Überblick
Der Certified Cloud Security Professional (CCSP) ist die international führende Zertifizierung für Fachkräfte, die Cloud-Umgebungen aus Sicherheitsperspektive verantworten. Hinter der Prüfung steht ISC², die Organisation, die auch die CISSP-Zertifizierung herausgibt — entsprechend hoch sind Tiefe und Breite des geforderten Wissens. Dieser Kurs legt die Grundlage für eine erfolgreiche CCSP-Prüfung, indem er alle sechs Domänen des ISC² Common Body of Knowledge systematisch abdeckt: von Cloud-Architekturkonzepten über Datensicherheit und Anwendungssicherheit bis hin zu Betrieb, Recht und Compliance. Unterrichtssprache, Lernmaterialien und Prüfung sind auf Englisch.
Kursinhalte & Lernziele
Domäne 1: Architekturkonzepte und Designanforderungen Diese Domäne legt das konzeptionelle Fundament: Was ist Cloud Computing im technischen und regulatorischen Sinn, und welche Sicherheitsanforderungen folgen aus den unterschiedlichen Architekturmustern? Die Teilnehmenden lernen, Cloud-Referenzarchitekturen kritisch zu lesen und sichere Designs daraus abzuleiten.
- Cloud-Computing-Definition: NIST-Merkmale, Servicemodelle IaaS/PaaS/SaaS im Sicherheitsvergleich
- Deployment-Modelle (Public, Private, Community, Hybrid) und deren spezifische Risikolandschaft
- Cloud-Referenzarchitektur: Schichten, Verantwortlichkeitsgrenzen (Shared Responsibility Model)
- Sicherheitsprinzipien für Cloud-Design: Defense in Depth, Zero Trust, Least Privilege
- Vertrauenswürdige Cloud-Dienste: Evaluationskriterien und Zertifizierungsschemata (ISO 27017, CSA STAR)
- Kryptografische Grundlagen für Cloud: TLS, tokenization, key management (BYOK, HYOK)
Domäne 2: Cloud-Datensicherheit Cloud-Datensicherheit geht weit über Verschlüsselung hinaus. Dieses Modul behandelt den gesamten Datenlebenszyklus — von der Erzeugung bis zur sicheren Löschung — und zeigt, wie Klassifizierung, Zugriffskontrolle und regulatorische Anforderungen zusammenwirken.
- CSA-Datenlebenszyklusmodell: Create, Store, Use, Share, Archive, Destroy — mit Sicherheitsimplikationen je Phase
- Cloud-Datenspeicher-Architekturen: Object Storage, Block Storage, Databases — je mit Risikoprofil
- Datentokenschemen, Datenmaskierung und Verschlüsselungsstrategien für ruhende und übertragene Daten
- Technologien zur Datenerkennung und -klassifizierung (DLP, Tagging, Metadaten)
- PII-Schutz, Datenschutzgesetze (DSGVO, CCPA) und deren Auswirkungen auf Cloud-Architekturen
- Digital Rights Management (DRM) und Information Rights Management (IRM) für Cloud-Inhalte
- Aufbewahrungsrichtlinien, rechtlich konforme Datenlöschung und Archivierungsstandards
- Audit-Trails, Data Lineage und Accountability in Multi-Cloud-Umgebungen
Domäne 3: Sicherheit der Cloud-Plattform und -Infrastruktur Physische und logische Infrastruktur teilen in der Cloud Sicherheitsverantwortung. Diese Domäne behandelt, was Cloud-Kunden kontrollieren können und müssen — und was beim Provider liegt.
- Komponenten der Cloud-Infrastruktur: Compute, Network, Storage aus Sicherheitsperspektive
- Hypervisor-Sicherheit, virtuelle Netzwerke, Microsegmentierung
- Identifikation und Bewertung von Cloud-Infrastrukturrisiken (Threat Modeling, STRIDE)
- Entwurf und Implementierung von Sicherheitskontrollen: NIST CSF-Mapping auf Cloud
- Disaster-Recovery-Konzepte: RTO, RPO, Multi-Region-Failover, Backup-Validierung
- Business-Continuity-Planung für Cloud-abhängige Geschäftsprozesse
Domäne 4: Sicherheit von Cloud-Anwendungen Cloud-Anwendungen sind exponiert — durch öffentliche APIs, kurze Release-Zyklen und geteilte Runtimes. Diese Domäne verbindet Anwendungssicherheitsprinzipien mit Cloud-spezifischen Besonderheiten.
- Bedarfsanalyse für Sicherheitsbewusstsein und Training in Entwicklungsteams
- Cloud Software Assurance: SAST, DAST, Dependency Scanning in CI/CD-Pipelines
- Verifizierte sichere Software: Code Signing, Supply-Chain-Sicherheit, SBOM
- SDLC-Phasen mit eingebetteten Sicherheitsaktivitäten (Threat Modeling, Security Review, Pen Testing)
- Sicherer SDLC: OWASP SAMM, Microsoft SDL — angepasst auf Cloud-native Entwicklung
- Cloud-Anwendungsarchitektur-Besonderheiten: Microservices, APIs, serverlose Funktionen und deren Angriffsflächen
- Sichere IAM-Lösungen: OAuth 2.0, OIDC, SAML, Federated Identity in Cloud-Anwendungen
Domäne 5: Cloud-Betrieb Operativer Cloud-Betrieb umfasst die sichere Konfiguration, Überwachung und den Lebenszyklus sowohl physischer Rechenzentrumskomponenten als auch logischer Cloud-Ressourcen.
- Rechenzentrumsplanung: physische Sicherheit, Redundanzkonzepte, Tier-Klassifikation (Uptime Institute)
- Installation und Konfiguration physischer und logischer Cloud-Infrastruktur nach Sicherheitsstandards
- Laufender Betrieb: Patch Management, Change Management, Configuration Management in Cloud
- Compliance-Monitoring: kontinuierliche Kontrolle von Sicherheitsrichtlinien (CSPM-Tools)
- Risikobewertung physischer und logischer Infrastruktur: Asset Management, Schwachstellenscanning
- Cloud Forensics: Sicherung und Auswertung digitaler Beweise in virtualisierten Umgebungen
- Stakeholder-Kommunikation im Sicherheitsvorfall: Eskalationswege, Reporting, PR-Aspekte
Domäne 6: Recht, Risikomanagement und Compliance Die sechste Domäne behandelt die rechtlichen und regulatorischen Rahmenbedingungen, die Cloud-Deployments prägen — von Datenschutzrecht über Vertragsgestaltung bis zum Audit.
- Rechtliche Risiken der Cloud: Jurisdiktionskonflikte, Datentransfer, Strafverfolgungszugriff
- DSGVO, Schrems-II-Nachfolgeregeln und globale Datenschutzgesetze in der Cloud-Praxis
- Audit-Prozesse für Cloud-Umgebungen: ISO 27001, SOC 1/2/3, PCI DSS, CSA STAR
- Unternehmensweites Risikomanagement: Cloud-Risiken in Enterprise Risk Management integrieren
- Outsourcing-Risiken: Shared Responsibility Model vertragsmäßig abbilden
- Vendor Management: Due Diligence, SLAs, Exit-Strategien für Cloud-Anbieter
Lernziele:
- Cloud-Computing-Konzepte, Servicemodelle (IaaS/PaaS/SaaS) und Deployment-Modelle (Public/Private/Hybrid) sicher einordnen
- Cloud-Referenzarchitekturen analysieren und Sicherheitsanforderungen daraus ableiten
- Den Cloud-Datenlebenszyklus nach CSA-Modell erklären und datenschutzrelevante Konsequenzen benennen
- Datenklassifizierung, DRM-Technologien (Digital Rights Management) und Verschlüsselungsstrategien auf Cloud-Szenarien anwenden
- Sicherheitskontrollen für Cloud-Plattformen und physische Rechenzentren planen
- Disaster-Recovery- und Business-Continuity-Konzepte für Cloud-Umgebungen entwickeln
- Den sicheren SDLC (Secure Software Development Lifecycle) und sichere IAM-Architekturen in Cloud-Anwendungen umsetzen
- Betriebliche Risiken für physische und logische Infrastruktur in der Cloud bewerten und mindern
- Digitale Beweissicherung (Cloud Forensics) und Incident-Response-Prozesse in Cloud-Kontexten durchführen
- Rechtliche Rahmenbedingungen für Cloud-Nutzung — DSGVO, Privacy Shield-Nachfolger, sektorale Vorschriften — einordnen
- Cloud-Audits nach einschlägigen Standards (ISO 27001, SOC 2, CSA STAR) planen und begleiten
- Vendor-Management und Cloud-Vertragsgestaltung aus Sicherheitsperspektive beurteilen
Zielgruppe & Voraussetzungen
Der Kurs spricht erfahrene IT-Sicherheitsfachkräfte an, die in Cloud-Umgebungen Verantwortung tragen oder anstreben, und die mit der ISC² CCSP-Zertifizierung international nachweisbare Kompetenz erwerben wollen.
- IT-Sicherheitsarchitektinnen und -architekten mit Cloud-Bezug
- Cloud Security Engineers und Cloud Architects
- Security Manager und CISO-nahe Rollen, die Cloud-Governance verantworten
- Compliance- und Risikomanagement-Fachkräfte mit technischem Hintergrund
- Erfahrene IT-Fachkräfte, die von klassischer Netzwerk- oder Systemsicherheit in die Cloud wechseln
ISC² setzt für die CCSP-Zertifizierung fünf Jahre einschlägige Berufserfahrung in IT und Sicherheit voraus, davon mindestens drei Jahre in Informationssicherheit und ein Jahr in einem der sechs CCSP-Domänenbereiche. Der Kurs spiegelt diesen Anspruch: Grundkenntnisse in Netzwerksicherheit, Kryptografie, Zugriffsmanagement und Cloud-Architekturen werden als bekannt vorausgesetzt. Da Unterricht und Prüfung auf Englisch stattfinden, sind gute Englischkenntnisse auf B2-Niveau oder besser erforderlich.
Ablauf & Abschluss
Der Kurs kombiniert strukturierten Frontalunterricht (auf Englisch) mit fallstudienbasierten Diskussionen zu allen sechs Domänen. Die Lernmaterialien folgen dem offiziellen ISC²-CCSP-Curriculum und werden durch aktuelle Fallbeispiele aus realen Cloud-Sicherheitsvorfällen ergänzt. Sowohl synchrone Präsenz- als auch Online-Phasen kommen zum Einsatz; die Übungen zur Domänenvertiefung werden im Combined-Learning-Format absolviert.
Der Kurs wird teils in Vollzeit, teils in Teilzeit durchgeführt. Die CCSP-Prüfung ist inhaltlich sehr umfangreich, weshalb ausreichend Vorbereitungszeit einzuplanen ist. Für die Prüfungsanmeldung ist das Erfüllen der ISC²-Erfahrungsvoraussetzungen eigenverantwortlich nachzuweisen.
Nach Abschluss des Kurses erhalten Teilnehmende eine Teilnahmebescheinigung. Die offizielle CCSP-Zertifizierung wird nach Bestehen der ISC²-Prüfung bei einem Pearson-VUE-Testzentrum und nach Bestätigung der Berufserfahrung durch einen ISC²-Member erteilt. Das Zertifikat ist drei Jahre gültig und erfordert zur Aufrechterhaltung die jährliche Sammlung von CPE-Punkten (Continuing Professional Education). Der CCSP wird von ISC² ausgestellt und ist weltweit anerkannt.
Nutzen & Perspektiven
Cloud-Sicherheit ist keine Nische mehr — sie ist Kernaufgabe jeder IT-Organisation, die kritische Daten in der Cloud betreibt. Der CCSP ist dabei das Zertifikat, das sowohl technische Tiefe als auch strategisches Sicherheitsdenken belegt. Wer die Prüfung besteht, hat nachgewiesen, dass er oder sie Cloud-Risiken nicht nur benennen, sondern systematisch managen kann. Der inhaltliche Zuschnitt auf alle sechs Domänen stellt sicher, dass Absolventen nicht nur Technik beherrschen, sondern auch Recht, Compliance und Vendor Management einordnen können. Diese Breite ist besonders wertvoll für Personen, die zwischen technischen Teams und Management oder Rechtsabteilung vermitteln müssen. Auf dem europäischen und deutschen Markt wächst die Nachfrage nach CCSP-Zertifizierten, weil Unternehmen unter DSGVO und NIS2 nachweispflichtig werden. Wer eine CCSP-Zertifizierung nachweisen kann, ist in Audits und Kundengesprächen gegenüber Mitbewerbern ohne diese Qualifikation klar im Vorteil.
Häufig gestellte Fragen (FAQ)
Was ist die Voraussetzung für die CCSP-Zertifizierung von ISC²?
ISC² verlangt fünf Jahre Berufserfahrung in IT und Sicherheit, davon drei Jahre in Informationssicherheit und ein Jahr in einem der sechs CCSP-Domänenbereiche. Wer diese Erfahrung noch nicht nachweisen kann, kann als Associate of ISC² eingestuft werden und die Erfahrung nachträglich sammeln.
Findet der Kurs auf Deutsch oder Englisch statt?
Unterrichtssprache, Kursunterlagen und Prüfung sind auf Englisch. Für den Kurs werden Englischkenntnisse auf mindestens B2-Niveau empfohlen.
Wie lange ist das CCSP-Zertifikat gültig?
Das CCSP-Zertifikat ist drei Jahre gültig. Zur Aufrechterhaltung müssen jährlich CPE-Punkte (Continuing Professional Education) gesammelt und eine Jahresgebühr entrichtet werden.
Welche anderen ISC²-Zertifizierungen ergänzen den CCSP sinnvoll?
Der CCSP ergänzt die CISSP (Certified Information Systems Security Professional) besonders gut, da beide auf dem ISC² Common Body of Knowledge aufbauen. Wer bereits CISSP hält, erfüllt einen Teil der CCSP-Erfahrungsvoraussetzungen automatisch.
Ist die CCSP-Prüfung im Kursumfang enthalten?
In vielen Formaten ist der Prüfungsvoucher eingeschlossen — daher auch der Titel "incl. Exam". Der genaue Lieferumfang ist beim jeweiligen Anbieter zu bestätigen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheit (grundständig)926 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT-Management (grundständig)30 Stellen