CNCF Kubernetes and Cloud Native Security Associate
265 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
Der Kubernetes and Cloud Native Security Associate (KCSA) ist ein von der CNCF Ende 2022 eingeführtes Grundlagen-Zertifikat, das das konzeptionelle Verständnis von Cloud-nativen Sicherheit validiert. Es ist eine Multiple-Choice-Prüfung mit 60 Fragen – nicht praktisch wie CKS – und richtet sich an Ingenieure, Sicherheitsanalysten und SREs, die glaubwürdig über Kubernetes-Bedrohungsmodelle, RBAC, Netzwerkrichtlinien, Lieferkettensicherheit und die 4Cs (Cloud, Cluster, Container, Code) sprechen müssen, ohne bereits gehärtete Produktionscluster zu betreiben. KCSA ist der natürliche zweite Schritt auf dem Kubestronaut-Pfad nach KCNA und legt das konzeptionelle Fundament, das die praktische CKS-Prüfung merklich zugänglicher macht.
Die 4Cs der Cloud-nativen Sicherheit (Cloud, Cluster, Container, Code), Modelle der geteilten Verantwortung und wie sich Cloud-native Sicherheit von traditioneller Perimeter-Sicherheit unterscheidet. Konzeptionelle Einführung für den Rest der Prüfung.
API-Server, etcd, kubelet, Controller-Manager, Scheduler – was jede Komponente exponiert und wie sie gehärtet werden sollte. Mit 22 % der größte Domain-Anteil.
RBAC, Service-Konten, Secrets-Management, Pod-Sicherheitsstandards (ersetzen PodSecurityPolicies) und Netzwerkrichtlinien. Mit 22 % der größte Anteil – erwarten Sie eine umfassende Abdeckung.
Bedrohungsmodellierung im STRIDE-Stil, angewendet auf Kubernetes, plus der CNCF-spezifische Bedrohungskatalog (Persistenz, Privilegienerweiterung, laterale Bewegung). Entspricht direkt MITRE ATT&CK for Containers.
Lieferkettensicherheit (SBOMs, Image-Signierung mit Sigstore / cosign), Admission Control (OPA Gatekeeper, Kyverno) und Laufzeitverteidigung (Falco). Wird in den Aktualisierungen 2024–2026 zunehmend betont.
CIS Benchmarks for Kubernetes, NIST SP 800-190, PCI-DSS in containerisierten Umgebungen und das CNCF Security TAG. Kleinster Bereich (10 %), aber Fragen mit hoher Dichte.
$105k–$145k–$200k USD jährlich
Diese Spanne spiegelt US-basierte Positionen im Bereich Cloud-Sicherheit für mittlere bis höhere Führungskräfte wider, bei denen Kubernetes-Kenntnisse erwartet werden. Senior DevSecOps- und Cloud-Security-Architektenpositionen bei FAANG und Unicorns tendieren deutlich höher (oft über 250.000 $ TC). KCSA allein ermöglicht diese Gehälter nicht – es ergänzt einen Sicherheits- oder Plattform-Hintergrund.
Quelle: levels.fyi 2025–2026 (Rollen in Sicherheit / Cloud-Sicherheit), U.S. BLS OEWS Mai 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Cloud-native Sicherheit ist eine der hartnäckigen Talentlücken, die in der (ISC)² Cybersecurity Workforce Study hervorgehoben werden, und Kubernetes-spezifische Sicherheitskenntnisse sind noch seltener. KCSA fungiert als Screening-Signal für DevSecOps- und Cloud-Security-Pipelines – es signalisiert Personalvermittlern, dass ein Kandidat glaubwürdig über RBAC, Netzwerkrichtlinien, Image-Signierung und das CNCF-Bedrohungsmodell sprechen kann, ohne bereits gehärtete Cluster zu betreiben. Die Zertifizierung hat in Senior-Pipelines weniger Gewicht als CKS, wird aber zunehmend als grundlegender Filter für sicherheitsnahe Plattformrollen eingesetzt. Für Kandidaten, die das Kubestronaut-Paket anstreben, ist KCSA ein bedeutsamer Zwischenschritt, der den CKS-Versuch erheblich entschärft.
Es gibt keine formalen Voraussetzungen für KCSA, aber CNCF empfiehlt dringend frühere Kubernetes-Kenntnisse auf KCNA-Niveau. Kandidaten ohne Kubernetes-Hintergrund sollten zuerst KCNA absolvieren – KCSA setzt voraus, dass Sie bereits wissen, was ein Pod, ein Service und ein Namespace sind, und baut darauf den Sicherheitskontext auf.
Die sinnvolle CNCF-Sicherheits-Progression ist KCNA → KCSA → CKA → CKS. KCSA erfüllt keine formale Voraussetzung für CKS (CKS erfordert einen aktiven CKA), aber es ist der sauberste Weg, das konzeptionelle Material – Bedrohungsmodellierung, die 4Cs, Lieferkettensicherheit – zu verinnerlichen, das CKS dann unter praktischem Zeitdruck prüft. Kandidaten mit einem starken allgemeinen Sicherheitshintergrund (CISSP, OSCP) und operativer Kubernetes-Erfahrung können KCSA überspringen und direkt zu CKS übergehen, aber die meisten Ingenieure profitieren von diesem Zwischenschritt.
KCSA wird als grundlegend eingestuft und liegt in Bezug auf den Schwierigkeitsgrad genau zwischen KCNA und der praktischen CKS. Rechnen Sie mit 30–60 Stunden Lernzeit über 4–6 Wochen, wenn Sie Kubernetes-Kenntnisse auf KCNA-Niveau, aber einen begrenzten Sicherheitshintergrund haben; 15–30 Stunden, wenn Sie beides haben. Die Prüfung besteht aus 60 Multiple-Choice-Fragen in 90 Minuten, nur online über PSI Bridge, mit einem kostenlosen Wiederholungsversuch. Die Bestehensnote beträgt 750 / 1000.
Das häufigste Stolperstein ist die Breite der Sicherheits-Frameworks – Kandidaten, die Kubernetes, aber nicht CIS Benchmarks, NIST SP 800-190 oder MITRE ATT&CK for Containers kennen, können in den Bereichen Bedrohungsmodelle und Compliance Punkte verlieren. Sigstore / cosign und Admission Controller (OPA Gatekeeper, Kyverno) sind ebenfalls häufige Lücken. Zeitmanagement ist mit 90 Sekunden pro Frage selten ein Problem.
Allgemeine Verfügbarkeit. Aktuelle Version Stand April 2026; die Lehrplanaktualisierung 2024 erweiterte die Lieferkettensicherheit (Sigstore, SBOMs) und fügte die Abdeckung von MITRE ATT&CK for Containers hinzu. Gültigkeit beträgt 2 Jahre.
KCSA (CNCF Kubernetes and Cloud Native Security Associate) ist eine gilt als Einstiegsprüfung, die das breite konzeptionelle Verständnis statt der praktischen Tiefe testet Foundational-Level-Prüfung. Die meisten Kandidaten benötigen 30–80 Stunden Lernzeit, verteilt über 3–6 Wochen, für Prüfungen auf Grundlagenniveau. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 30–80 Stunden Lernzeit, verteilt über 3–6 Wochen, für Prüfungen auf Grundlagenniveau. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
KCSA ist ein anerkanntes Zeugnis im Kubernetes-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit Kubernetes arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für KCSA beträgt 75%. Die Prüfung enthält 60 Fragen und dauert 1 Std 30 Min.
Die Prüfungsgebühr für KCSA beträgt $250 USD. Die Gebühren werden von Kubernetes festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen Kubernetes Zertifizierungsseite, bevor Sie buchen.
CNCF / Kubernetes-Zertifizierungen sind 2 Jahre gültig. Erneuern Sie sie, indem Sie die aktuelle Version der Prüfung erneut bestehen; die Verlängerung verlängert die Gültigkeit um weitere 2 Jahre ab dem neuen Bestehensdatum.
Ja, Kubernetes-Zertifizierungen werden ausschließlich online abgelegt – es gibt keine persönlichen Testzentren. Die Prüfung läuft in einem sicheren, überwachten Browser; Sie benötigen einen ruhigen privaten Raum, eine Webcam, ein Mikrofon, stabiles Breitband und einen amtlichen Lichtbildausweis.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für KCSA. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 60 Fragen in 1 Std 30 Min, mit der gleichen Bestehensschwelle von 75%. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.