T.I.S.P.: Deutschlands Antwort auf den CISSP - und eine verpasste Chance

Seit 2004 gibt es in Deutschland eine eigene Antwort auf den amerikanischen CISSP: den TeleTrusT Information Security Professional, kurz T.I.S.P. Herausgeber ist der Bundesverband IT-Sicherheit e.V. (TeleTrusT), ein Kompetenznetzwerk aus Industrie, Verwaltung, Beratung und Wissenschaft.

---

Die Grundidee war damals so naheliegend wie heute noch richtig: US-Zertifizierungen wie der CISSP bilden europäische Standards, deutsches Datenschutzrecht und regulatorische Anforderungen schlicht nicht ab. Der T.I.S.P. sollte das ändern: mit einem Curriculum, das DSGVO, NIS und IT-Grundschutz nicht als Randnotiz behandelt, sondern als Prüfungsinhalt.

Eckdaten

Kein Seminarhotel, kein Crashkurs

Eine Besonderheit, die in keiner Produktbeschreibung so wirklich deutlich wird: Der fünftägige Vorbereitungskurs ist keine Empfehlung, er ist Zulassungsvoraussetzung. Wer ihn nicht absolviert hat, darf zur Prüfung gar nicht erst erscheinen. Das bedeutet in der Praxis: Montag bis Freitag Intensivschulung über alle Module, Prüfung am darauffolgenden Montag. Dazwischen liegt nur ein Wochenende.

Wer diesen Kurs beim Fraunhofer-Institut für Sichere Informationstechnologie absolviert - einem der akkreditierten Schulungsanbieter - bekommt etwas, das viele Zertifizierungskurse nicht liefern: Dozenten, die das Curriculum sowohl praktisch als auch wissenschaftlich durchdringen. Kein reines Prüfungstraining, kein praxisfernes Theoriegefecht. Beides.

Ich halte den T.I.S.P. seit 2022. Kurs bei Fraunhofer SIT, Prüfung damals noch beim TÜV. Wer die Zertifizierung als kleineren Bruder des CISSP betrachtet, unterschätzt sie. Die extreme Verdichtung von Kurs und Prüfung in weniger als zwei Wochen ist eine Belastung, die der CISSP in dieser Form nicht kennt. Dort kann man sich monatelang vorbereiten, den Prüfungstermin frei wählen, mehrfach verschieben. Der T.I.S.P. ist strenger, kompromissloser und in seiner Prüfungssituation einfach härter.

Verpasste Chancen

Der T.I.S.P. hat Substanz. Die Qualität ist real.

Nur nützt die beste Substanz nichts, wenn das Zertifikat auf dem Markt so gut wie nicht vorkommt. Weder in Stellenanzeigen noch in Anforderungsprofilen oder in Gesetzen: So gut wie niemand kennt den T.I.S.P.!

Verpasste Chance Nr. 1: 20 Jahre, 2.300 Zertifizierte

Nach über zwei Jahrzehnten zählt die T.I.S.P.-Community rund 2.300 Zertifizierte. Der CISSP kommt weltweit auf mehr als 170.000. Das ist kein Inhaltsproblem. Das ist das Ergebnis von zwei Jahrzehnten ohne ernsthaftes Zertifikatsmarketing.

Wer heute eine Stelle in der Informationssicherheit ausschreibt, schreibt CISSP oder CISM in das Anforderungsprofil. Nicht weil er den T.I.S.P. geprüft und schlechter befunden hätte, sondern weil er ihn gar nicht kennt.

Der TeleTrusT hat ein funktionierendes Vereinsnetzwerk aufgebaut, eine loyale Community, ein jährliches Community Meeting. Was fehlt, ist eine Strategie, die den T.I.S.P. aus diesem Netzwerk heraus in den Markt trägt. Zertifizierungen sind Marktprodukte. Guter Inhalt allein reicht nicht.

Verpasste Chance Nr. 2: NIS-2 kam und ging

Wer verstehen will, wie Zertifizierungen wirklich Wirkung entfalten, schaut in die USA. Der CISSP ist in der DoD-Direktive 8140 als Anforderung für bestimmte Cybersecurity-Rollen im amerikanischen Verteidigungsministerium verankert. Nicht als Empfehlung. Als Pflicht! Der Markt folgt regulatorischen Vorgaben. Immer.

Mit der Umsetzung von NIS-2 in deutsches Recht bot sich eine vergleichbare Gelegenheit. Qualifikationsanforderungen für Sicherheitsverantwortliche in kritischen Infrastrukturen hätten den T.I.S.P. als Referenzzertifizierung verankern können. Ein europäisches Zertifikat, das europäisches Recht kennt, als Maßstab für europäische Regulierung. Die Logik wäre da gewesen. Die Lobbying-Arbeit offensichtlich nicht.

Die Chance ist ungenutzt verstrichen.

Fazit

Der T.I.S.P. ist kein CISSP-Klon mit europäischem Stempel. Er ist eine eigenständige, inhaltlich starke Zertifizierung, die die regulatorische Realität des deutschen Marktes besser abbildet als ihr amerikanisches Pendant. Die Schulungsqualität, zumindest bei Anbietern wie Fraunhofer SIT, steht für sich.

Was ihr fehlt, hat nichts mit der Zertifizierung selbst zu tun. Es fehlt die Organisation dahinter, die aktiv dafür kämpft, dass sie relevant bleibt. In Stellenanzeigen. In Ausschreibungen. In Gesetzen.

Der CISSP hat das. Der T.I.S.P. noch nicht. Ob das noch kommt, hängt davon ab, ob TeleTrusT den T.I.S.P. endlich als Marktprodukt begreift und nicht länger als Vereinsprojekt verwaltet.

---

Tipp: Eine vollständige, laufend aktualisierte Übersicht des Akkreditierungsstatus aller gängigen Cybersecurity-Zertifizierungen bietet certmap.de.