten vermitteln sollen, die man als angehender Cyber-Security Analyst so braucht. Dazu gehören u.A.:
- Foundations of Cyber Security: Wissen um vergangene Cyber-Operationen, Cyber-Security Domänen, Sicherheitsframeworks wie NIST, professionelle Ethik und allgemeine Grundlagen um Angriffstechniken
- Managing Security Risks: Einführung in die CISSP Security Domänen, Risiko Management Frameworks, die CIA Triade, das NIST Cyber Security Framework, die OWASP Prinzipien für sichere Software, Security Audits, Security Information and Event Management Systeme (SIEM), Incident Response
- Networks & Network Security: Netzwerkkomponenten, TCP/IP und OSI Modell, Netzwerkarchitektur, Protokolle, Firewalls, Subnetting, VPN, Virtuelle Netzwerke und Netzwerk-Sicherheit gegen Cyber-Angriffe wie DDoS, Spoofing und „on-path“ Angriffe
- Linux & SQL: Einführung in Betriebssysteme, Virtualisierung, Linux Architektur, Distributionen, Linux Shell und SQL Datenbanken
- Assets, Threats, and Vulnerabilities: Asset Management & Security, Privacy, Grundlagen der Kryptografie, AAA – Authentication, Authorization & Accounting, Vulnerability Management & Assessment, Cyber-Angriffsvektoren & attack surface, Malware, Social Engineering, Web-based exploits (SQL injection) & Threat modelling
- Detection and Response: Incident Response Lifecycle, Incident Response Pläne & tools, packet capture & Analyse mit Wireshark, Detektion, Systemwiederherstellung und Dokumentation, Einführung in Intrusion Detection Systeme wie Suricata und Splunk
- Python: Grundlagen wie Datentypen, Variablen, If-else Bedingungen, Schleifen, Funktionen, Strings, Text-parsing & regular expressions, File-handling & Debugging
- Prepare for Jobs: Cyber-CV schreiben, Interviewprozesse, Tips, Community Events und Quellen und mehr
Man kriegt also einen bunten Blumenstrauß an Konzepten, Tools und Skills vermittelt. Laut Google umfasst der Kurs die essenziellen Fähigkeiten, die angehende Cybersecurity Analysten so brauchen. Natürlich bietet der Kurs in einigen Bereichen nur einen „high-level“ Überblick über die Themen und geht kaum in die Tiefe. Das ist aber ok, da man die Themenbreite gut sieht und einem konsequent vermittelt wird, dass Lernmotivation und Selbststudium zum Feld einfach gehört, da sich IT-Sicherheit permanent weiterentwickelt.
Inhaltlich habe ich nichts zu meckern. Die Inhalte sind gut aufbereitet und decken das Wichtigste ab. Es werden einem genug Ressourcen und weiterführende Materialien zur Vertiefung an die Hand gegeben, um selber zu vertiefen. Die Qualität des Materials ist ebenfalls gut und deckt sich in großen Teilen mit den Inhalten, die vom Marktführer, dem Comptia Security+ Zertifikat und den entsprechenden Lehrmaterialien abgedeckt werden. Der Google Kurs bereitet also auch ganz gut auf die Security+ Prüfung vor und als netten Bonus kriegt man nach Abschluss des Google Zertifikates einen 30 % Voucher für Comptia. Nett!
The good
Ein Vorteil des Google Kurses ist, dass er „hands-on“ Labs und somit viel mehr Praxiselemente beinhaltet, als etwa ein reiner Videokurs (siehe z. B. Professor Messer auf Youtube). Man lernt die Konzepte nicht nur theoretisch, man wendet sie auch an. Dazu gehören Linux Labs, in denen man mit der Kommandozeile Dateien sucht und editiert, die Zugriffsberechtigungen ändert, mit SQL Datenbanken herumspielt und auch Wireshark und tcpdump Netzwerkdatenpakete abfängt und deren Inhalte analysiert. Das ist schon ziemlich cool und macht Spaß. Zudem ist es gut erklärt und didaktisch aufbereitet. Der Vorteil gegenüber anderen Tutorials, etwa auf YouTube ist, dass das immer aus der Perspektive eine Cybersecurity Analysten passiert, die Übungsinhalte also nah an der Praxis sein sollen. Man arbeitet mit „access logs“, Listen von genehmigten und verdächtigen IP-Adressen, man erstellt SSH Schlüsselpaare und bearbeitet „Access Control“ Listen für Netzwerkgeräte.
Didaktisch ist der Kurs gut gemacht. Kurze Video-Explainer (meist um die 5 Minuten) führen Konzepte ein, welche man dann mittels Lesen von Texten vertieft. Dazu kommt oft eine kleine, „interaktive“ Übung wo man Konzepte zuordnen soll, oder eine Tabelle ausfüllt. So richtig fordernd ist das nicht. Es ist immerhin nett animiert und dient mehr zur Auflockerung und Wiederholung. Am Ende eines Moduls kommen in der Regel Praxisübungen, in denen man z. B. mal eine Risikoanalyse, eine Incident-Analyse oder ein Schwachstellen-Audit simuliert. Dazu bekommt man dann oft ein Szenario mit entsprechenden Informationsmaterialien vorgesetzt und füllt das so für sich aus. Man arbeitet mit Playbooks, Incident-Response Plänen, Audit-Guidelines und Risikoanalysen und bekommt nach Abschluss auch immer ein fertig ausgefülltes Exemplar zum Vergleich. Ganz zum Schluss kommt dann immer ein multiple Choice Quiz. Was mir besonders gut gefallen hat, sind die zahlreichen, kurzen Videotestimonials von Google Mitarbeitenden in verschiedensten Rollen (Security-Engineer, -Analyst, -Manager etc.), die über ihren Job-Alltag, Probleme und Tipps und Kniffe in der Security Branche sprechen. Die Botschaft hier ist immer: wir brauchen möglichst diverse Leute mit verschiedenen Hintergründen und jede(r) kann in den IT-Sicherheitsbereich kommen, auch ohne Programmierkenntnisse und Cybersecurity Master.
Über die 8 Module hinweg ist der Kurs auch gut aufgebaut: Grundlagen zuerst, dann Vertiefung. Es gibt immer wieder Wiederholungen, um einen an vergangene Sitzungen und Konzepte zu erinnern. Das knüpft gut aneinander an und die Gesamtchoreografie des Kurses überzeugt. Man erhält zudem immer ein Glossar mit allen behandelten Begriffen, was echt praktisch ist.
Die Produktionsqualität generell ist hoch. Die Videos sehen super aus und sind gut gemacht. Die Tonqualität ist gut und die Inhalte werden gut auf den Punkt gebracht. Definitiv besser als viele DIY Kurse, die man so auf YouTube, Udemy und Co findet.
The meh
Nicht so gut gefallen haben mir die „Reflexionsübungen“, wo man über eine Frage nachdenken soll und die Ergebnisse in ein Antwortfeld einträgt. Dort sieht man die Antworten der anderen rund 30k Leute, die den Kurs (Stand August 2023) abgeschlossen haben. Betrachtet man einige der Antworten dort, so haben andere das auch nicht so sinnstiftend empfunden. Your mileage might vary. Zudem ist der Kurs sehr, nun ja, „amerikanisch“. Die Quizzes sind super einfach und man kann die eigentlich nichts falsch machen, wenn man halbwegs zugehört hat. Eine gute Vorbereitung für die Comptia Security+ Quizzes ist das nicht, da dort die Fragen teilweise gemeiner gestellt sind.
Die empfohlenen Lesezeiten, also wie lange man braucht, um das Kursmaterial zu lesen, sind, sagen wir, extrem konservativ. Da werden für 500 Wörter schonmal 40 Minuten empfohlene Lesezeit veranschlagt. Und habe ich erwähnt, dass alle immer „super excited“ sind, weil sie die Ehre haben uns höchstselbst durch den Kurs zu begleiten? „Great job everybody“ for listening to a 2 minute video… Das ist jetzt nicht wirklich schlimm, es fiel mir nur aus einer interkulturellen Perspektive auf. Ein deutscher Kurs von SAP wäre vermutlich ruppiger und weniger freundlich.
Vielleicht noch ein Wort zum „Wert“ des Zertifikats. Natürlich ersetzt ein Onlinekurs keine Fachausbildung oder ein Studium. Man lernt die Basics und mehr nicht. Zudem ist das Zertifikat noch recht neu und daher wenig in der Branche anerkannt. Es dürften eher US-Unternehmen sein, die damit etwas anfangen können. Im Zweifel dürfte das „time tested“ Security+ von Comptia international anerkannter und vor allem bekannter sein. Das sieht scheinbar auch Google so und gibt einem einen 30 % Gutschein zur Absolvierung von Security+.
Ach ja, ein kleines „meh“ ist, dass der Kurs quasi wirbt kostenlos zu sein, aber eben nur 7 Tage. Danach muss man eine Coursera Mitgliedschaft abschließen, die pro Monat um die 50 € kostet. Ok, das ist nicht wirklich viel und verglichen mit anderen Zertifikaten (zwischen 350 und 3000 €) immer noch extrem günstig. Aber es sollte erwähnt sein. Zudem lernt man natürlich vorwiegend die Google Tools. Da wird dann schon mal zugunsten von Google Docs verschwiegen, dass es auch andere Schreibprogramme (Microsoft Office *hust*) gibt. Ist ok, Microsoft macht das mit seinem brandneuen Cyber-Security Analyst Zertifikat auch nicht anders. Da lernt man dann eben Azure und nicht Google’s Suricata.
Aber hey, das sind alles Kleinigkeiten. Insgesamt ist der Kurs schon gut, sodass ich mir sogar die „the ugly“ Überschrift sparen kann.
What else?
Die konservativen Zeitangaben haben natürlich den Vorteil, dass man den Kurs weitaus schneller abschließen kann als Google angibt. Google veranschlagt 6 Monate Studienzeit bei 10h Zeitinvestment in der Woche. Ich habe den Kurs jetzt in 2 1/2 Wochen absolviert, bei ca. 4h am Tag, also 20h in der Woche. Von den eher theoretischen Modulen schafft man damit eines pro Tag von den leichteren, ansonsten eins alle zwei Tage von den fortgeschritteneren. Pro-Tipp: Videowiedergabegeschwindigkeit auf 1,25x oder 1,5x einstellen. Die Hands-on Module mit SQL, Python und Linux brauchen etwas länger und man sollte sich auch die Zeit dafür nehmen. D. h. faktisch musste ich nur einmal die Coursera Gebühr bezahlen, nice!
Als Caveat sei vermerkt, dass ich natürlich im Cybersecurity Business aktiv bin und zahlreiche Konzepte wie Malware-Typen oder Social Engineering Techniken und auch schon etwas Python kannte. Ohne jegliches Vorwissen dürfte es länger dauern, aber ich denke 1 Monat intensive Studien dürften dennoch reichen. Der Schwierigkeitsgrad ist wirklich nicht sonderlich hoch und mit etwas technischem Verständnis kommt man gut durch.
Deswegen empfehle ich den Kurs auch für alle, die aus dem sozialwissenschaftlichen oder rechtlichem Bereich zu „Cyber“ kommen, denn er vermittelt wirklich gut die technischen Grundlagen, von Netzwerken, Verschlüsselung über Angriffstechniken bis hin zu Sicherheitsmaßnahmen zum Schutz vor diesen Angriffsvektoren. Wirklich nett sind die Labs, die für Newbies in dem Bereich wirklich hilfreich sind. Klar, wer schon mit Linux oder Python arbeitet, den holt das nicht ab, aber dafür gibt es ja auch Labs zu SIEM Plattformen und anderen Tools wie Wireshark, die man im Alltag nun nicht jeden Tag nutzt.
