Überblick
Cloud-Sicherheit und sicherheitsorientiertes Softwaretesting sind zwei der anspruchsvollsten Spezialisierungen in der IT-Sicherheitsbranche – und selten werden sie in einem Programm vereint. Dieses Kurs kombiniert die Vorbereitung auf zwei international anerkannte Zertifizierungen: das Certified Cloud Security Professional (CCSP) des (ISC)² und den ISTQB Advanced Level Security Tester (ASTD). Beide Zertifizierungen adressieren IT-Sicherheit aus unterschiedlichen Blickwinkeln und ergänzen sich in der Praxis: Der CCSP befähigt dazu, Cloud-Umgebungen strukturell sicher zu gestalten und zu betreiben – mit Fokus auf Architektur, Governance, Datenschutz, Bedrohungsabwehr und forensische Untersuchungen. Der ISTQB Advanced Security Tester vermittelt die Kompetenz, Sicherheitslücken in Software und Systemen durch systematisches Testen aktiv aufzudecken. Wer beide Qualifikationen besitzt, kann sowohl auf der defensiven Architektur- als auch auf der proaktiven Testebene wirksam sein. Das CCSP-Curriculum folgt dem offiziellen (ISC)²-Rahmenwerk mit seinen sechs Domänen: Cloud Concepts, Architecture and Design; Cloud Data Security; Cloud Platform and Infrastructure Security; Cloud Application Security; Cloud Security Operations; Legal, Risk and Compliance. Diese Domänen decken nahezu alle Sicherheitsaspekte moderner Cloud-Architekturen ab – von der Infrastruktur bis zur rechtlichen Compliance. Die ISTQB-Advanced-Security-Tester-Komponente ergänzt dies um die Testperspektive: Sicherheitstests planen, durchführen und bewerten ist eine eigenständige Disziplin, die methodische Reife und spezifisches Werkzeugwissen erfordert.
Kursinhalte & Lernziele
Das erste Modul – CCSP Domäne 1: Cloud Concepts, Architecture and Design – legt das konzeptionelle Fundament der gesamten CCSP-Zertifizierung. Cloud Computing definieren, Servicemodelle abgrenzen und Sicherheitsarchitekturen für Cloud-Deployments gestalten: Diese Fähigkeiten sind in jeder weiteren Domäne vorausgesetzt.
- Cloud Computing nach NIST: Definition, Eigenschaften und Servicemodelle
- Cloud-Deployment-Modelle: Public, Private, Hybrid, Community Cloud
- Cloud-Referenzarchitektur und Sicherheitsdesignprinzipien
- Shared-Responsibility-Modell: Sicherheitsverantwortung zwischen Anbieter und Nutzer
- Sicherheitsanforderungen in Cloud-Design-Patterns berücksichtigen
- Risikobewertung für Cloud-Migrationsprojekte
Das zweite Modul – CCSP Domänen 2 und 3: Cloud Data Security sowie Cloud Platform and Infrastructure Security – deckt den Kern des operativen Cloud-Sicherheitsschutzes ab. Daten sind das schützenwürdigste Gut in Cloud-Umgebungen; Infrastruktur ist das Fundament, auf dem alles aufbaut.
- Datensouveränität, Datenlokalisierung und rechtliche Anforderungen an Cloud-Datenhaltung
- Datenverschlüsselung at rest, in transit und in use; Key-Management-Strategien
- Datenklassifikation und Datenverlust-Prävention (DLP) in Cloud-Kontexten
- Hypervisor-Sicherheit, Container-Sicherheit und Serverless-Sicherheitsüberlegungen
- Netzwerksicherheit in der Cloud: VPCs, Segmentierung, Micro-Segmentation
- Sicherheit von Cloud-Speicherlösungen (Blob-Storage, Datenbanken, File Shares)
Das dritte Modul – CCSP Domänen 4 und 5: Cloud Application Security sowie Cloud Security Operations – verbindet die Entwicklungs- mit der Betriebsperspektive. Sichere Software in der Cloud zu entwickeln und sichere Betriebsabläufe zu organisieren sind zwei Seiten derselben Sicherheitsmedaille.
- Secure Software Development Lifecycle (SSDLC) für Cloud-Applikationen
- DevSecOps: Sicherheit in CI/CD-Pipelines integrieren
- Identity and Access Management (IAM): Authentifizierung, Autorisierung und Federation in der Cloud
- Security Operations Center (SOC) in Cloud-Umgebungen aufbauen
- Incident Detection, Response und Recovery für Cloud-Services
- Log-Management und SIEM-Integration
Das vierte Modul – CCSP Domäne 6: Legal, Risk and Compliance – behandelt den regulatorischen Rahmen, ohne den keine professionelle Cloud-Sicherheitsarbeit auskommt. DSGVO, ISO 27001, SOC 2 und branchenspezifische Compliance-Anforderungen prägen die tägliche Arbeit von Cloud-Security-Professionals.
- DSGVO und internationale Datenschutzgesetze in Cloud-Kontexten
- Vertragsgestaltung mit Cloud-Anbietern: SLAs, DPA und Haftungsklauseln
- Risikomanagement-Frameworks für Cloud-Sicherheit
- Auditierbarkeit und Compliance-Nachweise in Cloud-Umgebungen
- Forensische Untersuchungen in Cloud-Infrastrukturen: Herausforderungen und Methoden
- eDiscovery und rechtliche Aufbewahrungspflichten
Das fünfte Modul – ISTQB Advanced Level Security Tester – bringt die Testperspektive in das Programm. Sicherheitstesting ist eine spezialisierte Disziplin innerhalb des Software-Qualitätssicherungs-Ökosystems und erfordert Kenntnisse in Testmethodik, Angriffsmuster-Verständnis und Werkzeugeinsatz.
- Sicherheitstesting im Kontext des Softwareentwicklungslebenszyklus
- Threat Modelling als Grundlage für Sicherheitstestplanung
- Penetrationstesting-Grundlagen: Phasen, Methoden und rechtliche Abgrenzung
- Testmethoden für Web-Applikationen: OWASP-Top-10-Kategorien testen
- Sicherheitstests für APIs und Microservices
- Werkzeuge für Sicherheitstesting im Überblick und in der Praxis
Praxis-Block – Anwendungsaufgaben aus Cloud-Sicherheit und Sicherheitstesting
- CCSP-Domänen-Überblick erstellen: Zuordnung realer Cloud-Sicherheitsaufgaben zu den sechs Domänen
- Shared-Responsibility-Matrix für eine AWS- und eine Azure-Deployment-Architektur ausfüllen
- Datenverschlüsselungskonzept für eine Multi-Cloud-Umgebung mit Key-Rotation-Strategie entwerfen
- Container-Sicherheitsanalyse: Dockerfile auf typische Sicherheitsmängel prüfen
- IAM-Sicherheitskonzept für eine Cloud-Native-Applikation mit Federated-Identity skizzieren
- DSGVO-Compliance-Check für ein fiktives SaaS-Angebot durchführen
- Forensische Aufgabe: Vorgehen bei einem Cloud-Sicherheitsvorfall strukturieren
- CCSP-Prüfungssimulation mit Domänen-Fehleranalyse
- Threat-Modelling-Übung: Bedrohungsmodell für eine REST-API-Anwendung mit STRIDE-Methode erstellen
- OWASP-Top-10-Fallstudie: Drei Angriffsmuster in einem fiktiven Web-App-Pentest identifizieren und dokumentieren
- Sicherheitstestplan für eine mobile Applikation mit Cloud-Backend erstellen
- ISTQB-Prüfungssimulation mit Methodik-Vertiefung für schwache Bereiche
Das Programm wird im Combined-Learning-Format durchgeführt. Angeleitete Unterrichtseinheiten wechseln mit eigenverantwortlichem Prüfungslernen und praktischen Anwendungsaufgaben ab. Da sowohl CCSP als auch ISTQB AST umfangreiche Wissensgebiete abdecken, ist ein intensives Vorbereitungspensum eingeplant.
Lernziele:
- Die sechs CCSP-Domänen von (ISC)² im Überblick kennen und ihre Interdependenzen erklären
- Cloud-Architekturen und Servicemodelle (IaaS, PaaS, SaaS) unter Sicherheitsgesichtspunkten beurteilen
- Datenschutzstrategien für Cloud-Umgebungen entwerfen: Datensouveränität, Verschlüsselung und Klassifizierung
- Cloud-Plattform- und Infrastruktur-Sicherheitsrisiken identifizieren und Gegenmaßnahmen ableiten
- Applikationssicherheit in der Cloud: Secure Software Development Lifecycle (SSDLC) und DevSecOps-Grundsätze
- Sicherheitsoperationen in Cloud-Umgebungen planen und durchführen: Incident Response, SOC und Log-Management
- Rechtliche Rahmenbedingungen, Datenschutzgesetze und Compliance-Anforderungen in Cloud-Szenarien einordnen
- Sicherheitsprüfungen und -audits für Cloud-Dienste durchführen
- Grundprinzipien des sicherheitsorientierten Softwaretestens nach ISTQB kennen
- Sicherheitsteststrategien und -pläne für Web-Applikationen und APIs entwickeln
- Typische Angriffsmuster (OWASP Top 10, SQL Injection, XSS, CSRF) beim Testen identifizieren und ausnutzen
- Ergebnisse von Sicherheitstests strukturiert dokumentieren und an Entwicklungsteams kommunizieren
Zielgruppe & Voraussetzungen
Dieses Programm richtet sich an IT-Sicherheitsfachleute mit Berufserfahrung, die sich in Cloud-Sicherheit und sicherheitsorientiertem Testen professionell zertifizieren möchten.
- IT-Sicherheitsarchitekten und Cloud-Security-Engineers, die CCSP als Elite-Nachweis anstreben
- Security-Tester und QA-Engineers, die ihre Testperspektive um Cloud-Sicherheitstiefe erweitern wollen
- Penetrationstester, die ihre Arbeit durch strukturiertes ISTQB-Methodenwissen unterlegen möchten
- Cloud-Architects und DevSecOps-Engineers, die Sicherheit im gesamten Entwicklungslebenszyklus verantworten
- IT-Compliance- und Audit-Fachleute mit Verantwortung für Cloud-Sicherheitsgovernance
Solide Kenntnisse in IT-Infrastruktur, Netzwerken und grundlegenden Sicherheitskonzepten werden vorausgesetzt. Erfahrung mit Cloud-Plattformen (AWS, Azure, GCP) erleichtert den Einstieg. Für das CCSP-Examen empfiehlt (ISC)² mindestens fünf Jahre IT-Berufserfahrung, davon drei Jahre in Informationssicherheit und ein Jahr in einem der sechs CCSP-Domänenbereiche; diese Erfahrungsanforderung ist Voraussetzung für die Vollzertifizierung. Für den ISTQB Advanced Security Tester ist das ISTQB Foundation Level Zertifikat Voraussetzung.
Ablauf & Abschluss
Das Programm wird im Combined-Learning-Format mit Live-Unterricht im virtuellen Klassenzimmer durchgeführt. Für interaktive Teilnahme steht in den Lernzentren ein PC-Arbeitsplatz mit zwei Bildschirmen zur Verfügung; Home-Office-Teilnahme ist ebenfalls möglich. Erfahrene Dozentinnen und Dozenten wechseln zwischen Theorie-Einheiten, Übungsphasen, Fallstudienarbeiten und Prüfungssimulationen ab. Das Format gleicht in seiner Interaktivität einem klassischen Präsenzunterricht. Vollzeit ist das Standardformat.
Da zwei umfangreiche Zertifizierungsprogramme abgedeckt werden, ist mit einer Gesamtdauer von mehreren Wochen bis zu mehreren Monaten zu rechnen. Die CCSP-Domänen allein umfassen erheblichen Lernstoff; der ISTQB AST fügt eine eigenständige Testmethodik-Dimension hinzu. Die genaue Dauer hängt von den gewählten Modulen und dem Lernformat ab.
Das Programm bereitet auf zwei externe Zertifizierungsprüfungen vor: das CCSP (Certified Cloud Security Professional), ausgestellt von (ISC)² nach bestandenem Examen und Erfüllung der Erfahrungsanforderungen, sowie den ISTQB Advanced Level Security Tester, ausgestellt vom ISTQB nach bestandener Prüfung. Beide Zertifikate sind international anerkannt und auf dem globalen IT-Sicherheitsarbeitsmarkt substanzielle Qualifikationsnachweise. Ergänzend erhalten Teilnehmende ein Lehrgangszertifikat des durchführenden Anbieters.
Nutzen & Perspektiven
Das CCSP ist eine der angesehensten Zertifizierungen im Cloud-Sicherheitsbereich und wird weltweit von Unternehmen nachgefragt, die Sicherheitsverantwortung in Cloud-Infrastrukturen besetzen. (ISC)² ist der Herausgeber auch des CISSP und steht für hohe fachliche Standards. Wer CCSP-zertifiziert ist, demonstriert eine Reife in Cloud-Sicherheitsarchitektur, Governance und Betrieb, die auf dem Stellenmarkt als Differenzierungsmerkmal gilt – insbesondere für Senior-Level-Positionen in Cloud-Engineering und IT-Sicherheitsmanagement. Der ISTQB Advanced Security Tester ergänzt diese Architekturperspektive um die praktische Testdimension: Sicherheitslücken zu identifizieren, bevor sie ausgenutzt werden können, ist eine der wirtschaftlich wirksamsten Investitionen in die Sicherheit eines Systems. Sicherheitstester, die strukturiert nach ISTQB-Methodik arbeiten, können Testergebnisse nicht nur erzeugen, sondern auch verständlich kommunizieren, priorisieren und in Entwicklungs- und Betriebsprozesse integrieren. Die Kombination beider Zertifizierungen in einer Maßnahme ist für Professionals besonders wertvoll, die an der Schnittstelle von Cloud-Betrieb und Softwareentwicklung arbeiten – etwa in DevSecOps-Rollen, als Cloud-Sicherheitsarchitekten in agilen Entwicklungsorganisationen oder als Senior-Tester in Cloud-native-Projekten. Wer beide Perspektiven vereint, kann IT-Sicherheit nicht nur reaktiv verwalten, sondern proaktiv in Entwicklungs- und Deploymentprozesse einbauen.
Häufig gestellte Fragen (FAQ)
Was sind die Erfahrungsvoraussetzungen für das CCSP-Examen?
(ISC)² empfiehlt für die CCSP-Vollzertifizierung mindestens fünf Jahre IT-Berufserfahrung, davon drei Jahre in Informationssicherheit und ein Jahr in einem der sechs CCSP-Domänenbereiche. Wer die Prüfung besteht, aber noch nicht alle Erfahrungsanforderungen erfüllt, erhält zunächst den Associate-of-(ISC)²-Status und kann die Vollzertifizierung nachholen, sobald die Erfahrung vorliegt.
Was sind die sechs CCSP-Domänen?
Die sechs CCSP-Domänen nach (ISC)² sind: Cloud Concepts, Architecture and Design; Cloud Data Security; Cloud Platform and Infrastructure Security; Cloud Application Security; Cloud Security Operations; Legal, Risk and Compliance. Zusammen decken sie die gesamte Bandbreite professioneller Cloud-Sicherheitsarbeit ab.
Was unterscheidet CCSP von CISSP?
CISSP ist eine breit angelegte Zertifizierung für allgemeine Information Security Management, die auf erfahrene Sicherheitsfachleute ausgerichtet ist. CCSP ist eine Spezialisierung mit Fokus auf Cloud-Sicherheit und adressiert gezielt die Risiken, Architekturen und Compliance-Anforderungen von Cloud-Umgebungen. Beide stammen von (ISC)² und werden gegenseitig als Erfahrungsnachweis anerkannt.
Welche Voraussetzungen gelten für den ISTQB Advanced Security Tester?
Für den ISTQB Advanced Level Security Tester ist das ISTQB Foundation Level Zertifikat (CTFL) Voraussetzung. Berufliche Testerfahrung erleichtert den Einstieg erheblich; spezifische Sicherheitstesting-Erfahrung ist hilfreich, aber keine formale Zulassungsvoraussetzung.
Warum ist die Kombination CCSP und ISTQB Security Tester sinnvoll?
CCSP vermittelt die Architektur- und Governance-Perspektive: Wie wird Cloud-Sicherheit strategisch und strukturell aufgebaut? ISTQB Security Tester ergänzt das um die operative Testperspektive: Wie werden Sicherheitslücken systematisch gefunden? Gemeinsam bilden sie ein vollständiges Kompetenzprofil für Sicherheitsprofessionals, die sowohl in der Gestaltung als auch in der Prüfung von Sicherheitsmaßnahmen wirksam sein wollen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Scientist3.283 Stellen
- Cyber-Security-Consultant528 Stellen
- Cloud Security Engineer103 Stellen
- Chief-Information-Security-Officer103 Stellen
- Security Tester1 Stellen
- IT-Sicherheitsfachkraft0 Stellen