Überblick
Diese Weiterbildung verbindet die CompTIA CySA+ Zertifizierung (CS0-003) mit der Red Hat Certified System Administrator (RHCSA) Qualifikation und schafft damit ein Profil, das in der Linux-lastigen Sicherheitswelt besonders gefragt ist. Während CySA+ die analytischen und methodischen Werkzeuge für Security Operations liefert, vermittelt der RHCSA-Track tiefes Betriebssystemwissen auf Red Hat Enterprise Linux (RHEL) — der Plattform, auf der viele kritische Infrastrukturen, Cloud-Deployments und Container-Workloads laufen. Wer beide Qualifikationen vereint, kann nicht nur Bedrohungen erkennen und analysieren, sondern auch direkt auf Systemebene eingreifen, absichern und forensische Untersuchungen durchführen.
Kursinhalte & Lernziele
Modul 1 — CySA+: Schwachstellenanalyse und verhaltensbasierte Erkennung Der erste CySA+-Block behandelt die Methodik der kontinuierlichen Bedrohungsüberwachung. Im Unterschied zur rein signaturbasierten Erkennung liegt der Fokus auf verhaltensbasierter Analyse: Abweichungen von Netzwerkbaselines, ungewöhnliche Prozessaktivität und atypische Authentifizierungsmuster werden systematisch untersucht. Schwachstellenmanagement wird als Zyklus aus Entdeckung, Priorisierung, Behebung und Verifikation verstanden — auf Linux-Systemen mit ihren spezifischen Angriffsvektoren und Härtungsmöglichkeiten.
- Netzwerkverkehr mit Paketanalysatoren und Netflow-Korrelation auf Linux-Hosts untersuchen
- Schwachstellenscanner auf authentifizierte und unauthentifizierte RHEL-Scans konfigurieren
- CVE-Einträge nach CVSS v3/v4 kontextuell bewerten und Remediationsprioritäten für Linux-Pakete ableiten
- Endpoint Detection & Response (EDR) für Linux-Endpunkte konfigurieren und Alarme auswerten
- Open-Source-Threat-Intelligence und OSINT-Quellen in laufende Analyseprozesse einbinden
- Linux-spezifische Angriffsvektoren (SUID-Binaries, Cron-Hijacking, LD_PRELOAD) erkennen und schließen
Modul 2 — CySA+: Incident Response und Security Operations unter Linux Der zweite CySA+-Block vertieft Security Operations Center-Abläufe und den vollständigen Incident-Response-Lifecycle mit einem konsequenten Linux-Fokus. Forensische Arbeit auf RHEL-Systemen, Beweissicherung mit nativen Linux-Werkzeugen und die Nutzung von SIEM-Plattformen zur Verdichtung von Rohdaten zu verwertbaren Security-Erkenntnissen stehen im Mittelpunkt.
- SIEM-Korrelationsregeln für Linux-spezifische Angriffsmuster (Rootkits, Kernel-Exploits, Cron-Missbrauch) entwickeln und testen
- Digitale Beweismittel unter Linux sichern (dd, memory dumps, Filesystem-Snapshots) und Chain of Custody dokumentieren
- Malware-Artefakte auf RHEL-Systemen isolieren, analysieren und für forensische Nachuntersuchung aufbereiten
- Incident-Response-Playbooks für Ransomware, Lateral Movement und Privilege Escalation auf Linux-Systemen erstellen
- Threat Hunting auf Linux-Systemen mit nativen Tools (auditd, syslog, ss, lsof, strace) durchführen
- Post-Incident-Reviews strukturieren und Lessons-Learned in maschinenlesbare IOC-Feeds überführen
Modul 3 — RHCSA: Red Hat Enterprise Linux Grundlagen und Systemverwaltung Das RHCSA-Modul startet mit den Kernkompetenzen der Linux-Systemadministration auf RHEL. Ziel ist nicht generisches Linux-Wissen, sondern das spezifische Können, das Red Hat in seiner EX200-Prüfung testet: Systemkonfiguration, Storage-Management, Benutzerverwaltung und Dienstesteuerung auf Enterprise-Niveau. Diese Inhalte sind die Voraussetzung dafür, später auf Systemebene aktiv sicherheitsrelevante Eingriffe vorzunehmen.
- Dateisystem-Hierarchie und Berechtigungskonzepte (POSIX, ACL, SUID/SGID/Sticky Bit) sicher konfigurieren
- LVM-Volumes erstellen, erweitern und in Betrieb nehmen ohne Datenverlust
- Systemd-Dienste konfigurieren, aktivieren, debuggen und automatisch starten
- Netzwerkinterfaces, IP-Adressen und Routing unter RHEL mit NetworkManager verwalten
- Benutzer- und Gruppenverwaltung inkl. Passwortrichtlinien und Sudo-Konfiguration
- Cron-Jobs und systemd-Timer für automatisierte Aufgaben einrichten und gegen Missbrauch absichern
Modul 4 — RHCSA: SELinux, Firewalld und Security-Hardening Dieses Modul verbindet RHCSA-Systemkenntnisse direkt mit Security-Anforderungen. SELinux als Mandatory Access Control System ist ein zentrales Unterscheidungsmerkmal von RHEL gegenüber anderen Linux-Distributionen; das Verständnis seiner Richtlinienstruktur ist für Security-Rollen unverzichtbar. Die Kombination aus SELinux, Firewalld und OpenSCAP ermöglicht eine umfassende, auditierbare Systemhärtung.
- SELinux im Enforcing-Modus betreiben, Kontextverletzungen diagnostizieren und beheben
- Firewalld-Zonen und Serviceregeln für verschiedene Netzwerksegmente konfigurieren
- SSH-Härtung (Schlüsselverwaltung, Port-Konfiguration, Access-Control) auf RHEL umsetzen
- Paket- und Dienst-Whitelisting für minimale Angriffsfläche (Principle of Least Privilege)
- Auditd-Framework zur Systemüberwachung und forensischen Spurensicherung einrichten
- Sicherheits-Baselines mit OpenSCAP validieren und Abweichungen dokumentieren
Praktische Laborarbeit Der Kurs ist stark übungsorientiert. Laborumgebungen mit RHEL-Systemen ermöglichen es, alle gelernten Techniken direkt anzuwenden, darunter
- Vollständige RHEL-Installation, Basishärtung und SELinux-Konfiguration von Grund auf
- Angriffssimulationen auf RHEL-Systemen durchführen und live mit CySA+-Methodik analysieren
- SIEM-Integration für Linux-Hosts einrichten und erste Korrelationsregeln für Linux-Angriffsmuster schreiben
- Forensische Untersuchung eines kompromittierten RHEL-Systems nach einem simulierten Einbruch
- Schwachstellenscan einer RHEL-Umgebung, Ergebnisauswertung und Remediationsplan erstellen
- Firewalld und SELinux kombiniert für eine Drei-Schichten-Anwendungsarchitektur konfigurieren
- Incident-Response-Übung: Alert in SIEM → Triage → Isolation → Forensik → Report
- LVM-Resize und verschlüsselte Volumes unter RHEL einrichten und testen
- OpenSCAP-Scan gegen eine CIS-Benchmark ausführen und Abweichungen nach CVSS priorisieren
- Privilege-Escalation-Pfade auf Linux-Systemen identifizieren und gezielt schließen
- Threat-Hunting-Session auf Basis von auditd-Logs und Systemd Journal
- Abschlussszenario: kombinierter Security-Incident auf RHEL mit vollständigem CySA+-Response-Zyklus
CySA+ (CS0-003) und RHCSA (EX200) werden als separate Prüfungen bei den jeweiligen Prüfstellen (CompTIA und Red Hat) abgelegt. Beide Prüfungsformate erfordern unterschiedliche Vorbereitung: CySA+ ist Multiple-Choice und szenariobasiert, RHCSA dagegen vollständig praktisch.
Lernziele:
- Sicherheitsvorfälle unter Linux mit nativen Systemwerkzeugen und spezialisierter Security-Software erkennen und einordnen
- RHEL-Systeme nach anerkannten Hardening-Standards konfigurieren und dauerhaft absichern
- SELinux-Richtlinien verstehen, anpassen und zur Einschränkung von Angriffsflächen einsetzen
- Systemlogs, Audit-Trails und Prozessaktivitäten für forensische Analysen auswerten
- Netzwerkverbindungen auf RHEL-Ebene überwachen, filtern und anomales Verhalten identifizieren
- SIEM-Systeme mit Linux-Telemetrie befüllen und Korrelationsregeln entwickeln
- Verwundbarkeitsscans auf RHEL-Umgebungen anwenden und Ergebnisse priorisiert remediieren
- Incident-Response-Verfahren auf Linux-Systemen abwickeln — von der Isolation bis zur Nachbereitung
- LVM, Storage-Konfigurationen und Dateisystemberechtigungen sicherheitskonform verwalten
- Netzwerkdienste (SSH, Firewalld, Chrony, DNS) auf RHEL sicher konfigurieren und überwachen
- Kompromittierungsindikatoren (IOCs) auf Linux-Systemen identifizieren und dokumentieren
- Technische Analyseergebnisse in strukturierten Security-Reports für Teams und Management aufbereiten
Zielgruppe & Voraussetzungen
Dieser Kurs spricht IT-Fachkräfte an, die in einer Linux-geprägten Umgebung arbeiten oder arbeiten wollen und sowohl analytische Security-Kompetenz als auch fundierte Betriebssystemkenntnisse nachweisen möchten.
- Linux-Systemadministratoren, die in Security Operations wechseln wollen
- Junior Security Analysten mit Linux-Hintergrund, die ihr Profil mit RHCSA schärfen
- DevOps/DevSecOps Engineers, die RHEL-spezifisches Security-Wissen formalisieren wollen
- IT-Fachkräfte in Cloud-Infrastrukturen (on-premises RHEL, OpenShift), die Sicherheitsverantwortung übernehmen
- Netzwerk- und Systemtechniker, die CySA+ als nächste Karrierestufe anstreben
Solide Kenntnisse in Linux-Kommandozeilenarbeit werden vorausgesetzt — Dateisystem, Prozesssteuerung, Benutzerverwaltung, grundlegendes Netzwerk-Debugging. Grundkenntnisse in Netzwerktopologien (TCP/IP, Subnetting, Routing) sind für den CySA+-Teil nötig. Vorherige Erfahrung mit Red Hat- oder CentOS-Systemen ist von Vorteil; eine formal abgeschlossene RHCSA-Vorkenntnisstufe ist nicht zwingend, aber empfehlenswert. Das Mindestalter liegt üblicherweise bei 18 Jahren; Deutschkenntnisse in Wort und Schrift sind für die Unterrichtsteilnahme erforderlich.
Ablauf & Abschluss
Live-Unterricht findet im virtuellen Klassenzimmer statt, ergänzt durch physische PC-Arbeitsplätze in Präsenzzentren für diejenigen, die keinen geeigneten Heimarbeitsplatz haben. Die Verbindung von Theoriephasen und direkt anschließenden Laborübungen auf realen RHEL-Instanzen ist das didaktische Kernprinzip: Gelerntes wird sofort in kontrollierten Umgebungen erprobt. Fallstudienarbeit aus dem Sicherheitsbetrieb verankert die Inhalte im Berufskontext. Vollzeit- und Teilzeitformate stehen zur Wahl; der Modulzuschnitt kann individuell abgestimmt werden.
Die Gesamtdauer variiert je nach Modulauswahl und Lernformat. Vollzeitlehrgänge sind kompakter, Teilzeitvarianten bieten mehr Raum für Selbstvertiefung in den umfangreichen RHCSA-Inhalten. Beide Prüfungen — CySA+ CS0-003 und RHCSA EX200 — sind im Lehrgang eingebettet und werden bei den jeweiligen Prüfstellen (CompTIA bzw. Red Hat) abgelegt.
Nach bestandenen Prüfungen erhält man das CompTIA CySA+ Zertifikat (ausgestellt von CompTIA, drei Jahre gültig, Continuing Education erforderlich) und das Red Hat Certified System Administrator (RHCSA) Zertifikat (ausgestellt von Red Hat, drei Jahre gültig). Beide Zertifikate sind international anerkannt und bei Arbeitgebern in Linux-lastigen Umgebungen hoch geschätzt. Zusätzlich wird eine qualifizierte Teilnahmebescheinigung ausgestellt.
Nutzen & Perspektiven
Linux ist die dominierende Plattform in Rechenzentren, Cloud-Infrastrukturen und Container-Ökosystemen — und damit auch das häufigste Angriffsziel in Enterprise-Umgebungen. Ein Security Analyst, der Linux auf Systemebene versteht, kann Angriffe tiefer untersuchen, schneller isolieren und gezielter remediieren als jemand, der nur mit abstrakten SIEM-Alarmen arbeitet. Die Kombination aus CySA+ und RHCSA macht genau diesen Unterschied sichtbar: Statt auf einen Systemadministrator warten zu müssen, der den Rechner untersucht, kann der Analyst selbst auditd-Logs interpretieren, SELinux-Verstöße einordnen und forensische Sicherungen anlegen. RHCSA ist im Linux-Ökosystem eine der wenigen Zertifizierungen, die durch eine praktische Prüfung (kein Multiple-Choice) belegt wird — ein erheblicher Glaubwürdigkeitsvorteil gegenüber rein theoretischen Abschlüssen. Wer CySA+ daneben vorweisen kann, signalisiert potenziellen Arbeitgebern, dass er nicht nur Systeme betreiben, sondern auch absichern und auf Vorfälle reagieren kann. Für Karrierewege in Richtung Linux Security Engineer, Cloud Security Engineer (RHEL/OpenShift) oder DevSecOps ist diese Kombination ein direkter Qualifikationsnachweis. In Stellenanzeigen für genau diese Rollen tauchen beide Zertifikate regelmäßig in der gewünschten Qualifikationsliste auf — gemeinsam bilden sie ein Profil, das sich von rein Windows-zentrierten Security-Analysten klar abgrenzt und den wachsenden Linux-Anteil in modernen IT-Infrastrukturen professionell adressiert.
Häufig gestellte Fragen (FAQ)
Welche zwei Zertifikate erlange ich nach diesem Kurs?
Sie erlangen das CompTIA CySA+ Zertifikat (CS0-003) und das Red Hat Certified System Administrator (RHCSA) Zertifikat (EX200). Beide Prüfungen werden separat bei den jeweiligen Prüfstellen abgelegt.
Ist die RHCSA-Prüfung Multiple-Choice oder praktisch?
Die RHCSA-Prüfung (EX200) ist vollständig praktisch — es gibt keine Multiple-Choice-Fragen. Kandidaten konfigurieren ein RHEL-System unter Zeitdruck direkt am Terminal. Das setzt echte Betriebssystemkenntnisse voraus und erhöht den Marktwert des Zertifikats.
Welche Vorkenntnisse brauche ich für den RHCSA-Teil?
Grundlegende Linux-Kommandozeilenkenntnisse — Dateioperationen, Prozessverwaltung, Benutzerverwaltung, Netzwerkkonfiguration — werden vorausgesetzt. Erfahrung mit RHEL oder CentOS ist hilfreich, aber kein formales Vorläufer-Zertifikat nötig.
Wie lange sind die Zertifikate gültig?
CySA+ ist drei Jahre gültig und erfordert Continuing Education für die Verlängerung. Das RHCSA-Zertifikat ist ebenfalls drei Jahre gültig und kann durch eine Folgeprüfung oder Red Hat Learning Subscription erneuert werden.
Für welche Berufsfelder qualifiziert diese Kombination besonders?
Die Doppelzertifizierung ist besonders relevant für Linux Security Engineer, Cloud Security Engineer in RHEL/OpenShift-Umgebungen, DevSecOps Engineer sowie SOC Analyst in Linux-lastigen Infrastrukturen. Beide Zertifikate erscheinen regelmäßig gemeinsam in Stellenanzeigen für diese Rollen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen
- Spezialist/in - Industrie 4.068 Stellen
- Cybersecurity Analyst23 Stellen
- IT-Sicherheitsbeauftragter3 Stellen
- Red Hat System Administrator0 Stellen