Überblick
Dieses Kursbündel vereint zwei komplementäre Ansätze zur IT-Sicherheit, die in der Praxis selten in einer Weiterbildung zusammengebracht werden: der Certified Ethical Hacker (CEH) des EC-Council beleuchtet Angreifertechniken und Penetration-Testing-Methoden; der ISTQB Advanced Level Security Tester ergänzt dies um die strukturierte, testbasierte Perspektive der Softwarequalitätssicherung. Beide Zertifizierungen adressieren IT-Sicherheit, aber aus grundlegend verschiedenen Blickwinkeln. Der CEH fragt: Wie dringt ein Angreifer in ein System ein? Der ISTQB Security Tester fragt: Wie teste ich systematisch, dass ein System den erwarteten Sicherheitsanforderungen genügt? Zusammen bilden sie ein vollständiges Werkzeugset für Fachleute, die Sicherheitslücken sowohl offensiv identifizieren als auch methodisch im Entwicklungs- und QA-Prozess verankern wollen.
Kursinhalte & Lernziele
Modul 1 – CEH: Grundlagen und Ethical-Hacking-Methodik Der Certified Ethical Hacker ist die global führende Zertifizierung für Penetration Testing und offensive Sicherheitsanalyse. CEH bildet die fünf Phasen eines Angriffs ab: Reconnaissance, Scanning, Gaining Access, Maintaining Access und Covering Tracks. Ethical Hacker, auch als White-Hat-Hacker bezeichnet, wenden dieselben Techniken wie Angreifer an – allerdings mit expliziter Genehmigung und dem Ziel, Schwachstellen vor dem Angreifer zu finden.
- Ethik und rechtlicher Rahmen für Penetration Testing: Genehmigungskonzepte, Scope-Definition, Haftungsfragen
- Footprinting und Reconnaissance: passive und aktive Informationserhebung über Zielsysteme
- Scanning von Netzwerken: Port-Scanning, Vulnerability-Scanning, OS-Fingerprinting
- Enumeration: Dienste, Benutzer, Freigaben und Konfigurationsschwächen aufdecken
- Systemhacking: Password-Cracking, Privilege Escalation, Backdoors und Rootkits
- Gegenmaßnahmen und Härtungsmaßnahmen für jede Angriffsphase
Modul 2 – CEH: Fortgeschrittene Angriffsvektoren Über den klassischen Netzwerkangriff hinaus deckt CEH eine breite Palette von Angriffsklassen ab, die für die heutige Bedrohungslandschaft zentral sind.
- Malware-Typen und -Analyse: Trojaner, Ransomware, Rootkits, Fileless Malware
- Sniffing und Man-in-the-Middle-Angriffe: ARP-Poisoning, SSL-Stripping, MITM-Prävention
- Social Engineering: Phishing-Kampagnen, Spear-Phishing, Vishing, Pretexting
- Web-Applikationshacking: SQL Injection, Cross-Site Scripting, OWASP Top 10
- Session Hijacking, Denial-of-Service und Distributed-DoS-Angriffe
- Cloud Hacking, Mobile Hacking und IoT-Sicherheitslücken im Überblick
Modul 3 – ISTQB Advanced Level Security Tester: Grundlagen und Testplanung Der ISTQB Advanced Level Security Tester richtet sich an erfahrene Softwaretesters, die Sicherheitstestaufgaben professionell übernehmen wollen. Er baut auf dem Foundation-Level-Wissen auf und vertieft die Testmethodik für Sicherheitsanforderungen erheblich.
- Sicherheitstestgrundlagen: Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität), Angreifermodelle
- Bedrohungsmodellierung: STRIDE, DREAD, Attack Trees als Basis für risikobasiertes Testen
- Sicherheitstest-Arten: Penetrationstest, Compliance-Audit, White-Box- und Black-Box-Ansätze, Fuzzing
- Testplanung und -spezifikation für sicherheitskritische Systeme
- Sicherheitsanforderungen aus Bedrohungsmodellen ableiten und in Testfälle übersetzen
- Testwerkzeuge für statische Analyse, dynamische Analyse und Netzwerk-Scanning im Vergleich
Modul 4 – ISTQB Advanced Level Security Tester: Durchführung und Berichterstattung Der praktische Teil der ISTQB Security Tester-Zertifizierung behandelt die Durchführung von Sicherheitstests, die Auswertung von Befunden und deren Einbettung in den Entwicklungs- und Release-Prozess.
- Durchführung von Penetrationstests nach ISTQB-Methodik: Scoping, Testing, Auswertung
- Web-Applikationssicherheitstesting: OWASP-Testguide, DAST-Werkzeuge, API-Sicherheitstests
- Security-Review und Code-Analyse: statische Analyse-Werkzeuge, manuelle Code-Reviews
- Bewertung von Sicherheitsbefunden nach Risiko und Kritikalität (CVSS-Scoring)
- Berichterstattung: Executive Summary, technische Detailberichte, Remediation-Empfehlungen
- Einbettung von Sicherheitstesting in agile Entwicklungsprozesse und CI/CD-Pipelines
Praxis-Block – Übungen und angewandte Szenarien
- Geführter Penetrationstest einer simulierten Webapplikation: Reconnaissance, Scanning, Exploitation
- Netzwerk-Scan mit gängigen Werkzeugen (Nmap, Wireshark-ähnliche Analysen) und Schwachstellenbewertung
- Web-Hacking-Labor: OWASP Top 10 Schwachstellen identifizieren und dokumentieren
- Social-Engineering-Szenario analysieren und Schutzmaßnahmen ableiten
- Bedrohungsmodell (STRIDE) für eine fiktive Webanwendung erstellen
- Testplan für einen Sicherheitstest nach ISTQB-Methodik vollständig ausarbeiten
- CVSS-Scoring für einen Satz von Vulnerabilities anwenden und priorisieren
- Penetrationstest-Report schreiben: Befunde, Risikobewertung, Empfehlungen
- Sicherheitstest in einen agilen Sprint-Plan integrieren und mit dem Entwicklungsteam abstimmen
- Gegenüberstellung CEH vs. ISTQB-Methodik: Wo ergänzen sich offensive und testbasierte Ansätze?
- Compliance-Test-Checkliste nach OWASP ASVS für eine API entwickeln
- Fallstudie: Vorfall analysieren, Angriffspfad rekonstruieren und ISTQB-konforme Testempfehlungen formulieren
Lernziele:
- CEH-Phasen des Ethical Hacking verstehen und auf reale Szenarien anwenden
- Reconnaissance-, Scanning- und Enumeration-Techniken professionell einsetzen
- Systemschwachstellen identifizieren und strukturierte Penetrationstests durchführen
- Web-Applikationsangriffe, Malware und Social Engineering analysieren und dokumentieren
- Cloud, Mobile und IoT-spezifische Angriffsvektoren bewerten
- Schutzmaßnahmen und Gegenmaßnahmen auf Basis von CEH-Erkenntnissen empfehlen
- ISTQB-Grundbegriffe der Sicherheitstestung im Advanced-Level-Kontext anwenden
- Sicherheitstestmethodik nach ISTQB-Standard planen, spezifizieren und durchführen
- Bedrohungsmodellierung und risikobasiertes Testen im Software-Entwicklungsprozess integrieren
- Sicherheitstestarten unterscheiden: Penetrationstest, Compliance-Test, Fuzzing, Security-Audit
- Befunde aus Sicherheitstests korrekt dokumentieren und in QA-Prozesse überführen
- Zusammenspiel von offensiver Sicherheitsforschung (CEH) und testbasierter Qualitätssicherung (ISTQB) gestalten
Zielgruppe & Voraussetzungen
Das Bündel richtet sich an IT-Sicherheitsfachleute und Softwaretester, die ihre Kompetenz im Bereich Sicherheitstesting auf Zertifizierungsniveau ausbauen wollen.
- IT-Sicherheitsanalysten, die systematisches Software-Sicherheitstesting in ihre Arbeit integrieren wollen
- Softwaretester mit ISTQB Foundation-Abschluss, die sich auf Security-Testing spezialisieren
- Penetration Tester, die ihre Erkenntnisse in strukturierte Testdokumentation nach ISTQB überführen wollen
- DevSecOps-Ingenieure, die offensive und qualitätssichernde Sicherheitsmethoden verbinden
- IT-Sicherheitsbeauftragte, die das Zusammenspiel von Pentesting und Softwarequalitätssicherung verstehen müssen
Für den CEH empfiehlt der EC-Council mindestens zwei Jahre Berufserfahrung in einem IT-Sicherheitsfeld oder den erfolgreichen Abschluss eines offiziellen EC-Council-Trainings. Grundkenntnisse in Netzwerken (TCP/IP, Protokolle, Betriebssysteme) sowie allgemeines Sicherheitswissen sind unbedingt erforderlich. Für den ISTQB Advanced Security Tester wird der ISTQB Foundation Level (CTFL) vorausgesetzt; idealerweise bringen Teilnehmende bereits praktische Testerfahrung mit. Gute Englischkenntnisse sind für Prüfungsmaterial und Fachliteratur hilfreich.
Ablauf & Abschluss
Beide Zertifizierungsbereiche werden im Live-Training mit starkem Hands-on-Anteil vermittelt. Der CEH-Teil nutzt laborbasierte Übungsszenarien, in denen Teilnehmende Angriffsszenarien in einer kontrollierten Umgebung selbst durchführen. Der ISTQB-Teil kombiniert Methodik-Lehreinheiten mit strukturierten Übungen zur Testplanung und Berichterstattung. Theorieeinheiten und Anwendungsphasen wechseln sich ab. Unterricht findet im virtuellen Klassenzimmer statt; physische Präsenz an Kursstandorten ist ebenfalls möglich.
CEH und ISTQB Advanced Level sind jeweils eigenständige Zertifizierungsprogramme, die zusammen eine umfangreiche Weiterbildung ergeben. Die genaue Dauer hängt von Anbieter und Modulkombination ab. Teilzeitvarianten sind verfügbar. CEH-Kurse umfassen typischerweise mehrere intensive Trainingswochen; ISTQB Advanced erfordert sowohl theoretische als auch praktische Vorbereitungszeit.
Absolventen erhalten ein Lehrgangszertifikat des Bildungsträgers, das beide Themenbereiche dokumentiert. Der Kurs bereitet auf zwei externe Prüfungen vor: den Certified Ethical Hacker (CEH) des EC-Council sowie den ISTQB Certified Tester Advanced Level Security Tester. Beide Prüfungen werden separat angemeldet und abgelegt. Das CEH-Zertifikat muss durch kontinuierliche Weiterbildung (Continuing Education) erneuert werden. Das ISTQB Advanced Security Tester-Zertifikat ist unbefristet gültig.
Nutzen & Perspektiven
CEH allein macht einen guten Penetration Tester. ISTQB Advanced Security Tester allein macht einen guten Sicherheitstester im Softwarelebenszyklus. Zusammen entsteht ein Profil, das in der Praxis selten ist: jemand, der weiß, wie Angreifer denken und handeln, und der gleichzeitig diese Perspektive in strukturierte, reproduzierbare Testprozesse überführen kann. Diese Brücke zwischen Offensive Security und Softwarequalitätssicherung ist es, die das Bündel von einer simplen Zertifikats-Ansammlung unterscheidet. In modernen DevSecOps-Umgebungen, in denen Sicherheitstests Teil der CI/CD-Pipeline sind, ist dieses kombinierte Wissen direkt einsetzbar. CEH-Kenntnisse helfen, realistische Bedrohungsmodelle zu konstruieren; ISTQB-Methodik hilft, diese Bedrohungsmodelle in nachvollziehbare, auditierbare Testfälle zu übersetzen. Das reduziert Sicherheitsrisiken systematisch, nicht punktuell. Wer beide Zertifikate hält, positioniert sich für Rollen, in denen Sicherheitsanalyse und Qualitätssicherung zusammenwachsen müssen: Security Engineers in Produktteams, Red-Team-Mitglieder mit Dokumentationspflichten oder Sicherheitsberater, die Kunden nicht nur Schwachstellen zeigen, sondern auch einen methodisch fundierten Testrahmen hinterlassen.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen CEH und ISTQB Advanced Security Tester?
CEH (Certified Ethical Hacker) ist eine offensive Zertifizierung, die Angreifertechniken und Penetration-Testing-Phasen abbildet. ISTQB Advanced Security Tester ist eine methodisch-qualitätssichernde Zertifizierung, die beschreibt, wie Sicherheitstests systematisch geplant, durchgeführt und dokumentiert werden. Beide ergänzen sich: CEH liefert das Angreifer-Denken, ISTQB den strukturierten Testrahmen.
Benötige ich den ISTQB Foundation Level für diesen Kurs?
Für den ISTQB Advanced Security Tester wird der ISTQB Foundation Level (CTFL) offiziell vorausgesetzt. Wer Foundation noch nicht hat, sollte diesen vorab oder parallel erwerben. CEH hat keine ISTQB-Voraussetzung.
Ist CEH für Einsteiger in die IT-Sicherheit geeignet?
CEH richtet sich an Personen mit mindestens zwei Jahren IT-Sicherheitserfahrung oder absolviertem EC-Council-Training. Absolute Einsteiger in die IT-Sicherheit sollten zuerst Grundlagen in Netzwerken und Betriebssystemen erwerben, bevor sie CEH angehen.
Wie kann ich den ISTQB Advanced Security Tester nach dem Kurs prüfen lassen?
ISTQB-Prüfungen werden über nationale Testingboards (in Deutschland GASQ oder ISQI) abgelegt. Die Prüfung findet schriftlich statt und besteht aus Multiple-Choice- und Essay-Aufgaben. Anmeldung und Prüfungsgebühr sind separat beim jeweiligen Board zu klären.
Gibt es Labore oder praktische Übungen im CEH-Teil?
Ja, CEH ist für seinen starken Hands-on-Anteil bekannt. Im Kurs sind laborbasierte Szenarien integriert, in denen Teilnehmende Angriffs- und Verteidigungstechniken in kontrollierten Umgebungen durchführen. Der EC-Council bietet offiziell auch die iLabs-Plattform für praktische CEH-Übungen an.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Engineer5.110 Stellen
- Chief-Information-Security-Officer103 Stellen
- Penetration Tester/in97 Stellen
- Ethical Hacker33 Stellen
- IT-Sicherheitsanalyst/in2 Stellen
- Security Tester/in1 Stellen