Überblick
Diese Weiterbildung kombiniert zwei der renommiertesten Zertifizierungen aus dem Hause ISACA: CRISC (Certified in Risk and Information Systems Control) und CISM (Certified Information Security Manager). Beide Zertifikate stammen vom selben Herausgeber, adressieren jedoch unterschiedliche Verantwortungsbereiche. CRISC fokussiert auf die systematische Identifikation, Bewertung und Steuerung von IT-Risiken im Unternehmenskontext. CISM hingegen richtet sich an Führungskräfte, die ein Informationssicherheitsprogramm konzipieren, steuern und weiterentwickeln. Zusammen bilden sie das Rüstzeug für IT-Governance auf Managementebene. Der Kurs läuft im Combined-Learning-Format, vollständig als Live-Unterricht im virtuellen Klassenzimmer, im Vollzeitmodus über mehr als einen Monat bis zu drei Monaten.
Kursinhalte & Lernziele
Modul 1 — CRISC: Risikoidentifikation und -szenarioanalyse ISACA beschreibt CRISC als die Zertifizierung für Fachkräfte, die Brücken bauen zwischen IT-Risiken und den Geschäftszielen einer Organisation. Das erste Modul legt den methodischen Rahmen: Risiko-Universum, Scoping und Bedrohungsmodellierung.
- IT-Risikokategorien nach ISACA-Terminologie
- Bedrohungs- und Schwachstellenanalyse (Threat and Vulnerability Identification)
- Risikoeinschätzung qualitativ und quantitativ
- Risikoregister: Aufbau, Pflege, Berichtsstruktur
- Verbindung von IT-Risiken zu Geschäftsprozessen und -zielen
Modul 2 — CRISC: Risikoreaktionsstrategie und Kontrolle Im zweiten Schritt geht es darum, identifizierte Risiken zu beantworten. CRISC unterscheidet dabei zwischen Risikovermeidung, -minderung, -transfer und -akzeptanz und schlägt jeweils konkrete Kontrollarchitekturen vor.
- Risikoreaktionsoptionen und Entscheidungskriterien
- Kontrollimplementierung: präventiv, detektiv, korrektiv
- Monitoring von Kontrollmaßnahmen und Restrisiken
- Integration in GRC-Prozesse (Governance, Risk & Compliance)
- Berichterstattung an Geschäftsführung und Aufsichtsgremien
Modul 3 — CISM: Informationssicherheits-Governance und -strategie CISM stellt die managementorientierte Perspektive der Informationssicherheit ins Zentrum. Dieses Modul vermittelt, wie ein Sicherheitsprogramm auf Organisationsebene aufgebaut, legitimiert und mit der Unternehmensstrategie verbunden wird.
- Informationssicherheitsstrategie und Geschäftszielausrichtung
- Aufbau und Strukturierung eines Sicherheitsprogramms
- Rollen und Verantwortlichkeiten in der IS-Governance
- Policies, Standards, Verfahren und Richtlinien
- Regulatory Compliance und externe Anforderungen (z. B. ISO 27001, DSGVO)
Modul 4 — CISM: Risikomanagement und Incident Management aus IS-Perspektive Im letzten Modul treffen beide Zertifizierungslinien thematisch aufeinander: CISM betrachtet Risikomanagement aus der Vogelperspektive des Sicherheitsmanagers und ergänzt CRISC um die operative Incident-Response-Dimension.
- IS-Risikobewertung im CISM-Kontext
- Sicherheitsvorfallmanagement: Erkennung, Eindämmung, Behebung
- Business-Continuity und Disaster-Recovery aus IS-Sicht
- Sicherheitsmetriken und Reportingsysteme
- Kontinuierliche Verbesserung des Sicherheitsprogramms
Wo CRISC und CISM zusammenwirken — die Doppelzertifizierung durch zwei ISACA-Frameworks ist kein Zufall: CRISC und CISM ergänzen sich direkt. Risikomanager verstehen nach dieser Weiterbildung auch den Sicherheitsprogramm-Kontext, in dem ihre Risikoempfehlungen umgesetzt werden. Sicherheitsmanager gewinnen das methodische Rüstzeug für fundierte Risikoanalysen.
- CRISC-Risikoregister mit CISM-Sicherheitsprogramm verzahnen
- Risikoinformationen in IS-Governance-Berichte einfließen lassen
- Incident-Response-Ergebnisse zurück ins Risikoregister führen
- Sicherheitsinvestitionen risikobasiert priorisieren
- Audit-Bereitschaft für ISO-27001- und DSGVO-Reviews erhöhen
- Metriken für beide Zertifizierungsbereiche gemeinsam aufbereiten
- Management-Kommunikation zu Risiko und Sicherheit vereinheitlichen
- Compliance-Lücken-Analysen mit CRISC-Methodik strukturieren
- Sicherheitskultur im Unternehmen über Risikonarrative stärken
- Notfallpläne aus CISM-Perspektive mit CRISC-Restrisiko-Daten unterlegen
- Drittanbieter-Risiken aus beiden Blickwinkeln bewerten
- Sicherheitsarchitektur-Entscheidungen auf Risikobasis begründen
Diese inhaltliche Synergie ist der zentrale Vorteil dieser Kombination gegenüber dem isolierten Erwerb eines der beiden Zertifikate. In der Praxis sind CRISC- und CISM-Funktionen oft in einer Stelle vereint oder arbeiten eng zusammen — wer beide Perspektiven aus einer einzigen Weiterbildung mitbringt, kann effektiver über Organisationsgrenzen hinweg kommunizieren.
Lernziele:
- IT-Risiken nach ISACA-Methodik strukturiert identifizieren, kategorisieren und dokumentieren
- Kontrollmaßnahmen für erkannte IT-Risiken auswählen und auf Wirksamkeit überwachen
- Ein unternehmensweites Informationssicherheitsprogramm konzipieren und verwalten
- Informationssicherheits-Governance an Unternehmenszielen und Regulatorik ausrichten
- Risikoreaktionspläne entwickeln und in Entscheidungsprozesse des Managements einbinden
- Informationssicherheits-Incidents nach strukturierten Prozessen managen und dokumentieren
- Compliance-Anforderungen (gesetzlich, regulatorisch, vertraglich) in Sicherheitsprogramme überführen
- Sicherheitsmetriken und KPIs für die Führungsebene aufbereiten
- Risikobasierte Priorisierung von Sicherheitsinvestitionen vornehmen
- Beide ISACA-Prüfungsrahmen (CRISC und CISM) inhaltlich durcharbeiten und verbinden
- Schnittstellen zwischen Risikomanagement und Informationssicherheitsmanagement erkennen und nutzen
Zielgruppe & Voraussetzungen
Diese Weiterbildung richtet sich an erfahrene IT-Fachkräfte und Führungskräfte, die in Informationssicherheit, IT-Governance oder Risikomanagement tätig sind oder entsprechende Rollen übernehmen möchten.
- IT-Risikomanager, die ihr Profil um das Sicherheitsmanagement erweitern wollen
- Informationssicherheitsbeauftragte (ISB/CISO) auf dem Weg zur formalen Zertifizierung
- IT-Auditoren und Compliance-Manager in regulierten Branchen (Finanzwesen, Gesundheit, Energie)
- IT-Governance-Verantwortliche in mittelständischen und großen Unternehmen
- Führungskräfte, die beide ISACA-Zertifikate im Portfolio anstreben
ISACA setzt für beide Zertifikate umfangreiche Berufserfahrung voraus. Für CRISC sind mindestens drei Jahre IT-Risikomanagement-Erfahrung Pflicht, für CISM mindestens fünf Jahre Informationssicherheits-Management-Erfahrung. Diese Berufserfahrung ist keine Voraussetzung für den Kursbesuch, wohl aber für die Vergabe des jeweiligen Zertifikats. Die Schulung kann also auch von Nachwuchskräften mit solidem IT-Hintergrund absolviert werden, die die Prüfung frühzeitig ablegen und den Erfahrungsnachweis später erbringen möchten. Englischkenntnisse sind für beide Prüfungen notwendig.
Ablauf & Abschluss
Der Unterricht findet in Form von Live-Sessions im virtuellen Klassenzimmer statt. Trainer mit Praxishintergrund aus IT-Governance und Informationssicherheit leiten die Sitzungen, die Theorie-Input, Fallstudienarbeit und strukturierte Übungsphasen verbinden. Das Combined-Learning-Format sieht vor, dass eigenverantwortliche Selbstlernphasen den Live-Unterricht ergänzen — so wird der Stoff vertieft und Prüfungsinhalte werden aktiv wiederholt. Die Lernumgebung ist vollständig digital; wer einen festen PC-Arbeitsplatz mit Doppelmonitor benötigt, kann die verfügbaren Centerzugänge nutzen.
Der Kurs läuft im Vollzeitmodus und dauert je nach gewählter Modultiefe mehr als einen Monat bis zu maximal drei Monaten. CRISC und CISM werden als separate Lernblöcke unterrichtet, die jedoch in ihrer Abfolge inhaltlich aufeinander abgestimmt sind, sodass Transfereffekte zwischen beiden Frameworks gezielt genutzt werden können.
Die Weiterbildung bereitet auf die CRISC-Prüfung und die CISM-Prüfung von ISACA vor. Beide Zertifikate werden nach bestandener Prüfung und Nachweis der einschlägigen Berufserfahrung von ISACA ausgestellt. CRISC verlangt mindestens drei Jahre Praxis in CRISC-relevanten Domänen, CISM mindestens fünf Jahre in der Informationssicherheit. Beide Zertifikate sind international anerkannte Führungszertifizierungen aus dem ISACA-Portfolio. Zusätzlich erhalten Teilnehmer eine Lehrgangsbescheinigung.
Nutzen & Perspektiven
Wer CRISC und CISM gemeinsam anstrebt, positioniert sich für Rollen, in denen IT-Risiko und Informationssicherheitsmanagement direkt zusammenspielen — also genau dort, wo viele Organisationen heute Fachkräfte suchen. ISACA-Zertifizierte werden in Gehaltserhebungen konsistent überdurchschnittlich vergütet; die Kombination zweier ISACA-Zertifikate stärkt dieses Profil weiter. Im Gegensatz zu technisch fokussierten Sicherheitszertifizierungen adressieren CRISC und CISM explizit die Führungs- und Governance-Ebene. Das macht Absolventinnen und Absolventen dieser Weiterbildung für CISO-Rollen, Head-of-IT-Security-Positionen und interne Governance-Funktionen besonders relevant. Regulierte Branchen — Finanzdienstleistungen, Versicherungen, Gesundheitswesen, Energie — verlangen zunehmend nach genau dieser Kombination aus formalem Risikomanagement und Sicherheitsprogramm-Kompetenz. Das Vollzeitformat bietet gegenüber einem jahrelangen berufsbegleitenden Erwerb einen klaren Geschwindigkeitsvorteil: Beide Prüfungen können in einem einzigen fokussierten Weiterbildungsblock vorbereitet werden, was Synergien zwischen den Lernbereichen optimal nutzt und den zeitlichen Aufwand komprimiert.
Häufig gestellte Fragen (FAQ)
Was unterscheidet CRISC von CISM inhaltlich?
CRISC (Certified in Risk and Information Systems Control) konzentriert sich auf die Identifikation, Bewertung und Kontrolle von IT-Risiken — also die analytisch-methodische Risikoperspektive. CISM (Certified Information Security Manager) adressiert das Management eines vollständigen Informationssicherheitsprogramms auf Führungsebene, inklusive Governance, Strategie und Incident Management. Beide kommen von ISACA und ergänzen sich direkt.
Wann kann ich das CRISC- oder CISM-Zertifikat führen?
Nach dem Bestehen der Prüfung muss bei ISACA ein Antrag gestellt und Berufserfahrung nachgewiesen werden: CRISC verlangt mindestens drei Jahre in relevanten IT-Risikomanagement-Domänen, CISM mindestens fünf Jahre in der Informationssicherheit. Wer die Prüfung vor Erfüllung dieser Voraussetzungen ablegt, hat bis zu fünf Jahre Zeit, den Erfahrungsnachweis zu erbringen.
Sind beide Zertifikate international anerkannt?
Ja. CRISC und CISM gehören zu den weltweit anerkanntesten Zertifizierungen im IT-Governance- und Sicherheitsbereich. ISACA ist eine globale Organisation; beide Zertifikate sind in nordamerikanischen, europäischen und asiatisch-pazifischen Arbeitsmärkten etabliert und werden von Arbeitgebern in regulierten Branchen explizit nachgefragt.
Kann ich die Reihenfolge der Module selbst wählen?
Der Anbieter ermöglicht eine individuelle Modulkombination. Inhaltlich empfiehlt es sich, CRISC vor CISM zu absolvieren, da die Risikomanagement-Grundlagen von CRISC für das CISM-Risikokapitel hilfreich sind. Die endgültige Reihenfolge kann aber individuell abgestimmt werden.
Wie lange sind CRISC und CISM gültig?
Beide Zertifikate müssen alle drei Jahre erneuert werden. ISACA verlangt in jedem Dreijahreszyklus 120 CPE-Stunden (Continuing Professional Education) sowie die Zahlung der jährlichen Zertifizierungsgebühr. Wer die Anforderungen nicht erfüllt, verliert den Zertifikatsstatus.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen
- Informationssicherheitsmanager32 Stellen
- Assistent/Assistentin für Informatik (allgemeine Informatik)10 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen
- IT-Sicherheitsbeauftragter3 Stellen