AWS Security Specialty (SCS-C03): Wie schwierig ist es, wie bereitet man sich vor?
SCS-C03 ist eine der anspruchsvolleren AWS-Spezialisierungen. Hier erfahren Sie, was tatsächlich getestet wird, wie viel Zeit Sie einplanen sollten und welche Themen die meisten Kandidaten unterschätzen.
SCS-C03 ist schwieriger, als die meisten Leute erwarten. Nicht auf Pro-Niveau schwierig, aber anspruchsvoller als der Architect Associate, und der Fehlermodus ist anders – Kandidaten scheitern nicht, weil die Fragen knifflig sind, sondern weil die Themen tiefer gehen, als sie sich vorbereitet haben. KMS Key Policies, IAM Condition Logic, GuardDuty Findings, Multi-Account Threat Detection – das sind keine oberflächlichen Themen. Die Prüfung möchte, dass Sie agieren, nicht nur beschreiben.
Wenn Sie SAA-C03 abgelegt und gedacht haben "Ich kenne AWS-Sicherheit", wird Sie die Spezialisierung schnell neu kalibrieren.
Kurze Geschichte: der Übergang von SCS-C02 zu SCS-C03
Die frühere Version, SCS-C02, wurde im Oktober 2023 eingestellt. Die aktuelle SCS-C03 wurde im Juli 2023 eingeführt und erweiterte die explizite Abdeckung um AWS Security Hub, GuardDutys erweitertes Erkennungsset (EKS Audit, RDS Login Events, Lambda Runtime), AWS Network Firewall und IAM Identity Center (ehemals AWS SSO) als offizielle SSO-Lösung. Ältere Lernmaterialien für SCS-C02 sind größtenteils noch anwendbar, berücksichtigen aber die neueren Erkennungsdienste nicht. Wenn ein Kurs oder Leitfaden IAM Identity Center nicht erwähnt, ist er veraltet.
Format
65 Fragen, 170 Minuten, 300 $, skalierte Bestehensnote 750/1000. Sechs Domänen, gewichtet wie folgt:
- Bedrohungserkennung und Incident Response (Erkennung 16% + Incident Response 14% = 30%)
- Sicherheitsprotokollierung und -überwachung (dies ist in neueren Leitfäden in die Erkennung integriert)
- Infrastruktursicherheit (18%)
- Identitäts- und Zugriffsmanagement (20%)
- Datenschutz (18%)
- Management und Sicherheits-Governance / Grundlagen (14%)
IAM ist die größte einzelne Domäne. Unterschätzen Sie sie nicht.
Wie schwierig, genau
AWS veröffentlicht keine Bestehensquoten. Community-Umfragen auf Reddit und interne Daten des AWS Partner Network zeigen eine Bestehensquote beim ersten Versuch von etwa 55–60%, was schwieriger ist als SAA-C03 (60–65%), aber einfacher als SAP-C02 (50–55%). Die Prüfung selbst ist fair – keine Fangfragen – aber die thematische Tiefe überrascht Leute, die sich breit statt tiefgehend vorbereitet haben.
Die 170 Minuten sind großzügig bemessen, wenn Sie schnell lesen. Die meisten Leute beenden die Prüfung mit über 30 Minuten Restzeit. Zeit ist nicht die Einschränkung; die Tiefe des Wissens ist es.
Was wird tatsächlich stark getestet
KMS, End-to-End. Symmetrisch vs. asymmetrisch, kundenverwaltete vs. AWS-verwaltete Schlüssel, Key Policies vs. IAM Policies (die Interaktion ist wichtig), Grants, Schlüsselrotation (automatisch für symmetrische, manuell für asymmetrische), Multi-Region-Schlüssel, Cross-Account-Schlüssel-Sharing, kms:ViaService und kms:CallerAccount Conditions. Key Policies sind JSON; Sie werden sie in der Prüfung sehen. Üben Sie das Lesen, bis Sie das Zugriffsergebnis vorhersagen können, ohne es auszuführen.
Die häufigste KMS-Falle: Standardmäßig benötigt ein IAM-Principal Berechtigungen in sowohl der IAM Policy als auch der Key Policy, um einen kundenverwalteten Schlüssel zu verwenden. Standard-Key-Policies umfassen den Root-Benutzer, was der Konto-IAM die Kontrolle über die Delegation ermöglicht. Wenn Sie den Root-Benutzer aus der Key Policy entfernen, können Sie sich selbst aussperren. Die Prüfung testet dies.
IAM Condition Logic und Policy-Evaluierung. Explizites Ablehnen schlägt explizites Erlauben schlägt standardmäßiges Ablehnen. SCPs in AWS Organizations gelten an der Konto-Grenze und erteilen keine Berechtigungen, sondern schränken nur ein. Permission Boundaries sind ähnlich, aber auf Benutzer-/Rollen-Ebene. Resource Policies auf S3, KMS, Secrets Manager, SQS, SNS – wann gewähren sie Zugriff vs. erfordern IAM-Erlaubnis vs. beides? Dies wird stark getestet.
Föderation: SAML 2.0, OIDC, IAM Identity Center, Cognito Identity Pools vs. User Pools (ja, beides – sie erfüllen unterschiedliche Zwecke). Die Prüfung fragt, welche Föderationsart zu einem Szenario passt, wie zum Beispiel "externe Auftragnehmer benötigen temporären Zugriff auf ein einzelnes Konto für 90 Tage".
GuardDuty, Security Hub, Macie, Inspector, Detective. Wissen Sie, welcher Dienst was erkennt. GuardDuty für Bedrohungen aus VPC Flow Logs, DNS, CloudTrail; mit optionalen EKS Audit, RDS Login, Lambda, Malware Protection. Security Hub aggregiert und führt Compliance-Prüfungen durch (CIS, AWS Foundational, PCI DSS). Macie für die S3-Datenklassifizierung. Inspector für die Schwachstellensuche in EC2, ECR, Lambda. Detective für die Untersuchung nach einer Entdeckung. Die Prüfung liebt Kettenfragen wie "Sie haben eine Warnung erhalten; welcher Dienst ist als Nächstes zu überprüfen?".
Multi-Account-Architektur. AWS Organizations, OUs, SCPs, delegierte Administration für Sicherheitsdienste (ja, Sie können die Security Hub-Administration an ein Mitgliedskonto delegieren – die Prüfung testet dies), AWS Control Tower, AWS Config Aggregator über mehrere Konten hinweg. Cross-Account CloudTrail Organization Trail. Dieser Bereich bringt Leute ins Schwitzen, die nur mit einem einzigen Konto gearbeitet haben.
Datenschutz im Ruhezustand und während der Übertragung. S3-Verschlüsselungsvarianten – SSE-S3, SSE-KMS, SSE-C, DSSE-KMS, plus Client-seitig. Bucket Policies, die Verschlüsselung erzwingen. AWS Certificate Manager (ACM) – öffentlich vs. privat, Integration mit ALB, CloudFront, API Gateway. ACM Private CA. Secrets Manager-Rotation, insbesondere für RDS.
Netzwerksicherheit. Security Groups vs. NACLs (Stateful vs. Stateless), VPC Endpoints (Gateway vs. Interface), VPC Endpoint Policies, AWS PrivateLink, AWS Network Firewall, AWS WAF, AWS Shield Standard vs. Advanced, AWS Firewall Manager für organisationsweite Policies.
Häufige Stolpersteine
KMS Key Policies, die korrekt aussehen, es aber nicht sind. Die Prüfung präsentiert Szenarien, in denen die IAM Policy korrekt aussieht, aber in der Key Policy der Principal fehlt, oder umgekehrt. Nehmen Sie sich bei KMS-Fragen Zeit. Lesen Sie beide Policies.
Macie mit GuardDuty verwechseln. Macie dient der Klassifizierung sensibler Daten in S3. GuardDuty ist für die Bedrohungserkennung zuständig. Sie ähneln sich im Gefühl, nicht in der Funktion.
Föderationsarten. Cognito User Pools authentifizieren Endbenutzer. Cognito Identity Pools stellen authentifizierten Benutzern temporäre AWS-Anmeldeinformationen aus. IAM Identity Center ist für die SSO-Anmeldung von Mitarbeitern in AWS-Konten. SAML 2.0-Föderation ist die ältere / Unternehmensversion desselben. Diese zu verwechseln führt häufig zu 5 verlorenen Fragen.
Cross-Account-Logging. Zentralisiertes CloudTrail mit einem Organization Trail, S3-Bucket in einem Log-Archiv-Konto, KMS-Verschlüsselung mit einem CMK, den alle Mitgliedskonten nutzen können. Die Prüfung fragt, wie dies korrekt mit Least-Privilege-Zugriff für Sicherheitsteams eingerichtet wird.
WAF-Regelrangfolge. Benutzerdefinierte Regeln mit Prioritätsnummern – niedrigere Priorität wird zuerst ausgeführt. Managed Rule Groups können außer Kraft setzen. Die Prüfung fragt nach Szenarien, in denen eine Anfrage blockiert oder zugelassen wird und Sie herausfinden müssen, welche Regel ausgelöst wurde.
Wie lange sollte man lernen
- Täglich in der Sicherheit tätig, ca. 5 Std./Woche: 6–8 Wochen.
- Cloud-Ingenieur mit sicherheitsrelevanten Aufgaben, ca. 10 Std./Woche: 10–14 Wochen.
- Kein Sicherheitshintergrund, ca. 10 Std./Woche: 16+ Wochen, und ziehen Sie in Betracht, zuerst SAA-C03 abzulegen.
Ressourcen: Adrian Cantrills SCS-C03-Kurs ist der tiefgründigste. Stephane Maareks ist solide und kürzer. Tutorials Dojo für Übungsprüfungen. Die AWS-Whitepapers – Security Best Practices, Security Pillar des Well-Architected Framework, AWS KMS Best Practices – sind kurz und ertragreich. Lesen Sie sie.
Karrierepfad
SCS-C03 ist eine der direkter monetarisierbaren AWS-Zertifizierungen, da Sicherheitsrollen über den allgemeinen Cloud-Rollen bezahlt werden. Ein Cloud Security Engineer verdient 2026 in US-Tech-Metropolen etwa 130.000–200.000 $ Grundgehalt, mit Senior-Positionen bei 180.000–260.000 $. SCS-C03 ist das Standardsignal für diese Rollen und wird oft neben oder anstelle von CISSP aufgeführt.
Die Zertifizierung passt gut zu:
- CISSP für Senior-Sicherheitsrollen in regulierten Branchen.
- AZ-500, wenn Sie in einer Multi-Cloud-Umgebung arbeiten.
- CKS, wenn Sie sich in Richtung Kubernetes-Sicherheit bewegen.
- HashiCorp Vault Associate für tiefgehendes Secrets Management.
Es passt nicht besonders gut zu allgemeinen DevOps-Zertifizierungen – DOP-C02 ist breiter gefächert und überschneidet sich vielleicht zu 20%. Wählen Sie das eine oder andere basierend auf Ihrer tatsächlichen Tätigkeit.
Fazit
SCS-C03 ist die anspruchsvollere der AWS-Spezialisierungen, die die meisten Leute in Betracht ziehen, leicht über ANS-C01 (Networking). Planen Sie mehr Zeit ein, als Sie denken – die meisten Kandidaten unterschätzen die KMS-Tiefe und die IAM Condition Logic. Die Prüfung belohnt Operatoren, die GuardDuty Findings abgestimmt, KMS Key Policies geschrieben und ein Föderationsproblem um 23 Uhr behoben haben. Wenn das auf Sie zutrifft, ist die Vorbereitung unkompliziert. Wenn nicht, sammeln Sie zuerst Erfahrung.
Wenn Sie lernen, durchsuchen Sie die SCS-C03-Fragenbank auf CertLabPro oder führen Sie eine zeitgesteuerte Simulation durch. Und lesen Sie die KMS-Dokumentation zweimal.