Überblick
Diese Weiterbildung kombiniert den EC-Council Certified Incident Handler (ECIH) mit der CompTIA Cloud+ Zertifizierung. Beide Zertifizierungen sprechen eine wachsende Kernbedarf in der IT-Sicherheit an: Vorfälle strukturiert handhaben und Cloud-Infrastrukturen sicher betreiben. ECIH adressiert den vollständigen Incident-Response-Zyklus nach dem EC-Council-Framework — von der Vorbereitung über die Erkennung und Eindämmung bis zur Wiederherstellung und Post-Incident-Analyse. CompTIA Cloud+ (CV0-004 oder aktueller Prüfungsstand) fokussiert auf die Implementierung, Sicherheit und Fehlerbehebung in Cloud-Umgebungen: Deployment-Modelle, Netzwerkkonfiguration, Identitäts- und Zugangsverwaltung, Datensicherheit, sowie Cloud-Betriebsmodelle. In einer Infrastrukturlandschaft, in der ein Großteil der Unternehmenssysteme in Hybrid- oder Multi-Cloud-Umgebungen betrieben wird, ist die Kombination aus Incident Handling und Cloud-Kompetenz direkt praxisrelevant: Sicherheitsvorfälle spielen sich heute regelmäßig auf Cloud-Infrastrukturen ab — S3-Buckets mit falschen Berechtigungen, kompromittierte Cloud-Identitäten, fehlkonfigurierte Netzwerkpolicies.
Kursinhalte & Lernziele
Modul 1 — Incident Response Grundlagen und IR-Planung (ECIH) Eine strukturierte Incident Response beginnt, bevor der erste Vorfall eintritt. Dieser Block behandelt die strategische und organisatorische Vorbereitung — Playbooks, Teams und Kommunikationsstrukturen.
- IR-Definitionen: Incident vs. Event vs. Alert; Klassifikation nach Schweregrad
- IR-Frameworks im Vergleich: NIST SP 800-61, SANS PICERL, EC-Council ECIH-Methodik
- IR-Plan: Bestandteile, Eskalationspfade, Communication Trees, externe Stakeholder (CERT, BSI, Strafverfolgung)
- Computer Security Incident Response Team (CSIRT): Rollen, Verantwortlichkeiten, Zusammenarbeit
- Incident-Detection-Quellen: SIEM-Alerts, IDS/IPS, EDR, Cloud-Monitoring
- IR-Tooling: Ticketsysteme, Forensik-Tools, SOAR-Plattformen im IR-Workflow
Modul 2 — Erkennung, Eindämmung und Untersuchung von Vorfällen (ECIH) Die operative Kernkompetenz des Incident Handlers — Vorfälle erkennen, eingrenzen, dokumentieren und forensisch sichern. Dieser Block behandelt die Phasen Identification, Containment und Evidence Handling.
- Erkennung: Log-Analyse, SIEM-Korrelation, EDR-Telemetrie, NetFlow-Auswertung
- Triage: Incident-Klassifikation, Schweregrad-Bewertung, Priorisierungsmatrizen
- Eindämmung: netzwerkbasierte Isolation (Firewall-Regeln, Segment-Block), Host-Isolation, Account-Sperrung
- Digitale Forensik: Volatilität der Beweise, Reihenfolge der Sicherung, Live-Response vs. Post-Mortem
- Beweissicherung: Disk-Images (dd, FTK Imager), Memory-Dumps (Volatility), Log-Archivierung mit Chain of Custody
- Malware-Analyse im IR-Kontext: statische Analyse (Hashes, Strings), dynamische Analyse (Sandboxing)
Modul 3 — Vorfalltypen und spezifische Playbooks (ECIH) Unterschiedliche Vorfalltypen erfordern unterschiedliche Reaktionsmuster. Dieser Block behandelt die wichtigsten Incident-Kategorien mit spezifischen Handling-Strategien.
- Malware-Vorfälle: Ransomware (Isolations- und Wiederherstellungsstrategie), Trojaner, RATs
- Web-Application-Vorfälle: SQL Injection, XSS, Account Takeover — Erkennung und Response
- Insider-Threats: Verhaltensanomalien erkennen, Beweissicherung ohne Alarmierung, rechtliche Grenzen
- Datenlecks (Data Breach): Scope-Bestimmung, Meldepflichten nach DSGVO Art. 33/34
- DoS/DDoS-Vorfälle: Angriffsarten erkennen, Upstream-Filterung, ISP-Kooperation
- Post-Incident-Review: Root-Cause-Analyse, Lessons Learned, IR-Plan-Update
Modul 4 — CompTIA Cloud+: Cloud-Infrastruktur und Sicherheit CompTIA Cloud+ ist eine herstellerneutrale Zertifizierung für Cloud-Infrastrukturkenntnisse — keine Spezialisierung auf AWS, Azure oder GCP, sondern konzeptionell auf alle gängigen Plattformen anwendbar. Dieser Block deckt das vollständige Prüfungscurriculum ab.
- Cloud-Konzepte und Deployment-Modelle: IaaS, PaaS, SaaS, FaaS; Public, Private, Hybrid, Community Cloud
- Cloud-Netzwerk: VPCs, Subnets, Route Tables, Security Groups, Network ACLs, VPN und Direct Connect
- Identitäts- und Zugangsverwaltung (IAM): Benutzer, Rollen, Policies; Federation (SAML, OAuth 2.0, OIDC); MFA
- Cloud-Storage-Sicherheit: Bucket Policies, Verschlüsselung (at-rest, in-transit), Data-Lifecycle-Policies
- Cloud-Sicherheitsarchitektur: Shared Responsibility Model, Security Posture Management (CSPM), CASB
- High Availability, Load Balancing und Disaster Recovery in Cloud-Umgebungen
Modul 5 — Cloud-Incident-Response und Compliance Cloud-Umgebungen haben eigene Incident-Response-Herausforderungen: flüchtige Infrastruktur, geteilte Verantwortung, eingeschränkte forensische Zugriffe. Dieser Block verbindet ECIH und Cloud+ direkt.
- Cloud-spezifische Angriffsvektoren: Fehlkonfigurationen (S3-Buckets, öffentliche APIs), kompromittierte IAM-Keys, Supply-Chain-Angriffe
- Cloud-Forensik: Log-Quellen (CloudTrail, Azure Activity Logs, GCP Audit Logs), Snapshot-Forensik
- Incident Detection in der Cloud: Cloud-native Tools (AWS GuardDuty, Microsoft Defender for Cloud, GCP Security Command Center)
- Compliance in Cloud-IR: DSGVO-Meldepflichten, Cloud-Provider-SLAs, Evidence-Preservation in Multi-Tenant-Umgebungen
- Containment in der Cloud: Account-Suspension, IAM-Policy-Entzug, Netzwerk-Isolation in VPCs
- SOAR in Cloud-Umgebungen: Automatisierte IR-Playbooks mit AWS Lambda, Azure Logic Apps
Lernziele:
Nach Abschluss der Weiterbildung sind die Teilnehmenden in der Lage —
- Einen Incident-Response-Plan nach EC-Council-Methodik zu entwickeln und zu dokumentieren
- Sicherheitsvorfälle in einer Triage-Phase systematisch zu kategorisieren und zu priorisieren
- Eindämmungsmaßnahmen bei aktiven Sicherheitsvorfällen zeitgerecht und strukturiert einzuleiten
- Digitale Forensik-Grundlagen anzuwenden: Beweissicherung, Chain of Custody, Memory-Forensik
- Malware-Vorfälle, Ransomware-Angriffe und Datenlecks nach einem strukturierten Playbook zu behandeln
- Post-Incident-Analysen durchzuführen und Lessons-Learned-Reports zu erstellen
- Cloud-Computing-Konzepte und -Deployment-Modelle (IaaS, PaaS, SaaS; Public/Private/Hybrid) zu beschreiben
- Cloud-Netzwerkarchitektur, VPCs, Subnets und Sicherheitsgruppen zu konfigurieren und zu dokumentieren
- Identitäts- und Zugangsverwaltung in Cloud-Umgebungen (IAM, RBAC, Federation) sicherzustellen
- Sicherheitsvorfälle in Cloud-Umgebungen zu erkennen und mit Cloud-spezifischen Werkzeugen zu untersuchen
- ECIH- und CompTIA Cloud+-Prüfungen erfolgreich abzulegen
Zielgruppe & Voraussetzungen
Die Weiterbildung richtet sich an IT-Sicherheitsfachleute, die strukturierte Incident Response beherrschen und Cloud-Infrastruktursicherheit zertifizieren möchten.
- IT-Sicherheitsanalysten und SOC-Analysten, die Incident-Response-Prozesse professionalisieren und Cloud-Sicherheit fundieren wollen
- Systemadministratoren und Cloud-Administratoren, die in eine Sicherheitsrolle mit IR-Fokus wechseln möchten
- IT-Sicherheitsberater, die Kunden bei der Planung und Durchführung von Incident-Response-Programmen in Cloud-Umgebungen beraten
- Compliance- und Risk-Professionals in Unternehmen mit Cloud-Infrastruktur, die die technische Seite von Sicherheitsvorfällen besser verstehen wollen
Für das ECIH-Modul empfiehlt EC-Council ein Jahr Erfahrung in der Informationssicherheit oder IT-Administration sowie grundlegende Kenntnisse in Netzwerken und Betriebssystemen. Für das CompTIA Cloud+-Modul sind Grundkenntnisse in Netzwerken (TCP/IP, DNS, DHCP) und Serveradministration (Windows Server oder Linux) empfehlenswert; CompTIA empfiehlt A+ und Network+ als Vorkenntnisbasis. Der Kurs findet im Live-Online-Format statt.
Ablauf & Abschluss
Der ECIH-Teil arbeitet mit szenariobasierten Fallstudien und strukturierten IR-Übungen — typische Incident-Situationen werden durchgespielt und analysiert. Das Cloud+-Modul kombiniert konzeptionelle Instruktion mit Übungsaufgaben zu Cloud-Architektur und Sicherheitskonfiguration. Für beide Zertifizierungen stehen Prüfungsvorbereitungsunterlagen und Übungsexamen zur Verfügung. Der Kurs läuft im Vollzeitformat.
Die kombinierte Weiterbildung aus ECIH und CompTIA Cloud+ ist als Vollzeitmaßnahme über mehrere Wochen bis Monate konzipiert. Aufgrund der zwei vollständigen Zertifizierungsprogramme ist von einer Gesamtdauer von zwei bis drei Monaten auszugehen. Die genaue Dauer variiert je nach Anbieter.
Die Weiterbildung bereitet auf zwei externe Prüfungen vor: die EC-Council ECIH-Prüfung und die CompTIA Cloud+-Prüfung. Das ECIH-Zertifikat wird von EC-Council ausgestellt und ist drei Jahre gültig; die Verlängerung erfolgt über das EC-Council CE-Programm. Das CompTIA Cloud+-Zertifikat ist drei Jahre gültig und verlängerbar über das CompTIA Continuing Education (CE) Programm. Ergänzend wird eine trägerinterne Teilnahmebescheinigung ausgestellt.
Nutzen & Perspektiven
Sicherheitsvorfälle in Cloud-Umgebungen sind keine Ausnahme mehr — sie sind Alltag. Die Anzahl der Datenpannen durch Fehlkonfigurationen in AWS S3-Buckets, durch kompromittierte Cloud-API-Schlüssel oder durch unsichere CI/CD-Pipelines hat in den letzten Jahren kontinuierlich zugenommen. Ein Incident Handler, der Cloud-Infrastrukturen nicht kennt, ist in modernen Unternehmensumgebungen eingeschränkt — er kann Vorfälle auf dieser Ebene weder vollständig untersuchen noch wirksam eindämmen. ECIH kombiniert mit CompTIA Cloud+ schließt genau diese Lücke. Cloud+ ist dabei bewusst herstellerneutral gewählt: Wer die Konzepte hinter VPCs, IAM-Policies, Bucket-Berechtigungen und Shared-Responsibility-Modellen verstanden hat, kann dieses Wissen auf AWS, Azure, GCP oder hybride Szenarien übertragen. Das macht die Zertifizierung breiter einsetzbar als Cloud-Provider-spezifische Abschlüsse und besonders wertvoll für Professionals, die in Multi-Cloud-Umgebungen arbeiten oder Kunden mit unterschiedlichen Cloud-Setups betreuen. Für die Karriereentwicklung positioniert die Kombination ECIH und Cloud+ ein Profil, das zwischen reinen IR-Spezialisten und Cloud-Security-Generalisten angesiedelt ist — ein Bereich, der in deutschen Unternehmen mit wachsender Cloud-Adoption weiter an Bedeutung gewinnt. Rollen wie Cloud Security Incident Responder, Cloud Security Analyst oder Cloud Security Engineer sind entsprechende Karriereziele dieser kombinierten Qualifikation.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen ECIH und CEH von EC-Council?
CEH (Certified Ethical Hacker) fokussiert auf offensive Sicherheit — Penetrationstests, Schwachstellenanalyse, Hacking-Techniken. ECIH (Certified Incident Handler) fokussiert auf defensive, reaktive Sicherheit — Incident Response, Forensik, Eindämmung und Post-Incident-Analyse. Beide ergänzen sich, sind aber eigenständige Zertifizierungen für unterschiedliche Rollen.
Ist CompTIA Cloud+ herstellerneutral?
Ja. CompTIA Cloud+ ist bewusst cloud-vendor-agnostisch konzipiert — die Prüfung deckt konzeptionelle und technische Grundlagen ab, die auf alle großen Cloud-Plattformen (AWS, Azure, GCP) anwendbar sind. Sie ist damit breiter einsetzbar als AWS-, Azure- oder GCP-spezifische Zertifizierungen.
Warum ist Cloud-Kompetenz für Incident Responder wichtig?
Ein Großteil der heutigen Unternehmensinfrastruktur läuft in Cloud-Umgebungen. Sicherheitsvorfälle wie fehlkonfigurierte Buckets, gestohlene IAM-Schlüssel oder kompromittierte Cloud-Workloads erfordern spezifisches Cloud-Wissen für die Untersuchung und Eindämmung. Ohne Cloud-Kenntnisse ist die IR-Fähigkeit in hybriden Umgebungen eingeschränkt.
Sind DSGVO-Meldepflichten Bestandteil des Kurses?
Ja. Im ECIH-Modul werden Datenlecks als spezifischer Vorfalltyp behandelt — inklusive der Meldepflichten nach DSGVO Art. 33 (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden) und Art. 34 (Benachrichtigung betroffener Personen). Cloud-Vorfälle mit Datenschutzbezug werden dabei besonders berücksichtigt.
Wie lange ist das ECIH-Zertifikat gültig?
Das ECIH-Zertifikat ist drei Jahre gültig und wird über das EC-Council Continuing Education (ECE) Programm verlängert. Die Verlängerung erfordert das Sammeln von ECE Credits durch Weiterbildungen, Konferenzteilnahmen oder andere qualifizierende Aktivitäten innerhalb des Drei-Jahres-Zeitraums.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Cloud-Consultant191 Stellen
- IT-Compliance-Consultant144 Stellen
- Cloud Security Specialist9 Stellen
- IT-Sicherheitsbeauftragter3 Stellen
- Incident Handler0 Stellen