Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

CCSP oder CISSP: Welche Zertifizierung soll es werden?

Geschrieben von Josue Ledesma | Apr 14, 2022 8:45:08 PM

Im Rahmen Ihrer beruflichen Laufbahn in der Cybersicherheitsbranche werden Sie sich wahrscheinlich entscheiden müssen, welche Zertifizierung Sie zuerst ablegen möchten. Dabei werden in der Regel CCSP und CISSP gegeneinander abgewogen. Diese Entscheidung hängt von mehreren wichtigen Faktoren ab.

In diesem Artikel erhalten Sie einen Überblick über und eine Entscheidungshilfe zu diesen beiden Zertifizierungen.

Überblick: CCSP vs. CISSP

Sowohl CCSP als auch CISSP sind Zertifizierungsprogramme, die von ISC2 entwickelt wurden und für jeden Sicherheitsexperten hilfreich sind. Sie unterscheiden sich in der Schwerpunktsetzung, in der Zielgruppe und darin, wie sie sich für die weitere berufliche Entwicklung nutzen lassen.

Es gibt zwar Unterschiede in Bezug auf die Inhalte, die Gestaltung und die Kosten der Prüfung. Es gibt allerdings auch einige Gemeinsamkeiten zwischen den Zertifizierungen. Zum Beispiel haben beide eine Gültigkeitsdauer von 3 Jahren und ähnliche Verlängerungsanforderungen. Und unabhängig von der Zertifizierung – auch wenn man beide hat – müssen Mitglieder eine jährliche Verwaltungsgebühr (AMF, Annual Maintenance Fee) von 125 $ zahlen.

Certified Cloud Security Professional (CCSP)

Die CCSP-Zertifizierung (Certified Cloud Security Professional) konzentriert sich auf Cloud-Sicherheit, -Architektur, -Design und -Betrieb und ist für Sicherheitsexperten sowie Unternehmens- und Systemarchitekten gedacht.

Voraussetzungen für CCSP

Um die Zertifizierungsprüfung ablegen zu können, müssen Sie einige Voraussetzungen erfüllen. Darunter:

  • Mindestens fünf Jahre (kumulativ) bezahlte Berufserfahrung im IT-Bereich, einschließlich:
    • Drei Jahre in der Informationssicherheit
    • Ein Jahr in einem oder mehreren der sechs Bereiche im CCSP-CBK (Common Book of Knowledge):
      • 1. Cloud-Konzepte, -Architektur und -Design
      • 2. Sicherheit von Cloud-Daten
      • 3. Sicherheit der Cloud-Plattform und -Infrastruktur
      • 4. Sicherheit von Cloud-Anwendungen
      • 5. Cloud Security Operations
      • 6. Recht, Risiko und Compliance

Wenn Sie jedoch das CCSK-Zertifikat der CSA erwerben, müssen Sie nicht über ein Jahr Erfahrung in einem der sechs Bereiche verfügen. Wenn bereits CISSP-zertifiziert sind, müssen Sie keine der Voraussetzungen erfüllen. Weitere Informationen finden Sie auf der Website von ISC2.

Die Zertifizierung ist drei Jahre lang gültig, Sie können sie jedoch verlängern, solange Sie jedes Jahr 30 CPE-Credits (Continuous Professional Education Credits) und insgesamt 90 CPE-Credits erworben haben.

CCSP-Prüfungsformat

Die Prüfung wird im August 2022 vom aktuellen Format (geändert im August 2019) auf ein neues Format umgestellt. Wir geben Ihnen einen Überblick über das (zum jetzigen Zeitpunkt) aktuelle Prüfungsformat und die detaillierten Änderungen, die für 2022 geplant sind.

Die CCSP-Prüfung ist eine dreistündige Prüfung, bei der zum Bestehen 700 von 1000 Punkten (70 %) erreicht werden müssen. Sie umfasst 125 Fragen im Multiple-Choice-Format mit einer fast gleichmäßigen Gewichtung in den sechs oben aufgeführten Bereichen.

Die einzigen Ausnahmen sind Bereich 2: Sicherheit von Cloud-Daten (19 %) und Bereich 6: Recht, Risiko und Compliance (13 %). Die Teilnahme an der Prüfung kostet 599 $.

In der neuen Fassung von 2022 unterscheiden sich die Prüfungen nur noch in der Gewichtung der verschiedenen Bereiche. Bereich 2: Sicherheit von Cloud-Daten wurde auf 20 % hochgestuft. Zum Ausgleich wurde Bereich 5: Cloud Security Operations auf 16 % herabgestuft.

Den vollständigen Prüfungsaufbau finden Sie unter den folgenden Links:

Certified Information Systems Security Professional (CISSP)

Die CISSP-Zertifizierung (Certified Information Systems Security Professional) konzentriert sich mehr auf die Cybersicherheit und prüft das Fachwissen und die Fähigkeit, ein Cybersicherheitsprogramm zu entwerfen, umzusetzen und zu verwalten.

Mit diesem Zertifikat kann man in zahlreichen verschiedenen Positionen arbeiten, von der Grundlagenarbeit in der Cybersecurity bis hin zur Architektur.

Voraussetzungen für CISSP

Die Voraussetzungen für die CISSP-Prüfung sind etwas strenger als für die CCSP-Prüfung. Sie benötigen:

  • Mindestens fünf Jahre (kumulativ) bezahlte Berufserfahrung in zwei oder mehr der acht Bereiche des CISSP-CBK (Common Book of Knowledge):
    • 1. Sicherheits- und Risikomanagement
    • 2. Bestandssicherheit
    • 3. Sicherheitsarchitektur und -technik
    • 4. Kommunikations- und Netzwerksicherheit
    • 5. Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM)
    • 6. Sicherheitsbewertung und -prüfung
    • 7. Sicherheitsbetrieb
    • 8. Sicherheit in der Softwareentwicklung

Wenn Sie einen vierjährigen Hochschulstudiengang (oder einen entsprechenden regionalen Abschluss) absolviert bzw. eine Qualifikation von der ISC2-Liste haben, zählt dies zur erforderlichen Erfahrung in einem Bereich. Die Liste der von ISC2 akzeptierten Qualifikationen finden Sie auf der CISSP-Website hier.

Die Zertifizierung ist für drei Jahre gültig, wobei Sie in diesen drei Jahren jährlich 40 CPE-Credits erwerben müssen, insgesamt 120.

CISSP-Prüfungsformat

Das Prüfungsformat wurde am 1. Mai 2021 geändert und die Prüfung läuft nun ähnlich ab wie die CCSP-Prüfung. Es handelt sich um eine dreistündige Prüfung, bei der mindestens 700 von 1000 möglichen Punkten erreicht werden müssen, um zu bestehen. Die Kosten für die Prüfung betragen 749 $.

Es werden zwischen 100 und 150 Fragen geprüft, eine Mischung aus Multiple-Choice-Fragen und „fortschrittlichen innovativen Aufgaben“, die quasi Drag-and-Drop-Fragen sind. Es sind keine Textantworten erforderlich.

Zum Zeitpunkt der Erstellung dieses Dokuments sind die Prüfungsgewichtungen in den 8 Bereichen wie folgt.

  1. Sicherheits- und Risikomanagement: 15 %
  2. Bestandssicherheit: 10 %
  3. Sicherheitsarchitektur und -technik: 13 %
  4. Kommunikations- und Netzwerksicherheit: 13 %
  5. Identitäts- und Zugriffsmanagement (IAM): 13 %
  6. Sicherheitsbewertung und -prüfung: 12 %
  7. Sicherheitsbetrieb: 13 %
  8. Sicherheit in der Softwareentwicklung: 11 %

Um die Prüfungsübersicht zu sehen, besuchen Sie hier die Seite zur CISSP-Prüfung.

CCSP und CISSP: Gehaltsvergleich

Ihre Zertifizierung kann sich darauf auswirken, welche Arbeiten Sie machen können und wie viel Sie verdienen. Das sind beides wichtige Aspekte, wenn Sie sich für eine Zertifizierung entscheiden möchten.

Die Gehälter variieren stark je nach Region und der Art der Cybersecurity-Position, die Sie übernehmen. Recherchieren Sie also unbedingt, bevor Sie diese wichtige Entscheidung treffen. Es gibt jedoch einige gute Umfragen, die uns ein Gefühl dafür geben können, welche Gehälter Fachleute mit diesen Zertifizierungen verdienen können.

CCSP-Gehaltsschätzung

Laut der ISC2-Studie über die Cybersecurity-Branche verdienen Fachleute mit einer CCSP-Zertifizierung in Nordamerika durchschnittlich 114.172 Dollar pro Jahr. Global gesehen liegt diese Zahl etwas niedriger, mit einem Jahresgehalt von 80.717 Dollar.

Die Gehaltsumfrage des Certification Magazine ergab jedoch, dass IT-Profis mit einer CCSP-Zertifizierung durchschnittlich 150.400 Dollar in den USA und 119.880 Dollar weltweit verdienen.

CISSP-Gehaltsschätzung

Laut der ISC2-Studie über die Cybersecurity-Branche verdienen Experten mit einer CISSP-Zertifizierung in Nordamerika durchschnittlich 120.552 Dollar pro Jahr. Weltweit verdienen sie im Durchschnitt 92.639 Dollar pro Jahr.

Laut der Gehaltsumfrage des Certification Magazine verdienen Fachleute mit einer CISSP-Zertifizierung in den USA durchschnittlich 134.890 Dollar pro Jahr und weltweit 114.270 US-Dollar. In der Umfrage wurden jedoch Fachleute mit Hochschulabschluss befragt, die in der IT-Architektur und im Management tätig sind. In den USA belaufen sich diese Gehälter auf bis zu 149.690 bzw. 137.110 US-Dollar pro Jahr.

Was Sie bedenken sollten

Die Entscheidung für eine Zertifizierung ist nicht einfach. Hier sind daher einige Fragen, die Ihnen dabei helfen können.

Möchte ich Karriere im Bereich Cybersecurity machen?

Obwohl beides Cybersecurity-Zertifizierungen sind, erfordert das CISSP-Zertifikat ein breiteres und tieferes Verständnis von mehr Cybersecurity-Themen und kann Fachleute auch in Managementpositionen für Cybersecurity-Programme bringen.

Die CCSP hingegen ist spezifischer auf Cloud-Sicherheit und -Architektur ausgerichtet. Dadurch sind Ihre spezifischen Optionen für Cybersecurity-Positionen ein wenig beschränkt, Sie haben aber auch die Möglichkeit, in Cloud-spezifische Positionen zu wechseln.

Erhalte ich nur eine Zertifizierung?

Wenn Sie planen, sich mehrfach zertifizieren zu lassen, ist die CISSP wahrscheinlich die bessere Wahl, da andere Zertifizierungen, wie etwa auch die CCSP, vor allem Erweiterungen der CISSP sind.

Wie viel Zeit habe ich?

Dies ist eher eine praktischere Überlegung. CCSP ist besser umrissen, wird als Multiple-Choice-Prüfung durchgeführt und es werden weniger Bereiche abgefragt.

Wie wichtig ist Ihnen das Gehalt auf kurze Sicht?

Bei den Erwägungen zum Gehalt sollten Sie auch bedenken, welche Art von Aufgaben Sie mit diesen Zertifizierungen übernehmen können. CCSP-Prüfungen fragen ein moderneres Skillset ab, und die entsprechenden Stellen haben eine niedrigere untere Gehaltsspanne.

Da Sie jedoch mit der CISSP-Zertifizierung eine viel breitere Erfahrung im Bereich der Cybersicherheit nachweisen und so in Führungspositionen kommen können, liegt die Obergrenze hier höher. Wenn Sie allerdings ganz unten anfangen, kann Ihr Gehalt hier deutlich niedriger ausfallen als mit der CSSP-Zertifizierung.

Kontinuierliche Weiterbildung im Bereich Cybersecurity

Wenn Sie vorhaben, eine Weile im Bereich Cybersecurity zu bleiben, sollten Sie sich nicht zu sehr unter Druck setzen. Beide Zertifizierungen sind äußerst nützlich, es gibt also keine falsche Entscheidung.

Denken Sie daran, dass die CCSP-Zertifizierung eher ein Beleg für Kenntnisse in der Cloud-Sicherheit und -Architektur ist, was für alle Unternehmen äußerst wichtig ist. Dadurch bringt sie Ihnen auch außerhalb der traditionellen Cybersecurity Vorteile.

Wenn Sie mehr über Schulungs- und Zertifizierungsprogramme erfahren möchten, besuchen Sie die Varonis-Website hier.