CNCF Certified Kubernetes Security Specialist
265 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
Der Certified Kubernetes Security Specialist (CKS) ist die anspruchsvollste Zertifizierung in der CNCF-Hierarchie und die einzige mit einer zwingenden Voraussetzung — Sie müssen ein aktives Certified Kubernetes Administrator (CKA)-Zertifikat besitzen, um sich für CKS zu registrieren. CKS ist praxisorientiert: zwei Stunden Arbeit an realen Clustern über kubectl in einem browserbasierten Terminal, mit Aufgaben, die Cluster-Härtung, Supply-Chain-Sicherheit (Image-Signierung, SBOMs), Laufzeitverteidigung (Falco, AppArmor, seccomp), Admission Control (OPA Gatekeeper, Kyverno) und Richtliniendurchsetzung umfassen. CKS unterscheidet die Rolle des Sicherheitsspezialisten von CKA (Cluster-Operator), CKAD (Anwendungsentwickler) und CNPE (Plattformentwickler). Es ist der Höhepunkt des Kubestronaut-Pakets und eine der wertvollsten Sicherheitszertifizierungen in der Cloud.
CIS Benchmarks für Kubernetes, kube-bench, Ingress-TLS, NetworkPolicies für Cluster-Ebene-Isolation und Verifizierung von Plattform-Binärdateien. 15 % der Prüfung.
RBAC-Minimierung, Härtung von Service-Accounts, kubelet-Authentifizierung/-Autorisierung, Einschränkung des API-Zugriffs und Upgrade von Clustern zum Patchen von CVEs. 15 % der Prüfung.
Härtung auf Linux-Ebene (Kernel-Härtung, AppArmor, seccomp-Profile, Minimierung der Angriffsfläche des Host-Betriebssystems) und IAM-Minimierung. Kleinster Bereich mit 10 %.
Pod Security Standards, OPA Gatekeeper, Kyverno, mTLS über Service Mesh und Verwaltung von Secrets (Vault-Integration, Sealed Secrets). 20 % der Prüfung.
Image-Signierung mit Sigstore / cosign, SBOMs, Image-Scanning (Trivy, Grype), Einschränkung von Image-Registries und Verifizierung von Basis-Images. 20 % der Prüfung — zunehmend betont in den Aktualisierungen 2024–2026.
Falco-Laufzeitbedrohungserkennung, Audit-Logging, Verhaltensanalyse und forensische Workflows. 20 % der Prüfung. Umfangreiche praktische Arbeit beim Schreiben von Falco-Regeln und Parsen von Audit-Logs.
$130k–$175k–$250k USD jährlich
Dieser Bereich spiegelt US-basierte Cloud-Sicherheitsrollen mittlerer bis höherer Ebene wider, bei denen Kubernetes-Sicherheitsexpertise erforderlich ist. Senior DevSecOps- und Cloud-Sicherheitsarchitektenpositionen bei FAANG und Unicorns tendieren deutlich höher (oft über 320.000 $ TC). CKS gehört zu den am besten bezahlten Einzelzertifizierungen in der Cloud — was die anhaltende (ISC)² Cybersecurity Workforce Study-Talentlücke und die Knappheit von Ingenieuren widerspiegelt, die sowohl in Kubernetes-Operationen als auch in Cloud-nativen Sicherheitstools versiert sind.
Quelle: levels.fyi 2025–2026 (Cloud-/Anwendungssicherheit), U.S. BLS OEWS Mai 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Kubernetes ist der De-facto-Orchestrator für Cloud-native Workloads, und Kubernetes-spezifische Sicherheitsexpertise ist eines der seltensten Kompetenzprofile in der Cloud. Die (ISC)² Cybersecurity Workforce Study hat Cloud-Security Engineering immer wieder als hartnäckige Talentlücke identifiziert, und CKS ist die am meisten anerkannte Qualifikation innerhalb dieser Lücke. Inhaber von CKS erzielen Gehaltsprämien, die CKA / CKAD allein durchweg übertreffen, und die Zertifizierung wird zunehmend als „bevorzugte“ oder „erforderliche“ Qualifikation in Senior DevSecOps- und Cloud-Sicherheitsarchitekten-Pipelines genannt. CKS ist der Höhepunkt des Kubestronaut-Pakets (KCNA + KCSA + CKA + CKAD + CKS) und signalisiert ein ungewöhnlich tiefes operatives und sicherheitstechnisches Engagement, das die Kandidatur für Senior-Positionen erheblich beschleunigt.
CKS hat eine zwingende Voraussetzung — Sie müssen zum Zeitpunkt der Registrierung und zum Zeitpunkt der Prüfung ein aktives Certified Kubernetes Administrator (CKA)-Zertifikat besitzen. Dies wird bei der Registrierung durchgesetzt; Sie können keinen CKS-Prüfungsplatz ohne ein aktives CKA erwerben. Wenn Ihr CKA abläuft, bevor Sie CKS ablegen, müssen Sie sich vor der Registrierung erneuern oder neu zertifizieren lassen.
Die sinnvolle CNCF-Sicherheitsprogression ist KCNA → KCSA → CKA → CKS. KCSA ist nicht für CKS erforderlich, mindert aber das Risiko des Versuchs erheblich, indem es das konzeptionelle Gerüst (4Cs, Bedrohungsmodellierung, Supply-Chain-Sicherheit) schafft, das CKS dann unter praktischem Zeitdruck testet. Die meisten erfolgreichen CKS-Kandidaten verfügen nach CKA über 6–12 Monate Produktionserfahrung mit Kubernetes-Operationen, bevor sie CKS ablegen — die Prüfung setzt operative Kenntnisse mit kubectl, kubelet, etcd und der Control Plane voraus.
CKS ist die anspruchsvollste Zertifizierung in der CNCF-Hierarchie. Die Prüfung ist praxisorientiert: 15–20 leistungsbasierte Aufgaben an realen Clustern in einem browserbasierten Terminal, zwei Stunden, mit Zugriff nur auf eine kleine Whitelist von Dokumentations-Domains in einem einzigen Browser-Tab. Die Bestehensnote beträgt 67 %. Erwarten Sie 100–200 Stunden Lernzeit über 10–16 Wochen nach CKA, abhängig von der vorherigen Sicherheitserfahrung. Kandidaten mit einem starken allgemeinen Sicherheitshintergrund (CISSP, OSCP) und einem frischen CKA-Pass tendieren zum unteren Ende; reine Operatoren, die neu in der Sicherheitsarbeit sind, tendieren zum oberen Ende.
Das häufigste Stolpern ist die Breite der Tools — Falco, AppArmor, seccomp, Sigstore / cosign, Trivy, OPA Gatekeeper, Kyverno, Vault — kombiniert mit dem gleichen kubectl-Zeitdruck wie bei CKA. Bash-/jq-Kenntnisse, schnelle vim-Bearbeitung und kubectl-Effizienz bleiben entscheidend. Die CKS-spezifische Toolchain (insbesondere das Schreiben benutzerdefinierter Falco-Regeln und seccomp-Profile unter Prüfungszeitdruck) wird von den meisten gescheiterten Versuchen als Lücke genannt. Probeprüfungen von killer.sh (zwei kostenlose Versuche im Paket) gelten weithin als obligatorische Vorbereitung.
Ursprüngliche Veröffentlichung — der Höhepunkt der Sicherheitsspezialisten in der CNCF-Hierarchie. Die Gültigkeit beträgt 2 Jahre (CKS hatte schon immer eine Gültigkeit von 2 Jahren, im Gegensatz zu CKA / CKAD, die im April 2024 von 3 auf 2 Jahre umgestellt wurden). Der Lehrplan wird jährlich aktualisiert, um aktuelle Kubernetes-Veröffentlichungen und CVE-Muster zu verfolgen; die Abdeckung von Supply-Chain-Sicherheit und Sigstore wurde in den Aktualisierungen 2023–2024 erheblich erweitert.
CKS (CNCF Certified Kubernetes Security Specialist) ist eine eine anspruchsvolle, szenariobasierte Prüfung, die tiefe praktische Erfahrung und die Fähigkeit erfordert, architektonische Kompromissentscheidungen zu treffen Professional-Level-Prüfung. Die meisten Kandidaten benötigen 150–300 Stunden Lernzeit, verteilt über 3–6 Monate, für Prüfungen auf Professional- und Expertenniveau. Diese Prüfungen setzen in der Regel eine vorherige Associate-Level-Kompetenz voraus. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 150–300 Stunden Lernzeit, verteilt über 3–6 Monate, für Prüfungen auf Professional- und Expertenniveau. Diese Prüfungen setzen in der Regel eine vorherige Associate-Level-Kompetenz voraus. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
CKS ist ein anerkanntes Zeugnis im Kubernetes-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit Kubernetes arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für CKS beträgt 67%. Die Prüfung enthält 60 Fragen und dauert 2 Std.
Die Prüfungsgebühr für CKS beträgt $445 USD. Die Gebühren werden von Kubernetes festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen Kubernetes Zertifizierungsseite, bevor Sie buchen.
CNCF / Kubernetes-Zertifizierungen sind 2 Jahre gültig. Erneuern Sie sie, indem Sie die aktuelle Version der Prüfung erneut bestehen; die Verlängerung verlängert die Gültigkeit um weitere 2 Jahre ab dem neuen Bestehensdatum.
Ja, Kubernetes-Zertifizierungen werden ausschließlich online abgelegt – es gibt keine persönlichen Testzentren. Die Prüfung läuft in einem sicheren, überwachten Browser; Sie benötigen einen ruhigen privaten Raum, eine Webcam, ein Mikrofon, stabiles Breitband und einen amtlichen Lichtbildausweis.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für CKS. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 60 Fragen in 2 Std, mit der gleichen Bestehensschwelle von 67%. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.