AWS Certified Security Specialty
275 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
Die AWS Certified Security Specialty (SCS-C03) ist die hochrangige, sicherheitsorientierte Zertifizierung und eine der angesehensten Cloud-Sicherheitszertifizierungen. Sie bestätigt die Fähigkeit, sichere AWS-Workloads zu entwerfen und zu betreiben — einschließlich Identität, Datenschutz, Infrastruktursicherheit, Bedrohungserkennung, Incident Response und Governance. Die Prüfung richtet sich an Cloud Security Engineers, Cloud Security Architects und DevSecOps Engineers mit mehrjähriger AWS- und Sicherheitserfahrung. Erwarten Sie lange, szenariobasierte Fragen, die IAM, KMS, Netzwerke und Erkennungsdienste kombinieren und nach der BESTEN Sicherheitsantwort unter realistischen Einschränkungen fragen. SCS-C03 wurde im Juli 2023 eingeführt und aktualisierte SCS-C01 mit einer breiteren Erkennung, GenAI-naher Governance und modernisiertem Datenschutz. Die Prüfung ist konzeptionell; keine praktischen Labs.
Logging-Architektur (CloudTrail-Organisations-Trails, VPC Flow Logs, DNS-Abfrageprotokolle, S3-Zugriffsprotokolle), zentralisiertes Logging mit Security Hub-Aggregation und Athena-Abfragen über CloudTrail. Häufige Stolperfalle: Unterscheidung zwischen CloudTrail Lake und den Kompromissen von Athena-on-CloudTrail.
Eindämmungsmuster (Isolierung kompromittierter EC2/ECS-Workloads, Rotation von Anmeldeinformationen, Quarantäne von S3-Buckets), Beweissicherung und Runbooks mit SSM. Oft übersehen: die genaue Reihenfolge bei einem IAM-Anmeldeinformations-Kompromiss.
VPC-Sicherheit (Sicherheitsgruppen, NACLs, Endpunkte, PrivateLink), AWS WAF und Shield, Network Firewall und Edge-Schutz. Starker Fokus auf mehrstufige Verteidigung (Defense-in-Depth).
Der größte Bereich mit 20 %. Permission Boundaries, SCPs, Condition Keys (insbesondere aws:PrincipalOrgID, aws:SourceVpce, aws:CalledVia), STS, Identity Center und ressourcenbasierte Richtlinien. Der Bereich mit der höchsten Dichte in der Prüfung.
KMS (Schlüsselrichtlinien, Grants, Multi-Region Keys, BYOK), Verschlüsselung während der Übertragung (ACM, Zertifikatsverwaltung), Macie und S3-Schutzmuster. Die nuancierte Bewertung von KMS-Schlüsselrichtlinien ist eine häufige Stolperfalle.
Multi-Account-Governance mit Organizations, Control Tower, Config Conformance Packs und Audit Manager. Geringere Gewichtung, aber testet strategisches Sicherheitsdenken.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Identitäts-, Rollen- und Richtlinien-Primitive – verwaltete und Inline-Richtlinien, Vertrauensrichtlinien, ABAC-Tags, Sitzungsrichtlinien und Berechtigungsgrenzen erzwingen jede Autorisierungsentscheidung.
Warum er in der Prüfung steht: Domäne 4 (Identitäts- und Zugriffsmanagement) dreht sich vollständig um IAM-Mechanismen – die Erstellung von Least-Privilege-Richtlinien, kontoübergreifende Rollen und die Reihenfolge der Richtlinienauswertung sind die am häufigsten getesteten Themen in der Prüfung.
Zentralisiertes SSO für die Belegschaft und die Verteilung von Berechtigungssätzen über mehrere Konten hinweg, wobei von externen IdPs (Entra ID, Okta) in AWS Organizations-Konten föderiert wird.
Warum er in der Prüfung steht: Fragen zu Domäne 4 über Föderation, ABAC im großen Maßstab und das Ersetzen langlebiger IAM-Benutzer durch kurzlebige Rollensitzungen nennen Identity Center als die AWS-native Antwort.
Kontinuierliche Bedrohungserkennung über VPC Flow Logs, DNS-Logs, CloudTrail, S3, EKS-Audit und Lambda-Laufzeit hinweg – meldet Befunde für kompromittierte Anmeldeinformationen, Krypto-Mining und bekannte schlechte IPs.
Warum er in der Prüfung steht: Domäne 1 (Bedrohungserkennung und Reaktion auf Vorfälle) nennt GuardDuty als primäres Signal für die kontinuierliche Erkennung, wobei EventBridge-gesteuerte Automatisierung das kanonische Reaktionsmuster ist.
Kontinuierliche Schwachstellenbewertung für EC2, ECR-Container-Images und Lambda-Funktionen – Bewertung von CVEs und Netzwerkerreichbarkeitsbefunden anhand des entdeckten Software-Inventars.
Warum er in der Prüfung steht: Domäne 3 (Infrastruktursicherheit) testet Inspector für die Schwachstellenhaltung von Workloads; unterscheiden Sie ihn von GuardDuty (Laufzeitbedrohungen) und Macie (Datenklassifizierung).
Dienstübergreifender Befund-Aggregator mit integrierten Standardprüfungen (CIS, PCI DSS, AWS FSBP, NIST 800-53) und Integrationen von GuardDuty, Inspector, Macie und Partner-Tools.
Warum er in der Prüfung steht: Domäne 2 (Sicherheits-Logging und -Überwachung) und Domäne 6 (Governance) nennen Security Hub als die organisationsweite zentrale Anlaufstelle für priorisierte Befunde und Compliance-Bewertungen.
ML-gestützte Erkennung sensibler Daten für S3 – automatisierte Erkennung von PII, Anmeldeinformationen, Finanz- und Gesundheitsdaten sowie kontinuierliche Bucket-Inventur und -Haltungsbewertung.
Warum er in der Prüfung steht: Domäne 5 (Datenschutz) testet Macie als den genannten Dienst zur Entdeckung und Klassifizierung sensibler Daten in S3, bevor Verschlüsselung, Aufbewahrung oder Zugriffskontrollen angewendet werden.
Layer-7-Web-ACL für CloudFront, ALB, API Gateway, AppSync und App Runner – verwaltete Regelgruppen (OWASP, Bot-Kontrolle, Kontoübernahme) sowie ratenbasierte und benutzerdefinierte Regeln.
Warum er in der Prüfung steht: Fragen zu Domäne 3 (Infrastruktursicherheit) zum Schutz öffentlicher Web-Endpunkte vor Injection, Scraping und Credential Stuffing nennen WAF als die AWS-native Edge-Verteidigung.
Verwalteter DDoS-Schutz – Standard kostenlos am Edge enthalten, Advanced fügt 24x7 SRT-Reaktion, Kostenschutz und Layer-3/4/7-Angriffsanalysen für CloudFront, Route 53, ALB und Global Accelerator hinzu.
Warum er in der Prüfung steht: Domäne 3 unterscheidet Shield Standard (immer aktiv, kostenlos, L3/L4) von Shield Advanced (kostenpflichtig, SRT, Kostenschutz) – eine wiederkehrende Szenariofrage zur DDoS-Resilienz.
Verwalteter kryptografischer Schlüssel-Dienst – AWS-verwaltete, kundenverwaltete und externe/importierte Schlüssel mit Grants, Schlüsselrichtlinien und CloudTrail-protokollierter Nutzung über mehr als 100 Dienste hinweg.
Warum er in der Prüfung steht: Domäne 5 (Datenschutz) testet auf jeder Prüfungsform die Umschlagverschlüsselung, das kontoübergreifende Teilen von Schlüsseln, die Schlüsselrotation und den Unterschied zwischen Schlüsselrichtlinien und IAM-Richtlinien.
Stellt öffentliche TLS-Zertifikate für CloudFront, ALB, API Gateway und App Runner bereit und erneuert diese automatisch; ACM Private CA stellt interne Zertifikate mit verwaltetem CRL/OCSP aus.
Warum er in der Prüfung steht: Fragen zu Domäne 5 über die Verschlüsselung von Daten während der Übertragung und zu Domäne 3 über private CA-Hierarchien für internes mTLS nennen ACM und ACM Private CA als die AWS-nativen Antworten.
Verschlüsselter Geheimnisspeicher mit automatischer Rotation für RDS, Redshift, DocumentDB und benutzerdefinierter Lambda-gesteuerter Rotation; feingranularer IAM-Zugriff und CloudTrail-Audit.
Warum er in der Prüfung steht: Domäne 4 + Domäne 5 nennen Secrets Manager für kurzlebige Datenbankanmeldeinformationen, und der Kontrast zu Parameter Store (kostenlos, keine Rotation) ist ein häufiges Distraktor-Paar.
Primitive zur Netzwerkisolation – Subnetze, Routing-Tabellen, Sicherheitsgruppen (zustandsbehaftet), NACLs (zustandslos), VPC Flow Logs, VPC-Endpunkte und Traffic Mirroring zur Paketerfassung.
Warum er in der Prüfung steht: Domäne 3 (Infrastruktursicherheit) besteht größtenteils aus VPC-Mechanismen – Tiefenverteidigung zwischen SGs und NACLs, private Konnektivität über Interface-Endpunkte und Flow Logs für die Forensik.
Verwaltete zustandsbehaftete Firewall für VPCs – Suricata-kompatible Regeln für Deep Packet Inspection, Domänenfilterung, IPS und zentralisierte Ausgangsfilterung über eine Organisation hinweg.
Warum er in der Prüfung steht: Szenarien aus Domäne 3 zur zustandsbehafteten L3-L7-Inspektion, die über das Angebot von SGs/NACLs hinausgeht – reine Ausgangsfilterung und zentralisierte Inspektions-VPCs – nennen Network Firewall als die Antwort.
Organisationsweite Richtliniendurchsetzung für WAF-Regeln, Shield Advanced, Network Firewall, Route 53 Resolver DNS Firewall und Sicherheitsgruppen über Konten in AWS Organizations hinweg.
Warum er in der Prüfung steht: Fragen zu Domäne 6 (Governance) zur Durchsetzung von Sicherheits-Baselines über viele Konten hinweg nennen Firewall Manager + Organizations als die Multi-Konto-Steuerungsebene.
Untersuchungsgraph, der VPC Flow Logs, CloudTrail, GuardDuty und EKS-Audit-Daten in ein Verhaltensmodell zur Ursachenanalyse verdächtiger Aktivitäten aufnimmt.
Warum er in der Prüfung steht: Domäne 1 (Bedrohungserkennung und Reaktion auf Vorfälle) testet Detective als die genannte Folgemaßnahme zu einem GuardDuty-Befund – das Schwenken auf Kontext, Auswirkungsbereich und betroffene Ressourcen.
Hierarchischer Konfigurations- und Geheimnisspeicher mit String-, StringList- und SecureString (KMS-gestützten) Typen; der kostenlose Tarif deckt die meisten Fälle mit optionalen erweiterten Parametern bei höheren Quoten ab.
Warum er in der Prüfung steht: Fragen zu Domäne 5 zur Speicherung von Konfigurationen und geringvolumigen Geheimnissen vergleichen Parameter Store (kostenlos, keine Rotation) mit Secrets Manager (kostenpflichtig, Rotation) – der Kompromiss wird zuverlässig getestet.
Unveränderliches API-Aufruf-Audit-Log – organisationsweite Trails, Management-/Daten-/Insights-Ereignisse, Überprüfung der Log-Datei-Integrität und Lake für SQL-abfragbare Aufbewahrung.
Warum er in der Prüfung steht: Domäne 2 (Sicherheits-Logging und -Überwachung) nennt CloudTrail als das grundlegende Audit-Signal; Integritätsvalidierung und zentralisierte Organisations-Trails sind häufige Compliance-Szenario-Fragen.
Konfigurationshistorie und kontinuierliche Compliance-Bewertung – verwaltete und benutzerdefinierte Regeln, automatische Behebung über SSM und Conformance Packs für CIS/PCI/HIPAA-Baselines.
Warum er in der Prüfung steht: Domäne 6 (Governance) testet Config als die Engine für Konfigurationsdrift und kontinuierliche Compliance, die CloudTrails API-Aufruf-Audit-Trail ergänzt.
Automatisierte Beweismittelsammlung, die Frameworks (PCI DSS, HIPAA, SOC 2, GDPR, FedRAMP) zugeordnet ist, mit Bewertungsumfangsdefinition und exportierbaren prüferfertigen Berichten.
Warum er in der Prüfung steht: Fragen zu Domäne 6 zur Erstellung von Prüfnachweisen und zur Zuordnung von Kontrollen zu Compliance-Frameworks nennen Audit Manager als den AWS-nativen Dienst zur Beweismittelsammlung.
Multi-Konto-Management – OUs, Service Control Policies (SCPs), Resource Control Policies, konsolidierte Abrechnung und delegierte Administration für Sicherheitsdienste.
Warum er in der Prüfung steht: Domäne 6 (Governance) und Domäne 4 (IAM) testen SCPs als Berechtigungsgrenzen oberhalb von IAM und als Voraussetzung für die organisationsweite Aggregation von GuardDuty, Security Hub und Config.
$140k–$200k–$290k USD jährlich
Die Spanne deckt mittlere bis hohe Cloud-Sicherheitsrollen in den USA ab, für die AWS-Kenntnisse erforderlich sind. Erstklassige Finanzdienstleister, FAANG und sicherheitsorientierte Unicorns überschreiten häufig 350.000 $ Gesamtvergütung (TC). Einstiegs-Titel als "Security Engineer" in nicht-küstennahen Märkten liegen unter dem unteren Ende der Spanne. Spezialisierte Sicherheitszertifizierungen erzielen zuverlässig einen Aufschlag im Vergleich zu allgemeinen Cloud-Zertifizierungen.
Quelle: levels.fyi 2025–2026 cloud security roles, U.S. BLS OEWS May 2024 (15-1212 information security analysts). Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Die Einstellung im Bereich Cloud-Sicherheit blieb 2024–2026 stark, da Unternehmen ihre Sicherheitsprogramme rund um AWS-Umgebungen mit mehreren Konten, Zero-Trust-Modelle und Lieferkettenrisiken weiterentwickelten. SCS-C03 wird häufig als bevorzugt für Cloud-Sicherheitsingenieur- und Architektenrollen aufgeführt und ist eine der universell angesehensten einzelnen Sicherheitszertifizierungen neben CISSP und CCSP. Personalvermittler in Finanzdienstleistungen, Gesundheitswesen und sicherheitsorientierten SaaS-Unternehmen betrachten sie als glaubwürdiges Signal für AWS-spezifische Sicherheitstiefe. Sie passt natürlich zu SAA-C03 oder SAP-C02, der Advanced Networking Specialty (ANS-C01) und anbieterübergreifenden Zertifizierungen. Die Zertifizierung qualifiziert Kandidaten NICHT von selbst für CISO- oder VP-Sicherheitsrollen — diese erfordern eine umfassendere Programmführung und Risikomanagementerfahrung.
Es gibt keine formalen Voraussetzungen. AWS empfiehlt mindestens 3–5 Jahre allgemeine IT-Sicherheitsexpertise und mindestens 2 Jahre praktische AWS-Sicherheitserfahrung.
Die meisten Kandidaten nähern sich SCS-C03 nach SAA-C03 (architektonisches Fundament) und idealerweise nach SAP-C02 oder DOP-C02 für zusätzliche Tiefe. Kandidaten mit einem starken allgemeinen Sicherheitshintergrund (CISSP, CompTIA Security+), aber begrenzter AWS-Erfahrung sollten erhebliche zusätzliche Zeit für IAM (insbesondere Permission Boundaries und SCPs), KMS-Schlüsselrichtlinien und die AWS-Erkennungsdienst-Taxonomie einplanen. Ein funktionierendes Multi-Account-AWS Organizations-Labor mit Control Tower, Config Conformance Packs und zentralisiertem Logging ist das Vorbereitungsartefakt mit dem höchsten ROI.
SCS-C03 ist als Spezialgebiet eingestuft und gehört zu den schwierigeren AWS-Prüfungen. Planen Sie für Kandidaten, die bereits in der Cloud-Sicherheit tätig sind, 80–140 Stunden über 10–14 Wochen ein; 160–220+ Stunden für diejenigen, die aus allgemeinen Sicherheits- oder allgemeinen AWS-Hintergründen kommen. Die Prüfung besteht aus 65 bewerteten Fragen in 170 Minuten — Multiple-Choice und Multiple-Response, keine Labs.
Die größte einzelne Stolperfalle ist die Tiefe der IAM-Richtlinienbewertung: genaues Verständnis, wie Identitätsrichtlinien, Ressourcenrichtlinien, Permission Boundaries, SCPs und Session Policies zusammenwirken und wie Condition Keys mit Cross-Account-Zugriff interagieren. Die Bewertung von KMS-Schlüsselrichtlinien folgt dicht dahinter. Kandidaten verlieren routinemäßig auch Punkte bei der Unterscheidung von Erkennungsdiensten (GuardDuty vs. Security Hub vs. Detective vs. Inspector) und bei subtilen VPC-Verkehrsflussfragen, die Endpunkte und PrivateLink betreffen.
Aktuelle Version. Modernisierte Abdeckung von Erkennungsdiensten, Multi-Account-Governance, KMS Multi-Region Keys und Network Firewall. Aktualisierte Incident-Response-Muster, die die Reife von EventBridge / SSM Automation widerspiegeln.
Kurze Zwischenrevision. Im Jahr 2023 eingestellt.
Ursprüngliche Security Specialty. Lange eingestellt; Erkennungstools aus der Zeit vor Security Hub.
SCS-C03 (AWS Certified Security Specialty) ist eine eine stark spezialisierte Prüfung, die fortgeschrittene Themen in einem engen Bereich abdeckt – praktische Erfahrung wird als Voraussetzung erwartet Specialty-Level-Prüfung. Die meisten Kandidaten benötigen 100–200 Stunden Lernzeit, verteilt über 2–4 Monate, für Spezialprüfungen. Diese setzen praktische Erfahrung im Spezialgebiet voraus. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 100–200 Stunden Lernzeit, verteilt über 2–4 Monate, für Spezialprüfungen. Diese setzen praktische Erfahrung im Spezialgebiet voraus. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
SCS-C03 ist ein anerkanntes Zeugnis im AWS-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit AWS arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für SCS-C03 beträgt 750 / 1000. Die Prüfung enthält 65 Fragen und dauert 2 Std 50 Min.
Die Prüfungsgebühr für SCS-C03 beträgt $300 USD. Die Gebühren werden von AWS festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen AWS Zertifizierungsseite, bevor Sie buchen.
AWS-Zertifizierungen sind 3 Jahre gültig. Rezertifizieren Sie sich, indem Sie die aktuelle Version derselben Prüfung bestehen oder eine Prüfung auf höherem Niveau im selben Pfad vor Ablauf bestehen.
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für SCS-C03. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 65 Fragen in 2 Std 50 Min, mit der gleichen Bestehensschwelle von 750 / 1000. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.