Niemand ist KI-Security-Experte. Noch nicht.

KI-Security ist eines der wenigen Felder in der Sicherheit, in dem niemand zehn Jahre Vorsprung hat. Wer sich jetzt positioniert, gehört zu den Ersten.

Vor zwei Jahren gab es kein einziges KI-Security-Zertifikat. Heute sind es neunzehn, von neun Anbietern, getrieben von ISO/IEC 42001 und dem EU AI Act. Die Frage ist nur: über welchen Weg, und mit welchem Zertifikat?

Warum sich das gerade jetzt lohnt

Der erste Reflex ist gesund: noch ein KI-Hype, der so schnell verschwindet, wie er gekommen ist? Bei den meisten KI-Themen wäre die Skepsis berechtigt. Bei KI-Security ist sie es nicht. Und der Grund dafür ist wichtig, denn er entscheidet, ob die Investition in ein Zertifikat trägt oder verpufft.

Was die Nachfrage treibt, ist nämlich nicht die Technologie selbst. Es ist, was sich um sie herum aufbaut. Drei Kräfte, unabhängig voneinander, gleichzeitig.

Die erste ist die Regulierung. ISO 42001 gab der KI-Governance Ende 2023 erstmals einen prüfbaren Rahmen. Der EU AI Act setzte den Zeitdruck dahinter: Verbotene Praktiken sind seit Februar 2025 untersagt, die Pflichten für Allzweck-KI gelten seit August 2025, die Bussgelder reichen bis 35 Millionen Euro oder 7 Prozent des Weltumsatzes. Regulierung dieser Härte erzeugt keine Welle, sie erzeugt einen Sockel. Wo Pflichten entstehen, entstehen Rollen. Zertifizierungen folgen Regulierung. Immer.

Die zweite ist das Tempo. Jahrelang beruhte Verteidigung auf einer stillen Annahme: Angriffe sind teuer. Eine Schwachstelle zu finden und auszunutzen kostete Zeit und Können, und diese Kostenbarriere hat Angreifer von selbst ausgesiebt. Genau diese Barriere fällt gerade. Wie ich bereits in meinem Artikel zur Kostenbarriere von Cyberangriffen beschrieben habe, ist die Mean Time to Exploit auf unter einen Tag gesunken: Zwischen der Veröffentlichung einer Schwachstelle und dem ersten aktiven Angriff liegen im Schnitt nur noch Stunden. Was früher Tage dauerte, läuft mit KI-Unterstützung automatisiert. Wer das abwehren will, muss dieselben Werkzeuge verstehen, die der Angreifer benutzt. KI-Kompetenz ist für Verteidiger keine Kür mehr. Sie ist Pflicht.

Die dritte ist die Lücke. Unternehmen führen KI flächendeckend ein, lange bevor sie jemanden haben, der sie absichert. Schatten-KI breitet sich aus, bevor die erste Richtlinie steht. In genau diesen Spalt fallen die neuen Stellen, und sie sind noch nicht besetzt.

Drei Treiber, die sich gegenseitig verstärken. Zusammen ergeben sie kein Strohfeuer, sondern einen Markt, der sich gerade erst formt. Und in einen Markt, der sich formt, kommt man nicht zu spät. Man kommt früh.

Drei Wege in die KI-Security

Bleibt die praktische Frage: Wo fängt man an? Niemand wird KI-Security-Experte aus dem Nichts. Man kommt aus einem Bereich der Sicherheit, den man schon beherrscht, und baut darauf auf. Welcher Bereich das ist, bestimmt den Weg. Es gibt drei, jeder mit seinen eigenen Zertifikaten.

Weg 1: Aus Governance, Audit und Risiko. Wenn dein Hintergrund GRC, ISMS oder Audit ist, ist das dein schnellster Hebel, weil hier die AI-Act-Nachfrage am lautesten ist.

• ISACA AAISM, AAIA und AAIR (AI Security Management, AI Audit, AI Risk). Das sind Aufbau-Spezialisierungen, kein Einstieg: Sie setzen eine aktive ISACA-Basiszertifizierung voraus, AAISM den CISM oder CISSP, AAIA den CISA, AAIR eine ISACA-Zertifizierung wie CRISC oder CISM. Wer eine davon schon hält, ist im Vorteil. AAIA ist zugleich das erste Audit-Zertifikat weltweit speziell für KI-Systeme.
• IAPP AIGP (AI Governance Professional) für alle, die Richtung Policy und AI-Act-Umsetzung gehen.
• PECB ISO 42001 Lead Implementer und Lead Auditor, wenn du das Managementsystem selbst aufbauen oder prüfen willst. Beide nach ISO 17024 akkreditiert, dazu gleich mehr.

Weg 2: Aus Offensive und Pentest. Wenn du aus dem Red Teaming kommst, verschiebt sich dein Ziel von Netzwerken und Apps zu Modellen und Agenten.

• GIAC GOAA (Offensive AI Analyst) auf Basis des SANS-Kurses SEC535, mit CyberLive-Praxisanteil.
• OffSec OSAI+ aus dem Kurs AI-300, ein 24-Stunden-Hands-on-Engagement gegen eine KI-Unternehmensumgebung. Der härteste Praxisnachweis im Feld.
• EC-Council COASP als jüngerer, leichterer Einstieg in offensive KI-Themen.

Weg 3: Aus Engineering, AppSec und SecOps. Wenn du Systeme baust und absicherst, geht es um GenAI-Stacks, LLM-Pipelines und MLOps.

• GIAC GAIPS (AI Platform Security) auf Basis von SEC545, ab Ende Juli frei käuflich, fokussiert auf das Absichern von GenAI-Anwendungen.
• GIAC GASAE (AI Security Automation Engineer) für Automatisierung über Red, Blue und Purple.
• Practical DevSecOps CAISP, praxisorientiert entlang des gesamten KI-Lebenszyklus, von Threat Modeling bis Supply-Chain-Härtung.
• CompTIA Security AI+ und CertNexus CAIP als breitere Einstiege, wenn du erst Boden gewinnen willst.

Egal welcher Weg: prüfe, was das Zertifikat wirklich beweist

Jetzt kommt der Teil, den die Anbieter ungern betonen. Ein Markt, der in zwei Jahren von null auf neunzehn springt, wächst nicht gleichmässig. Neben Zertifikaten mit echter Substanz entstehen welche, deren grösster Wert das aktuelle Logo auf dem Badge ist. Von aussen sehen beide identisch aus. Beide sagen "AI Security". Das allein beweist nichts.

Um sie auseinanderzuhalten, lohnt ein Blick auf drei Eigenschaften, die gern verwechselt werden, obwohl sie völlig verschiedene Dinge messen.

Die erste ist die Akkreditierung. Die härteste, anbieterunabhängige Messlatte ist ISO/IEC 17024. Sie bedeutet, dass eine nationale Stelle den gesamten Zertifizierungsprozess extern auditiert hat. Und sie ist selten: Von den neunzehn KI-Security-Zertifikaten tragen nur sieben diese Akkreditierung, sechs davon die ISO-42001-Schiene von PECB. GIAC, ISACA, CompTIA, IAPP, EC-Council, OffSec: keines. Das sind Fachzertifikate, keine akkreditierten Personenzertifizierungen.

Die zweite ist die Prüfungshärte. Sie hat mit der Akkreditierung nichts zu tun, und das ist der häufigste Denkfehler. OffSecs OSAI+ ist nicht akkreditiert und trotzdem erstklassig, weil seine 24-Stunden-Prüfung echtes Können erzwingt, statt Wissen abzufragen. Genau wie der OSCP seit Jahren. Akkreditiert ist nicht gleich anspruchsvoll, und anspruchsvoll ist nicht gleich akkreditiert.

Die dritte ist die Bekanntheit. Sie ist die verführerischste, weil sie am sichtbarsten ist. Ein grosser Name öffnet Türen im Bewerbungsgespräch. Über deine tatsächlichen Fähigkeiten sagt er fast nichts.

Bekanntheit, Prüfungshärte, Akkreditierung. Drei Achsen, nicht eine. Für den Governance-Weg zählt vor allem die akkreditierte ISO-42001-Schiene. Für den Red-Team-Weg der harte Praxisnachweis, akkreditiert oder nicht. Dasselbe Zertifikat schliesst nie beide Lücken. Wer die Achsen verwechselt, kauft das richtige Zertifikat für das falsche Ziel.

Neunzehn Zertifikate. Verglichen. Ohne Funnel.

Genau dafür haben wir das Feld auf CertMap aufbereitet. Im Quadranten filterst du auf AI-Security und vergleichst alle neunzehn nach Marktstärke und Substanz, mit Akkreditierungsstatus, Kosten und der Rolle, die jedes Zertifikat abdeckt. Anbieterübergreifend, ohne Funnel. Du siehst auf einen Blick, welches akkreditiert ist und welches über eine harte Praxisprüfung überzeugt.

Die AI-Security-Domäne selbst ist dabei kein CertMap-Konstrukt. Sie entspricht NF-COM-002, dem AI-Security-Kompetenzbereich, den NIST Ende 2025 in sein NICE-Framework aufgenommen hat. Wir mappen auf den Standard, nicht auf Marketing.

Und wenn du keine Lust auf Selbststudium hast, sondern eine Einordnung für deine konkrete Situation suchst: Ich biete auf CertMap eine persönliche Beratung an. Unabhängig von den Anbietern, weil CertMap keine Provisionen von ihnen nimmt.

Der KI-Security-Markt ist jung. Welche Zertifikate sich durchsetzen, entscheidet sich erst. In Stellenanzeigen. In Ausschreibungen. In Gesetzen. Bis dahin gilt: Wähl deinen Weg nach deinem Hintergrund, nicht nach dem lautesten Marketing. Und kauf kein Zertifikat wegen des Namens. Kauf es wegen der Lücke, die es schliesst.

---

CertMap ist ein unabhängiges, nicht-kommerzielles Vergleichsprojekt für Cybersecurity-Zertifizierungen. Keine Provisionen, keine Affiliate-Links, keine gesponserten Platzierungen.