Wahl der richtigen Sicherheitszertifizierung: die Zertifizierungen CISSP, CISM, CISA und CRISC im Vergleich

Wenn Sie sich als Experte für Cybersicherheit positionieren möchten, ist das mit Sicherheit eine gute Entscheidung! Die Nachfrage nach kompetenten Sicherheitsexperten ist hoch und wird es auch bleiben, sodass auch die Verdienstmöglichkeiten sehr gut sind. Laut dem „2018 IT Skills and Salary Report“ von Global Knowledge sehen 41 Prozent der Unternehmen in den USA eine ihrer größten Herausforderungen darin, qualifizierte Cybersicherheitsexperten zu finden. Zudem verdienen zertifizierte Fachkräfte durchschnittlich 22 Prozent mehr als Kollegen ohne Zertifizierung.

Für die Zertifizierung im Bereich Cybersicherheit gibt es zwei weltweit anerkannte Anbieter: die ISACA und das (ISC)2. Die höchste Zertifizierung von (ISC)2 ist der „Certified Information Systems Security Professional“ (CISSP). ISACA bietet drei unterschiedliche Sicherheitszertifizierungen an: den „Certified Information Systems Auditor“ (CISA), den „Certified Information Security Manager“ (CISM) und das Zertifikat „Certified in Risk and Information Systems Control“ (CRISC).

Sie alle richten sich an IT-Fachkräfte mit mindestens fünf Jahren Berufserfahrung und setzen die regelmäßige Teilnahme an Weiterbildungen voraus, um die Zertifizierung aufrechtzuerhalten. Das damit verbundene Know-how und Ansehen schlagen sich auch auf den Verdienst nieder. Welche Zertifizierungen sind also für Sie von größtem Nutzen? Um Ihnen die Entscheidung zu erleichtern, stellen wir die einzelnen Zertifizierungen in diesem Artikel ausführlich vor.

(ISC)2: Certified Information Systems Security Professional (CISSP)

Das Wichtigste in Kürze

Das 1989 gegründete (ISC)2 ist eine der weltgrößten Organisationen im Bereich IT-Sicherheit und Cybersicherheit. Sie entwickelt Sicherheitsstandards und bietet Schulungen und Zertifizierungen für ihre Mitglieder und Unternehmen an. Die Zertifizierung zum CISSP wurde 1994 vom (ISC)2 erstmals angeboten und ist das höchste Zertifikat im Zertifizierungsprogramm der Organisation. Weltweit wurden bereits mehr als 140.000 IT-Profis als CISSPs zertifiziert. Die Zertifizierung genießt hohes Ansehen bei Arbeitgebern. Eine informelle Stellensuche über das Portal SimplyHired ergab fast 9.700 Stellenangebote, in denen die CISSP-Zertifizierung als Voraussetzung genannt wurde. Die Zertifizierung zum CISA wurde im Vergleich dazu nur 4.511 Mal und die CISM-Zertifizierung nur 3.004 Mal gefordert.

Die CISSP-Zertifizierung richtet sich an Sicherheitsexperten in unterschiedlichsten Rollen, darunter Manager, Sicherheitstechniker und Sicherheitsverantwortliche. Sie gilt als Nachweis dafür, dass ein IT-Profi über die nötigen Kenntnisse für die Konzeption, Entwicklung, Umsetzung, Kontrolle und Durchführung von Cybersicherheitsprogrammen für sein Unternehmen verfügt. Typische Rollen eines CISSP sind: CIO, CISO, Sicherheitsleiter, Sicherheitsarchitekt, Netzwerkarchitekt, IT-Leiter, IT-Manager, Sicherheitsanalyst, Prüfer, Berater und Systems Engineer.

Neben der grundlegenden CISSP-Zertifizierung gibt es drei weitere sogenannte CISSP-Concentrations zum Nachweis von besonderen Kenntnissen in einem Spezialgebiet:

  • Information Systems Security Architecture Professional (CISSP-ISSAP)
  • Information Systems Security Engineering Professional (CISSP-ISSEP)
  • Information Systems Security Management Professional (CISSP-ISSMP)

Erlangung eines CISSP-Zertifikats

Die CISSP-Zertifizierung ist mit hohen Anforderungen verbunden. Qualifizierte Kandidaten müssen:

  • mindestens fünf Jahre Berufserfahrung in mindestens zwei der acht Sachgebiete des Common Body of Knowledge (CBK) nachweisen können
  • die CISSP-Prüfung bestehen (Prüfungsgebühr: 699 USD)
  • sich zur Einhaltung bestimmter ethischer Grundsätze verpflichten
  • innerhalb von neun Monaten nach Absolvieren der Prüfung ihre Kenntnisse von einem (ISC)2-Experten bestätigen lassen

Derzeit umfasst der CISSP CBK folgende Sachgebiete:

  • Sicherheits- und Risikomanagement
  • Sicherheit von Informationen und Vermögenswerten
  • Sicherheitsarchitektur und Entwicklung
  • Kommunikations- und Netzwerksicherheit
  • Identitäts- und Zugriffsverwaltung
  • Sicherheitsbewertung und -tests
  • Sicherer Betrieb
  • Sichere Softwareentwicklung

Sie möchten die Prüfung zur Erlangung der CISSP-Zertifizierung absolvieren? Netwrix hilft Ihnen dabei: Ein CISSP-zertifizierter Experte gibt in unserem Blog sieben Tipps, wie Sie die CISSP-Prüfung auf Anhieb erfolgreich bestehen. Wir haben außerdem informative Handbücher und Schulungsunterlagen für Sie zusammengestellt, die Sie auf Ihrem Weg zur CISSP-Zertifizierung unterstützen. Und mit unseren CISSP-Prüfungsaufgaben können Sie Ihr Wissen vorab testen.

Aufrechterhalten der Zertifizierung

Die CISSP-Zertifizierung gilt für einen Zeitraum von drei Jahren und kostet jährlich 85 USD. Für die Rezertifizierung müssen CISSPs entweder die aktuelle Prüfung absolvieren oder durch Weiterbildungsaktivitäten 120 CPE-Punkte (Continuing Professional Education) sammeln (mindestens 40 Punkte pro Jahr). Informieren Sie sich auch über die seit April 2018 geltenden neuen Anforderungen für die CISSP-Prüfung.

Vorteile

In der vom (ISC)2 2017 durchgeführten Global Information Security Workforce Study nannten Teilnehmer mit CISSP-Zertifizierung ein durchschnittliches Jahresgehalt von 120.000 USD. Auf SimplyHired beträgt der durchschnittliche Verdienst 66.078 USD und reicht bis zu 127.071 USD. Laut der Studie von Global Knowledge aus dem Jahr 2018 beläuft sich das durchschnittliche Jahresgehalt von CISSPs in den USA auf 109.965 USD. Damit ist der CISSP die wichtigste Cybersicherheitszertifizierung, was die Verdienstmöglichkeiten betrifft.

ISACA-Zertifizierungen

Das Wichtigste in Kürze

Die 1969 gegründete Information Systems Audit and Control Association (ISACA) ist eine weltweit anerkannte und renommierte Organisation mit mehr als 140.000 Mitgliedern in 180 Ländern. Die vier Zertifizierungen der ISACA richten sich an IT-Profis in unterschiedlichen Disziplinen:

  • Certified Information Systems Auditor (CISA) – für Revisoren
  • Certified Information Security Manager (CISM) – für Sicherheitsmanager
  • Certified in Risk and Information Systems Control (CRISC) – für Risikomanagement-Experten
  • Certified in the Governance of Enterprise IT (CGEIT) – für Governance-Experten

Unsere Beschreibung beschränkt sich auf die ersten drei dieser Zertifizierungen, da Governance nicht zu unseren Schwerpunkten zählt.

Erlangung eines ISACA-Zertifikats

Alle Kandidaten müssen

  • die strengen Anforderungen im Hinblick auf ihre Berufserfahrung erfüllen (weitere Details siehe unten)
  • die Zertifizierungsprüfung erfolgreich ablegen (Prüfungsgebühr: 575 USD für ISACA-Mitglieder, 760 USD für Nichtmitglieder); da die Prüfungen nur dreimal jährlich durchgeführt werden, sollten sich Kandidaten frühzeitig anmelden.
  • sich zur Einhaltung des Berufsehrenkodex und zur fortlaufenden beruflichen Weiterbildung (Continuing Professional Education, CPE) verpflichten
  • weitere Anforderungen erfüllen (Details siehe unten)

Aufrechterhalten der Zertifizierung

Die ISACA-Zertifizierungen gelten für einen Zeitraum von drei Jahren und kosten jährlich 45 USD für ISACA-Mitglieder bzw. 85 USD für Nichtmitglieder. Für die Rezertifizierung müssen 120 CPE-Punkte gesammelt werden (mindestens 20 CPE-Punkte jährlich).

CISM

Die Anforderungen und Vorteile der CISM-Zertifizierung lassen sich am besten im Vergleich zur CISSP-Zertifizierung veranschaulichen. Zwar geht es bei beiden Zertifizierungen um die Themen Cybersicherheit und Managementkonzepte, doch liegt der Schwerpunkt beim CISSP auf den operativen und technischen Sicherheitsaspekten, während der CISM vor allem Sicherheitsstrategien und deren Zusammenhang mit den Unternehmenszielen im Blick hat.

Der CISM richtet sich insbesondere an Sicherheitsmanager, die für die Bewertung, Konzeption, Verwaltung und Überwachung der Informationssicherheitsumgebung im Unternehmen zuständig sind. Die Kandidaten sollten fundierte Kenntnisse zu den auf dem Markt verfügbaren Technologien besitzen und sich mit deren Implementierung auskennen. Im Rahmen der Zertifizierung zum CISM werden die Kompetenzen und Kenntnisse eines Kandidaten in vier Sachgebieten überprüft:

  • Sachgebiet 1: Informationssicherheits-Governance
  • Sachgebiet 2: Informations-Risikomanagement
  • Sachgebiet 3: Entwicklung und Verwaltung von Informationssicherheitsprogrammen
  • Sachgebiet 4: Informationssicherheits-Vorfallmanagement

Nach Angaben der ISACA gibt es weltweit mehr als 32.000 IT-Profis mit CISM-Zertifizierung. Über 7.500 von ihnen arbeiten als Sicherheitsleiter oder -manager, weitere 3.500 als IT-Leiter oder -Manager. Weitere typische Rollen eines CISM sind Informationssicherheits-/IT-Berater, CIO, Risikomanagement-Experte und Führungspositionen.

Um die CISM-Prüfung ablegen zu können, müssen Kandidaten über mindestens fünf Jahre Berufserfahrung im Bereich Informationssicherheit verfügen. Sie müssen mindestens drei Jahre lang in mindestens drei der oben aufgeführten Sachgebiete gearbeitet haben. Um sich für die Prüfung zu qualifizieren, müssen Kandidaten ihre Erfahrung in den zehn Jahren vor der Anmeldung zur Prüfung erworben haben. Alternativ müssen die Anforderungen an die Berufserfahrung innerhalb von fünf Jahren nach Bestehen der Prüfung erfüllt werden, da andernfalls die in der Prüfung erreichten Punkte verfallen. Kann ein Kandidat andere relevante Zertifizierungen und Weiterbildungen nachweisen, sind unter Umständen weniger Jahre Berufserfahrung erforderlich.

Nach Angaben von Global Knowledge liegt das durchschnittliche Jahresgehalt von CISM-zertifizierten Experten in den USA bei 105.926 USD. Damit belegt der CISM Rang 6 der Zertifizierungen mit den besten Verdienstmöglichkeiten weltweit.

CISA

Die CISA-Zertifizierung richtet sich an IT-Profis, die in den Bereichen Governance und Revision tätig sind. Typische Rollen von CISA-zertifizierten Experten sind Informationssicherheits- oder IT-Revisoren, Revisionsmanager, Revisoren außerhalb der IT und Berater. Daneben arbeiten viele Fachkräfte mit CISA-Zertifizierung in den Bereichen Governance, Wirtschaftsprüfung, Sicherheit und Revisionskontrolle sowie in verschiedenen führenden Positionen.

Im Rahmen der Zertifizierung zum CISA werden das Wissen und die Fähigkeit eines Kandidaten überprüft, die IT- und Geschäftssysteme eines Unternehmens zu bewerten, zu steuern, zu überprüfen und laufend zu überwachen. Nachzuweisen sind Kenntnisse in fünf Bereichen der CISA-Berufspraxis:

  • Sachgebiet 1: Prüfung von Informationssystemen
  • Sachgebiet 2: IT-Governance und IT-Management
  • Sachgebiet 3: Beschaffung, Entwicklung und Implementierung von Informationssystemen
  • Sachgebiet 4: Betrieb von Informationssystemen und Business Resilience
  • Sachgebiet 5: Informationssicherheit

Als Voraussetzung für die Zertifizierung gilt, dass Kandidaten mindestens fünf Jahre Berufserfahrung in den Bereichen Prüfung, Steuerung und Sicherung von Informationssystemen erworben haben und die CISA-Prüfung erfolgreich ablegen müssen. Beim Nachweis einer entsprechenden Aus- und Weiterbildung kann unter Umständen ein Teil dieser Berufserfahrung erlassen werden. Zur Vorbereitung auf die CISA-Prüfung stehen CISA-Präsenzkurse, Online-Schulungen, Software, Review Manuals und Studienleitfäden zur Verfügung. Nach erfolgreichem Bestehen der Prüfung müssen sich Kandidaten außerdem zur Einhaltung der Informationssystem-Prüfungsstandards verpflichten.

Laut dem Bericht von Global Knowledge beträgt das Durchschnittsgehalt von CISA-zertifizierten Experten in den USA 97.117 USD und liegt damit auf Rang 13.

CRISC

Die Zertifizierung zum CRISC richtet sich an IT-Profis, die in ihrem Unternehmen für das IT-Risikomanagement zuständig sind. Typische CRISC-Kandidaten sind CIOs/CISOs, Business-Analysten, Projektmanager und IT-Fachkräfte in den Bereichen Risikomanagement, -steuerung und -prüfung sowie Compliance.

Für die Zertifizierung sind Kenntnisse in diesen Bereichen erforderlich:

  • Sachgebiet 1: IT-Risikoidentifizierung
  • Sachgebiet 2: IT-Risikobewertung
  • Sachgebiet 3: Risikobehandlung und -minderung
  • Sachgebiet 4: Risiko- und Kontrollüberwachung sowie -berichterstattung

Zu den Voraussetzungen für die CRISC-Zertifizierung zählen mindestens drei Jahre Berufserfahrung beim Management von Informationssicherheitsprogrammen in zwei oder mehr CRISC-Sachgebieten (einschließlich Sachgebiet 1 oder 2). Die Berufserfahrung muss innerhalb der vergangenen zehn Jahre vor der Anmeldung zur CRISC-Prüfung oder innerhalb von fünf Jahren nach Bestehen der Prüfung erworben werden.

Laut der Studie von Global Knowledge belegt die CRISC-Zertifizierung mit einem Durchschnittsgehalt von 107.968 USD in den USA Rang 2 hinter der CISSP-Zertifizierung.

Die Zertifizierungen CISSP, CISM, CISA und CRISC im Überblick

* Alle Angaben zum Gehalt stammen aus dem 2018 IT Skills and Salary Report von Global Knowledge.

Zusammenfassung

Bei der Wahl zwischen einer ISACA-Zertifizierung wie dem CISA und einer CISSP-Zertifizierung sollten Sie folgende Aspekte berücksichtigen:

  • Die Zertifizierung zum CISSP eignet sich hervorragend für IT-Profis aus unterschiedlichsten Disziplinen, die sich im Bereich IT-Sicherheit oder Cybersicherheit spezialisieren möchten. Laut der Studie von Global Knowledge ist der CISSP die Zertifizierung mit dem höchsten Durchschnittsgehalt.
  • Nur etwas niedriger ist das Durchschnittsgehalt von CISM-zertifizierten IT-Profis. Während der Schwerpunkt beim CISSP auf operativen und technischen Sicherheitsaspekten liegt, hat der CISM vor allem Sicherheitsstrategien und deren Zusammenhang mit den Unternehmenszielen im Blick.
  • Die CRISC-Zertifizierung belegt im Hinblick auf die Verdienstmöglichkeiten Rang 2. Sie weisen damit umfassende Kenntnisse im Bereich IT-Risikomanagement nach.
  • Wenn Sie sich auf den Bereich Revision spezialisieren möchten, empfiehlt sich eine CISA-Zertifizierung.
Studienleitfaden für die CISSP-Prüfung