CertMap← Zur Übersicht

Wie bewertet CertMap Cybersecurity-Zertifikate?

Der Markt für Cybersecurity-Zertifikate ist unübersichtlich. Über 400 Programme konkurrieren um Aufmerksamkeit -- manche mit jahrzehntelanger Reputation, andere mit zweifelhaftem Nutzen. CertMap ordnet sie ein. Dieser Artikel erklärt, nach welchen Regeln das geschieht und warum ein bestimmtes Zertifikat dort steht, wo es steht.

Zwei Achsen, eine Landkarte

Jedes Zertifikat wird auf zwei Dimensionen bewertet und in einem Quadrantendiagramm positioniert:

X-Achse: Marktstärke -- Was ist das Dokument wert?

Diese Achse misst den Wert des Zertifikats als Nachweis. Wird es im relevanten Arbeitsmarkt tatsächlich nachgefragt? Ist der Zertifizierungsprozess formal akkreditiert? Ein Zertifikat kann fachlich exzellent sein -- wenn es niemand kennt, hilft es im Bewerbungsgespräch wenig.

Y-Achse: Substanz -- Wie anspruchsvoll ist der Prozess?

Diese Achse misst die Qualität des Weges zur Zertifizierung. Gibt es eine harte Prüfung oder nur ein Online-Quiz? Wird Berufserfahrung verifiziert? Muss das Zertifikat aktiv aufrechterhalten werden? Ein Dokument kann bekannt sein -- wenn der Weg dorthin trivial ist, sagt es wenig über die Kompetenz des Inhabers aus.

Die Trennung ist bewusst gewählt. Marktstärke und Substanz korrelieren oft, aber nicht immer. Genau diese Diskrepanzen machen die Karte interessant.

Vier Kriterien, je 0 bis 3 Punkte

Die beiden Achsen setzen sich aus jeweils zwei Einzelkriterien zusammen. Jedes Kriterium wird mit 0 bis 3 Punkten bewertet, der Gesamtscore liegt zwischen 0 und 12.

1. Qualität des Zertifizierungsschemas (schemaQuality)

Dieses Kriterium bewertet die formale Strenge des Zertifizierungsprozesses. Gibt es eine echte Prüfung? Ist der Prozess unabhängig geprüft?

  • 0 -- Bloßer Teilnahme- oder Kursnachweis, praktisch keine Zertifizierungslogik.
  • 1 -- Einfache Prüfung mit begrenzter formaler Strenge.
  • 2 -- Klar strukturiertes Schema mit definierter Prüfung und belastbarer Logik.
  • 3 -- Stark formalisiertes Schema mit hoher Nachweisqualität.

Eine zentrale Regel: Die Höchstwertung 3 ist ausschließlich Zertifikaten vorbehalten, die nach ISO/IEC 17024 akkreditiert sind. Dieser internationale Standard regelt die Anforderungen an Stellen, die Personen zertifizieren. Eine Akkreditierung durch eine nationale Stelle (ANAB, DAkkS, UKAS) bedeutet, dass der gesamte Zertifizierungsprozess -- Prüfungsentwicklung, Durchführung, Unparteilichkeit -- extern auditiert wurde. Das ist die härteste formale Qualitätssicherung, die es für Personenzertifizierungen gibt.

2. Praxis- und Nachweisstärke (practiceEvidence)

Hier geht es um die Frage: Beweist die Zertifizierung tatsächlich Können?

  • 0 -- Kein belastbarer Praxisnachweis.
  • 1 -- Begrenzter Praxisbezug, geringe Verifikation.
  • 2 -- Solider Praxisnachweis durch Erfahrungspflicht oder praktische Prüfung.
  • 3 -- Sehr starker Praxisnachweis durch harte praktische Prüfung und/oder verifizierte mehrjährige Berufserfahrung.

Eine 24-Stunden-Hands-on-Prüfung wie beim OSCP wiegt hier schwerer als ein Multiple-Choice-Test. Verifizierte Berufserfahrung (wie die fünf Jahre beim CISSP, die von einem bestehenden Zertifikatsinhaber bestätigt werden müssen) fließt ebenfalls ein.

3. Erhaltungsanforderungen (maintenance)

Zertifizierungen können veralten. Dieses Kriterium bewertet, ob und wie streng die Aufrechterhaltung geregelt ist.

  • 0 -- Keine Aufrechterhaltungsanforderungen. Einmal bestanden, für immer gültig.
  • 1 -- Geringe oder eher formale Verlängerungsanforderungen.
  • 2 -- Klare Weiterbildungs- oder Rezertifizierungsanforderungen.
  • 3 -- Strenge, regelmäßige und substanziell überwachte Erhaltungsanforderungen.

Ein Zertifikat ohne Rezertifizierung verliert mit der Zeit an Aussagekraft. Bei CISSP müssen jährlich 40 CPE-Punkte nachgewiesen und alle drei Jahre eine Gebühr entrichtet werden -- das sorgt dafür, dass Inhaber sich weiterbilden. Beim OSCP gibt es das nicht: Einmal bestanden, für immer gültig.

4. Branchenanerkennung (marketRecognition)

Das pragmatischste Kriterium: Wird das Zertifikat am Markt tatsächlich nachgefragt?

  • 0 -- Kaum relevante Anerkennung.
  • 1 -- Begrenzte Anerkennung in Teilbereichen oder Nischen.
  • 2 -- Solide Anerkennung in relevanten Rollen oder Märkten.
  • 3 -- Breit etablierter und stark anerkannter Nachweis.

Die Bewertung stützt sich auf Stellenausschreibungen, Branchenumfragen und die Sichtbarkeit in der Fachcommunity. Ein hervorragend konzipiertes Zertifikat eines unbekannten Anbieters kann hier dennoch schlecht abschneiden.

Vier Quadranten: Wo steht mein Zertifikat?

Aus den beiden Achsen ergeben sich vier Bereiche:

Oben rechts -- Goldstandard: Hohe Marktstärke und hohe Substanz. Zertifikate, die sowohl formal belastbar als auch fachlich anspruchsvoll sind. Hier landen die Schwergewichte, die in Ausschreibungen gefordert und in Fachkreisen respektiert werden.

Oben links -- Geheimtipp: Hohe Substanz, aber geringere Marktstärke. Fachlich exzellente Programme, die im Arbeitsmarkt (noch) nicht den Bekanntheitsgrad haben, den sie verdienen. Für Fachleute, die Kompetenz über Signalwirkung stellen.

Unten rechts -- Türöffner: Hohe Marktstärke, aber geringere Substanz. Bekannte Zertifikate, die Türen öffnen, aber deren Prüfungsprozess weniger anspruchsvoll ist. Nützlich für den Karriereeinstieg oder als Baseline-Nachweis.

Unten links -- Einstieg: Beides gering. Oft Herstellerzertifikate oder Kursnachweise mit begrenztem Signalwert. Können als erster Schritt sinnvoll sein, tragen aber wenig zur Differenzierung bei.

Drei Beispiele: CISSP, OSCP und GSE

CISSP -- 11 von 12 Punkten (schemaQuality 3, practiceEvidence 2, maintenance 3, marketRecognition 3)

Der CISSP von ISC2 ist nach ISO/IEC 17024 akkreditiert (ANAB) und erhält daher die Höchstwertung bei schemaQuality. Fünf Jahre verifizierte Berufserfahrung und eine adaptive Prüfung sichern solide 2 Punkte bei practiceEvidence -- keine 3, weil die Prüfung konzeptionell und nicht praktisch-technisch ist. Die strikten CPE-Anforderungen ergeben 3 bei maintenance. Als meistnachgefragtes Security-Zertifikat weltweit sind 3 Punkte bei marketRecognition unstrittig. Ergebnis: solider Goldstandard, oben rechts.

OSCP -- 8 von 12 Punkten (schemaQuality 2, practiceEvidence 3, maintenance 0, marketRecognition 3)

Der OSCP von OffSec ist das Gegenbeispiel. Die 24-Stunden-Praxisprüfung ist legendär und ergibt die Höchstwertung bei practiceEvidence. In Stellenanzeigen für Pentester ist OSCP das meistgenannte Zertifikat -- 3 Punkte bei marketRecognition. Aber: Keine ISO-17024-Akkreditierung, daher maximal 2 bei schemaQuality. Und keine Rezertifizierung, keine CPE-Pflicht -- 0 Punkte bei maintenance. Das kostet vier Punkte gegenüber dem CISSP und zeigt, wie das Modell funktioniert: Der OSCP ist fachlich erstklassig, verliert aber bei formaler Belastbarkeit und Aktualitätssicherung.

GSE -- 9 von 12 Punkten (schemaQuality 2, practiceEvidence 3, maintenance 2, marketRecognition 2)

Der GIAC Security Expert ist das Dach des SANS/GIAC-Systems. Seit der Reform 2023/24 wird er als Portfolio-Zertifizierung vergeben: Sechs Practitioner- und vier Applied-Knowledge-Zertifizierungen mit proctored Lab-Examen. Das ergibt 3 bei practiceEvidence. Keine ISO-17024-Akkreditierung begrenzt schemaQuality auf 2. GIAC verlangt Renewal alle vier Jahre -- solide 2 bei maintenance. Die Marktanerkennung ist hoch, aber außerhalb der SANS-Community eingeschränkt, daher 2 bei marketRecognition.

Was die Bewertung nicht ist

CertMap ist eine kuratierte Orientierung, kein objektives Ranking. Die Bewertung trifft keine Aussage darüber, welches Zertifikat für eine bestimmte Person oder Karrieresituation die beste Wahl ist. Sie bewertet nicht den Lerninhalt, nicht die Qualität des Trainingsmaterials und nicht das Preis-Leistungs-Verhältnis.

Die Scores sind redaktionell vergeben -- nicht algorithmisch berechnet. Wo Ermessensspielräume bestehen (etwa bei practiceEvidence oder marketRecognition), sind sie transparent dokumentiert. Die einzige harte Regel betrifft schemaQuality: 3 gibt es nur mit nachgewiesener ISO-17024-Akkreditierung. Alles andere wäre willkürlich.

Der Noise-Off-Filter

Bei über 400 Zertifikaten wird die Karte schnell unübersichtlich. Der "Noise Off"-Filter blendet Herstellerzertifikate und Kurszertifikate aus und zeigt nur Personenzertifizierungen und Fachzertifikate an -- also Programme mit substanzieller Prüfungskomponente. Das reduziert die Darstellung auf die Zertifikate, bei denen die Bewertung am aussagekräftigsten ist, und macht die Quadrantenstruktur deutlich sichtbar.

Wer gezielt nach einem bestimmten Herstellerzertifikat sucht, kann den Filter jederzeit deaktivieren. Ausgeblendet bedeutet nicht abgewertet -- es bedeutet: weniger Signal, mehr Rauschen.

Weitere Artikel

Was ist eine Personenzertifizierung nach ISO/IEC 17024?
Warum manche Cybersecurity-Zertifikate mehr wiegen als andere — ISO 17024 erklärt, akkreditierte Anbieter im Überblick, Grenzen und Arbeitsmarktrelevanz.
Zertifizierung vs. Zertifikat
Zertifizierung oder Zertifikat? Zwei Begriffe die in der Cybersecurity oft synonym verwendet werden, aber grundverschiedene Dinge meinen.
BSI IT-Grundschutz
Der BSI-Qualifikationspfad erklärt: Praktiker vs. Berater vs. TÜV-Weg, Voraussetzungen, Kosten und Akkreditierungsstatus.
← Zurück zur CertMap