Überblick
Dieses Kombi-Programm verbindet zwei eigenständige Zertifizierungsvorbereitungen: den Certified Cloud Security Professional (CCSP) des (ISC)² und den EXIN Certified Business Analyst. Wer Cloud-Infrastrukturen sicher gestalten und gleichzeitig Geschäftsanforderungen methodisch erfassen und kommunizieren will, erschließt sich mit dieser Kombination ein breites Kompetenzprofil. Der CCSP-Teil deckt alle sechs offiziellen (ISC)²-Domänen ab und bereitet auf die international anerkannte Prüfung vor. Der EXIN-Business-Analyst-Teil vermittelt die strukturierte Erhebung, Dokumentation und Priorisierung von Anforderungen nach etablierten BA-Methoden. Beide Zertifikate stammen von unterschiedlichen Verbänden und sprechen unterschiedliche Rollen an — ihre Kombination ist besonders für IT-Sicherheitsfachleute wertvoll, die zunehmend in Projektrollen eingebunden sind und die Brücke zwischen technischer Sicherheitsarchitektur und Geschäftsanforderungen schlagen müssen.
Kursinhalte & Lernziele
CCSP-Domäne 1 — Cloud-Konzepte, Architektur und Design: Die erste Domäne legt das Fundament für alle weiteren Themen. Teilnehmende erarbeiten, wie Cloud-Architekturen aufgebaut sind, welche Servicemodelle (IaaS, PaaS, SaaS) und Deployment-Varianten (Public, Private, Hybrid, Multi-Cloud) existieren und welche Sicherheitsimplikationen jeweils gelten. Das Shared-Responsibility-Modell und die wesentlichen Sicherheitsprinzipien für Cloud-Designs stehen dabei im Mittelpunkt.
- Referenzarchitekturen und Cloud-Servicemodelle
- Shared Responsibility und Sicherheitsverantwortung je Schicht
- Designprinzipien für resiliente und sichere Cloud-Umgebungen
- Business-Continuity- und Disaster-Recovery-Konzepte im Cloud-Kontext
- Kryptografische Grundlagen: Verschlüsselung at rest, in transit, in use
CCSP-Domänen 2 bis 6 — Datensicherheit, Plattform, Anwendungen, Betrieb und Recht: Diese Domänen bilden den Kern des CCSP. Datensicherheit umfasst Klassifizierung, Lebenszyklus, Datenschutz nach DSGVO und anderen Regularien sowie Schlüsselmanagement. Plattform- und Infrastruktursicherheit behandelt Compute, Storage, Netzwerk und Virtualisierung unter Cloud-Bedingungen. Application Security stellt sicher, dass Software-Entwicklungsprozesse Sicherheitsanforderungen von Beginn an integrieren. Operations umfasst Change-, Incident- und Problem-Management sowie physische Sicherheit. Die Legal-Domäne behandelt Compliance, eDiscovery und grenzüberschreitende Datentransfers.
- Datenschutz und Datensouveränität in Multi-Cloud-Szenarien
- Identity and Access Management (IAM) und Federation in der Cloud
- Netzwerksicherheit: Firewalls, Mikrosegmentierung, VPN und Zero-Trust-Ansätze
- Secure Software Development Lifecycle (Secure SDLC) und DevSecOps
- Incident Response, Forensik und Logging in Cloud-Umgebungen
- Regulatorische Anforderungen: DSGVO, ISO 27001/27017/27018, SOC 2
EXIN Certified Business Analyst — Grundlagen und Methoden: Die Business-Analyst-Komponente vermittelt die strukturierte Vorgehensweise der Anforderungsanalyse nach dem EXIN-Rahmenwerk. Teilnehmende lernen, wie Stakeholder-Interviews vorbereitet und durchgeführt werden, wie Anforderungen formal dokumentiert und wie Änderungsbegehren verwaltet werden. Der Fokus liegt auf nachvollziehbaren, eindeutigen Anforderungsartefakten, die Projektteams, Auftraggeber und technische Umsetzung verbinden.
- Stakeholder-Analyse und -Management
- Anforderungserhebungstechniken: Interviews, Workshops, Beobachtung
- Funktionale und nicht-funktionale Anforderungen dokumentieren
- Use Cases, User Stories und Akzeptanzkriterien formulieren
- Priorisierungsmethoden (MoSCoW, Kano-Modell)
- Rückverfolgbarkeitsmatrix und Anforderungsmanagement über den Projektlebenszyklus
Praxisanwendung — Sicherheitsanforderungen in Projekten: Wer beide Qualifikationen kombiniert, kann Sicherheitsanforderungen nicht nur technisch definieren, sondern auch in der Sprache des Business kommunizieren. In diesem Block werden Szenarien bearbeitet, die typische Berührungspunkte zwischen Cloud Security und Business Analysis abbilden.
- Sicherheitsanforderungen als User Stories und Akzeptanzkriterien formulieren
- Sicherheitsfolgenanalyse für Anforderungsänderungen durchführen
- Compliance-Anforderungen in Projektartefakte übersetzen
- Risikobasierte Anforderungspriorisierung bei Cloud-Migrationsprojekten
- Kommunikation von Sicherheitsrisiken gegenüber nicht-technischen Stakeholdern
- Security Reviews als Bestandteil des Anforderungsprozesses
- Dokumentation von Cloud-Sicherheitsarchitekturentscheidungen
- Abstimmung zwischen Sicherheitsarchitekten und Projektmanagement
- Qualitätssicherung: Review-Techniken für Anforderungsartefakte
- Rollenverteilung zwischen Business Analyst, Security Architect und Cloud-Engineer
Die Kombination beider Lernstränge macht deutlich, dass technische Sicherheitsmaßnahmen und strukturierte Anforderungsarbeit keine getrennten Welten sind. Wer Cloud-Umgebungen absichern will, braucht ein Verständnis dafür, welche Anforderungen das Business stellt — und wie man sie so dokumentiert, dass Entwickler, Architekten und Prüfer damit arbeiten können.
Lernziele:
- Alle sechs CCSP-Domänen des (ISC)² nach aktuellem Common Body of Knowledge (CBK) sicher beherrschen
- Cloud-Sicherheitsarchitekturen für verschiedene Service- und Deployment-Modelle entwerfen und bewerten
- Datensicherheitsstrategien für Cloud-Umgebungen konzipieren, einschließlich Verschlüsselung, Schlüsselverwaltung und Datenklassifizierung
- Sicherheitsanforderungen in Plattform- und Infrastrukturumgebungen (IaaS, PaaS, SaaS) technisch umsetzen
- Application Security-Konzepte im Cloud-Kontext anwenden: Secure SDLC, Penetration Testing, Vulnerability Management
- Operationale Sicherheit und Incident Response für Cloud-Betriebsumgebungen verantworten
- Rechtliche, regulatorische und Compliance-Anforderungen in Cloud-Projekten kennen und berücksichtigen
- Als Business Analyst Stakeholder-Anforderungen mit anerkannten Methoden strukturiert erheben und dokumentieren
- Anforderungen klassifizieren, priorisieren und Rückverfolgbarkeit über den Projektzyklus sicherstellen
- Use Cases, User Stories und Business-Analyse-Artefakte professionell erstellen
- Schnittstellen zwischen IT-Sicherheitsarchitektur und Projektanforderungen souverän moderieren
- Beide Zertifizierungsformate kennen und Prüfungsanmeldung bei (ISC)² und EXIN vorbereiten
Zielgruppe & Voraussetzungen
Dieses Programm spricht IT-Fachleute an, die sowohl auf der Sicherheitsseite als auch in projektnäheren Rollen tätig sind oder sein möchten.
- IT-Sicherheitsberater und -architekten, die in Cloud-Migrationsprojekten mitwirken
- Business Analysts mit IT-Hintergrund, die Sicherheitsanforderungen besser verstehen wollen
- Projektleiter und technische Product Owner in Cloud-nahen Umgebungen
- Cloud-Engineers, die ihre Tätigkeit um die Analyse- und Kommunikationsdimension erweitern
- Fachkräfte, die sich für eine Doppelqualifikation aus zwei etablierten Verbänden ((ISC)² und EXIN) interessieren
Für den CCSP empfiehlt (ISC)² mindestens fünf Jahre Berufserfahrung in der Informationssicherheit, davon drei Jahre im Cloud-Umfeld — alternativ kann die Prüfung auch ohne diese Erfahrung abgelegt werden, der Zertifikatsstatus wird dann nach Nachreichung der Erfahrung erteilt. Für den EXIN Business Analyst werden Grundkenntnisse in IT-Projektarbeit oder erste praktische Erfahrungen in Analyse- oder Koordinationstätigkeiten vorausgesetzt. Englischkenntnisse auf Lese-Niveau sind für die Prüfungsunterlagen wichtig, da beide Zertifizierungen in englischer Sprache geprüft werden. Technisches Verständnis für Cloud-Infrastrukturen und Netzwerkarchitektur ist hilfreich.
Ablauf & Abschluss
Der Unterricht findet im Combined-Learning-Format statt, das Präsenzunterricht im virtuellen Klassenzimmer mit selbst gesteuerten Lernphasen verbindet. Live-Sitzungen ermöglichen direkte Fragen, moderierte Diskussionen und den Austausch über Praxisfälle. Ergänzt wird dies durch strukturiertes Selbststudium, Übungsaufgaben und Fallstudien. Der CCSP-Lernstrang ist inhaltlich deutlich umfangreicher und setzt entsprechend mehr Selbststudium voraus; der EXIN-BA-Teil ist stärker methodisch-praktisch ausgerichtet und baut auf Übungsaufgaben und Dokumentationsarbeit. Beide Stränge werden durch praxiserfahrene Dozenten begleitet.
Die Weiterbildung ist auf eine Dauer von mehr als einem Monat bis zu drei Monaten ausgelegt und wird in Vollzeit absolviert. Die genaue Stundenzahl hängt von der individuellen Modulauswahl und dem gewählten Starttermin ab, da das Programm modular aufgebaut ist. Teilzeitvarianten sind auf Anfrage möglich.
Das Programm bereitet auf zwei externe Zertifizierungsprüfungen vor: die CCSP-Prüfung des (ISC)², die weltweit an autorisierten Prüfzentren abgelegt wird, und die EXIN Certified Business Analyst-Prüfung. Beide Prüfungen werden von den jeweiligen Verbänden organisiert und sind nicht Bestandteil des Kurses selbst. Nach erfolgreichem Kursabschluss stellt der Bildungsträger eine qualifizierte Teilnahmebescheinigung aus, die den Inhalt und Umfang der Weiterbildung dokumentiert.
Nutzen & Perspektiven
Der CCSP gilt als eine der anspruchsvollsten Cloud-Sicherheitszertifizierungen weltweit. Er belegt, dass Inhaber das vollständige Spektrum der Cloud-Sicherheit — von der Architektur über Datenschutz und Anwendungssicherheit bis hin zu rechtlichen Anforderungen — beherrschen. In einer Zeit, in der nahezu jedes Unternehmen Workloads in die Cloud verlagert, steigt die Nachfrage nach Fachleuten mit dieser Qualifikation kontinuierlich. Arbeitgeber in Branchen wie Finanzdienstleistung, Gesundheitswesen, öffentliche Verwaltung und Beratung suchen gezielt nach CCSP-zertifizierten Kandidaten für Positionen im Bereich Cloud Governance, Security Architecture und Compliance. Die EXIN Business Analyst-Zertifizierung ergänzt dieses Profil um eine Fähigkeit, die in der Praxis häufig unterschätzt wird: die strukturierte Übersetzung von Geschäftsanforderungen in technische Spezifikationen. IT-Sicherheitsarchitekten, die diese Kompetenz mitbringen, können als Bindeglied zwischen Fachbereichen und Entwicklungsteams wirken — und werden in gemischten Projektteams entsprechend geschätzt. Zusammengenommen schafft diese Doppelqualifikation ein Profil, das in mittelgroßen und großen Organisationen besonders gefragt ist: jemand, der Cloud-Sicherheitsarchitekturen technisch durchdringen und gleichzeitig Anforderungen methodisch dokumentieren und kommunizieren kann. Für Fachkräfte, die sich nicht auf eine einzige Spezialisierung festlegen, sondern bewusst Brückenrollen anstreben, ist diese Kombination ein strategisch sinnvoller Karriereschritt.
Häufig gestellte Fragen (FAQ)
Was verbindet CCSP und EXIN Business Analyst inhaltlich?
Beide Qualifikationen sind auf den ersten Blick unterschiedlich, ergänzen sich aber in der Praxis: CCSP vermittelt, wie Cloud-Sicherheit technisch gestaltet wird; EXIN BA vermittelt, wie Anforderungen so dokumentiert werden, dass sie für Entwickler, Architekten und Auftraggeber gleichermaßen nutzbar sind. Wer beides beherrscht, kann Sicherheitsanforderungen sowohl technisch definieren als auch in die Sprache des Projektmanagements übersetzen.
Welche Erfahrung benötige ich für den CCSP-Teil?
(ISC)² empfiehlt für die CCSP-Zertifizierung mindestens fünf Jahre Berufserfahrung in der Informationssicherheit, davon drei Jahre im Cloud-Bereich. Die Prüfung kann auch ohne vollständige Erfahrungsqualifikation abgelegt werden; der Zertifikatsstatus wird nach Nachreichung der erforderlichen Praxis erteilt. Der Kurs selbst hat keine formalen Zulassungsvoraussetzungen.
In welcher Sprache finden Unterricht und Prüfungen statt?
Der Unterricht findet auf Deutsch statt. Kursunterlagen und Prüfungen von CCSP ((ISC)²) und EXIN Business Analyst sind in englischer Sprache — Englischkenntnisse auf solidem Lese-Niveau sind daher zwingend erforderlich.
Wie ist der Unterricht aufgebaut?
Der Kurs läuft im Combined-Learning-Format: Live-Sitzungen im virtuellen Klassenzimmer wechseln mit selbst gesteuerten Lernphasen. Der CCSP-Strang ist umfangreicher und setzt entsprechend mehr Selbststudium voraus; der EXIN-BA-Teil ist methodisch-praktisch ausgerichtet und arbeitet mit Dokumentationsaufgaben und Fallstudien.
Sind die Prüfungen im Kurspreis enthalten?
Die CCSP-Prüfung ((ISC)²) und die EXIN Business Analyst-Prüfung werden unabhängig vom Kurs bei den jeweiligen Verbänden organisiert und angemeldet. Sie sind nicht automatisch im Kurspreis enthalten. Der Kurs schließt mit einer trägerinternen Teilnahmebescheinigung ab.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Security Analyst271 Stellen
- Business-Intelligence-Consultant213 Stellen
- Chief-Information-Security-Officer103 Stellen
- Cloud Security Specialist9 Stellen
- IT-Sicherheitsberater1 Stellen