Überblick
Dieses Weiterbildungsprogramm verbindet zwei inhaltlich eng verwandte, aber methodisch unterschiedliche Kompetenzbereiche der IT-Sicherheit: die strategisch-prüfungsorientierte Perspektive des Certified Information Systems Auditor (CISA) mit den operativen Angriffs- und Testtechniken des CompTIA PenTest+ (Prüfungscode PT0-003). Wer beide Zertifizierungen erlangt, versteht IT-Sicherheit aus zwei Blickwinkeln gleichzeitig — und ist in der Lage, Schwachstellen sowohl aus Sicht des Auditors zu bewerten als auch technisch zu verifizieren. Der Kurs findet im Combined-Learning-Format statt und richtet sich an Fachleute, die an der Schnittstelle zwischen IS-Audit und offensivem Sicherheitstesten arbeiten wollen.
Kursinhalte & Lernziele
CISA — IS-Audit-Grundlagen und Governanceprüfung Der erste Themenblock legt die methodische Basis für das Auditing von Informationssystemen. Teilnehmende lernen, wie Prüfaufträge nach ISACA-Standards geplant, durchgeführt und dokumentiert werden, und wie IT-Governance-Strukturen einer Organisation systematisch bewertet werden.
- IS-Audit-Prozess: Planung, Scope-Festlegung, Risikoabschätzung
- Prüfung von IT-Governance-Rahmenbedingungen und Compliance-Strukturen
- Bewertung von IT-Strategie und Sourcing-Entscheidungen
- Audit von Beschaffungs-, Entwicklungs- und Implementierungsprozessen
- Kontrollen für IT-Betrieb und Servicekontinuität prüfen
CISA — Informationsschutz und Asset Protection Die zweite CISA-Domäne, die in diesem Block vertieft wird, befasst sich mit dem Schutz von Informationswerten — also dem Herzstück jeder IS-Prüfung. Themen umfassen Zugriffskontrollmodelle, kryptografische Schutzmechanismen und Incident-Response-Konzepte, die der Auditor bewerten muss.
- Bewertung physischer und logischer Zugriffskontrollen
- Kryptografiekonzepte und deren auditrelevante Aspekte
- Datenschutz- und Klassifizierungsrahmen aus Auditorenperspektive
- Incident-Management und Business-Continuity-Kontrollen prüfen
- Netzwerk- und Cloud-Sicherheitsarchitekturen unter Audit-Gesichtspunkten bewerten
CompTIA PenTest+ (PT0-003) — Vorbereitung und Testplanung CompTIA PenTest+ ist die praxisorientierte Gegenseite zum IS-Audit. Hier geht es nicht um die Prüfung bestehender Kontrollen, sondern darum, diese aktiv zu testen und Schwachstellen zu finden, bevor Angreifer es tun. Dieser Block vermittelt den methodischen Rahmen für professionelle Penetrationstests in modernen Umgebungen.
- Legal und Ethics: Rahmenverträge, Scopes, Rules of Engagement
- Passive und aktive Reconnaissance (OSINT, Port-Scanning, Service-Enumeration)
- Vulnerability-Scanning mit gängigen Tools (z. B. Nmap, Nessus-Klasse)
- Exploitation-Techniken für Netzwerkdienste, Webanwendungen und Active Directory
- Post-Exploitation, Pivoting und Lateral Movement in Testumgebungen
- Cloud-Sicherheitstests (AWS/Azure/GCP-Konzepte im PT0-003-Scope)
Praxisblock — Integrierte Übungsszenarien Die eigentliche Stärke dieses Kombikurses liegt darin, Audit- und Pentest-Perspektive in zusammenhängenden Szenarien zu üben. Teilnehmende bearbeiten realitätsnahe Fallstudien, bei denen sie zunächst als Auditor Kontrollschwächen identifizieren und anschließend als Pentester technisch verifizieren.
- Netzwerkarchitekturen auditieren und anschließend einen simulierten Pentest durchführen
- Webanwendungs-Sicherheitskontrollen prüfen (OWASP Top 10 aus beiden Perspektiven)
- Befundberichte nach PenTest+ schreiben und in CISA-konformes Berichtformat übersetzen
- Risikopriorisierung aus kombinierten Audit- und Testbefunden
- Gegenmaßnahmen empfehlen und deren Wirksamkeit bewerten
- Active-Directory-Sicherheitskontrollen sowohl prüfen als auch testen
- Cloud-Workloads aus Audit- und Pentest-Sicht behandeln
- Stakeholder-Präsentation: technische Befunde für Management aufbereiten
- Dokumentation und Evidenzmanagement für Audit-Trail und Pentest-Report
- Remediation-Validierung: Kontrollen nach Behebung erneut überprüfen
- Gesetzliche Rahmenbedingungen für Pentests in deutschen Unternehmen
- Abschlussprojekt: vollständiger Prüfzyklus von der Planung bis zum Final Report
Das kombinierte Lernformat sorgt dafür, dass Teilnehmende nicht nur beide Zertifizierungsprüfungen bestehen, sondern die Denkweise beider Disziplinen im Berufsalltag flexibel anwenden können. Jede Übungseinheit wird von erfahrenen Trainern begleitet, die berufspraktische Szenarien einbringen und Feedback zu Methodik und Dokumentationsqualität geben.
Lernziele:
- Die fünf CISA-Domänen (Information Systems Auditing Process, IT Governance, Information Systems Acquisition, Information Systems Operations, Information Asset Protection) systematisch anwenden
- Prüfungsplanung und Berichterstattung nach international anerkannten IS-Audit-Standards durchführen
- Schwachstellenanalysen gemäß dem PenTest+-Framework (PT0-003) strukturiert planen und dokumentieren
- Reconnaissance-Techniken (passive und aktive Informationsgewinnung) fachgerecht einsetzen
- Netzwerk-, Anwendungs- und Cloud-Umgebungen auf Sicherheitslücken testen
- Ergebnisse aus Penetrationstests so aufbereiten, dass sie für Entscheidungsträger und Audit-Reports verwertbar sind
- Risikobewertungen aus Audit- und Pentest-Ergebnissen ableiten und priorisieren
- Gesetzliche und regulatorische Anforderungen (z. B. DSGVO, ISO 27001-Bezüge) in die IS-Prüfung integrieren
- Kontrollen für den Schutz von Informationswerten (IT Asset Protection) konzipieren und bewerten
- Kontinuierliche Überwachungs- und Prüfkonzepte für IT-Systeme entwickeln
- Befunde aus beiden Methoden (Audit und PenTest) in ein kohärentes Sicherheitsbild übersetzen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an IT-Fachleute, die bereits Berufserfahrung im Bereich IT-Sicherheit, Netzwerkbetrieb oder IT-Compliance mitbringen und sich auf zwei anspruchsvolle internationale Zertifizierungen gleichzeitig vorbereiten möchten.
- IT-Sicherheitsadministratoren und -analysten mit erstem Praxisbezug
- Netzwerk- und Systemadministratoren, die in den Bereich Sicherheit wechseln wollen
- IT-Auditoren und interne Revisoren mit technischem Nachholbedarf
- Penetrationstester, die ihre Arbeit in audit-konforme Strukturen einbetten möchten
- Compliance-Verantwortliche, die technische Prüfmethoden verstehen wollen
Für die Vorbereitung auf den CISA-Prüfung empfiehlt ISACA mindestens fünf Jahre Berufserfahrung im IS-Audit, -Kontrolle oder -Sicherheitsbereich — alternativ können bestimmte Erfahrungen und Hochschulabschlüsse angerechnet werden. Für den CompTIA PenTest+ sollten Teilnehmende mit Netzwerkprotokollen, Betriebssystemen und grundlegenden Konzepten der Informationssicherheit vertraut sein. Eine abgeschlossene Network+- oder Security+-Zertifizierung oder gleichwertige praktische Kenntnisse erleichtern den Einstieg erheblich. Programmierkenntnisse (z. B. Python oder Bash für einfache Skripte) sind hilfreich, aber nicht zwingend.
Ablauf & Abschluss
Der Unterricht findet im Combined-Learning-Format statt — das bedeutet Live-Unterricht im virtuellen Klassenzimmer, ergänzt durch Präsenzoptionen an Lernzentren. Der Live-Unterricht umfasst Theorie-Einheiten, moderierte Übungsphasen und Fallstudienarbeit. Für beide Zertifizierungsthemen stehen spezifische Übungsaufgaben und simulationsnahe Szenarien zur Verfügung. Die Vollzeitvariante erlaubt intensive Lernblöcke, bei denen täglich zwischen CISA- und PenTest+-Inhalten gewechselt wird, um Querbezüge bewusst zu fördern.
Die Weiterbildung dauert in der Vollzeitvariante mehr als einen Monat bis zu drei Monaten, abhängig vom individuellen Kenntnisstand und dem gewählten Modulumfang. Beide Zertifizierungsvorbereitungen erfordern substanziellen Lernaufwand: Der CISA-Prüfstoff umfasst fünf Domänen, PenTest+ PT0-003 deckt fünf Hauptbereiche ab — zusammen ein erhebliches Lernvolumen, das in diesem Zeitrahmen strukturiert abgedeckt wird.
Der Kurs bereitet auf zwei externe Prüfungen vor: die CISA-Prüfung, die von ISACA abgenommen wird, und die CompTIA PenTest+-Prüfung (PT0-003), die bei einem akkreditierten CompTIA-Testcenter abgelegt wird. Nach bestandener CISA-Prüfung und Nachweis der Berufserfahrung verleiht ISACA das CISA-Zertifikat. CompTIA stellt bei bestandener PT0-003-Prüfung das PenTest+-Zertifikat aus. Zusätzlich erhalten Teilnehmende eine qualifizierte Teilnahmebescheinigung des Bildungsträgers für den absolvierten Kurs.
Nutzen & Perspektiven
Das Doppelzertifikat CISA + CompTIA PenTest+ ist am Markt selten anzutreffen und eröffnet ein breites Tätigkeitsspektrum: vom IT-Sicherheitsauditor über den internen Penetrationstester bis hin zum Compliance-Berater, der technische Testergebnisse in Audit-Reports verwandeln kann. Wer beide Perspektiven beherrscht, ist in der Lage, Sicherheitsrisiken nicht nur auf dem Papier zu dokumentieren, sondern ihre technische Realität einzuschätzen. CISA ist eine der anerkanntesten Qualifikationen im Bereich IS-Audit und wird von Prüfungsgesellschaften, Banken, Versicherungen und öffentlichen Einrichtungen weltweit verlangt. PenTest+ hingegen spricht Arbeitgeber an, die nachweisbar praktisch ausgebildete Sicherheitstester suchen. Die Kombination signalisiert, dass man nicht nur Prozesse kennt, sondern Technik versteht — ein Vorteil in jedem Vorstellungsgespräch für sicherheitsrelevante Positionen. Für Fachleute, die bereits in der IT-Sicherheit arbeiten und sich profilieren möchten, ist dieses Programm eine effiziente Möglichkeit, zwei anspruchsvolle Abschlüsse in einem strukturierten Kursrahmen zu erwerben, anstatt beide separat und zeitlich versetzt zu absolvieren.
Häufig gestellte Fragen (FAQ)
Welche Zertifikate erhalte ich nach dem Kurs?
Der Kurs bereitet auf zwei externe Prüfungen vor: die CISA-Prüfung bei ISACA und die CompTIA PenTest+-Prüfung (PT0-003). Beide Prüfungen werden separat bei den jeweiligen Organisationen abgelegt. Hinzu kommt eine Teilnahmebescheinigung des Bildungsträgers.
Welche Vorkenntnisse brauche ich für den CompTIA PenTest+ Teil?
Fundierte Kenntnisse in Netzwerkprotokollen, Betriebssystemen (Windows und Linux) und Grundlagen der Informationssicherheit sind wichtig. Eine CompTIA Security+- oder Network+-Zertifizierung ist keine Pflicht, aber eine hilfreiche Ausgangsbasis. Erste Erfahrungen mit Kommandozeile und Skriptsprachen erleichtern die praktischen Übungen.
Muss ich CISA bereits haben, bevor ich diesen Kurs belege?
Nein, der Kurs bereitet gleichzeitig auf beide Prüfungen vor. Für die spätere CISA-Zertifizierung durch ISACA müssen Sie jedoch die Berufserfahrungsvoraussetzung (i. d. R. fünf Jahre) erfüllen oder bestimmte Anrechnungen nachweisen. Die Prüfung selbst können Sie auch vor Erfüllung dieser Anforderung ablegen.
Welche Berufsfelder profitieren am meisten von dieser Kombination?
Besonders gefragt ist diese Kombination im IS-Audit, in Red-Team-Abteilungen, bei Wirtschaftsprüfungs- und Beratungsgesellschaften mit IT-Sicherheitspraktiken sowie in der internen Revision technologieintensiver Unternehmen. Auch für Behörden und Finanzdienstleister ist das Doppelprofil attraktiv.
Wie unterscheidet sich dieser Kurs von einem reinen CISA-Vorbereitungskurs?
Ein reiner CISA-Kurs fokussiert ausschließlich auf IS-Audit-Methodik und die fünf ISACA-Domänen. Dieses Programm ergänzt diesen Stoff durch den gesamten PenTest+-Lehrplan (PT0-003) und verbindet beide Disziplinen in integrierten Praxisszenarien — so dass Audit- und Testergebnisse in einem gemeinsamen Sicherheitsbild zusammengeführt werden.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen
- Spezialist/in - Industrie 4.068 Stellen
- Penetrationstester10 Stellen
- IT-Sicherheitsbeauftragter3 Stellen
- IT-Sicherheitsauditor0 Stellen