Überblick
Der Certified Information Systems Auditor (CISA) ist eine der renommiertesten IT-Zertifizierungen der ISACA und gilt weltweit als Qualitätsnachweis für IT-Auditoren, Informationssicherheitsbeauftragte und Compliance-Fachleute. Der Kurs bereitet systematisch auf die fünf Prüfungsdomänen der CISA-Zertifizierung vor: IT-Auditprozess, IT-Governance und Unternehmensführung, Informationssysteme — Erwerb und Entwicklung sowie Implementierung, IT-Betrieb und Wartung sowie Schutz von Informationswerten. Mit dem CISA belegt man, dass man IT-Systeme, Risiken und Kontrollen nicht nur verstehen, sondern systematisch prüfen und bewerten kann — eine Fähigkeit, die in Organisationen mit regulatorischen Anforderungen und internen Audit-Funktionen zunehmend gefragt ist.
Kursinhalte & Lernziele
Domäne 1 — IT-Auditprozess: Die erste Domäne bildet das methodische Rückgrat der CISA-Zertifizierung. Auditing ist kein einmaliges Ereignis, sondern ein strukturierter Prozess mit klaren Phasen, Methoden und Berichtspflichten. Teilnehmende erarbeiten, wie Audits geplant werden, welche Prüfungsansätze und Sampling-Methoden zur Verfügung stehen und wie Prüfungsergebnisse dokumentiert und kommuniziert werden. Die Rolle des IT-Auditors in der Informationssicherheitsstrategie einer Organisation wird explizit beleuchtet.
- Planung von IT-Audits: Risikobasierter Ansatz, Auditchartas und Prüfungsziele
- Durchführung von Audits: Befragungen, Beobachtungen, Dokumentenprüfung, Analyse
- Auditziele und -verfahren: Vollständigkeit, Richtigkeit, Autorisierung, Nachvollziehbarkeit
- Sampling-Methoden: statistische und nicht-statistische Stichprobenziehung
- Berichterstattung: Befunde, Empfehlungen, Management-Response und Follow-up
- Rolle des Auditors in IT-Sicherheits- und Compliance-Strukturen
Domäne 2 — IT-Governance und Unternehmensführung: IT-Governance stellt sicher, dass IT-Investitionen und -risiken im Einklang mit den Unternehmenszielen stehen. CISA-Kandidaten müssen die wesentlichen Steuerungsrahmenwerke und -mechanismen kennen und in Audit-Szenarien anwenden können. COBIT ist dabei das wichtigste Framework, aber auch regulatorische Anforderungen und Compliance-Strukturen spielen eine zentrale Rolle.
- COBIT: Grundprinzipien, Steuerungsziele und Reifegradmodelle
- IT-Strategie und ihre Ausrichtung an Unternehmenszielen (Strategic Alignment)
- Risikomanagement: Identifikation, Bewertung und Behandlung von IT-Risiken
- Compliance-Anforderungen: Gesetze, Richtlinien und Industriestandards
- Messung der IT-Leistung: KPIs, Balanced Scorecard und Kennzahlensysteme
- Rollenverteilung: Board, Management, IT-Governance-Ausschüsse
Domäne 3 — Informationssysteme: Erwerb, Entwicklung und Implementierung: Systeme werden nicht nur betrieben, sondern auch beschafft, entwickelt und implementiert — und all diese Phasen haben spezifische Audit-Anforderungen. Teilnehmende lernen, wie Projektkontrolle, Requirements-Management und Qualitätssicherung aus Audit-Perspektive bewertet werden. Agile, klassische und hybride Projektansätze werden dabei gleichermaßen berücksichtigt.
- Projektmanagement-Audit: Projektcharta, Risikoregister, Change Control
- Agile Vorgehensmodelle und ihre Auditierbarkeit: Scrum, Kanban, SAFe
- Requirements-Management und Anforderungsdokumentation aus Audit-Sicht
- Qualitätssicherung in der Systementwicklung: Testverfahren, Abnahmekriterien
- Change- und Release-Management: Kontrollen, Berechtigungen, Rückabwicklung
- Post-Implementation Review: Soll-Ist-Vergleich und Lessons Learned
Domäne 4 — IT-Betrieb und Wartung: IT-Systeme müssen nicht nur sicher entwickelt, sondern auch sicher betrieben werden. Diese Domäne behandelt die operativen Sicherheitsanforderungen: Wie werden Systeme überwacht, welche Support-Strukturen existieren und wie wird auf Notfälle reagiert? Business Continuity und Disaster Recovery sind zentrale Audit-Themen, die in dieser Domäne systematisch aufgearbeitet werden.
- IT-Supportstrukturen: Help Desk, Incident Management, Problem Management
- Change Management im Betrieb: RFC-Prozesse, CAB, Notfall-Changes
- Log-Analyse, Security Information and Event Management (SIEM) und Monitoring
- Zugriffsschutz und Berechtigungsmanagement in produktiven Systemen
- Backup-Konzepte und Wiederherstellungsverfahren: RTO, RPO, Test-Restore
- Business Continuity und Disaster Recovery: BCM-Framework, BCP, DRP
- Verfügbarkeit und Performance-Management unter Audit-Gesichtspunkten
Domäne 5 — Schutz von Informationswerten: Die letzte CISA-Domäne deckt den Schutz sensibler Daten und IT-Ressourcen ab. Von der Informationsklassifizierung über Kryptografie bis hin zu Datenschutzanforderungen werden hier alle Themen behandelt, die in modernen IT-Audits eine wichtige Rolle spielen. DSGVO und internationale Datenschutzrichtlinien werden dabei ausdrücklich berücksichtigt.
- Informationsklassifizierung: Kategorien, Schutzbedarfsanalyse, Handling-Anforderungen
- Kryptografie: symmetrische und asymmetrische Verfahren, PKI, digitale Signaturen
- Identitäts- und Zugriffsmanagement: Authentifizierung, Autorisierung, Privilegien-Management
- Datenschutz nach DSGVO: Rechte betroffener Personen, Verarbeitungsverzeichnis, DPIA
- Schwachstellenmanagement: Scanning, Patching, Penetration Testing aus Audit-Perspektive
- Netzwerksicherheits-Audit: Firewalls, IDS/IPS, Segmentierung, DMZ
Praxisblock — CISA-Anwendung und Fallstudien: Der praxisorientierte Block vertieft die Anwendung der fünf Domänen in realistischen Szenarien aus dem IT-Audit-Alltag und bereitet auf die konkrete Umsetzung in der beruflichen Praxis vor.
- Fallstudien aus dem IT-Audit-Alltag: Audit-Vorbereitung, Durchführung, Berichterstattung
- Cross-Domain-Szenarien: Wie hängen Governance, Betrieb und Informationssicherheit zusammen?
- Übungen zu allen fünf Prüfungsdomänen mit Selbstkorrektur
- ISACA-Mitgliedschaft: Vorteile, Ressourcen und Ethik-Code
- Berufserfahrungsnachweis für die CISA-Zertifizierung: Eligible Domains of Experience und deren Dokumentation
- Rezertifizierungspflichten: CPE-Anforderungen und Möglichkeiten zur Erfüllung
Prüfung und Zertifizierungsweg: CISA wird weltweit über Pearson VUE abgelegt. Für die Zertifizierung nach bestandener Prüfung sind fünf Jahre einschlägige Berufserfahrung nachzuweisen, wovon bis zu drei Jahre durch entsprechende Bildungsabschlüsse ersetzt werden können. ISACA-Mitglieder erhalten günstigere Prüfungsgebühren.
Lernziele:
- Den vollständigen IT-Auditprozess nach ISACA-Standards von der Planung bis zur Berichterstattung beherrschen
- IT-Governance-Rahmenwerke wie COBIT kennen und deren Beitrag zu einer wirksamen IT-Steuerung bewerten
- Systementwicklungslebenszyklen (SDLC) aus Audit-Perspektive beurteilen — klassisch, agil und hybrid
- Change- und Release-Management-Prozesse auf Schwachstellen und Kontrolllücken prüfen
- Den sicheren und regulatorisch konformen IT-Betrieb mit Monitoring- und BC/DR-Methoden absichern
- Kryptografische Verfahren, Identitätsmanagement und Zugriffskontrollen auf Wirksamkeit beurteilen
- Datenschutzanforderungen nach DSGVO und anderen Richtlinien in Audits integrieren
- Risikomanagement-Konzepte auf IT-Umgebungen anwenden und Risikobewertungen durchführen
- Schwachstellenmanagement und Informationsklassifizierung als Auditgegenstände verstehen
- Berufliche Zertifizierungsvoraussetzungen der ISACA (Berufserfahrung, Ethik-Code) kennen und einordnen
- Die ISACA-Mitgliedschaft und ihre Ressourcen für kontinuierliche Weiterbildung nutzen
- Compliance-Anforderungen in internen Audits systematisch dokumentieren und kommunizieren
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an IT-Fachleute, die systematisch in die IT-Audit- und Informationssicherheitsdomäne einsteigen oder ihre Kenntnisse zertifizieren möchten.
- IT-Auditoren und interne Revisoren mit IT-Schwerpunkt
- Informationssicherheitsbeauftragte und IT-Compliance-Manager
- IT-Fachleute aus Banken, Versicherungen oder anderen regulierten Branchen
- Unternehmensberater mit Prüfungs- und Kontroll-Fokus
- Sicherheitsanalysten, die ihre Karriere in Richtung Audit und Governance entwickeln wollen
Berufserfahrung im IT-Bereich ist wichtig — idealerweise in IT-Administration, Informationssicherheit, Systementwicklung oder Projektmanagement. Für die CISA-Zertifizierung selbst verlangt ISACA fünf Jahre IT-Berufs- oder Auditerfahrung; ein Teil davon kann durch akademische Abschlüsse abgedeckt werden. Zum Kursbesuch ist diese Erfahrung nicht zwingend vorauszusetzen, erleichtert aber das Verständnis erheblich. Grundkenntnisse in IT-Governance-Frameworks wie COBIT oder ISO 27001 sind hilfreich, aber nicht vorausgesetzt.
Ablauf & Abschluss
Der Unterricht findet im Combined-Learning-Format statt und verbindet strukturierten Live-Unterricht mit selbst gesteuerten Lernphasen. Live-Sessions behandeln die fünf Prüfungsdomänen und integrieren Fallstudien, Diskussionen und Praxisszenarien. Selbststudienphasen dienen der Vertiefung durch ISACA-Lernmaterialien, Übungsfragen und Wiederholungsaufgaben. Der Kurs richtet sich sowohl an Vollzeitlerner als auch — nach Rücksprache — an Berufstätige, die begleitend vorbereiten möchten. Praxiserfahrene Dozenten bringen eigene Audit-Erfahrung in die Unterrichtsgestaltung ein.
Die Weiterbildung findet meist in Teilzeit statt, mit Vollzeit-Optionen je nach Termin. Die Dauer orientiert sich an einem strukturierten Vorbereitungszeitraum für die CISA-Prüfung; ISACA empfiehlt typischerweise 150 bis 300 Stunden Vorbereitung. Der Kurs strukturiert diesen Zeitraum durch einen begleiteten Lehrplan.
Das Programm bereitet auf die CISA-Zertifizierungsprüfung der ISACA vor, die bei Pearson VUE abgelegt wird. Das CISA-Zertifikat wird nach bestandener Prüfung und Nachweis der Berufserfahrung von ISACA ausgestellt. Es ist alle drei Jahre zu erneuern, was durch das Sammeln von Continuing Professional Education-Stunden (CPE) erfolgt. Nach Kursabschluss stellt der Bildungsträger eine qualifizierte Teilnahmebescheinigung aus.
Nutzen & Perspektiven
Der CISA zählt seit Jahrzehnten zu den meistgefragten IT-Zertifizierungen weltweit und genießt in regulierten Branchen — Finanzdienstleistung, öffentliche Verwaltung, Gesundheitswesen, Utilities — einen besonders hohen Stellenwert. Er belegt, dass Inhaber IT-Systeme, Risiken und Kontrollen nicht nur verstehen, sondern nach einem anerkannten Methodenrahmen prüfen und bewerten können. Diese Kombination aus technischem Verständnis und Audit-Methodik ist in der Praxis selten und entsprechend gut vergütet. CISA-Zertifizierte übernehmen typischerweise Rollen als IT-Auditoren bei Big-4-Gesellschaften, als interne Revisoren in Großunternehmen oder als IT-Sicherheits- und Compliance-Manager in regulierten Organisationen. Die ISACA-Mitgliedschaft, die mit der Zertifizierung eng verbunden ist, eröffnet zudem Zugang zu einem globalen Netzwerk von Audit- und Sicherheitsfachleuten sowie zu einem umfangreichen Ressourcenangebot für Weiterbildung und Praxiswissen. Für IT-Fachleute, die eine Karriere im Bereich IT-Audit anstreben oder ihre bestehende Tätigkeit in diesem Bereich durch ein international anerkanntes Zertifikat untermauern möchten, ist die CISA-Vorbereitung eine direkte Investition in Marktfähigkeit und Gehaltsperspektive. Der strukturierte Kurs hilft dabei, die breiten fünf Domänen systematisch zu erschließen und gezielt auf den Zertifizierungsabschluss hinzuarbeiten.
Häufig gestellte Fragen (FAQ)
Welche Berufserfahrung wird für die CISA-Zertifizierung benötigt?
ISACA verlangt für die offizielle Zertifizierung nach bestandener Prüfung fünf Jahre IT-Berufs- oder Auditerfahrung. Bis zu drei Jahre davon können durch einschlägige Hochschulabschlüsse ersetzt werden. Für den Kursbesuch selbst ist diese Erfahrung nicht zwingend erforderlich.
Wie ist die CISA-Prüfung aufgebaut?
Die CISA-Prüfung der ISACA umfasst 150 Multiple-Choice-Fragen über fünf Domänen: IT-Auditprozess, IT-Governance, Systementwicklung und -implementierung, IT-Betrieb sowie Schutz von Informationswerten. Sie wird weltweit über das Testzentrum-Netzwerk von Pearson VUE abgelegt.
Muss die CISA-Zertifizierung erneuert werden?
Ja, CISA muss alle drei Jahre durch Continuing Professional Education Credits (CPE) erneuert werden. ISACA-Mitglieder haben Zugang zu zahlreichen anerkannten Weiterbildungsformaten, um diese Pflicht zu erfüllen.
Für welche Branchen ist die CISA-Zertifizierung besonders relevant?
CISA ist besonders nachgefragt in regulierten Branchen wie Finanzdienstleistung, Versicherung, Gesundheitswesen, öffentliche Verwaltung und Versorgungsunternehmen. Überall dort, wo interne Audit-Funktionen oder regulatorische Compliance-Anforderungen bestehen, ist der CISA ein anerkannter Nachweis.
Was unterscheidet CISA von CISSP oder CISM?
CISA ist speziell auf IT-Audit, Kontrollen und Assurance ausgerichtet — das Prüfen und Bewerten von IT-Systemen nach anerkannten Standards. CISSP deckt ein breites technisches Sicherheitsspektrum ab, CISM fokussiert auf Managementebene und Sicherheits-Governance. CISA und CISM werden beide von ISACA vergeben und ergänzen sich in der Praxis.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Konstruktion, CAD und industrielle Fertigung sind durchgehend gefragt — die Transformation Richtung E-Mobilität, Energietechnik und Industrie 4.0 schafft zusätzliche Spezialisten-Rollen. CAD-/Simulation-Software-Kenntnisse sind Türöffner.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Qualitätsingenieur/Qualitätsingenieurin984 Stellen
- Qualitätssicherungstechniker/Qualitätssicherungstechnikerin598 Stellen
- Industriemeister/Industriemeisterin Fachrichtung Flugzeugbau/Luftfahrttechnik/Bachelor Professional in Luftfahrttechnik58 Stellen