CCSP, CCSK und SEC524: Cloud-Security-Zertifizierungen im Überblick

Sicherheitsexperten sind gefragt, jene mit ausgewiesenen Cloud-Kenntnissen umso mehr. Grund genug, gängige Cloud-Zertifizierungen näher zu betrachten.

Der Wert mancher Zertifizierungen wird immer wieder in Frage gestellt. Aber auch wenn es schwarze Schafe gibt: Die meisten Zertifizierungen bieten IT-Experten mehr Vorteile, als das allein in Eigenregie angelernte Wissen. Eine gute Zertifizierung deckt beispielsweise ein breites Themenspektrum ab. Statt nur auf einen einzelnen Aspekt einzugehen, muss der Lernende das eigentliche Thema und zugehörige Informationen erfassen. Einige, augenscheinlich langweilige, Kapitel zu überspringen, ist nicht wirklich clever, wenn am Ende des Lehrgangs eine Prüfung ansteht.

Eine Zertifizierung zwingt den Lernenden dazu, sich das Kursmaterial wirklich anzusehen, nicht nur flüchtig durchzulesen. Zudem setzt die Prüfung einen konkreten Zeitpunkt für das Ende des Lehrgangs. Dazu kommt, dass ein Zertifikat wie der Certified Information Systems Security Professional (CISSP) einem aktuellen oder potentiellen Arbeitgeber zeigt, dass der Empfänger des Zertifikats Zeit und Geld in seine Fähigkeiten investiert hat.

Die Sicherheitsindustrie existiert seit Jahrzehnten, dementsprechend gilt das auch für einige der bekanntesten Zertifikate. Die CISSP Zertifikate von (ISC)2 gibt es etwa seit 1994. Der Certified Information Systems Auditor von ISACA reicht bis 1987 zurück.

Einige dieser etablierten Anbieter haben inzwischen Cloud-Themen in ihr Curriculum aufgenommen, schließlich sind diese Bereiche immer relevanter. Allerdings gehen sie oftmals nicht sehr in die Tiefe, teilweise wird die Cloud nur einige Buchseiten lang betrachtet. Angesichts der Bedeutung der Cloud in der aktuellen IT-Landschaft und der diesbezüglichen Herausforderungen für die IT-Sicherheit, kann dies eventuell zu wenig sein. Themen wie Man-in-the-Cloud-Angriffe etwa sollten gezielt besprochen werden. Glücklicherweise gibt es spezielle Angebote, die sich auf die Cloud und deren Absicherung fokussieren.

(ISC)2 Certified Cloud Security Professional (CCSP)

Die wahrscheinlich älteste und umfangreichste Zertifikation zu Cloud-Sicherheit ist der CCSP von (ISC)2. Das (ISC)2 existiert seit über 20 Jahren, der angebotene CISSP ist wahrscheinlich der de-facto Standard unter den Zertifikaten. Obwohl dieser Lehrgang inzwischen viele Informationen zum Thema Cloud abdeckt, der spezialisierte CCSP greift das Thema auf und treibt es deutlich weiter. Die Zertifizierung deckt eine große Anzahl von Cloud-basierten Themen ab. Dazu gehören beispielsweise die Cloud Application Security oder Cloud Plattform Security, das Zertifikat geht hier ins Detail.

Wer diesen Abschluss anstrebt, dem muss klar sein, dass der Kurs einiges an Zeit in Anspruch nimmt. Zudem macht es Sinn, einen Anbieter von entsprechenden Trainings in Anspruch zu nehmen, um die Chance auf einen erfolgreichen Abschluss zu erhöhen.  Bevor der Nutzer zertifiziert werden kann, muss eine mehrjährige Erfahrung in Themen wie Sicherheit und Cloud nachgewiesen werden. Das sind hohe Anforderungen, die aber auch zum Ansehen des Zertifikats beitragen.

Cloud Security Alliance's Certificate of Cloud Security Knowledge (CCSK)

Eine etwas leichtere Alternative zum Schwergewicht CCSP kommt von der Cloud Security Alliance. Das CCSK-Zertifikat kümmert sich gezielt um Cloud-Sicherheit, geht aber wie CCSP auch auf die technischen Details ein.

Es gibt allerdings einige Unterschiede zwischen den beiden Programmen. Der Umfang des Programms ist beim CCSK weniger breit als beim CCSP. Das für den CCSK notwendige Material ist kostenlos im Internet erhältlich. Es besteht aus zwei Dokumenten, zusätzliche Bücher oder Kurse sind nicht notwendig. Zudem benötigt man keine vorherige Erfahrung, um den CCSK ablegen zu können.

Für Einsteiger oder angehende Profis ist der CCSK daher eine gute Alternative um ihre Erfahrung im Bereich Cloud-Sicherheit zu dokumentieren. Das Zertifikat bietet einen guten Überblick und eignet sich auch dann, wenn man nicht die Zeit oder Ressourcen hat, den CCSP anzugehen.

SANS Institut Cloud Security Fundamentals (SEC524)

Das SANS Institut ist bekannt für seine praxisnahen (und teilweise teuren) Trainings im Sicherheitsbereich, die von erfahrenen Ausbildern geleitet werden. Das Training für den SEC524 erfolgt im Rahmen eines zweitägigen Programms. Anschließend lässt sich ein optionales Examen ablegen, das kann auch später erfolgen. Training und Examen sind nicht billig, Kunden können mit etwa 4.000 US-Dollar Kosten rechnen.

Der Zwei-Tages-Kurs ist verpflichtend, denn der SEC524 kann anders als der CCSP oder der CCSK nicht im Selbststudium abgelegt werden. Allerdings sind ein praktisches Training sowie der Zugriff auf Labs Teil des Kurses. Das kann sich für Firmen und Einzelpersonen durchaus lohnen, wenn Wert auf eine umfangreiche technische Ausbildung gelegt wird.

Cloud-Security-Zertifikate

Einige Anbieter von Cloud-Plattformen wie Microsoft oder Amazon bieten ebenfalls Trainings an. Es gibt zudem weitere, weniger bekannte Zertifizierungsprogramme. Die gilt es dann nach den eigenen Gegebenheiten und Voraussetzungen einzuschätzen.

Natürlich spricht auch viel für IT-Profis, die sich Cloud-Sicherheit selbst beibringen. Als die ersten Cloud-Angebote starteten, gab es keine entsprechenden Programme. Profis, die sich damals mit den Techniken auseinandersetzen, konnten nicht auf die Anbieter warten. Viele haben sich seit damals über verschiedene Quellen weitergebildet. Ein Zertifikat kann dieses Wissen standardisieren und bestehende Lücken füllen. Wer nach neuen Herausforderungen im Bereich Cloud-Sicherheit sucht, dem kann ein Zertifikat helfen. Potentielle Arbeitgeber können so die fachlichen Fähigkeiten einschätzen und erhalten die Bestätigung einer unabhängigen, dritten Stelle.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cloud Security: Diese Kenntnisse und Fähigkeiten sind gefragt

Studie: Fachleute in Sachen IT-Sicherheit gesucht

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit

Man-in-the-Cloud-Attacken erkennen und abwehren

Erfahren Sie mehr über IT-Berufe und Weiterbildung