Überblick
Dieser Kurs verbindet zwei Kompetenzbereiche, die in modernen Security-Operations-Teams zunehmend untrennbar sind: die praktische KI-gestützte Automatisierung von Sicherheitsprozessen und das strategische Governance-Wissen, das die ISACA Certified Information Security Manager-Zertifizierung (CISM) verlangt. Der Automatisierungsschwerpunkt behandelt den Einsatz von KI in SOAR-Plattformen, bei der ML-gestützten Anomalieerkennung und in automatisierten Incident-Response-Pipelines. Der CISM-Teil erschließt alle vier ISACA-Domänen — von der Information Security Governance bis zum Incident Management — und setzt sie in direkten Bezug zu automatisierten Sicherheitsumgebungen. Im Unterschied zu einem reinen ML-Kurs steht hier nicht die Modellentwicklung im Vordergrund, sondern die Frage: Wie werden KI-gestützte Systeme so gesteuert, überwacht und in Organisationsstrukturen verankert, dass sie sicher, nachvollziehbar und compliant betrieben werden können?
Kursinhalte & Lernziele
Modul 1: Grundlagen KI-gestützter Automatisierung in der IT-Sicherheit Das erste Modul legt das konzeptionelle Fundament für den Einsatz von KI in automatisierten Sicherheitsprozessen. Besonderes Gewicht liegt auf dem Verständnis, welche Aufgaben sich für KI-Automatisierung eignen, welche Risiken dabei entstehen und welche organisationalen Voraussetzungen nötig sind, damit autonome Systeme verlässlich funktionieren.
- Automatisierungsparadigmen im Vergleich: regelbasierte Systeme, maschinelles Lernen, hybride Ansätze
- KI-Methoden für Sicherheitsautomatisierung: Klassifikation, Clustering, Anomalieerkennung, NLP
- Robotic Process Automation vs. ML-basierte Automatisierung: Anwendungsfälle und Grenzen
- Datengrundlagen für Automatisierungsmodelle: Log-Daten, Telemetrieströme, Ereignisprotokolle
- Typische Anwendungsfälle in der IT-Sicherheit: Alarmtriage, Threat Hunting, Policy-Enforcement
- Ethik und Verantwortlichkeit beim Einsatz autonomer Sicherheitssysteme
Modul 2: Security Automation und SOAR Dieser Teil vertieft die operative Seite von Sicherheitsautomatisierung: Wie werden Sicherheitsprozesse orchestriert, wie reagieren Systeme automatisiert auf Ereignisse, und welche Rolle spielen KI-Komponenten in SOAR-Plattformen? Das Modul geht über die Theorie hinaus und behandelt konkrete Implementierungsanforderungen in Enterprise-Umgebungen.
- SIEM-Architekturen: Korrelationsregeln, Log-Management, Normalisierung und Alert-Priorisierung
- SOAR-Plattformen: Playbook-Design, Tool-Orchestrierung, bidirektionale Integrationen
- ML-gestützte Anomalieerkennung: Isolation Forest, Autoencoder, LSTM-basierte Zeitreihenanalyse
- Incident-Response-Automatisierung: automatische Anreicherung, Alarmtriage, Eskalationslogik
- Threat-Intelligence-Automatisierung: Feed-Processing, IOC-Abgleich, kontextuelle Anreicherung
- Herausforderungen im Betrieb: False Positives, Modell-Drift, Zuständigkeitsfragen bei autonomen Aktionen
Modul 3: ISACA CISM — Domänen 1 und 2: Governance und Risikomanagement Die ersten beiden CISM-Domänen sind strategischer Natur und legen den Governance-Rahmen für alle weiteren Sicherheitsaktivitäten einer Organisation. Im Kurskontext werden sie direkt auf automatisierte Sicherheitsumgebungen bezogen — denn die Frage, wer bei Fehlentscheidungen eines autonomen Systems die Verantwortung trägt, ist eine Governance-Frage, keine technische.
- Information Security Governance: Strategie, Policies, Compliance-Frameworks, Rollenverantwortlichkeiten
- Ausrichtung der Sicherheitsstrategie an Unternehmenszielen, regulatorischen Anforderungen und Standards
- Governance-Modelle für KI-gestützte Sicherheitssysteme: Haftung, Auditierbarkeit, Eskalationsregeln
- Information Risk Management: Risikoidentifikation, -bewertung und -priorisierung nach CISM-Standard
- Risikobehandlung automatisierter Systeme: Fehlklassifikation, Systemausfälle, adversariale Manipulation
- Risikokommunikation an das Management und an den Projektvorstand
Modul 4: ISACA CISM — Domänen 3 und 4: Sicherheitsprogramm und Incident Management Die operativen CISM-Domänen schließen das Curriculum ab. Domäne 3 behandelt Aufbau und Steuerung des Sicherheitsprogramms, Domäne 4 den gesamten Incident-Management-Zyklus — beide besonders relevant für Organisationen, die Sicherheitsprozesse zunehmend automatisieren und dabei Governance-Kontinuität sicherstellen müssen.
- Information Security Program Development: Roadmaps, Ressourcenplanung, Metriken, Reifegradmodelle
- Automatisierungs-Governance innerhalb des Sicherheitsprogramms: Kontrollen, Audits, Change Management
- Controls-Frameworks im CISM-Kontext: NIST CSF, ISO 27001, CIS Controls — Abgleich mit ISACA-Anforderungen
- Information Security Incident Management: Erkennungs-, Reaktions- und Wiederherstellungsprozesse
- Integration automatisierter Incident-Response in den CISM-Governance-Rahmen
- Post-Incident-Prozesse: Root-Cause-Analyse, Lessons Learned, kontinuierliche Prozessverbesserung
Praxisblock: KI-Automatisierung unter CISM-Governance Im Praxisblock werden Automatisierungs- und Governance-Wissen verbunden. Fallstudien und Laboraufgaben aus realen SOC-Umgebungen bilden die Grundlage für die Transferleistung vom Unterricht in die Berufspraxis.
- Playbook-Entwurf: automatisierte Erkennung und Reaktion auf einen mehrstufigen Phishing-Angriff in SOAR
- ML-Anomalieerkennung konfigurieren: Trainingsdaten aus SIEM-Logs extrahieren und Basislinien setzen
- Fallstudie: KI-gestützte Alarmtriage im SOC — Abwägung zwischen Automatisierungseffizienz und Fehlentscheidungsrisiko
- Governance-Workshop: CISM-konforme Policy für den Betrieb eines SOAR-Systems im Unternehmen entwerfen
- Risikobewertung einer automatisierten Incident-Response-Pipeline nach CISM-Domäne 2
- Bedrohungsmodellierung für ein KI-Automatisierungssystem: Angriffsvektoren identifizieren und mitigieren
- Sicherheitsprogramm-Entwurf: Einbettung von SOAR in Budgetplanung und strategische Sicherheitsroadmap
- Incident-Response-Simulation: koordinierte Reaktion auf einen automatisiert erkannten Insider Threat
- Fallstudienanalyse zu Domänen 1 und 2: Governance-Entscheidungen unter Zeitdruck bewerten
- Peer-Review: gegenseitige Evaluierung von Risikobewertungen und Governance-Konzepten
- Abschlussprojekt: Gesamtarchitektur eines KI-gestützten Sicherheitsprogramms mit vollständiger CISM-Governance-Dokumentation
- Abschlussdiskussion: Langfristige Herausforderungen des Betriebs autonomer Sicherheitssysteme
Die CISM-Prüfung wird eigenständig bei einem ISACA-akkreditierten Testcenter abgelegt. Der Kurs bereitet inhaltlich auf alle vier Domänen vor und legt besonderen Wert darauf, die CISM-Governance-Konzepte direkt an automatisierungsrelevanten Szenarien zu erarbeiten.
Lernziele:
- KI-Konzepte für die Prozessautomatisierung in der IT-Sicherheit gezielt einsetzen
- SOAR-Systeme architektonisch verstehen, konfigurieren und mit ML-Komponenten erweitern
- Anomalieerkennung auf Basis statistischer Verfahren und neuronaler Netze konzipieren und bewerten
- Automatisierte Incident-Response-Playbooks entwickeln, testen und kontinuierlich verbessern
- Die vier ISACA-CISM-Domänen inhaltlich durchdringen und auf reale Sicherheitsszenarien anwenden
- Ein Information Security Governance Framework für automatisierte Sicherheitsumgebungen aufbauen
- IT-Risiken systematisch identifizieren, priorisieren und durch automatisierte Kontrollen adressieren
- Sicherheitsprogramme entwickeln, messbare KPIs definieren und deren Wirksamkeit evaluieren
- Incident-Management-Prozesse nach CISM-Standard gestalten und in automatisierten Pipelines operationalisieren
- KI-gestützte Sicherheitssysteme auf ihre Governance-, Ethik- und Compliance-Implikationen hin beurteilen
- Automatisierungslösungen in Cloud- und hybriden Infrastrukturen verantwortungsvoll entwerfen
Zielgruppe & Voraussetzungen
Das Programm richtet sich an IT-Fachkräfte mit Erfahrung in der Informationssicherheit oder IT-Automatisierung, die sich strategisch in Richtung Security-Management entwickeln möchten und dabei KI-Automatisierung als Kernkompetenz positionieren wollen.
- SOC-Analytikerinnen und -Analytiker, die Automatisierung als Effizienzwerkzeug nutzen und steuern wollen
- IT-Sicherheitsbeauftragte mit Interesse an CISM-Zertifizierung und KI-gestützten Werkzeugen
- Security-Architekturpositionen, die SOAR und SIEM strategisch planen und verantworten
- Personen mit Karriereziel in der Sicherheitsleitung oder als CISO-Berater
- Automatisierungsspezialistinnen und -spezialisten, die den Governance-Rahmen für ihre Systeme aktiv mitgestalten wollen
Erfahrung in der IT-Sicherheit oder in der IT-Automatisierung bildet die inhaltliche Basis für diesen Kurs. Kenntnisse in Netzwerksicherheit, SIEM-Systemen oder Security-Operations sind für den Praxisteil besonders wertvoll. Für die spätere CISM-Prüfungsanmeldung gelten die ISACA-Berufserfahrungsanforderungen: fünf Jahre im Informationssicherheitsmanagement, davon mindestens drei Jahre in zwei der vier CISM-Domänen. Programmierkenntnisse sind für den Automatisierungsteil hilfreich, aber nicht zwingend nötig — das Konzeptverständnis wird auch ohne tiefe Coding-Erfahrung vermittelt.
Ablauf & Abschluss
Das Combined-Learning-Format verbindet synchrone Live-Unterrichtseinheiten im virtuellen Klassenzimmer mit angeleiteten Selbstlernphasen. Praxisblöcke auf simulierten Sicherheitsumgebungen ermöglichen direktes Arbeiten mit SIEM-Log-Daten, SOAR-Playbooks und ML-Konfigurationen. Fallstudien, die ISACA-typische Governance-Entscheidungsszenarien abbilden, schärfen das analytische Urteilsvermögen. Wer an einem Anbieterstandort arbeiten möchte, findet dort PC-Arbeitsplätze mit Dual-Screen-Setup; Homeoffice-Teilnahme per Kamera und Mikrofon ist gleichwertig möglich.
Das Doppel-Curriculum aus KI-Automatisierung und CISM-Vorbereitung setzt eine substanzielle Lernzeit voraus — die Kursdauer liegt in der Regel bei mehr als drei Monaten im Vollzeitformat. Individuelle Starttermine und Teilzeitmodelle können mit dem Anbieter abgestimmt werden; die Modularität des Curriculums erlaubt eine gewisse Schwerpunktsetzung.
Das trägerinterne Automatisierungs-Curriculum schließt mit einer qualifizierten Teilnahmebescheinigung ab. Die ISACA-CISM-Zertifizierung ist ein weltweit anerkanntes, extern ausgestelltes Credential: Nach bestandener Prüfung wird das Zertifikat direkt von ISACA vergeben. Die CISM-Zertifizierung erfordert zudem die jährliche Erfüllung von Continuing Professional Education (CPE)-Anforderungen, um gültig zu bleiben.
Nutzen & Perspektiven
Die Verbindung von KI-Automatisierung und CISM-Governance adressiert eine reale Lücke in modernen Sicherheitsteams: SOAR-Systeme und ML-gestützte Anomalieerkennung sind in vielen Security-Operations-Centern längst operativ, aber die Governance-Fragen rund um diese Systeme — wer haftet für Fehlentscheidungen autonomer Sicherheitskomponenten, wie werden Automatisierungspolicies in Unternehmens-Governance verankert, nach welchen Kriterien wird ein Automatisierungssystem abgestellt — werden in der Praxis oft vernachlässigt. Dieser Kurs schließt genau diese Lücke, indem er technische Kompetenz und strategisches Management bewusst verknüpft. Das CISM-Zertifikat von ISACA ist ein stabiler Karrierebaustein: Es signalisiert Arbeitgebern und Auftraggebern, dass die Inhaberin oder der Inhaber Informationssicherheit nicht nur technisch, sondern strategisch durchdrungen hat — als Managementdisziplin mit definierten Verantwortlichkeiten, messbaren Ergebnissen und klaren Eskalationswegen. In Kombination mit dem Automatisierungsfokus dieses Kurses entsteht ein Profil, das für Senior-SOC-Rollen, Security-Architekturpositionen und erste Führungsfunktionen im Bereich Informationssicherheitsmanagement besonders geeignet ist. Da KI-gestützte Security-Automatisierung keine Zukunftstechnologie mehr ist — SOAR-Plattformen sind verbreitet, KI-basierte Detection-Systeme in vielen Enterprise-SOCs aktiv —, ist das Doppelprofil aus technischer Automatisierungskompetenz und CISM-Governance heute gefragter denn je. Fachkräfte, die sowohl die operative Konfiguration als auch die strategische Steuerung dieser Systeme verantworten können, sind am Markt selten und entsprechend gesucht.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen diesem Kurs und einem reinen CISM-Vorbereitungskurs?
Dieser Kurs ergänzt die CISM-Domänen um ein eigenständiges Automatisierungs-Curriculum. Themen wie SOAR-Playbooks, ML-gestützte Anomalieerkennung und automatisierte Incident-Response-Pipelines werden nicht als CISM-Vorbereitung behandelt, sondern als eigenständige Praxiskompetenz, die anschließend mit den CISM-Governance-Anforderungen verknüpft wird.
Stellt ISACA das CISM-Zertifikat nach Kursabschluss automatisch aus?
Nein. Das CISM-Zertifikat wird von ISACA nach bestandener externer Prüfung und Nachweis der Berufserfahrung ausgestellt. Der Kurs bereitet inhaltlich auf diese Prüfung vor, ersetzt aber weder das Examen noch den Erfahrungsnachweis. Prüfungsanmeldung und -durchführung erfolgen eigenständig bei ISACA.
Brauche ich Programmierkenntnisse für den Automatisierungsteil?
Tiefe Coding-Kenntnisse sind nicht erforderlich. Der Schwerpunkt liegt auf dem konzeptionellen Verständnis von KI-Automatisierungsarchitekturen, SOAR-Playbook-Design und ML-Konfigurationen — nicht auf der Entwicklung eigener Algorithmen. Python-Grundkenntnisse sind hilfreich, aber keine Zugangsvoraussetzung.
Welche ISACA-Berufserfahrungsanforderungen gelten für die CISM-Prüfungsanmeldung?
ISACA verlangt fünf Jahre Berufserfahrung im Informationssicherheitsmanagement, davon mindestens drei Jahre in mindestens zwei der vier CISM-Domänen. Diese Anforderungen müssen vor der Zertifizierungsausstellung erfüllt sein; ein Erfahrungssubstitut ist bis zu zwei Jahre möglich. Der Kurs selbst hat keine Mindest-Berufserfahrung als Zulassungsbedingung.
In welchem Format findet der Unterricht statt?
Der Unterricht läuft im Combined-Learning-Format: synchrone Live-Einheiten im virtuellen Klassenzimmer werden durch Selbstlernphasen und Praxislabore ergänzt. Teilnahme ist sowohl über einen PC-Arbeitsplatz am Anbieterstandort als auch vollständig im Homeoffice möglich.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Assistent/Assistentin für Informatik (technische Informatik)80 Stellen
- Informationsmanager/Informationsmanagerin46 Stellen
- IT-Lizenzmanager/IT-Lizenzmanagerin38 Stellen
- AI Automation Specialist17 Stellen
- IT-Sicherheitsmanager0 Stellen
- CISM-zertifizierter Fachinformatiker0 Stellen