Überblick
CRISC – Certified in Risk and Information Systems Control – ist die ISACA-Zertifizierung für IT-Risikomanagement und gilt als eines der anspruchsvollsten Governance-Zertifikate im IT-Bereich. Dieser Lehrgang kombiniert CRISC mit der Red Hat Certified System Administrator-Zertifizierung (RHCSA, Prüfungscode EX200): einer der anerkanntesten Linux-Zertifizierungen, die praktische Administrationsfähigkeiten unter Red Hat Enterprise Linux und kompatiblen Distributionen wie AlmaLinux prüft. Die Verbindung erscheint ungewohnt, ist aber in der Praxis hochrelevant: Risikobeauftragte, die Linux-Systemlandschaften beurteilen müssen, brauchen ein Verständnis der technischen Angriffsfläche, der Härtungsoptionen und der Kontrollmöglichkeiten, die ein Linux-Administrator besitzt. CRISC liefert das methodische Risikorahmenwerk; RHCSA das technische Substrat, auf dem Risikobewertungen aufbauen.
Kursinhalte & Lernziele
Modul CRISC – IT-Risikobewertung (Domäne 1 und 2) Die ersten beiden CRISC-Domänen befassen sich mit der systematischen Identifikation von IT-Risiken und ihrer Bewertung. ISACA unterscheidet zwischen der Risikoidentifikation in Geschäftsprozessen und IT-Umgebungen sowie der Analyse von Eintrittswahrscheinlichkeit und Auswirkung. Dieser Block legt das methodische Fundament für alle weiteren CRISC-Inhalte.
- Risikoszenarien entwickeln und in Geschäftsprozesse einbetten
- Qualitative und quantitative Risikobewertungsverfahren
- Bedrohungslandschaft und Schwachstellenanalyse
- Risikoregister: Struktur, Pflege, Reporting
- Verbindung von IT-Risiken zu Unternehmenszielen und Compliance
Modul CRISC – Risikoreaktion und Kontrollen (Domäne 3 und 4) Die zweiten beiden CRISC-Domänen behandeln die operative Seite: Wie werden Risiken behandelt, und wie werden Kontrollrahmenwerke aufgebaut und überwacht? Dieser Block verbindet das Risikorahmenwerk mit konkreten Kontrollen – einschließlich technischer Kontrollen, wie sie in Linux-Umgebungen relevant sind.
- Risikobehandlungsoptionen und Kontrolldesign
- Präventive, detektive und korrektive Kontrollen
- Kontrolleffektivitätstests und Monitoring
- Integration in Governance-Rahmenwerke (COBIT, ISO 27001)
- Risikoberichterstattung und Eskalation an Führungsebene
Modul RHCSA – Grundlagen und Systemverwaltung unter RHEL RHCSA beginnt mit den Kernaufgaben der Linux-Systemadministration: Dateisystemnavigation, Benutzer- und Gruppenverwaltung, Berechtigungskonzepte und Prozessmanagement. Diese Inhalte bilden das Fundament für alle weiteren RHCSA-Domänen und entsprechen direkt den Anforderungen der praktischen EX200-Prüfung.
- Kommandozeile: Shell-Navigation, Prozesse, Dienste (systemd)
- Benutzer und Gruppen anlegen, verwalten, Passwort-Policies konfigurieren
- Dateiberechtigungen: klassische Permissions, ACLs, SUID/SGID/Sticky Bit
- Paketverwaltung mit dnf/yum und Softwarerepositories
- Systemd-Dienste und Startverhalten konfigurieren
Modul RHCSA – Netzwerk, Sicherheit und Speicherverwaltung Im zweiten RHCSA-Block stehen Netzwerkkonfiguration, Sicherheitsmechanismen und Speicherverwaltung im Mittelpunkt. SELinux und firewalld sind zentrale Linux-Sicherheitsmechanismen, deren Beherrschung direkt in Risiko- und Kontrollbewertungen einfließt.
- Netzwerkinterfaces und statische IP-Konfiguration
- firewalld: Zonen, Regeln, Dienste freischalten
- SELinux: Modes, Kontexte, Troubleshooting und Policy-Anpassung
- LVM: Physical Volumes, Volume Groups, Logical Volumes erstellen und verwalten
- Automount mit autofs und NFS-Freigaben konfigurieren
Praxisblock Beide Kursbestandteile werden in kombinierten Szenarien zusammengeführt. Typische Aufgaben umfassen die Risikobewertung einer RHEL-Systemlandschaft sowie die Ableitung von Kontrollempfehlungen, die direkt auf RHCSA-Administrationsfähigkeiten aufbauen.
- Risikoregister für eine Linux-basierte Anwendungsinfrastruktur erstellen
- SELinux-Policy-Anforderungen aus Risikobewertung ableiten
- Zugriffsrechte und ACL-Strukturen aus Sicherheitskontrollanforderungen umsetzen
- Firewall-Konfiguration gegen identifizierte Bedrohungsszenarien absichern
- Audit-Logging mit auditd für Compliance-Anforderungen konfigurieren
- Post-Incident-Analyse auf einem RHEL-System durchführen
- Kontrolleffektivitätstests für technische Linux-Kontrollen dokumentieren
Die Besonderheit dieses Lehrgangs liegt in der direkten Verknüpfung: CRISC-Risikomethodik wird auf konkrete Linux-Kontrollmechanismen angewendet. Das schärft den Blick beider Berufsgruppen – Risikobeauftragte verstehen die Technik, Systemadministratoren die Governance-Logik dahinter.
Lernziele:
- IT-Risiken nach ISACA CRISC (vier Domänen) identifizieren, bewerten und steuern
- Risikoregister aufbauen und kontinuierlich pflegen
- IT-Kontrollrahmenwerke (Controls) entwerfen, implementieren und überwachen
- Risikominderungsmaßnahmen priorisieren und deren Wirksamkeit messen
- Compliance-Anforderungen in Risiko- und Kontrollstrukturen integrieren
- Linux-Systemadministration unter Red Hat Enterprise Linux (RHEL) ausführen
- Benutzer, Gruppen und Berechtigungen unter RHEL verwalten
- Netzwerkdienste, Firewalls (firewalld) und SELinux konfigurieren
- Dateisysteme, LVM und Speicherverwaltung unter RHEL verwalten
- Skripte und Automatisierungen für Systemadministrationsaufgaben erstellen
- Technische Kontrollen (Zugriffsrechte, SELinux-Policies, Auditd) aus Sicherheitssicht beurteilen
- Beide Zertifizierungsprüfungen (CRISC und RHCSA EX200) inhaltlich vorbereiten
Zielgruppe & Voraussetzungen
Der Lehrgang richtet sich an Fachleute aus der IT-Sicherheit, dem Risikomanagement und der Systemadministration, die ihre Kompetenzen gezielt erweitern möchten.
- IT-Risikomanager, die Linux-Systemlandschaften selbst beurteilen können wollen
- Linux-Systemadministratoren, die in Governance- oder Auditfunktionen wechseln
- IT-Auditoren mit Fokus auf Linux-basierte Infrastrukturen
- Compliance-Beauftragte in Unternehmen mit Red-Hat-Umgebungen
- Sicherheitsarchitekten, die Risiko- und Systemebene verbinden
CRISC setzt für die spätere Zertifizierung mehrjährige Berufserfahrung im IT-Risikomanagement voraus; der Kursbesuch ist davon unabhängig. Für RHCSA sind grundlegende Linux-Kenntnisse (Kommandozeile, Dateioperationen, Benutzerverwaltung) empfohlen – ohne diese Grundlage ist der EX200-Stoff schwer zugänglich. Erfahrung mit Red Hat Enterprise Linux ist ein Vorteil, aber nicht zwingend erforderlich.
Ablauf & Abschluss
Der Kurs nutzt das Combined-Learning-Format mit Live-Unterricht im virtuellen Klassenzimmer. Der CRISC-Teil arbeitet mit Fallstudien und Risikoregister-Übungen; der RHCSA-Teil erfordert Lab-Umgebungen unter RHEL, die für Übungsszenarien genutzt werden. Theorie- und Praxisphasen wechseln ab. Der Lehrgang ist als Vollzeitweiterbildung konzipiert.
Die Weiterbildung dauert mehr als einen Monat bis zu drei Monaten (Vollzeit). Der Umfang hängt von den gewählten Modulen ab. Die CRISC-Prüfung wird bei ISACA abgelegt; RHCSA (EX200) ist eine rein praktische Prüfung, die bei Red Hat-akkreditierten Testzentren stattfindet und separat gebucht werden muss.
Kursabsolventen erhalten eine qualifizierte Teilnahmebescheinigung. Die offiziellen Zertifizierungsprüfungen – ISACA CRISC und Red Hat RHCSA (EX200) – werden unabhängig davon beim jeweiligen Anbieter abgelegt. EX200 ist eine vollständig praktische Laborprüfung ohne Multiple-Choice-Anteil; CRISC ist eine Multiple-Choice-Prüfung.
Nutzen & Perspektiven
CRISC und RHCSA sprechen unterschiedliche Fachsprachen, decken aber komplementäre Ebenen der IT-Sicherheit ab. Wer beide Zertifizierungen vorweisen kann, ist in einem Berufsfeld tätig, das selten breit besetzt ist: der Schnittstelle zwischen technischer Systemadministration und strategischem Risikomanagement. In Organisationen, die stark auf Red Hat-Infrastrukturen setzen, ist diese Kombination besonders gefragt. Konkret schärft RHCSA-Wissen das Urteilsvermögen von CRISC-Kandidaten erheblich: Wer versteht, wie SELinux-Policies wirken oder wie ACLs auf Dateisystemebene greifen, kann Kontrollbeschreibungen in Risikoregistern viel präziser formulieren und deren Wirksamkeit realistischer einschätzen. Das reduziert blinde Flecken in Risikobewertungen, die auf technischen Fehlannahmen beruhen. Langfristig öffnet die Kombination Positionen als IT Risk Analyst mit technischem Profil, als Senior Linux Security Administrator mit Governance-Verständnis oder als technischer IT-Auditor. Gerade in regulierten Branchen (Finanzsektor, Gesundheitswesen, öffentliche Verwaltung) mit hohem Linux-Anteil sind solche Doppelprofile gesucht. Ein struktureller Vorteil liegt darin, dass RHCSA als praktische Prüfung – im Gegensatz zu rein theoretischen Multiple-Choice-Tests – Fähigkeiten unter echten Arbeitsbedingungen nachweist. Dieser Nachweis ist für Arbeitgeber überzeugender als eine reines Zertifizierungszeugnis, weil er demonstriert, dass die Kandidatin oder der Kandidat Systemaufgaben tatsächlich selbstständig und fehlerfrei ausführen kann. Kombiniert mit der konzeptionellen CRISC-Qualifikation entsteht ein Profil, das sowohl in Governance-Komitees als auch im technischen Tagesbetrieb bestehen kann – eine Seltenheit, die auf dem Arbeitsmarkt entsprechend bewertet wird.
Häufig gestellte Fragen (FAQ)
Was ist CRISC und für wen ist es relevant?
CRISC (Certified in Risk and Information Systems Control) ist eine ISACA-Zertifizierung für IT-Risikomanagement. Sie richtet sich an Fachleute, die IT-Risiken identifizieren, bewerten und durch Kontrollmaßnahmen steuern – häufig in Governance-, Audit- oder Compliance-Rollen.
Was prüft die RHCSA-Prüfung (EX200)?
EX200 ist eine vollständig praktische Laborprüfung: Kandidaten konfigurieren ein Red-Hat-Linux-System live ohne Musterantworten. Geprüft werden Systemadministrationsaufgaben wie Benutzerverwaltung, SELinux, LVM und Netzwerkkonfiguration.
Warum ist die Kombination CRISC und RHCSA sinnvoll?
CRISC-Risikomethodik gewinnt erheblich an Präzision, wenn sie auf verstandene technische Kontrollen trifft. RHCSA-Wissen über SELinux, Zugriffsrechte und Firewall-Konfiguration macht Risikobewertungen in Linux-Umgebungen deutlich belastbarer.
Sind Vorkenntnisse in Linux erforderlich?
Grundlegende Linux-Kenntnisse werden für den RHCSA-Teil empfohlen. Ohne Komandozeilen-Grundlagen ist der EX200-Stoff schwer zugänglich. Erfahrung mit RHEL ist hilfreich, aber nicht zwingend.
Wie unterscheidet sich die RHCSA-Prüfung von anderen Zertifizierungsprüfungen?
Im Gegensatz zu Multiple-Choice-Prüfungen wie CRISC ist EX200 eine rein praktische Prüfung: Die gesamte Note entsteht aus der erfolgreichen Konfiguration realer Systemaufgaben in einer begrenzten Zeit.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Systemadministrator/in16.136 Stellen
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen
- Fachberater/Fachberaterin für integrierte Systeme (doppelt qualifizierende Ausbildung)7 Stellen
- IT-Sicherheitsberater/in1 Stellen
- IT-Risikomanager/in0 Stellen