ISC2 verankert Künstliche Intelligenz in allen Cybersecurity-Zertifizierungen

Die neuen ISC2-Leitlinien fordern den Nachweis echter KI-Sicherheitskompetenz in über 50 Prüfungsbereichen, die vom Einsteiger bis zum CISSP gelten sollen.

Die Geschwindigkeit, mit der Künstliche Intelligenz die Arbeitsweise von Organisationen transformiert, hat Cybersecurity-Experten in eine neue Realität von Risiken und Chancen versetzt. Angreifer nutzen KI bereits massiv, um Schwachstellen automatisiert aufzuspüren, die Aufklärung zu beschleunigen und hochgradig personalisierte Social-Engineering-Angriffe zu starten. Als Reaktion darauf hat ISC2, die gemeinnützige Mitgliederorganisation für Cybersicherheit, die neuen „Prüfungsleitlinien für Künstliche Intelligenz“ (Exam Guidance for Artificial Intelligence) veröffentlicht. Die Absicherung von KI-Systemen wird damit zum obligatorischen Wissensstandard über das gesamte Zertifizierungsportfolio hinweg, vom Einstiegslevel bis zur spezialisierten Management-Ebene.

Der strategische Wandel im Prüfungsdesign

Die Leitlinien dokumentieren, wie KI-bezogene Kenntnisse, Fähigkeiten und Fertigkeiten in mehr als 50 Kernbereiche und über 200 Teilaufgaben der weltweit anerkannten, herstellerneutralen Zertifizierungsprüfungen eingeflossen sind. Durch einen rigorosen, dreijährigen Aktualisierungszyklus, bestehend aus der Job Task Analysis (JTA), der Entwicklung von Prüfungsplänen und der Erstellung von Fragen durch zertifizierte Praktiker, wird sichergestellt, dass die ISC2-Zertifikate die realen beruflichen Anforderungen widerspiegeln.

„Die strenge Pflege der ISC2-Zertifizierungen stellt sicher, dass wir auf die Veränderungen in den Berufsrollen und auf das Wissen, die Fähigkeiten und Kompetenzen, die Cybersecurity-Experten für den erfolgreichen Schutz ihrer Organisationen benötigen, achten. Die heute veröffentlichten Leitlinien zeigen, wie die Absicherung von KI-Systemen zunehmend in unsere Prüfungsinhalte einfließt und dass Prüfungskandidaten ihre Expertise bei einer der drängendsten Sicherheitsherausforderungen unserer Zeit unter Beweis stellen.“

Casey Marks, Chief Operating Officer von ISC2

Anzeige

Einstiegslevel: Certified in Cybersecurity (CC)

In der CC-Zertifizierung, dem globalen Einstieg in die Cybersicherheit, wurden grundlegende KI-Konzepte in alle fünf Domänen integriert. Ziel ist es, dass angehende Experten KI-Assets identifizieren und automatisierte Bedrohungen erkennen können.

• Sicherheitsprinzipien: Kandidaten müssen verstehen, wie KI die Grundpfeiler Vertraulichkeit, Integrität und Verfügbarkeit (CIA) beeinflusst. Ein Schwerpunkt liegt auf der Datenintegrität zur Verhinderung von „Model Poisoning“. Zudem wird die Bedeutung von Transparenz und Nicht-Diskriminierung in der automatisierten Entscheidungsfindung geprüft.
• Business Continuity & Incident Response: Die Leitlinien führen den Begriff des „Model Drift“ als geschäftskritisches Risiko ein, bei dem eine sinkende KI-Leistung den Betrieb stören kann. Auch das Backup spezifischer KI-Datensätze wird gefordert.
• Access Control: Der SSCP-Leitfaden betont das Identitätsmanagement für KI-Bots und automatisierte Dienstkonten, die nach dem Prinzip des Least Privilege verwaltet werden müssen.

Management und Architektur: CISSP und spezialisierte Konzentrationen

Für erfahrene Experten im Rahmen der CISSP-Zertifizierung (Certified Information Systems Security Professional) wird KI nicht als isoliertes Thema, sondern als Querschnittsaufgabe behandelt.

• Risikomanagement: CISSPs müssen die Integration von Machine Learning (ML) und Large Language Models (LLMs) in Risiko-Management-Frameworks steuern und die Ethik sowie den Schutz vor algorithmischen Verzerrungen (Bias) gewährleisten.
• Security Architecture: Das Engineering von „Explainable AI“ (XAI) wird zur architektonischen Anforderung, um Transparenz in automatisierte Ausgaben zu bringen.
• Softwareentwicklung: Hier rückt die Sicherheit der Lieferkette in den Fokus. Fachkräfte verwalten „AI-BOMs“ (AI Bill of Materials), um Modellgewichte und Trainingsdatensätze zu tracken und Angriffe wie „Model Hijacking“ oder „Inference Attacks“ zu verhindern.

Cloud-Sicherheit und Governance: CCSP und CGRC

Da Cloud-Umgebungen die primäre Infrastruktur für das Hosting von KI-Pipelines sind, integriert der CCSP-Standard (Certified Cloud Security Professional) KI in alle sechs Domänen. Dies umfasst die Evaluierung der Fähigkeiten von Cloud-Service-Providern (CSP) im Rahmen von „AI-as-a-Service“ (AIaaS) sowie den Einsatz homomorpher Verschlüsselung zum Schutz von Daten während der Inferenzphase.

Im Bereich Governance, Risk and Compliance (CGRC) wird das Risk Management Framework (RMF) angepasst, um die Nicht-Deterministik von KI-Modellen zu erfassen. Dies beinhaltet auch die technische Herausforderung des „Machine Unlearning“, wenn sensible Daten gemäß regulatorischer Anforderungen (wie dem EU AI Act) aus bereits trainierten Modellen gelöscht werden müssen.

Systems Engineering: ISSEP und ISSAP

Die spezialisierten Konzentrationen für Architektur (ISSAP) und Engineering (ISSEP) fordern die mathematische und architektonische Validierung der algorithmischen Integrität. Architekten entwerfen nun „Identity-as-a-Service“ (IDaaS) Frameworks für autonome Agenten und nutzen Hardware-Rooted Trust (wie Trusted Execution Environments, TEE), um sensible Modell-Logs und Inferenzlogik auf der physischen Ebene vor Manipulation zu schützen.

Die Integration dieser Konzepte verdeutlicht, dass KI-Sicherheitskompetenz zur Basisanforderung für alle Cybersecurity-Rollen avanciert ist. ISC2 unterstützt diesen Prozess zudem durch ein erweitertes Bildungsangebot, darunter das spezifische KI-Sicherheitszertifikat und Best-Practice-Ressourcen für Mitglieder. Fachkräfte, die ihre Karriere in einer KI-zentrierten Welt vorantreiben möchten, erhalten durch diese validierten Prüfungsleitlinien einen klaren Rahmen, um ihre Expertise bei der Absicherung intelligenter Systeme nachzuweisen.