Überblick
Dieser Kombi-Kurs bündelt zwei komplementäre Disziplinen der IT-Sicherheit unter einem Dach: das EC-Council Certified Incident Handler (ECIH) Training für die strukturierte, professionelle Reaktion auf Cyberangriffe und das CompTIA PenTest+ Training für die offensive Sicherheitsanalyse durch methodische Penetrationstests. Der Kurs findet in einem synchronen virtuellen Klassenraum statt, der die Qualität klassischen Präsenzunterrichts in ein ortsunabhängiges Format überträgt. Durch die modulare Struktur lässt sich das Programm flexibel an individuelle Vorkenntnisse und Karriereziele anpassen — wer in einer Domäne bereits fit ist, setzt gezielt bei der anderen an.
Kursinhalte & Lernziele
Modul 1 — ECIH: Grundlagen des Incident Response Managements Dieser Block legt das Fundament für professionelles Sicherheitsvorfalls-Management. Die Teilnehmenden lernen, nach welchen Phasen Incidents strukturiert werden, wie Teams aufgestellt werden und welche Dokumentationspflichten im Ernstfall gelten.
- Phasenmodell des Incident Response: Vorbereitung, Erkennung, Klassifizierung, Eindämmung, Wiederherstellung, Post-Mortem
- CSIRT-Aufbau: Rollen, Verantwortlichkeiten, Eskalationswege
- Rechtliche Aspekte: Datenschutz, Meldepflichten (DSGVO, BSI-Gesetz), Beweisführung vor Gericht
- Kommunikationsprotokolle im Ernstfall: intern und extern
- Dokumentation von Vorfällen und Nachverfolgung von Abhilfemaßnahmen
Modul 2 — ECIH: Aktuelle Bedrohungsszenarien und forensische Analyse IT-Bedrohungen entwickeln sich schneller als Abwehrmechanismen. Dieses Modul trainiert den Umgang mit den aktuell häufigsten und schwersten Angriffstypen und vermittelt forensische Grundlagen für die Spurensicherung.
- Ransomware-Angriffe: Erkennungsmerkmale, Eindämmungsschritte, Wiederherstellung aus Backups
- Cloud-spezifische Incidents: Fehlkonfigurationen in AWS/Azure/GCP, Zugangsdaten-Kompromittierung
- Insider-Bedrohungen: Verhaltensanomalien erkennen, Datenabfluss analysieren
- Digitale Forensik: Disk-Images, Speicherabbilder, Netzwerkverkehr als Beweismittel sichern
- Threat Intelligence einbinden: IOCs, TTPs nach MITRE ATT&CK im Incident-Kontext nutzen
Modul 3 — PenTest+: Planung, Scope und Informationssammlung Der methodische Einstieg in den Penetrationstest beginnt lange vor dem ersten Angriffswerkzeug. Dieses Modul vermittelt, wie Aufträge rechtssicher gestaltet werden und wie die Informationssammlung das Fundament für präzise Exploits legt.
- Vertragsstruktur für Pen-Test-Aufträge: Scope, Non-Disclosure, Rules of Engagement
- Passive Reconnaissance: OSINT-Methoden, Shodan, Certificate-Transparency-Logs
- Aktive Reconnaissance: Nmap, Masscan, Service-Fingerprinting
- Schwachstellenscanning: Nessus, OpenVAS — Ergebnisse bewerten und priorisieren
- Übergang von der Informationssammlung zur Exploit-Vorbereitung
Modul 4 — PenTest+: Exploitation, Post-Exploitation und Cloud-Angriffsvektoren Der Kern jedes offensiven Sicherheitsengagements — die kontrollierte Ausnutzung von Schwachstellen. Dieser Block zeigt sowohl klassische Netzwerk- und Host-Exploits als auch moderne Cloud- und Webanwendungsangriffe.
- Netzwerkbasierte Exploits: Man-in-the-Middle, Service-Exploits, ARP-Spoofing
- Cloud-Sicherheitstests: Fehlkonfigurationen in IAM, öffentliche Storage-Buckets, API-Schwachstellen
- Host-Exploitation: Windows Kerberoasting, Linux SUID-Exploits, Privilege Escalation
- Webanwendungstests: OWASP Top 10 — SQLi, XSS, SSRF, unsichere Deserialisierung
- Post-Exploitation: Lateral Movement, Persistenz, Spuren verwischen
Praxisblock — Skripting, integriertes Reporting und verbindende Übungen
- Bash- und Python-Automatisierung für Scan- und Exploiting-Workflows
- Technische Reports strukturieren: Befunde, CVSS-Scores, Reproduktionsschritte
- Executive Summary für Entscheider: Kernbotschaften ohne technischen Jargon
- Verbindungsübung: Penetrationstest-Ergebnisse als Grundlage für Incident-Response-Playbooks nutzen
- Szenario: Simulierter Angriff auf ein fiktives Netzwerk — Incident Response und anschließender Pen-Test der Restrisiken
- Ableitung präventiver Maßnahmen aus kombinierten Erkenntnissen beider Domänen
- Überblick über Compliance-Anforderungen (ISO 27001, NIS2, PCI DSS) für beide Tätigkeitsbereiche
- Vorbereitung auf die Prüfungsformate: ECIH und PenTest+ im Überblick
- Übungsaufgaben aus beiden Prüfungsbereichen
Das Herzstück des Praxisblocks ist das Verbindungsszenario, in dem ein simulierter Netzwerkangriff zunächst als Incident behandelt wird — Erkennung, Eindämmung, Dokumentation — und anschließend ein gezielter Penetrationstest zeigt, ob die getroffenen Maßnahmen ausreichen oder weitere Angriffswege offengeblieben sind. Dieser Doppeldurchlauf macht erfahrbar, wie eng Offensiv- und Defensiv-Perspektive in der Realität verwoben sind.
Lernziele:
- Sicherheitsvorfälle nach dem ECIH-Framework erkennen, klassifizieren und strukturiert bearbeiten
- Computer Security Incident Response Teams (CSIRT) aufbauen und koordinieren
- Forensische Beweissicherung durchführen und rechtliche Rahmenbedingungen einhalten
- Moderne Bedrohungsszenarien — Ransomware, Cloud-Angriffe, Insider-Threats — professionell managen
- Root-Cause-Analysen erstellen und langfristige Risikominimierungsstrategien ableiten
- Penetrationstest-Aufträge rechtssicher planen, Scope definieren und dokumentieren
- Passive und aktive Reconnaissance methodisch und ergebnisorientiert durchführen
- Netzwerk-, Host- und Webanwendungsschwachstellen systematisch identifizieren und ausnutzen
- Skripting-Kenntnisse für die Automatisierung von Pen-Test-Workflows aufbauen
- Technische und executive Berichte zu Penetrationstest-Ergebnissen strukturieren
- Wechselbeziehungen zwischen Angriffsvektoren und Incident-Response-Maßnahmen verstehen
- Beide Zertifizierungsprüfungen (ECIH und PenTest+) gezielt vorbereiten
Zielgruppe & Voraussetzungen
Dieser Kurs spricht IT-Sicherheitsprofis an, die ihre Karriere gezielt in Richtung umfassender Sicherheitskompetenz ausrichten möchten — nicht als Spezialist einer einzigen Nische, sondern als vielseitig einsetzbare Fachkraft.
- SOC-Analysten, die offensive Methoden kennenlernen möchten
- Penetrationstester mit Interesse an Incident-Response-Prozessen
- IT-Sicherheitsingenieure, die beide Domänen in einer Rolle kombinieren
- Security Operations Specialists in mittelständischen Unternehmen und Konzernen
- Berufserfahrene IT-Fachleute, die sich mit zwei anerkannten Zertifizierungen weiterentwickeln
Wer diesen Kurs belegt, sollte über berufspraktische Erfahrung im IT-Sicherheitsumfeld verfügen — idealerweise in einer Monitoring-, Analyse- oder Administrationsrolle. Fundierte Kenntnisse in Netzwerktopologien und Protokollen (TCP/IP, DNS, HTTP/S) sowie im Umgang mit Windows- und Linux-Systemen werden vorausgesetzt. Da beide Zertifizierungsprüfungen auf Englisch stattfinden, sind solide Lesekenntnisse im technischen Englisch unerlässlich.
Ablauf & Abschluss
Der synchrone virtuelle Klassenraum verbindet die Vorteile von Präsenzunterricht mit ortsunabhängiger Teilnahme. Trainer führen Live-Demonstrationen durch, begleiten Hands-on-Labore und moderieren Fallstudienarbeiten. Kamera und Mikrofon sind aktiviert, um spontane Rückfragen und gruppendynamische Diskussionen zu ermöglichen — kein anonymes Abspielen von Videoaufnahmen. In Trainingszentren steht ein Zwei-Monitor-Setup bereit; bestätigte Home-Office-Teilnahme ist möglich.
Die Kursdauer hängt von der Modulauswahl ab. Das vollständige Kombi-Programm umfasst beide Zertifizierungsvorbereitungen und ist auf mehrere Wochen ausgelegt. Teilzeitvarianten strecken den Lernaufwand über einen längeren Zeitraum; Vollzeitvarianten ermöglichen einen kompakteren Abschluss.
Nach Abschluss erhalten Teilnehmende ein trägerinternes Lehrgangszertifikat, das die Teilnahme am Kombi-Programm dokumentiert. Darüber hinaus bereitet der Kurs auf zwei separate Zertifizierungsprüfungen vor: EC-Council ECIH (abgelegt beim EC-Council) und CompTIA PenTest+ (abgelegt bei einem autorisierten Pearson VUE-Testcenter). Beide Zertifizierungen sind international anerkannt und werden in vielen Stellenprofilen für Sicherheitsrollen gefordert.
Nutzen & Perspektiven
Die Stärke dieses Kurses liegt im konzeptionellen Brückenbau zwischen zwei Sicherheitsdisziplinen, die in der Praxis eng zusammengehören, in der Ausbildungslandschaft aber häufig getrennt behandelt werden. Wer nach Abschluss sowohl als Incident Responder als auch als Penetrationstester denken kann, versteht IT-Sicherheit in ihrer ganzen Breite — und bringt dieses Verständnis in konkrete Mehrwerte ein, die reine Spezialisten nicht leisten können. Für Unternehmen bedeutet das: ein Mitarbeiter, der einen Sicherheitsvorfall nicht nur bewältigt, sondern anschließend aktiv prüft, ob die Schwachstelle vollständig geschlossen wurde. Dieses Zusammenspiel aus reaktiver und proaktiver Sicherheitsarbeit ist der Kern moderner Cyber-Resilienz und bildet die Grundlage für ausgereifte Sicherheitsstrategien in regulierten Branchen wie Finanzdienstleistungen, Gesundheitswesen oder kritischer Infrastruktur. Mit der Doppelzertifizierung ECIH und PenTest+ signalisieren Absolventen, dass sie sowohl den taktischen als auch den strategischen Aspekt von IT-Sicherheit verstehen — eine Kombination, die in der stark wachsenden Cybersecurity-Branche Europas zunehmend als Mindestanforderung für höherwertige Sicherheitspositionen gilt.
Häufig gestellte Fragen (FAQ)
Unterscheidet sich dieser Kurs vom anderen ECIH+PenTest+-Kurs auf Kursweg?
Beide Kurse decken denselben inhaltlichen Kern ab und zielen auf die gleichen zwei Zertifizierungen. Der Hauptunterschied liegt im organisatorischen Rahmen: Dieser Kurs bietet ebenfalls individuelle Starttermine und richtet sich an Teilnehmende, die explizit die Kombination aus virtueller Klassenraum-Teilnahme und flexibler Modulauswahl bevorzugen.
Wie läuft der virtuelle Unterricht technisch ab?
Unterricht findet in einem synchronen virtuellen Klassenraum statt, bei dem Trainer und Teilnehmende per Mikrofon, Kamera und Chat interagieren. In Trainingszentren steht ein Zwei-Monitor-Arbeitsplatz bereit; von zu Hause aus ist die Teilnahme mit genehmigter Home-Office-Option möglich. Das Format ist interaktiv und nicht mit asynchronen Selbstlernplattformen zu verwechseln.
Welche Skills werden durch die ECIH-Zertifizierung nachgewiesen?
ECIH-Zertifizierte weisen nach, dass sie Sicherheitsvorfälle strukturiert erkennen, klassifizieren und managen können — von der Erstreaktion über die forensische Sicherung bis zur Wiederherstellung des Normalbetriebs. Besonders gefragt sind diese Kompetenzen in SOC-Teams, CSIRT-Einheiten und bei Managed Security Service Providern.
Muss ich beide Zertifizierungsprüfungen ablegen?
Nein, die Prüfungen sind unabhängig voneinander. Wer primär eine Zertifizierung anstrebt, kann die Module entsprechend priorisieren. Da der Kurs modular aufgebaut ist, lässt sich das Training auf die individuell relevanten Inhalte zuschneiden.
Welche Karrierewege eröffnet diese Doppelqualifikation?
Die Kombination qualifiziert für Rollen, die breit aufgestellte Sicherheitskompetenz erfordern: Security Operations Analyst, Incident Response Engineer, Red/Blue Team Spezialist oder Senior Security Consultant. In Deutschland und Europa sind diese Positionen stark nachgefragt, da viele Unternehmen sowohl reaktive als auch proaktive Sicherheitskapazitäten ausbauen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant118 Stellen
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin97 Stellen
- IT-Compliance-Consultant20 Stellen