Überblick
Diese Weiterbildung richtet sich an IT-Fachleute, die sicherheitsorientiertes Testen und strategisches Informationssicherheits-Management in einem Curriculum verbinden möchten. Der CISSP-Block vermittelt das vollständige (ISC)²-Curriculum mit seinen acht Wissensdomänen und bereitet auf die entsprechende Zertifizierungsprüfung vor. Ergänzt wird er durch den ISTQB Advanced Level Security Tester, der gezielt die Kompetenzen adressiert, die Software-Tester benötigen, um Sicherheitsschwachstellen in Systemen systematisch aufzudecken, zu bewerten und zu dokumentieren. Die Verbindung beider Qualifikationsrahmen ist besonders wertvoll, da CISSP die strategisch-konzeptionelle Ebene abdeckt, während der ISTQB-Sicherheitstester-Kurs die operative Testpraxis in den Mittelpunkt rückt — eine seltene Kombination, die im Markt zunehmend gefragt ist.
Kursinhalte & Lernziele
Modul 1 — CISSP: Governance, Risiko und Compliance Die Grundlagen der Informationssicherheit beginnen nicht mit Technik, sondern mit Entscheidungsrahmen. Dieser Block behandelt Security Governance, Risikomanagement und die rechtlich-ethischen Rahmenbedingungen, die Sicherheitsverantwortliche kennen müssen.
- Security-Governance-Prinzipien und regulatorische Compliance-Anforderungen
- Berufsethische Grundsätze im Umgang mit sicherheitsrelevanten Daten
- Risikomanagementprozesse und Bedrohungsmodellierung
- Business-Continuity-Grundlagen und personelle Sicherheitsmaßnahmen
- Sicherheitsbewusstsein, Schulungsstrategien und Dokumentationsstandards
Modul 2 — CISSP: Technische Sicherheitsdomänen Dieser umfangreiche Block deckt Asset-Schutz, Systemarchitektur, Kryptografie, Netzwerksicherheit, Identitätsmanagement und den Sicherheitsbetrieb ab. Er bildet den technischen Kern des CISSP-Curriculums.
- Asset-Klassifizierung, Datenschutz und sicherer Datenumgang
- Sicherheitsarchitektur, Sicherheitsmodelle und Kontrollmechanismen
- Kryptografie-Konzepte, symmetrische und asymmetrische Verfahren, PKI
- Netzwerkprotokolle, Komponenten und Kommunikationskanäle absichern
- Identifizierung, Authentifizierung, Autorisierung und Identity as a Service
- Incident Response, Disaster Recovery und Patch-Management im Betrieb
- Sicherheitsprinzipien im Software-Entwicklungslebenszyklus
Modul 3 — ISTQB Advanced Security Tester: Grundlagen und Teststrategie Der ISTQB Advanced Level Security Tester baut auf dem ISTQB Foundation Level auf und vertieft das Testen unter dem Gesichtspunkt von Sicherheitsrisiken. Dieser Block legt das konzeptionelle Fundament des sicherheitsorientierten Testens.
- Grundbegriffe der Anwendungssicherheit und rechtliche Rahmenbedingungen für Sicherheitstests
- Sicherheitsteststrategie: risikobasierter Ansatz und Testumfangsdefinition
- Sicherheitsanforderungen aus Bedrohungsmodellen und Risikoanalysen ableiten
- Typen von Sicherheitstests: Schwachstellenanalyse, Penetrationstest, Compliance-Test, Überprüfung
- Einbettung von Sicherheitstests in den Software-Entwicklungslebenszyklus (SDLC)
Modul 4 — ISTQB Advanced Security Tester: Durchführung und Dokumentation Die praktische Durchführung von Sicherheitstests folgt eigenen Methoden und Werkzeugen. Dieser Block behandelt Angriffstechniken aus Testerperspektive, die korrekte Dokumentation und die Kommunikation von Befunden.
- Web-Application-Security-Testing: OWASP Top 10, Injection, XSS, CSRF und weitere Angriffsmuster
- Netzwerk- und Infrastrukturtests: Portscans, Service-Enumeration, Konfigurationsprüfungen
- API-Sicherheitstests und Authentifizierungsüberprüfungen
- Auswertung und Priorisierung von Testergebnissen nach Risikoklassen
- Dokumentation von Sicherheitsbefunden und Berichterstellung für technische und nicht-technische Empfänger
In anwendungsorientierten Übungen werden beide Zertifizierungsrahmen gezielt miteinander verknüpft, sodass Teilnehmende den direkten Zusammenhang zwischen strategischem Sicherheitsmanagement und operativer Testpraxis erleben. Die Aufgaben kombinieren CISSP-Domänenwissen mit konkreten ISTQB-Testmethoden und vermitteln so ein integriertes Kompetenzprofil, das über das bloße Lernen beider Einzelcurricula hinausgeht.
- Risikoanalyse für ein Webanwendungssystem nach CISSP-Methodik durchführen
- Bedrohungsmodell erstellen und daraus prüfbare Sicherheitsanforderungen ableiten
- Sicherheitsarchitektur-Review an einem Fallbeispiel strukturieren und dokumentieren
- Kryptografische Konfigurationsfehler in einer Testumgebung identifizieren und bewerten
- Penetrationstest-Szenarien auf virtuellen Testumgebungen konzipieren und durchführen
- OWASP-Top-10-Schwachstellen in Testapplikationen reproduzieren, klassifizieren und dokumentieren
- Authentifizierungsmechanismen auf Schwächen prüfen und Gegenmaßnahmen vorschlagen
- Incident-Response-Abläufe auf Basis von Sicherheitstestbefunden modellieren
- Sicherheitstestbericht nach ISTQB-Vorgaben erstellen und verständlich aufbereiten
- Testergebnisse an ein fiktives Entwicklungsteam kommunizieren, priorisieren und verhandeln
- CISSP-Governance-Konzepte auf die Planung eines Sicherheitstestprogramms anwenden
- Abschlusskontrolle beider Themenblöcke durch übergreifende Fallstudie aus der Unternehmensrealität
Der Unterricht erfolgt als Combined Learning mit Live-Sessions im virtuellen Klassenzimmer sowie selbstgesteuerten Übungsphasen. Praxistrainings und Fallstudienarbeit wechseln mit Theorie-Einheiten ab. Für den synchronen Online-Unterricht stehen in den Kurszentren Arbeitsplätze mit zwei Monitoren zur Verfügung; Homeoffice-Teilnahme ist möglich.
Lernziele:
- Den CISSP Common Body of Knowledge in allen acht Domänen sicher beherrschen und auf Prüfungsniveau anwenden
- Governance-Strukturen, Compliance-Anforderungen und ethische Grundsätze der Informationssicherheit umsetzen
- Risikoanalysen durchführen, Bedrohungsmodelle entwickeln und Sicherheitsarchitekturen bewerten
- Kryptografische Verfahren situationsgerecht auswählen und deren Anwendungsgrenzen kennen
- Netzwerkinfrastrukturen auf Schwachstellen analysieren und geeignete Schutzmaßnahmen definieren
- Identitäts- und Zugriffssteuerungssysteme planen und im Betrieb überwachen
- Security-Teststrategien nach ISTQB Advanced entwickeln und im Softwareentwicklungsprozess verankern
- Penetration-Testing-Konzepte und risikobasierte Testansätze anwenden
- Sicherheitstests für Webanwendungen, APIs und eingebettete Systeme strukturieren
- Sicherheitsanforderungen aus Bedrohungsmodellen ableiten und in Testfälle überführen
- Vorfallanalysen auf Basis von Testergebnissen und Audit-Daten durchführen
- Sicherheitstestberichte verständlich dokumentieren und an Entwicklungs- wie Management-Teams kommunizieren
Zielgruppe & Voraussetzungen
Diese Kombination eignet sich für erfahrene IT-Sicherheitsexperten und Software-Tester, die ihre Qualifikation durch international anerkannte Zertifizierungen belegen möchten.
- Software-Tester und Test-Manager mit Interesse an Sicherheitsspezialisierung
- IT-Sicherheitsverantwortliche, die Testmethodik in ihrem Aufgabenbereich verankern wollen
- Entwickler in DevSecOps-Umgebungen, die Sicherheitstests selbst durchführen
- Security Consultants und Penetration Tester auf dem Weg zur CISSP-Zertifizierung
- QA-Verantwortliche in regulierten Branchen wie Finanz oder Gesundheitswesen
Für den CISSP-Teil sind mehrjährige praktische Berufserfahrung in mindestens zwei der acht CISSP-Domänen sowie fundierte Kenntnisse in IT-Netzwerken, Betriebssystemen und allgemeiner IT-Sicherheit erforderlich. Für den ISTQB Advanced Security Tester ist ein bestandener ISTQB Foundation Level als formale Voraussetzung zu beachten; darüber hinaus sind Grundkenntnisse im Software-Testing und Verständnis gängiger Sicherheitsangriffsmuster hilfreich.
Ablauf & Abschluss
Der Kurs kombiniert strukturierte Live-Unterrichtseinheiten mit praktischen Übungsphasen und Fallstudienarbeit. Im virtuellen Klassenzimmer findet der synchrone Unterricht statt; asynchrone Lernphasen erlauben die eigenständige Vertiefung. Praxistrainings nutzen reale Testumgebungen und Übungsanwendungen. Die Modulstruktur erlaubt eine flexible Kombination, sodass Vorkenntnisse gezielt berücksichtigt werden können.
Die Weiterbildung ist als Vollzeitkurs über einen Zeitraum von mehr als einem Monat bis zu drei Monaten angelegt. Der genaue Umfang richtet sich nach der gewählten Modulkombination. Teilzeit-Varianten sind nach Absprache möglich.
Der Kurs bereitet auf zwei externe Prüfungen vor. Die CISSP-Prüfung wird beim (ISC)² an einem akkreditierten Prüfungszentrum abgelegt; das Zertifikat setzt fünf Jahre Berufspraxis voraus. Die ISTQB-Advanced-Security-Tester-Prüfung wird über einen akkreditierten ISTQB-Anbieter abgelegt. Der Kursabschluss selbst wird mit einer Teilnahmebescheinigung dokumentiert.
Nutzen & Perspektiven
Der CISSP positioniert Inhaber als ganzheitliche Sicherheitsexperten, die nicht nur technische Kontrollen kennen, sondern auch Governance-Entscheidungen treffen und Risikomanagementprozesse steuern können. Diese Breite ist in Unternehmen gefragt, die Sicherheit nicht länger als reine IT-Aufgabe, sondern als Unternehmensrisiko begreifen. Der ISTQB Advanced Security Tester ergänzt diese Breite um operative Tiefe in einem spezifischen Bereich: dem systematischen Aufspüren von Sicherheitslücken in Softwaresystemen. Wer beides beherrscht, kann Sicherheitsarchitekturen nicht nur konzipieren, sondern auch deren Wirksamkeit durch strukturierte Tests validieren — eine Doppelkompetenz, die in DevSecOps-Teams und sicherheitskritischen Entwicklungsumgebungen besonders wertvoll ist. Die Kombination ist auch strategisch sinnvoll, weil beide Qualifikationsrahmen international anerkannt sind und von unabhängigen Organisationen — (ISC)² und ISTQB — vergeben werden. Das erhöht die Portabilität des Zertifikats über Unternehmensgrenzen und Ländergrenzen hinweg erheblich.
Häufig gestellte Fragen (FAQ)
Was unterscheidet CISSP und ISTQB Advanced Security Tester inhaltlich?
CISSP deckt alle acht Domänen des Informationssicherheits-Managements ab — von Governance über Kryptografie bis zu Software-Sicherheit — und ist auf strategische Entscheidungsebene ausgerichtet. Der ISTQB Advanced Security Tester konzentriert sich auf die operative Durchführung von Sicherheitstests in Softwareentwicklungsprojekten, inklusive Penetrationstest-Methoden und strukturierter Befunddokumentation.
Muss ich den ISTQB Foundation Level vor dem Kurs abgelegt haben?
Für die offizielle ISTQB-Prüfung zum Advanced Security Tester ist der Foundation Level eine formale Voraussetzung, die von ISTQB vorgegeben wird. Der Kurs selbst kann auf Initiative der Teilnehmenden besucht werden, aber die externe Prüfungszulassung setzt den Foundation-Nachweis voraus.
Welche Berufserfahrung ist für den CISSP erforderlich?
Das (ISC)² verlangt für die CISSP-Zertifizierung mindestens fünf Jahre bezahlte Vollzeit-Berufserfahrung in zwei oder mehr der acht CBK-Domänen. Wer die Prüfung besteht, aber die Erfahrung noch nicht nachweisen kann, erhält zunächst den Status „Associate of (ISC)²" und hat sechs Jahre Zeit, die Erfahrung zu sammeln.
Für welche Branchen ist diese Kombination besonders relevant?
Die Kombination ist überall dort wertvoll, wo sichere Softwareentwicklung und übergreifendes Sicherheitsmanagement zusammenwirken: Finanzdienstleistungen, Gesundheitswesen, öffentliche Verwaltung und stark regulierte Industriezweige. Auch IT-Dienstleister, die für mehrere Kunden gleichzeitig Sicherheitsverantwortung tragen, profitieren besonders.
Werden beide Zertifikatsprüfungen in diesem Kurs abgelegt?
Nein. Beide Prüfungen werden separat bei den jeweiligen Zertifizierungsstellen abgelegt — CISSP beim (ISC)² und die ISTQB-Prüfung bei einem akkreditierten ISTQB-Anbieter. Der Kurs bereitet inhaltlich auf beide vor und schließt mit einer Teilnahmebescheinigung ab.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Scientist3.283 Stellen
- Informationssicherheitsbeauftragter/Informationssicherheitsbeauftragte241 Stellen
- Informationssicherheitsbeauftragter201 Stellen
- Cyber-Security-Consultant118 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT-Sicherheitsbeauftragter3 Stellen