Überblick
Dieser Kurs vereint zwei inhaltlich komplementäre Qualifizierungen: CompTIA Security+ (SY0-701) und ISTQB Advanced Level Security Tester. Security+ ist die am weitesten verbreitete Einstiegszertifizierung im IT-Sicherheitsbereich und vermittelt ein breites Fundament zu Bedrohungen, Netzwerksicherheit, Kryptografie und Sicherheitsarchitektur. Der ISTQB Advanced Security Tester baut darauf auf und lehrt, wie Sicherheitsrisiken in Software methodisch und reproduzierbar getestet werden – nach dem international anerkannten ISTQB-Standard für Softwaretesten. Die Kombination aus Sicherheitswissen und Testmethodik ist gerade in DevSecOps-Umgebungen und bei Unternehmen mit hohen Sicherheitsanforderungen besonders gefragt.
Kursinhalte & Lernziele
Modul 1 - CompTIA Security+ (SY0-701) CompTIA Security+ ist die weltweit meistabgelegte Einstiegszertifizierung im IT-Sicherheitsbereich und wird von zahlreichen US-Behörden und internationalen Unternehmen als Mindestnachweis für Sicherheitsrollen anerkannt. Die aktuelle Version SY0-701 (gültig seit November 2023) gliedert sich in fünf Prüfungsdomänen, die das vollständige Spektrum grundlegender IT-Sicherheitskompetenzen abbilden. Der Kurs bereitet strukturiert auf alle fünf Domänen vor. Domäne 1 umfasst General Security Concepts: grundlegende Sicherheitsprinzipien, Sicherheitskontrollen-Kategorien, kryptografische Lösungen und Authentifizierungsverfahren.
- Vergleich von Sicherheitskontrolltypen: präventiv, detektiv, korrektiv, abschreckend
- Symmetrische und asymmetrische Verschlüsselung, Hash-Algorithmen und deren Einsatzgebiete
- PKI-Konzepte: Zertifikate, CA-Hierarchien, Certificate Revocation und Certificate Pinning
- Zero-Trust-Architektur: Microsegmentation, Policy Engine und Trust Zones
Domäne 2 behandelt Threats, Vulnerabilities and Mitigations: Malware-Kategorien, Social Engineering, Angriffsvektoren und Abwehrmaßnahmen.
- Malware-Typen: Ransomware, Trojaner, Rootkits, Spyware und dateilose Angriffe
- Social Engineering: Phishing, Vishing, Spear Phishing, Business E-Mail Compromise
- Schwachstellenklassen: Software-Fehler, fehlkonfigurierte Systeme, Supply-Chain-Risiken
- MITRE ATT&CK Framework als Referenzrahmen für Bedrohungsanalyse
Domäne 3 deckt Security Architecture ab: hybride und Cloud-Netzwerkarchitekturen, Netzwerksicherheitskomponenten.
- Netzwerksegmentierung mit VLANs, DMZ und Micro-Segmentation
- Firewall-Typen: stateful, NGFW, WAF und ihre jeweiligen Einsatzbereiche
- VPN-Technologien: Site-to-Site, Remote Access, SSL/TLS-VPN
- Cloud-Sicherheit: Shared Responsibility Model, CASB, sichere Cloud-Architekturmuster
Domäne 4 behandelt Security Operations: Incident Response, Digitale Forensik, Datensicherheit.
- Incident-Response-Phasen: Vorbereitung, Erkennung, Eindämmung, Behebung und Nachbearbeitung
- Endpoint Detection and Response, SIEM-Systeme und Security Orchestration
- Datensicherheitskonzepte: Data Loss Prevention, Klassifizierung und Datenmaskierung
- Schwachstellenmanagement: Scan-Tools, CVSS-Bewertung und Patch-Priorisierung
Domäne 5 umfasst Security Program Management and Oversight: Governance, Risikorahmen, Compliance.
- Risikomanagement: Risikoidentifikation, -bewertung, -behandlung und -akzeptanz
- Regulatorische Anforderungen: DSGVO, ISO 27001, NIST Cybersecurity Framework
- Drittanbieter-Risikomanagement und Supply-Chain-Sicherheit
- Datenschutzprinzipien und der Umgang mit personenbezogenen Daten in IT-Systemen
Modul 2 - ISTQB Advanced Level Security Tester Der ISTQB Advanced Level Security Tester (ASTF-001 bzw. nachfolgender Standard) ist eine Zertifizierung des International Software Testing Qualifications Board für Testprofis, die sich auf Sicherheitstests spezialisieren. Im Unterschied zu technischen Penetrationstest-Zertifikaten legt das ISTQB-Modul den Schwerpunkt auf die methodisch korrekte Planung, Steuerung und Auswertung von Sicherheitstests im Rahmen strukturierter Testprozesse. Es setzt das ISTQB Foundation Level voraus. Der Sicherheitstest-Prozess nach ISTQB folgt einer klaren Struktur: Risiko- und Bedrohungsanalyse am Anfang, gefolgt von Testplanung, Testdesign, Testdurchführung und strukturiertem Testreporting.
- Bedrohungsmodellierung: STRIDE, PASTA und Attack Trees als methodische Grundlage
- Sicherheitsteststrategien: risikobasiert, explorativ, standard-konform und hybrider Ansatz
- Ableitung von Sicherheitstestfällen aus Bedrohungsmodellen und Sicherheitsanforderungen
- Sicherheitstests für Webanwendungen: OWASP Top 10 als Referenz für Schwachstellenkategorien
- Sicherheitstests für APIs: REST-API-Schwachstellen, Authentifizierungsfehler, Injection-Klassen
- Netzwerk- und Infrastrukturtests: Port-Scans, Service-Enumeration und Konfigurationsaudits
- Einsatz von Testwerkzeugen: OWASP ZAP, Burp Suite Community Edition, Nmap im Testkontext
- Sicherheitstest-Metriken: Kennzahlen zur Bewertung der Testabdeckung und Schwachstellendichte
- Sicherheitstests in agilen Projekten: Security Testing im Sprint und im CI/CD-Prozess
- Testreporting: Befundbeschreibung, CVSS-Scoring und adressatengerechte Kommunikation von Testergebnissen
Lernziele:
Nach Abschluss des Programms sind die Teilnehmer in der Lage, die Prüfungsanforderungen der CompTIA Security+ SY0-701 zu erfüllen und die fünf Domänen der Prüfung sicher zu bearbeiten. Sie können Bedrohungsszenarien analysieren, Angriffsmuster klassifizieren und geeignete Gegenmaßnahmen auswählen. Sie beherrschen die Grundkonzepte der Netzwerksicherheit, einschließlich Firewall-Architektur, VPN-Technologien, Netzwerksegmentierung und Intrusion Detection. Sie verstehen kryptografische Verfahren, den Einsatz von PKI und die Anwendung von Zertifikaten in Unternehmensumgebungen. Sie sind in der Lage, Identitäts- und Zugriffsverwaltung zu konfigurieren und Sicherheitsrichtlinien zu entwickeln. Sie kennen die Anforderungen moderner Sicherheitsarchitekturen, einschließlich Zero-Trust-Modellen und Cloud-Sicherheitskonzepten. Sie können Schwachstellenscans durchführen, Ergebnisse bewerten und Maßnahmen priorisieren. Sie beherrschen die ISTQB-Methodik für Sicherheitstests und können Sicherheitsteststrategien für Software-Systeme entwickeln. Sie sind in der Lage, Bedrohungsmodelle zu erstellen und daraus Sicherheitstestfälle abzuleiten. Sie können Sicherheitstests planen, durchführen, dokumentieren und Ergebnisse für technische und nicht-technische Stakeholder aufbereiten. Sie verstehen den Einsatz gängiger Werkzeuge für Penetrationstests und Schwachstellenanalyse im Kontext des ISTQB-Rahmens. Sie sind vorbereitet, beide Prüfungen zu bestehen und sowohl das CompTIA Security+-Zertifikat als auch das ISTQB Advanced Level Security Tester-Zertifikat zu erlangen.
Zielgruppe & Voraussetzungen
Dieses Programm richtet sich an Fachleute an der Schnittstelle von IT-Sicherheit und Softwaretesten, die beide Disziplinen auf zertifiziertem Niveau beherrschen wollen.
- Softwaretester mit ISTQB Foundation Level, die sich auf Sicherheitstests spezialisieren
- IT-Sicherheitsfachleute, die ihre Arbeit mit strukturierten Testmethoden unterlegen wollen
- QA-Engineers in Teams, die Sicherheitsanforderungen systematisch testen müssen
- Entwickler in DevSecOps-Umgebungen, die Sicherheitstests selbst durchführen
- Berater und Auditoren, die Sicherheitstest-Reviews fachkundig begleiten
Für den Security+-Teil werden solide Grundkenntnisse in Netzwerken und IT-Infrastruktur empfohlen, da SY0-701 auf bestehendem technischen Verständnis aufbaut. Das ISTQB Advanced Security Tester-Modul setzt das ISTQB Certified Tester Foundation Level (CTFL) voraus; Kandidaten ohne Foundation-Zertifikat sollten dieses vorab erwerben. Praktische Erfahrung im Softwaretesting erleichtert den Einstieg in die Advanced-Konzepte erheblich. Programmierkenntnisse sind kein formales Erfordernis, aber ein grundlegendes Verständnis von Web-Technologien und Netzwerkprotokollen ist hilfreich.
Ablauf & Abschluss
Beide Module werden im synchronen virtuellen Klassenzimmer unterrichtet, wobei Theorie und Praxis abwechseln. Der Security+-Teil nutzt Fallstudien zu realen Angriffsszenarien, um Bedrohungsanalyse und Gegenmaßnahmen greifbar zu machen. Das ISTQB-Modul setzt auf strukturierte Test-Design-Übungen, in denen Teilnehmer aus Bedrohungsmodellen konkrete Testfälle ableiten und in simulierten Testumgebungen ausführen. Die Live-Unterrichtseinheiten werden durch Selbstlernphasen ergänzt, in denen Prüfungsfragen und praktische Aufgaben bearbeitet werden.
Die Gesamtdauer des Programms beträgt bei Vollzeitteilnahme mehr als einen bis zu drei Monate. Da beide Module eigenständige Prüfungsvorbereitungen darstellen, ist der Gesamtumfang entsprechend zweiteilig strukturiert. Im Teilzeitformat verlängert sich die Laufzeit; individuelle Starttermine sind auf Anfrage möglich.
Das Programm endet mit einem trägerinternen Lehrgangszertifikat. Durch das Bestehen der externen Prüfungen können zwei international anerkannte Zertifikate erworben werden: CompTIA Security+ (nach Prüfung SY0-701) und ISTQB Advanced Level Security Tester. CompTIA und ISTQB stellen die Zertifikate nach bestandener Prüfung direkt aus. Beide Prüfungen sind Bestandteil des Programms und werden durch gezielte Prüfungsvorbereitung in den jeweiligen Modulen unterstützt.
Nutzen & Perspektiven
Sicherheitsrisiken in Software lassen sich nicht allein durch technisches Wissen über Angriffsmethoden beherrschen. Ebenso wichtig ist die Fähigkeit, Sicherheitslücken planvoll zu suchen, reproduzierbar zu dokumentieren und Testergebnisse so zu kommunizieren, dass Entwickler und Management gemeinsam fundierte Entscheidungen treffen können. Genau hier liegt der Mehrwert dieser Kombination: Security+ liefert die technische Grundlage, ISTQB Advanced Security Tester die methodische Tiefe. Für Softwaretester, die sich in Richtung Security Testing spezialisieren, schafft das ISTQB-Zertifikat eine anerkannte Fachidentität jenseits reiner Penetrationstester-Profile. Viele Arbeitgeber in regulierten Branchen – Finanzwesen, Gesundheitswesen, öffentliche Verwaltung – suchen explizit nach Testerinnen und Testern, die Sicherheitsanforderungen methodisch prüfen, nicht nur technisch knacken können. Die Kombination beider Zertifikate ist besonders wertvoll für Fachleute, die in oder neben DevSecOps-Teams arbeiten. Security+ gibt das Vokabular und das technische Verständnis für die Kommunikation mit Entwicklern und Sicherheitsarchitekten. ISTQB Advanced Security Tester stellt sicher, dass Sicherheitstests nachvollziehbar, wiederholbar und revisionssicher sind – was in regulierten Umgebungen und bei externen Audits entscheidend sein kann.
Häufig gestellte Fragen (FAQ)
Wie unterscheiden sich Security+ und ISTQB Advanced Security Tester inhaltlich?
CompTIA Security+ (SY0-701) ist eine breite IT-Sicherheitsgrundlagen-Zertifizierung, die Bedrohungen, Netzwerksicherheit, Kryptografie, Identitätsmanagement und Sicherheitsarchitektur abdeckt. Der ISTQB Advanced Security Tester hingegen fokussiert sich auf die systematische, methodisch fundierte Durchführung von Sicherheitstests im Softwareentwicklungszyklus – also darauf, wie Sicherheitsrisiken gezielt durch Testverfahren gefunden und bewertet werden. Beide Zertifikate sind komplementär: Security+ liefert das Sicherheitswissen, ISTQB die Testmethodik.
Welche ISTQB-Vorkenntnisse brauche ich für das Advanced Security Tester-Modul?
Das ISTQB Advanced Level setzt das ISTQB Certified Tester Foundation Level (CTFL) voraus. Kandidaten sollten mit den Grundkonzepten des Softwaretestens vertraut sein: Testphasen, Testarten, Fehlermanagement und Testreporting. Praktische Testerfahrung in der Softwareentwicklung ist ebenfalls empfehlenswert, da die Advanced-Module stark auf Praxisanwendung ausgerichtet sind.
Ist Security+ SY0-701 die aktuelle Prüfungsversion?
Ja, SY0-701 ist die aktuelle Prüfungsversion von CompTIA Security+, die seit November 2023 gilt. Sie deckt fünf Domänen ab: General Security Concepts, Threats Vulnerabilities and Mitigations, Security Architecture, Security Operations und Security Program Management and Oversight. Die ältere SY0-601 ist ausgelaufen.
Welchen Karrierevorteil bietet die Kombination beider Zertifikate?
Sicherheitstester mit Security+-Hintergrund und ISTQB-Methodik können in zwei Welten glaubwürdig agieren: Sie verstehen die technische Tiefe von Sicherheitslücken (Security+) und wissen gleichzeitig, wie man systematisch, reproduzierbar und dokumentiert testet (ISTQB). Diese Kombination ist besonders wertvoll in DevSecOps-Teams, bei Softwareherstellern mit hohen Sicherheitsanforderungen und bei Beratungsunternehmen, die Sicherheitsaudits durchführen.
Findet der Unterricht als Präsenz- oder Online-Kurs statt?
Der Kurs wird im virtuellen Klassenzimmer durchgeführt, wobei die Teilnahme per Mikrofon, Kamera und Chat synchron stattfindet. Dieses Format verbindet die Flexibilität des Remote-Lernens mit dem Interaktionsgrad eines Präsenzkurses. Home-Office-Teilnahme ist möglich; alternativ steht ein PC-Arbeitsplatz in den Trainingszentren zur Verfügung.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Berufsbild ist branchenübergreifend einsetzbar. Karrierechancen hängen stark von zusätzlicher Spezialisierung und Region ab.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Informationssicherheitsbeauftragter/Informationssicherheitsbeauftragte241 Stellen
- Datenschutzbeauftragter/Datenschutzbeauftragte47 Stellen
- Ethical Hacker33 Stellen
- IT-Dispatcher/IT-Dispatcherin16 Stellen
- Assistent/Assistentin für Informatik (allgemeine Informatik)10 Stellen
- IT-Sicherheitsberater1 Stellen