Überblick
Diese Weiterbildung verbindet zwei komplementäre Disziplinen der IT-Sicherheit: das strategische Risikomanagement nach dem ISACA-Framework CRISC und die operative Angriffssimulation nach dem CompTIA-Standard PenTest+. Während CRISC die Fähigkeit schärft, IT-Risiken systematisch zu identifizieren, zu bewerten und durch gezielte Kontrollmaßnahmen zu steuern, vermittelt CompTIA PenTest+ (Prüfungscode PT0-003) das technische Handwerkszeug für autorisierte Penetrationstests und Schwachstellenanalysen. Wer beide Kompetenzen beherrscht, versteht IT-Sicherheit sowohl aus der Perspektive des Risikocontrollings als auch aus der Sicht desjenigen, der Angriffswege aktiv sucht — eine Kombination, die in modernen Security-Teams zunehmend gefragt ist.
Kursinhalte & Lernziele
Modul CRISC — Risikomanagement nach ISACA Das CRISC-Modul vermittelt das vollständige ISACA-Framework zum Management von IT-Risiken in Organisationen. Im Mittelpunkt steht die Frage, wie Risiken entstehen, wie sie messbar gemacht werden und welche Steuerungsmaßnahmen wirksam gegensteuern. Besonderer Wert liegt auf der Verknüpfung von IT-Risiken mit Unternehmenszielen und der klaren Abgrenzung zwischen Bedrohung, Schwachstelle und tatsächlichem Risikoereignis.
- IT Risk Identification: Bedrohungsquellen, Schwachstellen, Risikoregister führen und aktuell halten
- IT Risk Assessment: Eintrittswahrscheinlichkeit und Auswirkungsanalyse, Risikomatrizen und Scoring-Methoden
- Risk Response and Reporting: Risikoakzeptanz, -transfer, -minderung; Kontrollkatalog entwickeln
- Information Technology and Security: IT-Kontrollen, Governance-Strukturen, Audit-Schnittstellen
- Risikoappetit und Risikokapazität als strategische Steuerungsparameter der Unternehmensführung
- Integration von CRISC in bestehende GRC-Frameworks wie COBIT und ISO 27001
Modul CompTIA PenTest+ (PT0-003) Das PenTest+-Modul führt praxisnah durch den vollständigen Lebenszyklus eines autorisierten Penetrationstests. Es kombiniert konzeptionelles Wissen über Angriffsvektoren mit konkreten Übungen an realen Test-Umgebungen. Im Unterschied zu CRISC fokussiert dieses Modul auf die technische Ausführungsebene von Sicherheitsprüfungen — von der Auftragsklärung bis zum strukturierten Abschlussbericht, der sowohl technische als auch Management-Empfänger anspricht.
- Scoping, Rules of Engagement und rechtliche Rahmenbedingungen der Auftragsvereinbarung
- Reconnaissance: passive und aktive Informationssammlung, OSINT-Methoden für Ziel-Aufklärung
- Vulnerability Scanning mit nmap, OpenVAS und Metasploit-Framework
- Exploitation: Web-Anwendungen nach OWASP Top 10, Netzwerkdienste, Passwort-Angriffstechniken
- Post-Exploitation und Privilege Escalation in Windows Active Directory und Linux-Umgebungen
- Pentest-Abschlussbericht: Executive Summary, technischer Befundteil, Empfehlungsmatrix
Integrations-Block — Befunde aus dem Pentest in das Risikoregister überführen Ein zentrales Lernziel der Kombination besteht darin, Penetrationstest-Ergebnisse in CRISC-konforme Risikoaussagen zu übersetzen. Teilnehmende lernen, wie technische Schwachstellen in Risikokennzahlen überführt werden und wie Testergebnisse in Risikoregistern und Risikoberichten ihren Platz finden. Dieser Block stellt sicher, dass der operative Pentest-Befund nicht isoliert bleibt, sondern strategische Steuerungsentscheidungen informiert.
- Mapping von CVEs und CVSS-Scores auf die CRISC-Risikobewertungsmethodik
- Priorisierung von Schwachstellen nach geschäftlichem Impact für das Risikoregister
- Reporting-Strukturen für technische und nicht-technische Empfänger gestalten
- Kontrollmaßnahmen aus Testbefunden ableiten und in CRISC-Domäne 3 dokumentieren
- Compliance-Dokumentation für Audit-Anforderungen nach ISO 27001 und NIS2
Praktische Anwendungsszenarien im Kurs
- Aufbau und Pflege eines IT-Risikoregisters für ein fiktives Unternehmen
- Durchführung eines strukturierten Schwachstellen-Scans und Auswertung der Ergebnisse
- Entwicklung eines Risikobehandlungsplans aus Penetrationstest-Befunden
- Erstellung eines Pentest-Abschlussberichts mit Executive Summary und technischem Anhang
- Simulation eines Risikoworkshops mit Stakeholder-Kommunikation
- Analyse realer CVE-Einträge und Einordnung in das Risikomodell
- Erarbeitung von Kontrollempfehlungen auf Basis von CRISC-Domäne 3
- Nutzung von Metasploit für kontrollierte Exploits in Lab-Umgebungen
- Einsatz von Burp Suite für Web-Application-Testing
- Windows Active Directory: häufige Fehlkonfigurationen und Privilege Escalation
- Linux-Enumeration und Nachnutzung von Zugangsdaten
- Abschlussbericht nach CompTIA-Vorlage mit Empfehlungsmatrix
Das Lernformat kombiniert Theorie-Einheiten mit intensiven Übungsphasen an Labor-Umgebungen. Durch Fallstudien aus dem Unternehmensalltag entsteht ein konkretes Bild, wie Risikomanagement und offensive Sicherheitstests in der Praxis ineinandergreifen.
Lernziele:
- Die vier CRISC-Domänen (IT Risk Identification, IT Risk Assessment, Risk Response and Reporting, Information Technology and Security) im Überblick beherrschen
- Risiken in IT-Systemen und Geschäftsprozessen strukturiert identifizieren und dokumentieren
- Quantitative und qualitative Methoden der Risikobewertung anwenden
- Risikobehandlungsstrategien entwickeln und geeignete Kontrollmaßnahmen auswählen
- Risikoberichte für verschiedene Stakeholder verständlich aufbereiten und präsentieren
- Den Penetrationstest-Lebenszyklus von der Planung bis zur Berichterstattung vollständig durchführen
- Gängige Angriffstechniken (Enumeration, Exploitation, Post-Exploitation) im autorisierten Testrahmen einsetzen
- Skripte und Tools für automatisierte und manuelle Schwachstellentests nutzen
- Testergebnisse in strukturierten Berichten für technische und nicht-technische Zielgruppen aufbereiten
- Rechtliche und ethische Rahmenbedingungen von Penetrationstests kennen und einhalten
- Sicherheitslücken auf Basis von Testergebnissen priorisieren und in Risikomodelle überführen
- Beide Zertifizierungsexamen (CRISC und CompTIA PT0-003) inhaltlich vorbereiten
Zielgruppe & Voraussetzungen
Dieses Kombiprogramm spricht Personen an, die auf dem Weg zu verantwortungsvollen Positionen im IT-Sicherheitsbereich sind. Es eignet sich sowohl für Quereinsteigerinnen und Quereinsteiger mit IT-Grundlagen als auch für erfahrene IT-Fachleute, die ihr Profil gezielt um Risikomanagement- und Penetrationstest-Kompetenzen erweitern wollen.
- IT-Fachleute, die in Richtung Security Operations oder GRC wechseln möchten
- Systemadministratorinnen und -administratoren mit erstem Sicherheitsfokus
- Personen, die eine Tätigkeit als IT-Risikomanager oder Penetration Tester anstreben
- IT-Projektleitende, die Sicherheitsrisiken besser einschätzen und steuern wollen
- Absolventinnen und Absolventen technischer Studiengänge mit Interesse an IT-Security
Solide Grundkenntnisse in Netzwerktechnik (TCP/IP, Protokolle, Routing) und Betriebssystemen (Windows und Linux) sind empfehlenswert. Erfahrungen mit IT-Infrastrukturen erleichtern den Einstieg, sind aber keine zwingende Bedingung. Grundlegendes Verständnis von IT-Sicherheitskonzepten — etwa Firewalls, Verschlüsselung oder Zugriffskontrollen — hilft beim schnellen Anschluss an die CRISC-Inhalte. Für den PenTest+-Teil ist die Bereitschaft zur Arbeit in technischen Labor-Umgebungen erforderlich.
Ablauf & Abschluss
Der Unterricht findet im Combined-Learning-Format statt: Live-Einheiten im virtuellen Klassenzimmer wechseln sich mit Selbstlernphasen und technischen Übungen ab. Die Live-Einheiten sind interaktiv gestaltet — per Mikrofon, Kamera und Chat kann unmittelbar mit den Dozierenden kommuniziert werden. Für Lernende, die Präsenz bevorzugen, stehen PC-Arbeitsplätze in den Centern zur Verfügung; eine HomeOffice-Nutzung ist ebenfalls möglich. Praxiserfahrene Fachleute führen durch Theorie-Einheiten, Übungsphasen, Fallstudienarbeiten und Projektaufgaben — der Ablauf ähnelt in seiner Struktur einem klassischen Präsenzunterricht.
Der Kurs wird im Vollzeitmodell durchgeführt und erstreckt sich über mehr als einen Monat bis zu drei Monate. Die genaue Gesamtdauer ergibt sich aus der gewählten Modulkombination. Individuelle Teilzeit-Starttermine können auf Anfrage vereinbart werden.
Wer das Programm erfolgreich abschließt, erhält eine Teilnahmebescheinigung des Bildungsträgers. Darüber hinaus bereitet das Programm gezielt auf die externe Zertifizierungsprüfung CRISC der ISACA und die CompTIA PenTest+-Prüfung (Prüfungscode PT0-003) vor. Beide Prüfungen werden unabhängig vom Kurs bei akkreditierten Testzentren abgelegt. CRISC gilt als eine der renommiertesten IT-Risikomanagement-Zertifizierungen weltweit; CompTIA PenTest+ ist ein international anerkannter Nachweis für Penetrationstesting-Kompetenzen.
Nutzen & Perspektiven
Wer CRISC und CompTIA PenTest+ gemeinsam erwirbt, deckt zwei Seiten der IT-Sicherheit ab, die in der Praxis eng zusammengehören, aber selten in einer Person vereint sind: die strategische Risikoperspektive und die technische Angreiferperspektive. Unternehmen suchen zunehmend nach Fachkräften, die nicht nur Risiken benennen, sondern auch belegen können, welche Schwachstellen tatsächlich ausnutzbar sind — und umgekehrt, wie Testergebnisse in belastbare Risikomodelle übersetzt werden. CRISC allein öffnet Türen zu GRC-Rollen, IT-Audit-Positionen und Risk-Management-Funktionen in mittelständischen und großen Organisationen. CompTIA PenTest+ ergänzt dieses Profil um eine nachgefragte operative Fähigkeit, die besonders in Security-Teams und bei Managed-Security-Service-Providern gefragt ist. Die Kombination ermöglicht es, zwischen technischen Teams und Management-Ebene zu vermitteln — als Brücke zwischen Befund und Risikoentscheidung. Der Abschluss beider Zertifizierungen macht Absolventinnen und Absolventen zu glaubwürdigen Gesprächspartnern in Sicherheitsgesprächen auf allen Ebenen: von der technischen Analyse bis zur Vorstandspräsentation. In einem Arbeitsmarkt, der gut ausgebildete IT-Security-Fachleute händeringend sucht, ist diese doppelte Qualifikation ein konkret verwertbarer Vorteil.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen CRISC und CompTIA PenTest+?
CRISC (ISACA) ist ein strategisches Rahmenwerk zum Management von IT-Risiken in vier Domänen — von der Risikoidentifikation bis zum laufenden Monitoring. CompTIA PenTest+ ist eine operative Zertifizierung, die technische Fähigkeiten für autorisierte Penetrationstests nachweist. Zusammen decken sie sowohl die Governance- als auch die Ausführungsebene von IT-Sicherheit ab.
Welche Vorkenntnisse brauche ich für diesen Kurs?
Grundkenntnisse in Netzwerktechnik und Betriebssystemen sind empfehlenswert, aber keine formale Voraussetzung. Wichtig ist die Bereitschaft, in technischen Übungsumgebungen zu arbeiten. Quereinsteigende mit IT-Erfahrung haben typischerweise einen guten Einstieg.
Wie unterscheidet sich der aktuelle CompTIA PenTest+ von früheren Versionen?
Die aktuelle Prüfungsversion trägt den Code PT0-003 und setzt stärker auf Cloud-Sicherheit, moderne Webanwendungen und zeitgemäße Angriffsvektoren als frühere Versionen. Der Kurs orientiert sich an diesem aktuellen Prüfungsstand.
Kann ich den Kurs im Homeoffice absolvieren?
Ja. Der Unterricht findet im virtuellen Klassenzimmer statt; eine HomeOffice-Genehmigung liegt vor. Wer Präsenzlernplätze bevorzugt, kann auch die Lernzentren nutzen.
Wie läuft die CRISC-Zertifizierungsprüfung ab?
Die CRISC-Prüfung wird von der ISACA organisiert und unabhängig vom Kurs bei einem akkreditierten Testzentrum abgelegt. Sie besteht aus Multiple-Choice-Fragen, die alle vier CRISC-Domänen abdecken. Für die Zertifizierung ist neben der bestandenen Prüfung auch der Nachweis von Berufserfahrung im IT-Risikomanagement erforderlich.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Penetration Tester97 Stellen
- Spezialist/in - Industrie 4.068 Stellen
- IT-Compliance-Consultant14 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen
- IT-Sicherheitsbeauftragter3 Stellen