Überblick
Dieses Kombiprogramm verbindet zwei strategisch ausgerichtete IT-Qualifikationen: CRISC (Certified in Risk and Information Systems Control) der ISACA und TOGAF Certified der Open Group. CRISC gilt als führende Zertifizierung im IT-Risikomanagement und adressiert den vollständigen Lebenszyklus von Risikoidentifikation über -bewertung bis hin zur Implementierung von Kontrollrahmen. TOGAF Certified befähigt, Unternehmensarchitekturen nach der Architecture Development Method (ADM) zu entwickeln und zu steuern. Die Kombination ist besonders wertvoll, weil Risikomanagement und Architektur-Governance in modernen Organisationen eng verzahnt sind: Architekturen müssen Risiken berücksichtigen, und Risikomanager müssen Architekturentscheidungen einschätzen können.
Kursinhalte & Lernziele
CRISC Domäne 1 und 2: Risikoidentifikation und Risikobewertung Die ersten beiden CRISC-Domänen bilden das Fundament des Programms. Teilnehmende lernen, IT- und Unternehmensrisiken strukturiert zu erfassen und anhand anerkannter Methoden zu bewerten — quantitativ wie qualitativ.
- IT-Risikokonzepte: Bedrohung, Schwachstelle, Eintrittswahrscheinlichkeit, Schadenspotenzial
- Risikoidentifikation mit NIST-Methodik, ISO 31000 und ISACA-Rahmenwerk
- Qualitative vs. quantitative Risikobewertung: Impact-Matrix, Monte-Carlo-Ansätze
- Threat Modeling: STRIDE, PASTA und Attack Trees in der Praxis
- Asset-Inventar und Informationsklassifizierung als Basis der Risikoanalyse
- Aggregation von Einzel-Risiken zum Gesamt-Risikoprofil der Organisation
CRISC Domäne 3 und 4: Risikoreaktion und Monitoring Die zweite Hälfte des CRISC-Curriculums behandelt, wie Organisationen auf identifizierte Risiken reagieren und wie Kontrollrahmen dauerhaft wirksam bleiben. Praxisnah werden Kontrolldesign, -implementierung und -bewertung geübt.
- Risikoreaktion: akzeptieren, vermeiden, transferieren, mindern — Entscheidungskriterien
- Kontrolldesign: präventive, detektive und korrektive Controls nach COBIT
- KRI-Entwicklung und -Kalibrierung: Schwellenwerte, Meldestufen, Eskalationswege
- Kontrollüberwachung: Audits, Control Self Assessments, automatisiertes Monitoring
- Risk Register führen und pflegen — Best Practices aus der ISACA-Praxis
- Berichtsformate für Risk Committee und Vorstandskommunikation
TOGAF: Architecture Development Method (ADM) Phasen A bis H TOGAF ist das weltweit verbreitetste Rahmenwerk für Enterprise Architecture. Dieser Block führt durch alle ADM-Phasen von der Architecture Vision bis zum Architecture Change Management.
- Preliminary Phase: Architektur-Capability und Governance-Strukturen einrichten
- Phase A (Architecture Vision): Stakeholder-Analyse, Request for Architecture Work
- Phasen B, C, D: Business-, Information Systems- und Technology Architecture entwickeln
- Phase E (Opportunities & Solutions): Migrationspfade und Work Packages definieren
- Phasen F, G, H: Migration Planning, Implementation Governance, Change Management
- Architecture Repository: Metamodell, Content Framework, Klassifikation von Artefakten
TOGAF: Governance, Compliance und Integration mit Risikomanagement Der letzte Modulblock vertieft TOGAF-Governance und stellt die direkte Verbindung zu CRISC her. Architekturentscheidungen werden konsequent auf ihre Risikoimplikationen hin geprüft.
- TOGAF Architecture Governance Framework: Architekturboard, Compliance Reviews
- Architecture Principles formulieren und auf Konsistenz mit Unternehmenszielen prüfen
- Regulatorische Anforderungen (DSGVO, DORA, branchenspezifische Compliance) in Architektur übersetzen
- Risk Architecture: Risikokontrollpunkte in Architekturdiagrammen verankern
- Schnittstelle CRISC-TOGAF: Risk Register als Input für Architecture Change Requests
- TOGAF Level 2 (Certified) vs. Level 1 (Foundation) — Unterschiede und Prüfungsaufbau
Praxisblock — Fallstudien und angewandte Übungen Beide Programmteile werden durch fallstudienbasierte Übungen vertieft. Die Aufgaben sind so konzipiert, dass CRISC-Risikobewertungen direkt als Input für TOGAF-Architekturentscheidungen dienen.
- CRISC-Fallstudie: vollständige Risikoanalyse eines fiktiven mittelgroßen Unternehmens
- KRI-Workshop: Key Risk Indicators für drei Risikokategorien entwickeln und kalibrieren
- Control-Assessment-Übung: bestehendes COBIT-Control-Set auf Lücken prüfen
- Risiko-Register-Labor: priorisiertes Register mit Maßnahmenplan erstellen
- TOGAF ADM-Übung: Architecture Vision Dokument für ein Migrationsszenario ausarbeiten
- Stakeholder-Matrix nach TOGAF-Methodik anlegen und Kommunikationsplan ableiten
- Architecture Compliance Review simulieren: Abweichungsprotokoll erstellen
- Kombinations-Übung: identifiziertes IT-Risiko als Architektur-Änderungsantrag formulieren
- CRISC-Szenario-Training: ISACA-typische Multiple-Choice-Szenarien durcharbeiten
- TOGAF-Exam-Preparation: Open Group-Prüfungslogik verstehen (Part 1 vs. Part 2)
- ISO 27001-Mapping: Kontrollen auf CRISC-Domänen und TOGAF-Governance-Artefakte abbilden
- Abschlusspräsentation: kombinierter Risiko- und Architekturreport in Gruppenarbeit
Am Ende des Praxisblocks liegt ein konsistenter Satz von Arbeitsartefakten vor — ein Risk Register, ein Architecture Compliance Report und eine kurze ADM-Dokumentation — die als Portfolio-Basis für Bewerbungen oder interne Karriereschritte genutzt werden können.
Lernziele:
- Risiken in IT-Systemen und Informationsinfrastrukturen systematisch identifizieren, analysieren und bewerten
- Risikoreaktion planen und geeignete Kontrollmaßnahmen aus anerkannten Rahmenwerken (COBIT, NIST, ISO 27001) ableiten
- Key Risk Indicators (KRIs) und Key Performance Indicators für das Risiko-Monitoring entwickeln
- IT-Kontrollrahmen implementieren, überwachen und auf ihre Wirksamkeit hin bewerten
- Den CRISC-Anforderungskatalog (vier Domänen) vollständig abdecken
- Das TOGAF ADM (Architecture Development Method) in allen Phasen A bis H beschreiben und anwenden
- Architecture Building Blocks (ABBs) und Solution Building Blocks (SBBs) unterscheiden
- Eine Architektur-Governance-Struktur nach TOGAF-Grundsätzen aufbauen
- Compliance-Anforderungen (regulatorische Vorgaben, Datenschutz) in Architekturentscheidungen übersetzen
- Risikoaspekte in TOGAF-Architekturdokumenten sichtbar machen und managen
- Stakeholder-Kommunikation bei Risiko- und Architekturentscheidungen professionell gestalten
- Beide Zertifizierungsprüfungen (CRISC und TOGAF Certified) inhaltlich vorbereiten
Zielgruppe & Voraussetzungen
Das Kombiprogramm richtet sich an erfahrene IT-Fachkräfte, die strategische Verantwortung übernehmen oder ausbauen möchten. Sowohl CRISC als auch TOGAF Certified sind keine Einsteiger-Qualifikationen — sie setzen Berufserfahrung und analytisches Denken voraus.
- IT-Risikomanager und Informationssicherheitsbeauftragte, die ihre formale Qualifikation absichern wollen
- Enterprise Architects und Lösungsarchitekten, die Risikomanagement-Kompetenz strukturiert aufbauen
- IT-Governance- und Compliance-Berater in regulierten Branchen (Banken, Versicherungen, Gesundheitswesen)
- IT-Auditoren mit Interesse an architektonischer Perspektive
- Senior IT-Consultants, die CRISC und TOGAF Certified für internationale Ausschreibungen benötigen
CRISC richtet sich an Fachkräfte mit mehrjähriger Berufserfahrung im IT-Umfeld — idealerweise in den Bereichen Risikomanagement, Audit, Compliance oder IT-Sicherheit. Für die ISACA-Zertifizierungsprüfung selbst sind drei Jahre nachgewiesene Berufserfahrung in CRISC-relevanten Domänen Pflicht; der Kurs bereitet inhaltlich vor, ersetzt diese Erfahrung aber nicht. Für TOGAF sind Grundkenntnisse in Enterprise Architecture hilfreich; TOGAF Foundation (Level 1) ist sinnvoll als Vorbereitung, aber kein formales Pflichterfordernis für den Kurs. Englischkenntnisse auf B2-Niveau werden empfohlen, da Originalprüfungsmaterial und Open-Group-Ressourcen auf Englisch vorliegen.
Ablauf & Abschluss
Der Unterricht läuft als Live-Online-Schulung im virtuellen Klassenzimmer. Dozierende vermitteln Inhalte abwechslungsreich — Theorie-Einheiten, Fallstudienarbeit, interaktive Szenario-Übungen und Gruppenarbeit wechseln sich planmäßig ab. Der Live-Charakter ermöglicht Nachfragen in Echtzeit und kollegialen Austausch zwischen Teilnehmenden, die aus ähnlichen Berufsfeldern kommen. Für Teilnehmende in einem der akkreditierten Lernzentren steht ein moderner PC-Arbeitsplatz mit zwei Bildschirmen zur Verfügung; eine HomeOffice-Teilnahme ist ebenfalls möglich.
Die Gesamtdauer richtet sich nach der individuellen Lerngeschwindigkeit und der Modulkombination. Programme auf dem Niveau von CRISC und TOGAF Certified erfordern typischerweise mehrere Wochen intensiver Lernzeit. Der genaue Zeitrahmen wird zu Kursbeginn in Absprache mit dem Bildungsträger festgelegt. Die Zertifizierungsprüfungen (CRISC bei ISACA, TOGAF Certified bei The Open Group) werden separat angemeldet und sind zeitlich flexibel planbar.
Das Programm bereitet auf zwei extern anerkannte Zertifizierungsprüfungen vor: CRISC (Certified in Risk and Information Systems Control) der ISACA sowie TOGAF Certified (Level 2) der Open Group. Beide Abschlüsse sind weltweit anerkannte Qualifikationen ihrer jeweiligen Fachorganisationen. Zusätzlich stellt der Bildungsträger eine qualifizierte Teilnahmebescheinigung aus. Die ISACA-Prüfung erfordert neben dem Bestehen der Prüfung auch den Nachweis von Berufserfahrung, bevor das Zertifikat offiziell verliehen wird.
Nutzen & Perspektiven
CRISC und TOGAF Certified sind zwei der gefragtesten strategischen IT-Qualifikationen auf dem deutschsprachigen Markt. Wer beide Abschlüsse vorweisen kann, ist für Rollen prädestiniert, in denen Risikomanagement und Unternehmensarchitektur zusammentreffen — etwa als IT-Governance-Manager, Head of Enterprise Architecture oder Risiko-Architekt in einer regulierten Branche. Gerade in Zeiten von DORA, NIS2 und steigenden Compliance-Anforderungen suchen Finanzinstitute und Versicherungen verstärkt nach Fachkräften, die beide Perspektiven verbinden. Die Kombination verbessert die Gesprächsfähigkeit gegenüber unterschiedlichen Stakeholdergruppen: CRISC-Kenntnisse schaffen Vertrauen bei Risk-Committee und Audit-Funktionen, TOGAF-Kenntnisse ermöglichen produktiven Dialog mit CTO, Solution Architects und Engineering-Teams. Diese Brückenfunktion ist auf dem Arbeitsmarkt selten und entsprechend hoch bewertet. Langfristig öffnet das Kombiprogramm den Weg zu weiteren ISACA-Zertifizierungen (CISM, CGEIT, CDPSE) oder zur Vertiefung im TOGAF-Ökosystem (Open FAIR, ArchiMate). Die durch das Programm entwickelten Artefakte — Risk Register, Compliance-Reports, ADM-Dokumentationen — lassen sich direkt in Berufsportfolios integrieren.
Häufig gestellte Fragen (FAQ)
Brauche ich TOGAF Foundation, bevor ich diesen Kurs belege?
TOGAF Foundation (Level 1) ist keine formale Voraussetzung für den Kurs, aber eine sinnvolle Vorbereitung. Die TOGAF-Certified-Prüfung (Level 2) setzt inhaltlich auf Foundation-Konzepten auf. Vorkenntnisse in Enterprise Architecture erleichtern den Einstieg deutlich.
Wie viel Berufserfahrung brauche ich für die CRISC-Zertifizierung?
ISACA verlangt drei Jahre nachgewiesene Berufserfahrung in mindestens zwei der vier CRISC-Domänen, bevor das Zertifikat nach bestandener Prüfung verliehen wird. Der Kurs bereitet inhaltlich vor, ersetzt diese Erfahrung aber nicht.
Sind CRISC und TOGAF Certified auf Englisch?
Die Originalprüfungen und offizielle Dokumentation liegen auf Englisch vor. Der Kursunterricht kann auf Deutsch stattfinden; Englischkenntnisse auf B2-Niveau werden für die Prüfungsvorbereitung empfohlen.
Warum sind CRISC und TOGAF eine sinnvolle Kombination?
Risikomanagement und Enterprise Architecture sind in regulierten Branchen eng verzahnt. CRISC liefert das Risiko-Framework, TOGAF die Architektur-Methodik. Wer beides beherrscht, kann Risiken direkt in Architekturentscheidungen einbetten und damit eine strategische Brückenfunktion übernehmen.
In welchen Branchen ist diese Kombination besonders gefragt?
Finanzdienstleistung (DORA-Compliance), Versicherungen, Gesundheitswesen und öffentlicher Sektor suchen verstärkt Fachkräfte, die IT-Risiken architektonisch adressieren können. Auch IT-Beratungen mit Schwerpunkt Governance und Compliance bieten entsprechende Rollen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Cyber-Security-Consultant528 Stellen
- Enterprise Architect481 Stellen
- Risk Manager220 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT-Sicherheitsmanager0 Stellen