Vorbereitung
Ich begann im Januar mit der Vorbereitung und legte die Prüfung Mitte März ab. Insgesamt also etwa zwei Monate, mit einigen Unterbrechungen. Unter der Woche investierte ich etwa eine Stunde täglich, an Wochenenden zwei Stunden. In manchen Wochen tat ich gar nichts – ich ließ mich davon aber nicht stressen.
Mein technischer Hintergrund ermöglichte mir eine Wiederholung bekannter Inhalte statt eines Einstiegs bei null. Dennoch war das Examen kein Selbstläufer. Entscheidend war, dass ich meine Schwächen frühzeitig identifizierte und gezielt daran arbeitete. Ich setzte auf Kontinuität statt Perfektionismus – auch mal ein Kapitel auszulassen war okay.
Lernressourcen – Was wirklich half
Destination Certification Buch
Mein Hauptwerkzeug. Übersichtlich, gut strukturiert, angenehm lesbar. Einige Vereinfachungen (z. B. zu digitalen Signaturen) sind fragwürdig, aber insgesamt ein sehr gutes Buch. Die Balance zwischen Tiefe und Verständlichkeit stimmt.
Destination Certification Video-Kurs
Inhaltlich nahezu deckungsgleich mit dem Buch, aber hilfreich zur Strukturierung der Lernzeit. Für Budgetbewusste genügt das Buch. Ich nutzte die Videos gerne als „leichte Kost“ nach Feierabend.
Destination Certification App
Kostenlos und nützlich für unterwegs. Kein Ersatz für andere Ressourcen, aber gut zur Wiederholung zwischendurch.
Official Study Guide
Trocken, aber inhaltlich stark. Ich nutzte ihn selektiv für Themen, bei denen ich Schwächen hatte – z. B. rechtliche Rahmenbedingungen. Wer ihn durchhält, wird mit Detailtiefe belohnt.
Official Practice Tests
Exzellent zur Festigung des Verständnisses. Nicht nur die richtigen Antworten, sondern auch die falschen werden erklärt. Gerade in der Endphase sehr wertvoll zur Feinjustierung.
LearnZapp
Im Prinzip die offiziellen Fragen in App-Form – spart aber enorm Zeit. Für 10 $ im Monat sehr effizient. Ich lag im Schnitt bei 85 %. In den letzten zwei Wochen mein bevorzugtes Tool.
Extra-Tipp: Einige Tests habe ich entspannt in der Badewanne gemacht. Klingt banal, aber Lernen in entspannter Atmosphäre funktioniert besser.
Strategie
Die zentrale Empfehlung: „Think like a manager“ – nicht wie ein Techniker. Dieser Perspektivwechsel war entscheidend. Dank meiner GRC-Erfahrung fiel mir das leicht. Ich fragte mich bei jeder Frage: Was ist strategisch sinnvoll? Was ist politisch tragfähig? Was ist dokumentierbar?
Meine Schwächen lagen im Bereich des Auswendiglernens – etwa Prozessschritte in der richtigen Reihenfolge. Hier halfen mir Eselsbrücken und Akronyme, z. B. für die Cyber Kill Chain:
Really (Reconnaissance)
Wicked (Weaponization)
Dudes (Delivery)
Exploit (Exploitation)
Innocent (Installation)
Computers (Command & Control)
Arrogantly (Actions on Objectives)
Auch für andere Prozesse baute ich mir eigene Gedächtnisstützen. Ziel war immer, Zusammenhänge zu verstehen – nicht bloß Fakten zu pauken.
Was nicht funktioniert hat
Destination Certification Workbook
Ich druckte das gesamte Workbook aus – ein Paket Papier und Toner. Nach dem ersten Kapitel ließ ich es bleiben. Ohne begleitenden Kurs fehlt Kontext. Für mich war es ineffizient.
Gedruckte Q&A-Fragen
Ich begann mit den offiziellen Fragen in Papierform. Rückblickend war das Zeitverschwendung. LearnZapp war schneller, bequemer und motivierender. Digitale Tools sind hier klar überlegen.
Der Prüfungstag
Ich war ruhig und vorbereitet. Dennoch ein paar Hinweise zum Testcenter Frankfurt:
- Parken: Oberirdisch kaum möglich. Besser gleich ins Hotel-Parkhaus nebenan.
- Verpflegung: Keine Getränke oder Snacks. Vorher ausreichend trinken.
- Ablauf: Freundlich, aber strikt. Ausweis und Prozeduren dauern – Puffer einplanen.
Die Prüfungsumgebung war angenehm ruhig, Beleuchtung und Technik in Ordnung. Kein Grund zur Nervosität.
Die Prüfung selbst
Ich rechnete mit Schlimmerem. Die Mahnungen von Destination Certification („viermal lesen“, „Antworten blockieren“) waren für mich übertrieben. Wer ruhig bleibt und den Fragentyp kennt, kommt gut klar.
Ich benötigte knapp zwei Stunden. Einige Fragen waren knifflig formuliert, aber nie unverständlich oder unfair. Die CCDP-Prüfung vor acht Jahren empfand ich als deutlich schwieriger.
Entscheidend war, das Warum hinter den Antworten zu verstehen – und stets die Perspektive des verantwortlichen Managers einzunehmen.
Fazit – Für wen lohnt sich CISSP?
Wenn du bereits technisches Verständnis mitbringst und GRC-Erfahrung hast, ist der CISSP keine unüberwindbare Hürde. Es geht nicht um Spezialwissen, sondern um Urteilsvermögen und Priorisierung.
Meine Empfehlungen:
- Denke wie ein Entscheider: Technik spielt eine Rolle – aber aus Sicht von Verantwortung und Risiko.
- Verinnerliche die Prinzipien: Verstehe Prozesse, nicht nur ihre Reihenfolge.
- Bleib pragmatisch: Du musst nicht alles wissen, aber das Relevante erkennen.
- Fokussiere auf Struktur: Prozesse, Richtlinien und formale Abläufe sind oft die richtige Antwort.
- Lerne den CISSP-Stil kennen: Fragen haben ihre eigene Logik – übe gezielt darauf hin.
Mein Fazit: Die Prüfung hat ihren Ruf, aber wer strukturiert und reflektiert lernt, kann sie gut bestehen – auch berufsbegleitend.