Überblick
Diese Weiterbildung verbindet zwei Disziplinen, die auf den ersten Blick unverbunden erscheinen, in der IT-Praxis jedoch eng zusammenwirken: die offensive Sicherheitskompetenz des Certified Ethical Hacker (CEH) von EC-Council und die strukturierte Analyse- und Governance-Kompetenz des EXIN Certified Business Analyst. Während der CEH-Teil Sicherheitsprofis mit dem Werkzeugkasten des ethischen Hackens ausstattet und ihnen ermöglicht, Schwachstellen aus Angreifer-Perspektive zu identifizieren, schult der Business-Analyst-Teil nach EXIN-Standard die Fähigkeit, IT-Systeme und Geschäftsprozesse systematisch zu analysieren, Anforderungen zu erheben und Sicherheitsrisiken in betriebliche Entscheidungsprozesse zu übersetzen. Zusammen entsteht ein Profil, das technische Tiefe mit strategischer Analysekompetenz verbindet.
Kursinhalte & Lernziele
Modul 1 — CEH: Reconnaissance, Scanning und Schwachstellenanalyse Der CEH-Teil beginnt mit den grundlegenden Techniken der Informationsgewinnung und des systematischen Scannings. Die Teilnehmer erarbeiten sich ein Verständnis dafür, wie Angreifer Zielsysteme erkunden — und wie man diese Aktivitäten erkennt und unterbindet.
- Ethical-Hacking-Grundlagen: Terminologie, Rechtslage, Phasendefinition
- Footprinting und Reconnaissance: DNS-Analyse, Google-Dorking, OSINT-Techniken
- Netzwerk-Scanning: Ping-Sweeps, Port-Scanner, Fingerprinting von Betriebssystemen
- Enumeration: Aufzählung von Diensten, Nutzern und Freigaben über SMB, LDAP, SNMP
- Schwachstellen-Analyse: CVE/CVSS-Grundlagen, automatisierte Scanner, manuelle Prüfpunkte
Modul 2 — CEH: Exploitation und Netzwerksicherheit Dieser Block vertieft die technischen Angriffspfade auf System- und Netzwerkebene. Besonderer Fokus liegt auf Techniken, die in realen Angriffen häufig eingesetzt werden, und den entsprechenden Schutzmaßnahmen.
- System-Hacking: Passwort-Angriffe, Rootkits, Backdoors, Anti-Forensik-Techniken
- Malware und Social Engineering: Trojaner, Phishing-Szenarien, physische Angriffe
- Denial-of-Service, Session Hijacking und Sniffing-Techniken
- Web-Server- und Web-Applikations-Angriffe: OWASP-Kategorien, SQL-Injection, XSS
- Cloud, IoT und mobile Plattformen: Angriffsvektoren und Abwehrtechniken in modernen Umgebungen
Modul 3 — EXIN Certified Business Analyst: Grundlagen und Anforderungsmanagement Das EXIN-Certified-Business-Analyst-Zertifikat schult die Fähigkeit, zwischen Fachbereichen und IT zu vermitteln. Anforderungsmanagement ist dabei die Kernkompetenz: präzises Erheben, Dokumentieren und Validieren von Anforderungen verhindert teure Nachbesserungen und schafft die Grundlage für sichere, funktionierende IT-Systeme.
- Rolle und Aufgabenfeld des Business Analysts nach EXIN-Standard
- Anforderungserhebungstechniken: Interviews, Workshops, Shadowing, Dokumentenanalyse
- Anforderungsdokumentation: User Stories, Use Cases, Funktionale und Nicht-Funktionale Anforderungen
- Anforderungsvalidierung und -priorisierung: MoSCoW-Methode, Stakeholder-Abstimmung
- Anforderungsmanagement im Projektlebenszyklus: agil und klassisch
Modul 4 — EXIN Certified Business Analyst: Prozessanalyse, Governance und Risiko Business Analysts analysieren nicht nur Anforderungen, sondern auch Prozesse und Risiken. Dieser Block verbindet die Governance-Dimension des EXIN-Frameworks mit dem Sicherheitsfokus des CEH-Teils.
- Prozessmodellierung: BPMN-Grundlagen, Ist-/Soll-Analyse, Gap-Analysen
- IT-Governance-Rahmenwerke: COBIT, ISO/IEC 27001 als Kontext für sichere Systeme
- Risikomanagement im Business-Analyst-Kontext: Identifikation, Bewertung, Minderung
- Stakeholder-Management: Kommunikationsplanung, Erwartungsmanagement, Konfliktlösung
- Übersetzung technischer Sicherheitsbefunde in Managementberichte und Entscheidungsvorlagen
Modul 5 — Praktische Übungen Der Praxisteil verbindet technische Sicherheitsübungen mit analytischen Business-Analyst-Aufgaben und schafft ein ganzheitliches Verständnis für die Schnittstelle beider Disziplinen.
- Reconnaissance-Übungen: OSINT-Analyse eines fiktiven Unternehmens, Ergebnisdokumentation
- Vulnerability-Scanning: Einsatz von Nessus/OpenVAS auf Testsystemen, Befund-Priorisierung
- Systemhacking-Labor: Privilege Escalation und Post-Exploitation in isolierter VM-Umgebung
- Web-Applikationstest: manuelle SQL-Injection- und XSS-Tests mit Burp Suite
- Business-Analyse-Workshop: Anforderungserhebung für ein fiktives IT-Sicherheitsprojekt
- Prozessmodellierung: BPMN-Darstellung eines Incident-Response-Prozesses
- Gap-Analyse: Soll-/Ist-Vergleich einer Sicherheitsarchitektur anhand von ISO-27001-Kontrollen
- Risikoregister erstellen: Sicherheitsrisiken identifizieren, bewerten und dokumentieren
- Stakeholder-Kommunikation: technischen Pentest-Report in Executive Summary übersetzen
- Kombinations-Case-Study: Sicherheitsaudit mit anschließender Business-Analyst-Dokumentation
- Fallstudie IT-Governance: Compliance-Check einer fiktiven Unternehmensarchitektur
- Abschlussprojekt: vollständiger Sicherheits-Review-Prozess von der Reconnaissance bis zum Management-Report
Die enge Verknüpfung technischer Hacking-Übungen mit analytischen Business-Analyst-Aufgaben bereitet die Teilnehmer darauf vor, die häufig fehlende Brücke zwischen Security-Teams und Management zu bauen — eine Schlüsselkompetenz in wachsenden IT-Sicherheitsabteilungen.
Lernziele:
- Die Methodik des Ethical Hacking nach EC-Council-Standard verstehen und eigenständig auf Netzwerke, Systeme und Anwendungen anwenden
- Alle fünf Phasen eines Angriffszyklus — Erkundung, Scanning, Zugriff, Zugriffsmaintenance, Spuren verwischen — theoretisch und praktisch beherrschen
- Schwachstellen in Web-Applikationen, Datenbankservern und Netzwerkinfrastrukturen gezielt aufdecken
- Social Engineering, Phishing und Malware als menschliche und technische Angriffsvektoren einordnen
- Netzwerksicherheitskontrollen wie Firewalls, IDS und Honeypots auf ihre Wirksamkeit hin bewerten
- Die Rolle und Aufgaben eines Business Analysts nach EXIN-Rahmenwerk verstehen
- Anforderungen an IT-Systeme strukturiert erheben, dokumentieren und validieren
- Stakeholder-Kommunikation und -Management im Kontext von IT-Projekten gestalten
- Prozessmodellierung und Gap-Analysen zur Identifikation von Verbesserungspotenzialen einsetzen
- Sicherheitsrisiken in Geschäftsprozessen und IT-Systemanforderungen systematisch berücksichtigen
- IT-Governance-Konzepte und Frameworks (COBIT, ISO/IEC-Standards) als Rahmen für sichere IT-Systeme nutzen
- Technische Befunde aus Sicherheitsanalysen in entscheidungsrelevante Berichte für nichttechnische Stakeholder übersetzen
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an IT-Fachleute und Anforderungsanalysten, die an der Schnittstelle zwischen Sicherheitstechnik und IT-Governance arbeiten oder arbeiten möchten. Besonders geeignet ist er für
- IT-Sicherheitsexperten, die Analysekompetenz und Governance-Know-how ausbauen möchten
- Business Analysts, die ein tiefes Verständnis für IT-Sicherheitsrisiken entwickeln wollen
- IT-Projektleiter und -Koordinatoren mit Sicherheitsverantwortung
- Compliance- und Risikomanager in IT-intensiven Organisationen
- Quereinsteiger mit IT-Hintergrund, die in Beratungsrollen mit Sicherheitsbezug wechseln möchten
Für den CEH-Teil werden Grundkenntnisse in Netzwerktopologien (TCP/IP, OSI-Modell), Betriebssystemen und mindestens ein bis zwei Jahre IT-Berufserfahrung empfohlen. Der EXIN-Business-Analyst-Teil setzt analytisches Denkvermögen und grundlegendes Verständnis von IT-Projekten voraus. Vorkenntnisse in Projektmanagement oder Anforderungserhebung sind hilfreich, aber keine formale Voraussetzung.
Ablauf & Abschluss
Der Unterricht wechselt zwischen strukturierten Lehreinheiten, moderierter Gruppenarbeit und eigenständigen Übungsphasen in virtuellen Labors. Der CEH-Teil nutzt hands-on Hacking-Labors in isolierten Umgebungen; der Business-Analyst-Teil arbeitet mit Workshop-Simulationen, Fallstudien und Dokumentationsübungen. Live-Unterricht im virtuellen Klassenraum verbindet beide Schwerpunkte in Echtzeit; an den Standorten stehen vollausgestattete Arbeitsplätze zur Verfügung. Praxiserfahrene Dozenten begleiten die inhaltlich teils sehr unterschiedlichen Module.
Der Kurs ist als Vollzeitlehrgang über mehr als einen Monat bis drei Monate konzipiert. Flexible Start- und Teilzeitvarianten sind auf Anfrage verfügbar. Die Modulwahl bestimmt den genauen Umfang.
Der Kurs schließt mit einem trägerinternen Lehrgangs- und Teilnahmezertifikat ab. Er bereitet zudem auf die offizielle CEH-Zertifizierungsprüfung des EC-Council (v12/v13) sowie auf das EXIN-Certified-Business-Analyst-Examen vor. Beide Prüfungen werden unabhängig bei den jeweiligen Zertifizierungsstellen abgelegt.
Nutzen & Perspektiven
Das Profil, das dieser Kurs aufbaut, ist am Markt selten: jemand, der technische Schwachstellen nicht nur findet, sondern sie in den Kontext von Geschäftsprozessen einordnen und für Entscheidungsträger aufbereiten kann. In vielen Organisationen fehlt genau diese Brücke — Security-Teams und Business-Verantwortliche sprechen unterschiedliche Sprachen, und die Lücke kostet Zeit, Geld und Sicherheit. Wer CEH und EXIN Business Analyst kombiniert, ist in der Lage, einen Penetrationstest durchzuführen und dessen Ergebnisse anschließend in ein Risikoregister und eine Entscheidungsvorlage zu übersetzen. Das erhöht die eigene Einsatzbreite erheblich und öffnet Karrierewege in Security-Beratung, IT-Governance und Risikomanagement. Die strukturierte Anforderungserhebung nach EXIN-Standard hilft darüber hinaus dabei, Sicherheitsanforderungen in IT-Projekten von Anfang an korrekt zu definieren — eine Prävention, die oft wirkungsvoller ist als nachträgliche Audits.
Häufig gestellte Fragen (FAQ)
Warum kombiniert dieser Kurs CEH mit dem EXIN Business Analyst?
Weil IT-Sicherheit in der Praxis nicht isoliert von Geschäftsprozessen funktioniert. Wer Schwachstellen findet und zusätzlich analysieren kann, wie sie Geschäftsprozesse gefährden, und dieses Wissen verständlich kommuniziert, ist in Sicherheitsberatung und IT-Governance besonders gefragt.
Was ist der EXIN Certified Business Analyst?
Das EXIN Certified Business Analyst-Zertifikat bescheinigt Kompetenz in der strukturierten Anforderungserhebung, Prozessanalyse und Stakeholder-Kommunikation. Es ist ein international anerkannter EXIN-Standard für IT-Analysten und Brückenrollen zwischen Fachbereich und IT.
Ist der Kurs für Quereinsteiger geeignet?
Ja, für Quereinsteiger mit solider IT-Grundlage. Für den CEH-Teil werden grundlegende Netzwerk- und Betriebssystemkenntnisse erwartet. Der Business-Analyst-Teil ist auch für Fachleute ohne tiefes Sicherheitswissen zugänglich.
Werden beide Prüfungen im Kurs abgelegt?
Nein, die Prüfungen werden unabhängig von diesem Kurs bei den jeweiligen Zertifizierungsstellen abgelegt. Der Kurs bereitet auf beide Examina vor und stellt die erforderlichen Lernmaterialien bereit.
Welche Berufsfelder profitieren besonders von dieser Kombination?
Besonders profitieren Sicherheitsberater, Compliance-Manager, IT-Projektleiter mit Sicherheitsverantwortung und alle, die an der Schnittstelle zwischen technischen Security-Teams und nicht-technischen Entscheidungsträgern arbeiten.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Security Consultant992 Stellen
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin338 Stellen
- Chief-Information-Security-Officer103 Stellen
- Ethical Hacker33 Stellen
- IT-Sicherheitsanalyst2 Stellen