Überblick
Salesforce ist in vielen Unternehmen nicht nur ein CRM-Tool, sondern das zentrale System für Vertrieb, Kundenservice und Marketing — und damit gleichzeitig eine der größten Datenhaltungsinstanzen für sensible Kundendaten. Dieser Kurs verbindet die ISACA-CISM-Qualifikation mit der Salesforce-Administrator-Zertifizierung, weil genau diese Kombination in der Praxis selten und deshalb besonders wertvoll ist. CISM vermittelt das strategische Handwerk für Informationssicherheitsgovernance: Wie baut man ein tragfähiges Sicherheitsprogramm auf? Wie managt man Risiken strukturiert? Wie koordiniert man Incident-Response-Prozesse auf Managementebene? Der Salesforce-Administrator-Teil beantwortet, wie diese Prinzipien konkret in der Plattformkonfiguration umgesetzt werden — über Sicherheitsmodell, Shield-Features, Datenschutzkonfigurationen und Automatisierungen.
Kursinhalte & Lernziele
CISM-Domäne 1 — Informationssicherheits-Governance und Salesforce-Kontext Governance bedeutet im CISM-Sinne: Die Sicherheitsstrategie ist aus den Unternehmenszielen abgeleitet, klar verantwortet und über eine kohärente Policy-Hierarchie operationalisiert. Im Salesforce-Kontext bekommt Governance eine konkrete Ausprägung: Wer darf die Salesforce-Org konfigurieren? Wie werden Änderungen genehmigt? Welche Dateneigentümerschaft gilt für CRM-Daten? Dieses Modul verbindet den abstrakten Governance-Rahmen mit praxisnahen Salesforce-Governance-Fragen.
- CISM-Governance-Strukturen: Informationssicherheits-Ausschüsse, CISO-Rolle, Reporting-Linien zum Vorstand
- Policy-Hierarchie: Informationssicherheitsrichtlinie, Standards, Prozeduren, Guidelines — am Beispiel CRM
- Sicherheitsstrategie entwickeln: Business-Ziele als Ausgangspunkt, Security-Roadmap als Ergebnis
- Salesforce-Change-Governance: Wer genehmigt Konfigurationsänderungen, und wie wird das dokumentiert?
- Klassifikation von CRM-Daten: Sensitivitätsstufen für Kundendaten, Vertriebs-Pipelines, Vertragsdaten
- Regulatorische Anforderungen (DSGVO, ISO 27001, branchenspezifische Vorgaben) als Governance-Input
CISM-Domäne 2 — Risikomanagement für Salesforce-Umgebungen Salesforce-Instanzen tragen Risiken, die über generische IT-Risiken hinausgehen: Fehlkonfigurationen im Sharing-Modell können Massendatenlecks auslösen; unsichere Connected Apps öffnen Zugangswege; schlecht konfigurierte Automatisierungen können Daten in falsche Hände leiten. Dieses Modul verbindet CISM-Risikomanagement-Methodik mit den spezifischen Risikofeldern einer Salesforce-Umgebung.
- Asset-Inventar und Schutzbedarfsfeststellung für CRM-Datenbestände
- Qualitative und quantitative Risikoanalyse: Bedrohungsszenarien für Salesforce (Fehlkonfiguration, Insider, API-Missbrauch)
- Risikobehandlungsentscheidungen: Sicherheitskontrollen auswählen, priorisieren und dokumentieren
- Drittanbieter-Risikomanagement: AppExchange-Apps, externe Integrationen, API-Zugänge bewerten
- Awareness-Programme für Salesforce-Nutzer: Phishing-Risiken, Datenschutz im CRM-Alltag
- Kontinuierliches Risikomonitoring: Eskalationswege, Risikoregister, Berichterstattung
CISM-Domäne 3 — Sicherheitsprogramm-Management Ein Sicherheitsprogramm ist mehr als eine Sammlung von Technologiemaßnahmen — es erfordert Ressourcenplanung, Schulungskonzepte, Wirksamkeitsmessung und kontinuierliche Verbesserung. Dieser Block vermittelt die operative Programm-Management-Kompetenz, die ein CISM-zertifizierter Manager täglich braucht.
- Programm-Scope, Budgetierung und Ressourcenallokation für CRM-Sicherheit
- Security-Awareness-Konzept für verschiedene Salesforce-Nutzergruppen (Sales, Service, Admin, IT)
- Vulnerability-Management in SaaS-Umgebungen: Patch-Informationen auswerten, Risiken kommunizieren
- Security-Metriken und KPIs: welche Kennzahlen für Salesforce-Sicherheitsgovernance relevant sind
- Vendor-Management: Sicherheitsanforderungen in Salesforce-Partnerverträge einbringen
CISM-Domäne 4 — Incident Management für CRM-Vorfälle Sicherheitsvorfälle in Salesforce sind keine rein technischen Ereignisse — sie betreffen Kundendaten, lösen DSGVO-Meldepflichten aus und müssen gegenüber dem Management kommuniziert werden. Dieses Modul deckt den vollständigen Incident-Response-Zyklus ab und verankert ihn konkret in der Salesforce-Umgebung.
- Incident-Response-Plan: Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung
- Forensische Auswertung von Salesforce-Logs: Setup Audit Trail, Login History, Event-Monitoring-Daten
- Business-Continuity-Überlegungen für Salesforce-abhängige Geschäftsprozesse
- DSGVO-Meldepflichten: Fristen, Meldewege, Dokumentationsanforderungen bei Datenpannen
- Post-Incident-Review: Lessons Learned in das Sicherheitsprogramm einspeisen
Salesforce-Administrator — Plattformkonfiguration mit Sicherheitsfokus Dieser Block übersetzt CISM-Prinzipien in konkrete Salesforce-Konfigurationsmaßnahmen. Teilnehmende arbeiten mit Developer-Orgs und Trailhead-Sandboxes und lernen, wie Sicherheitsarchitektur über native Salesforce-Werkzeuge umgesetzt wird.
- Benutzerverwaltung: Profile, Rollen, Berechtigungssätze, Berechtigungsgruppen und Delegierte Administration
- Organization-Wide Defaults (OWD): Sichtbarkeit steuern, Sharing Rules definieren, manuelle Freigaben verwalten
- Salesforce Shield konfigurieren: Event Monitoring aktivieren, Field Audit Trail einrichten, Platform Encryption umsetzen
- Login-Sicherheit: IP-Whitelisting, Multi-Faktor-Authentifizierung (MFA), Session-Timeout-Policies
- Connected Apps, OAuth 2.0 und SAML 2.0: Integrationssicherheit konfigurieren
- Salesforce Flow: Record-Triggered Flows und Screen Flows für sicherheitsrelevante Prozesse entwerfen
- DSGVO-Konfiguration: Individual-Objekt für Datenschutzanfragen, Data Deletion, Consent Management
- Reports und Dashboards für Sicherheits-KPIs: Login-History-Reports, Setup-Audit-Trail-Auswertungen
- AppExchange-Sicherheitsbewertung: Datenflüsse, Berechtigungsanfragen, Publisher-Reviews
- Change-Management: Sandbox-Strategien, Change Sets, Release-Prozesse sicherheitsorientiert gestalten
- Passwortrichtlinien, Session-Einstellungen und Anmeldeflüsse konfigurieren
- Salesforce-Datenmodell: Standard Objects, Custom Objects, Beziehungstypen und Zugriffskontrolle
Lernziele:
- Einen unternehmensweiten Informationssicherheits-Governance-Rahmen nach ISACA-Methodik aufbauen und steuern
- Sicherheitsrisiken in Salesforce-Umgebungen methodisch identifizieren, bewerten und priorisieren
- Ein CISM-konformes Sicherheitsprogramm konzipieren, budgetieren und betreiben
- Incident-Response-Prozesse für CRM-bezogene Sicherheitsvorfälle planen und koordinieren
- Das Salesforce-Sicherheitsmodell vollständig verstehen: Organization-Wide Defaults, Rollenstruktur, Profile und Berechtigungssätze
- Salesforce Shield einrichten und für Compliance-Nachweise nutzen: Event Monitoring, Field Audit Trail und Platform Encryption
- Connected Apps, OAuth 2.0 und SAML 2.0 für Single Sign-On in Salesforce konfigurieren
- DSGVO-konforme Datenhaltung in Salesforce sicherstellen: Löschpflichten, Auskunftsrechte, Individual-Objekt
- Salesforce Flow für sicherheitsrelevante Prozessautomatisierungen einsetzen
- Security-Monitoring-Reports und -Dashboards für Sicherheits-KPIs in Salesforce aufbauen
- Drittanbieter-Apps aus dem AppExchange auf Datenflüsse und Sicherheitsrisiken bewerten
- Auf beide Prüfungen systematisch vorbereitet sein: CISM (ISACA) und Salesforce Certified Administrator (ADM-201)
Zielgruppe & Voraussetzungen
Dieser Kurs wendet sich an IT-Fachkräfte, die an der Schnittstelle von Sicherheitsmanagement und CRM-Plattformadministration tätig sind oder dorthin wechseln wollen.
- Salesforce-Administratoren, die Sicherheitsverantwortung übernehmen oder nachweisen müssen
- IT-Sicherheitsbeauftragte in Unternehmen, die Salesforce als kritisches System betreiben
- Compliance-Manager, die Salesforce-Konfigurationen auf regulatorische Anforderungen prüfen
- IT-Manager, die sowohl Governance-Kompetenz als auch technisches Plattformverständnis für CRM aufbauen
- Salesforce-Berater mit Fokus auf Security-Architektur und Governance
Grundlegende Kenntnisse in IT-Sicherheit und erste Berührungspunkte mit Salesforce oder vergleichbaren CRM-Plattformen sind hilfreich. Für die CISM-Zertifizierung schreibt ISACA fünf Jahre Berufserfahrung in der Informationssicherheit vor; der Kurs vermittelt das fachliche Fundament unabhängig davon, ob diese Anforderung bereits erfüllt ist. Für die Salesforce-Prüfung empfiehlt sich praktische Vorerfahrung mit der Plattform, ist aber keine formale Zulassungsbedingung.
Ablauf & Abschluss
Der Unterricht findet als synchrones Live-Training im virtuellen Klassenzimmer statt. Dozenten mit praktischer Projekterfahrung in beiden Bereichen leiten die Einheiten. CISM-Themen werden durch strukturierte Fallstudien aus dem CRM-Umfeld erarbeitet; Salesforce-Inhalte werden direkt in Developer-Orgs und Trailhead-Sandboxes konfiguriert. Der Wechsel zwischen konzeptionellen Erklärungsphasen, moderierter Fallarbeit und eigenständigen Konfigurationsübungen sichert das Tiefenverständnis auf beiden Seiten. Die Module sind individuell kombinierbar, was eine Anpassung an bereits vorhandene Kenntnisse in einem der beiden Bereiche erlaubt.
Die Gesamtdauer ist modular aufgebaut und richtet sich nach der individuellen Auswahl der CISM- und Salesforce-Lerneinheiten. CISM-Vorbereitung erfordert erfahrungsgemäß mehrere Monate intensiven Lernens über alle vier Domänen; der Salesforce-Administrator-Pfad lässt sich kompakter erarbeiten. Beide Prüfungen werden nach eigenem Zeitplan bei ISACA beziehungsweise bei Salesforce über die Webassessor-Plattform abgelegt. Der Live-Unterricht kann vom Home Office aus verfolgt oder an ausgestatteten Standorten mit Dual-Monitor-Arbeitsplatz wahrgenommen werden.
Der Kurs bereitet auf zwei externe Prüfungen vor: die CISM-Prüfung von ISACA und die Salesforce Certified Administrator-Prüfung (ADM-201). Das CISM-Zertifikat setzt neben dem Prüfungsbestehen den von ISACA geprüften Berufserfahrungsnachweis voraus. Das Salesforce-Zertifikat wird direkt nach bestandener Prüfung über Webassessor vergeben. Beide Zertifikate sind global anerkannte Qualifikationsnachweise ihrer jeweiligen Herausgeberorganisationen. Ergänzend erhalten Teilnehmende eine qualifizierte Teilnahmebescheinigung des Bildungsträgers.
Nutzen & Perspektiven
In Unternehmen mit Salesforce-Einsatz klafft regelmäßig eine Lücke zwischen Sicherheitsabteilung und CRM-Administration. Sicherheitsmanager formulieren Richtlinien, die Salesforce-Admins nicht in konkrete Konfigurationsschritte übersetzen können — oder Admins konfigurieren berechtigungsbeschränkende Einstellungen, ohne den regulatorischen Hintergrund zu kennen. Wer beide Seiten kennt, kann diese Lücke schließen: Richtlinien werden als Plattformkonfiguration umgesetzt, und Plattformkonfigurationen werden als Governance-Maßnahmen dokumentiert und verteidigt. CISM gehört zu den renommiertesten Managementzertifikaten in der Informationssicherheit weltweit und ist in Stellenanzeigen für Sicherheitsführungskräfte häufig explizit gefordert. Die Salesforce-Administrator-Zertifizierung ist in nahezu jeder Branche gefragt, weil die Plattform als CRM-Standard in Unternehmen unterschiedlichster Größen eingesetzt wird. Die Kombination eröffnet Positionen, in denen strategische Sicherheitsverantwortung und technische Plattformkompetenz zusammenkommen. Gerade in der aktuellen Regulierungslandschaft — DSGVO, NIS2, branchenspezifische Datenschutzvorgaben — sind Organisationen auf Fachkräfte angewiesen, die Sicherheitsgovernance nicht als abstraktes Regelwerk, sondern als operativ umsetzbares Konfigurationsmodell verstehen. Die doppelte Qualifikation aus diesem Kurs schafft genau dieses Profil.
Häufig gestellte Fragen (FAQ)
Welche zwei Prüfungen lege ich nach diesem Kurs ab?
Der Kurs bereitet auf die CISM-Prüfung von ISACA (150 Fragen, vier Stunden) und die Salesforce Certified Administrator-Prüfung (ADM-201, 60 Fragen) vor. Beide Prüfungen werden unabhängig voneinander bei den jeweiligen Prüfungsstellen abgelegt und sind nicht im Kurspreis enthalten.
Welche Berufserfahrung verlangt ISACA für das CISM-Zertifikat?
ISACA schreibt mindestens fünf Jahre Berufserfahrung in der Informationssicherheit vor, davon drei Jahre Managementerfahrung in mindestens zwei der vier CISM-Domänen. Das Zertifikat selbst wird erst nach Prüfungsbestehen und Nachweis dieser Erfahrung ausgestellt. Der Kurs liefert das fachliche Rüstzeug unabhängig vom aktuellen Karrierestand.
Was ist Salesforce Shield und warum ist es für Sicherheitsmanager wichtig?
Salesforce Shield ist ein kostenpflichtiges Add-on mit drei Kernfunktionen: Event Monitoring protokolliert alle Benutzeraktionen granular; Field Audit Trail speichert den Änderungsverlauf einzelner Datenbankfelder über Jahre; Platform Encryption verschlüsselt sensible Felder direkt in der Salesforce-Datenbank. Für CISM-konforme Governance sind alle drei Funktionen unverzichtbar, um Zugriffe und Datenänderungen lückenlos nachweisen zu können.
Warum sind CISM und Salesforce inhaltlich sinnvoll kombiniert?
In Unternehmen mit Salesforce-Einsatz verwaltet die Plattform oft die kritischsten Kundendaten. Ein CISM-Manager, der keine Salesforce-Kenntnisse hat, kann Sicherheitsrichtlinien nicht in konkrete Konfigurationsmaßnahmen übersetzen. Ein Salesforce-Admin ohne Governance-Wissen kann Sicherheitsrichtlinien nicht strategisch einordnen. Die Kombination schließt diese Übersetzungslücke.
Welchen Stellen profitieren besonders von dieser Doppelqualifikation?
Positionen wie Salesforce Security Architect, CRM Compliance Manager oder IT-Sicherheitsbeauftragter in Unternehmen mit Salesforce als zentralem System sind typische Einsatzfelder. Gerade in stark regulierten Branchen — Finanzdienstleistungen, Gesundheitswesen, Versicherungen — ist die Kombination aus CISM-Governance und Salesforce-Plattformkenntnis besonders gefragt.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Compliance-Manager235 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT-Lizenzmanager/IT-Lizenzmanagerin38 Stellen
- Wissensmanager/in35 Stellen
- IT-Service-Delivery-Manager/IT-Service-Delivery-Managerin25 Stellen
- Business-Continuity-Manager/Business-Continuity-Managerin6 Stellen