Google Cloud Professional Cloud Security Engineer
227 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
Der Google Cloud Professional Cloud Security Engineer (PCSE) validiert die Fähigkeit, sichere Infrastruktur in Google Cloud zu entwerfen und zu implementieren. Die Prüfung behandelt IAM-Hierarchie und -Bedingungen, Einschränkungen der Organisationsrichtlinien, VPC Service Controls, Cloud KMS / EKM / Confidential VM, Cloud Armor und Cloud IDS, Security Command Center Premium, BeyondCorp und Identity-Aware Proxy, Cloud DLP / Sensitive Data Protection, Audit-Logging und die gesamte Suite der von Google Cloud unterstützten Compliance-Frameworks (HIPAA, PCI, FedRAMP, ISO, SOC). Der Fragestil ist stark szenariobasiert und belohnt Kandidaten, die in Begriffen der Verteidigung in der Tiefe denken – viele Fragen bieten mehrere technisch korrekte Antworten und erwarten die am stärksten geschichtete oder am wenigsten privilegierte Option. PCSE ist das GCP-Äquivalent zum AWS Security Specialty und Azure AZ-500.
Größter Bereich mit 25%. Cloud Identity, IAM-Hierarchie (Organisation / Ordner / Projekt / Ressource), Bedingungen, Deny-Richtlinien, benutzerdefinierte Rollen, Dienstkonten und Workload Identity Federation, BeyondCorp Enterprise.
Cloud KMS (Software, HSM, EKM), CMEK / CSEK, Confidential VM und Confidential GKE Nodes, Cloud DLP / Sensitive Data Protection, BigQuery Spalten- / Zeilen-Level-Sicherheit, Secret Manager. 23%.
VPC Service Controls (Perimeter, Ingress- / Egress-Regeln, Bridges), Cloud Armor (OWASP, Geo, Ratenbegrenzung, adaptiver Schutz), Cloud IDS, IAP, Private Service Connect. 22% — VPC SC ist das dichteste Thema.
Security Command Center (Standard- vs. Premium- vs. Enterprise-Stufen), Cloud Logging Audit-Logs (Admin Activity, Data Access, System Event, Policy Denied), Chronicle, Muster zur Reaktion auf Vorfälle. 19%.
Kleinster Bereich mit 11%, aber hoher Dichte. Assured Workloads, Sovereign Controls, regulatorische Frameworks, Beweismittelsammlung, Residenz- und Datenregion-Kontrollen.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Identitäts-, Rollen- und Policy-Primitive — vordefinierte und benutzerdefinierte Rollen, IAM Conditions, Deny Policies und die Vererbung der Ressourcenhierarchie erzwingen jede Autorisierungsentscheidung.
Warum er in der Prüfung steht: Domäne 1 (Zugriff konfigurieren) befasst sich ausschließlich mit IAM-Mechaniken — das Design von Rollen mit geringsten Rechten, IAM Conditions und die Policy-Evaluierung über die Organisations-/Ordner-/Projekt-Hierarchie sind die am häufigsten geprüften Themen.
Identitätsspeicher für die Belegschaft, der mit externen IdPs föderiert ist, gepaart mit BeyondCorp Enterprise für kontextsensitiven Zugriff zur Zero Trust-Anwendungsabsicherung ohne VPN.
Warum er in der Prüfung steht: Domäne 1 prüft die föderierte Identität der Belegschaft sowie das BeyondCorp-Modell — kontextsensitive Zugriffs-Policies und Gerätevertrauenssignale ersetzen im Examen das Vertrauen auf Netzwerk-Perimeter.
Service-Perimeter um verwaltete Google Cloud APIs (BigQuery, GCS usw.), der Datenexfiltration blockiert, selbst wenn IAM-Berechtigungen falsch konfiguriert sind.
Warum er in der Prüfung steht: Domäne 2 (Datenschutz gewährleisten) nennt VPC Service Controls als die kanonische Antwort zur Verhinderung von Datenexfiltration und zur Isolation sensibler Projekte vom öffentlichen Internet.
Hierarchische Schlüsselverwaltung — Software-gestütztes KMS, FIPS 140-2 L3 HSM-geschützte Schlüssel und EKM für kundenseitig gehaltene Schlüssel außerhalb von Google Cloud, alle mit derselben API-Oberfläche.
Warum er in der Prüfung steht: Domäne 2 prüft, wann CMEK vs. CSEK vs. EKM zu wählen ist und wie Schlüsselrotation, IAM-Berechtigungen für Schlüssel und Cloud KMS Autokey die Verschlüsselung im Ruhezustand erzwingen.
Cloud-native CSPM- und Bedrohungserkennungsplattform — Premium- und Enterprise-Tiers zeigen Fehlkonfigurationen, Schwachstellen und aktive Bedrohungen in der gesamten Organisation durch Event Threat Detection, Container Threat Detection und SHA-Ergebnisse auf.
Warum er in der Prüfung steht: Domäne 4 (Sicherheitsoperationen verwalten) macht SCC zur Antwort für zentralisiertes Posture Management, Schwachstellen-Triage und die Untersuchung aktiver Bedrohungen in der GCP-Organisation.
Edge WAF und DDoS-Schutz vor globalen HTTP(S) Load Balancers — vorkonfigurierte OWASP-Regeln, benutzerdefinierte Regeln, ratenbasierte Sperren und adaptiver ML-Schutz.
Warum er in der Prüfung steht: Domäne 3 (Kommunikation und Perimeter-Schutz sichern) prüft Cloud Armor für die L7-Angriffsmitigation und Edge-Ratenbegrenzung bei internetexponierten Anwendungen.
Anwendungs-Layer Zero Trust-Gateway, das jede Anfrage an App Engine, Cloud Run, GKE Ingress und Compute Engine-Anwendungen authentifiziert und autorisiert, ohne dass ein VPN erforderlich ist.
Warum er in der Prüfung steht: Domäne 1 nennt IAP als die kanonische Antwort für den Ersatz von VPN durch Identitätsprüfungen pro Anfrage; Domäne 3 verwendet es erneut für SSH/RDP-Tunneling, ohne Instanzen öffentlich zugänglich zu machen.
Zeitreihenkatalog aller Ressourcen und IAM-Policies in der Organisation, exportierbar nach BigQuery für Ad-hoc-Abfragen und Feed-basierte Änderungsbenachrichtigungen über Pub/Sub.
Warum er in der Prüfung steht: Die Domänen 4 und 5 nutzen Cloud Asset Inventory für Compliance-Nachweise ("zeigen Sie mir jeden öffentlichen Bucket am 01.01.2024") und zur Erkennung von Abweichungen von genehmigten Baselines.
Verwalteter Secret Store mit automatischer Replikation, Versionierung, IAM-gesteuertem Zugriff, kundenseitig verwalteten Verschlüsselungsschlüsseln und Rotations-Hooks über Cloud Functions.
Warum er in der Prüfung steht: Domäne 2 prüft Secret Manager als Antwort auf "keine API-Schlüssel mehr im Quellcode ablegen" und wie IAM Conditions plus VPC-SC den Zugriff auf Secrets isolieren.
PII-Erkennung, -Klassifizierung und -De-Identifizierung — erkennt über 150 InfoTypes, maskiert/tokenisiert/redigiert in-place und erstellt Risikoprofile für BigQuery und Cloud Storage.
Warum er in der Prüfung steht: Domäne 2 nennt Sensitive Data Protection als den kanonischen Dienst zum Scannen von Data Lakes und BigQuery nach PII vor dem ML-Training oder der externen Freigabe.
Ausstellung kurzlebiger Anmeldeinformationen für externe Workloads (AWS, Azure, GitHub Actions, OIDC IdPs), damit diese Google Cloud APIs ohne langlebige Dienstkontoschlüssel aufrufen können.
Warum er in der Prüfung steht: Die Domänen 1 und 2 prüfen Workload Identity Federation beide als explizite Antwort zur Eliminierung herunterladbarer Dienstkontoschlüssel — ein wiederkehrendes Anti-Pattern in der Prüfung.
Confidential VMs und Confidential GKE Nodes führen Workloads auf AMD SEV / Intel TDX-Hardware aus, sodass Speicherinhalte selbst vor dem Host-Hypervisor verschlüsselt bleiben.
Warum er in der Prüfung steht: Domäne 2 nennt Confidential Computing zum Schutz von Daten während der Nutzung — regulierte Workloads (Gesundheitswesen, Finanzen) auf gemeinsam genutzter Infrastruktur sind ein wiederkehrendes Szenario.
Zugriffsebenen (Gerät, IP, Geo) speisen VPC-SC- und IAP-Regeln; Access Approval erfordert die ausdrückliche Kundenzustimmung, bevor Google-Mitarbeiter zu Supportzwecken auf Ihre Daten zugreifen.
Warum er in der Prüfung steht: Domäne 1 verwendet Access Context Manager für die Erstellung kontextsensitiver Policies; Domäne 5 (Compliance in Cloud-Umgebungen unterstützen) nennt Access Approval für regulierte Branchen, die Audit-Trails für den Provider-Zugriff benötigen.
Privater Artefakt-Speicher für Container-Images, Maven, npm usw., mit Container Analysis-Schwachstellenscans, die Ergebnisse an Security Command Center weiterleiten.
Warum er in der Prüfung steht: Die Domänen 3 + 4 prüfen das Supply-Chain-Muster: Images in Artifact Registry speichern, über Container Analysis scannen, Bereitstellungen über Binary Authorization steuern.
Verwaltetes Dynamic Application Security Testing (DAST), das App Engine-, Compute Engine- und GKE-Anwendungen auf XSS, Mixed Content, veraltete Bibliotheken und OWASP Top 10-Probleme durchsucht.
Warum er in der Prüfung steht: Domäne 3 nennt Web Security Scanner als die GCP-native Antwort zur Auffindung von Schwachstellen auf der Anwendungsschicht, ohne einen separaten DAST-Stack bereitstellen zu müssen.
Hierarchische Leitplanken — boolesche und Listen-Constraints, die Ressourcenkonfigurationen (keine externen IPs, erlaubte Regionen, erforderliches CMEK usw.) über Ordner und Projekte hinweg einschränken.
Warum er in der Prüfung steht: Domäne 5 (Compliance in Cloud-Umgebungen unterstützen) nennt Org Policy als präventive Kontrolle, die IAM ergänzt, indem sie riskante Konfigurationen blockiert, bevor sie überhaupt existieren.
Audit-Streams für Admin Activity, Data Access, System Event und Policy Denied sowie Cloud Logging-Routing nach BigQuery, GCS, Pub/Sub oder Chronicle für die langfristige Aufbewahrung.
Warum er in der Prüfung steht: Die Domänen 4 + 5 verwenden Audit Logs als unveränderliche Nachweisaufzeichnung dafür, wer was getan hat, und Routing/Log-Sinks entscheiden, wo Compliance-Aufbewahrung stattfindet.
Self-Service-Portal zum Herunterladen von SOC-, ISO-, PCI DSS-, FedRAMP- und HIPAA-Attestierungsberichten sowie kontinuierliches Monitoring für FedRAMP High und HIPAA-qualifizierte Workloads.
Warum er in der Prüfung steht: Domäne 5 (Compliance in Cloud-Umgebungen unterstützen) prüft direkt, wo Google Cloud-Zertifizierungen von Drittanbietern erhältlich sind und wie verfolgt wird, welche Dienste unter welchen Geltungsbereich fallen.
Cloud-native SIEM- und SOAR-Plattform — nimmt Cloud Audit Logs, EDR-Telemetriedaten und Drittanbieter-Feeds auf, führt Erkennungsregeln in YARA-L aus und orchestriert Response Playbooks.
Warum er in der Prüfung steht: Domäne 4 nennt Chronicle als das Enterprise SIEM-Ziel für Cloud Audit Logs und als Quelle für hochpräzise Erkennungen, die in das Security Command Center zurückgespeist werden.
$140k–$195k–$285k USD jährlich
Die Spanne spiegelt US-basierte Senior Cloud Security Engineers und Architekten wider, bei denen GCP die primäre Plattform ist. FAANG L5 Security Engineer TC über $300k. Cloud-Sicherheit erzielt eine Prämie in allen drei großen Clouds; PCSE-Kandidaten liegen bei FAANG tendenziell leicht über den AWS Security Specialty-Äquivalenten, aufgrund des kleineren Pools an GCP-qualifizierten Kandidaten.
Quelle: levels.fyi 2025–2026 (Google L5–L6 security engineers, FAANG and unicorn senior cloud security), U.S. BLS OEWS May 2024 (15-1212 information security analysts, 15-1241 computer network architects). Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Die Nachfrage nach PCSE ist stetig gestiegen, da die Akzeptanz von GCP in Unternehmen und der Regulierungsdruck zwischen 2024 und 2026 zunahmen. Hohe Nachfrage besteht bei Google Cloud-Partnern mit Sicherheitspraktiken, großen regulierten Unternehmen (Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor) und Google selbst für Sicherheitsspezialisten im Kunden-Engineering. Die Zertifizierung ist auch in Multi-Cloud-Sicherheitsteams wertvoll, wo die Kombination von PCSE mit AWS Security Specialty oder Azure AZ-500 eine echte Cross-Cloud-Expertise signalisiert. Inhaber berichten durchweg von einer starken Resonanz von Personalvermittlern – qualifizierte GCP-Sicherheitsingenieure bleiben im Vergleich zu AWS ein kleiner Kandidatenpool.
Es gibt keine formalen Voraussetzungen. Google empfiehlt drei oder mehr Jahre Branchenerfahrung und ein oder mehr Jahre im Design und der Implementierung von Google Cloud-Sicherheitslösungen. In der Praxis ist PCSE keine sinnvolle erste GCP-Zertifizierung – erfolgreiche Kandidaten verfügen über funktionierende Sicherheitsgrundlagen (CIA-Triade, Bedrohungsmodellierung, Least Privilege, Defense in Depth) und haben relevante Zeit in IAM, Networking und Logging in mindestens einer Cloud verbracht.
Der Associate Cloud Engineer (ACE) ist ein üblicher erster Schritt, aber ein CISSP- oder AWS Security Specialty-Hintergrund ist oft ein guter Ersatz. Vertrautheit mit der gcloud CLI, Organisationsrichtlinien-Einschränkungen und VPC Service Controls ist praktisch erforderlich. Der offizielle Cloud Security Engineer Learning Path auf Google Cloud Skills Boost (ca. 40–60 Stunden) deckt den Lehrplan ab; die meisten erfolgreichen Kandidaten bauen auch eine Multi-Projekt-, Multi-Perimeter-Sandbox auf, um das Verhalten von VPC Service Controls zu verinnerlichen.
PCSE wird als professionell eingestuft und zählt durchweg zu den schwierigeren GCP-Prüfungen neben PCA und PCNE. Planen Sie 90–140 Stunden Lernzeit über 9–13 Wochen ein, wenn PCSE Ihre erste professionelle GCP-Zertifizierung ist, oder 50–80 Stunden über 5–8 Wochen, wenn Sie bereits ACE plus AWS Security Specialty oder Ähnliches besitzen. Die Prüfung besteht aus 50–60 Multiple-Choice- / Multiple-Select-Fragen in 120 Minuten und wird über Pearson VUE abgelegt (Google ist Anfang 2026 von Kryterion / Webassessor migriert).
Die häufigste Stolperfalle sind VPC Service Controls – Perimeter-Design, Ingress- / Egress-Regeln, Bridges und die Interaktion mit Shared VPC bringen die meisten Kandidaten ins Stolpern und machen einen unverhältnismäßig großen Anteil der Fehlversuche aus. Die zweite Stolperfalle sind IAM-Bedingungen und Deny-Richtlinien, die Google in Szenariofragen gegenüber älteren rollenbasierten Antworten stark bevorzugt. Google veröffentlicht keine numerischen Ergebnisse – nur Bestanden/Nicht bestanden. Die Anmeldeinformationen sind zwei Jahre gültig, und die Rezertifizierung erfordert das erneute Bestehen der aktuellen Prüfung.
Der aktuelle Prüfungsleitfaden wurde Anfang 2024 aktualisiert, um IAM Deny-Richtlinien, Workload Identity Federation, Sovereign Controls und eine aktualisierte Abdeckung der Security Command Center Enterprise-Stufe hinzuzufügen.
Umfassende Aktualisierung, die VPC Service Controls als Hauptthema einführte und den Bereich des Datenschutzes um Confidential Computing erweiterte.
PCSE (Google Cloud Professional Cloud Security Engineer) ist eine eine anspruchsvolle, szenariobasierte Prüfung, die tiefe praktische Erfahrung und die Fähigkeit erfordert, architektonische Kompromissentscheidungen zu treffen Professional-Level-Prüfung. Die meisten Kandidaten benötigen 150–300 Stunden Lernzeit, verteilt über 3–6 Monate, für Prüfungen auf Professional- und Expertenniveau. Diese Prüfungen setzen in der Regel eine vorherige Associate-Level-Kompetenz voraus. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 150–300 Stunden Lernzeit, verteilt über 3–6 Monate, für Prüfungen auf Professional- und Expertenniveau. Diese Prüfungen setzen in der Regel eine vorherige Associate-Level-Kompetenz voraus. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
PCSE ist ein anerkanntes Zeugnis im GCP-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit GCP arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für PCSE beträgt Nicht veröffentlicht. Die Prüfung enthält 50 Fragen und dauert 2 Std.
Die Prüfungsgebühr für PCSE beträgt $200 USD. Die Gebühren werden von GCP festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen GCP Zertifizierungsseite, bevor Sie buchen.
Google Cloud Professional-Zertifizierungen sind 2 Jahre gültig. Rezertifizieren Sie sich, indem Sie die aktuelle Version der Prüfung erneut bestehen.
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für PCSE. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 50 Fragen in 2 Std, mit der gleichen Bestehensschwelle von Nicht veröffentlicht. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.