Überblick
Dieses Kombiprogramm verbindet CRISC — das ISACA-Framework für das unternehmensseitige Management von IT-Risiken — mit dem CCSP (Certified Cloud Security Professional) der (ISC)². Während CRISC Governance, Bewertung und Kontrolle von IT-Risiken in den Mittelpunkt stellt, adressiert CCSP die speziellen Sicherheitsanforderungen von Cloud-Architekturen und Cloud-Diensten. Für Fachleute, deren Organisationen Cloud-Infrastrukturen betreiben oder einführen, ist diese Kombination besonders schlüssig: Risikobewertungen lassen sich direkt auf Cloud-Umgebungen anwenden, und Cloud-Sicherheitsmaßnahmen fließen nahtlos in das IT-Risikoregister ein.
Kursinhalte & Lernziele
Modul CRISC — Governance und Steuerung von IT-Risiken Der CRISC-Teil legt den konzeptionellen Grundstein für ein systematisches IT-Risikomanagement, das weit über technische Schwachstellen hinausgeht. Teilnehmende lernen, Risiken im Geschäftskontext zu bewerten und Risikoentscheidungen so aufzubereiten, dass sie auf Führungsebene nachvollziehbar sind. Gerade in Cloud-affinen Organisationen ist es entscheidend, dass Governance-Strukturen die Dynamik von Cloud-Diensten — häufige Updates, geteilte Verantwortung, globale Datenflüsse — adäquat abbilden.
- Risikoidentifikation: Asset-Inventar, Bedrohungslandschaft, Angriffsvektoren im Unternehmenskontext
- Risikoabschätzung: Likelihood- und Impact-Bewertung, qualitatives und quantitatives Scoring
- Risikoreaktionsoptionen: Akzeptanz, Minderung, Transfer, Vermeidung — Entscheidungslogik
- Kontrollauswahl und -überwachung gemäß CRISC-Domäne 3 und 4
- Schnittstellen von CRISC zu COBIT, ISO 31000 und NIST-Frameworks
- Kontinuierliches Risikoreporting und KPI-Definition für IT-Risikosteuerung
Modul CCSP — Sicherheit in Cloud-Architekturen Das CCSP-Modul folgt dem offiziellen (ISC)²-Curriculum und behandelt alle sechs CCSP-Domänen. Der Fokus liegt auf der Entwicklung belastbarer Sicherheitsarchitekturen für Cloud-Plattformen sowie auf regulatorischen Anforderungen, die zunehmend auch Cloud-Anbieter und Cloud-Nutzer direkt betreffen. CCSP unterscheidet sich von herstellergebundenen Cloud-Zertifizierungen dadurch, dass es plattformunabhängig denkt und Governance als zentrales Prinzip verankert.
- Cloud-Konzepte und Architekturen: Public, Private, Hybrid, Multi-Cloud; Virtualisierung, Container
- Cloud-Datensicherheit: Klassifizierung, Verschlüsselung in Transit und at Rest, DRM, Data Loss Prevention
- Plattform- und Infrastruktursicherheit: Netzwerkkontrollen, Microservices, Serverless, IaC-Sicherheit
- Applikationssicherheit in der Cloud: SDLC-Integration, API-Sicherheit, DevSecOps-Prinzipien
- Cloud-Security-Operations: SOC, Incident Response, Forensik und Beweissicherung in Cloud-Umgebungen
- Rechtliche, Compliance- und Datenschutzaspekte: DSGVO, Cloud-Vertragsrecht, eDiscovery
Integrations-Block — CRISC und CCSP in der Praxis verbinden Ein gesonderter Abschnitt widmet sich der praxisorientierten Verzahnung von CRISC und CCSP. Organisationen, die Cloud-Dienste einsetzen, müssen ihre IT-Risikoregister um Cloud-spezifische Bedrohungen erweitern — dieser Block zeigt, wie das konkret geschieht und welche Bewertungsmethoden sich bewährt haben.
- Cloud-Risikokategorien und ihre systematische Einordnung in das CRISC-Risikoregister
- Shared Responsibility Model als Grundlage für die Zuordnung von Kontrollverantwortung
- Cloud-Auditierbarkeit und Nachweisführung für interne und externe Compliance-Prüfungen
- Risiko-Szenarien: Datenverlust, Fehlkonfiguration, Insider-Bedrohungen in Cloud-Umgebungen
- Sicherheitskontrollen für SaaS-Anwendungen im Rahmen von CRISC-Domäne 4
Praktische Szenarien und Fallstudien im Kurs
- Risikoregister für ein Unternehmen mit gemischter On-Prem/Cloud-Infrastruktur aufbauen
- Cloud-Security-Architecture-Review anhand des CSA Cloud Controls Matrix
- Incident-Response-Szenario in einer Multi-Cloud-Umgebung durchspielen
- Datenschutzfolgenabschätzung (DSFA) für einen SaaS-Dienst erarbeiten
- CRISC-Fallstudien mit Cloud-Bedrohungsszenarien
- Kontrollauswahl für eine Cloud-Migration mit CRISC-Domäne-3-Methodik
- Risikobewertung einer Fehlkonfiguration in einer Public-Cloud-Umgebung
- SOC-2-Anforderungen auf ein fiktives Cloud-Unternehmen anwenden
- Architekturreview: Zero-Trust-Konzepte in hybriden Cloud-Umgebungen
- Sicherheitsklauseln in Cloud-Verträgen erkennen und bewerten
- Abschluss-Fallstudie: Vorbereitung einer Risikobewertung für Cloud-Migrationsvorhaben
Die Inhalte werden durch Theorie-Einheiten, geleitete Übungen und Fallstudienarbeit vermittelt. Praxiserfahrene Fachleute stellen sicher, dass der Stoff in realistischen Organisationsszenarien verankert bleibt.
Lernziele:
- IT-Risiken nach dem CRISC-Rahmenwerk in vier Domänen strukturiert erfassen und steuern
- Qualitative und quantitative Methoden der IT-Risikoabschätzung sicher anwenden
- Risikobehandlungspläne mit geeigneten Kontrollmaßnahmen entwickeln und dokumentieren
- Risikoreporting für verschiedene Organisationsebenen gestalten
- Cloud-Konzepte, Bereitstellungsmodelle und Dienstleistungstypen (IaaS, PaaS, SaaS) aus Sicherheitsperspektive bewerten
- Datensicherheit, Datenschutz und Verschlüsselung in Cloud-Umgebungen implementieren
- Cloud-Sicherheitsarchitekturen und Kontrollframeworks (CSA CCM, ISO 27017) verstehen
- Identitäts- und Zugriffsmanagement in hybriden und Multi-Cloud-Umgebungen einrichten
- Compliance-Anforderungen für Cloud-Dienste (DSGVO, SOC 2, PCI DSS) berücksichtigen
- Risiken im Cloud-Lifecycle — von der Migration bis zur Außerbetriebnahme — bewerten
- CRISC-Risikobewertungsergebnisse auf Cloud-spezifische Bedrohungsszenarien anwenden
Zielgruppe & Voraussetzungen
Das Programm richtet sich an IT-Security-Fachleute und erfahrene IT-Spezialisten, die in Cloud-affinen Unternehmen arbeiten oder auf solche Rollen wechseln wollen. Auch Compliance- und Auditverantwortliche, die ihren technischen Hintergrund vertiefen möchten, profitieren stark von dieser Kombination.
- IT-Sicherheitsverantwortliche in Unternehmen mit Cloud-Infrastruktur
- Cloud-Architekten, die ihre Sicherheitskompetenz formalisieren wollen
- Risikomanager und GRC-Spezialisten mit Cloud-Berührungspunkten
- IT-Auditoren in Organisationen mit Cloud-Diensten
- Compliance-Beauftragte mit Fokus auf DSGVO und Cloud-Datenschutz
Kenntnisse in IT-Infrastruktur und Grundlagen der IT-Sicherheit sind empfehlenswert. Erfahrungen mit Cloud-Diensten — auch als Nutzer von AWS, Azure oder Google Cloud — erleichtern den Einstieg in das CCSP-Modul. Für CRISC sind keine spezifischen Vorkenntnisse zwingend; hilfreich ist ein grundlegendes Verständnis von IT-Governance und Risikobegriffen. Die (ISC)² empfiehlt für die spätere CCSP-Zertifizierung mindestens fünf Jahre IT-Berufserfahrung, davon drei Jahre in IT-Sicherheit.
Ablauf & Abschluss
Das Lernformat basiert auf virtualisierten Präsenz-Einheiten im Online-Klassenzimmer, ergänzt durch Selbstlernphasen. Dozierende mit Berufspraxis in Cloud-Sicherheit und IT-Governance führen durch Theorie-Blöcke, geleitete Fallstudienarbeit und interaktive Diskussionsrunden. Für Präsenz-Lernerinnen und -Lerner sind Arbeitsplätze in den Trainingszentren nutzbar; die HomeOffice-Option ist freigeschaltet. Der Ablauf entspricht in Struktur und Intensität einem klassischen Vollzeit-Kursformat.
Vollzeit-Weiterbildung mit einer Laufzeit von mehr als einem Monat bis zu drei Monaten. Die konkrete Dauer ist abhängig von der individuellen Modulauswahl. Teilzeitvarianten können auf Anfrage eingerichtet werden.
Nach dem Kurs erhalten Teilnehmende eine Teilnahmebescheinigung des Bildungsträgers. Das Programm ist auf die CRISC-Zertifizierungsprüfung der ISACA und die CCSP-Zertifizierungsprüfung der (ISC)² ausgerichtet. Beide Prüfungen werden unabhängig vom Kurs bei akkreditierten Stellen abgelegt. CRISC ist eine der weltweit anerkanntesten Zertifizierungen für IT-Risikomanager; CCSP gilt im Cloud-Security-Bereich als Goldstandard und wird von (ISC)² gemeinsam mit der Cloud Security Alliance (CSA) entwickelt.
Nutzen & Perspektiven
Die Kombination aus CRISC und CCSP ist besonders für Fachleute relevant, die in Unternehmen mit wachsendem Cloud-Anteil Verantwortung für Sicherheits- und Risikoentscheidungen übernehmen wollen. Cloud-Migration ist in den meisten Branchen kein Zukunftsprojekt mehr, sondern gelebte Realität — und damit steigt der Bedarf an Sicherheitsfachleuten, die das Risikoregister kennen und gleichzeitig die technischen Spezifika von Cloud-Plattformen durchdringen. CRISC gibt den methodischen Rahmen vor, innerhalb dessen Risiken strukturiert erfasst, bewertet und gesteuert werden. CCSP füllt diesen Rahmen mit konkreten technischen Inhalten: Was sind die Angriffsvektoren in einer IaaS-Umgebung? Wie werden Verschlüsselungsschlüssel in Multi-Cloud-Setups verwaltet? Welche Kontrollmaßnahmen fordert SOC 2 Type II? Wer beides kann, ist nicht nur in der Lage, Risiken zu identifizieren, sondern auch zu erklären, warum eine bestimmte Cloud-Konfiguration risikobehaftet ist. Für Karrierewege im CISO-, Cloud-Security-Architekten- oder IT-Compliance-Bereich ist diese Doppelqualifikation ein substanzieller Vorteil. Sie signalisiert sowohl strategisches Denkvermögen als auch technische Tiefe — zwei Eigenschaften, die Arbeitgeberinnen und Arbeitgeber in diesem Kompetenzfeld immer seltener in einer Person finden.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen CRISC und CCSP?
CRISC (ISACA) fokussiert auf die unternehmensseitige Identifikation, Bewertung und Steuerung von IT-Risiken in vier Domänen. CCSP ((ISC)²) ist eine technische Cloud-Sicherheitszertifizierung mit sechs Domänen, die von Cloud-Konzepten über Datensicherheit bis zu rechtlichen Aspekten reicht. Beide Zertifizierungen sind unabhängig voneinander und sprechen unterschiedliche Aufgabenbereiche an.
Welche Berufserfahrung ist für CRISC und CCSP empfohlen?
Für CRISC empfiehlt ISACA Erfahrung in IT-Risikoabläufen; für die formale Zertifizierung sind drei Jahre praktische Erfahrung in CRISC-relevanten Bereichen erforderlich. Für CCSP setzt (ISC)² mindestens fünf Jahre IT-Berufserfahrung voraus, davon drei Jahre in IT-Sicherheit. Der Kurs kann auch ohne vollständige Erfahrungsqualifikation besucht werden.
Wie verhält sich das Shared Responsibility Model zu CRISC?
Das Shared Responsibility Model definiert, welche Sicherheitsverantwortung beim Cloud-Anbieter und welche beim Kunden liegt — je nach Servicemodell (IaaS, PaaS, SaaS) unterschiedlich. Für CRISC-Fachleute ist das Modell wichtig, weil es bestimmt, welche Kontrollmaßnahmen im Risikoregister dem eigenen Unternehmen zuzurechnen sind.
Wie ist der Unterricht strukturiert?
Der Kurs findet im virtuellen Klassenzimmer statt und wechselt zwischen Theorie-Blöcken, geleiteter Fallstudienarbeit und interaktiven Diskussionen. Präsenz-Lernplätze sind in den Trainingszentren verfügbar; die HomeOffice-Option ist freigeschaltet. Der Ablauf entspricht einem klassischen Vollzeit-Kursformat.
Sind die Prüfungen im Kurspreis enthalten?
Die CRISC- und CCSP-Prüfungen werden unabhängig vom Kurs bei akkreditierten Testcentern abgelegt und sind im Regel nicht im Kurspreis enthalten. Der Kurs selbst bereitet inhaltlich auf beide Prüfungen vor und schließt mit einer trägerinternen Teilnahmebescheinigung ab.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Sicherheits-Branche wächst stabil — Wachpersonal, Objektschutz, Veranstaltungssicherheit. Einstieg ist mit Sachkundenachweis §34a GewO schnell möglich, Aufstieg primär über Spezialisierung (Personenschutz, IT-Security-Operations).
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Fachkraft für Schutz und Sicherheit1.673 Stellen
- IT-Sicherheit (grundständig)926 Stellen
- Risikomanager181 Stellen
- Cyber-Security-Consultant118 Stellen
- Chief-Information-Security-Officer103 Stellen
- Cybersecurity Analyst23 Stellen