Mich hatte die Verbreitung der unterschiedlichen Sicherheitszertifizierungen interessiert. Ich habe dazu eine kleine Statistik mit der erweiterten Suche in Xing aufgestellt. Als Suchbegriff habe ich die Abkürzung vom Zertifikat (z.B. CISSP) und das Schlagwort „Security“ verwendet. Bei OSCP/OSCE hingegen das Schlagwort „Offensive“.
Die Suche in Xing war nicht auf Deutschland begrenzt, die absoluten Zahlen sind sicherlich ungenau und nicht jeder zertifizierte Security-Spezialist ist in Xing angemeldet und hat auch seine Zertifikate eingetragen.
Ich denke aber, dass die relativen Verhältnisse der Verbreitung der Sicherheitszertifizierungen zueinander einigermaßen gut wiedergegeben werden. Das Ergebnis:
2.135 Certified Information Systems Security Professional (CISSP)
1.484 Certified Information Systems Auditor (CISA)
890 Certified Information Security Manager (CISM)
477 Certified Ethical Hacker (CEH)
255 TeleTrusT Information Security Professional (T.I.S.P.)
74 Offensive Security Certified Professional (OSCP)
35 Certified Secure Software Lifecycle Professional (CSSLP)
28 ISSECO Certified Professional for Secure Software Engineering (CPSSE)
23 Offensive Security Certified Expert (OSCE)
Der CISSP vom Isc² ist die verbreitetste Zertifizierung, danach folgen die Certs von ISACA. Der deutsche TISP ist weit abgeschlagen im Vergleich zum CISSP. Zertifikate im Bereich sicherer Softwareentwicklung sind wenig verbreitet (CSSLP / CPSSE). Es gibt wesentlich mehr „Certified Ethical Hacker“ als OSCP/OSCE.
Ansonsten sind 488 CISSP auch CISA, 354 auch CISM, 204 auch CISM und CISA. Auch gibt es nur etwa 8 in Xing, die OSCP und CEH sind. 153 CISSP sind auch CEH, aber nur 12 CISSP auch OSCP.
Beim inhaltlich sehr krassen Unterschied zwischen OSCP und CISM sind es nur noch 6 mit dieser Kombination. OSCP und CISA sind 7. OSCE + CISM sind nur noch 2 und OSCE + CISA nur noch 1. Es scheint nur sehr wenige zu geben, die Security Management oder Audit mit Penetration Testing / Hacking verbinden.
Vielen Dank für den Überblick über die verschiedenen Sicherheitszertifizierungen.
Leider braucht man für die meisten Zertifizierungen 5 Jahre Job Erfahrung im IT Security Bereich. Bin seit vielen Jahren in der IT unterwegs aber schon länger nicht mehr in der Technik (komme aus der Unix Ecke) unterwegs. Würde gerne wieder den Weg zurück finden über die IT Security und wäre daher dankbar über einen Tipp, welches Zertifikat am meisten Sinn macht und ob das 5 Jahresproblem wirklich so eines ist, wie ich denke. Würde mich über Infos freuen und wünsche weiterhin noch viel Erfolg für den Blog.
Hi,
also ISC2 und ISACA nehmen das wohl durchaus ernst. Die Anforderungen beim deutschen TISP sind geringer. Hängt auch stark davon ab, was du die letzten Jahren genau gemacht hast, wie lange was her ist und welches Cert du anstrebst.
Grüße
Patrick
auch vielen Dank für den überblick.
Interessiere mich auch für den CISSP… bin auch länger bei der IT
Die Frage ist, wo mache den CISSP…
Es gibt doch diesen CISSP bei der „Fernschule-Weber “ auf 12 Monate aufgeteilt kostet dann mit Prüfung von ISC2 ca. 2K
alle anderen die ich jetzt gefunden habe sind diese 5 – 7 tägigen Schulungen, welche mindesten 3k kosten.
Was empfiehlst du?
Selbststudium möchte ich nicht unbedingt, und Zeitdruck habe ich auch nicht…
daher tendiere ich zu diesem Fernlehrgang vom Weber, weiß natürlich nicht wie gut die sind…
Vielen Dank
Das ist eine gute Frage – ich habe mit keinem dieser Anbieter bisher Erfahrungen gemacht und kann leider keine Empfehlung aussprechen. Ich würde ein Selbststudium einem kostenpflichtigen Online-Kurs vorziehen und ansonsten ein Boot-Camp wahrnehmen. Aber komplett ohne Selbststudium wird der CISSP eher nicht funktionieren, wenn man nicht enorme Erfahrung in den Bereichen besitzt.
danke für die schnelle Antwort..
mir ist schon klar, dass nicht ganz ohne Selbststudium funktionieren wird..
kannst da ein Boot-Camp (Anbieter) empfehlen?
Ich kenne vom Namen her dafür nur Firebrand. Habe mit denen aber keine Erfahrung. Falls du einen Kurs buchst würde mich deine Meinung dazu interessieren.
ok danke
Ich habe es genau anders herum gemacht und ein Skript geschrieben, welches über die APIs von indeed und Monster die Häufigkeiten in Stellenanzeigen zählt. Dabei schneidet der CISSP auch deutlich besser ab als andere. Liegt aber vermutlich auch daran, dass für die meisten Personaler und Headhunter Zertifikate nur Buzzwords sind und man bei CISSP und co einfach auch weiß dass eine gewisse Grunderfahrung vorhanden ist. Nach meinen bisherigen Recherchen scheint das OSCP didaktisch am wertvollsten zu sein, auch wenn es eher selten erwähnt wird.
Wie nützlich fandest du die CPSSE? Ich finde es gibt da eigenartiger Weise gar nicht mal so viel Angebot was sichere Entwicklung angeht, dabei wäre gerade das ja die beste Präventivmaßnahme gegen Schwachstellen. Hast du da was nützliches mitgenommen?
Ja der CISSP ist No 1, und offensichtlich bei Personalern und Entscheidern bekannt. Wenn Sie eine Zertifizierung kennen, dürfte es mit hoher Wahrscheinlichkeit der CISSP sein, außer man ist im Security-Audit-Umfeld unterwegs (da vielleicht der CISA).
Ich persönlich habe vom CPSSE nicht soo viel mitgenommen. Das Kursprogramm selbst ist aber nicht schlecht.