Prüfungscode: CS0-003
CySA+ Zertifizierung für Sicherheitsanalysten: Bedrohungserkennung, Analyse und Reaktion. Die Brücke zwischen Security+ und CASP+.
CompTIA CySA+ (Cybersecurity Analyst) ist eine Zertifizierung auf mittlerer Ebene, die Ihre Fähigkeiten in der Bedrohungserkennung, Analyse und Reaktion validiert. Sie ist zwischen Security+ (Einstiegsniveau) und fortgeschrittenen Zertifizierungen wie CASP+ positioniert und richtet sich gezielt an Blue-Team-Profile, die im Tagesgeschäft mit SIEM-Plattformen, EDR-Lösungen und Threat-Intelligence-Quellen arbeiten.
Die aktuelle Prüfungsversion CS0-003 ist ANAB-akkreditiert nach ISO/IEC 17024 und vom US-Verteidigungsministerium für die DoD 8570 Baseline IAT II sowie für CSSP Analyst und CSSP Incident Responder anerkannt. Im DACH-Raum nutzen Betreiber kritischer Infrastrukturen (KRITIS) sowie Unternehmen, die unter den BSI-IT-Grundschutz oder NIS2 fallen, CySA+ zunehmend als Qualifikationsnachweis für SOC-Mitarbeitende.
CySA+ CS0-003 konzentriert sich auf:
Was CySA+ 2026 wirklich nützlich macht: Der Blueprint spiegelt, wie SOCs heute tatsächlich triagieren. Hiring-Teams erwarten inzwischen, dass Kandidaten Schwachstellen-Calls am CISA-KEV-Katalog festmachen und Detections gegen MITRE ATT&CK mappen – beides ist fest in die CS0-003-Objectives eingewoben, sodass die Cert-Vorbereitung tatsächlich auf die Tier-1-Ticketqueue vorbereitet. Der CS0-003 Voucher steht bei 404 USD auf der offiziellen CompTIA-CySA+-Seite, und die Zertifizierung bleibt eine anerkannte DoD 8140-Baseline für CSSP Analyst, CSSP Incident Responder und IAT Level II. Bei der Vergütung landen US-SOC-Analysten in der Mid-Career-Phase laut salary.com und ZipRecruiter in der 90K–115K-USD-Spanne, Threat-Hunter-Rollen regelmäßig oberhalb 110K. Was einen darüber hinaus bringt, sind GCIH oder CySA+ in Kombination mit handfester Detection-Erfahrung – die Cert öffnet die Tür, die Ticketqueue schließt die Gehaltslücke.
CySA+ ist ideal für:
Empfohlen: 4+ Jahre praktische Informationssicherheitserfahrung.
Die CySA+ CS0-003 Prüfung umfasst:
| Erfahrungsniveau | Empfohlene Lernzeit |
|---|---|
| Aktiver SOC-Analyst | 4-6 Wochen |
| Security+ zertifiziert | 6-8 Wochen |
| Begrenzte SOC-Erfahrung | 10-12 Wochen |
| Aspekt | Security+ | CySA+ |
|---|---|---|
| Niveau | Einstieg | Mittel |
| Fokus | Breite Sicherheitskonzepte | Erkennung & Reaktion |
| Erfahrung | 0-2 Jahre | 4+ Jahre |
| Berufsrollen | Jede Sicherheitsposition | SOC, Threat-Analyst |
| Voraussetzungen | Keine | Security+ empfohlen |
Bedrohungs- und Schwachstellenmanagement
Sicherheitsbetrieb und Überwachung
Incident Response
Compliance und Bewertung
CySA+-Inhaber sehen eine durchschnittliche Gehaltssteigerung von 31%:
Die CySA+ CS0-003 Prüfung wird in Pearson VUE Zentren oder per Online-Beaufsichtigung abgelegt. Sie stellen sich bis zu 85 Fragen in 165 Minuten. Der Fragenmix umfasst Standard-Multiple-Choice, Mehrfachauswahl (2 oder 3 wählen) und Performance-Based Questions (PBQs). Die PBQs bei CySA+ sind analytisch anspruchsvoller als bei Security+; sie können verlangen, SIEM-Ausgaben zu analysieren, Schwachstellen-Scan-Ergebnisse zu interpretieren, Alarmdaten zu triagieren oder Kompromittierungsindikatoren den entsprechenden Reaktionsmaßnahmen zuzuordnen.
Die Testumgebung stellt innerhalb der PBQ-Simulationen einfache Werkzeuge bereit, etwa Log-Viewer und vereinfachte SIEM-Dashboards. Sie interagieren mit diesen Tools, um Fragen zu beantworten, was reale SOC-Workflows nachbildet. Rechnen Sie damit, dass mindestens drei bis fünf PBQs zu Beginn der Prüfung erscheinen.
Bei 165 Minuten für 85 Fragen haben Sie fast 2 Minuten pro Frage. Überspringen Sie PBQs beim ersten Durchgang und bearbeiten Sie sie nach den Multiple-Choice-Fragen. PBQs erfordern eine sorgfältige Analyse und sind leichter zu bewältigen, wenn Sie sich an Standardfragen aufgewärmt haben. Planen Sie 45 bis 55 Minuten für PBQs und 100 bis 110 Minuten für Multiple Choice. Markieren Sie jede Frage, bei der Sie zwischen zwei Antworten schwanken, und prüfen Sie sie in der finalen Durchsicht erneut.
Viele Kandidaten lernen zu viel Security+-Stoff und zu wenig die analytische Tiefe, die CySA+ verlangt. Diese Prüfung erwartet, dass Sie nicht nur wissen, was ein SIEM ist, sondern dessen Ausgaben interpretieren und Priorisierungsentscheidungen treffen können. Ein weiterer typischer Fehler ist die Vernachlässigung der Domäne "Berichterstattung und Kommunikation" (17 % Gewichtung). Kandidaten mit starkem technischem Profil überspringen diesen Bereich häufig und verlieren leicht erreichbare Punkte bei Fragen zu Executive-Reporting, Kennzahlen und Stakeholder-Kommunikation.
CySA+ testet außerdem Ihre Fähigkeit, zwischen Schweregrad-Stufen (CVSS-Bewertung) zu unterscheiden und Remediation basierend auf dem Geschäftskontext zu priorisieren, nicht allein nach technischer Schwere. Antworten, die ausschließlich auf dem CVSS-Score beruhen und den Business-Impact außer Acht lassen, führen oft zu falschen Lösungen.
Die CySA+ Vorbereitung sollte praktische SIEM-Erfahrung und Log-Analyse-Fähigkeiten in den Mittelpunkt stellen. Beginnen Sie mit einem Lernleitfaden oder Videokurs, um die Wissensbasis aufzubauen, und investieren Sie anschließend ausreichend Zeit in die Arbeit mit echten oder simulierten Sicherheitstools. Die Prüfung belohnt analytisches Denken im Stil eines Praktikers stärker als reines Auswendiglernen.
Lernleitfäden:
Videokurse:
Praktische Übungen:
Übungsprüfungen:
| Profil | Wochenstunden | Dauer | Gesamtstunden |
|---|---|---|---|
| Aktiver SOC-Analyst | 8 bis 12 | 4 bis 6 Wochen | 50 bis 60 |
| Security+ zertifiziert | 12 bis 15 | 6 bis 8 Wochen | 80 bis 100 |
| Begrenzte SOC-Erfahrung | 15 bis 20 | 10 bis 12 Wochen | 150 bis 200 |
Richten Sie eine kostenlose Splunk-Instanz ein oder nutzen Sie Elastic SIEM (Free Tier) und ingestieren Sie Beispiel-Log-Daten. Üben Sie Abfragen für: fehlgeschlagene Login-Versuche, ungewöhnliche ausgehende Traffic-Muster, Privilege-Escalation-Ereignisse und Malware-Indikatoren. Diese Hands-on-Erfahrung bereitet Sie direkt auf PBQs vor und hilft Ihnen, wie ein Analyst zu denken.
CySA+ entspricht direkt dem SOC-Analyst-Karrierepfad und wird zunehmend in Stellenausschreibungen gefordert für: SOC-Analyst (Tier 2 und 3), Threat Intelligence Analyst, Vulnerability Management Analyst, Incident Responder, Security Operations Engineer und Cyber Defense Analyst. Im DoD-Umfeld erfüllt CySA+ die Anforderungen für CSSP Analyst, CSSP Incident Responder und IAT Level II Positionen. In Deutschland, Österreich und der Schweiz wird die Zertifizierung von KRITIS-Betreibern, Banken, Versicherern und Beratungshäusern als Nachweis für Tier-2-Fähigkeiten anerkannt.
| Region | Vor CySA+ | Nach CySA+ | Steigerung |
|---|---|---|---|
| USA | $65.000 | $85.000 | +31 % |
| Europäische Union | 42.000 EUR | 55.000 EUR | +31 % |
| DACH-Region | 55.000 EUR | 72.000 EUR | +31 % |
| Vereinigtes Königreich | 38.000 GBP | 50.000 GBP | +32 % |
| Remote (global) | $60.000 | $78.000 | +30 % |
CySA+ besetzt eine wertvolle Nische: Es ist die stärkste defensiv ausgerichtete Zertifizierung auf mittlerem Niveau. Recruiter, die SOC-Stellen besetzen, sehen CySA+ als Beleg dafür, dass eine Person echte analytische Arbeit jenseits der reinen Alarm-Triage leisten kann. Im Vergleich zu Security+ (breiter, eher Einstieg) oder CISSP (managementorientiert) validiert CySA+ genau jene Fähigkeiten, die ein SOC-Team braucht. Für Organisationen, die ihr SOC aufbauen oder skalieren, sind CySA+ zertifizierte Analysten bevorzugte Einstellungen.
CySA+ positioniert Sie für eine defensive Karriere. Typische Progression: Security+ (Einstieg), CySA+ (Mittelstufenanalyst), dann CASP+ (fortgeschritten technisch) oder CISSP (Management-Pfad). CySA+ kombiniert mit Praxiserfahrung öffnet Türen zu spezialisierten Rollen wie Threat Hunter, Digital-Forensics-Analyst oder Incident Response Lead mit Gehältern von 90.000 bis 130.000 USD im US-Markt und 70.000 bis 95.000 EUR im DACH-Raum.
| Posten | Kosten |
|---|---|
| CySA+ Prüfungsgutschein | 404 USD (ca. 392 EUR) |
| Lernleitfaden (Sybex) | 40 bis 50 USD |
| Jason Dion Videokurs (Udemy, im Angebot) | 15 bis 30 USD |
| Übungsprüfungen (Dion, Udemy) | 15 bis 20 USD |
| Optional: TryHackMe Abo (2 Monate) | 28 USD |
| Optional: CertMaster Practice | 119 USD |
| Gesamt (Selbststudium, minimal) | 474 bis 504 USD |
| Gesamt (umfassende Vorbereitung) | 621 bis 651 USD |
CySA+ folgt dem gleichen Erneuerungsmodell wie Security+: drei Jahre gültig, 60 Continuing-Education-Credits (CE) und 75 USD jährliche Wartungsgebühr (225 USD über den Zyklus). Der Erwerb einer höheren CompTIA-Zertifizierung (wie CASP+) erneuert CySA+ automatisch. Viele CE-Credits lassen sich kostenlos durch Webinare, Selbststudium-Aktivitäten und das Veröffentlichen eigener Inhalte erzielen.
Bei einer durchschnittlichen Gehaltssteigerung von 20.000 USD pro Jahr und einer Investition von 500 bis 650 USD bietet CySA+ einen Ertrag von 3.000 bis 4.000 % im ersten Jahr. Für SOC-Analysten, die bereits im Beruf stehen, rechtfertigt CySA+ häufig eine sofortige Beförderung (Tier 1 zu Tier 2 oder Tier 2 zu Tier 3) mit entsprechender Gehaltsanpassung.
Wenn Sie sowohl Security+ als auch CySA+ anstreben, bietet CompTIA Bundle-Preise, die die Kosten pro Prüfung senken. Das "Security Career Pathway Bundle" enthält gelegentlich beide Voucher mit einem Gesamtrabatt von 10 bis 15 %. Aktuelle Aktionen finden Sie auf der CompTIA-Website oder bei autorisierten Partnern.
Vor der CySA+ Prüfungsanmeldung prüfen Sie, ob Sie:
Wenn Sie Security+ besitzen und über zwei oder mehr Jahre SOC- oder Security-Operations-Erfahrung verfügen, planen Sie sechs bis acht Wochen fokussiertes Lernen ein. Buchen Sie die Prüfung etwa zehn Tage, nachdem Sie in Volltests konstant über 80 % erreichen. Halten Sie die Lücke zwischen Lernabschluss und Prüfungstag kurz; analytische Fähigkeiten bauen schneller ab als Auswendig-Wissen.
CySA+ ist für aktive SOC-Analysten konzipiert; die Prüfung fühlt sich praxisnah und relevant an. Wenn Sie echte SOC-Erfahrung haben, werden viele Fragen wie Szenarien wirken, die Sie bereits gelöst haben. Vertrauen Sie Ihrer Berufserfahrung, ergänzen Sie sie aber mit Lernleitfaden-Wissen für Domänen, die Sie nicht täglich bearbeiten (insbesondere "Berichterstattung und Kommunikation"). Die Prüfung möchte Sie nicht in die Irre führen, sondern bestätigt, dass Sie analytische Probleme methodisch lösen können.
Die Domäne "Sicherheitsbetrieb" (33 % der Prüfung) ist die größte einzelne Domäne jeder CompTIA-Zertifizierung. Sie deckt SIEM, EDR, SOAR und Threat-Intelligence-Tools vertieft ab. Kandidaten, die nur auf konzeptioneller Ebene lernen, scheitern häufig an Fragen, die das tatsächliche Aussehen spezifischer Tool-Ausgaben verlangen. Verbringen Sie Zeit mit echten Splunk-Dashboards, Wireshark-Captures und Schwachstellen-Scan-Berichten.
PBQs auf CySA+ konzentrieren sich tendenziell auf Log-Analyse- und Schwachstellen-Priorisierungs-Szenarien. Möglicherweise erhalten Sie eine Liste von Schwachstellen-Findings und müssen entscheiden, welche zuerst behoben werden sollten, basierend auf den im Szenario beschriebenen Geschäftskontext-Hinweisen. Üben Sie, CVSS-Scores zusammen mit Business-Impact-Bewertungen anzuwenden.
Wählen Sie einen Vormittagstermin in einem Pearson VUE Zentrum für die zuverlässigste Testerfahrung. Das Prüfungsfenster von 165 Minuten plus PBQs bedeutet, dass Sie nahezu drei Stunden konzentriert arbeiten; planen Sie den Termin daher in Ihre analytische Hochphase. Vermeiden Sie Montage und Tage nach Feiertagen, an denen die Konzentration tendenziell niedriger ist.
Denken Sie während der gesamten Prüfung wie ein Verteidiger. Sie sind der SOC-Analyst, der Alarme empfängt, Ereignisse triagiert und Ergebnisse an Stakeholder kommuniziert. Bei "Was sollten Sie als Nächstes tun?" bezieht sich die Antwort fast immer auf Untersuchung, Eindämmung oder Eskalation, nicht auf Offensive oder direkte Behebung. Verstehen Sie die Bedrohung, bevor Sie handeln, und dokumentieren Sie, bevor Sie reagieren.
Gehalt vor Zertifizierung
47.000 €
Gehalt nach Zertifizierung
61.000 €
Durchschnittliche Erhöhung
14.000 € (+31%)
Security+ ist Einstiegsniveau und behandelt breite Sicherheitskonzepte. CySA+ ist Mittelstufe und konzentriert sich speziell auf Bedrohungserkennung, SIEM-Analyse und Incident Response für SOC-Rollen.
Ja, CySA+ ist ideal für SOC-Analyst Tier 2/3 Positionen. Sie validiert SIEM-Kenntnisse, Threat Hunting und Incident Response Fähigkeiten, die Arbeitgeber suchen.
Aktive SOC-Analysten brauchen 4-6 Wochen, Security+-Inhaber 6-8 Wochen, und Personen mit begrenzter SOC-Erfahrung sollten 10-12 Wochen einplanen.
Ja, CySA+ erfüllt DoD 8570/8140 Anforderungen für IAT Level II, CSSP Analyst und CSSP Incident Responder Positionen.
Maßgebliche Quellen für Prüfungsziele, Lernhandbücher und praktische Labore.
Vendor page with exam objectives, training options, and current pricing.
Adversary tactics referenced throughout threat hunting and detection topics.
Authoritative incident response process referenced in the IR domain.
Offizielle CISA-Liste aktiv ausgenutzter CVEs, Referenz für die Priorisierung realer Schwachstellen.
Tägliches Threat-Intelligence-Diary, gepflegt von SANS-Handlern, hilfreich für SOC-Monitoring und Threat-Hunting-Übungen.
Offizielle Quelle des US-Verteidigungsministeriums, die CySA+ als anerkannte Baseline für CSSP Analyst und IAT Level II unter DoD 8140 ausweist.
Foundation path
CompTIA CySA+ belohnt Praktiker, die bereits über defensive oder offensive Erfahrung verfügen. Das Unihackers Cybersecurity Bootcamp bietet dir 360 Stunden strukturiertes Training, CompTIA Security+ als Basis-Credential und die Labor-Tiefe, die den nächsten Zertifizierungsschritt realistisch macht.
