Überblick
Dieser Kurs verbindet zwei der anspruchsvollsten Qualifikationen im Bereich Sicherheit und Risiko: CISSP (Certified Information Systems Security Professional) von ISC² und PMI-RMP (Risk Management Professional) vom Project Management Institute. CISSP adressiert das gesamte Spektrum der Informationssicherheit — von Kryptographie über Netzwerksicherheit bis zu physischer Sicherheit und Software-Entwicklungslebenszyklus. PMI-RMP schärft den Blick für Risiken in Projektkontexten, einschließlich Risikoplanung, -analyse und -reaktion im Rahmen des PMBOK-Rahmens. Die Kombination ist besonders wirksam für Sicherheitsverantwortliche, die auch in Projektleitungs- und Programm-Governance-Rollen tätig sind oder in Unternehmen arbeiten, in denen Sicherheitsprojekte unter starkem PMI-Methodeneinfluss stehen.
Kursinhalte & Lernziele
Modul 1 — CISSP Domänen Security and Risk Management und Asset Security Die erste CISSP-Domäne legt das konzeptionelle Fundament: Informationssicherheit ist kein technisches Inselproblem, sondern ein Governance-Thema mit juristischen, regulatorischen und ethischen Dimensionen. Teilnehmende verstehen, wie Sicherheitsstrategien aus Unternehmenszielen abgeleitet werden und wie Asset-Klassifizierung die Basis jedes Schutzkonzepts bildet.
- CIA-Trias und Sicherheitsprinzipien (Due Diligence, Due Care) vertiefen
- Sicherheitsrichtlinien, -standards und -verfahren entwickeln
- Compliance-Anforderungen aus Gesetzen (DSGVO, NIS2, SOX) in Sicherheitskonzepte übersetzen
- Asset-Klassifizierungsschemata und Datenschutzkategorien definieren
- Eigentümer-, Verwalter- und Nutzerrollen im Datenschutz klären
- Datenschutz-by-Design-Prinzipien und Aufbewahrungsfristen umsetzen
Modul 2 — CISSP Domänen Security Architecture und Communication and Network Security Sicherheitsarchitektur beschäftigt sich mit der Frage, wie IT-Systeme grundsätzlich so konstruiert werden, dass Angriffsflächen minimiert und Vertrauensmodelle explizit gemacht werden. Network Security baut darauf auf und behandelt die spezifischen Bedrohungen und Schutzmaßnahmen in Kommunikationsinfrastrukturen.
- Sicherheitsarchitekturmodelle (SABSA, Zachman, OSA) anwenden
- Kryptographische Verfahren: symmetrische und asymmetrische Verschlüsselung, Hashfunktionen, digitale Signaturen
- PKI-Infrastruktur aufbauen und verwalten
- Netzwerkprotokolle, Topologien und Sicherheitszonen (DMZ, Zero Trust Network)
- Firewalls, IDS/IPS, VPN und sichere Remote-Access-Architekturen
- Drahtlose Netzwerksicherheit und Mobilgeräte-Management
Modul 3 — CISSP Domänen IAM, Security Assessment and Testing und Security Operations Identity and Access Management, Security Testing und Security Operations bilden den operativen Kern der Informationssicherheit. Diese Domänen sind eng miteinander verzahnt: Identitäten müssen verwaltet werden, ihre Berechtigungen müssen getestet werden, und der laufende Betrieb muss kontinuierlich überwacht werden.
- IAM-Frameworks: Authentifizierungsprotokolle (MFA, FIDO2), Autorisierungsmodelle (RBAC, ABAC)
- Single Sign-On, Federation und Zero-Trust-Konzepte implementieren
- Penetrationstests planen und Ergebnisse risikoorientiert bewerten
- Vulnerability-Assessment-Tools und Patch-Management-Prozesse
- SOC-Betrieb: Incident Detection, Response und Forensik-Grundlagen
- Business Continuity und Disaster Recovery aus Security-Perspektive
Modul 4 — CISSP Software Development Security und PMI-RMP Integration Die achte CISSP-Domäne schließt den Kreis zur Softwareentwicklung: Wie werden Sicherheitsanforderungen von Anfang an in den SDLC eingebettet? Der PMI-RMP-Block baut direkt darauf auf und zeigt, wie Sicherheitsrisiken im Projektkontext gemanagt werden — inklusive der Werkzeuge und Prozesse des PMBOK Risk Management.
- Sichere Softwareentwicklungs-Lebenszyklen (DevSecOps, OWASP Top 10)
- Bedrohungsmodellierung (STRIDE, PASTA) in der Designphase
- Code-Review, Static Application Security Testing (SAST) und DAST
- PMI-RMP Prozessgruppen: Plan Risk Management, Identify Risks, Perform Analysis
- Qualitative und quantitative Risikoanalyse nach PMBOK: Risikomatrix, Erwartungswert, Tornado-Diagramm
- Risk Response Planning: Vermeiden, Übertragen, Reduzieren, Akzeptieren von Projektrisiken
Praxisanwendung Die integrierte Praxisphase vertieft die Verzahnung von CISSP-Sicherheitsdomänen und PMI-RMP-Risikomanagement. Teilnehmende lösen realistische Szenarien, in denen ein Sicherheitsarchitekturprojekt gleichzeitig nach ISC²-Sicherheitsstandards und PMI-Risikomanagementprinzipien gesteuert wird.
- Security Architecture Review für ein hybrides Cloud-On-Premises-Setup durchführen
- Risikoregister für ein Sicherheitsinfrastrukturprojekt nach PMBOK aufbauen
- Threat Model für eine Webanwendung mit STRIDE-Methode erstellen
- IAM-Konzept für ein Zero-Trust-Netzwerk entwerfen und risikobewerten
- Incident-Response-Plan entwickeln und Kommunikationswege definieren
- Quantitative Risikoanalyse mit Monte-Carlo-Simulation für ein Cloud-Migrationsprojekt
- Auditbericht zu Zugriffskontrollschwachstellen und Empfehlungen formulieren
- DevSecOps-Pipeline-Sicherheitsanforderungen in einem Projektplan verankern
- Risk Treatment Register mit Verantwortlichkeiten und Terminen für ein fiktives SOC-Projekt
- CISSP Examen-Domänengewichtungen und Fragetypen kennenlernen
- PMI-RMP Prüfungsformat und Antragsprozess verstehen
- Abschlusspräsentation: integrierter Sicherheitsrisiko-Report
Erfahrene Dozierende aus der Sicherheits- und Projektmanagement-Praxis begleiten den Kurs. Theorieblöcke wechseln mit Fallstudienarbeit und strukturierten Diskussionen ab.
Lernziele:
- Alle acht CISSP-Domänen vollständig beherrschen: Security and Risk Management, Asset Security, Security Architecture and Engineering, Communication and Network Security, Identity and Access Management (IAM), Security Assessment and Testing, Security Operations sowie Software Development Security
- Sicherheitsrichtlinien, -standards und -frameworks (ISO 27001, NIST SP 800-53) entwickeln und implementieren
- Kryptographische Systeme und PKI-Infrastrukturen korrekt einsetzen und bewerten
- Netzwerksicherheitsarchitekturen entwerfen und absichern
- IAM-Systeme und -Protokolle (OAuth, SAML, Zero Trust) konzipieren
- Penetrationstests, Vulnerability Assessments und Security Audits planen und auswerten
- Security Operations Center (SOC)-Prozesse verstehen und steuern
- Sichere Software-Entwicklungspraktiken und DevSecOps-Prinzipien anwenden
- PMI-RMP-Prozessgruppen durchführen: Risikoplanung, -identifikation, qualitative und quantitative Risikoanalyse, Risikoreaktion, Risikoüberwachung
- Risikomanagement-Plan nach PMBOK-Standard entwickeln
- Quantitative Risikoanalysemethoden (EMV, Monte-Carlo-Simulation) in Projekten anwenden
- Sicherheits- und Projektrisiken integriert berichten und eskalieren
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an erfahrene IT-Sicherheitsfachleute, die sowohl tiefes Sicherheits-Know-how als auch strukturiertes Risikomanagement in Projekten nachweisen möchten. Adressiert werden
- Senior-Security-Analysten und Security Architects mit mehrjähriger Berufserfahrung
- CISOs und Sicherheitsverantwortliche, die ihre Managementkompetenz formalisieren wollen
- IT-Projektleiter und Programm-Manager, die in sicherheitskritischen Projekten arbeiten
- Risikomanager in Unternehmen mit starkem IT-Sicherheitsbezug
- IT-Berater, die Kunden in Sicherheitsprojekten mit PMBOK-Methodik beraten
CISSP setzt bei ISC² mindestens fünf Jahre kumulierte Berufserfahrung in mindestens zwei der acht CISSP-Domänen voraus (Informationssicherheits-Erfahrung). Für PMI-RMP werden 36 Monate Projekt-Risikomanagement-Erfahrung bei einem Hochschulabschluss oder 60 Monate bei einem Schulabschluss sowie mindestens 30 Stunden formale Risikomanagement-Ausbildung verlangt. Für das Kursformat selbst sind solide IT-Kenntnisse, Sicherheitsgrundlagen und idealerweise Grundkenntnisse in Projektmanagement empfehlenswert.
Ablauf & Abschluss
Der Kurs läuft als synchrones Online-Format mit Live-Dozenten und interaktiven Übungsphasen. Beide Zertifizierungslinien werden in verschränkten Modulen behandelt, was die konzeptionellen Verbindungen zwischen Sicherheitsdomänen und Risikokonzepten sichtbar macht. Fallstudien aus realen Sicherheitsvorfällen und Projektschieflagen illustrieren, warum die Integration beider Frameworks praxisrelevant ist. Für das Selbststudium zwischen den Kursblöcken stehen offizielle ISC²-Studienunterlagen (CISSP CBK) und das PMBOK-Handbuch zur Verfügung.
Das Curriculum beider Zertifizierungsgebiete ist umfangreich; der Kurs erstreckt sich über mehrere Wochen, die je nach gewählten Modulen und persönlichem Lerntempo variieren können. Teilzeit-Formate und flexible Starttermine sind möglich.
Teilnehmende erhalten eine qualifizierte Teilnahmebescheinigung. Darüber hinaus bereitet der Kurs auf die externe CISSP-Prüfung bei ISC² und die PMI-RMP-Prüfung beim Project Management Institute vor. Beide Zertifikate werden nach bestandener Prüfung und Erfahrungsnachweis von den jeweiligen Organisationen ausgestellt. CISSP erfordert zusätzlich die Unterschrift eines ISC²-Mitglieds als Endorsement.
Nutzen & Perspektiven
CISSP gilt als einer der weltweit renommiertesten Nachweise in der Informationssicherheit. Viele CISO-Stellen und leitende Sicherheitspositionen setzen CISSP explizit voraus oder bevorzugen Kandidaten damit. Die Zertifizierung belegt nicht nur breites Fachwissen, sondern auch Berufserfahrung — sie ist kein reines Lernprogramm, sondern ein Karrieresignal. Die Ergänzung durch PMI-RMP adressiert eine häufige Lücke: Sicherheitsexperten, die in Projekten arbeiten, sprechen oft eine andere Risikosprache als Projektmanager. Mit PMI-RMP können Sicherheitsverantwortliche Risiken in der PMBOK-Terminologie kommunizieren, Risikomanagementpläne nach PMI-Standard führen und in gemischten Projektteams effizienter arbeiten. Das eliminiert Reibungsverluste in Projekten, bei denen Sicherheitsanforderungen und Projektrisikomanagement aufeinandertreffen. Auf dem Arbeitsmarkt entstehen zunehmend Rollen, die bisher kaum besetzt werden konnten: Security Program Manager, Chief Risk Officer mit Security-Schwerpunkt oder Lead Security Architect in agilen Transformationsprojekten. Wer beide Zertifikate hält, ist in Verhandlungen über Projektziele, Budgets und Risikotoleranzen sowohl mit technischen als auch mit managementseitigen Stakeholdern auf Augenhöhe.
Häufig gestellte Fragen (FAQ)
Aus welchen acht Domänen besteht die CISSP-Prüfung?
CISSP prüft: (1) Security and Risk Management, (2) Asset Security, (3) Security Architecture and Engineering, (4) Communication and Network Security, (5) Identity and Access Management, (6) Security Assessment and Testing, (7) Security Operations und (8) Software Development Security. Die Gewichtung der Domänen in der Prüfung variiert — Domäne 1 hat mit ca. 16 % den höchsten Anteil.
Was unterscheidet PMI-RMP von CRISC?
PMI-RMP ist ein Projektmanagement-Zertifikat, das Risikomanagement im Projektkontext nach PMBOK behandelt — also innerhalb eines definierten Projektrahmens mit Zeitplan, Budget und Lieferobjekten. CRISC hingegen fokussiert auf IT-spezifische Unternehmensrisiken und -kontrollen in der laufenden Organisation. Beide sind wertvoll, adressieren aber unterschiedliche Risikoebenen.
Welche Berufserfahrung brauche ich für die CISSP-Prüfung?
ISC² verlangt mindestens fünf Jahre bezahlte Vollzeit-Berufserfahrung in mindestens zwei der acht CISSP-Domänen. Mit einem vierjährigen Hochschulabschluss oder einer anerkannten Zusatzzertifizierung kann ein Jahr erlassen werden. Ohne vollständige Erfahrung kann man als Associate of ISC² beginnen und die Prüfung trotzdem ablegen.
Wie unterscheidet sich CISSP von CISM (ISACA)?
CISSP hat einen breiteren, technisch tieferen Ansatz und deckt alle Sicherheitsdisziplinen ab, einschließlich Kryptographie, Netzwerksicherheit und Softwareentwicklung. CISM (Certified Information Security Manager) von ISACA fokussiert stärker auf die Managementebene und ist oft die Wahl für Führungskräfte ohne starken technischen Hintergrund. CISSP wird häufig für operative Sicherheitsrollen verlangt.
Wird CISSP nach einiger Zeit ungültig?
CISSP muss alle drei Jahre durch Continuing Professional Education (CPE) erneuert werden. ISC² verlangt 120 CPE-Stunden innerhalb von drei Jahren sowie eine jährliche Maintenance Fee. Damit bleibt das Zertifikat lebenslang gültig, solange die Anforderungen erfüllt werden.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Informationssicherheitsbeauftragter/Informationssicherheitsbeauftragte241 Stellen
- Informationssicherheitsbeauftragter201 Stellen
- Risikomanager (IT)181 Stellen
- Cyber-Security-Consultant118 Stellen
- IT-Sicherheit (grundständig)108 Stellen
- Chief-Information-Security-Officer103 Stellen