Login

u/Effective_Diver9072

▲ 0 r/SecurityCareerAdvice

How do you actually track CPEs across multiple certifications? Losing the overview.

I hold multiple active certs (CISSP, CISM, ISO 27001 Senior Lead Auditor) and CPE tracking has become chaotic.

Each issuer has its own:

•	Annual CPE minimum

•	Categories (Group A/B/C or similar)

•	Accepted activities

•	Reporting portal

•	Audit procedures

A single conference might count for multiple certs, but each issuer needs separate submission with different documentation logic.

Currently using a spreadsheet. Getting unwieldy.

Curious how others handle this:

•	How many CPE-requiring certs do you actually maintain in parallel?

•	What’s your tracking method?

•	Ever almost missed a renewal because of issuer confusion?

•	For those with existing tools (e.g., from issuers themselves): what works, what’s missing?

Trying to understand if I’m an outlier or if this is a common pain point for multi-cert holders.

Thanks for any input.

reddit.com
u/Effective_Diver9072 — 2 days ago
▲ 0 r/fachinformatiker

Zertifikate sind in der IT oft wichtiger als Ausbildung oder Studium. Deshalb habe ich 450+ bewertet und ein kostenloses Tool gebaut. Bitte um ehrliches Feedback.

Hey,

ich bin gelernter Fachinformatiker Anwendungsentwicklung, habe mich dann in Cybersecurity weitergebildet und bin in C-Level Positionen und hoher Personal und Budgetverantwortung gelandet. Nicht weil ich studiert habe, sondern weil ich auf meinen Fachinformatiker die richtigen Zertifizierungen und Berufserfahrung aufgebaut habe.

Wir haben's schon gut: Anwälte müssen Volljuristen sein, Ärzte das Staatsexamen haben, Ingenieure müssen studiert haben. Bei uns in der IT entscheidet aber, was du nachweisbar kannst. Und nachweisbar wird das fast immer über Zertifizierungen, nicht über Bachelor, Master oder Ausbildungsabschluss.

Das macht den Cert-Markt umso problematischer. Wer in DACH eine Cybersecurity-Zertifizierung sucht, hört von jedem Anbieter, seine sei "marktführend".

Die Realität: Manche Certs sind technisch top und im DACH-Bewerbungsmarkt komplett unbekannt. Andere sind Marketing-Konstrukte ohne ISO-17024-Akkreditierung, werden aber wie echte Personenzertifizierungen vermarktet.

Also habe ich das Tool gebaut, das ich vor zehn Jahren selbst gebraucht hätte: certmap.de. Eine kostenlose Plattform mit 450+ Cybersecurity-Zertifizierungen, bewertet nach:

  • Marktakzeptanz im DACH-Raum
  • Akkreditierungs-Status (echte ISO/IEC 17024 Personenzertifizierung oder nicht)
  • Karriere-Passung nach Erfahrungslevel und Rolle

100 Prozent kostenlos. Kein Login, kein Newsletter, keine Bezahlschranke, kein Upsell. Nur die Daten.

Würde mich über ehrliches Feedback freuen: was nutzt euch, was fehlt, was ist Murks, was ist faktisch falsch?

Vor allem interessant: Stimmen die Bewertungen mit eurer Erfahrung im realen Arbeitsmarkt überein?

(Bias-Hinweis: ich bin Initiator der Plattform, also nicht neutral. Aber kostenlos bleibt kostenlos.)

Danke fürs Reinschauen.

reddit.com
u/Effective_Diver9072 — 3 days ago
▲ 174 r/fachinformatiker

Wir jammern über 109.000 unbesetzte IT-Stellen und kriegen es nicht hin, einen vernünftigen Ausbildungsberuf für IT-Security zu schaffen

Bin seit 15+ Jahren in der IT-Security, mittlerweile selbstständig. Das Thema treibt mich seit Jahren um, mich interessiert eure ehrliche Sicht.

In Deutschland hat sich seit 20 Jahren eine bestimmte Erzählung durchgesetzt: Wer kein Abi macht und nicht studiert, hat's nicht "geschafft". Handwerk = Notlösung, Ausbildung = Plan B für die, die im Hörsaal nicht mithalten.

Die Quittung kommt jetzt:

  • Fast jeder Zweite eines Jahrgangs studiert, 28 % brechen ab (DZHW/Destatis)
  • 250.000 Fachkräfte fehlen im Handwerk (ZDH)
  • 109.000 in der IT (Bitkom 2025)
  • Eine IT-Stelle bleibt im Schnitt 7,7 Monate offen, eine Handwerksstelle 6,2 Monate

Und parallel haben wir bis heute keinen eigenständigen IHK-Ausbildungsberuf für IT-Sicherheit. Im aktuellen FI (egal welche FR) sind rund 6 Wochen IT-Security drin. Bei der Bedrohungslage 2026 ist das ein Witz.

Was mich am meisten nervt: Gerade in der IT ist die formale Qualifikation eigentlich am wenigsten relevant. Wer Zertifikate und Praxis hat, redet jeden frisch Studierten in Grund und Boden. Trotzdem haftet vielen FIs noch dieses "zweite Wahl"-Gefühl an, weil das Bildungssystem es ihnen jahrelang eingetrichtert hat.

Ein konkretes Beispiel aus der Praxis (ISO 27006): Ein studierter Literaturwissenschaftler erfüllt die formalen Hürden für IT-Prüfrollen oft allein durch sein Studium plus ein paar Schnellkurse. Ein Fachinformatiker mit 10 Jahren Praxis und denselben Zertifikaten kommt formal nicht rein, weil der akademische Stempel fehlt.

Ehrliche Fragen an euch:

  • Wie habt ihr das in eurer Laufbahn erlebt?
  • Wer hat sich schon mal als "zweite Wahl" gefühlt, weil das Studium fehlt?
  • Was haltet ihr von der Forderung nach einem eigenständigen "Fachinformatiker für IT-Sicherheit"?
  • Welche Zertifikate haben euch wirklich was gebracht – und welche waren rausgeschmissenes Geld?
reddit.com
u/Effective_Diver9072 — 10 days ago
▲ 60 r/de_EDV

Moin zusammen,

wer aktuell im Mittelstand die IT leitet oder als ISO unterwegs ist, kennt das vermutlich: Man wird gefühlt täglich von MSPs, Systemhäusern und Beratern belästigt. Die Story ist immer gleich: "Wegen NIS-2 / DORA braucht ihr zwingend ein 24/7 Security Operations Center (SOC), sonst seid ihr nicht compliant. Bitte hier unterschreiben."

Spoiler: Bullshit. Das steht in keinem Gesetzestext. Es steht nur in deren Vertriebshandbüchern.

Ich arbeite seit 10 Jahren im Bereich Security Operations und dieses schamlose Upselling unter dem Deckmantel der Compliance geht mir aktuell massiv auf den Zeiger. Deshalb hier mal ein kurzer Realitätscheck aus der Praxis, den euch euer Dienstleister eher nicht verrät (weil es seine Marge ruiniert):

Gesetze fordern Fähigkeiten, keine Betriebsmodelle Egal ob NIS-2, DORA oder ISO 27001: Die Texte sprechen von Fähigkeiten wie Detektion, Reaktion, Wirksamkeitsnachweisen und Meldefristen. Wie ein Unternehmen diese Fähigkeiten organisatorisch abbildet, ist nirgends festgelegt. Ein SOC kann diese Fähigkeiten abbilden. Ein gut orchestriertes Zusammenspiel aus Endpoint Detection and Response (EDR), Managed Detection and Response (MDR) und einem dokumentierten Incident-Response-Prozess (Retainer) aber auch.

Ein eigenes SOC aufzubauen (Intern oder Full-Managed) kostet je nach Stack und FTEs schnell zwischen einer halben und 5 Millionen Euro im Jahr. Für den Standard-Mittelständler ist das völliger Wahnsinn.

Das Setup aus EDR + MDR + IR-Retainer nennt sich bei MITRE „Security as Additional Duty“. Das ist ein anerkanntes Organisationsmodell und kein dreckiger Kompromiss. Kostenpunkt? Oft eher 50.000 bis 200.000 Euro im Jahr. Es reicht für viele mittelständische Einrichtungen völlig aus, um die Compliance-Haken dranzumachen und echte Sicherheit zu schaffen. Es wird euch im Vertrieb nur selten aktiv angeboten, weil man daran weniger verdient.

Die wichtigste Regel: Tooling kommt zum Schluss Ein SOC ist der letzte Baustein einer Architektur, nicht der erste. Solange ihr keinen belastbaren Logging-Plan, kein Bedrohungsmodell und keine Asset-Inventur habt, bringt euch ein SOC oder SIEM exakt gar nichts. Es produziert dann nur Alerts, die niemand bearbeitet.

Deshalb: Trennt Architekten und Umsetzer. Lasst euch euren Grundriss nicht von dem Bauträger zeichnen, der am liebsten teure Villen verkauft. Wer berät, darf kein Produkt verkaufen.

Wer das Thema im Detail nachlesen will inkl. der konkreten Kostenspannen und Vor-/Nachteile der 4 realistischen Modelle für den DACH-Raum: Ich habe dazu einen Fachartikel geschrieben, der morgen erscheint. Ihr könnt ihn hier komplett ohne Paywall lesen: https://www.itsicherheit-online.com/security-management/der-mythos-vom-security-operations-center/

Mich würde mal interessieren: Wie ist die Lage bei euch? Versuchen eure Systemhäuser euch auch gerade mit der NIS-2-Keule sündhaft teure SOC-Verträge anzudrehen, oder fahren die einen ehrlichen Ansatz?

u/Effective_Diver9072 — 14 days ago
▲ 21 r/isaca+1 crossposts

Heads up for anyone planning to buy a CISA, CISM, CRISC, CGEIT, or CDPSE exam, QAE database, or online course from ISACA:

As of April 16, 2026, the access window for newly purchased products has been cut in half:

  • Exams, QAE, and online courses: 6 months (previously 12)
  • Non-sponsored webinars and virtual workshops: also 6 months

ISACA's stated reasoning is that most candidates complete their prep in under 6 months and that pass rates in that window are demonstrably higher — so they're "aligning offerings with actual usage."

Fair enough on the stats, but a few things I haven't been able to confirm and would love input on:

  1. Did the price change? Same MSRP for half the access feels like a soft price hike. Anyone bought before vs. after April 16 and compared?
  2. Any extension option? Previously you could sometimes buy a top-up. Still available, or is it strictly 6 months now?
  3. Does this apply to bundles (Exam + QAE + Review Manual)? The wording suggests yes for the digital portion, but unclear for bundled physical materials.
  4. Existing purchases — confirmed grandfathered at 12 months, right?

If anyone has talked to ISACA support recently or has the new T&Cs handy, would appreciate a sanity check.

reddit.com
u/Effective_Diver9072 — 25 days ago