Überblick
Dieser Kurs bereitet auf die ISACA-Zertifizierung CRISC (Certified in Risk and Information Systems Control) vor und verbindet die Prüfungsvorbereitung mit einer praktischen Einführung in Microsoft Teams. CRISC ist eine der weltweit renommiertesten Zertifizierungen für IT-Risikomanagement und richtet sich an Fachleute, die Unternehmensrisiken identifizieren, bewerten, kontrollieren und überwachen. Der Unterricht findet auf Englisch statt, da Lernunterlagen und Prüfung in englischer Sprache sind. Microsoft Teams ist als Begleittool in den Kurs integriert und ermöglicht die direkte Anwendung in der modernen, kollaborativen Arbeitsumgebung, die in vielen Unternehmen heute Standard ist.
Kursinhalte & Lernziele
CRISC-Domäne 1 — IT-Risikoidentifikation und -bewertung Die erste CRISC-Domäne ist die inhaltlich umfangreichste und bildet das Fundament aller weiteren Domänen. Sie deckt ab, wie Unternehmen IT-Risiken im Kontext ihrer Geschäftsstrategie erkennen und strukturiert dokumentieren. Ein kritisches Konzept ist das IT-Risikoregister, das als lebendiges Dokument alle bekannten Risiken, Eigentümer, Bewertungen und Behandlungsmaßnahmen zusammenführt.
- Governance und IT-Risikomanagement: Rollen (Risikoeignerschaft, Three-Lines-of-Defense-Modell)
- Schlüsselkonzepte des Risikos: Bedrohung, Schwachstelle, Eintrittswahrscheinlichkeit, Schadenspotenzial
- IT-Risikoregister: Struktur, Pflege, Kategorisierung und Integration in das Enterprise-Risk-Framework
- Risikoidentifikationsmethoden: Workshops, Interviews, Szenario-Analyse, SWOT-Analyse
- Risikokultur und Kommunikation: Aufbau eines Risikobewusstseins auf allen Hierarchieebenen
- Risikokapazität, Risikobereitschaft und Risikotoleranz: Definitionen, Messung und Verwendung
CRISC-Domäne 2 — Bewertung und Analyse von IT-Risiken Domäne 2 vertieft die methodischen Grundlagen der Risikobewertung. Qualitative Methoden (z. B. Risk-Heat-Maps) und quantitative Methoden (z. B. erwartete jährliche Kosten) werden gegenübergestellt; der CRISC-Ansatz betont das pragmatische Urteilsvermögen bei der Auswahl der passenden Methodik je Situation.
- Risikoszenarien entwickeln und strukturiert dokumentieren (nach ISACA-Szenario-Methodik)
- Risikoanalyse-Techniken: qualitativ (Likert-Skalen, Risikomatrizen), quantitativ (ALE, SLE, ARO)
- Aktueller Stand der Kontrollen und sein Einfluss auf das Restrisiko
- Änderungen im Risikoumfeld: neue Technologien, regulatorische Entwicklungen, externe Bedrohungen
- Ranking und Priorisierung von Risikoszenarien für Managemententscheidungen
- Dokumentation von Risikobewertungen: Formate, Versionierung, Berichtswege
CRISC-Domäne 3 — Risikoreaktion und Kontrollimplementierung Domäne 3 behandelt, wie Organisationen auf identifizierte und bewertete Risiken reagieren. Der Schwerpunkt liegt auf dem Entwurf und der Implementierung von Kontrollmechanismen sowie auf dem Aufbau eines Risiko-Aktionsplans.
- Risikobehandlungsoptionen: Akzeptanz, Transfer (Versicherung), Minderung, Vermeidung
- Kontrollarten: präventive, detektive, korrektive Kontrollen; Kontrolldesign-Prinzipien
- Entwicklung eines Risiko-Aktionsplans: Maßnahmen, Verantwortliche, Fristen, Budget
- Business-Process-Review: Analysewerkzeuge für Prozess-Sicherheits-Schnittstellen
- Kontrollimplementierung und Nachweis: Dokumentation, Testing, Akzeptanzkriterien
- Eigentum an Kontrollen: Verantwortlichkeit, Eskalationswege, Change Management
CRISC-Domäne 4 — Risiko- und Kontrollüberwachung Domäne 4 schließt den Risikomanagement-Kreislauf mit kontinuierlicher Überwachung und periodischem Reporting. Wirksamkeitskontrollen und die Anpassung von KRIs bei veränderten Rahmenbedingungen sind zentrale Themen.
- Key Risk Indicators (KRIs): Definition, Kalibrierung, Schwellenwerte und Eskalationspfade
- Key Performance Indicators (KPIs) für das Sicherheits- und Kontrollprogramm
- Tools und Techniken zur Datensammlung und Risikodatenanalyse
- Kontrollbeurteilung: Selbstbewertung versus unabhängige Überprüfung, Kontrollversagen
- Änderungen im IT-Risikoprofil: Triggers für Neubewertung, Dokumentation von Veränderungen
- Reporting-Formate: operatives, taktisches und strategisches Risikoreporting
Microsoft Teams — Kollaboration in der modernen Arbeitsumgebung Microsoft Teams ist die zentrale Kollaborationsplattform der Microsoft-365-Suite und in vielen Unternehmen tägliches Arbeitsmittel. Dieser Kursteil vermittelt die praktische Bedienung und die wichtigsten Funktionen, um Teams unmittelbar produktiv einzusetzen.
- Teams-Architektur: Kanäle, Tabs, Apps, Verbindung zu SharePoint und OneDrive
- Besprechungen: Planung, Präsentation, Breakout-Rooms, Aufzeichnung und Nachbereitung
- Chat und Zusammenarbeit: Dateiteilen, Kommentieren, Versionsverwaltung in Teams
- Integration von Microsoft-365-Apps: Planner, Forms, OneNote, Whiteboard in Teams-Kanälen
- Administrative Grundlagen: Zugriffsberechtigungen, externe Gäste, Richtlinieneinstellungen
Lernziele:
- IT-Risiken nach CRISC-Domäne-1-Methodik identifizieren, dokumentieren und im Risikoregister erfassen
- Risikokapazität, -bereitschaft und -toleranz eines Unternehmens bestimmen und kommunizieren
- Risikobewertungsverfahren (qualitativ und quantitativ) einsetzen und Ergebnisse interpretieren
- Risikobehandlungsoptionen (Akzeptanz, Transfer, Minderung, Vermeidung) situationsgerecht wählen
- Kontrollmechanismen entwerfen, implementieren und auf ihre Wirksamkeit hin bewerten
- Key Risk Indicators (KRIs) und Key Performance Indicators (KPIs) für das Risikoreporting definieren
- Risiko- und Kontrollüberwachungsprozesse einrichten und periodisch überprüfen
- Risikokommunikation an Stakeholder auf unterschiedlichen Hierarchieebenen gestalten
- IT-Risikomanagement in Unternehmensgovernance-Strukturen einbetten
- Microsoft Teams für Besprechungen, Chats, Dateifreigaben und Teamprojekte einrichten und nutzen
- Teams in die Microsoft-365-Umgebung integrieren (SharePoint, OneNote, Planner)
- Sicherheitsaspekte und Governance-Einstellungen in Microsoft Teams grundlegend verstehen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich vor allem an Fachleute im Bereich IT-Risikomanagement, IT-Audit und Compliance, die sich auf die CRISC-Zertifizierung vorbereiten. Microsoft Teams ergänzt das Angebot für alle, die die Plattform im Berufsalltag besser nutzen möchten.
- IT-Risikomanager und IT-Auditoren, die eine formale Zertifizierung anstreben
- Compliance-Beauftragte und IT-Sicherheitsbeauftragte in regulierten Branchen
- IT-Projektmanager mit Risikomanagement-Verantwortung
- Unternehmensberater und interne Auditoren mit Fokus auf IT-Governance
- Fachleute, die CRISC als nächsten Schritt nach CISM oder CISA absolvieren möchten
ISACA setzt für die eigentliche CRISC-Zertifizierung drei Jahre Berufserfahrung in Informationsrisikomanagement und Informationssystemskontrolle voraus, wobei mindestens zwei Domänen abgedeckt sein müssen. Die Prüfung kann vor Erfüllung dieser Erfahrungsvoraussetzung abgelegt werden. Der Unterricht im CRISC-Teil findet auf Englisch statt. Grundkenntnisse in IT-Governance und Informationssicherheit sind hilfreich. Für den Teams-Teil sind keine Vorkenntnisse notwendig.
Ablauf & Abschluss
Unterricht und Lernunterlagen sind auf Englisch, da ISACA CRISC ausschließlich in englischer Sprache prüft. Das Programm läuft im Combined-Learning-Format in Vollzeit mit Live-Unterricht im virtuellen Klassenzimmer. Der CRISC-Teil basiert stark auf dem ISACA-Lehrplan mit situativen Fallstudien und Diskussionen; der Teams-Teil wird über geführte praktische Übungen in einer Microsoft-365-Umgebung vermittelt. In den Centern stehen Dual-Monitor-Arbeitsplätze zur Verfügung; Homeoffice-Teilnahme ist möglich.
Das Programm dauert mehr als einen Monat bis zu drei Monate in Vollzeit. Die Gesamtdauer hängt von der Modulzusammenstellung ab. Die CRISC-Prüfung wird bei einem ISACA-autorisierten Testcenter oder online abgelegt. Die Unterrichtssprache für den Hauptteil des Kurses ist Englisch; Lernbegleitung durch die Trainer kann auf Deutsch erfolgen.
Nach Bestehen der CRISC-Prüfung und Nachweis der erforderlichen Berufserfahrung erhalten Sie das CRISC-Zertifikat von ISACA — eines der weltweit anerkanntesten Zertifikate im IT-Risikomanagement. Es ist drei Jahre gültig und muss durch CPE-Stunden (Continuing Professional Education) und eine jährliche Gebühr aufrechterhalten werden. Für den Microsoft-Teams-Teil wird eine qualifizierte Teilnahmebescheinigung des Kursträgers ausgestellt.
Nutzen & Perspektiven
CRISC gehört zu den am häufigsten von CISOs und IT-Risikomanagern geforderten Zertifizierungen, wenn Positionen mit Governance- und Compliance-Verantwortung besetzt werden. In regulierten Branchen wie Banken, Versicherungen und Gesundheitswesen ist CRISC ein anerkannter Nachweis, dass eine Person IT-Risiken nicht nur technisch versteht, sondern sie auch im unternehmerischen Kontext steuern kann. Die wachsenden Anforderungen aus NIS2, DORA und DSGVO erhöhen den Bedarf an CRISC-qualifizierten Fachleuten in Deutschland erheblich. Die Integration von Microsoft Teams in das Programm ist pragmatisch begründet: Die meisten Unternehmen, in denen CRISC-Fachleute tätig sind, setzen Microsoft 365 als Standardumgebung ein. Wer Teams souverän beherrscht, kann Risikokommunikation, Audit-Koordination und Compliance-Workflows effizienter gestalten. Es ist kein Add-on ohne Bezug, sondern ein Produktivitätsbaustein für die tägliche Arbeit im Risikomanagement. Mittelfristig eignet sich CRISC als Ergänzung zu CISM oder CISA: Wer alle drei ISACA-Zertifikate besitzt, deckt Governance (CISM), Audit (CISA) und Risiko (CRISC) aus einer Hand ab — ein Profil, das für CISO-Positionen und Senior-Risk-Officer-Rollen zunehmend erwartet wird.
Häufig gestellte Fragen (FAQ)
Was ist CRISC und wofür steht die Abkürzung?
CRISC steht für Certified in Risk and Information Systems Control und ist eine Zertifizierung der ISACA (Information Systems Audit and Control Association). Sie bescheinigt Kompetenz in IT-Risikoidentifikation, -bewertung, -reaktion und -überwachung — vier Domänen, die den vollständigen Risikomanagement-Kreislauf abdecken.
Wie unterscheidet sich CRISC von CISM?
CISM (Certified Information Security Manager) deckt Informationssicherheits-Governance, Programmmanagement und Incident Management ab. CRISC fokussiert spezifisch auf IT-Risikomanagement und Kontrollmechanismen. Beide ISACA-Zertifikate ergänzen sich: CISM ist stärker governance-orientiert, CRISC stärker analytisch-methodisch auf Risiko- und Kontrollprozesse ausgerichtet.
Warum ist der CRISC-Unterricht auf Englisch?
ISACA bietet CRISC-Lernunterlagen und die Zertifizierungsprüfung ausschließlich auf Englisch an. Um eine praxisnahe Prüfungsvorbereitung zu gewährleisten, wird der CRISC-Teil des Kurses auf Englisch durchgeführt. Die Begleitung durch die Trainer und Rückfragen können auf Deutsch erfolgen.
Welche Berufserfahrung ist für CRISC notwendig?
ISACA verlangt drei Jahre nachgewiesene Berufserfahrung in IT-Risikomanagement und Informationssystemskontrolle, von denen mindestens zwei verschiedene CRISC-Domänen abgedeckt sein müssen. Die Prüfung kann ohne diese Erfahrung abgelegt werden; das Zertifikat wird erst nach Erfahrungsnachweis vergeben (Nachweis muss innerhalb von fünf Jahren nach der Prüfung erbracht werden).
Warum ist Microsoft Teams Teil dieses Kurses?
Teams ist in vielen Unternehmensumgebungen die Standardplattform für Kollaboration, Besprechungen und Dokumentenmanagement. Da Risikomanager und Auditoren regelmäßig in Teams-Umgebungen mit Stakeholdern kommunizieren, Audit-Ergebnisse teilen und Remote-Meetings durchführen, vermittelt dieser Kursteil unmittelbar praxisrelevante Werkzeugkompetenz.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Information Security Officer200 Stellen
- Chief-Information-Security-Officer103 Stellen
- Cyber-Security-Consultant86 Stellen
- Business-Continuity-Manager/Business-Continuity-Managerin42 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen
- IT-Sicherheitsbeauftragter3 Stellen