Erfahrungsbericht: Certificate of Cloud Security Knowledge (CCSK)


Im Bezug auf Cloud-Security haben sich zwei grosse Zertifizierungen etabliert: Zum einen gibt es das Certificate of Cloud Security Knowledge CCSK der Cloud Security Alliance (CSA), zum anderen das Certified Cloud Security Professional CCSP des (ISC)². Ich habe mich für das CCSK entschieden und möchte hier kurz beschreiben welcher Aufwand dahinter steckt.

Zunächst einmal stand ich, wie viele andere bestimmt auch, vor der Wahl des passenden Zertifikates. CCSP oder CCSK? Ich möchte beide daher kurz gegenüberstellen.

Das CCSP wird zwar von der (ISC)² herausgegeben, wurde jedoch in Zusammenarbeit mit der CSA entworfen, bevor die CSA mit dem CCSK ihr eigenes Zertifikat herausgerbacht hat. Beide Zertifikate sind daher sehr ähnlich. Das International Information Systems Security Certification Consortium (ISC)² ist vor allem durch ein anderes Zertifikat unter Sicherheitsexperten bekannt. Das Certified Information Systems Security Professional (CISSP). Darauf baut das CCSP mehr oder weniger auf. Das CCSP ist sozusagen das CISSP mit Cloud-Security. Allen Inhabern des CISSP würde ich daher das CISSP empfehlen.

Das CCSK macht hier einen viel deutlicheren Schnitt und trennt sich von allen Altlasten welche nichts direkt mit der Cloud zu tun haben. In dem 150 Seiten grossen Leitfaden wird beispielsweise nicht ein einziger Satz über SQL-Injections verloren. Das ist natürlich ein ziemlich harter Schnitt. So kann sich jemand CCSK-Sicherheitsexperte nennen ohne jemals etwas von einem Buffer-Overflow gehört zu haben. Bei mir war es jedoch eher so, dass ich von diesen Themen schon genug gehört habe und mich eigentlich 100% auf die Cloud konzentrieren wollte. In diesem Fall ist das CCSK die bessere Wahl.

Die Zertifizierung selbst ist ein Open-Book-Tests. D.h. alle Hilfsmittel sind erlaubt. Auch kann sie überall abgelegt werden und wird nicht überwacht, was in Zeiten des Lockdowns die Sache erheblich vereinfacht. Obwohl sich die Umstände einfach anhören, so schreibt die CSA auf ihrer Webseite, dass der Test schwierig ist und von den meisten Personen nicht auf anhieb bestanden wird.

Der Test besteht aus 60 Multiple-Choice-Fragen, welche innerhalb von 90 Minuten beantwortet werden müssen. Jede Frage wird dabei aus einem Pool von 12 unterschiedlichen Sicherheitsdomänen gezogen.

  • Cloud Computing Concepts and Architectures
  • Governance and Enterprise Risk Management
  • Legal Issues, Contracts and Electronic Discovery
  • Compliance and Audit Management
  • Information Governance
  • Management Plane and Business Continuity
  • Infrastructure Security
  • Virtualization and Containers
  • Incident Response
  • Application Security
  • Data Security and Encryption
  • Identity, Entitlement and Access Management
  • Security as a Service
  • Related Technologies

Wie man schnell erkennen kann befasst sich ein grosser Teil mit Themen, welche nichts mit reiner Informatik zu tun haben. Kapitel über Vertragsverhandlungen und Unternehmensstrategien musste ich mehrmals durchlesen um mich darin sicher zu fühlen. Das war so gar nicht mein Themengebiet.

Ein Kurs ist definitiv nicht nötig. Dazu sind die frei zugänglichen Lehrmittel mehr als genug vorhanden. Die wichtigsten drei Dokumente, welche ich auch während meinem Test geöffnet habe sind der Security Guidance, das Cloud Computing Risk Assessment der enisa und die Cloud Controls Matrix. Mehr braucht es nicht. Der Security Guidance sollte vielleicht zweimal durchgelesen werden. Die beiden anderen Dokumente sollten nur zum nachschlagen verwendet werden. Ich habe mir zudem den offiziellen Exam Guide geholt, welcher sich jedoch als eine ausführlichere Version der Security Guidance herausstellte und eigentlich nur dahingehend nützlich ist, als das der gleiche Stoff noch einmal ausführlicher und in anderer Schreibweise vermittelt wird. Nötig ist der Guide nicht. Ein weiterer Vorteil besteht jedoch darin, dass ein Rabatt für das Zertifikat und ein Online-Trainer enthalten sind. Den Online-Trainer habe ich regelmässig benutzt um auf die Fragen zu lernen. Die darin enthaltenen Fragen kommen den eigentlichen Fragen bei der Zertifizierung sehr nahe und man kann schon einmal üben nach welchen Stichworten man in den Dokumenten suchen muss.

Das ist nämlich der Schlüssel zum Zertifikat. Es bleibt genug Zeit die drei Dokumente nach jeder gestellten Frage zu durchsuchen. Man muss nur wissen nach was man suchen muss. Oftmals sind die Sätze 1:1 kopiert und als Frage formuliert. Mit dem Online-Trainer übt man das. Auf die leichte Schulter sollte man das Zertifikat dennoch nicht nehmen. Es ist wie mit einem Formelbuch. Zwar stehen alle Formeln dort drin, wie man diese anwendet und welche Formel die richtige ist muss man jedoch selbst herausfinden. Und dazu gehört Wissen und Übung.