CertMap← Zur Übersicht

Was ist eine Personenzertifizierung nach ISO/IEC 17024?

Warum manche Cybersecurity-Zertifikate mehr wiegen als andere — und worauf es im DACH-Raum ankommt.

Auf einen Blick
ISO/IEC 17024 ist der internationale Standard für die Zertifizierung von Personen durch unabhängige Stellen.
Akkreditierte Zertifizierungen durchlaufen eine externe Prüfung durch nationale Akkreditierungskörper wie die DAkkS (Deutschland), ANAB (USA) oder UKAS (UK).
Nicht alle bekannten Cybersecurity-Zertifikate sind nach ISO 17024 akkreditiert — darunter auch Branchengrößen wie OSCP.
Für regulierte Bereiche (Behörden, Verteidigung, KRITIS) kann der Akkreditierungsstatus entscheidend sein.

ISO/IEC 17024 einfach erklärt

ISO/IEC 17024 legt fest, wie eine Zertifizierungsstelle arbeiten muss, die Personen — nicht Produkte oder Managementsysteme — zertifiziert. Der Standard verlangt unter anderem unabhängige Prüfungsentwicklung, dokumentierte Kompetenzanforderungen, transparente Rezertifizierungsprozesse und eine strikte Trennung zwischen Ausbildung und Prüfung.

Kurz: Wer nach diesem Standard arbeitet, darf Ausbildung und Prüfung nicht aus einer Hand anbieten, muss Prüfungsinhalte durch Fachgremien validieren lassen und wird regelmäßig extern überprüft. Das Ziel ist Vergleichbarkeit und Vertrauen — weltweit.

Akkreditierte Personenzertifizierung vs. normales Zertifikat

In der Cybersecurity-Branche wird der Begriff „Zertifizierung" inflationär verwendet. Ein Online-Kurs mit Abschlusstest, ein Vendor-Badge nach einem Workshop, eine formale Prüfung durch eine akkreditierte Stelle — all das wird als „Zertifikat" bezeichnet. Die Unterschiede sind jedoch erheblich.

Eine akkreditierte Personenzertifizierung nach ISO/IEC 17024 bedeutet, dass eine nationale Akkreditierungsstelle die Zertifizierungsorganisation geprüft und bestätigt hat, dass deren Prozesse dem internationalen Standard entsprechen. Das umfasst die Unabhängigkeit der Prüfungsentwicklung, die psychometrische Qualität der Prüfungen, die Governance-Struktur und die Rezertifizierungsverfahren.

Ein normales Zertifikat — ob von einem Trainingsanbieter, einem Softwarehersteller oder einer Fachorganisation — unterliegt keiner solchen externen Kontrolle. Es kann fachlich exzellent sein, aber es fehlt die unabhängige Prüfung der Prozesse.

Der Unterschied ist vergleichbar mit dem zwischen einem TÜV-geprüften Produkt und einer Herstellergarantie: Beides hat seinen Wert, aber nur eines wird von einer unabhängigen dritten Partei verifiziert.

Wer akkreditiert?

Die Akkreditierung erfolgt durch nationale Akkreditierungskörper:

  • DAkkS (Deutsche Akkreditierungsstelle): Zuständig für Deutschland, arbeitet auf Grundlage der EU-Verordnung (EG) Nr. 765/2008. Die DAkkS ist die einzige nationale Akkreditierungsstelle in Deutschland und handelt hoheitlich als nationale Akkreditierungsbehörde.
  • ANAB (ANSI National Accreditation Board): Einer der führenden Akkreditierungskörper in den USA. Die meisten großen Cybersecurity-Zertifizierungsorganisationen lassen sich über ANAB akkreditieren.
  • UKAS (United Kingdom Accreditation Service): Der britische Akkreditierungskörper, relevant für den europäischen und internationalen Markt.

Durch multilaterale Abkommen (MLA) der internationalen Dachorganisation IAF (International Accreditation Forum) werden Akkreditierungen im privatwirtschaftlichen Kontext grundsätzlich gegenseitig anerkannt. Wichtige Einschränkung: Diese Anerkennung greift nicht automatisch im hoheitlichen oder regulatorischen Bereich. Die DAkkS stellt klar, dass Zertifikate von Stellen, die von einer Akkreditierungsstelle aus einem Drittstaat (z.B. USA/ANAB) akkreditiert wurden, nicht den Anforderungen der EU-Verordnung (EG) Nr. 765/2008 entsprechen. Für behördliche Vergabeverfahren in der EU kann das bedeuten, dass nur eine DAkkS-akkreditierte (oder EU-basierte) Zertifizierung als formal akkreditiert anerkannt wird.

Welche Cybersecurity-Zertifikate sind nach ISO 17024 akkreditiert?

Die Landschaft ist unübersichtlich. Hier ein Überblick der wichtigsten Anbieter:

  • ISC2: Alle 9 Zertifizierungen (darunter CISSP, CCSP, SSCP, CC) sind ANAB-akkreditiert nach ISO/IEC 17024. ISC2 war die erste Cybersecurity-Zertifizierungsstelle, die diesen Weg konsequent gegangen ist.
  • ISACA: 4 von inzwischen über 10 Zertifizierungen sind akkreditiert — CISA, CISM, CGEIT und CRISC. Neuere Zertifizierungen wie CDPSE, CCOA und die 2025/2026 eingeführten AI-Zertifizierungen (AAIA, AAISM, AAIR) tragen bislang keine ISO-17024-Akkreditierung.
  • CompTIA: 12 Zertifizierungen sind ANAB-akkreditiert, darunter Security+, CySA+, SecurityX (ehemals CASP+) und PenTest+. CompTIA gehört damit zu den Anbietern mit dem breitesten akkreditierten Portfolio.
  • GIAC (SANS): 14 von über 30 Zertifizierungen sind ANAB-akkreditiert, darunter GSEC, GCIH, GPEN, GCFA, GCIA, GSLC, GCED, GSNA, GICSP, GISF, GCFE, GCSA, GCLD und GFACT. Der Rest des GIAC-Portfolios — trotz exzellenter fachlicher Reputation — ist nicht nach ISO 17024 akkreditiert.
  • EC-Council: 7 Zertifizierungen tragen die Akkreditierung — CEH, CEH (Practical), CCISO, CND, CHFI, CCT und ECIH. Auffällig: CPENT (Certified Penetration Testing Professional) ist nicht akkreditiert.

Arbeitsmarktrelevanz: Wo Akkreditierung zählt

In bestimmten Kontexten ist der Akkreditierungsstatus kein Nice-to-have, sondern eine harte Anforderung:

DoD 8140 (USA): Das US-Verteidigungsministerium verlangt für IT- und Cybersecurity-Positionen Zertifizierungen, die in der DoD 8140 Qualification Matrix gelistet sind. Die meisten dort aufgeführten Zertifikate sind ISO-17024-akkreditiert. Für Dienstleister und Berater, die mit US-Behörden oder NATO-Strukturen arbeiten, ist dies direkt relevant — auch im DACH-Raum.

Behörden und KRITIS im DACH-Raum: Obwohl es in Deutschland, Österreich und der Schweiz (noch) keine mit DoD 8140 vergleichbare Positivliste gibt, orientieren sich Ausschreibungen zunehmend an akkreditierten Zertifizierungen. In Vergabeverfahren für kritische Infrastrukturen (KRITIS) und Behördenprojekte kann der Nachweis akkreditierter Zertifikate ein Zuschlagskriterium sein. Zu beachten ist dabei, dass im EU-Vergaberecht nur Akkreditierungen durch EU-basierte Akkreditierungsstellen (wie die DAkkS) als formal anerkannt gelten — ANAB-akkreditierte US-Zertifizierungen werden privatwirtschaftlich akzeptiert, können aber in behördlichen Ausschreibungen auf formale Hürden stoßen.

Personalvermittlung und Karriere: Auf dem freien Arbeitsmarkt unterscheiden Recruiter selten zwischen akkreditierten und nicht akkreditierten Zertifikaten. Hier zählt der Bekanntheitsgrad. Dennoch lohnt es sich, den Unterschied zu kennen — insbesondere wenn man in regulierte Branchen wechseln möchte.

Die Grenzen der Akkreditierung: Warum OSCP trotzdem zählt

Die vielleicht wichtigste Einschränkung: ISO-17024-Akkreditierung sagt nichts über die fachliche Tiefe oder praktische Relevanz einer Prüfung aus. Sie bescheinigt Prozessqualität, nicht inhaltliche Exzellenz.

Das beste Beispiel ist OSCP (Offensive Security Certified Professional) von OffSec. OSCP ist nicht nach ISO/IEC 17024 akkreditiert — OffSec hat lediglich den Status „ANAB-Applicant", die Akkreditierung ist also beantragt aber nicht erteilt. Dennoch gilt OSCP als Goldstandard für praktische Penetration-Testing-Kompetenz. Die 24-stündige Hands-on-Prüfung in einem realen Netzwerk hat in der Branche ein Gewicht, das keine Akkreditierung ersetzen kann. Ähnliches gilt für andere praxisorientierte Zertifikate wie OSED, OSWE oder CRTO (Zero-Point Security).

Die Lektion: Akkreditierung ist ein Qualitätsmerkmal für den Prozess. Fachliche Anerkennung entsteht durch den Ruf der Prüfung in der Community.

Sonderfall BSI: Zertifizierung kraft Gesetz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt eine einzigartige Stellung ein. Das BSI zertifiziert Personen — etwa IT-Grundschutz-Berater oder IT-Grundschutz-Auditoren — nicht auf Basis einer ISO-17024-Akkreditierung durch die DAkkS, sondern kraft gesetzlicher Grundlage (BSI-Gesetz, BSIG §§ 52, 56).

Das BSI ist damit keine akkreditierte Zertifizierungsstelle im klassischen Sinne, sondern eine Bundesbehörde, die durch ihren gesetzlichen Auftrag legitimiert ist. Für den deutschen Markt — insbesondere im Bereich KRITIS und öffentliche Verwaltung — sind BSI-Zertifizierungen von hoher praktischer Bedeutung, auch ohne ISO-17024-Akkreditierung. Im internationalen Vergleich ist dieses Modell jedoch eher die Ausnahme.

Für Cybersecurity-Professionals im DACH-Raum gilt: Den Akkreditierungsstatus zu kennen, hilft bei der strategischen Karriereplanung. Wer in regulierte Bereiche strebt, sollte auf akkreditierte Zertifizierungen setzen. Wer technische Tiefe nachweisen will, kommt um praxisorientierte Prüfungen nicht herum — unabhängig vom Akkreditierungsstatus.

Weitere Artikel

Zertifizierung vs. Zertifikat
Zertifizierung oder Zertifikat? Zwei Begriffe die in der Cybersecurity oft synonym verwendet werden, aber grundverschiedene Dinge meinen.
Wie bewertet CertMap Cybersecurity-Zertifikate?
Die zwei Achsen, vier Kriterien und vier Quadranten — so funktioniert die CertMap-Bewertungsmethodik.
BSI IT-Grundschutz
Der BSI-Qualifikationspfad erklärt: Praktiker vs. Berater vs. TÜV-Weg, Voraussetzungen, Kosten und Akkreditierungsstatus.
← Zurück zur CertMap