CISSP oder CISM? Welche Zertifizierung ist die richtige?

Wenn Sie sich fragen, ob Sie sich in der IT Security weiterbilden und eine der renommierten Zertifizierungen wie den CISSP  oder den CISM anstreben sollten, dann lautet die einfache Antwort: Ja, unbedingt. Laut Gartner liegt die Arbeitslosenquote unter ausgewiesenen Cyber Security Specialists nämlich genau bei Null. Und die Gehälter kennen nur eine Richtung. Nach oben.

Und wenn Sie wissen möchten, welche der beiden bekannten Zertifizierungen die richtige für Sie ist, dann sollten Sie weiterlesen. Denn beide Zertifizierungen sind zwar weltweit renommiert und qualifizieren Sie zweifellos für führende Rollen in der Cyber Security, aber es gibt doch wichtige Unterschiede.

Und da eine Zertifizierung leider nicht kostenlos ist und Sie viel wertvolle Zeit investieren müssen, möchten wir Ihnen mit diesem Beitrag helfen, sich für die richtige Zertifizierung zu entscheiden. 

In diesem Guide erhalten Sie Antworten zu folgenden Fragen:

• 1 Welche Rolle spielen CISSP- und CISM-Zertifikate auf dem Arbeitsmarkt? 
• 2 Welche Löhne bringen CISSP- und CISM-Zertifikate?
• 3 Für wen eignet sich der CISSP?
• 4 Für wen eignet sich der CISM?
• 5 Was ist besser: CISSP oder CISM?

Aber zunächst einmal klären wir die Frage, wozu Sie überhaupt IT Security Zertifizierungen brauchen.

1 Welche Rolle spielen CISSP- und CISM-Zertifikate auf dem Arbeitsmarkt?

Zuerst die gute Nachricht: Der Fachkräftebedarf in der Cyber Security ist und bleibt hoch. Der Grund dafür ist jedoch bedauerlich: Cyber Security wurde in den letzten Jahrzehnten schlichtweg verschlafen. Nun erntet die organisierte Kriminalität das Feld und wird es so bald nicht freigeben. Vermutlich sehen wir im Moment nur die Spitze des Eisberges. 

Deshalb gilt es jetzt, aufzurüsten. Tatsächlich haben alle Bedarf. Banken, Beratungen und Corporates suchen händeringend nach Sicherheitsexpertinnen und -experten. Kaum ein Profil ist so begehrt. Und wenn man zynisch sein möchte, ist das Ihr Glück im Unglück. 

Insofern könnten Sie sich die Mühe für ein Zertifikat mit der entsprechenden praktischen Erfahrung glatt sparen, oder?

Ob CISSP oder CISM, zertifizierte Cyber Security Professionals verdienen im Schnitt 20 % mehr als Ihre nichtzertifizierten Kolleginnen und Kollegen.

Auch wenn es in der Cyber Security keinen vorgeschriebenen Ausbildungsweg gibt und man sicher nicht pauschal sagen kann, dass Zertifizierungen ein Muss sind (das ist oft eine Glaubensfrage), helfen diese Ihnen natürlich sehr dabei, Türen zu öffnen und Ihren Wert auf dem Arbeitsmarkt zu steigern.

Neben Berufserfahrung und Referenzen, weisen Zertifikate objektiv nachprüfbar aus, dass Sie über das Wissen und die Skills verfügen. Insofern ist es durchaus üblich, das Unternehmen eine CISSP oder CISM-Zertifizierung voraussetzen. Dies, weil es für Headhunter, Arbeitgebende und HR-Fachkräfte sonst durchaus schwierig sein kann, die Talente zu identifizieren und die Kompetenzen zu erkennen. 

2 Welche Löhne bringen CISSP- und CISM-Zertifikate?

Was den Lohn betrifft, sind beide Zertifizierungen in etwa gleichwertig einzustufen und unter den Top 10 der bestbezahltesten IT Zertifizierungen überhaupt. 

Laut dem 2021 IT Skills and Salary Report von Global Knowledge, in dem 3’700 IT-Fachkräfte in den USA befragt wurden, können CISSPs und CISMs mit einem durchschnittlichen Jahressalär von 150’000 US Dollar rechnen und verdienen im Schnitt rund 20 Prozent mehr als Ihre nicht-zertifizierten Kolleginnen und Kollegen.

Im Schweizer Arbeitsmarkt bewegen sich die Einstiegsgehälter mit 120’000 -130’000 auf einem ähnlich hohen Niveau. Das tönt doch sehr attraktiv, aber wie gelangen Sie dahin?

Schauen wir uns die Zertifizierungen einmal genauer an.

3 Für wen eignet sich der CISSP (Certified Information Systems Security Professional)?

Der Certified Information Systems Security Professional, kurz CISSP, vom (ISC)2 ist wohl die renommierteste und eine der hochwertigsten Zertifizierung im Fachbereich Cyber Security. Sie ist auch ausserhalb ihres Fachbereichs, beispielsweise unter Personalerinnen und Personalern gut bekannt, und gilt deshalb unter Arbeitgebenden als Goldstandard unter den IT Security Zertifizierungen. Kein Security-Zertifikat wird auf LinkedIn häufiger nachgefragt als CISSP.

Mit einem CISSP-Zertifikat belegen Sie, dass Sie über fortgeschrittenes Wissen und die notwendigen technischen Skills verfügen, um effektive Cyber Security Programme zu entwerfen, umzusetzen und zu managen. 

Das CISSP-Zertifikat richtet sich zuvorderst an erfahrene Security-Praktikerinnen und -Praktiker, Managerinnen oder Manager sowie Führungskräfte. Allgemein empfiehlt es sich eher für Personen mit einem technischen Rucksack, die eine führende operative und technische Sicherheitsrolle begleiten oder anstreben.

4 Für wen eignet sich der CISM (Certified Information Security Manager)?

Das zweite sehr begehrte und bekannte Zertifikat auf dem Markt ist der Certified Information Security Manager, kurz CISM, von ISACA und häufig die Zertifizierung erster Wahl für alle, die in CISO, ISO oder BISO-Rollen tätig sind oder diese anstreben und als Informationssicherheitsverantwortliche, die Sicherheit einer Organisation oder eines Unternehmens auf strategischem Level managen möchten. 

Das CISM-Zertifikat bescheinigt Ihnen, dass Sie über das notwendige Wissen und die Kompetenzen für die Leitung von Sicherheitsteams verfügen, dass Sie umfassende Kenntnisse in der Datensicherheit haben und Sicherheitskonzepte in Einklang mit Unternehmenszielen bringen können. Sie bewerten, konzipieren, managen und überwachen Sicherheits-Umgebungen in Unternehmen und sind erster Ansprechpartner für die Geschäftsleitung sowie alle weiteren Stakeholder in Cyber Security Fragen.

Entsprechend ist die Ausrichtung im Gegensatz zum CISSP mehr sicherheitsstrategischer Natur. Durch die CISM-Zertifizierung eignen Sie sich vor allem High-Level-Wissen in der Business-Security an und lernen IT Security Themen so zu kommunizieren, dass sie auch für Personen ohne technischen Hintergrund verständlich sind.

5 Was ist besser: CISSP oder CISM?

Um zu entscheiden, welche Zertifizierung sich für Ihren beruflichen Weg besser eignet, sollten Sie sich zwei Fragen stellen. Wo kommen Sie her? Wo wollen Sie hin?

Zwar behandeln beide Zertifizierungen die Themen Informationssicherheit & Management aus herstellerneutraler Perspektive, jedoch nicht in derselben Tiefe. Verkürzt ausgedrückt richtet sich das CISSP-Zertifikat eher an erfahrene Sicherheitstechniker/innen und das CISM-Zertifikat eher an erfahrene Sicherheitsmanager/innen.

Während beim CISSP der Schwerpunkt eher auf der operativen und technischen Umsetzung von Sicherheitsaspekten liegt, liegt der Fokus des CISM vor allem auf Managementfragen.

Kein Security-Zertifikat wird auf LinkedIn häufiger nachgefragt als CISSP.

Wenn Sie bislang vor allem technische Aufgaben gemeistert haben und diese Erfahrung mit einer Zertifizierung krönen möchten, empfiehlt sich deshalb in der Regel eher der CISSP. Nicht zuletzt, weil ca. 80 – 90 % des Cyber Security Jobs technischer Natur sind. Der CISSP empfiehlt sich aber auch dann, wenn Sie sicher von der rein technischen Arbeit oder Rolle lösen und eine Management-Position, wie die des Chief Security Officers anstreben, da trotz technischem Tiefgang sehr breit aufgestellt ist und Ihnen auch grundlegende Management-Kenntnisse vermittelt und bescheinigt.

Heisst ihr Ziel klar CIO, empfiehlt sich dagegen eher der CISM. Denn dieser ermöglicht Ihnen, das notwendige kommunikative Rüstzeug zu holen, die Sie für die Tätigkeit der oder des Sicherheitsbeauftragte/n benötigen. Auch dann, wenn Sie keinen ausgeprägten technischen Hintergrund haben und über Managementfunktionen in die Cyber Security quereinsteigen, ist der CISM meist die bessere Wahl.

Übrigens ist es auch durchaus üblich und sinnvoll beide Zertifizierungen anzustreben. Beide eignen sich auch gut in Kombination. Wenn Sie einen technischen Hintergrund haben, empfiehlt es sich zuerst den CISSP zu absolvieren und anschliessend den CISM.

Ein wichtiger Grund ist auch, dass die vorausgesetzte praktische Erfahrung beim CISM etwas strikter gehandhabt wird. Zulassungsvoraussetzung für das CISM-Zertifikat sind 5 Jahre praktische Erfahrung in Informationssicherheit, 3 davon in einer Management-Rolle. Jedoch kann eine vorgängige CISSP-Zertifizierung 2 Jahre praktischer Berufserfahrung ersetzen.