Überblick
Informationssicherheit aus zwei methodisch klar abgegrenzten Perspektiven zu beherrschen ist das Alleinstellungsmerkmal dieses kombinierten Programms: Auf der einen Seite steht der Certified Information Systems Auditor (CISA) von ISACA — eine der weltweit angesehensten IS-Audit-Qualifikationen. Auf der anderen Seite steht der ISTQB Advanced Level Security Tester, ein Abschluss des International Software Testing Qualifications Board (ISTQB), der sich auf risikobasiertes, systematisches Sicherheitstesten von Software und Systemen spezialisiert. Zusammen decken beide Zertifizierungen eine Bandbreite ab, die vom strategischen Governance-Audit bis hin zur technischen Qualitätssicherung sicherheitskritischer Softwareprodukte reicht.
Kursinhalte & Lernziele
CISA — IS-Audit-Prozess und IT-Governance Der erste Kernblock behandelt die ISACA-Grundlagen des IS-Auditing. Teilnehmende lernen, wie man den gesamten Prüfprozess von der Auftragsklärung bis zur Berichtsabgabe strukturiert, und wie IT-Governance-Rahmenwerke einer Organisation bewertet werden.
- Planungsmethoden für IS-Audits (Scope, Risikoorientierung, Sampling)
- Bewertung von IT-Governance-Rahmenbedingungen nach ISACA COBIT-Bezügen
- Prüfung von IT-Strategie, Portfoliomanagement und Sourcing-Entscheidungen
- Dokumentation und Berichterstattung nach IS-Audit-Standards
- Prüfung von Beschaffungs- und Implementierungsprojekten für IT-Systeme
CISA — Systembetrieb, Schutz von Informationswerten und Kontinuität Die betriebsnahen CISA-Domänen bilden den zweiten Block. Hier geht es um die Prüfung laufender IT-Betriebsprozesse, das Kontrollgefüge für den Informationsschutz und die Resilienz kritischer Systeme.
- Betriebliche IT-Kontrollen (Incident Management, Change Management, Kapazitätsplanung)
- Zugriffskontrollen, Identitätsmanagement und privilegierte Konten aus Auditor-Sicht
- Kryptografie und sichere Kommunikation: Prüfaspekte
- Business-Continuity- und Disaster-Recovery-Kontrollen bewerten
- Datenschutz- und Compliance-Prüfung unter DSGVO-Gesichtspunkten
ISTQB Advanced Level Security Tester — Testkonzeption und Risikoanalyse Der ISTQB-Advanced-Security-Tester-Block vermittelt das methodische Handwerkszeug für professionelle Sicherheitstests. Im Unterschied zum Pentest-Ansatz liegt der Fokus hier auf der systematischen Qualitätssicherung: Tests werden planmäßig, reproduzierbar und auf der Basis eines Risikomodells durchgeführt.
- Sicherheitstest-Ziele und deren Integration in den Software-Testlebenszyklus
- Risikobasierte Testplanung und Priorisierung von Sicherheitstestfällen
- Testmethoden für sicherheitskritische Systeme (Black-Box, White-Box, Grey-Box)
- Spezifische Sicherheitstest-Typen: Missbrauchsszenarios, Robustheitstests, Fuzzing-Grundlagen
- Security-Regression und Continuous-Security-Testing in agilen Entwicklungsumgebungen
ISTQB Advanced Security Tester — Berichterstattung und Integration Das Testen selbst ist nur ein Teil der Aufgabe — ebenso wichtig ist die Kommunikation der Ergebnisse an Entwicklungsteams, Management und Auditoren. Dieser Block verbindet ISTQB-Methodik mit den Anforderungen aus dem IS-Audit-Umfeld.
- Sicherheitstest-Reports strukturieren und für verschiedene Zielgruppen aufbereiten
- Defect-Management für sicherheitsrelevante Befunde
- Metriken für Sicherheitstestprozesse und KPIs für Testfortschritt
- Integration von Sicherheitstests in CI/CD-Pipelines
- Verknüpfung von Testbefunden mit IS-Audit-Evidenz
Praxisblock — Fallstudien und integrierte Szenarien Beide Disziplinen werden in gemeinsamen Szenarien vertieft, um die Synergien zwischen IS-Audit und Sicherheitstests zu erleben und die übergreifende Fachsprache zu entwickeln.
- Webanwendung auditieren und anschließend systematisch sicherheitstesten
- Datenbankzugriffskontrollen aus CISA- und ISTQB-Perspektive bewerten
- Sicherheitstest-Artefakte als Audit-Evidenz verwenden
- Kombinierte Befundberichte für interne Revision und Entwicklungsverantwortliche erstellen
- Compliance-Mapping: Testergebnisse zu regulatorischen Anforderungen zuordnen
- Authentifizierungssysteme testen und Kontrollschwächen dokumentieren
- Rollentausch-Übungen: Auditor als Testreviewer, Sicherheitstester als Audit-Unterstützer
- Bewertung von SDLC-Prozessen unter CISA- und ISTQB-Qualitätssicherungsgesichtspunkten
- Risikopriorisierung bei kombiniertem Audit- und Testbefund-Set
- Dokumentation und Archivierung von Audit-Trail und Testergebnissen
- Abschlussprojekt: integrierter Prüf- und Testbericht für ein fiktives Unternehmenssystem
Durch die Verbindung von ISACA-Governance-Denken und ISTQB-Testdisziplin entwickeln Teilnehmende ein ganzheitliches Sicherheitsverständnis, das in modernen Organisationen zunehmend nachgefragt wird.
Lernziele:
- Die fünf CISA-Domänen nach ISACA-Curriculum vollständig verstehen und auf reale IS-Prüfszenarien anwenden
- IT-Governance-, Risk- und Compliance-Strukturen systematisch auditieren
- Den ISTQB-Testprozess auf der Advanced-Ebene beherrschen und für Sicherheitsziele anpassen
- Risikobasierte Teststrategien für sicherheitskritische Systeme entwickeln und begründen
- Sicherheitstest-Typen (z. B. Robustheitstests, Missbrauchsszenariotests, Security-Regression) korrekt einsetzen
- Schwachstellen in Software- und Systemarchitekturen durch systematische Testmethoden aufdecken
- Testergebnisse in Berichtsformate überführen, die für IS-Audit-Reports und Management-Entscheidungen geeignet sind
- Compliance-Anforderungen (z. B. ISO 27001, DSGVO-technische Maßnahmen) in Teststrategien abbilden
- Qualitätssicherungsprozesse für IT-Systeme aus Sicht beider Zertifizierungsrahmen bewerten
- Audit-Befunde und Testbefunde als integriertes Sicherheitsbild zusammenführen
- Dokumentationsstandards für Audit-Trails und Testmanagement einhalten
Zielgruppe & Voraussetzungen
Das Programm spricht IT-Fachleute an, die bereits Berührungspunkte mit Softwarequalitätssicherung oder IT-Sicherheit haben und ihre Kompetenz durch zwei international anerkannte Zertifizierungen formal dokumentieren möchten.
- Softwaretester und Testmanager mit Interesse an Sicherheitsschwerpunkten
- IT-Auditoren und interne Revisoren mit technischem Qualitätssicherungshintergrund
- Compliance- und Risikomanager in technologieintensiven Unternehmen
- Sicherheitsanalysten, die ihren Prüfungsansatz methodisch vertiefen wollen
- Entwickler und Architekten, die Sicherheitstesting in ihre Verantwortung integrieren
Für die CISA-Prüfung empfiehlt ISACA einschlägige Berufserfahrung im IS-Audit- oder IT-Sicherheitsbereich. Für den ISTQB Advanced Security Tester ist die bestandene ISTQB Foundation Level-Zertifizierung formale Voraussetzung — Teilnehmende ohne diese Basis sollten sie vorher erwerben. Darüber hinaus sind Grundkenntnisse in Softwareentwicklungsprozessen, Netzwerksicherheit und Datenschutzgrundlagen hilfreich, um den Stoff des Advanced-Levels vollständig zu durchdringen.
Ablauf & Abschluss
Die Weiterbildung nutzt das Combined-Learning-Format, bei dem Live-Unterricht im virtuellen Klassenzimmer mit optionalen Präsenzangeboten kombiniert wird. Theorie-Einheiten wechseln mit moderierten Übungsphasen und Fallstudienarbeit ab. Für den ISTQB-Teil stehen methodisch strukturierte Testübungen im Vordergrund; für den CISA-Teil überwiegen Audit-Simulationen und Berichterstattungsübungen. Wechselnde Perspektiven (Tester vs. Auditor) sind fest in den Lehrplan integriert, um die Synergien beider Disziplinen zu aktivieren.
Die Vollzeitweiterbildung erstreckt sich über mehr als einen Monat bis zu drei Monaten. Der genaue Umfang hängt vom gewählten Modulzuschnitt und dem individuellen Kenntnisstand ab. Beide Zertifizierungsvorbereitungen sind substanziell: Der CISA-Stoff umfasst fünf ISACA-Domänen, der ISTQB Advanced Security Tester deckt alle Bereiche des aktuellen Syllabi ab — insgesamt ein Lernvolumen, das konzentriertes Vollzeitstudium erfordert.
Teilnehmende bereiten sich auf zwei externe Prüfungen vor: die CISA-Prüfung bei ISACA und die ISTQB-Advanced-Level-Security-Tester-Prüfung bei einem ISTQB-zertifizierten Prüfungsanbieter (in Deutschland häufig über GASQ oder iSQI). Beide Zertifikate werden von den jeweiligen internationalen Organisationen ausgestellt. Ergänzend erhalten Teilnehmende eine qualifizierte Teilnahmebescheinigung für den absolvierten Kurs.
Nutzen & Perspektiven
Die Kombination aus CISA und ISTQB Advanced Security Tester ist am deutschen Markt für IT-Sicherheit und Qualitätssicherung außergewöhnlich wertvoll, weil sie zwei Welten zusammenführt, die in vielen Organisationen zu wenig miteinander kommunizieren: die Prüfungs- und Revisionswelt auf der einen Seite und die Softwarequalitätssicherung auf der anderen. Wer beide Sichtweisen beherrscht, kann als Bindeglied zwischen Entwicklung, Sicherheit und interner Revision fungieren. In regulierten Branchen — Banken, Versicherungen, Gesundheitswesen, öffentliche Verwaltung — steigt der Druck, Sicherheitstests nicht nur ad hoc durchzuführen, sondern methodisch nachweisbar und auditierfähig zu dokumentieren. Genau das ermöglicht dieses Doppelprofil: eine Fachkraft, die Sicherheitstests ISTQB-konform plant und CISA-konform in den Gesamtkontext eines IS-Audits einbettet. Für Unternehmen, die ihre DevSecOps-Prozesse reifen wollen, ist diese Qualifikationskombination besonders attraktiv — sie verbindet Agilität der modernen Softwareentwicklung mit der Prüfungsstrenge, die Compliance-Anforderungen verlangen.
Häufig gestellte Fragen (FAQ)
Brauche ich für den ISTQB Advanced Security Tester unbedingt den Foundation Level?
Ja, der ISTQB Advanced Level setzt formal den Foundation Level voraus. Wer diesen noch nicht hat, sollte ihn vorab ablegen. Ohne Foundation-Level-Kenntnisse fehlt die methodische Grundlage für den Advanced-Stoff, insbesondere bei Testplanung und Testdokumentation.
Was unterscheidet den ISTQB Advanced Security Tester von einem Penetrationstester?
Der ISTQB Security Tester fokussiert auf methodisch strukturierte, planmäßige und dokumentierbare Sicherheitstests im Rahmen des Software-Testlebenszyklus — der Ansatz ist prozessorientiert und auf Qualitätssicherung ausgerichtet. Ein Penetrationstester hat hingegen einen eher offensiven, explorativen Ansatz. Beide Rollen ergänzen sich, unterscheiden sich aber in Methodik, Dokumentationsstandards und Einbettung in Organisationsprozesse.
Für welche Branchen ist diese Zertifizierungskombination besonders relevant?
Regulierte Branchen wie Finanzdienstleistungen, Versicherungen, Gesundheitswesen und öffentliche Verwaltung fordern zunehmend auditierfähige Sicherheitstestprozesse. Auch Softwareunternehmen mit sicherheitskritischen Produkten und Organisationen mit DevSecOps-Ambitionen schätzen diese Kombination, weil sie sowohl Prüfungsstrenge als auch Testmethodik abdeckt.
Kann ich CISA-Prüfung ohne Berufserfahrung ablegen?
Die CISA-Prüfung kann abgelegt werden, aber das Zertifikat wird erst nach Nachweis der geforderten Berufserfahrung (i. d. R. fünf Jahre in IS-Audit, -Kontrolle oder -Sicherheit) von ISACA ausgestellt. Bestimmte Bildungs- und Berufserfahrungen können angerechnet werden — ISACA gibt hierzu detaillierte Informationen auf seiner Website.
Wie werden CISA- und ISTQB-Inhalte im Kurs verzahnt?
Der Kurs behandelt beide Themenblöcke zunächst separat, um das spezifische Methodenwissen aufzubauen. In integrierten Fallstudien werden dann beide Perspektiven zusammengeführt: Teilnehmende erarbeiten kombinierte Berichte, in denen Testbefunde als Audit-Evidenz dienen und Audit-Empfehlungen in Testfälle übersetzt werden.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen
- Ethical Hacker33 Stellen
- IT-Sicherheitsbeauftragte/r5 Stellen
- Security Tester1 Stellen
- IT-Prüfer/in0 Stellen