Es ist der perfekte Zeitpunkt für eine CISM- oder CISSP-Zertifizierung oder überhaupt jede Cybersicherheitszertifzierung: Laut Gartner liegt die Arbeitslosenrate unter Cybersicherheitsspezialisten bei Null – es gib also keine Arbeitlosen. Tatsächlich gibt es mehr Stellenangebote als qualifizierte Arbeitssuchende und ausgeschriebene Stellen bleiben lange unbesetzt.

CISM und CISSP gehören zu den renommiertesten Zertifizierungen für Führungspersonal und Experten im Cybersicherheitsbereich, aber die Anforderungen sind auch anspruchsvoll. Für beide müssen Sie eine beträchtliche Menge Zeit und Geld investieren – weshalb Sie sicher sein sollten, welche für Sie die richtige ist. Unser Vergleich der beiden Zertifizierungen soll Sie bei der Entscheidung unterstützen.

CISM (Certified Information Security Manager)

CISM (ausgesprochen als Sism mit scharfen S am Anfang und weichem S in der Mitte) ist eine Zertifizierung durch die ISACA, mit der Ihr Wissen und Ihre Kompetenz bei der Leitung von Informationssicherheitsteams in Unternehmen nachgewiesen wird. Die CISM-Zertifizierung macht Sie bei Arbeitgebern weltweit zu einem begehrten Kandidaten, weil sie die Leistung und Kompetenz, die mit der Zertifizierung nachgewiesen wird, zu schätzen wissen. CISM zeigt, dass Sie über umfassende Kenntnisse der technischen Kompetenzen rund um Datensicherheit verfügen und die geschäftlichen Ziele dieses Bereichs verstehen.

Die CISM-Zertifizierung erfolgt in mehreren Schritten. Sie müssen eine Mindestpunktzahl in der CISM-Prüfung erreichen, die 200 Multiple-Choice-Fragen zu den folgenden Themenstellungen umfasst:

  • Informationssicherheitsmanagement
  • Informationsrisikomanagement und Compliance
  • Entwicklung und Steuerung von Informationssicherheitsprogrammen
  • Management von Informationssicherheitsverstößen

Außerdem müssen Sie 5 Jahre Berufserfahrung auf dem Feld der Informationssicherheit innerhalb der letzten 10 Jahre vor der Zertifizierung nachweisen, wobei Sie drei dieser fünf Jahre in einer Führungsposition gearbeitet haben müssen. Es gibt einige akzeptable Ersatzleistungen – zum Beispiel kann eine CISSP-Zertifizierung als zweijährige Berufserfahrung angerechnet werden.

Und zuletzt gibt es noch den Grundsatz kontinuierlicher Weiterbildung. Um Ihr Zertifikat zu behalten, müssen Sie 20 CPE-Credits pro Jahr und 120 CPE-Credits über drei Jahre erreichen und sich zur Einhaltung des Code of Professional Ethics verpflichten.

Die ISACA bietet auf ihrer Website Materialien für die Vorbereitung auf die CISM-Prüfung und Beispielfragen an. Außerdem veranstaltet sie weltweit Schulungsveranstaltungen und Prüfungs-Bootcamps.

CISSP (Certified Information Systems Security Professional)

Das CISSP (mit einzeln ausgesprochenen Buchstaben) ist ein weiteres hoch angesehenes Informationssicherheitszertifikat, das von (ISC)2 angeboten wird. Mit dem CISSP-Zertifikat weisen Sie nach, dass Sie über die erforderlichen Kompetenzen verfügen, um ein Cybersicherheitsprogramm zu entwickeln, einzuführen und zu verwalten.

Ähnlich wie das CISM richtet sich das CISSP üblicherweise an erfahrene Praktiker in Management- oder Führungspositionen, wird aber auch von erfahrenen Sicherheitsanalysten und -technikern angestrebt. CISSP-zertifizierte Analysten sind im Vergleich zu anderen IT-Zertifikaten stark gefragt und gut bezahlt.

Für das CISSP-Zertifizierungsverfahren müssen Sie mehrere Kriterien erfüllen: Zunächst müssen Sie eine Hintergrundprüfung bestehen. Außerdem müssen Sie fünf Jahre Berufserfahrung als Sicherheitsexperte in zwei der acht Wissensgebiete im (ISC)2 Critical Body of Knowledge (CBK) nachweisen. Diese Gebiete sind:

  • Sicherheits- und Risikomanagement
  • Asset-Schutz
  • Sicherheitstechnik
  • Kommunikations- und Netzwerksicherheit
  • Identitäts- und Zugriffsmanagement
  • Sicherheitsbewertung und -prüfung
  • Operative Sicherheit
  • Sicherheit bei der Softwareentwicklung

Wenn Sie die Anforderungen hinsichtlich der Berufserfahrung nicht erfüllen, können Sie Associate von (ISC)2 werden, was eine kürzere Prüfung voraussetzt und Sie für die laufende Qualifizierung als Mitglied von (ISC)2 qualifiziert. Das Programm ist ein guter Zwischenschritt auf dem Weg zur vollen CISSP-Zertifizierung.

Wenn Sie über die erforderliche Berufserfahrung verfügen, müssen Sie eine Prüfung mit 250 Fragen und einer zeitlichen Begrenzung von 6 Stunden bestehen. (ISC)2 hat die Prüfung im April 2018 aktualisiert, allerdings nicht so stark, dass die älteren Vorbereitungsmaterialien veraltet wären. Die Prüfung umfasst Fragen aus allen acht Wissensbereichen des CBK.

Nachdem Sie die Prüfung bestanden haben, brauchen Sie noch die Befürwortung eines anerkannten aktuellen (ISC)2-Mitglieds. Networking zahlt sich in diesem Fall aus.

Um Ihre Zertifizierung aufrecht zu erhalten, müssen Sie Ihren Mitgliedstatus bei (ISC)2 behalten. Mitglieder müssen Ihre jährlichen Mitgliedsgebühren bezahlen und alle drei Jahre 120 CPEs verdienen.

 CISM oder CISSP? Welche Option ist für mich besser?

Wenn Sie im Infosec-Bereich tätig sind oder tätig werden wollen, ist es eine gute Idee, sich in irgendeiner Form zertifizieren zu lassen. Welches Zertifikat Sie wählen, hängt von mehreren Faktoren ab. Einige Menschen holen sich beide. Die meisten legen aber zuerst das CISSP-Zertifikat und später das CISM, die Reihenfolge spielt aber keine Rolle. Die nachstehend aufgeführten weiteren Faktoren können Ihnen vielleicht bei der Entscheidung helfen:

  • Auf Gehaltsebene sind die beiden Zertifizierungen ungefähr gleichwertig.
  • Auf LinkedIn sind 8.906 CISM-Stellen ausgeschrieben.
  • Die Anzahl der auf LinkedIn ausgeschriebenen CISSP-Stellen liegt bei 21.714.

Sowohl bei CISM als auch bei CISSP müssen Sie eine bestimmte Anzahl von CPE-Credits verdienen, um die Zertifizierung zu behalten. Es gibt mehrere Methoden, um CPE-Credits zu verdienen – Sie können Webinare über Cybersicherheitsthemen belegen, an Konferenzen teilnehmen oder lokale CISSP- oder CISM-Treffen besuchen. Außerdem können Sie Credits verdienen, indem Sie ehrenamtlich bei bestimmten Cybersicherheitsveranstaltungen mitwirken oder als Mentor für andere Mitglieder tätig werden. CISM und CISSP haben jeweils eigene Leitfäden, mit denen Sie sich vertraut machen sollten. Außerdem müssen Sie bei Ihrer Entscheidung, welchen Weg Sie einschlagen wollen, auch die Pflichten berücksichtigen, die Sie zur Aufrechterhaltung der Zertifizierung erfüllen müssen.

Varonis bietet kostenlose Sicherheitsschulungen an, zu denen auch  für CPE qualifizierte Videokurse gehören, in denen eine Reihe von Themen abgedeckt werden – von Wesentliche Aspekte von PowerShell und Active Directory mit Adam Bertram bis zu Grundlagen der Sicherheit im Web mit Troy Hunt. Wir führen auch das ganze jahr lang CPE-taugliche Webinare mit Themen wie Insider-Risiken, DSGVO-Compliance, HIPAA-Compliance, Best Practices für Sicherheit mit Office 365 oder Schutz des Active Directory durch.

Wahrscheinlich ist die wichtigste Frage, die Sie sich stellen sollten, welche langfristigen Karriereziele Sie verfolgen. Möchten Sie CIO oder eine Führungskraft mit Verantwortung für den Infosec-Bereich werden? Dann sollten Sie sich CISM näher anschauen. Planen Sie eine lange Laufbahn als Sicherheitstechniker? Dann ist CISSP möglicherweise die bessere Wahl. Es ist auch nicht unüblich, zuerst das eine Zertifikat zu erlangen und das andere später zu ergänzen.

Unabhängig davon, welche Zertifizierung Sie wählen: Sie tun sich selbst und Ihrer Infosec-Karriere einen riesigen Gefallen. Beide Optionen öffnen die Tür zu Gehaltserhöhungen, neuen Stellen und neuen beruflichen Herausforderungen. Ob Sie nun mit CISM oder CISSP anfangen: Sie können sich sicher sein, eine gute Karriereentscheidung getroffen zu haben.