Überblick
Der Kurs Certified DevSecOps Engineer bereitet Teilnehmende umfassend darauf vor, Sicherheitsanforderungen systematisch in den gesamten Software-Entwicklungs- und Betriebslebenszyklus zu integrieren. DevSecOps — die Verbindung von Development, Security und Operations — hat sich als Antwort auf die wachsende Bedrohungslandschaft in der modernen IT-Welt etabliert: Sicherheit ist kein nachträglicher Qualitätsgrundsatz mehr, sondern ein von Beginn an eingebettetes Designprinzip. Der Kurs vermittelt sowohl konzeptionelle Grundlagen als auch praktische Werkzeuge und Methoden, um Sicherheitskontrollen automatisiert und reproduzierbar in CI/CD-Pipelines, Containerumgebungen und Cloud-Infrastrukturen umzusetzen. Er endet mit einer international anerkannten Prüfung, die die erworbenen Kompetenzen zertifiziert.
Kursinhalte & Lernziele
Der erste thematische Block widmet sich den Grundlagen der sicheren Softwareentwicklung. Hier erarbeiten die Teilnehmenden ein fundiertes Verständnis von Bedrohungsmodellen, sicheren Architekturprinzipien und dem Shift-Left-Ansatz. Die Verbindung zwischen klassischen OWASP-Schwachstellen und modernen Angriffsvektoren steht dabei im Mittelpunkt.
- Einführung in DevSecOps und die Shift-Left-Philosophie
- OWASP Top 10: Schwachstellen verstehen und absichern
- Bedrohungsmodellierung mit STRIDE und PASTA
- Sichere Architekturprinzipien für moderne Anwendungen
- Sicherheitsanforderungen in agilen Entwicklungsprozessen verankern
Der zweite Block behandelt die Integration von Sicherheitswerkzeugen in automatisierte Build- und Deployment-Pipelines. Anhand konkreter Pipeline-Konfigurationen lernen die Teilnehmenden, welche Tools an welcher Stelle im Entwicklungszyklus eingesetzt werden und wie Ergebnisse bewertet und eskaliert werden.
- SAST-Tools (Static Application Security Testing) integrieren und konfigurieren
- DAST (Dynamic Application Security Testing) in Testumgebungen automatisieren
- Software Composition Analysis (SCA) für Open-Source-Abhängigkeiten
- Pipeline-Gates und Quality Gates für sicherheitsrelevante Befunde
- Automatisierte Compliance-Checks in CI/CD-Systemen (Jenkins, GitLab CI, GitHub Actions)
Der dritte Block fokussiert sich auf Container-Sicherheit und Infrastruktur als Code. Die Absicherung von Docker-Images, Kubernetes-Clustern und Infrastructure-as-Code-Skripten wird praxisnah geübt. Besonderes Augenmerk liegt auf der Konfigurationsvalidierung und dem Umgang mit Secrets in Cloud-Umgebungen.
- Docker-Images analysieren und absichern (Image Scanning, Distroless, Least Privilege)
- Kubernetes-Cluster härten: RBAC, Network Policies, Pod Security Standards
- Terraform und Ansible: IaC-Skripte sicher schreiben und prüfen
- Secrets-Management mit HashiCorp Vault, AWS Secrets Manager oder Azure Key Vault
- Cloud-native Sicherheitskonzepte (AWS, Azure, GCP) und Shared-Responsibility-Modell
Der vierte Block befasst sich mit Monitoring, Incident Response und Compliance im DevSecOps-Kontext. Teilnehmende lernen, Sicherheitsereignisse in produktiven Umgebungen zu erkennen, zu bewerten und geordnet zu reagieren.
- SIEM-Systeme anbinden und Sicherheitsereignisse auswerten
- Logging-Strategien für auditierbare Systeme gestalten
- Incident-Response-Planung und Runbooks erstellen
- Compliance-Frameworks (ISO 27001, NIST, BSI IT-Grundschutz) im DevSecOps-Kontext anwenden
- Post-Mortem-Analysen und kontinuierliche Verbesserung der Sicherheitsreife
Praktische Übungen (Hands-on)
- Aufsetzen einer vollständig abgesicherten CI/CD-Pipeline in einer Sandbox-Umgebung
- Analyse und Behebung von Schwachstellen in einer Beispielanwendung
- Container-Image-Scanning mit Trivy und Grype
- IaC-Sicherheitsanalyse mit Checkov
- Erstellen eines Kubernetes-Netzwerkrichtlinien-Sets
- Pipeline-Gate konfigurieren, der kritische Befunde blockiert
- Secrets in einer CI/CD-Umgebung migrieren
- Threat Modeling Workshop anhand einer Microservices-Architektur
- DAST-Scan gegen eine Testanwendung durchführen und Ergebnisse auswerten
- Incident-Response-Simulation: Angriff erkennen, dokumentieren, eskalieren
- Cloud-Sicherheitsaudit mit Scout Suite oder Prowler
- Prüfungsvorbereitung: Übungsaufgaben im Prüfungsformat
Das Praxis-Curriculum ist so konzipiert, dass jede Übung unmittelbar an einen theoretischen Block anknüpft. Teilnehmende erhalten Zugang zu einer vollständig vorkonfigurierten Übungsumgebung und können alle Szenarien eigenständig oder in Kleingruppen bearbeiten. Der Kursabschluss umfasst eine intensive Prüfungsvorbereitung mit Übungsexamen im Format der internationalen Zertifizierungsprüfung.
Lernziele:
- Sicherheitsanforderungen frühzeitig im Software-Entwicklungsprozess (Shift Left) identifizieren und umsetzen
- CI/CD-Pipelines mit automatisierten Sicherheitsscans (SAST, DAST, SCA) ausstatten
- Container-Images und Laufzeitumgebungen gemäß aktuellen Sicherheitsstandards absichern
- Infrastruktur als Code (IaC) mit Tools wie Terraform oder Ansible sicher verwalten und auditieren
- Sicherheitsrichtlinien und Compliance-Anforderungen im gesamten Software-Lebenszyklus durchsetzen
- Bedrohungsmodellierung und Risikoanalyse für komplexe Systeme durchführen
- Secrets-Management und sichere Konfigurationsverwaltung in verteilten Systemen umsetzen
- Monitoring- und Alerting-Konzepte für Sicherheitsvorfälle (SIEM-Integration) einrichten
- Incident-Response-Prozesse im DevSecOps-Kontext etablieren und koordinieren
- Sicherheitslücken in Open-Source-Abhängigkeiten proaktiv erkennen und beheben
- Best Practices für sichere Authentifizierung, Autorisierung und API-Sicherheit anwenden
- Die internationale Zertifizierungsprüfung zum Certified DevSecOps Engineer erfolgreich ablegen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an IT-Fachleute mit Berufserfahrung in Softwareentwicklung, IT-Betrieb oder IT-Sicherheit, die ihre Kenntnisse in Richtung DevSecOps ausbauen und den Nachweis ihrer Kompetenzen durch eine international anerkannte Zertifizierung erbringen möchten.
- Entwicklerinnen und Entwickler, die Sicherheit als festen Bestandteil ihres Workflows integrieren wollen
- DevOps-Engineers und Platform Engineers, die ihre Pipelines und Infrastrukturen absichern möchten
- IT-Security-Fachleute, die den Übergang zu DevSecOps-Rollen anstreben
- Cloud Engineers und Systemarchitekten mit Interesse an Security-by-Design-Konzepten
- IT-Projektleiterinnen und -leiter, die DevSecOps-Teams aufbauen oder steuern
Teilnehmende sollten über solide Grundkenntnisse in der Softwareentwicklung sowie in Linux-basierten Betriebssystemen verfügen. Praktische Erfahrungen mit CI/CD-Werkzeugen, Container-Technologien (Docker) oder Cloud-Diensten sind hilfreich, aber nicht zwingend erforderlich. Grundlegendes Verständnis von Netzwerktechnologien und IT-Sicherheitskonzepten erleichtert den Einstieg erheblich. Vor Kursbeginn findet ein individuelles Beratungsgespräch statt, bei dem ein persönlicher Lernplan auf Basis der vorhandenen Kenntnisse und beruflichen Ziele erstellt wird. Der Anbieter unterstützt zudem bei der Vorbereitung der Bewerbungsunterlagen und der Stellensuche nach Kursabschluss.
Ablauf & Abschluss
Der Kurs wird überwiegend im Combined-Learning-Format durchgeführt, das heißt, Präsenz- und Online-Anteile sind sinnvoll miteinander verzahnt. Theoretische Inhalte werden in kompakten, gut strukturierten Einheiten vermittelt, gefolgt von umfangreichen Hands-on-Labors in einer dedizierten Übungsumgebung. Gruppenarbeit, Fallstudien und Simulationen realer Angriffsszenarien sorgen für einen hohen Praxisbezug. Der Kurs findet vorwiegend in Vollzeit statt; Teilzeitvarianten sind auf Anfrage verfügbar. Die Kurssprache ist Deutsch; Fachbegriffe und Prüfungsunterlagen werden auf Englisch behandelt, da die internationale Zertifizierungsprüfung in englischer Sprache abgelegt wird.
Die Weiterbildung umfasst in der Regel einen Zeitraum von mehr als einem Monat bis zu drei Monaten, abhängig vom gewählten Lernformat (Vollzeit oder Teilzeit). Der genaue Zeitplan wird individuell im Vorbereitungsgespräch festgelegt. Vollzeitvarianten ermöglichen einen kompakteren Abschluss, während Teilzeitkurse eine bessere Vereinbarkeit mit beruflichen Verpflichtungen bieten. Alle Lernziele und Prüfungsinhalte werden innerhalb des vereinbarten Zeitrahmens vollständig abgedeckt.
Der Kurs schließt mit einer internationalen Herstellerzertifizierung zum Certified DevSecOps Engineer ab, die von der Industrie weithin anerkannt ist. Zusätzlich erhalten Teilnehmende ein Lehrgangszertifikat des Bildungsträgers. Die Zertifizierungsprüfung wird in englischer Sprache abgenommen und prüft sowohl konzeptionelles Wissen als auch die Fähigkeit, DevSecOps-Prinzipien auf reale Szenarien anzuwenden. Das Zertifikat ist international gültig und dokumentiert die Qualifikation für Positionen als DevSecOps Engineer, Security Engineer oder Platform Security Engineer.
Nutzen & Perspektiven
Der Abschluss als Certified DevSecOps Engineer öffnet Türen in einen der gefragtesten Bereiche der modernen IT-Industrie. Sicherheit in den Entwicklungsprozess zu integrieren ist keine Kür mehr, sondern eine grundlegende Anforderung in nahezu allen Branchen — von der Finanzwirtschaft über die Industrie bis hin zur öffentlichen Verwaltung. Mit dieser Zertifizierung positionieren sich Absolventen als Fachleute, die Entwicklungs- und Sicherheitsteams verbinden und eine Brückenfunktion übernehmen können, die in vielen Unternehmen dringend gesucht wird. Durch die praxisnahe Ausbildung sind Absolventen unmittelbar einsatzfähig: Sie kennen reale Werkzeuge, haben typische Sicherheitsprobleme in Labors gelöst und können von Tag eins an im neuen Team einen Mehrwert liefern. Das international anerkannte Zertifikat unterstützt nicht nur die Bewerbung bei Unternehmen in Deutschland, sondern öffnet auch internationale Karrierewege in einem Berufsfeld, das weltweit wächst. Bei Kursen, die bei AZAV-zertifizierten Bildungsträgern angeboten werden, ist eine Förderung über den Bildungsgutschein der Bundesagentur für Arbeit oder der Jobcenter möglich. Je nach individueller Situation kommen auch das Qualifizierungschancengesetz, Leistungen zur beruflichen Rehabilitation oder Förderungen der Deutschen Rentenversicherung in Betracht. Das Beratungsgespräch vor Kursbeginn klärt alle Förderoptionen und hilft bei der Beantragung der entsprechenden Mittel.
Häufig gestellte Fragen (FAQ)
Welche Vorkenntnisse werden für diesen Kurs empfohlen?
Solide Grundkenntnisse in der Softwareentwicklung und in Linux-Systemen sind empfehlenswert. Praxiserfahrung mit Docker, CI/CD-Tools oder Cloud-Diensten ist hilfreich, wird aber nicht vorausgesetzt. Im individuellen Beratungsgespräch vor Kursbeginn wird der genaue Einstiegspunkt gemeinsam festgelegt.
Wird der Kurs auf Englisch oder Deutsch unterrichtet?
Der Unterricht findet überwiegend auf Deutsch statt. Fachbegriffe, Tool-Dokumentationen und die abschließende Zertifizierungsprüfung sind jedoch auf Englisch, da es sich um eine international anerkannte Herstellerzertifizierung handelt. Solide Lesekenntnisse im Englischen sind daher empfehlenswert.
Ist dieser Kurs über einen Bildungsgutschein förderbar?
Bei AZAV-zertifizierten Anbietern ist eine Förderung über den Bildungsgutschein der Bundesagentur für Arbeit oder der Jobcenter möglich. Darüber hinaus kommen je nach persönlicher Situation auch das Qualifizierungschancengesetz oder Leistungen der Deutschen Rentenversicherung in Betracht. Das Beratungsgespräch klärt alle Förderwege individuell ab.
Wie unterscheidet sich DevSecOps von klassischem IT-Security-Training?
Klassische IT-Security-Ausbildungen fokussieren sich oft auf Abwehr und Analyse nach Fertigstellung von Software. DevSecOps integriert Sicherheit von Beginn an in den Entwicklungsprozess — durch automatisierte Checks, sichere Code-Praktiken und kontinuierliches Monitoring. Absolventen dieses Kurses können Entwicklungs- und Security-Teams effektiv verbinden.
Welche Berufsperspektiven eröffnet die Zertifizierung?
Die Zertifizierung qualifiziert für Positionen als DevSecOps Engineer, Security Engineer, Platform Security Engineer oder Cloud Security Engineer. Die Nachfrage nach diesen Profilen wächst branchenübergreifend stark — von Softwareunternehmen über Banken bis hin zu Behörden — und das Zertifikat ist international anerkannt.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- DevOps Engineer6.109 Stellen
- Data Engineer5.110 Stellen
- CNC-Fachkraft/NC-Anwendungsfachmann / CNC-Fachkraft/NC-Anwendungsfachfrau3.222 Stellen
- Security Engineer2.060 Stellen
- Fachplaner/Fachplanerin für Energie- und Gebäudetechnik678 Stellen
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin338 Stellen