Zum Inhalt springen
CertMapCertMap

Zertifikat-Vergleich 2026

Was dich 2026 wirklich weiterbringt.

Welche Zertifizierung bringt dich weiter – und welche kostet nur Zeit und Geld? CertMap stellt hunderte Cybersecurity-Zertifizierungen Seite an Seite und bewertet sie nach Marktanerkennung, Substanz und Gesamtkosten. Such dir einen Bereich aus oder vergleiche gezielt deine Favoriten – unabhängig und ohne Verkaufsdruck.

476
Zertifizierungen
10
im Vergleich
27
akkreditiert

Aktualisiert am 5. Juli 2026Kuratiert von der CertMap-Redaktion

Für Schulungsanbieter
76 Ergebnisse

Auswahl kuratiert nach Gesamt-Score; vollständige Liste (76) im Explorer.

10 von 10
Zertifikat
12345678910
Unsere Bewertung
Markt-Anerkennung
3/3
2/3
2/3
2/3
2/3
2/3
2/3
2/3
2/3
1/3
Schema-Qualität
3/3
3/3
2/3
2/3
2/3
2/3
2/3
2/3
2/3
3/3
Praxis-Nachweis
2/3
2/3
3/3
3/3
3/3
2/3
2/3
2/3
2/3
1/3
Pflege
2/3
2/3
2/3
2/3
2/3
2/3
2/3
2/3
2/3
3/3
Score gesamtsehr stark (4,2)stark (3,8)stark (3,8)stark (3,8)stark (3,8)stark (3,3)stark (3,3)stark (3,3)stark (3,3)stark (3,3)
Profil & Erhaltung
AkkreditierungISO/IEC 17024 (ANSI)ISO/IEC 17024 (ANSI)ISO/IEC 17024 (IAS/UKAS)ISO/IEC 17024 (IAS/UKAS)ISO/IEC 17024 (ANAB)ISO/IEC 17024 (IAS/UKAS)ISO/IEC 17024 (IAS/UKAS)ISO/IEC 17024 (IAS/UKAS)ISO/IEC 17024 (ANAB)
Prüfungsformat150 Multiple-Choice-Fragen, 4 Stunden, Proctored via PSI. Bestehensgrenze: 450/800.150 Multiple-Choice-Fragen, 4 Stunden, Proctored via PSI. Bestehensgrenze: 450/800.Mehrstufig: schriftliche Prüfung + 2-tägiges Hands-on Lab. Höchste GIAC-Zertifizierung.Es wird dieselbe Prüfung wie beim Lead Implementer abgelegt: 80 Multiple-Choice-Fragen (eigenständige und szenariobasierte), Open-Book, 3 Stunden, Bestehensgrenze 70 Prozent. Die Senior-Stufe verlangt keine eigene Prüfung, sondern mehr Berufserfahrung.Es wird dieselbe Prüfung wie beim Lead Implementer abgelegt: 80 Multiple-Choice-Fragen (eigenständige und szenariobasierte), Open-Book, 3 Stunden, Bestehensgrenze 70 Prozent. Die Senior-Stufe verlangt keine eigene Prüfung, sondern mehr Berufserfahrung.106–180 Fragen, 4–5 Stunden, Open-Book, Proctored via Pearson VUE. Bestehensgrenze: 73%.Prüfung mit 80 Multiple-Choice-Fragen (eigenständige und szenariobasierte), Open-Book, 3 Stunden, Bestehensgrenze 70 Prozent.Prüfung mit Multiple-Choice- und fallbasierten Essay-Aufgaben über fünf Domänen (IKT-Risikomanagement, DORA-Umsetzung, Vorfallmanagement, Resilienztests, kontinuierliche Verbesserung), Open-Book, Pass-Score 70 Prozent.Prüfung mit Multiple-Choice- und fallbasierten Essay-Aufgaben, ausgerichtet auf NIS-2-Anforderungen und Implementierungspraxis, Open-Book, Pass-Score 70 Prozent. Prüfungs- und Zertifikatsgebühr im Schulungspreis enthalten, ein kostenloser Wiederholungsversuch innerhalb von 12 Monaten.CAT-basiert, 100–150 Fragen, 3 Stunden, Proctored via Pearson VUE. Bestehensgrenze: 700/1000.
Voraussetzungen3 Jahre Erfahrung in IT-Risikomanagement und IS-Kontrolle. Mind. 1 Jahr in Domain 1 oder 2.5 Jahre Erfahrung in IT-Governance. Mind. 1 Jahr in Domain 1.Mindestens 2 aktive GIAC Gold-Zertifizierungen erforderlich.Keine formale Voraussetzung für die Prüfungszulassung; es wird dieselbe Prüfung wie beim Lead Implementer abgelegt. Für die Senior-Lead-Implementer-Zertifizierung sind 10 Jahre Berufserfahrung (davon 7 Jahre in Business Continuity Management), 1.000 Projektstunden und die Unterzeichnung des PECB-Ethikkodex erforderlich.Keine formale Voraussetzung für die Prüfungszulassung; es wird dieselbe Prüfung wie beim Lead Implementer abgelegt. Für die Senior-Lead-Implementer-Zertifizierung sind 10 Jahre Berufserfahrung (davon 7 Jahre in Informationssicherheit), 1.000 Projektstunden und die Unterzeichnung des PECB-Ethikkodex erforderlich.keineKeine formale Voraussetzung für die Prüfungszulassung. Die Zertifizierung ist gestaffelt: Provisional Implementer ohne Erfahrung; Implementer 2 Jahre Berufserfahrung (davon 1 Jahr in Informationssicherheit) und 200 Projektstunden; Lead Implementer 5 Jahre (davon 2 Jahre in Informationssicherheit) und 300 Projektstunden. Dazu die Unterzeichnung des PECB-Ethikkodex.Keine formale Voraussetzung für die Prüfungszulassung. Die Zertifizierung ist gestaffelt: Provisional Manager ohne Erfahrung; Manager 2 Jahre Berufserfahrung (davon 1 Jahr in ICT-Risikomanagement) und 200 Projektstunden; Lead Manager 5 Jahre (davon 2 Jahre in ICT-Risikomanagement) und 300 Projektstunden; Senior Lead Manager 10 Jahre (davon 7 Jahre in ICT-Risikomanagement) und 1.000 Projektstunden. Dazu die Unterzeichnung des PECB-Ethikkodex.Keine formale Voraussetzung für die Prüfungszulassung. Die Zertifizierung ist gestaffelt: Provisional Implementer ohne Erfahrung; Implementer 2 Jahre Berufserfahrung (davon 1 Jahr in Cybersecurity-Management) und 200 Projektstunden; Lead Implementer 5 Jahre (davon 2 Jahre in Cybersecurity-Management) und 300 Projektstunden. Dazu die Unterzeichnung des PECB-Ethikkodex.1 Jahr Erfahrung in mind. 1 der 7 SSCP-Domains. Ohne Erfahrung: Associate of ISC2.
Gültigkeit3 Jahre3 Jahre4 Jahre3 Jahre3 Jahre4 Jahre3 Jahre3 Jahre3 Jahre3 Jahre
Erhaltung20 CPE/Jahr20 CPE/Jahrkein CPE30 CPE/Jahr30 CPE/Jahrkein CPE30 CPE/Jahr30 CPE/Jahr30 CPE/Jahr20 CPE/Jahr
Erwerbskosten699 €699 €8.744 €184 €184 €8.744 €920 €920 €920 €229 €
Gesamtkosten (3 J.)8231 J.: 740 € · 3 J.: 823 € · 5 J.: 906 €8231 J.: 740 € · 3 J.: 823 € · 5 J.: 906 €8.7441 J.: 8.744 € · 3 J.: 8.744 € · 5 J.: 9.185 €5151 J.: 294 € · 3 J.: 515 € · 5 J.: 736 €5151 J.: 294 € · 3 J.: 515 € · 5 J.: 736 €8.7441 J.: 8.744 € · 3 J.: 8.744 € · 5 J.: 9.185 €1.2511 J.: 1.030 € · 3 J.: 1.251 € · 5 J.: 1.472 €1.2511 J.: 1.030 € · 3 J.: 1.251 € · 5 J.: 1.472 €1.2511 J.: 1.030 € · 3 J.: 1.251 € · 5 J.: 1.472 €6021 J.: 353 € · 3 J.: 602 € · 5 J.: 850 €
Sprache
Schulungspartner
Sprung zu …6 Sektionen

Methodik

Wie bewertet CertMap Cybersecurity-Zertifikate?

Score-Methodik in zwei Achsen (Marktstärke × Substanz), 4 Sub-Kriterien à 0–3 Punkte. Erklärt, wie der Quadrant zustande kommt.

Der Markt für Cybersecurity-Zertifikate ist unübersichtlich. Über 400 Programme konkurrieren um Aufmerksamkeit, manche mit jahrzehntelanger Reputation, andere mit zweifelhaftem Nutzen. CertMap ordnet sie ein. Dieser Artikel erklärt, nach welchen Regeln das geschieht und warum ein bestimmtes Zertifikat dort steht, wo es steht.

Zwei Achsen, eine Landkarte

Jedes Zertifikat wird auf zwei Dimensionen bewertet und in einem Quadrantendiagramm positioniert:

X-Achse: Marktstärke, Was ist das Dokument wert? Diese Achse misst den Wert des Zertifikats als Nachweis. Wird es im relevanten Arbeitsmarkt tatsächlich nachgefragt? Ist der Zertifizierungsprozess formal akkreditiert? Ein Zertifikat kann fachlich exzellent sein, wenn es niemand kennt, hilft es im Bewerbungsgespräch wenig.

Y-Achse: Substanz, Wie anspruchsvoll ist der Prozess? Diese Achse misst die Qualität des Weges zur Zertifizierung. Gibt es eine harte Prüfung oder nur ein Online-Quiz? Wird Berufserfahrung verifiziert? Muss das Zertifikat aktiv aufrechterhalten werden? Ein Dokument kann bekannt sein, wenn der Weg dorthin trivial ist, sagt es wenig über die Kompetenz des Inhabers aus.

Die Trennung ist bewusst gewählt. Marktstärke und Substanz korrelieren oft, aber nicht immer. Genau diese Diskrepanzen machen die Karte interessant.

Vier Kriterien, je 0 bis 3 Punkte

Die beiden Achsen setzen sich aus jeweils zwei Einzelkriterien zusammen. Jedes Kriterium wird mit 0 bis 3 Punkten bewertet, der Gesamtscore liegt zwischen 0 und 12.

1. Qualität des Zertifizierungsschemas (schemaQuality)

Dieses Kriterium bewertet die formale Strenge des Zertifizierungsprozesses. Gibt es eine echte Prüfung? Ist der Prozess unabhängig geprüft?

  • 0: Bloßer Teilnahme- oder Kursnachweis, praktisch keine Zertifizierungslogik.
  • 1: Einfache Prüfung mit begrenzter formaler Strenge.
  • 2: Klar strukturiertes Schema mit definierter Prüfung und belastbarer Logik.
  • 3: Stark formalisiertes Schema mit hoher Nachweisqualität.

Eine zentrale Regel: Die Höchstwertung 3 ist ausschließlich Zertifikaten vorbehalten, die nach ISO/IEC 17024 akkreditiert sind. Dieser internationale Standard regelt die Anforderungen an Stellen, die Personen zertifizieren. Eine Akkreditierung durch eine nationale Stelle (ANAB, DAkkS, UKAS) bedeutet, dass der gesamte Zertifizierungsprozess, Prüfungsentwicklung, Durchführung, Unparteilichkeit, extern auditiert wurde. Das ist die härteste formale Qualitätssicherung, die es für Personenzertifizierungen gibt.

2. Praxis- und Nachweisstärke (practiceEvidence)

Hier geht es um die Frage: Beweist die Zertifizierung tatsächlich Können?

  • 0: Kein belastbarer Praxisnachweis.
  • 1: Begrenzter Praxisbezug, geringe Verifikation.
  • 2: Solider Praxisnachweis durch Erfahrungspflicht oder praktische Prüfung.
  • 3: Sehr starker Praxisnachweis durch harte praktische Prüfung und/oder verifizierte mehrjährige Berufserfahrung.

Eine 24-Stunden-Hands-on-Prüfung wie beim OSCP wiegt hier schwerer als ein Multiple-Choice-Test. Verifizierte Berufserfahrung (wie die fünf Jahre beim CISSP, die von einem bestehenden Zertifikatsinhaber bestätigt werden müssen) fließt ebenfalls ein.

3. Erhaltungsanforderungen (maintenance)

Zertifizierungen können veralten. Dieses Kriterium bewertet, ob und wie streng die Aufrechterhaltung geregelt ist.

  • 0: Keine Aufrechterhaltungsanforderungen. Einmal bestanden, für immer gültig.
  • 1: Geringe oder eher formale Verlängerungsanforderungen.
  • 2: Klare Weiterbildungs- oder Rezertifizierungsanforderungen.
  • 3: Strenge, regelmäßige und substanziell überwachte Erhaltungsanforderungen.

Ein Zertifikat ohne Rezertifizierung verliert mit der Zeit an Aussagekraft. Bei CISSP müssen jährlich 40 CPE-Punkte nachgewiesen und alle drei Jahre eine Gebühr entrichtet werden, das sorgt dafür, dass Inhaber sich weiterbilden. Beim OSCP gibt es das nicht: Einmal bestanden, für immer gültig.

4. Branchenanerkennung (marketRecognition)

Das pragmatischste Kriterium: Wird das Zertifikat am Markt tatsächlich nachgefragt?

  • 0: Kaum relevante Anerkennung.
  • 1: Begrenzte Anerkennung in Teilbereichen oder Nischen.
  • 2: Solide Anerkennung in relevanten Rollen oder Märkten.
  • 3: Breit etablierter und stark anerkannter Nachweis.

Die Bewertung stützt sich auf Stellenausschreibungen, Branchenumfragen und die Sichtbarkeit in der Fachcommunity. Ein hervorragend konzipiertes Zertifikat eines unbekannten Anbieters kann hier dennoch schlecht abschneiden.

Vier Quadranten: Wo steht mein Zertifikat?

Aus den beiden Achsen ergeben sich vier Bereiche:

Oben rechts, Goldstandard: Hohe Marktstärke und hohe Substanz. Zertifikate, die sowohl formal belastbar als auch fachlich anspruchsvoll sind. Hier landen die Schwergewichte, die in Ausschreibungen gefordert und in Fachkreisen respektiert werden.

Oben links, Geheimtipp: Hohe Substanz, aber geringere Marktstärke. Fachlich exzellente Programme, die im Arbeitsmarkt (noch) nicht den Bekanntheitsgrad haben, den sie verdienen. Für Fachleute, die Kompetenz über Signalwirkung stellen.

Unten rechts, Türöffner: Hohe Marktstärke, aber geringere Substanz. Bekannte Zertifikate, die Türen öffnen, aber deren Prüfungsprozess weniger anspruchsvoll ist. Nützlich für den Karriereeinstieg oder als Baseline-Nachweis.

Unten links, Einstieg: Beides gering. Oft Herstellerzertifikate oder Kursnachweise mit begrenztem Signalwert. Können als erster Schritt sinnvoll sein, tragen aber wenig zur Differenzierung bei.

Drei Beispiele: CISSP, OSCP und GSE

CISSP, 11 von 12 Punkten (schemaQuality 3, practiceEvidence 2, maintenance 3, marketRecognition 3) Der CISSP von ISC2 ist nach ISO/IEC 17024 akkreditiert (ANAB) und erhält daher die Höchstwertung bei schemaQuality. Fünf Jahre verifizierte Berufserfahrung und eine adaptive Prüfung sichern solide 2 Punkte bei practiceEvidence, keine 3, weil die Prüfung konzeptionell und nicht praktisch-technisch ist. Die strikten CPE-Anforderungen ergeben 3 bei maintenance. Als meistnachgefragtes Security-Zertifikat weltweit sind 3 Punkte bei marketRecognition unstrittig. Ergebnis: solider Goldstandard, oben rechts.

OSCP, 8 von 12 Punkten (schemaQuality 2, practiceEvidence 3, maintenance 0, marketRecognition 3) Der OSCP von OffSec ist das Gegenbeispiel. Die 24-Stunden-Praxisprüfung ist legendär und ergibt die Höchstwertung bei practiceEvidence. In Stellenanzeigen für Pentester ist OSCP das meistgenannte Zertifikat, 3 Punkte bei marketRecognition. Aber: Keine ISO-17024-Akkreditierung, daher maximal 2 bei schemaQuality. Und keine Rezertifizierung, keine CPE-Pflicht, 0 Punkte bei maintenance. Das kostet vier Punkte gegenüber dem CISSP und zeigt, wie das Modell funktioniert: Der OSCP ist fachlich erstklassig, verliert aber bei formaler Belastbarkeit und Aktualitätssicherung.

GSE, 9 von 12 Punkten (schemaQuality 2, practiceEvidence 3, maintenance 2, marketRecognition 2) Der GIAC Security Expert ist das Dach des SANS/GIAC-Systems. Seit der Reform 2023/24 wird er als Portfolio-Zertifizierung vergeben: Sechs Practitioner- und vier Applied-Knowledge-Zertifizierungen mit proctored Lab-Examen. Das ergibt 3 bei practiceEvidence. Keine ISO-17024-Akkreditierung begrenzt schemaQuality auf 2. GIAC verlangt Renewal alle vier Jahre, solide 2 bei maintenance. Die Marktanerkennung ist hoch, aber außerhalb der SANS-Community eingeschränkt, daher 2 bei marketRecognition.

Was die Bewertung nicht ist

CertMap ist eine kuratierte Orientierung, kein objektives Ranking. Die Bewertung trifft keine Aussage darüber, welches Zertifikat für eine bestimmte Person oder Karrieresituation die beste Wahl ist. Sie bewertet nicht den Lerninhalt, nicht die Qualität des Trainingsmaterials und nicht das Preis-Leistungs-Verhältnis.

Die Scores sind redaktionell vergeben, nicht algorithmisch berechnet. Wo Ermessensspielräume bestehen (etwa bei practiceEvidence oder marketRecognition), sind sie transparent dokumentiert. Die einzige harte Regel betrifft schemaQuality: 3 gibt es nur mit nachgewiesener ISO-17024-Akkreditierung. Alles andere wäre willkürlich.

Der Noise-Off-Filter

Bei über 400 Zertifikaten wird die Karte schnell unübersichtlich. Der "Noise Off"-Filter blendet Herstellerzertifikate und Kurszertifikate aus und zeigt nur Personenzertifizierungen und Fachzertifikate an, also Programme mit substanzieller Prüfungskomponente. Das reduziert die Darstellung auf die Zertifikate, bei denen die Bewertung am aussagekräftigsten ist, und macht die Quadrantenstruktur deutlich sichtbar.

Wer gezielt nach einem bestimmten Herstellerzertifikat sucht, kann den Filter jederzeit deaktivieren. Ausgeblendet bedeutet nicht abgewertet, es bedeutet: weniger Signal, mehr Rauschen.

Zur ausführlichen Methodik

Für Schulungsanbieter

Als Schulungsanbieter mit CertMap wachsen

Sie bieten Trainings zu diesen Zertifizierungen an? Erreichen Sie Security-Fachleute genau dann, wenn sie sich orientieren. Transparent gekennzeichnet und redaktionell getrennt von unserer Bewertung.

Anbieter werden
    GRC – Zertifikate vergleichen