Hier ist meine persönliche Geschichte hinter diesem Buch, über Zertifizierungen, Strände und Samurai-Weisheiten.
Vorgeschichte
Möglicherweise wird für Sie neben dem technischen Text auch meine Vorbereitung auf die CCSP-Prüfung interessant sein. Hier ist meine Geschichte…
Ich wollte im Jahr 2025 unbedingt eine CISSP-Zertifizierung erwerben. Wie so oft im Leben habe ich mir selbst diese zwei kleinen Fragen nicht mal gestellt:
- Wofür brauche ich diese Zertifizierung?
- Um welcher Inhalt geht es hier?
Die mehr oder weniger sinnlose Zertifizierung „Certified Ethical Hacker (CEH v12)“ hatte ich hatte ich im Jahr 2025 nämlich bereits geschafft.
Wissen Sie, wo lernt man am besten? Im Urlaub, am Strand, im Schatten der Kiefernbäume. Vier Stunden täglich, 13 Tage lang. Wenn Sie behaupten, dass der Urlaub dazu da ist, sich zu erholen, haben Sie auch recht. Aber wie man in Köln sagt: Jede Eck ist anders.
Ich habe mir jeden Tag unterschiedliche Videos zu verschiedenen CISSP-Domänen aus mehreren Quellen angeschaut – Udemy, YouTube und andere. Einiges kam mir dank der CEH-Zertifizierung sehr bekannt vor, anderes war mir absolut neu, besonders die ständige Wiederholung: „Man muss als CISO denken“.
Einige Diskussionen zur Prüfung waren sogar amüsant. Was ist beim Perimeterschutz sicherer – Doors oder Fencing? Wissen Sie die Antwort? Wahrscheinlich ja, „It depends“. Nicht alle Türen und Gitter sind gleichwertig, der Kontext entscheidet. Oder was ist mit der Überwachungskamera im Mantrap? Gilt diese als zusätzliche Access Control?
Aber eins war mir klar: Die acht CISSP-Module vermitteln enorm breites Wissen in allen Security-Bereichen, und man schafft die CISSP-Prüfung definitiv nicht nach circa 40 Stunden Videos, auch wenn einige Udemy-Trainer das Gegenteil behaupten.
Meine Vorbereitungsschritte
Auf Reddit bin ich auf einen interessanten Tipp gestoßen: Um grob einzuschätzen, ob man Chancen hat, die CISSP erfolgreich zu meistern, sollte man zunächst die CompTIA Security+ * versuchen. Besteht man diese mit nahezu 100%, sind die Chancen auf eine erfolgreiche CISSP-Zertifizierung sehr hoch. Ob das stimmt? Es ist zumindest eine gute Orientierung, Security+ deckt viele CISSP-Grundlagen ab.
Direkt nach dem Urlaub habe ich die CompTIA Security+ Prüfung bestellt. Wenn ich durchfalle, wird es keiner wissen. Wenn ich bestehe, wird es eine Basis für meine Wunschzertifizierung sein. Ich habe bestanden, dank genau der CISSP-Vorbereitung. Zwei Wochen nach dem Urlaub, aber weit weniger als 100%, somit war mein „Erholungsurlaub“ nicht umsonst.
Und so kam ich auf die „glorreiche” Idee, meinen Wissensstand durch weitere realitätsnahe Zertifizierungen auszubauen, um die Lücke zum für die CISSP-Zertifizierung notwendigen Wissen zu verringern. Den Begriff Gap-Analyse kennen Sie ja schon.
Nach dem CompTIA Security+ kam CompTIA CySA+. Es handelt sich um eine in vielen Bereichen sehr praxisnahe Zertifizierung, da die Schwachstellenanalyse keine Abstraktion ist. Auch wenn sich die prüfungsrelevante Berechnung von CVSS-Scores schon wenige Tage nach der Prüfung aus dem Gedächtnis verabschiedet, genau wie die Nmap-Suffixe nach dem CEH-Examen. In meinem Fall war die CySA+-Prüfung sehr hilfreich, da es sehr viele Überschneidungen mit dem CCSP gibt.
* Falls Sie vorhaben, die CompTIA-Security+-Prüfung zu absolvieren, wird diese Information für Sie sehr hilfreich sein.
CCSP als nächstes Ziel
Die nächste Prüfung sollte aus dem Portfolio von ISC2 stammen, um die Struktur des CISSP-Examens besser kennenzulernen und um das Gelernte in der täglichen Tätigkeit anzuwenden. So kam ich auf die Option Certified Cloud Security Professional. Die Rolle der Cloud in der modernen Welt (nicht nur IT) muss wohl nicht näher erläutert werden
CCSP ist keine technische Prüfung, da werden keine Befehle oder Tools abgefragt, selbst die Standards und Normen muss man nur kennen (analog zu CISSP) und wissen, wofür sie gedacht sind. Es muss nichts konfiguriert werden, es gibt auch keine Simulationen.
Wie bereits erwähnt: Es gibt keine Braindumps. Als bestes Lehrmaterial gilt laut Reddit-Community das Official Study Guide & Practice Tests Bundle von Sybex. Meine eigene Vorbereitung war nicht besonders orthodox: Ich habe alle Themen nach dem offiziellen Exam Guide zusammengesucht, aus Videos, vorherigen Prüfungen und frei verfügbaren Quellen aus dem Internet. Ob das empfehlenswert ist? Die Prüfung habe ich bestanden.
Die Prüfung selbst
Das erste Hindernis: Die Prüfung kann nicht mehr zu Hause abgelegt werden, sondern nur in einem zertifizierten Prüfungszentrum. Im Kölner Raum gibt es nur in Düsseldorf oder Maastricht. Die Niederländer würden sich wahrscheinlich wundern, wenn sie erfahren, dass jemand Maastricht zum Kölner Raum zählt. In Düsseldorf war die Prüfung nur sonntags ein- bis zweimal monatlich möglich, im Dezember gar nicht.
Tipp: Den Prüfungstag weit im Voraus planen. Nach meinem ursprünglichen Plan sollte die Prüfung Ende November stattfinden, aber da nur sonntags Termine verfügbar waren, war der nächste freie Slot erst der 18. Januar 2026. Zwei Monate Verzögerung, wenn man mental bereits vorbereitet ist, sind eine Herausforderung. Es ist zwar ein Vorteil, mehr Vorbereitungszeit zu haben, aber die Motivation aufrechtzuerhalten, wenn man eigentlich schon fertig ist, ist die eigentliche Herausforderung.
Was definitiv falsch war: kurz vor der Prüfung Erfahrungsberichte auf Reddit zu lesen. Tun Sie das auf keinen Fall!
Prüfungssprache: Ich habe lange überlegt, ob ich die Prüfung auf Englisch oder Deutsch ablegen soll. Dank des Rats meines Kollegen Christian S. habe ich mich für Deutsch entschieden, was definitiv die richtige Entscheidung war. Einige Fragen sind lang und es geht um Nuancen. Wie bei allen IT-Prüfungen: Zwei Antwortoptionen sind definitiv falsch, zwei weitere liegen oft nah beieinander.
Die Prüfung ist adaptiv und umfasst 100 bis 150 Fragen (die Bestehensgrenze liegt ab 700 Punkten) und dauert bis zu drei Stunden. Bei der Beantwortung habe ich versucht, einem einfachen Prinzip zu folgen: Erst die Frage vollständig lesen und verstehen, erst dann die Antwortoptionen ansehen. Unser Gehirn wird durch falsche Antwortoptionen beeinflusst. Wenn man zuerst die Frage liest, hat man möglicherweise bereits die richtige Antwort im Kopf.
Nach etwa zwei Stunden und über 100 Fragen gab es einige, die ich nicht mehr beantworten konnte, und eine, die ich nicht einmal vollständig verstanden hatte. Dann kam mir ein ketzerischer Gedanke: Alles abbrechen und nach Hause fahren.
Zum Glück erinnerte ich mich in diesem Moment an den Ehrenkodex der Samurai: Der Weg des Kriegers ist der Tod. Wer bereit ist zu sterben, wird leben. Übertragen auf die Situation: Ich ließ die Angst vor dem Scheitern los und konzentrierte mich wieder auf die Fragen. Und wenn ich die Prüfung nicht bestehen sollte, wäre das auch in Ordnung gewesen, man stirbt schließlich nicht daran.
Nach Frage 138 und etwa 2,5 Stunden war die Prüfung zu Ende. Auf dem Monitor stand nichts. Als ich herauskam, begrüßte mich der Mitarbeiter mit den Worten:
– „Gratuliere“
Meine spontane Antwort: – „Wozu?“
– „Sie haben doch die Prüfung bestanden“
Das war der Satz des Tages.
Das Prüfungsergebnis und die weiteren Schritte
Das Ergebnis enthielt keine Punktzahl und keine Auswertung nach Domänen. Nur das:
Congratulations! We are pleased to inform you that you have passed the Certified Cloud Security Professional examination. You have successfully completed the first step toward earning your certification and becoming an ISC2 member.
Wie bei einigen ISC2-Prüfungen üblich, ist das Bestehen der Prüfung erst der erste Schritt und noch keine vollständige Zertifizierung. Es folgen noch zwei weitere Schritte im sogenannten Endorsement-Prozess.
- Nachweis von mindestens fünf Jahren nachweisbarer Erfahrung in zwei oder mehr CCSP-Domänen.
- Ein aktives ISC2-Mitglied (CCSP oder CISSP) muss die eigene Erfahrung bestätigen. Nochmals danke, lieber Christian S.
Nach etwa drei Wochen kam die Bestätigung per E-Mail:
Congratulations! Your certification application for CCSP has been approved.
Danach kommt noch ein Schritt, das jährlich Gebühr „Annual Maintenance Fee (AMF)“ in Hohe von 135 $ muss noch bezahlt werden.
Und wenn Sie meinen, das wäre alles, muss ich Sie leider enttäuschen. Um den aktiven Status als zertifiziertes CCSP-Mitglied zu behalten, muss man sich kontinuierlich weiterbilden und CPE-Punkte (CPE steht für „Continuing Professional Education”) sammeln. Für CCSP sind innerhalb von drei Jahren 90 CPEs erforderlich. Ein CPE entspricht in etwa einer Stunde nachweisbaren Security-Trainings. Das Schreiben dieses Buches zählt übrigens ebenfalls als CPEs.
Bis demnächst!
Wenn Sie eine CCSP-Zertifizierung erwerben möchten, wünsche ich Ihnen viel Erfolg. Ich hoffe, ich konnte Ihnen dabei ein wenig helfen.
Anatoli
Köln, 2026