Überblick
Wer für das Auditieren von Informationssystemen verantwortlich ist und gleichzeitig mit Cloud-Infrastrukturen arbeitet, steht vor einer spezifischen Herausforderung: Klassische Audit-Methoden müssen auf Cloud-Umgebungen übertragen werden, in denen Kontrollen, Verantwortlichkeiten und Sichtbarkeit fundamental anders organisiert sind. Dieses Weiterbildungsprogramm verbindet die CISA-Zertifizierung (Certified Information Systems Auditor) von ISACA mit dem CCSP (Certified Cloud Security Professional) des (ISC)² — zwei komplementäre Qualifikationen, die gemeinsam ein lückenloses Kompetenzprofil für die sichere Governance und das Auditieren moderner IT-Umgebungen schaffen. CISA bildet seit Jahrzehnten die Benchmark für IT-Auditoren weltweit; CCSP ist der de-facto-Standard für Cloud-Sicherheitsexpertise auf Profi-Niveau.
Kursinhalte & Lernziele
Modul 1 — CISA: IT-Governance, Risikomanagement und Auditprozess Das erste Modul legt das methodische Fundament für professionelles IT-Auditing. Teilnehmer erarbeiten, wie Audit-Prozesse geplant, durchgeführt und dokumentiert werden und welche Standards und Frameworks dabei als Referenz dienen. Ein besonderer Fokus liegt auf der Governance-Perspektive: Wie bewertet ein Auditor, ob eine Organisation ihre IT-Ressourcen strategisch sinnvoll und kontrolliert einsetzt?
- IT-Audit-Prozess: Planung, Scope-Definition, Durchführung und Berichterstattung
- ISACA-Audit-Standards und -Leitlinien
- IT-Governance-Frameworks: COBIT 2019 im Auditkontext
- Risikobewertung aus Auditperspektive: inhärentes Risiko, Kontrollrisiko, Entdeckungsrisiko
- Stichprobenmethoden und Audit-Beweissicherung
- Management von Audit-Empfehlungen und Follow-up-Prozessen
Modul 2 — CISA: Systementwicklung, Betrieb und Schutz von Informationsbeständen Das zweite CISA-Modul behandelt die operativen Audit-Felder: Wie werden Systementwicklungsprozesse und IT-Betrieb auf Kontrollqualität geprüft? Und welche spezifischen Kontrollen schützen Informationsbestände vor unbefugtem Zugriff, Verlust und Missbrauch?
- Systementwicklungs-Lebenszyklus (SDLC) aus Audit-Sicht: Kontrollen je Phase
- Change Management und Release-Prozesse auditieren
- IT-Service-Management-Prozesse: Incident, Problem, Change aus ITIL-Perspektive
- Logische Zugriffssteuerung, Identitätsmanagement und Berechtigungsaudit
- Datenverschlüsselung und Kryptografie-Kontrollen auditieren
- Business Continuity und Disaster Recovery: Audit-Checklisten und Bewertungskriterien
Modul 3 — CCSP: Cloud Architecture, Data Security und Plattformsicherheit Das dritte Modul führt in die sechs CCSP-Domänen ein, beginnend mit Cloud-Architektur und Datensicherheit. Wer Clouds auditieren und sichern will, muss zunächst verstehen, wie Cloud-Dienste strukturiert sind, welche Verantwortlichkeiten auf welcher Ebene liegen und welche spezifischen Risiken Cloud-Daten ausgesetzt sind.
- Cloud Service Models (IaaS, PaaS, SaaS) und Deployment Models (Public, Private, Hybrid) aus Sicherheitsperspektive
- Shared Responsibility Model und Kontrollverteilung zwischen CSP und Kunde
- Datenschutz in der Cloud: Klassifizierung, Verschlüsselung at rest und in transit
- Key Management Services und HSM in Cloud-Umgebungen
- Härtung von Cloud-Workloads: Container Security, Serverless Security, VM-Isolation
- Netzwerksicherheit in der Cloud: Virtual Private Cloud, Security Groups, WAF
Modul 4 — CCSP: Cloud Application Security, Operations und Legal/Compliance Das abschließende Modul behandelt Anwendungssicherheit, Betriebssicherheit und die rechtlich-regulatorischen Aspekte des Cloud-Betriebs. Für Auditoren ist besonders die Schnittstelle von technischen Kontrollen und regulatorischen Anforderungen relevant — ein Bereich, in dem CCSP und CISA sich direkt ergänzen.
- Sicherer Software-Entwicklungs-Lebenszyklus (SDLC) in Cloud-Umgebungen
- API Security und Third-Party-Integration-Risiken
- Cloud Security Operations: SIEM, SOAR und Incident Response in der Cloud
- Digital Forensics in Cloud-Umgebungen: Herausforderungen und Methoden
- Cloud-spezifische Rechtsfragen: Datensouveränität, grenzüberschreitende Datenverarbeitung, eDiscovery
- Compliance-Frameworks für Cloud: ISO 27017, SOC 2, CSA CCM, DSGVO-Anforderungen an Cloud-Anbieter
Beide Stränge werden in praxisorientierten Übungen verbunden, die die Schnittstelle von Cloud-Sicherheit und IT-Audit greifbar machen. Im Programm werden unter anderem die folgenden Szenarien bearbeitet —
- Cloud-Audit-Workshop: Kontrollbewertung einer AWS- oder Azure-Umgebung nach CISA-Methodik
- Fallstudie: CCSP-Risikobewertung einer Cloud-Migration mit anschließendem Audit-Bericht
- Übung: Audit-Checkliste für SaaS-Anbieter-Bewertung auf Basis ISO 27017 und SOC 2 entwickeln
- Incident-Response-Simulation in einer Cloud-Umgebung: Forensik und Beweissicherung
- Workshop: DSGVO-Compliance-Audit für eine Multi-Cloud-Datenverarbeitungsumgebung
- Analyse: Shared-Responsibility-Model-Grenzen im Audit-Bericht korrekt abbilden
- CISA-Prüfungsübungen aus allen fünf Domänen: szenariobasierte Fallanalysen
- CCSP-Übungsszenarien mit Enterprise-Cloud-Komplexität
- Gruppenarbeit: Audit-Framework für eine regulierte Branche (Finanzdienstleistung) in Cloud-Umgebung
- Peer-Review von Audit-Berichten auf methodische Qualität und Vollständigkeit
- Fallstudie: Supply-Chain-Risiken bei Cloud-Anbietern aus Auditperspektive bewerten
- Abschluss-Workshop: integrierter Cloud-Audit-Plan von der Scope-Definition bis zum Management-Report
Das Programm bereitet umfassend auf beide externe Prüfungen vor und gibt Teilnehmern das Handwerkszeug für die Audit- und Security-Praxis in Cloud-dominierten Unternehmensumgebungen.
Lernziele:
Beide Zertifizierungen erschließen unterschiedliche, aber eng verbundene Kompetenzbereiche. CISA schärft den analytischen Blick auf Kontrollen, Risiken und Compliance-Anforderungen in Informationssystemen. CCSP vertieft das technische und architekturelle Verständnis für Cloud-Sicherheit, Datenschutz und den Betrieb sicherer Cloud-Dienste.
- CISA-Domäne 1: IT-Governance und -Management auditieren und bewerten
- CISA-Domäne 2: Informationssysteme erwerben, entwickeln und implementieren — Kontrollrahmen verstehen
- CISA-Domäne 3: IT-Betrieb, Wartung und Service-Management aus Auditperspektive bewerten
- CISA-Domäne 4: Schutz von Informationsbeständen — Audit-Methoden und Kontrollen
- CISA-Domäne 5: IT-Risikomanagement und Business-Continuity aus Auditorensicht
- CCSP-Domäne 1: Cloud Concepts, Architecture and Design — Sicherheitsmodelle und Designprinzipien
- CCSP-Domäne 2: Cloud Data Security — Datenschutz, Verschlüsselung, Lebenszyklusmanagement
- CCSP-Domäne 3: Cloud Platform and Infrastructure Security — Härtung und Betrieb sicherer Cloud-Plattformen
- CCSP-Domäne 4: Cloud Application Security — sicherer SDLC in Cloud-Umgebungen
- CCSP-Domäne 5: Cloud Security Operations — Monitoring, Incident Response, Forensik in der Cloud
- CCSP-Domäne 6: Legal, Risk and Compliance — regulatorische Anforderungen für Cloud-Dienste
- Cloud-Audit-Methoden entwickeln und klassische Audit-Ansätze auf Cloud-Kontrollrahmen übertragen
Zielgruppe & Voraussetzungen
Dieses Programm richtet sich an IT-Auditoren und Compliance-Fachleute, die Cloud-Sicherheitsexpertise aufbauen wollen, sowie an Cloud-Sicherheitsarchitekten, die ihre Arbeit durch fundierte Audit-Methodenkenntnisse ergänzen möchten. Für folgende Zielgruppen ist das Programm besonders geeignet —
- IT-Auditoren, die zunehmend Cloud-Umgebungen prüfen und dafür strukturiertes Cloud-Sicherheitswissen benötigen
- Compliance Officer und GRC-Spezialisten in Unternehmen mit Cloud-First-Strategie
- Cloud Security Engineers, die in ihrer Karriere in Audit- oder Governance-Rollen wechseln wollen
- Risk Manager in regulierten Branchen (Finanz, Versicherung, Gesundheit), die Cloud-Risiken bewerten
- IS Audit Manager, die ihr Team auf Cloud-Auditing spezialisieren möchten
ISACA empfiehlt für die CISA-Zertifizierung mindestens fünf Jahre Berufserfahrung im Bereich IT- oder Informationssystem-Auditieren, -Kontrolle oder -Sicherheit. Für CCSP verlangt (ISC)² mindestens fünf Jahre bezahlte Berufserfahrung in der Informationstechnologie, davon mindestens drei Jahre in Cloud-Sicherheit. Das Programm kann auch ohne vollständige Vorerfahrung absolviert werden; die Zertifizierungen werden nach Nachweis der Berufserfahrung ausgestellt. Grundlegende IT-Kenntnisse und Verständnis für Informationssysteme sind für eine erfolgreiche Teilnahme notwendig.
Ablauf & Abschluss
Das Programm wird im Combined-Learning-Format durchgeführt: Präsenznaher Live-Unterricht im virtuellen Klassenzimmer durch erfahrene Dozenten mit Praxishintergrund in Audit und Cloud Security, kombiniert mit angeleiteten Selbstlernphasen. Theoriepräsentationen werden durch interaktive Fallstudienarbeit, Übungsaufgaben und Simulationen ergänzt. Die Unterrichtsdauer liegt üblicherweise bei mehr als einem Monat bis zu drei Monaten in Vollzeit.
Die Weiterbildung dauert in der Regel mehr als einen Monat bis zu drei Monaten und wird in Vollzeit durchgeführt. Das Programm ist modular aufgebaut, sodass Einzelkomponenten je nach Vorkenntnissen auch separat buchbar sind.
Das Programm bereitet auf zwei externe Prüfungen vor: die CISA-Prüfung von ISACA (Abnahme bei autorisierten Prüfcentern, adaptives Format) und die CCSP-Prüfung des (ISC)² (Pearson VUE). Beide Zertifikate müssen regelmäßig durch Weiterbildungsaktivitäten (CPE Credits) erneuert werden. Zusätzlich erhalten Teilnehmer eine qualifizierte Teilnahmebescheinigung des Bildungsträgers.
Nutzen & Perspektiven
CISA und CCSP sind im IT-Governance- und Cloud-Sicherheitsbereich zwei der bekanntesten und am stärksten nachgefragten Zertifizierungen weltweit. Wer beide Abschlüsse kombiniert, deckt ein Kompetenzspektrum ab, das in der Breite dieser Form kaum ein einzelnes Zertifikat bietet: von der systematischen Prüfung komplexer Informationssysteme nach internationalen Audit-Standards bis zur sicheren Architektur, dem Betrieb und der Compliance-Bewertung von Cloud-Plattformen. Die Schnittstelle beider Qualifikationen ist dabei besonders wertvoll: Cloud-Auditing ist noch ein junges Feld mit offenen Methodenfragen — Prüfer, die sowohl die CISA-Audit-Methodik als auch die CCSP-Tiefe in Cloud-Kontrollen mitbringen, sind am Markt selten und entsprechend gesucht. Unternehmen, die ihre Cloud-Strategie aus Governance- und Compliance-Sicht absichern wollen, benötigen genau dieses Profil. Langfristig eröffnen beide Zertifizierungen zusammen Karrierewege in Richtungen, die üblicherweise getrennte Fachgebiete darstellen: IS Audit Manager, Cloud Security Architect, GRC-Leiter oder CISO in Cloud-intensiven Organisationen. Die ISACA-Mitgliedschaft, die mit der CISA-Zertifizierung einhergeht, bietet zusätzlich Zugang zu einem weltweiten Netzwerk von IT-Auditoren und Governance-Experten.
Häufig gestellte Fragen (FAQ)
Was sind die fünf CISA-Domänen?
CISA prüft fünf Domänen: (1) Information System Auditing Process — Planung, Durchführung und Reporting von IT-Audits, (2) Governance and Management of IT — IT-Governance-Strukturen und -Strategien, (3) Information Systems Acquisition, Development and Implementation — Kontrollen im Systementwicklungsprozess, (4) Information Systems Operations and Business Resilience — IT-Betrieb, Service Management und Continuity, (5) Protection of Information Assets — Sicherheitskontrollen zum Schutz von Informationsbeständen.
Was sind die sechs CCSP-Domänen?
CCSP umfasst sechs Prüfungsdomänen: (1) Cloud Concepts, Architecture and Design, (2) Cloud Data Security, (3) Cloud Platform and Infrastructure Security, (4) Cloud Application Security, (5) Cloud Security Operations, (6) Legal, Risk and Compliance. Zusammen bilden sie ein umfassendes Spektrum von Cloud-Sicherheitsarchitektur bis hin zu rechtlichen und regulatorischen Anforderungen.
Wie unterscheidet sich CISA von CISM auf Kursweg?
CISA und CISM sind beide ISACA-Zertifikate, aber für unterschiedliche Rollen. CISA richtet sich an IT-Auditoren und Kontroll-Experten, die Informationssysteme prüfen und bewerten. CISM ist für Informationssicherheitsmanager ausgelegt, die Sicherheitsprogramme gestalten und strategisch steuern. CISA betont analytische Prüfkompetenz; CISM betont strategische Führungskompetenz.
Kann man CISA und CCSP gleichzeitig vorbereiten?
Ja — das ist das Konzept dieses Programms. Beide Prüfungen können parallel vorbereitet und in beliebiger Reihenfolge abgelegt werden. Da CISA und CCSP inhaltlich komplementär sind (Audit-Methodik trifft Cloud-Sicherheitstechnik), verstärken sich die Lerneffekte gegenseitig. In der Praxis werden viele Cloud-Audit-Aufgaben von Fachleuten durchgeführt, die beide Perspektiven kennen.
Wie werden CISA und CCSP erneuert?
CISA erfordert 120 CPE-Stunden in einem dreijährigen Zertifizierungszeitraum sowie eine jährliche Erhaltungsgebühr. CCSP verlangt ebenfalls CPE-Credits (90 Stunden über drei Jahre) und eine jährliche Gebühr. Beide Zertifizierungen erkennen ähnliche Weiterbildungsaktivitäten an, sodass ein Teil der CPE-Stunden für beide Abschlüsse genutzt werden kann.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT Compliance Officer2 Stellen
- IS Audit Manager0 Stellen
- IT-Sicherheitsauditor0 Stellen