Überblick
Diese Weiterbildung verbindet zwei international anerkannte Zertifizierungen aus unterschiedlichen Fachgebieten, die in der Praxis jedoch eng zusammenwirken: ISACA CISM steht für das strategische Management von Informationssicherheit, während das EXIN Certified Business Analyst-Programm die systematische Erhebung, Analyse und Kommunikation von Anforderungen in IT-Projekten abdeckt. Gerade in Sicherheitsprojekten – von der Einführung neuer Sicherheitsarchitekturen über Compliance-Vorhaben bis hin zu IAM-Rollouts – ist die Fähigkeit, Anforderungen zwischen Fachseite und Technik zu übersetzen, entscheidend für den Projekterfolg. Der kombinierte Lehrgang richtet sich an Fachleute, die nicht nur Sicherheitsstrategien entwickeln, sondern diese auch als fundierte Anforderungsanalytiker in Projekte überführen können.
Kursinhalte & Lernziele
Modul CISM – Governance und Strategieentwicklung Ausgangspunkt ist die ISACA-Domäne Information Security Governance. Sicherheitsstrategien entstehen nur dann dauerhaft wirksam, wenn sie aus dem Unternehmenskontext heraus entwickelt, von der Führungsebene getragen und durch klare Richtlinien operationalisiert werden. Dieser Block legt das strategische Fundament für alle weiteren CISM-Domänen.
- Entwicklung einer Informationssicherheitsstrategie
- Alignment von Sicherheitszielen und Unternehmenszielen
- Aufbau und Pflege von Sicherheitsrichtlinien und Rahmenwerken
- Governance-Metriken und Sicherheits-Dashboards
- Steuerung von Dienstleistern und Partnern im Sicherheitskontext
Modul CISM – Risikomanagement und Security Program Development Die ISACA-Domänen Risk Management und Security Program Development werden verknüpft. Risiken müssen quantitativ und qualitativ bewertet werden, bevor das Sicherheitsprogramm die passenden Gegenmaßnahmen strukturiert. Dieser Block zeigt den Weg vom Risikoregister zum operativen Sicherheitsprogramm.
- Bedrohungsmodellierung und Risikoregister-Aufbau
- Risikobehandlung: Vier-Optionen-Modell und Residualrisiko
- Sicherheitsprogramm-Aufbau: Budget, Personal, Technologie
- Kennzahlensysteme für das Sicherheitsprogramm
- Sicherheitsanforderungen in Projekten und im Change-Prozess verankern
Modul CISM – Incident Management Sicherheitsvorfälle folgen ihrer eigenen Logik: Vorbereitung, Erkennung, Eindämmung, Behebung, Wiederherstellung und Nachbereitung bilden einen Zyklus, den dieser Block für Fachkräfte mit Managementverantwortung aufarbeitet. Der Fokus liegt auf der Koordination und Entscheidungsfindung unter Zeitdruck.
- Incident-Response-Plan: Rollen, Eskalationswege, Kommunikation
- Forensik-Grundlagen aus Managementsicht
- Krisenmanagement und externe Kommunikation
- Post-Incident-Review und Lessons-Learned-Integration
Modul EXIN Certified Business Analyst – Anforderungserhebung und Analyse Das EXIN-BA-Curriculum basiert auf dem BABOK Guide (Business Analysis Body of Knowledge). Dieser Block behandelt die Kernaufgabe des Business Analyst: Anforderungen erheben, analysieren und so dokumentieren, dass sie als Grundlage für Projektentscheidungen taugen. Im Kontext von Sicherheitsprojekten bedeutet das: Was braucht die Fachseite, was kann die Technik liefern, und wie werden Lücken sichtbar?
- Stakeholder-Identifikation und Analyse-Techniken
- Anforderungserhebung: Interviews, Workshops, Dokumentenanalyse
- Anforderungsklassifizierung: funktional, nicht-funktional, Constraints
- Prozessmodellierung mit BPMN-Grundkenntnissen
- Anforderungsdokumentation und Traceability
Modul EXIN Certified Business Analyst – Lösungsbewertung und Change Management Business Analysten bewerten Lösungsoptionen, begleiten Implementierungen und unterstützen das Änderungsmanagement. Dieser Block schließt den BA-Kreislauf und zeigt, wie Anforderungsarbeit in laufenden Projekten und bei Änderungen bleibt.
- Lösungsoptionen strukturiert bewerten
- Gap-Analyse und Machbarkeitsbewertung
- Anforderungsänderungen verwalten und kommunizieren
- Übergang in Implementierungsphase und Abnahmeunterstützung
- BA-Metriken und Qualitätssicherung in Anforderungsdokumenten
Praxisblock Die Module beider Zertifizierungen werden in integrierten Fallstudien zusammengeführt. Szenarien umfassen typische Sicherheitsprojekte – beispielsweise die Einführung eines Identity-Management-Systems oder die Umsetzung einer neuen Datenschutz-Policy –, bei denen sowohl CISM- als auch BA-Kompetenzen gleichzeitig gefragt sind.
- Anforderungserhebung für ein fiktives Sicherheitsprojekt
- Risikoanalyse und Governance-Dokumentation
- Stakeholder-Kommunikationsplan für Sicherheitsvorhaben
- Lösungsbewertung und Entscheidungsvorlage an Führungsebene
- Gap-Analyse: aktueller vs. angestrebter Sicherheitsstandard
- Abschlusspräsentation mit Management-Summary
Die Besonderheit dieses Kursbündels liegt in der bewussten Querverbindung: Business-Analyse-Methoden machen CISM-Strategien kommunizierbar und umsetzbar, während der CISM-Rahmen Business-Analysten für Sicherheitsanforderungen sensibilisiert.
Lernziele:
- Sicherheitsgovernance-Strukturen nach ISACA-Rahmenwerk entwickeln und steuern
- Informationssicherheits-Risiken identifizieren, bewerten und behandeln
- Sicherheitsprogramme aufbauen, ressourcengerecht planen und performance-orientiert steuern
- Sicherheitsvorfälle strukturiert managen, von der Erkennung bis zur Nachbereitung
- Anforderungserhebungsmethoden nach BABOK-Standard gezielt einsetzen
- Stakeholder-Analyse und Kommunikationspläne für Sicherheitsprojekte erstellen
- Fachliche Anforderungen in Sicherheitsarchitekturen und Compliance-Vorhaben übersetzen
- Lösungsoptionen bewerten und Entscheidungen für Sicherheitsprojekte vorbereiten
- Prozessmodellierung und Dokumentation in Sicherheitsprojekten anwenden
- Gap-Analysen zwischen Ist-Zustand und gewünschtem Sicherheitsniveau durchführen
- Änderungsanforderungen in laufenden Sicherheitsprogrammen strukturiert verwalten
- Beide Zertifizierungsprüfungen (CISM und EXIN BA) inhaltlich vorbereiten
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an Fachleute an der Schnittstelle von IT-Sicherheit und Projektarbeit, die beide Disziplinen professionell beherrschen wollen.
- IT-Projektmanager und Business Analysten, die häufig in Sicherheitsprojekten arbeiten
- Sicherheitsbeauftragte, die ihre Anforderungs- und Kommunikationskompetenz ausbauen wollen
- Compliance-Verantwortliche mit Interesse an strukturierter Anforderungsarbeit
- IT-Berater, die Kunden sowohl sicherheitsfachlich als auch prozessual unterstützen
- Fachkräfte aus IT-Governance und Risikomanagement mit Projekterfahrung
Für den CISM-Teil empfiehlt ISACA mehrjährige Berufserfahrung im Bereich Informationssicherheit; die offizielle Zertifizierung setzt später fünf Jahre Gesamterfahrung und drei Jahre in mindestens zwei Domänen voraus. Für EXIN BA sind grundlegende Kenntnisse im IT-Projektumfeld und Erfahrung in der Zusammenarbeit mit Stakeholdern hilfreich. Technisches Detailwissen ist weniger entscheidend als analytisches Denkvermögen und Kommunikationsstärke.
Ablauf & Abschluss
Der Lehrgang läuft im virtuellen Klassenzimmer als Live-Unterricht (Combined Learning), bei dem beide Kursbestandteile abwechselnd durch erfahrene Fachtrainer vermittelt werden. Fallstudien und Gruppenarbeiten ergänzen die Theoriephasen; praktische Dokumentationsaufgaben fördern die unmittelbare Anwendung der BA-Techniken. Der Kurs ist als Vollzeitweiterbildung konzipiert.
Die Gesamtdauer liegt bei mehr als einem Monat bis zu drei Monaten (Vollzeit). Die genaue Stundenzahl hängt vom gewählten Modulumfang ab. Prüfungen für CISM (ISACA) und EXIN Certified Business Analyst werden separat beim jeweiligen Zertifizierungsanbieter abgelegt.
Kursabsolventen erhalten eine qualifizierte Teilnahmebescheinigung. Die offiziellen Zertifizierungsprüfungen – ISACA CISM und EXIN Certified Business Analyst – werden unabhängig vom Kurs abgelegt. CISM setzt neben der Prüfung die Anerkennung der Berufserfahrung durch ISACA voraus.
Nutzen & Perspektiven
Der kombinierte Nachweis von CISM und EXIN BA öffnet ein Karrieresegment, das bislang häufig durch Zufall besetzt wird: Fachleute, die Sicherheitsstrategien nicht nur entwickeln, sondern auch in Projekte übersetzen können. Diese Verbindung ist besonders in mittleren und großen Organisationen gefragt, wo Sicherheitsvorhaben an der schlechten Anforderungskommunikation zwischen Fachseite und IT scheitern. Im Alltag bedeutet das: Wer CISM und BA gemeinsam beherrscht, kann als Security Business Analyst oder als Senior Sicherheitsberater tätig werden, der auch Anforderungsworkshops leitet, Stakeholder moderiert und Entscheidungsvorlagen für das Management erstellt. Diese Breite erhöht den Einfluss innerhalb von Sicherheitsprogrammen erheblich. Für Organisationen bietet der Einsatz solcher Kompetenzen einen messbaren Vorteil: Sicherheitsprojekte mit klar dokumentierten Anforderungen scheitern seltener und liefern validierbare Ergebnisse. Der Abschluss beider Zertifizierungen ist somit nicht nur ein persönliches Karrieresignal, sondern ein nachweisbarer Beitrag zur Projektreife von Sicherheitsprogrammen. Ein weiterer praktischer Aspekt: Anforderungsanalytiker mit EXIN-BA-Hintergrund, die zusätzlich CISM-Kenntnisse mitbringen, können Sicherheitsanforderungen in Ausschreibungen und RFPs präziser formulieren. Wer weiß, was Informationssicherheitsmanagement inhaltlich bedeutet, kann mit Anbietern auf Augenhöhe verhandeln, Angebote kritisch vergleichen und Abnahmekriterien für Sicherheitsleistungen definieren. Diese Fähigkeit ist in Einkaufsabteilungen und bei Outsourcing-Vorhaben hochrelevant, aber selten zu finden.
Häufig gestellte Fragen (FAQ)
Was bringt die Kombination CISM und EXIN Business Analyst?
CISM vermittelt die strategische Führung von Informationssicherheitsprogrammen. EXIN BA ergänzt dies um strukturierte Anforderungsanalyse – eine Kompetenz, die in Sicherheitsprojekten häufig fehlt und deren Fehlen Projekte scheitern lässt.
Brauche ich für diesen Kurs Programmierkenntnisse?
Nein. Beide Zertifizierungen sind nicht auf technische Programmierung ausgerichtet. Wichtiger sind analytisches Denken, Kommunikationsstärke und Erfahrung in der Zusammenarbeit mit verschiedenen Stakeholdern.
Wie werde ich auf die Prüfungen vorbereitet?
Der Kurs deckt die Lerninhalte beider Prüfungen systematisch ab. Die offiziellen Prüfungen werden separat beim jeweiligen Anbieter (ISACA für CISM, EXIN für den BA-Teil) abgelegt.
Ist der Kurs auch für Quereinsteiger in die IT-Sicherheit geeignet?
Bedingt: Für den CISM-Teil setzt ISACA für die spätere Zertifizierung mehrjährige Sicherheitserfahrung voraus. Wer über Projekterfahrung und IT-Grundkenntnisse verfügt, kann den Kurs aber gut als Einstieg in die Sicherheitsdomäne nutzen.
Was unterscheidet diesen Kurs vom reinen CISM-Kurs?
Der Business-Analyst-Teil ergänzt CISM um die praktische Anforderungsarbeit in Projekten. Wer häufig an der Schnittstelle von Fachseite und IT arbeitet, profitiert von beiden Kompetenzen gleichzeitig.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Business Analyst (IT-Sicherheit)2.245 Stellen
- Information Security Manager106 Stellen
- Chief-Information-Security-Officer103 Stellen
- Business-Continuity-Manager/Business-Continuity-Managerin42 Stellen
- IT-Lizenzmanager/IT-Lizenzmanagerin38 Stellen
- Sicherheitsmanager/Sicherheitsmanagerin15 Stellen