Überblick
Diese Weiterbildung kombiniert zwei der relevantesten Zertifizierungen im Bereich Informationssicherheit: CISSP (Certified Information Systems Security Professional, ISC²) und CompTIA PenTest+ (PT0-002). CISSP ist die meistgesuchte Senior-Qualifikation im IT-Sicherheitsbereich — sie prüft acht Domänen, von Sicherheitsarchitektur über Kryptographie bis zu Softwareentwicklungssicherheit, und gilt als Nachweis strategischer Sicherheitskompetenz. PenTest+ ergänzt diese strategische Breite um operative Tiefe: Penetrationstester denken wie Angreifer, suchen aktiv nach Schwachstellen und dokumentieren, was ein echter Angreifer ausnutzen würde. Wer beide Perspektiven beherrscht — die defensive Architektur und den offensiven Test — kann Sicherheitsmaßnahmen nicht nur konzipieren, sondern auch auf ihre Wirksamkeit überprüfen.
Kursinhalte & Lernziele
Modul 1 — CISSP: Sicherheitsdomänen 1 bis 4 Der erste Block deckt die ersten vier CISSP-Domänen ab, die das strategische und architektonische Fundament der Informationssicherheit bilden. Security and Risk Management ist die umfangreichste Domäne; sie allein enthält Governance, Compliance, Datenschutzrecht, Sicherheitsrichtlinien und das vollständige Risikomanagement-Ökosystem.
- Domäne 1 — Security and Risk Management: CIA-Triade, Governance-Frameworks (ISO 27001, NIST CSF), Risikobewertungsverfahren (qualitativ, quantitativ), Geschäftskontinuität, rechtliche Rahmenbedingungen (DSGVO, HIPAA, SOX aus Sicherheitsperspektive)
- Domäne 2 — Asset Security: Datenklassifikation, Eigentumsmodelle, Datenschutzkonzepte, Datenlebenszyklus und sichere Entsorgung
- Domäne 3 — Security Architecture and Engineering: Sicherheitsdesignprinzipien (Least Privilege, Defense in Depth, Fail Secure), Sicherheitsmodelle (Bell-LaPadula, Biba, Clark-Wilson), Kryptographie (symmetrisch, asymmetrisch, Hash-Verfahren, PKI), Hardware-Sicherheit
- Domäne 4 — Communication and Network Security: OSI-Modell aus Sicherheitsperspektive, sichere Netzwerkarchitektur, Firewalls, IDS/IPS, VPN, Wireless-Sicherheit, Angriffe auf Netzwerkebene
Modul 2 — CISSP: Sicherheitsdomänen 5 bis 8 Die zweiten vier Domänen decken den operativen und anwendungsnahen Teil der Informationssicherheit ab: Identität, Sicherheitstests, Security Operations und Softwareentwicklung. Für PenTest+-Kandidaten ist besonders Domäne 6 (Security Assessment and Testing) relevant — sie beschreibt genau den Bewertungsrahmen, den PenTest+ operativ ausfüllt.
- Domäne 5 — Identity and Access Management: Authentifizierungsverfahren (MFA, biometrisch, Token), Autorisierungsmodelle (RBAC, ABAC, MAC/DAC), föderierte Identitäten (SAML, OAuth, OIDC), PAM (Privileged Access Management)
- Domäne 6 — Security Assessment and Testing: Vulnerability Assessment, Penetrationstest-Planung aus Governance-Sicht, Audit-Arten, Security Metrics und KPIs, Logging und Monitoring
- Domäne 7 — Security Operations: Incident Response (Vorbereitung, Erkennung, Eindämmung, Wiederherstellung), Forensik-Grundlagen, SOC-Betrieb, Change Management, Konfigurationsmanagement
- Domäne 8 — Software Development Security: SDLC-Sicherheitsphasen, OWASP Top 10, sichere Codierungsrichtlinien, Sicherheitstests in CI/CD-Pipelines, API-Sicherheit
Modul 3 — CompTIA PenTest+ (PT0-002): Methodik und Praxis PenTest+ strukturiert den Penetrationstest-Lebenszyklus in fünf Hauptphasen. Dieser Block vermittelt alle Phasem methodisch und mit Bezug auf reale Angriffswerkzeuge und -techniken — immer im Rahmen ethischer und rechtlicher Rahmenbedingungen, wie sie für autorisierte Penetrationstests gelten.
- Planung und Scoping: Regeln der Zusammenarbeit (Rules of Engagement), Geltungsbereich, rechtliche Absicherung, Testtypen (Black Box, White Box, Grey Box)
- Reconnaissance: OSINT-Techniken, passive vs. aktive Informationssammlung, DNS-Enumeration, Social Engineering als Testvektor
- Scanning und Enumeration: Netzwerk-Scanning (Nmap), Service-Enumeration, OS-Fingerprinting, Schwachstellen-Scanning (Nessus, OpenVAS)
- Exploitation: Metasploit-Framework, Ausnutzung häufiger Schwachstellenklassen, Web-Application-Angriffe (SQLi, XSS, CSRF, SSRF), Password Attacks, Credential Stuffing
- Post-Exploitation: Lateral Movement, Privilege Escalation (Windows und Linux), Persistenzmechanismen, Exfiltration-Szenarien
- Reporting: Executive Summary vs. technischer Befundteil, CVSS-Scores, Remediation-Empfehlungen, Retesting
Praktische Übungen Der operative Charakter von PenTest+ verlangt nach praxisnahen Übungen in kontrollierten Umgebungen. Die Übungen umfassen sowohl CISSP-prüfungsnahe Szenarienanalysen als auch handwerkliche Pentest-Aufgaben.
- CISSP-Prüfungssimulation: domänenübergreifende Fragen mit Lösungsbegründungen
- Risikobewertung: quantitative und qualitative Methode auf ein fiktives Unternehmensszenario anwenden
- Kryptographie-Übung: Auswahl geeigneter Verfahren für verschiedene Anwendungsfälle begründen
- Netzwerkarchitektur-Review: vorhandenes Netzwerkdiagramm auf Sicherheitslücken analysieren
- OSINT-Übung: Informationssammlung zu einer öffentlich zugänglichen Test-Domain dokumentieren
- Nmap-Scanning: Ergebnis interpretieren und Service-Risikobewertung erstellen
- Exploitation-Lab: bekannte Schwachstelle in einer kontrollierten Testumgebung ausnutzen
- Web-Application-Test: OWASP-Top-10-Kategorien systematisch an einer Test-Webanwendung prüfen
- Privilege-Escalation-Szenario: Linux-Fehlkonfiguration identifizieren und ausnutzen
- Pentest-Bericht erstellen: Executive Summary und technische Findings für ein abgeschlossenes Testszenario
- CVSS-Scoring: fünf Schwachstellen bewerten und Priorisierungsempfehlung ableiten
- Integrierte Abschlussübung: vollständigen Pentest-Zyklus für eine fiktive Zielumgebung planen, durchführen und berichten
Lernziele:
- Alle acht CISSP-Domänen inhaltlich beherrschen und für die ISC²-Prüfung vorbereitet sein
- Sicherheitsrichtlinien, Risikobewertungen und Governance-Strukturen konzipieren
- Kryptographische Verfahren, PKI und sichere Protokolle auswählen und korrekt einsetzen
- Netzwerksicherheitsarchitekturen entwerfen: Firewall-Konzepte, VPN, Zero-Trust, Mikrosegmentierung
- Software-Entwicklungssicherheit im gesamten SDLC verankern
- Identitäts- und Zugriffsmanagement inklusive föderierter Identitäten und privilegierter Accounts gestalten
- Sicherheitsbewertungen und Tests planen, durchführen und ergebnisseitig aufbereiten
- Den Penetrationstest-Lebenszyklus nach PT0-002 vollständig anwenden: Planung, Reconnaissance, Scanning, Exploitation, Post-Exploitation, Reporting
- Aktive Informationssammlung (OSINT, Netzwerk-Scanning, Service-Enumeration) methodisch durchführen
- Exploitation-Techniken gegen typische Schwachstellenklassen (OWASP Top 10, Netzwerkprotokolle, Fehlkonfigurationen) gezielt einsetzen
- Post-Exploitation-Phasen (Lateral Movement, Privilege Escalation, Persistenz) aus der Angreiferperspektive verstehen
- Pentest-Berichte professionell erstellen: Executive Summary, technische Findings, CVSS-Bewertung, Empfehlungen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an erfahrene IT-Sicherheitsfachleute, die ihr Profil in Richtung Senior-Zertifizierung und operative Penetrationstest-Kompetenz weiterentwickeln wollen.
- Informationssicherheitsanalysten mit mehrjähriger Berufserfahrung
- Netzwerk- und Systemadministratoren, die in die Informationssicherheit wechseln
- IT-Sicherheitsberater, die Kunden umfassend betreuen wollen
- Angehende Penetrationstester mit Security-Grundlagenwissen
- Security Architects, die ihre Designs durch offensives Verständnis schärfen wollen
Mehrjährige Berufserfahrung in der IT, idealerweise mit Sicherheitsbezug, ist für diesen Kurs wesentlich. Der CISSP-Teil setzt voraus, dass grundlegende Konzepte in Netzwerken, Betriebssystemen und Sicherheitsarchitektur bekannt sind. Der PenTest+-Teil erfordert Grundkenntnisse in der Linux-Kommandozeile, TCP/IP-Protokollen und dem Konzept von Ports und Diensten. Wer die CISSP-Zertifizierung nach dem Kurs anstrebt, muss die ISC²-Erfahrungsanforderungen (fünf Jahre in mindestens zwei Domänen) eigenständig erfüllen.
Ablauf & Abschluss
Der Unterricht findet als Live-Kurs im virtuellen Klassenzimmer statt. CISSP-Inhalte werden mit prüfungsnahen Fallszenarien und Domänen-Mapping-Übungen vertieft. PenTest+-Inhalte werden durch praktische Demonstrations-Labs und geführte Übungen in kontrollierten Testumgebungen ergänzt, die den typischen Pentest-Workflow abbilden. Der Wechsel zwischen strategischer Sicherheitsarchitektur (CISSP) und operativer Angreiferperspektive (PenTest+) ist im Kursdesign bewusst angelegt. Schulungscenter-Präsenz mit Dual-Monitor-Arbeitsplatz ist möglich; Heimarbeit mit entsprechender Ausstattung ebenfalls.
Die Weiterbildung dauert mehr als einen Monat bis maximal drei Monate in Vollzeit. Das Volumen ergibt sich aus den umfangreichen CISSP-Acht-Domänen und dem praxisorientierten PenTest+-Block. Individuelle Starttermine und Teilzeitoptionen sind auf Anfrage möglich.
Nach Kursabschluss erhalten Teilnehmende eine trägerinterne Qualifikationsbescheinigung. Der CISSP-Teil bereitet auf die externe ISC²-Prüfung vor; das CISSP-Zertifikat wird von ISC² ausgestellt und setzt Berufserfahrungsnachweis voraus. Der PenTest+-Teil bereitet auf die CompTIA-Prüfung PT0-002 vor; CompTIA PenTest+ wird nach bestandener Prüfung ausgestellt. Beide Zertifikate sind international anerkannte Verbandszertifikate ohne staatlichen Abschlusscharakter.
Nutzen & Perspektiven
CISSP ist auf dem Stellenmarkt für Informationssicherheit die Qualifikation, die am häufigsten in Anforderungsprofilen für Senior- und Führungsrollen erscheint. Das liegt daran, dass CISSP kein Tool-Zertifikat ist, sondern Breite und Tiefe im Denken über Sicherheitsarchitektur, Risiken und Kontrollen nachweist. Für Fachleute, die in Richtung CISO, Security Architect oder leitender Security Consultant arbeiten, ist CISSP der etablierteste Qualifikationsnachweis. Die Ergänzung durch CompTIA PenTest+ schafft einen konkreten Mehrwert, der über das reine Lebenslauf-Argument hinausgeht: Wer Penetrationstests durchführen kann, versteht Schwachstellen nicht aus der Beschreibung, sondern aus der eigenen Angriffserfahrung heraus. Das verbessert die Qualität von Security Reviews, Architekturentscheidungen und der Beratung von Entwicklungsteams spürbar. CISSP-Kandidaten, die PenTest+ hinzufügen, differenzieren sich von rein defensiv orientierten Sicherheitsprofilen. Für Unternehmen, die Red-Team-Übungen als Teil ihres Sicherheitsprogramms etablieren oder ihre internen Sicherheitsbeauftragten in die Lage versetzen wollen, Pentest-Ergebnisse kompetent zu bewerten und zu beauftragen, ist dieses Doppelprofil besonders relevant.
Häufig gestellte Fragen (FAQ)
Was ist CISSP und welche Erfahrung wird vorausgesetzt?
CISSP (Certified Information Systems Security Professional) ist die bekannteste Senior-Zertifizierung in der Informationssicherheit, ausgestellt von ISC² (International Information System Security Certification Consortium). Für die Zertifizierung verlangt ISC² fünf Jahre bezahlte Berufserfahrung in mindestens zwei der acht CISSP-Domänen. Wer die Prüfung besteht, aber noch keine fünf Jahre Erfahrung hat, erhält den Status „Associate of ISC²". Der Kurs selbst hat keine Erfahrungsvoraussetzungen für die Teilnahme.
Was ist CompTIA PenTest+ (PT0-002)?
CompTIA PenTest+ (Prüfungscode PT0-002) ist eine herstellerneutrale Zertifizierung von CompTIA für Penetrationstester und Schwachstellenanalytiker. Die Prüfung deckt den vollständigen Penetrationstest-Lebenszyklus ab: Planung und Scoping, Informationssammlung, Schwachstellenanalyse, Exploitation, Post-Exploitation sowie Reporting. PT0-002 ist die aktuelle Version; sie legt stärkeres Gewicht auf Cloud, hybride Umgebungen und das Management von Pentest-Programmen als ihre Vorgängerversion.
Warum ergänzen sich CISSP und PenTest+ besonders gut?
CISSP legt das theoretische und strategische Fundament: Sicherheitsarchitektur, Risikomanagement, rechtliche Rahmenbedingungen, Kryptographie. PenTest+ schult die operative Angriffssicht — wer Systeme aktiv testen kann, versteht Angreifermethoden und Lücken auf eine Art, die reine Defensivkenntnisse nicht erreichen. Die Kombination erzeugt ein Profil, das sowohl Sicherheitsarchitektur gestalten als auch deren Wirksamkeit durch aktive Tests überprüfen kann.
Welche technischen Vorkenntnisse brauche ich?
Für CISSP sind breite Kenntnisse in mindestens zwei Sicherheitsdomänen (z. B. Netzwerke, Kryptographie, Zugangskontrolle) empfohlen. Für PenTest+ sollten Grundlagen in Netzwerken (TCP/IP, Protokolle), Betriebssystemen (Linux-Kommandozeile, Windows) und Skriptsprachen vorhanden sein. Dies ist ein Kurs für erfahrene Sicherheitsfachleute — keine Einführungsveranstaltung.
Wie ist die Prüfungsstruktur für CISSP?
Die CISSP-Prüfung ist eine Computerized Adaptive Testing (CAT)-Prüfung in Englisch, umfasst 125–175 Fragen und dauert maximal vier Stunden. Sie deckt alle acht Domänen ab: Security and Risk Management, Asset Security, Security Architecture and Engineering, Communication and Network Security, Identity and Access Management, Security Assessment and Testing, Security Operations sowie Software Development Security.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Scientist653 Stellen
- Cyber-Security-Consultant528 Stellen
- Security Analyst271 Stellen
- Chief-Information-Security-Officer103 Stellen
- Penetration Tester97 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen