Überblick
Während viele IT-Sicherheitskurse entweder die defensive oder die offensive Seite beleuchten, verbindet dieser Kombikurs gezielt beides: Das EC-Council Certified Incident Handler (ECIH) Training macht Teilnehmende zu Experten für die strukturierte Bewältigung von Cyber-Angriffen — von der ersten Erkennung über forensische Beweissicherung bis zur Wiederherstellung des Regelbetriebs. Das CompTIA PenTest+ Training ergänzt diese defensive Kompetenz um die Fähigkeit, selbst als Angreifer zu denken und Schwachstellen systematisch aufzudecken, bevor reale Bedrohungsakteure sie ausnutzen können. Wer beide Zertifizierungen anstrebt, entwickelt ein rundes Sicherheitsprofil, das in modernen SOC-Teams und bei spezialisierten Sicherheitsdienstleistern gleichermaßen gefragt ist.
Kursinhalte & Lernziele
Modul 1 — EC-Council Certified Incident Handler (ECIH): Incident Response Lifecycle Digitale Angriffe sind unvermeidlich — entscheidend ist, wie schnell und strukturiert reagiert wird. Dieser erste große Block vermittelt das ECIH-Rahmenwerk für professionelles Incident Management: von der Erkennung und Klassifizierung eines Vorfalls über die Eindämmungsmaßnahmen bis zur forensischen Dokumentation und der Koordination aller Beteiligten.
- Grundkonzepte des Incident-Response-Frameworks (Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung)
- Klassifizierung von Sicherheitsvorfällen nach Schweregrad und Geschäftsauswirkung
- Aufbau und Führung eines Computer Security Incident Response Teams (CSIRT)
- Rechtliche Grundlagen und Compliance-Anforderungen bei der Beweissicherung
- Forensische Sicherung digitaler Beweismittel — Live-Systeme und Post-Mortem-Analysen
Modul 2 — ECIH: Spezialisierte Bedrohungsszenarien Nicht jeder Vorfall folgt demselben Muster. Dieses Modul trainiert den Umgang mit den drängendsten aktuellen Bedrohungstypen und zeigt, welche spezifischen Reaktionsstrategien für jedes Szenario geeignet sind.
- Ransomware-Angriffe: Erkennung, Eindämmung, Entscheidung über Zahlung vs. Wiederherstellung
- Cloud-Incidents: Fehlkonfigurationen, kompromittierte IAM-Zugänge, Datenabfluss aus Cloud-Diensten
- Insider-Bedrohungen: Verhaltensanalyse, Beweissicherung ohne Eskalation
- APT-Kampagnen: Indikatoren für fortgeschrittene, langfristige Angriffe erkennen
- Post-Incident-Analyse: Root-Cause-Ermittlung und Strategien zur dauerhaften Risikominimierung
Modul 3 — CompTIA PenTest+: Planung, Reconnaissance und Schwachstellenanalyse Der Wechsel von der defensiven zur offensiven Perspektive beginnt mit dem Verständnis, wie professionelle Penetrationstests aufgesetzt werden. Dieses Modul behandelt die vollständige Pre-Engagement-Phase und den Übergang zur systematischen Informationssammlung.
- Scope-Definition und Vertragsgestaltung für Penetrationstest-Aufträge
- OSINT-basierte passive Erkundung: WHOIS, Shodan, Zertifikats-Logs, Metadaten
- Aktive Reconnaissance: Nmap-Scanning, Service-Enumeration, OS-Fingerprinting
- Schwachstellenscanning und -analyse mit gängigen Tools
- Vorbereitung der Exploitation-Phase auf Basis der Reconnaissance-Ergebnisse
Modul 4 — CompTIA PenTest+: Exploitation und Post-Exploitation Von der Schwachstellenidentifikation zur kontrollierten Kompromittierung: Dieser Block zeigt, wie in Netzwerken, auf Hosts und in Webanwendungen Exploits sicher und methodisch eingesetzt werden — und was in der Post-Exploitation-Phase technisch und dokumentarisch zu leisten ist.
- Netzwerk-Exploits: SMB-Relay, ARP-Spoofing, Dienst-basierte Angriffe
- Cloud- und Wireless-Angriffsvektoren: IAM-Fehlkonfigurationen, WPA2-Attacken
- Host-Exploitation: Windows- und Linux-Privilege-Escalation-Techniken
- Webanwendungstests nach OWASP Top 10: SQL-Injection, XSS, SSRF
- Lateral Movement, Persistenz und Anti-Forensik-Techniken im Test-Kontext
Praxisblock — Skripting, Reporting und Synthese beider Domänen
- Python-Automatisierung für Scan- und Exploit-Workflows
- Bash-Skripte für Reconnaissance und Log-Analyse
- Pen-Test-Ergebnisse nach Business-Impact priorisieren und strukturieren
- Technischer Report und Executive Summary für Penetrationstest-Aufträge
- Verbindung von Angriffswissen und Incident-Response: Was hinterlässt ein Pen-Test, was ein echter Angreifer?
- Forensische Beweissicherung nach simuliertem Vorfall im kombinierten Übungsszenario
- Ableitung von Abwehrmaßnahmen aus Penetrationstest-Befunden
- Incident-Report-Struktur vs. Pen-Test-Report: Unterschiede und Gemeinsamkeiten
- Vorbereitung auf beide Zertifizierungsprüfungen: Übungsaufgaben ECIH und PenTest+
- Abschlussszenario: Reaktion auf einen simulierten Angriff inklusive forensischer Analyse und anschließendem Mini-Pen-Test der betroffenen Umgebung
Der finale Praxisblock ist das Herzstück dieses Kombikurses: Ein simulierter Angriff wird zunächst als Incident-Response-Übung behandelt und anschließend durch einen gezielten Penetrationstest ergänzt, der zeigt, welche weiteren Einfallspfade noch offen sind. Diese Synthese beider Disziplinen schärft das Verständnis für die enge Verzahnung von defensiver und offensiver Sicherheitsarbeit.
Lernziele:
- Incident-Response-Prozesse nach dem EC-Council-Framework strukturieren und führen
- Sicherheitsvorfälle priorisieren, eindämmen und forensische Beweise rechtssicher sichern
- Aktuelle Bedrohungsszenarien wie Ransomware, Cloud-Incidents und Insider-Angriffe professionell managen
- Langfristige Strategien zur Risikominimierung nach einem Vorfall implementieren
- Penetrationstests methodisch planen und Scope mit Auftraggebern verbindlich festlegen
- Passive und aktive Reconnaissance strukturiert durchführen und auswerten
- Schwachstellen in Netzwerken, Cloud-Umgebungen und mobilen Anwendungen systematisch identifizieren
- Exploit-Techniken verantwortungsbewusst und im kontrollierten Testrahmen einsetzen
- Python und Bash für die Automatisierung von Pen-Test-Workflows nutzen
- Angriffsberichte für technische und nicht-technische Stakeholder aufbereiten
- Zusammenhänge zwischen Angriffstechniken und Incident-Response-Maßnahmen verstehen
- Beide Zertifizierungsprüfungen (ECIH und PenTest+) vollständig vorbereiten
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an IT-Sicherheitsprofis, die ihr Kompetenzprofil strategisch ausbauen möchten — weg von der reinen Spezialrolle, hin zu einer breiten Expertise, die in modernen Sicherheitsteams hoch geschätzt wird.
- IT-Sicherheitsanalysten in SOC-Teams, die offensive Methoden besser verstehen möchten
- Penetrationstester, die ihre Kenntnis von Incident-Response-Prozessen vertiefen wollen
- Security Engineers, die Aufgaben beider Domänen übernehmen sollen
- IT-Sicherheitsverantwortliche, die eine fundierte Grundlage für Red-Blue-Team-Übungen aufbauen
- Technische Fachleute, die sich mit zwei international anerkannten Zertifizierungen für höherwertige Positionen qualifizieren
Fundierte Kenntnisse in TCP/IP-Netzwerken, Betriebssystemsicherheit und grundlegenden Sicherheitskonzepten werden erwartet. Praktische Erfahrung im IT-Betrieb oder in sicherheitsnahen Rollen ist von Vorteil. Da sowohl ECIH als auch PenTest+ auf Englisch geprüft werden, sind gute Lesekenntnisse in technischem Englisch unerlässlich. Die Modulstruktur erlaubt es, bei bereits vorhandenen Kenntnissen in einer der beiden Domänen einzelne Abschnitte zu überspringen.
Ablauf & Abschluss
Der Unterricht findet im virtuellen Klassenzimmer statt, das in seiner Interaktivität einem klassischen Präsenzsetting entspricht: Live-Trainer, synchrone Übungsphasen, Fallstudienarbeiten und Projektaufgaben wechseln sich ab. Für Teilnehmende in einem Trainingszentrum steht ein moderner Doppelmonitor-Arbeitsplatz bereit; Home-Office-Teilnahme ist genehmigt. Das modulare Format erlaubt individuelle Zusammenstellung der Lernpfade.
Die Gesamtdauer richtet sich nach den gewählten Modulen. Wer beide Zertifizierungen vollständig vorbereiten möchte, sollte mit mehreren Wochen rechnen; bei Teilzeit-Belegung entsprechend länger. Einzelne Module können unabhängig voneinander belegt werden, was die Planung für Berufstätige erleichtert.
Der Kurs schließt mit einem trägerinternen Lehrgangszertifikat ab und bereitet gezielt auf zwei externe Zertifizierungsprüfungen vor: EC-Council ECIH und CompTIA PenTest+. Beide Prüfungen werden separat bei den jeweiligen Zertifizierungsstellen (EC-Council und Pearson VUE) abgelegt. Beide Zertifikate sind international anerkannt und in vielen Stellenprofilen für Sicherheitsrollen explizit gefordert.
Nutzen & Perspektiven
Ein IT-Sicherheitsprofi, der sowohl Angriffe professionell abwehren als auch selbst methodisch testen kann, ist am Markt deutlich wertvoller als jemand, der nur eine der beiden Disziplinen beherrscht. Unternehmen suchen zunehmend Fachkräfte, die zwischen Red-Team- und Blue-Team-Rollen flexibel wechseln können — oder die als einzige Person eine kombiniertere Funktion übernehmen müssen. Die Kombination ECIH und PenTest+ ist dabei keine willkürliche Zusammenstellung: Incident Responder, die wissen, wie Angreifer denken und welche Exploits eingesetzt werden, erkennen Angriffsmuster schneller und treffen bessere Eindämmungsentscheidungen. Umgekehrt hinterlassen Penetrationstester mit Incident-Response-Hintergrund sauberere Dokumentationen und verstehen, welche ihrer Test-Aktionen für Blue Teams welche Alarme auslösen würden. Langfristig eröffnet diese Doppelqualifikation Positionen wie Senior Security Analyst, Red/Blue Team Lead oder Security Consultant für Unternehmen mit ausgereiften Sicherheitsanforderungen — Rollen, die in der wachsenden Cybersecurity-Branche Deutschlands und Europas in den kommenden Jahren weiter an Bedeutung gewinnen werden.
Häufig gestellte Fragen (FAQ)
Warum ECIH und PenTest+ in einem Kurs kombinieren?
Defensive Incident-Response-Kompetenz und offensive Penetrationstest-Fähigkeiten ergänzen sich: Wer versteht, wie Angreifer vorgehen, reagiert bei Vorfällen schneller und zielgenauer. Wer Incident-Response kennt, weiß, welche Spuren ein Pen-Test hinterlassen darf und welche Beweise zu sichern sind. Die Kombination beider Zertifizierungen qualifiziert für breit aufgestellte Sicherheitsrollen.
Sind ECIH und PenTest+ international anerkannt?
Beide Zertifizierungen sind weltweit anerkannt. EC-Council ECIH ist ein etablierter Standard für Incident-Response-Spezialisten; CompTIA PenTest+ ist DoD-8570.01-M-konform. In Deutschland und Europa werden beide Zertifikate von Unternehmen und Behörden als Qualitätsnachweis akzeptiert.
Kann ich nur einzelne Module buchen?
Die Module sind individuell kombinierbar. Wer bereits über Incident-Response-Kenntnisse verfügt, kann den PenTest+-Teil separat absolvieren und umgekehrt. Die Kursdauer passt sich entsprechend den gewählten Modulen an.
Welche Bedrohungsszenarien werden im ECIH-Teil behandelt?
Schwerpunkte liegen auf aktuellen Bedrohungstypen: Ransomware-Angriffe und Wiederherstellungsstrategien, Cloud-Sicherheitsvorfälle, Insider-Bedrohungen und APT-Kampagnen (Advanced Persistent Threats). Das Training ist an die aktuellen Versionen des EC-Council-Lehrplans angelehnt.
Wie findet der Live-Unterricht statt?
Der Unterricht läuft im virtuellen Klassenzimmer mit Mikrofon, Kamera und Chat — analog zu klassischem Präsenzunterricht, aber ortsunabhängig. Für Teilnehmende in Trainingszentren steht ein moderner PC-Arbeitsplatz mit zwei Bildschirmen bereit; Home-Office-Teilnahme ist ebenfalls möglich.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin338 Stellen
- Penetration Tester97 Stellen
- Incident Responder35 Stellen
- Ethical Hacker33 Stellen
- IT-Sicherheitsanalyst2 Stellen