Überblick
Dieser Kurs bereitet Sie auf zwei Zertifizierungen aus unterschiedlichen, aber eng verwandten Domänen vor: den Certified in Risk and Information Systems Control (CRISC) des ISACA und die EXIN Certified Business Analyst (EXIN CBA)-Zertifizierung. Der CRISC gilt als eine der anspruchsvollsten IT-Risikozertifizierungen weltweit; er adressiert Fachkräfte, die IT-Risiken unternehmensweit identifizieren, bewerten, reagieren und überwachen. Die EXIN-Business-Analyst-Zertifizierung ergänzt diese risikogetriebene Perspektive um die Fähigkeit, Anforderungen strukturiert zu erheben, Stakeholder-Interessen zu analysieren und Lösungen zu spezifizieren. Zusammen bilden beide Zertifizierungen ein Profil, das IT-Governance, Risikomanagement und die Analyse von Geschäftsprozessen verbindet — gefragt in Unternehmen, die IT-Projekte nicht nur kontrollieren, sondern auch fachlich solide konzipieren wollen.
Kursinhalte & Lernziele
Modul 1 — CRISC Domäne 1 und 2 — Governance und IT-Risikobeurteilung Die ersten beiden CRISC-Domänen bilden das konzeptionelle Fundament. Sie erarbeiten, wie IT-Risikomanagement in übergreifende Unternehmens-Governance-Strukturen eingebettet wird, und lernen, Risiken systematisch zu identifizieren, zu analysieren und zu dokumentieren. Der Schwerpunkt liegt auf dem Zusammenspiel zwischen IT-Risiko und strategischen Unternehmenszielen.
- IT-Risikostrategie und Risikotoleranz: Definition und Verankerung in der Governance
- COBIT 2019: Domänenübersicht und Anwendung auf IT-Risikomanagement
- Risikoidentifikation: Threat-Kataloge, Vulnerability-Datenbanken und Szenarioanalyse
- Qualitative und quantitative Risikobeurteilung: Eintrittswahrscheinlichkeit, Auswirkungsanalyse
- Risikoregister strukturieren und regelmäßig aktualisieren
- Key Risk Indicators (KRIs): Auswahl, Definition und Schwellenwerte
Modul 2 — CRISC Domänen 3 und 4 — Risikoreaktion, Reporting und Kontrollen Die zweiten zwei CRISC-Domänen fokussieren auf das Management von Risikoreaktionen und die Implementierung und Überwachung von IT-Kontrollen. Sie lernen, wie Kontrollrahmenwerke (NIST 800-53, ISO 27001) strukturiert sind, wie Kontrollwirksamkeit gemessen wird und wie Risikoreporting für verschiedene Stakeholder-Ebenen aufbereitet wird.
- Reaktionsstrategien: Risikominderung, Risikovermeidung, Transfer und Akzeptanz
- Kontrolldesign: Präventiv, detektiv, korrektiv — Kontrollkategorien im Praxisbezug
- NIST 800-53 und ISO 27001 Annex A: Kontrollkataloge im Vergleich
- IT-Risiko-Reporting: Dashboards, Heat Maps und Management-Zusammenfassungen
- Residualrisiko überwachen: Eskalationsprozesse und Risikokommunikation
- Internes Audit und Kontrolltesting: Methoden und Nachweisdokumentation
Modul 3 — EXIN Certified Business Analyst — Anforderungsmanagement und Stakeholder-Analyse Der Business-Analysis-Teil startet mit den Kerntechniken der strukturierten Anforderungserhebung. Sie lernen, Stakeholder zu identifizieren, deren Bedürfnisse zu strukturieren und Anforderungen so zu dokumentieren, dass sie für IT-Entwicklung und Projektmanagement nutzbar sind.
- Stakeholder-Analyse: Stakeholder-Map, Power-Interest-Grid, Kommunikationsplanung
- Anforderungserhebungstechniken: Interviews, Workshops, Beobachtung, Dokumentenanalyse
- Anforderungstypen: funktionale, nicht-funktionale, Business-, Stakeholder- und Lösungsanforderungen
- Use Cases und User Stories: Format, Detaillierungsgrad und Qualitätskriterien
- Anforderungspriorisierung: MoSCoW-Methode, Risikobewertung, Stakeholder-Abstimmung
- Anforderungsspezifikation (BRD/FRD) erstellen und kommunizieren
Modul 4 — EXIN Certified Business Analyst — Prozessanalyse, Lösungsbewertung und BA-Praxis Die zweite BA-Hälfte vertieft Prozessmodellierung und Lösungsbewertung. Sie lernen, Geschäftsprozesse mit BPMN zu modellieren, Soll-Prozesse zu entwerfen und Lösungsalternativen anhand von Nutzen- und Risikoanalysen zu bewerten. Der CRISC-Kontext wird direkt eingebracht: Risikoanforderungen aus der IT-Governance werden als Klasse von Anforderungen behandelt.
- BPMN 2.0: Notation, Swimlanes, Gateways, Ereignisse — Modellierungspraxis
- Ist-Analyse und Gap-Analyse: Prozessvergleich und Optimierungspotenziale
- Lösungsbewertung: Nutzwertanalyse, Kosten-Nutzen-Analyse, ROI-Betrachtung
- Traceability: Anforderungen durch das Projektleben verfolgen
- Risikoanforderungen als BA-Kategorie: Compliance-Anforderungen in Systemspezifikationen überführen
- Agile BA-Praktiken: Product Backlog, Akzeptanzkriterien, Definition of Done
Praxisblock — CRISC und BA im gemeinsamen Projektszenario
- Risikobeurteilung für ein geplantes IT-System (kombinierter CRISC-/BA-Ansatz)
- Risikoanforderungen aus einem CRISC-Risikoregister in funktionale Systemanforderungen überführen
- Stakeholder-Analyse für ein IT-Governance-Projekt
- Kontrolldesign auf Basis einer BPMN-Prozessmodellierung
- Key Risk Indicators für ein CRM-System definieren und mit KPIs verknüpfen
- Use Cases für ein Compliance-Management-System erstellen
- Kosten-Nutzen-Analyse einer Sicherheitsinvestition unter Berücksichtigung des Risikoappetits
- Business Requirements Document (BRD) für ein IT-Risikomanagement-Tool verfassen
- CRISC-Risikoregister aus einer fiktiven BPMN-Schwachstellenanalyse ableiten
- Management-Risikobericht auf Basis von BA-Analyseergebnissen erstellen
- Kontrollwirksamkeits-Review für einen bestehenden Prozess mit BA-Methodik
- Anforderungspriorisierung unter Compliance-Druck: MoSCoW vs. Risikopriorität
Der Praxisblock demonstriert den zentralen Mehrwert dieser Kombination: IT-Risikomanagement (CRISC) und Business Analysis (EXIN CBA) werden oft in getrennten Silos betrieben. Wer beide Perspektiven integrieren kann, schließt die Lücke zwischen der Risikogovernance-Ebene und der operativen Systemgestaltung — und verhindert, dass Compliance-Anforderungen erst in der Implementierungsphase als Anforderungen auftauchen. Die Projektarbeit orientiert sich an realistischen IT-Projektszenarien und zeigt, wie CRISC-Methodik und BA-Techniken sich gegenseitig verstärken, anstatt parallel nebeneinander zu laufen.
Lernziele:
- Die vier CRISC-Domänen (Governance, IT-Risikobeurteilung, Risikoreaktion und -reporting, IT-Risiko und -Kontrolle) vollständig durcharbeiten
- IT-Risikorahmenwerke (COBIT, NIST RMF, ISO 31000) auf Unternehmensszenarien anwenden
- IT-Kontrollkonzepte entwickeln und deren Wirksamkeit bewerten
- Risikoappetit und Risikoentscheidungen gegenüber dem Management artikulieren
- Anforderungen nach dem Business-Analysis-Standard (BABOK) strukturiert erheben und dokumentieren
- Stakeholder-Analysen durchführen und Interessenslagen in Anforderungen übersetzen
- Use Cases, User Stories und Prozessmodelle (BPMN) erstellen
- Lösungen bewerten und Entscheidungsunterstützung für IT-Investitionen liefern
- Risikoperspektive und Business-Analysis-Perspektive in Projekten integrieren
- KPIs und KRIs (Key Risk Indicators) für IT-Systeme definieren und monitoren
- Audit- und Compliance-Anforderungen in Systemanforderungen überführen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an IT-Governance- und Analysefachkräfte, die IT-Risikomanagement auf ISACA-Niveau mit strukturierter Business-Analysis-Kompetenz verbinden möchten.
- IT-Risikomanager und IT-Auditoren, die ihren Analyse-Werkzeugkasten erweitern möchten
- Business-Analysten, die verstärkt in IT-Governance- und Compliance-Projekten arbeiten
- IT-Projektmanager, die Risiko- und Anforderungsanalyse in einem Projekt koordinieren
- Compliance-Beauftragte, die IT-Risiken in Systemanforderungen überführen müssen
- IT-Berater, die Unternehmen bei Governance-Projekten unterstützen
Für den CRISC-Teil empfiehlt ISACA mindestens drei Jahre Berufserfahrung in IT-Risikomanagement und IS-Kontrollmanagement, verteilt über mindestens zwei CRISC-Domänen. Grundkenntnisse in IT-Governance-Frameworks (COBIT, ISO 27001) sind von Vorteil. Für den EXIN-Certified-Business-Analyst-Teil sind erste Erfahrungen im Projektmanagement oder in der IT-Systemgestaltung empfehlenswert. Die formalen CRISC-Prüfungsvoraussetzungen (Mindestberufserfahrung) sind unabhängig vom Kursbesuch zu erfüllen.
Ablauf & Abschluss
Der Kurs findet als Live-Veranstaltung im virtuellen Klassenzimmer statt. Praxiserfahrene Dozierende leiten durch die Theorieblöcke beider Domänen und verbinden sie durch gemeinsame Fallstudien. Für den CRISC-Teil werden Szenarien aus der IT-Governance-Praxis genutzt; für den BA-Teil werden Modellierungstools (z. B. Lucidchart, draw.io) und Anforderungsmanagement-Templates eingesetzt. Die kombinierten Fallstudien im Praxisblock sind bewusst so gestaltet, dass beide Domänen ineinandergreifen.
Der Kurs wird in Vollzeit durchgeführt. Die genaue Gesamtdauer richtet sich nach dem individuell gewählten Modulumfang. CRISC-Prüfung (ISACA) und EXIN-CBA-Prüfung werden nach Kursabschluss separat angemeldet.
Das Kursziel sind zwei externe Zertifizierungen: CRISC des ISACA und EXIN Certified Business Analyst. Die CRISC-Prüfung wird bei ISACA abgelegt, die EXIN-CBA-Prüfung bei einem akkreditierten EXIN-Testcenter. Zusätzlich erhalten Absolventinnen und Absolventen eine qualifizierte Teilnahmebescheinigung des Bildungsträgers.
Nutzen & Perspektiven
CRISC und EXIN CBA sind auf den ersten Blick ungewöhnliche Partner — IT-Risikomanagement und Business Analysis scheinen verschiedene Welten. Doch in der Praxis entstehen genau an dieser Schnittstelle die häufigsten Probleme: Risikoanforderungen werden zu spät in der Projektplanung erkannt, weil die BA-Phase sie nicht aufnimmt; oder Sicherheitskontrollen scheitern, weil sie fachlich falsch spezifiziert wurden. Wer beide Disziplinen beherrscht, verhindert diese Fehler systematisch. Für die Karriere bedeutet diese Kombination, dass man in IT-Projekten eine einzigartige Brückenfunktion einnehmen kann: von der Governance-Seite (Was sind die regulatorischen und Risikorahmen?) bis zur operativen Anforderungsanalyse (Was muss das System tun, um diese Rahmenbedingungen zu erfüllen?). Diese Funktion ist in regulierten Branchen wie Finanz, Versicherung und Gesundheitswesen besonders wertvoll, wo Compliance-Anforderungen direkte Systemauswirkungen haben. Langfristig stärkt das CRISC-Zertifikat die Position in Senior-Governance-Rollen erheblich: Es signalisiert, dass man IT-Risiken nicht nur versteht, sondern sie auch unternehmerisch steuern kann. In Kombination mit der strukturierten Anforderungskompetenz aus dem EXIN CBA entsteht ein Profil, das sowohl für interne IT-Leitungspositionen als auch für externe Beratungsmandate attraktiv ist.
Häufig gestellte Fragen (FAQ)
Was ist der CRISC und wer stellt ihn aus?
Der CRISC (Certified in Risk and Information Systems Control) ist eine Zertifizierung des ISACA, einem internationalen Verband für IT-Governance und -Audit. Er gilt als eine der gefragtesten IT-Risikozertifizierungen weltweit und adressiert vier Domänen: Governance, IT-Risikobeurteilung, Risikoreaktion und -reporting sowie IT-Risiko und -Kontrolle.
Was bescheinigt der EXIN Certified Business Analyst?
Der EXIN CBA bescheinigt die Fähigkeit, Geschäftsanforderungen strukturiert zu erheben, zu dokumentieren und in umsetzbare Lösungsspezifikationen zu überführen. Er orientiert sich am BABOK-Standard (Business Analysis Body of Knowledge) des IIBA und wird von EXIN, einem niederländischen IT-Zertifizierungsinstitut, vergeben.
Für welche Branchen ist diese Kombination besonders relevant?
Besonders gefragt ist dieses Profil in regulierten Branchen wie Finanzdienstleistungen, Versicherung, Gesundheitswesen und öffentliche Verwaltung — überall dort, wo Compliance-Anforderungen direkte Auswirkungen auf IT-Systeme haben und strukturierte Anforderungsanalyse unverzichtbar ist.
Muss ich für den CRISC eine bestimmte Berufserfahrung nachweisen?
ISACA verlangt für die CRISC-Zertifizierung mindestens drei Jahre Berufserfahrung in IT-Risikomanagement und IS-Kontrollmanagement, verteilt auf mindestens zwei der vier Domänen. Kursabschluss ohne diese Berufserfahrung qualifiziert zunächst für einen CRISC-Kandidatenstatus.
Wie unterscheidet sich der CRISC vom CISM (Certified Information Security Manager)?
Beide sind ISACA-Zertifizierungen, aber mit unterschiedlichem Fokus: CISM adressiert das Management von Informationssicherheitsprogrammen (Design, Governance, Incident Management), während CRISC spezifisch auf IT-Risikomanagement und Kontrollen fokussiert ist. Beide ergänzen sich gut, sind aber inhaltlich klar getrennt.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Sicherheits-Branche wächst stabil — Wachpersonal, Objektschutz, Veranstaltungssicherheit. Einstieg ist mit Sachkundenachweis §34a GewO schnell möglich, Aufstieg primär über Spezialisierung (Personenschutz, IT-Security-Operations).
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Business Analyst (IT)2.245 Stellen
- Fachkraft für Schutz und Sicherheit1.673 Stellen
- Cyber-Security-Consultant528 Stellen
- Business-Intelligence-Consultant213 Stellen
- Business-Continuity-Manager/Business-Continuity-Managerin5 Stellen
- IT-Sicherheitsbeauftragter3 Stellen