CCAK Certificate of Cloud Auditing Knowledge.

CCAK ist die gemeinsame Zertifizierung von ISACA und der Cloud Security Alliance für Cloud-Auditoren. Themen sind Cloud-Governance, CCM, das STAR-Programm sowie hyperscalerspezifische Prüfungsaspekte. Die logische Erweiterung für einen CISA-Inhaber, dessen Prüfungsumfang cloud-first geworden ist.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

Die Einschätzung der Cyber Academy

CCAK ist die gemeinsame Zertifizierung von ISACA und der Cloud Security Alliance für Cloud-Auditoren. Themen sind Cloud-Governance, CCM, das STAR-Programm sowie hyperscalerspezifische Prüfungsaspekte. Die logische Erweiterung für einen CISA-Inhaber, dessen Prüfungsumfang cloud-first geworden ist.

Was das CCAK tatsächlich zertifiziert

Das Certificate of Cloud Auditing Knowledge ist ein gemeinsamer Nachweis von ISACA und der Cloud Security Alliance und schließt eine bestimmte Lücke. Die klassische IT-Audit-Ausbildung setzt voraus, dass Sie durch das Rechenzentrum gehen, die Change-Tickets prüfen und Kontrollen, die die Organisation vollständig selbst besitzt, durchgängig testen können. In der Cloud bricht diese Annahme zusammen. Der Anbieter betreibt die physische Infrastruktur, den Hypervisor und große Teile der Plattform, und Sie bekommen sie nie zu Gesicht.

Das CCAK ist darauf ausgerichtet, wie man genau diese Konstellation prüft und absichert: wie sich die Kontrollverantwortung zwischen Kunde und Anbieter aufteilt, welche Nachweise Sie tatsächlich erlangen können und wie man über Assurance argumentiert, wenn man den Test nicht selbst durchführen kann.

Es handelt sich um ein Wissenszertifikat und nicht um eine an Erfahrung gebundene Zertifizierung, daher ist keine mehrjährige Berufserfahrung als Voraussetzung damit verknüpft, wie es beim CISA der Fall ist. Das macht es früher in einer Laufbahn zugänglich, doch es ist als Ergänzung zu tiefergehenden Audit-Nachweisen positioniert und nicht als Ersatz. Der naheliegende Leser ist jemand, der die Audit-Methodik bereits beherrscht und nun die cloudspezifische Schicht obendrauf benötigt.

Was der Wissensbestand abdeckt

Das CCAK ist an die eigenen Werkzeuge der CSA verankert und nicht an die Dokumentation eines einzelnen Anbieters, und genau das hält es herstellerneutral. Zu den zentralen Referenzpunkten, mit denen Praktiker zu arbeiten lernen, gehören:

  • Die Cloud Controls Matrix (CCM), das Kontroll-Framework der CSA, das über die Cloud-Domänen hinweg abgebildet und mit Normen wie ISO 27001 sowie den wichtigsten Regulierungsregimen verknüpft ist. Es ist der Kontrollkatalog, gegen den Sie eine Cloud-Umgebung bewerten.
  • Das Consensus Assessments Initiative Questionnaire (CAIQ), der standardisierte Fragenkatalog, den ein Kunde einem Anbieter stellt, um zu verstehen, welche CCM-Kontrollen der Anbieter betreibt und wie.
  • Das STAR-Programm (Security, Trust, Assurance and Risk), das Assurance-Register der CSA. STAR umfasst Stufen, die von der Selbstbewertung des Anbieters bis zur Zertifizierung durch Dritte reichen, und das CCAK lehrt Sie zu lesen, was jede Stufe belegt und was nicht.
  • Geteilte Verantwortung, Kontrollzuordnung und anbieterspezifische Audit-Aspekte über die wichtigsten Hyperscaler hinweg, sodass Sie wissen, welche Kontrollen Sie testen, welche der Anbieter attestiert und wo die Nahtstelle zwischen beiden liegt.

Wo das CCAK neben CISA und CCSP steht

Praktiker verwechseln das CCAK regelmäßig mit den beiden Nachweisen, zwischen denen es angesiedelt ist, daher lohnt es sich, die Abgrenzung sauber zu ziehen. Das CISA belegt, dass Sie Informationssysteme überhaupt prüfen können. Das CCSP von (ISC)2 ist ein breiter Nachweis für Design und Architektur der Cloud-Sicherheit. Das CCAK ist enger und spezifischer als beide: Es geht um die Absicherung der Cloud, nicht um deren Aufbau und nicht um das Prüfen von Systemen im Allgemeinen.

Das CCAK im Vergleich zu benachbarten Nachweisen
NachweisHauptfokusAusrichtung
CCAKPrüfung und Absicherung von Cloud-UmgebungenCloudspezifisch, wissensbasiert, herstellerneutral
CISAPrüfung von Informationssystemen im AllgemeinenBreite Audit-Methodik, an Erfahrung gebunden
CCSPEntwurf und Absicherung der Cloud-ArchitekturSicherheitsarchitektur, nicht auf Audit ausgerichtet

In der Praxis ist die stärkste Kombination CISA plus CCAK. Das CISA liefert die Audit-Disziplin, die Nachweisstandards und die Haltung der Unabhängigkeit; das CCAK ergänzt die Cloud-Überlagerung, sodass ein CISA-Inhaber, dessen Aufgabenbereich cloud-first geworden ist, die Grenzen der geteilten Verantwortung bewerten und STAR-Nachweise lesen kann, ohne Audit von Grund auf neu zu erlernen. Das ist die Progression, der das CCAK dienen soll.

Frequently asked questions

01Ist das CCAK ein Ersatz für das CISA?

Nein. Das CISA belegt, dass Sie Informationssysteme prüfen können, und ist mit einer Erfahrungsanforderung verbunden. Das CCAK ist ein engeres Wissenszertifikat mit Schwerpunkt auf Cloud-Assurance und hat keine solche Hürde. Sie sind dafür gedacht, gemeinsam gehalten zu werden, mit dem CISA als Audit-Fundament und dem CCAK als Cloud-Schicht.

02Setzt das CCAK Berufserfahrung voraus?

Nein. Das CCAK ist ein Wissenszertifikat und stellt daher nicht die Anforderung mehrjähriger Erfahrung, die Nachweise wie das CISA stellen. Das macht es früher erreichbar, auch wenn es für jemanden, der die Audit-Methodik bereits beherrscht, am nützlichsten ist.

03Was ist der Unterschied zwischen dem CCAK und CSA STAR?

Das CCAK zertifiziert das Cloud-Audit-Wissen einer Person. STAR ist das Assurance-Programm der CSA für die Cloud-Dienste selbst, mit Stufen von der Selbstbewertung bis zur Zertifizierung durch Dritte. Das CCAK lehrt Sie, STAR zu bewerten; STAR wird nicht an Sie verliehen.

04Ist das CCAK an einen einzigen Cloud-Anbieter gebunden?

Nein. Das CCAK ist herstellerneutral. Es baut auf CSA-Frameworks wie der Cloud Controls Matrix und dem CAIQ auf und deckt anbieterspezifische Aspekte über die wichtigsten Hyperscaler hinweg ab, statt Sie auf einer einzigen Plattform zu zertifizieren.

05Worin unterscheidet sich das CCAK vom CCSP?

Das CCSP von (ISC)2 ist ein breiter Nachweis für den Entwurf und die Absicherung der Cloud-Architektur. Beim CCAK geht es um die Prüfung und Absicherung von Cloud-Umgebungen. Das eine baut und sichert die Cloud, das andere bewertet sie.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.