Überblick
Diese Weiterbildung kombiniert zwei der international angesehensten strategischen Sicherheitszertifizierungen: den Certified Information Systems Security Professional (CISSP) von (ISC)² und den Certified Information Security Manager (CISM) von ISACA. Beide Zertifizierungen adressieren Informationssicherheit aus einer übergreifenden, nicht rein technischen Perspektive — CISSP über acht Domänen, die von Risikomanagement über Kryptographie bis zu Sicherheitsoperationen reichen, CISM über vier Domänen mit starkem Fokus auf Governance, Risikomanagement, Incident Management und Programmentwicklung. Zusammen formen sie ein Kompetenzprofil, das vor allem für Sicherheitsverantwortliche auf Führungsebene relevant ist, die strategische Sicherheitsprogramme entwickeln und gegenüber der Unternehmensleitung vertreten.
Kursinhalte & Lernziele
CISSP-Domänen – Sicherheit und Risikomanagement, Asset Security Die ersten beiden CISSP-Domänen legen das konzeptionelle Fundament und überschneiden sich inhaltlich stark mit dem CISM-Rahmenwerk — dieser Synergie wird im Kurs bewusst genutzt, um Doppelarbeit zu vermeiden und Tiefe zu gewinnen. Security and Risk Management behandelt CIA-Triad, Governance-Strukturen, Risikomanagementprozesse und rechtliche Anforderungen. Asset Security vermittelt, wie Informationswerte klassifiziert, bewertet und sicher verwaltet werden.
- CIA-Triad und Sicherheitsprinzipien in Governance-Kontexten
- Risikomanagement-Lebenszyklen: Identifikation, Bewertung, Behandlung, Überwachung
- Quantitative Risikomethoden: ALE, SLE, ARO und deren Anwendung in Management-Berichten
- Datenschutz-Frameworks: DSGVO, ISO 27701, Privacy by Design
- Informationsklassifizierung und Eigentumskonzepte (Data Owner, Data Custodian)
- Lieferanten- und Drittparteien-Sicherheit: Verträge, Audits, SLAs
CISSP-Domänen – Sicherheitsarchitektur, Kommunikation und Netzwerksicherheit Dieser technische Block behandelt Systemdesign und Netzwerksicherheit. Security Architecture and Engineering umfasst Sicherheitsmodelle, Evaluation-Standards und Hardware-Sicherheitskonzepte. Communication and Network Security behandelt Protokolle, Netzwerktopologien und sichere Kommunikationsarchitekturen. Diese Inhalte geben dem CISM-Management-Profil die technische Substanz, die Glaubwürdigkeit in Gesprächen mit technischen Teams erzeugt.
- Sicherheitsmodelle: Bell-LaPadula (Vertraulichkeit), Biba (Integrität), Clark-Wilson
- Common Criteria und TCSEC als Evaluierungsrahmen für Sicherheitsprodukte
- Kryptographie: symmetrische Verfahren, Public-Key-Systeme, Hash-Funktionen
- PKI und digitale Signaturen in Unternehmensinfrastrukturen
- OSI-Modell und Sicherheitsmaßnahmen je Netzwerkschicht
- Drahtlose Netzwerksicherheit und sichere Fernzugangskonzepte
CISM-Domänen 1 und 2 – Information Security Governance und Security Program Management Die ersten beiden CISM-Domänen bilden das Kernstück des ISACA-Anteils. Information Security Governance stellt sicher, dass Sicherheitsstrategien an Unternehmenszielen ausgerichtet sind, Verantwortlichkeiten klar definiert und Sicherheitsentscheidungen mit der Führungsebene koordiniert werden. Security Program Management behandelt die Entwicklung, Implementierung und Messung eines Informationssicherheitsprogramms über seinen gesamten Lebenszyklus.
- Governance-Frameworks: COBIT 2019, ISO 27001, NIST CSF aus Management-Perspektive
- Sicherheitsstrategie entwickeln und an Geschäftszielen ausrichten
- Rollen und Verantwortlichkeiten: CISO, Security Committee, Board-Level Reporting
- Sicherheitsprogramm-Lebenszyklus: Planung, Ressourcen, KPIs und Reifegradmodelle
- Sicherheitsmetriken und Dashboards für die Führungsebene
- Security Awareness und Trainingsmaßnahmen als Programm gestalten
CISM-Domänen 3 und 4 – Information Risk Management und Incident Management Die letzten beiden CISM-Domänen vertiefen operative Governance-Aspekte. Domäne 3 behandelt Risikobewertung und Compliance-Management aus der Perspektive des Informationssicherheits-Programms. Domäne 4 widmet sich dem Incident-Management: von der Erkennung und Klassifizierung über die Eskalation bis zur Nachbearbeitung und strukturierten Lessons-Learned-Prozessen.
- Risikobewertungsrahmen aus CISM-Perspektive: ISACA Risk IT Framework
- Compliance-Monitoring und Audit-Koordination
- Incident-Response-Plan: Aufbau, Verantwortlichkeiten, Testszenarien
- Crisis-Communication und Stakeholder-Management im Ernstfall
- Forensik-Grundlagen aus Managementperspektive (wann externe Experten einzuschalten sind)
- Post-Incident-Reviews und kontinuierliche Verbesserungsprozesse
Praxisintegration – CISSP und CISM als kombiniertes Management-Profil In diesem Block werden die Querverbindungen zwischen beiden Zertifizierungsprogrammen aktiv genutzt. Wo CISSP technische Tiefe liefert, ergänzt CISM die Management-Dimension — und umgekehrt stärkt CISSP-Fachwissen die Glaubwürdigkeit in CISM-Kontexten, wenn technische und strategische Sicherheitsebenen aufeinandertreffen.
- Integrierte Risikolandkarten: CISSP-Kontrollkatalog trifft CISM-Risikobewertung
- Sicherheits-Governance-Szenarien: Entscheidungen unter Budgetdruck und regulatorischem Druck
- Drittparteien-Audit-Simulationen mit ISACA- und (ISC)²-Perspektive
- KPI-Entwicklung für Sicherheitsprogramme auf Basis beider Frameworks
- Board-Level-Reporting: Sicherheitsstatus verständlich für Nicht-Techniker kommunizieren
- Incident-Management-Simulationen mit CISM-Eskalationspfaden
- Compliance-Gap-Analysen gegen ISO 27001, DSGVO und branchenspezifische Anforderungen
- Vendor-Sicherheitsbewertungen: Checklisten und Vertragsklauseln aus Managementsicht
- Entwicklung von Sicherheitsrichtlinien, Standards und Prozeduren
- Security Culture Assessments und Awareness-Maßnahmen planen
- Analyse realer Sicherheitsvorfälle aus Governance-Perspektive beider Verbände
- Fallstudien: Aufbau eines ISMS nach ISO 27001 im CISM-Programmrahmen
Die inhaltliche Nähe beider Zertifizierungen — insbesondere in den Domänen Risikomanagement und Governance — erlaubt eine inhaltlich dichte Doppelvorbereitung. Viele Konzepte werden einmal gelernt und aus zwei Perspektiven betrachtet, was das Lernprogramm kohärenter und lernwirksamer macht. Beide Verbände, (ISC)² und ISACA, stehen für unterschiedliche, aber komplementäre Blickwinkel auf Informationssicherheit — ihre Zertifizierungen zusammen signalisieren Arbeitgebern eine ungewöhnlich breite und gleichzeitig tiefe Fachkompetenz.
Lernziele:
- Die acht CISSP-Domänen von (ISC)² in ihrer inhaltlichen Breite und konzeptionellen Tiefe durchdringen
- Sicherheits-Governance-Strukturen entwerfen und an Unternehmenszielen ausrichten
- Informationsrisiken nach NIST RMF, ISO 31000 und ISACA Risk IT Framework systematisch bewerten und behandeln
- Sicherheitsprogramme nach CISM-Domäne 2 planen, implementieren und kontinuierlich verbessern
- Incident-Management-Pläne nach CISM-Domäne 4 entwickeln, testen und in Krisenszenarien steuern
- Drittparteien-Risiken bewerten: Vendor-Management, SLAs und Sicherheitsklauseln in Verträgen
- Kryptographische Verfahren, PKI und Schlüsselverwaltungskonzepte technisch einordnen
- Identitäts- und Zugriffsverwaltung aus Management-Perspektive steuern und bewerten
- Sicherheitsarchitektur-Konzepte für Enterprise-Umgebungen anwenden
- CISM-Domäne 3: Informationsrisiko-Management und Compliance operationalisieren
- Sicherheitsstatus und Programmreife für Vorstands- und Führungsebene kommunizieren
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an erfahrene Sicherheitsfachleute, die in Führungs- und Governance-Rollen arbeiten oder dorthin wechseln wollen. Beide Zertifizierungen erfordern Berufserfahrung, weshalb der Kurs nicht für Einsteiger konzipiert ist.
- CISOs und stellvertretende Sicherheitsverantwortliche, die ihre Zertifizierungsbasis formalisieren wollen
- Senior Security Engineers mit Ambitionen in Management-Positionen
- Risikomanager und Compliance-Verantwortliche in IT-nahen Funktionen
- Interne und externe IT-Auditoren mit Sicherheitsfokus
- Berater, die für Kunden Sicherheits-Governance-Programme aufbauen oder bewerten
Für CISSP erfordert (ISC)² mindestens fünf Jahre Berufserfahrung in zwei oder mehr Sicherheitsdomänen. ISACA erfordert für die CISM-Zertifizierung mindestens fünf Jahre Gesamterfahrung in der Informationssicherheit, davon drei Jahre in Managementfunktionen. Für die Kursteilnahme wird solides Grundverständnis von IT-Infrastrukturen, Netzwerken und Sicherheitsgrundlagen vorausgesetzt.
Ablauf & Abschluss
Combined Learning im virtuellen Klassenzimmer, Vollzeit über mehr als einen bis zu drei Monate. Der Unterricht verbindet konzeptionelle Vertiefung mit Fallstudien aus dem Management-Alltag. Management-orientierte Szenarien — Boardroom-Präsentationen, Risikoabwägungen, Incident-Übungen — ergänzen die technischen Lerneinheiten und machen abstrakte Governance-Konzepte greifbar. Erfahrene Dozenten mit Hintergrund in Sicherheitsmanagement begleiten den Lernprozess.
Vollzeit, mehr als ein bis zu drei Monate. Live-Unterricht täglich im virtuellen Klassenzimmer. Teilnehmer können von zu Hause oder von einem Lernzentrum aus teilnehmen, das einen ausgestatteten Arbeitsplatz mit Doppelmonitor bereitstellt.
Der Kurs bereitet auf zwei externe Zertifizierungsprüfungen vor: die CISSP-Prüfung von (ISC)² und die CISM-Prüfung von ISACA. Beide Prüfungen werden von den jeweiligen Verbänden vergeben und sind weltweit anerkannt. Die CISM-Zertifizierung erfordert nach bestandener Prüfung zusätzlich die Dokumentation von mindestens drei Jahren Managementerfahrung bei ISACA. Zusätzlich wird eine trägerinterne Teilnahmebescheinigung ausgestellt.
Nutzen & Perspektiven
Die Kombination aus CISSP und CISM adressiert ein spezifisches Karrieresegment: Sicherheitsverantwortliche, die nicht mehr primär an technischen Werkzeugen, sondern an strategischen Fragen arbeiten — Governance, Risikomanagement, Programmentwicklung, Berichterstattung an die Führungsebene. Wer beide Zertifizierungen trägt, signalisiert, dass er oder sie sowohl die technische Substanz kennt als auch das Management-Handwerk beherrscht. In CISO-Rollen oder Senior-Sicherheitsberatung ist genau das zunehmend erwartet. CISSP und CISM decken sich inhaltlich in mehreren Kernbereichen, insbesondere im Risikomanagement und in der Governance. Dieser Kurs nutzt diese Überschneidung produktiv: Was im CISSP-Teil konzeptionell verankert wird, lässt sich im CISM-Teil aus der Management-Anwendungsperspektive vertiefen — ohne redundante Wiederholungen, die Lernzeit verschwenden. Für Personen, die in größeren Organisationen mit eigenen Sicherheitsabteilungen arbeiten, regulierten Branchen angehören oder als externe Berater Sicherheits-Governance-Programme entwickeln, bildet diese Doppelzertifizierung eine der stärksten Qualifikationsgrundlagen, die der Markt kennt.
Häufig gestellte Fragen (FAQ)
Was unterscheidet CISSP und CISM voneinander?
CISSP von (ISC)² deckt acht Domänen ab und verbindet technische Tiefe mit strategischem Sicherheitsdenken. CISM von ISACA fokussiert stärker auf Management-Aspekte: Governance, Sicherheitsprogramm-Management, Risikomanagement aus Programmperspektive und Incident Management. In der Praxis ergänzen sich beide, da CISSP die technische Substanz liefert und CISM den Management-Rahmen.
Welche Erfahrung brauche ich für die CISM-Zertifizierung?
ISACA erfordert mindestens fünf Jahre Gesamterfahrung in der Informationssicherheit, davon mindestens drei Jahre in einer Managementfunktion. Diese Erfahrung muss nach bestandener Prüfung dokumentiert und von ISACA bestätigt werden, bevor das Zertifikat ausgestellt wird.
Gibt es inhaltliche Überschneidungen zwischen CISSP und CISM, die ich doppelt lernen muss?
Ja, es gibt inhaltliche Überschneidungen — insbesondere in Risikomanagement und Governance. Der Kurs nutzt diese bewusst produktiv: Konzepte werden einmal gelernt und aus zwei Perspektiven beleuchtet, statt redundant wiederholt zu werden. Das macht die Doppelvorbereitung effizienter als die separate Vorbereitung auf beide Zertifizierungen.
Für welche Karrierestufe ist dieser Kurs geeignet?
Beide Zertifizierungen sind explizit keine Einsteiger-Qualifikationen — sie setzen mehrjährige Berufserfahrung voraus. Der Kurs richtet sich an erfahrene Sicherheitsfachleute, die in CISO-Rollen, Senior Security Engineering oder Sicherheitsberatung tätig sind oder dorthin wechseln wollen.
In welchem Format findet der Unterricht statt?
Combined Learning im virtuellen Klassenzimmer, Vollzeit über mehr als einen bis zu drei Monate. Management-orientierte Szenarien — Boardroom-Präsentationen, Risikoabwägungen, Incident-Simulationen — ergänzen die konzeptionellen Lerneinheiten. Teilnehmer können von zu Hause oder von einem ausgestatteten Lernzentrum aus teilnehmen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Scientist3.283 Stellen
- Informationssicherheitsbeauftragter/Informationssicherheitsbeauftragte241 Stellen
- Chief-Information-Security-Officer103 Stellen
- Informationssicherheitsmanager32 Stellen
- Assistent/Assistentin für Informatik (allgemeine Informatik)10 Stellen
- IT-Sicherheitsexperte1 Stellen