Überblick
Diese Kombinations-Weiterbildung verbindet zwei international anerkannte Qualifikationen aus unterschiedlichen Disziplinen der IT-Sicherheit: Der Certified Information Security Manager (CISM) von ISACA qualifiziert für das strategische Management von Informationssicherheitsprogrammen, während der ISTQB Advanced Level Security Tester-Abschluss methodisch strukturiertes Testen von Sicherheitseigenschaften in Software und Systemen in den Mittelpunkt stellt. Diese Kombination ist besonders wertvoll für Fachleute, die Sicherheitsanforderungen nicht nur konzipieren, sondern auch operativ durch systematisches Testing absichern wollen.
Kursinhalte & Lernziele
Modul CISM – Sicherheits-Governance und Programmentwicklung Governance ist die strategische Grundlage effektiver Informationssicherheit. In diesem Block erarbeiten Sie, wie Sicherheitsziele aus Unternehmenszielen abgeleitet werden, wie ein tragfähiges Informationssicherheitsprogramm strukturiert und betrieben wird und welche Rolle Richtlinien, Standards und Metriken dabei spielen.
- Sicherheitsstrategie und Ausrichtung an Unternehmenszielen
- Informationssicherheits-Policies, -Standards und -Prozeduren
- Sicherheitsprogramm-Entwicklung: Rollen, Verantwortlichkeiten, Budgetierung
- Ressourcenmanagement und Outsourcing-Sicherheitsfragen
- Messung der Programmeffektivität durch KPIs und Metriken
Modul CISM – Risikomanagement und Vorfallsteuerung Neben der Programmentwicklung sind Risikobewertung und Vorfallsteuerung die zentralen Tätigkeitsfelder eines CISM-Praktikers. Sie lernen, Bedrohungen und Schwachstellen systematisch zu bewerten, Risiken in Managemententscheidungen einzubetten und auf Sicherheitsvorfälle strukturiert zu reagieren. Der Block zeigt, wie Sicherheitsmanagement als kontinuierlicher Steuerungsprozess funktioniert, nicht als statisches Policy-Dokument.
- Risikoidentifikation, -analyse und Risikoreaktionsoptionen
- Business-Impact-Analysen und organisatorische Risikotoleranz
- Incident-Klassifikation, -Eskalation und Vorfallreaktionspläne
- Forensik-Grundlagen und Beweissicherung bei Vorfällen
- Wiederherstellung und Post-Incident-Review
- Business-Continuity als integraler Bestandteil des Sicherheitsprogramms
Modul ISTQB Advanced Security Tester – Methodik und Testentwurf Der ISTQB Advanced Level Security Tester-Lehrplan vermittelt ein systematisches Testverständnis für Sicherheitseigenschaften. Sie lernen, wie Security-Tests in Entwicklungsprozesse integriert werden, welche Teststrategien für unterschiedliche Systemtypen geeignet sind und wie Testergebnisse so dokumentiert werden, dass sie für Entwicklungs- wie für Managementadressen verwertbar sind.
- Sicherheitstestpolitiken und -strategien im Projektkontext
- Bedrohungsmodellierung (Threat Modeling) als Grundlage für Testplanung
- Risikobasierte Priorisierung von Sicherheitstests nach Eintrittswahrscheinlichkeit und Schadenspotenzial
- Testansätze: Black-Box, White-Box, Gray-Box, Static Analysis
- Testumgebungen, Testwerkzeuge und sichere Testdatenverwaltung
- Dokumentation, Traceability und Berichterstattung von Security-Testergebnissen
Praxisblock: Sicherheitstesting in der Anwendung
- Durchführung von Penetrationstest-Szenarien mit üblichen Security-Testing-Werkzeugen
- Analyse von OWASP Top 10 Schwachstellen aus Testersicht
- Sicherheitstests für Web-Applikationen, APIs und Netzwerkdienste
- Authentifizierungs- und Autorisierungstests, Session-Management-Analyse
- Fuzzing und Eingabevalidierungstests
- Security-Regression-Tests im CI/CD-Kontext
- Bewertung und Klassifikation von Testergebnissen nach Risiko-Scores (z. B. CVSS)
- Erstellung von Testberichten für technische und Managementadressen
- Mapping von Test-Findings zu CISM-Risikobewertungsrahmen
- Umgang mit False Positives und Testdokumentation nach ISTQB-Standards
- Kombinierte Fallstudien: Wie Security-Test-Ergebnisse in CISM-Governance-Prozesse fließen
Wer CISM und ISTQB Advanced Security Tester gemeinsam erarbeitet, versteht Sicherheit aus zwei Perspektiven: der strategisch-steuernden und der operativ-prüfenden. Diese Verbindung ermöglicht es, nicht nur Sicherheitsanforderungen zu formulieren, sondern auch nachzuweisen, dass sie in Systemen tatsächlich umgesetzt sind.
Lernziele:
- Sie verstehen die vier CISM-Domänen – Informationssicherheits-Governance, Risikomanagement, Programmentwicklung und Vorfallmanagement – als kohärentes Managementsystem
- Sie entwickeln und steuern ein Informationssicherheitsprogramm im Einklang mit Unternehmenszielen und regulatorischen Anforderungen
- Sie etablieren eine Sicherheitsgovernance-Struktur mit klaren Verantwortlichkeiten und Eskalationswegen
- Sie planen und koordinieren die Reaktion auf Sicherheitsvorfälle nach bewährten Vorgehensmodellen
- Sie kennen die Grundprinzipien des Sicherheitstestens nach dem ISTQB Advanced Level Security Tester-Lehrplan
- Sie führen risikobasierte Sicherheitstests durch und identifizieren Schwachstellen in Softwareanwendungen und Systemen
- Sie wenden gängige Angriffstechniken und -werkzeuge aus Testersicht an (Black-Box, White-Box, Gray-Box)
- Sie berücksichtigen Datenschutz- und Compliance-Anforderungen beim Entwurf und der Durchführung von Sicherheitstests
- Sie analysieren Testergebnisse und formulieren Risikobewertungen für Entwicklungs- und Betriebsteams
- Sie überbrücken die Lücke zwischen Security-Management (CISM) und Security-Testing (ISTQB) in der täglichen Praxis
- Sie bereiten sich auf beide Zertifizierungsprüfungen strukturiert vor
Zielgruppe & Voraussetzungen
Das Programm eignet sich für IT-Sicherheitsfachleute, die in ihrer Karriere beide Dimensionen – Management und Testing – entwickeln wollen. Besonders relevant ist es für Personen, die zwischen Entwicklung, Betrieb und Sicherheitsverantwortung arbeiten.
- IT-Sicherheitsanalysten, die in Managementfunktionen wechseln wollen
- Softwaretester mit Interesse an formaler Sicherheitsspezialisierung
- Informationssicherheitsbeauftragte, die ihr Testing-Know-how strukturieren möchten
- QA-Verantwortliche in sicherheitskritischen Umgebungen
- Security-Consultants, die beiden Zertifizierungen als Referenz anstreben
Grundlegende Erfahrung in der IT-Sicherheit oder im Softwaretesting erleichtert den Einstieg erheblich. Für den CISM-Prüfungsweg verlangt ISACA nach dem Examen fünf Jahre Berufserfahrung in der Informationssicherheit, davon drei Jahre in Management-Domänen. Für den ISTQB Advanced Level Security Tester empfiehlt das ISTQB den ISTQB Foundation Level als Einstieg; ohne Foundation-Level-Zertifikat sind praktische Testing-Grundkenntnisse unbedingt erforderlich. Programmierkenntnisse sind hilfreich, aber kein Pflichtvoraussetzung.
Ablauf & Abschluss
Der Unterricht findet im virtuellen Klassenzimmer statt; eine Präsenzteilnahme in einem Trainingszentrum ist ebenfalls möglich. Theorieblöcke wechseln mit praktischen Übungsphasen ab, in denen Sie Security-Testing-Werkzeuge einsetzen und Fallstudien bearbeiten. Die Kursinhalte beider Zertifizierungsbereiche werden von praxiserfahrenen Dozenten vermittelt, die IT-Sicherheitsmanagement und Testing aus der Unternehmenspraxis kennen. Die Lernumgebung bietet Raum für Fragen und kollegiale Problemanalyse.
Das Programm ist für den Vollzeiteinsatz konzipiert und umfasst in der Regel ein bis drei Monate, abhängig davon, welche Module kombiniert werden. Beide Zertifizierungsbereiche erfordern intensive Vorbereitung; das Vollzeitformat unterstützt konzentriertes Lernen ohne lange Unterbrechungen.
Nach Programmabschluss erhalten Sie eine qualifizierte Teilnahmebescheinigung des Anbieters. Der Kurs bereitet Sie auf zwei externe Prüfungen vor: die CISM-Prüfung von ISACA sowie die ISTQB Advanced Level Security Tester-Prüfung des International Software Testing Qualifications Board. Beide Zertifikate werden von den jeweiligen Fachorganisationen ausgestellt; sie sind nicht Bestandteil der Kursteilnahme, sondern werden durch gesonderte Prüfungsanmeldung erworben.
Nutzen & Perspektiven
CISM zählt zu den meistgefragten Managementzertifikaten in der Informationssicherheit. Wer zusätzlich den ISTQB Advanced Security Tester vorweisen kann, signalisiert, dass er nicht nur Sicherheitskonzepte steuert, sondern auch in der Lage ist, deren technische Umsetzung methodisch zu überprüfen. Diese Brückenkompetenz ist in Unternehmen gefragt, in denen Sicherheitsmanagement und Qualitätssicherung enger verzahnt werden sollen. Gerade in Branchen wie Finanzdienstleistungen, E-Commerce oder öffentlicher Verwaltung, wo Sicherheitsanforderungen durch Regulatoren geprüft werden, ist die Kombination aus Management-Sicht (CISM) und strukturierter Testing-Kompetenz (ISTQB) ein besonders starkes Profil. Arbeitgeber können damit rechnen, dass solche Fachkräfte sowohl in Audit-Gesprächen als auch in technischen Reviewprozessen glaubwürdig auftreten. Das Programm legt damit die Basis für Rollen, die in der Praxis selten besetzt werden: Sicherheitsverantwortliche, die zwischen Governance-Ebene und technischer Verifikation wechseln können – und die damit in beide Richtungen überzeugend kommunizieren. Ein praktischer Nebeneffekt dieser Doppelqualifikation: Wer CISM und ISTQB Advanced Security Tester vereint, versteht, warum viele Sicherheitsrichtlinien in der Implementierung scheitern – und kann gezielt dort eingreifen, wo Governance und Testing auseinanderlaufen. Diese Fähigkeit ist selten und entsprechend gefragt in Organisationen, die Sicherheit als echten Qualitätsprozess verstehen und nicht nur als Dokumentationspflicht.
Häufig gestellte Fragen (FAQ)
Was unterscheidet den ISTQB Advanced Security Tester vom Foundation Level?
Der ISTQB Foundation Level vermittelt allgemeine Testgrundlagen, während der Advanced Level Security Tester gezielt auf sicherheitsspezifisches Testen eingeht: Bedrohungsmodellierung, risikobasierte Teststrategien, Penetrationstest-Methoden und die Integration von Security-Tests in Entwicklungsprozesse. Er richtet sich an erfahrene Tester, die eine formale Spezialisierung in der Sicherheitsdomäne anstreben.
Ist CISM auch ohne Management-Hintergrund sinnvoll?
CISM richtet sich an Personen, die Informationssicherheitsprogramme managen oder in diese Richtung wechseln wollen. Fachleute aus dem technischen Bereich, die perspektivisch Führungsaufgaben übernehmen möchten, profitieren davon, weil der CISM-Rahmen strategisches Denken, Governance-Strukturen und Stakeholder-Kommunikation systematisiert. Für die CISM-Designation sind allerdings Berufserfahrungsnachweise bei ISACA erforderlich.
Wie hängen CISM und ISTQB Security Tester in der Praxis zusammen?
CISM definiert, welche Sicherheitsanforderungen ein Unternehmen hat und wie Risiken gesteuert werden. ISTQB Security Tester gibt die Methodik vor, mit der diese Anforderungen technisch überprüft werden. In der Praxis arbeiten CISM-Inhaber häufig mit Security-Testern zusammen; wer beide Perspektiven kennt, kann diese Zusammenarbeit effektiver gestalten.
Werden im Kurs konkrete Testing-Tools eingesetzt?
Ja, der Praxisblock umfasst den Einsatz gängiger Security-Testing-Werkzeuge im Rahmen von Übungsszenarien. Konkrete Tool-Namen variieren je nach Kursanbieter und können Web-Application-Scanner, Netzwerk-Analyzer oder statische Analysetools umfassen.
Wie viel Erfahrung brauche ich für den ISTQB Advanced Level Security Tester?
Das ISTQB empfiehlt praktische Erfahrung im Softwaretesting sowie den ISTQB Foundation Level Certificate als Einstiegsqualifikation. Ohne Foundation-Zertifikat sollten Sie solide Testkenntnisse mitbringen. Der Kurs bereitet Sie gezielt auf den Advanced Security Tester-Lehrplan vor, unabhängig davon, ob Sie das Foundation Level bereits absolviert haben.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Sicherheitsmanager/Sicherheitsmanagerin264 Stellen
- Informationssicherheitsbeauftragter/Informationssicherheitsbeauftragte241 Stellen
- Informationssicherheitsbeauftragter201 Stellen
- Chief-Information-Security-Officer103 Stellen
- Business-Continuity-Manager/Business-Continuity-Managerin6 Stellen
- Security Tester1 Stellen