Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
IT-Zertifizierungen im Vergleich: ISO 27001, TISAX, T.I.S.P., OSCP und CEH
Weiterbildung & Zertifizierung

IT-Zertifizierungen im Vergleich: ISO 27001, TISAX, T.I.S.P., OSCP & mehr

Welche Zertifizierungen braucht Ihr Unternehmen oder Ihre Karriere? ISO 27001, TISAX, T.I.S.P., OSCP, CEH und CISSP im Vergleich - mit Nutzen, Anforderungen und Vergleichstabelle.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
Aktualisiert: 11. März 2026 10 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Seit DSGVO und NIS2 prüfen Auftraggeber systematisch, ob Dienstleister zertifiziert sind - wer ohne einschlägige Nachweise akquiriert, verliert Ausschreibungen. Der Artikel unterscheidet zwei Zertifizierungstypen: Unternehmens-Zertifizierungen (ISO 9001, ISO 27001, TISAX, EMAS) und personenbezogene Zertifikate (T.I.S.P., CISSP, OSCP, CEH, CompTIA Security+). Jedes Zertifikat erfüllt einen anderen Zweck und adressiert unterschiedliche Karriere- und Unternehmensziele. Eine vollständige Vergleichstabelle hilft bei der Entscheidung.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (5 Abschnitte)

Es gab eine Zeit, da spielten Zertifizierungen keine allzu große Rolle. Im Zuge der DSGVO und anderen ähnlich strengen Richtlinien wurden die Zertifizierungen jedoch immer wichtiger für Unternehmen und Kunden. War es einst noch vollkommen egal, wird heute explizit darauf geachtet, dass alle Organisationen, mit denen zusammengearbeitet wird, über entsprechende Zertifizierungen verfügen.

Wir selbst besitzen die ISO 27001 Zertifizierung und helfen seitdem auch unseren Kunden dabei, sich auf die Zertifizierung vorzubereiten. Vor allem deshalb, weil wir wissen, dass es bestimmte Punkte zu beachten gibt, wenn die erfolgreiche Zertifizierung stattfinden soll.

Zertifizierungen lassen sich in zwei grundlegende Kategorien unterteilen: Unternehmens-Zertifizierungen, die einer Organisation als Ganzes attestieren, bestimmte Standards zu erfüllen, und personenbezogene Zertifikate, die das Fachwissen einer Einzelperson belegen. Beide spielen eine wichtige Rolle - die richtige Wahl hängt von Ihrer konkreten Situation ab.

Unternehmens-Zertifizierungen

Für die Zertifizierung von Unternehmen existieren unterschiedliche Zertifikate, die verschiedene Aussagen treffen. Sie alle haben gemeinsam, dass sie meist dazu dienen, nach außen hin ein bestimmtes Fachwissen oder Fachgebiet zu kommunizieren.

ISO 9001

Die ISO 9001 befasst sich mit dem Bereich Qualitätsmanagement und spielt immer dann eine Rolle, wenn es um gesicherte Zusammenarbeit gehen soll. Die Zertifizierung nach ISO 9001 demonstriert deutlich, dass Unternehmen bestrebt nach Verbesserung sind und sich kontinuierlich steigern möchten. Das Qualitätsmanagementsystem erfüllt nach ISO 9001 alle relevanten, rechtlichen und behördlichen Anforderungen.

ISO 27001

Die ISO 27001 befasst sich mit einer möglichst hohen Informationssicherheit oder besser gesagt damit, dass die entsprechenden Standards, die diese gewährleisten, vollumfänglich eingehalten werden. Deshalb ist die ISO 27001 für Unternehmen auch entsprechend wichtig, da sie mit dieser nachweisen können, dass sie innerhalb einer Zusammenarbeit die Informationssicherheit jederzeit gewährleisten können. Es ist also wie jede Zertifizierung eine Art verbindlicher Nachweis, der sicherstellt, dass dem Unternehmen diesbezüglich vertraut werden kann. Wir helfen interessierten übrigens aktiv bei der Umsetzung. Mehr dazu auf unserer eigens dafür erstellten Seite zum Thema.

TISAX

Die Zertifizierung TISAX stammt vom Verband der Automobilindustrien (VDA) und steht für Trusted Information Security Assessment Exchange. Dabei geht es um einen Standard für die Verarbeitung vertraulicher Informationen und den Schutz von Prototypen. Es ist eine Art eigene Version der ISO 27001, bei der sich die Automobilindustrie ein paar Anpassungen erlaubt hat. Durchgeführt wird die Zertifizierung auf Basis des VDA Information Security Assessment (VDA ISA) und als Prüfinstanz kommt die ENX Association zum Einsatz. Ohne gültiges TISAX-Label vergeben BMW, Mercedes-Benz oder VW in der Regel keine Aufträge an Zulieferer.

ISO 14001

Mit der ISO 14001 Norm wird sichergestellt, dass im Unternehmen ein vernünftiges und seriöses Umweltmanagementsystem (UMS) zum Einsatz kommt. Ressourcen werden also effizient genutzt, alle gesetzlichen Anforderungen werden strengstens eingehalten und der eigene Fußabdruck in Bezug auf die Umweltverschmutzung wird entsprechend minimal gehalten.

EMAS

Bei EMAS handelt es sich um ein europäisches Umweltmanagementsystem (UMS), welches entsprechend weitläufige Anerkennung findet. Durch systematische Selbstüberwachung wird eine Rechtskonformität sichergestellt, was dazu führt, dass Unternehmen bei öffentlichen Ausschreibungen bevorzugt werden und mehr Chancen auf staatliche Förderungen haben.

Personenbezogene Zertifikate

Neben den Unternehmens-Zertifizierungen gibt es Zertifikate, die das Fachwissen einer Einzelperson belegen. Gerade weil viele Berufsbezeichnungen in der IT-Sicherheit nicht geschützt sind, sind diese Nachweise im Markt wichtig.

T.I.S.P. - TeleTrusT Information Security Professional

Das T.I.S.P. Zertifikat ist ein personenbezogenes Zertifikat, welches eine Art Know-How-Nachweis darstellt. T.I.S.P. selbst steht für TeleTrusT Information Security Professional und wird vom Bundesverband IT-Sicherheit e.V. (TeleTrusT) vergeben und durch die DEKRA geprüft. Die Zertifizierung deckt 20 Wissensgebiete ab - von Kryptographie über Netzwerksicherheit bis hin zu DSGVO, NIS-2 und BSI IT-Grundschutz.

T.I.S.P. ist die einzige europäische Expertenzertifizierung, deren Prüfungsstoff explizit auf deutsche und europäische Regulierung zugeschnitten ist. Die Prüfung wird vollständig auf Deutsch abgelegt. Die Vorbereitung für das Expertenzertifikat übernehmen wir von der AWARE7 GmbH als begleitenden Vorbereitungskurs bis zur Prüfung - als einer von vier akkreditierten Anbietern in Deutschland und Mitglied im T.I.S.P. Board.

  • Herausgeber: TeleTrusT e.V. / DEKRA
  • Voraussetzungen: 3 Jahre Berufserfahrung in der IT-Sicherheit
  • Prüfung: 180 Multiple-Choice-Fragen, 4 Stunden, 70 % Bestehensgrenze
  • Sprache: Deutsch
  • Kosten: ca. 3.560 EUR netto (Schulung + Prüfung)

CISSP - Certified Information Systems Security Professional

Wer eine CISSP Zertifizierung anstrebt, muss zunächst fünf Jahre Berufserfahrung mitbringen. Diese sind Voraussetzung für eine Teilnahme, was Neulinge entsprechend ausschließt. Die Zertifizierung ist nach ISO 17024:2003 akkreditiert und international sehr weitläufig anerkannt. Bei CISSP von (ISC)² handelt es sich um eine reine Personenzertifizierung, die sicherstellt, dass sich die zertifizierte Person auf dem Gebiet der Informationssicherheit entsprechend gut auskennt. Sie deckt acht Domains ab - von Security and Risk Management bis Software Development Security.

  • Herausgeber: (ISC)²
  • Voraussetzungen: 5 Jahre Berufserfahrung in mindestens 2 der 8 Domains
  • Prüfung: 125-175 adaptive Fragen (CAT), 4 Stunden, auf Englisch
  • Kosten: ca. 6.500-8.000 EUR gesamt

OSCP - Offensive Security Certified Professional

Die Abkürzung OSCP steht für Offensive Security Certified Professional. Die Zertifizierung von Offensive Security zeigt deutlich, dass Sie sich im Bereich Ethical Hacking auskennen, was für Pentests eine große Bedeutung haben kann. Anders als bei theorielastigen Zertifizierungen werden in der OSCP-Prüfung keine Multiple-Choice-Fragen gestellt: Der Prüfling erhält 5 Maschinen und 24 Stunden Zeit, um diese zu hacken und jeweils eine Shell zu öffnen. Anschließend sind weitere 24 Stunden für einen vollständigen Schwachstellen-Report vorgesehen.

Die Durchfallquote ist entsprechend hoch, was die Zertifizierung wertvoll macht. Wer die OSCP-Prüfung einmal bestanden hat, verliert diese nicht mehr - das Zertifikat gilt auf Lebenszeit. Aufbaustufen sind OSWE (PEN-210) und OSEP (PEN-300) mit jeweils 48 Stunden Prüfungszeit.

  • Herausgeber: Offensive Security (OffSec)
  • Voraussetzungen: Solide Linux/Windows/Netzwerk-Kenntnisse empfohlen
  • Prüfung: 24h praktische Prüfung + 24h Report
  • Kosten: ab ca. 1.499 USD (inkl. Kurs)
  • Gültigkeit: Lebenszeit (kein Ablaufdatum)

CEH - Certified Ethical Hacker

Der CEH wird von EC-Council angeboten und stellt ein gutes Einstiegszertifikat im Bereich der IT-Sicherheit dar. Als Voraussetzung werden 2 Jahre Erfahrung im Bereich Informationssicherheit oder das Absolvieren des zugehörigen Kurses genannt. Die CEH-Prüfung hat ein Zeitlimit von 4 Stunden für 125 Fragen. Mehrere unserer Penetrationstester führen den CEH.

Im Vergleich zum OSCP ist der CEH theorielastiger - er belegt, dass man die theoretischen Grundlagen des Penetrationstestings beherrscht, ohne praktische Hacking-Fähigkeiten im gleichen Umfang zu prüfen. Als Einstiegszertifikat oder ergänzend zum OSCP ist er dennoch sinnvoll, da er in Stellenausschreibungen - insbesondere in Behördenumfeldern - häufig gefordert wird.

  • Herausgeber: EC-Council
  • Voraussetzungen: 2 Jahre InfoSec-Erfahrung oder EC-Council-Kurs
  • Prüfung: 125 Fragen, 4 Stunden, Multiple-Choice
  • Kosten: variabel je nach Schulungsanbieter

CompTIA Security+

CompTIA Security+ ist die international anerkannte Einstiegszertifizierung für IT-Sicherheit. Sie richtet sich an Berufseinsteiger und IT-Fachkräfte, die ein solides Grundlagenwissen in Sicherheitskonzepten nachweisen wollen. Keine formalen Voraussetzungen - empfohlen werden 2 Jahre IT-Erfahrung.

  • Herausgeber: CompTIA
  • Prüfung: Max. 90 Fragen, 90 Minuten, kein Deutsch
  • Kosten: ca. 1.000-1.400 EUR gesamt
  • Hinweis: Im DACH-Raum bietet T.I.S.P. inhaltlich mehr Tiefe und ist regulatorisch relevanter.

Vergleichstabelle: Welches Zertifikat passt zu wem?

ZertifikatTypZielgruppeSchwerpunktKosten (ca.)DACH-Relevanz
ISO 27001UnternehmenAlle BranchenISMS, Informationssicherheit30.000-150.000 EURSehr hoch
TISAXUnternehmenAutomobilzuliefererInformationssicherheit, Prototypenschutz3.000-30.000 EURPflicht (Automotive)
ISO 9001UnternehmenAlle BranchenQualitätsmanagementvariabelHoch
EMASUnternehmenAlle BranchenUmweltmanagementvariabelMittel
T.I.S.P.PersonISB, Berater, CISOIT-Sicherheit, EU-Regulierung~3.560 EURSehr hoch
CISSPPersonSenior-FachkräfteGanzheitliche IT-Sicherheit~6.500-8.000 EURHoch (international)
OSCPPersonPentesterPraktisches Ethical Hackingab ~1.499 USDSehr hoch (Offensive)
CEHPersonEinsteiger, PentesterEthical Hacking (theoretisch)variabelMittel-Hoch
CompTIA Security+PersonEinsteigerIT-Sicherheits-Grundlagen~1.000-1.400 EURMittel

Wie wichtig ist eine Zertifizierung im Geschäftsalltag?

Für Unternehmen und Einzelpersonen spielen die unterschiedlichen Zertifizierungen eine zunehmend wichtigere Rolle. Das liegt ganz einfach daran, dass Unternehmen sich gerne Nachweise über den Expertenstatus verschiedener Dienstleister einholen. Speziell auch deswegen, weil viele Berufsbezeichnungen nicht geschützt sind und somit Anbieter in Erscheinung treten, die zwar eine Leistung anbieten, in dieser aber keinerlei Expertise aufweisen können.

Mit den unterschiedlichen Zertifizierungen, sei es nun eine nach der ISO-Norm oder aber ein personenbezogenes Zertifikat, kann mehr oder minder bewiesen werden, dass entsprechendes Fachwissen vorhanden ist. Das spielt im Geschäftsalltag eine immer größer werdende Rolle und kann auch bei der Auftragsvergabe eine wichtige Voraussetzung sein.

Das ist auch immer dann der Fall, wenn Unternehmen international tätig sein wollen. Für den EU-Raum und gerade auch für Amerika ist es dann nämlich wichtig, dass nachgewiesen werden kann, dass die hiesigen Gesetze und Richtlinien in Bezug auf die Informationssicherheit und IT-Systeme vollumfänglich bekannt sind und während der Arbeit entsprechend erfüllt werden.

Für Karrieren im IT-Security-Bereich gilt: Autodidaktisches Lernen und praktische Erfahrung - etwa durch Capture-the-Flag-Wettbewerbe, Bug-Bounty-Programme oder Hacking-Plattformen wie HackTheBox - sind wertvolle Ergänzungen, ersetzen aber nicht die formalen Nachweise, die in vielen Unternehmen und Branchen als Filterkriterium für Einstellungen genutzt werden. Die ideale Mischung hängt vom Karriereweg ab: Pentester profitieren besonders vom OSCP, Sicherheitsberater und ISBs vom T.I.S.P., internationale Karrieren vom CISSP.

Fazit

Wir können nur aus eigener Erfahrung sprechen und diese an Sie weitergeben. Für uns war die ISO 27001 Zertifizierung wichtig, um mit bestimmten Kunden überhaupt zusammenarbeiten zu können. Der Weg dorthin war mitunter steinig und nicht ganz unproblematisch, doch schlussendlich hat sich der Aufwand gelohnt. Vor allem deshalb, weil die Zusammenarbeit dann wesentlich reibungsloser verläuft und klar ist, dass wir uns an entsprechende Normen und Gesetze halten, ohne dies gesondert besprechen zu müssen. Das Zertifikat unterstreicht unser Fachwissen.

Durch die eigenen Erfahrungen beflügelt, helfen wir heute daher auch anderen Unternehmen und geben Webinare, in denen wir neben den Grundlagen auch viele praktische Tipps zur ISO 27001 Zertifizierung weitergeben. Auch um OSCP, T.I.S.P. oder CISSP kümmern wir uns gerne und vermitteln hier bedeutsames Wissen.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung