Überblick
Technische IT-Sicherheitskompetenz und systematisches Risikomanagement sind in modernen Organisationen keine getrennten Disziplinen mehr — sie greifen an jeder Stelle ineinander. Wer Sicherheitsrisiken bewerten, priorisieren und kommunizieren will, braucht sowohl das technische Fundament als auch die methodische Sprache des Risikomanagements. Dieses Programm verbindet CompTIA Security+ (SY0-701) als international anerkannten Standard für operative IT-Sicherheit mit dem PMI Risk Management Professional (PMI-RMP) als Spezialkredential des Project Management Institute für professionelles Risikomanagement im Projektumfeld. Security+ legt das technische Fundament: Bedrohungsklassen, Schwachstellenmanagement, Kryptographie, Sicherheitsarchitektur, Cloud-Sicherheit und Compliance. PMI-RMP bringt die Methodik, um diese technischen Risiken in formale Steuerungsinstrumente zu übersetzen: Risikoregister, qualitative und quantitative Analyse, Bewältigungsstrategien und Stakeholder-Kommunikation. Der Brückenschlag zwischen beiden Disziplinen ist das zentrale Qualifikationsmerkmal dieses Programms.
Kursinhalte & Lernziele
Modul 1 — CompTIA Security+ SY0-701: Grundlagen und Bedrohungslandschaft Der erste Baustein behandelt die Grunddomänen der aktuellen Security+-Prüfung. Teilnehmende erarbeiten ein systematisches Verständnis moderner Bedrohungen, Angriffsvektoren und grundlegender Sicherheitskonzepte. Der Einstiegsblock legt gleichzeitig die Verbindung zum späteren Risikomodul — denn technische Bedrohungen müssen in die Sprache des Risikomanagements übersetzt werden, um organisatorisch steuerbar zu sein.
- Sicherheitskonzepte: CIA-Triade, AAA-Framework, Zero Trust, Defense in Depth
- Bedrohungsklassen und Angriffsvektoren: Phishing, Social Engineering, Ransomware, APTs, Insider Threats, Supply-Chain-Angriffe
- Schwachstellenmanagement: CVE-Datenbank, CVSS v3-Bewertung, Vulnerability Scanning, Patch-Management-Zyklen
- Kryptographie: Symmetrische und asymmetrische Verfahren, PKI, Zertifikatsverwaltung, TLS 1.3
- Netzwerksicherheit: Firewall-Architekturen, IDS/IPS, VPN-Technologien, Netzwerksegmentierung, DNS-Sicherheit
Modul 2 — CompTIA Security+ SY0-701: Sicherheitsarchitektur und Betrieb Der zweite Security+-Block vertieft Sicherheitsarchitektur und operative Sicherheitsmaßnahmen. Schwerpunkt liegt auf der Planung von Sicherheitskontrollen für verschiedene Infrastrukturszenarien — von On-Premises-Umgebungen über Cloud-Architekturen bis zu Hybridmodellen. Identity und Access Management, Endpoint-Sicherheit und Incident-Response-Prozesse runden den Block ab.
- Cloud-Sicherheit: Shared-Responsibility-Modell, Sicherheitskontrollen für IaaS/PaaS/SaaS, CASB-Konzepte
- Identity und Access Management: MFA, SSO, Privileged Access Management (PAM), Zero-Trust-IAM-Architekturen
- Endpoint-Sicherheit: EDR-Systeme, Mobile Device Management, Härtungsmaßnahmen für Windows und Linux
- Incident Response: Phasen, Rollenverteilung, Playbook-Struktur, digitale Forensik im IR-Kontext
- Compliance und Governance: DSGVO-Anforderungen, NIST Cybersecurity Framework, ISO 27001-Grundlagen
Modul 3 — PMI Risk Management Professional: Grundlagen und Risikoidentifikation Der erste RMP-Block führt in das PMI-Risikomanagement-Framework ein. Teilnehmende lernen, wie Risiken in Projekten und Organisationen systematisch identifiziert, kategorisiert und im Risikoregister dokumentiert werden. Der Kontext ist bewusst breiter als rein IT-spezifische Risiken — PMI-RMP deckt Risikomanagement in Projekten aller Branchen und Größen ab, was für IT-Sicherheitsfachkräfte einen wertvollen Perspektivwechsel bedeutet.
- PMI-Risikomanagement-Framework: Prozessgruppen, Wissensgebiete, Einbindung in den PMBOK Guide
- Risikoidentifikation: Brainstorming, Delphi-Methode, SWOT-Analyse, Ursache-Wirkungs-Diagramme
- Risikoregister: Struktur, Pflege über den Projektzyklus, Versionierung und Verantwortlichkeiten
- Risikokategorisierung mit Risk Breakdown Structure (RBS): technische, externe und organisatorische Risiken
- Stakeholder-Kommunikation in der frühen Risikoidentifikationsphase
Modul 4 — PMI-RMP: Risikoanalyse und Bewältigungsstrategien Der zweite RMP-Block behandelt die Analyse identifizierter Risiken und die Planung geeigneter Gegenmaßnahmen. Qualitative Methoden — Wahrscheinlichkeits-Auswirkungs-Matrix, Heat Maps — und quantitative Ansätze — Erwarteter Monetärer Wert, Monte-Carlo-Grundlagen — werden erarbeitet. Bewältigungsstrategien werden anhand praxisnaher IT-Sicherheitsszenarien durchgespielt.
- Qualitative Risikoanalyse: Wahrscheinlichkeits-Auswirkungs-Matrix, Risikobewertungsskalen, Risk-Heat-Maps
- Quantitative Risikoanalyse: Erwarteter Monetärer Wert (EMV), Entscheidungsbäume, Monte-Carlo-Simulation in Grundzügen
- Risikobewältigungsstrategien: Avoid, Transfer, Mitigate, Accept — Auswahlkriterien und Dokumentationsanforderungen
- Residualrisiken und Sekundärrisiken: Umgang mit verbleibenden und durch Maßnahmen neu entstehenden Risiken
- Risikokontingenzpläne und Fallback-Pläne: Auslösekriterien, Verantwortlichkeiten, Überprüfungszyklen
Modul 5 — Integration: IT-Sicherheitsrisiken im PMI-RMP-Framework Dieser abschließende Integrationsblock bringt beide Zertifizierungskomponenten zusammen. Teilnehmende lernen, technische Sicherheitsrisiken — wie sie in Security+-Domänen analysiert werden — in die formale Sprache des PMI-Risikomanagements zu übersetzen. Dieser Brückenschlag ist das zentrale Differenzierungsmerkmal der Doppelqualifikation und bildet reale Anforderungen ab, wie sie in NIS-2-konformer Risikoberichterstattung oder bei ISO-27001-Einführungen auftreten.
- IT-Sicherheitsrisiken im Risikoregister: Bedrohungsmodellierung als Input für qualitative Risikoanalyse
- Sicherheitskontrollen als Risikominderungsmaßnahmen im PMI-Framework dokumentieren und bewerten
- Risikokommunikation an nicht-technische Stakeholder: technische Risikobewertungen in Geschäftsrisiken übersetzen
- Compliance-Risiken integrieren: DSGVO, NIS-2, branchenspezifische regulatorische Anforderungen im Risikoregister
Praxiseinheiten (kursbegleitend)
- Schwachstellenanalyse eines fiktiven Netzwerkdiagramms: CVSS-Bewertung aller identifizierten Schwachstellen und Priorisierung nach Ausnutzbarkeit und Auswirkung
- Kryptographie-Übung: Für definierte Sicherheitsanforderungen geeignete Verfahren auswählen und begründen
- Sicherheitsarchitektur-Design: Cloud-Migrationsscenario vollständig mit Sicherheitskontrollen nach Security+-Standard ausstatten
- Incident-Response-Tabletop-Übung: Strukturierte Reaktion auf einen simulierten Ransomware-Vorfall erarbeiten und durchspielen
- Risikoregister aufbauen: Für ein realistisches IT-Projektscenario Risiken identifizieren, dokumentieren und kategorisieren
- Qualitative Risikoanalyse: Wahrscheinlichkeits-Auswirkungs-Matrix und Heat Map für ein IT-Sicherheitsprojekt erstellen
- EMV-Berechnung: Szenarien mit quantitativer Risikobewertung schrittweise durchrechnen
- Bewältigungsstrategien-Workshop: Für identifizierte IT-Sicherheitsrisiken Strategien auswählen, begründen und im Risikoregister dokumentieren
- Integrationsübung: Ergebnisse einer technischen Security+-Sicherheitsbewertung vollständig in ein PMI-RMP-Risikoregister überführen
- Stakeholder-Kommunikation: Executive Summary eines IT-Risikoberichts für ein Führungsgremium formulieren
- Abschluss-Fallstudie: Ein IT-Sicherheitsprojekt vollständig mit Security+-Kontrollen und RMP-Risikomanagement-Prozessen ausstatten und vor einer Peer-Gruppe verteidigen
Lernziele:
- Sie beherrschen die fünf Domänen der CompTIA Security+ SY0-701: General Security Concepts, Threats/Vulnerabilities/Mitigations, Security Architecture, Security Operations und Security Program Management
- Sie identifizieren und klassifizieren Bedrohungen, Schwachstellen und Angriffsvektoren in realen IT-Infrastrukturen nach aktuellem Stand der Bedrohungslandschaft
- Sie wenden kryptographische Grundlagen an und beurteilen deren Eignung für definierte Sicherheitsanforderungen
- Sie konzipieren sichere Netzwerkarchitekturen unter Berücksichtigung von Segmentierung, Zero-Trust-Prinzipien und Cloud-Sicherheitsmodellen
- Sie beherrschen die Kernprozesse des PMI-Risikomanagements: Risikoidentifikation, qualitative Analyse, quantitative Analyse, Risikobewältigung und Risikoüberwachung nach PMBOK
- Sie entwickeln strukturierte Risikomanagement-Pläne und pflegen Risikoregister über den gesamten Projektzyklus
- Sie wenden qualitative Analysemethoden an: Wahrscheinlichkeits-Auswirkungs-Matrix, Risikobewertungsskalen, Heat Maps
- Sie führen quantitative Risikoanalysen durch: Erwarteter Monetärer Wert (EMV), Entscheidungsbäume, Grundlagen der Monte-Carlo-Simulation
- Sie kommunizieren IT-Sicherheitsrisiken gegenüber nicht-technischen Stakeholdern und übersetzen technische Risikobewertungen in Geschäftsrisiken
- Sie integrieren Compliance-Risiken (DSGVO, NIS-2, ISO 27001) in das Risikoregister und begründen Priorisierungsentscheidungen
- Sie verbinden Security+-Sicherheitskontrollen mit PMI-RMP-Risikobewältigungsstrategien zu einem gemeinsamen Steuerungsinstrument
Zielgruppe & Voraussetzungen
Das Programm richtet sich an IT-Sicherheitsfachkräfte und Projektmanager, die an der Schnittstelle von technischer Sicherheit und strategischem Risikomanagement arbeiten. Besonders relevant ist es für Rollen, in denen Sicherheitsrisiken nicht nur technisch bewertet, sondern auch gegenüber Management und Aufsichtsgremien kommuniziert werden müssen.
- IT-Sicherheitsbeauftragte und Sicherheitsanalysten, die ihre Arbeit mit formalen Risikomanagement-Methoden untermauern wollen
- IT-Projektmanager, die Sicherheitsrisiken strukturiert in Projektplanung und Risikoregister integrieren müssen
- Risk Manager mit Bedarf an tieferem IT-Sicherheitsverständnis
- Fachkräfte aus IT-Governance und Compliance, die Security+ und PMI-RMP als Qualifikationsnachweis benötigen
- IT-Führungskräfte und -Berater mit Budgetverantwortung für Sicherheitsmaßnahmen
Grundkenntnisse in IT-Sicherheit und IT-Infrastrukturen sind sinnvoll, da CompTIA Security+ SY0-701 auf diese Basis aufbaut. Für den PMI-RMP-Anteil empfiehlt das PMI formale Berufserfahrung im Projektrisikomanagement — 3.000 Stunden mit Hochschulabschluss, 4.500 Stunden ohne. Ein Vorgespräch vor Seminarbeginn klärt, ob die eigenen Vorkenntnisse den Anforderungen beider Zertifizierungen entsprechen. Das Programm findet im virtuellen Klassenzimmer statt; PC mit Kamera und Mikrofon sind erforderlich.
Ablauf & Abschluss
Der Unterricht findet im Combined-Learning-Format statt — Live-Unterricht im virtuellen Klassenzimmer mit aktiver Beteiligung wird mit eigenständigen Übungsphasen kombiniert. Dozenten gestalten den Unterricht mit Theorie-Einheiten, geführten Übungen, Fallstudienarbeit und Praxisaufgaben; die Interaktivität entspricht einem klassischen Präsenzunterricht, bietet aber die Flexibilität ortsunabhängiger Teilnahme. Das Programm wird in Vollzeit durchgeführt.
Das Programm läuft in Vollzeit und deckt je nach gewählter Modulkombination einen Zeitraum von mehr als einem Monat bis zu drei Monaten ab. Genaue Termine und Startdaten sind beim Anbieter erhältlich.
Das Programm bereitet auf zwei externe Prüfungen vor: CompTIA Security+ (SY0-701), abgenommen von CompTIA, und PMI Risk Management Professional (PMI-RMP), abgenommen vom Project Management Institute. Security+ ist ein Industriestandard für IT-Sicherheitskompetenz, der weltweit von Arbeitgebern — besonders im öffentlichen Sektor und regulierten Branchen — anerkannt wird. PMI-RMP ist ein spezialisiertes PMI-Credential, das Berufserfahrung im Risikomanagement voraussetzt. Zusätzlich wird eine qualifizierte Teilnahmebescheinigung ausgestellt.
Nutzen & Perspektiven
Die Nachfrage nach Fachkräften, die IT-Sicherheitsrisiken nicht nur technisch beurteilen, sondern auch in Managementsprache übersetzen und in formale Governance-Strukturen einbetten können, wächst kontinuierlich. Security+ allein positioniert eine Fachkraft als technischen Sicherheitsexperten. PMI-RMP allein spricht Risikomanager an, die oft keinen tiefen IT-Hintergrund haben. Die Kombination beider Qualifikationen schließt eine echte Lücke im Markt und ist besonders für Unternehmen interessant, die NIS-2-konforme Risikoberichterstattung aufbauen oder ISMS-Strukturen nach ISO 27001 einführen. Für Unternehmen, die regulatorischen Anforderungen genügen müssen, sind Fachkräfte mit dieser Doppelkompetenz besonders wertvoll: Sie können Sicherheitskontrollen technisch implementieren und gleichzeitig Risikobewertungen formulieren, die für Vorstände und Aufsichtsgremien verständlich sind. Das reduziert die Notwendigkeit, technische und strategische Sicherheitsaufgaben in getrennten Rollen zu besetzen — ein wirtschaftliches Argument, das in mittleren und größeren Unternehmen zunehmend Gewicht hat. Langfristig eröffnet diese Qualifikationskombination Positionen als IT-Risikoberater, CISO-Stellvertreter oder Information Security Manager — Rollen, die ein Brückenverständnis zwischen technischer Tiefe und strategischem Risikobewusstsein verlangen. Beide Zertifikate sind international anerkannt und unterstützen eine Karriere in multinationalen Strukturen ebenso wie in regulierten deutschen Branchen wie Finanzdienstleistungen, Gesundheitswesen und kritischen Infrastrukturen.
Häufig gestellte Fragen (FAQ)
Was unterscheidet diesen Kurs von einem reinen Security+-Kurs?
Dieser Kurs ergänzt das technische IT-Sicherheitsfundament von Security+ durch das formale Risikomanagement-Framework des PMI-RMP. Wer beide Qualifikationen kombiniert, kann Sicherheitsrisiken nicht nur technisch bewerten, sondern auch in strukturierte Risikoregister überführen, quantitativ analysieren und gegenüber Management und Aufsichtsgremien kommunizieren.
Welche Berufserfahrung benötige ich für den PMI-RMP-Anteil?
Das PMI verlangt für die PMI-RMP-Zertifizierung 3.000 Stunden Berufserfahrung im Projektrisikomanagement mit Hochschulabschluss bzw. 4.500 Stunden ohne. Diese Voraussetzungen sollten vor Kursbeginn geprüft werden. Ein Vorgespräch mit dem Anbieter klärt, ob die eigene Erfahrung ausreicht.
Welche Branchen und Rollen profitieren am meisten von dieser Doppelqualifikation?
Besonders relevant ist die Kombination für Fachkräfte, die NIS-2-konforme Risikoberichterstattung aufbauen oder ISMS-Strukturen nach ISO 27001 einführen. Typische Rollen: IT-Sicherheitsbeauftragter, Information Security Manager, IT-Risikoberater und CISO-Stellvertreter in Finanzdienstleistungen, Gesundheitswesen und kritischen Infrastrukturen.
Wie ist der Kurs organisiert?
Der Unterricht findet im Combined-Learning-Format statt — Live-Unterricht im virtuellen Klassenzimmer wird mit eigenständigen Übungsphasen kombiniert. Das Programm wird in Vollzeit durchgeführt und dauert je nach Modulkombination mehr als einen Monat bis zu drei Monate.
Welche Prüfungen kann ich nach dem Kurs ablegen?
Der Kurs bereitet auf CompTIA Security+ SY0-701 (abgenommen von CompTIA) und PMI Risk Management Professional (abgenommen vom Project Management Institute) vor. Beide Prüfungen werden separat angemeldet und abgelegt. Zusätzlich wird eine qualifizierte Teilnahmebescheinigung ausgestellt.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Geprüfter Bilanzbuchhalter/Geprüfte Bilanzbuchhalterin - Bachelor Professional in Bilanzbuchhaltung1.095 Stellen
- Security Analyst271 Stellen
- Risikomanager (IT)181 Stellen
- Verwaltungsfachwirt/Verwaltungsfachwirtin38 Stellen
- Informationstechnikermeister/Informationstechnikermeisterin/Bachelor Professional im Informationstechniker-Handwerk19 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen