Überblick
Sicherheitsvorfälle enden nicht mit ihrer technischen Behebung – sie verlangen Kommunikation, Koordination und Einbettung in bestehende Service-Management-Prozesse. Dieser Lehrgang verbindet den EC-Council Certified Incident Handler (ECIH, Prüfungscode 212-89 v3) mit ITIL 4 Foundation: zwei Zertifizierungen, die gemeinsam ein vollständiges Bild der Incident-Reaktion zeichnen. ECIH ist das spezialisierte EC-Council-Programm für Incident-Response-Fachleute und deckt den vollständigen Lebenszyklus eines Sicherheitsvorfalls ab – von Vorbereitung und Erkennung über Eindämmung und Beweissicherung bis zur Nachbereitung. ITIL 4 Foundation legt das Service-Management-Rahmenwerk darunter: das Service Value System, die vier Dimensionen und die 34 Managementpraktiken, unter denen die ITIL-4-Incident-Management-Praxis eine zentrale Rolle spielt. Zusammen liefern beide Zertifizierungen den Werkzeugkasten für ein professionelles, prozessual abgesichertes Incident-Handling.
Kursinhalte & Lernziele
Modul ECIH – Incident-Response-Grundlagen und Vorbereitung ECIH beginnt mit dem Aufbau eines Incident-Response-Programms. Bevor ein Vorfall eintreten kann, muss die Organisation vorbereitet sein: Teams definiert, Kommunikationswege etabliert, Werkzeuge bereitgestellt und Verfahren dokumentiert. Dieser Block legt die organisatorische Grundlage für alle weiteren ECIH-Inhalte.
- Incident-Response-Lifecycle nach EC-Council-Methodik
- Incident-Response-Team: Rollen, Verantwortlichkeiten, Eskalationswege
- Vorbereitung von Runbooks und Standard Operating Procedures
- Werkzeuge für Erkennung und Erstreaktion
- Rechtliche und regulatorische Anforderungen bei Sicherheitsvorfällen
Modul ECIH – Erkennung, Eindämmung und Beweissicherung Der operative Kern des ECIH: Wie wird ein laufender Vorfall identifiziert, wie wird er eingegrenzt, damit sich der Schaden nicht ausbreitet, und wie werden Beweise so gesichert, dass sie vor Gericht Bestand haben? Dieser Block deckt die zeitkritischen Phasen des Incident Response ab.
- Indikatoren für Kompromittierung (IoCs) und ihre Auswertung
- Netzwerk-Isolation, Segmentierung und Endpunkt-Quarantäne
- Digitale Forensik: Datenträger-Images, Memory-Dumps, Log-Analyse
- Chain of Custody und Beweisdokumentation
- Analyse von Malware-Artefakten und Angriffsmustern
Modul ECIH – Vorfalltypen: Malware, Netzwerk, Insider, Cloud ECIH behandelt verschiedene Vorfallkategorien separat, weil ihre Behandlung unterschiedliche technische Vorgehensweisen erfordert. Dieser Block deckt die vier wichtigsten Vorfalltypen ab, die in der Prüfung und in der Praxis regelmäßig vorkommen.
- Malware-Vorfälle: Ransomware, Trojaner, Spyware – Erkennung und Bereinigung
- Netzwerkangriffe: DDoS, Man-in-the-Middle, Sniffing-Angriffe
- Insider-Threats: Erkennung, Beweissicherung, Zusammenarbeit mit HR und Rechtsabteilung
- Cloud-Vorfälle: Fehlkonfigurationen, API-Missbrauch, Account-Kompromittierung
Modul ITIL 4 Foundation – Service Value System und Leitprinzipien ITIL 4 Foundation beginnt mit dem Service Value System (SVS): dem übergeordneten Rahmen, der beschreibt, wie alle ITIL-Elemente zusammenwirken, um Wert für Kunden zu schaffen. Die sieben Leitprinzipien geben praktische Entscheidungshilfen für den Alltag; sie werden im Kontext von Sicherheits- und Incident-Management-Entscheidungen durchgespielt.
- Service Value System: Demand, Opportunity → Value
- Service Value Chain: die sechs Aktivitäten und ihre Zusammenhänge
- Sieben ITIL 4 Leitprinzipien mit Beispielen aus dem Sicherheitskontext
- Vier Dimensionen: Organizations & People, Information & Technology, Partners & Suppliers, Value Streams & Processes
- Abgrenzung von ITIL 4 zu ITIL v3 (Service-Lifecycle vs. SVS)
Modul ITIL 4 Foundation – Managementpraktiken mit Schwerpunkt Incident Management ITIL 4 kennt 34 Managementpraktiken; für Sicherheitsfachleute sind besonders Incident Management, Problem Management, Change Enablement und Service Desk relevant. Dieser Block behandelt diese Kernpraktiken und zeigt, wie sie mit ECIH-Incident-Response-Prozessen verzahnt werden.
- ITIL 4 Incident Management Praxis: Definition, Ziele, Ablauf
- Problem Management: reaktiv und proaktiv, Major Incidents
- Change Enablement: Normal Change, Standard Change, Emergency Change
- Service Desk als Koordinationspunkt bei Sicherheitsvorfällen
- Schnittstelle zwischen ITIL-Incident-Management und ECIH-Incident-Response
Praxisblock Die beiden Programmteile werden in Szenarien verbunden, die typische Sicherheitsvorfälle aus beiden Perspektiven beleuchten: Was tut das Incident-Response-Team (ECIH-Sicht), und wie wird das als ITIL-Service-Incident gehandhabt?
- Vollständige Incident-Response-Übung: Ransomware-Vorfall von der Erkennung bis zum Post-Incident-Review
- ITIL-Incident-Ticket mit Eskalation zu Problem Management anlegen
- Koordination zwischen Security-Team und Service-Desk im Übungsszenario
- Beweissicherung und Chain of Custody für einen Cloud-Vorfall dokumentieren
- ITIL Leitprinzipien auf Entscheidungen in der Eindämmungsphase anwenden
- ECIH-Runbook für einen Netzwerkangriff erstellen und im ITIL-Change-Prozess verankern
Die Stärke dieses Kursbündels liegt in der Prozessklarheit: ECIH gibt den technischen Reaktionsrahmen, ITIL 4 sorgt dafür, dass Incident Response nicht als Sondermaßnahme abläuft, sondern in den Service-Management-Kontext eingebettet ist – mit definierten Schnittstellen, Kommunikationswegen und Verbesserungszyklen.
Lernziele:
- Incident-Response-Prozesse nach EC-Council ECIH (212-89 v3) strukturiert aufbauen
- Sicherheitsvorfälle erkennen, klassifizieren und priorisieren
- Technische Eindämmungs- und Behebungsmaßnahmen für verschiedene Vorfalltypen anwenden
- Digitale Forensik-Grundlagen für die Beweissicherung bei Sicherheitsvorfällen nutzen
- Post-Incident-Reviews durchführen und Erkenntnisse in Sicherheitsprogramme rückführen
- Malware-Vorfälle, Netzwerkangriffe, Insider-Threats und Cloud-Incidents strukturiert behandeln
- ITIL 4 Service Value System und seine Komponenten erklären
- Die vier ITIL 4 Dimensionen auf IT-Sicherheitsszenarien anwenden
- ITIL 4 Incident Management Praxis im Kontext von Sicherheitsvorfällen positionieren
- ITIL 4 Leitprinzipien auf Incident-Response-Entscheidungen anwenden
- Koordination zwischen ECIH-Incident-Response-Teams und ITIL-Service-Management-Prozessen herstellen
- Beide Zertifizierungsprüfungen (ECIH 212-89 und ITIL 4 Foundation) inhaltlich vorbereiten
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an IT-Sicherheitsfachleute, die Sicherheitsvorfälle strukturiert bearbeiten und gleichzeitig in IT-Service-Management-Umgebungen eingebunden sind.
- Security-Analysten und SOC-Mitarbeiter, die Incident-Response-Verantwortung übernehmen
- IT-Betriebsteams mit kombinierten Service-Management- und Security-Aufgaben
- Incident Manager, die ihre technische Sicherheitskompetenz ausbauen wollen
- IT-Fachleute in regulierten Branchen mit ITIL-basierten Prozessrahmen
- Systemadministratoren und Netzwerktechniker mit Interesse an formalisierten Incident-Prozessen
ECIH setzt grundlegende Kenntnisse in IT-Netzwerken und -Sicherheit voraus; CompTIA Security+ oder vergleichbare Berufserfahrung sind eine gute Grundlage. ITIL 4 Foundation hat keine formalen Voraussetzungen – IT-Berufserfahrung erleichtert jedoch das Verständnis der Service-Management-Konzepte erheblich.
Ablauf & Abschluss
Der Lehrgang nutzt Live-Unterricht im virtuellen Klassenzimmer (Combined Learning) mit wechselnden Theorie- und Übungsphasen. Der ECIH-Teil arbeitet mit praktischen Szenarien und technischen Fallstudien; der ITIL-4-Teil kombiniert konzeptionelle Einheiten mit der Anwendung von Leitprinzipien auf Sicherheitsszenarien. Der Kurs läuft als Vollzeitweiterbildung.
Die Weiterbildung dauert mehr als einen Monat bis zu drei Monate (Vollzeit). Der genaue Stundenumfang richtet sich nach dem gewählten Modulpaket. Zertifizierungsprüfungen für ECIH (212-89 v3, EC-Council) und ITIL 4 Foundation (PeopleCert/Axelos) werden separat abgelegt.
Nach dem Kursabschluss erhalten Teilnehmer eine qualifizierte Teilnahmebescheinigung. Die Zertifizierungsprüfungen – EC-Council ECIH (212-89 v3) und ITIL 4 Foundation – finden separat beim jeweiligen Anbieter statt. ITIL 4 Foundation wird über PeopleCert (Axelos-Partner) abgelegt; ECIH über EC-Council-akkreditierte Testzentren.
Nutzen & Perspektiven
Sicherheitsvorfälle, die außerhalb des ITIL-Service-Management-Rahmens bearbeitet werden, erzeugen häufig Reibung: Service-Desk-Teams wissen nicht, wann und wie sie eskalieren sollen; Kommunikationswege sind unklar; Post-Incident-Reviews finden nicht statt oder fließen nicht in das Problem-Management ein. Die Kombination aus ECIH und ITIL 4 Foundation adressiert genau diesen Graben. Für Unternehmen mit etablierten ITIL-Prozessen und wachsenden Sicherheitsanforderungen sind Fachkräfte, die in beiden Welten zu Hause sind, besonders wertvoll. Sie können als Bindeglied zwischen SOC-Teams und Service-Management-Organisationen fungieren, ohne dass Informationen in Abteilungssilos versickern. Die Doppelqualifikation positioniert Fachkräfte zudem für Rollen, die formell beide Kompetenzbereiche verlangen – etwa als IT Security Service Manager, als Major Incident Manager mit Security-Fokus oder als IT-Betriebsleiter in sicherheitskritischen Umgebungen. Beide Zertifizierungen sind international anerkannt und in Stellenausschreibungen häufig gleichzeitig gefordert.
Häufig gestellte Fragen (FAQ)
Was ist EC-Council ECIH?
ECIH (Certified Incident Handler, Prüfungscode 212-89 v3) ist eine EC-Council-Zertifizierung für den vollständigen Incident-Response-Lebenszyklus – von Vorbereitung und Erkennung über Eindämmung und Forensik bis zur Nachbereitung.
Was deckt ITIL 4 Foundation ab?
ITIL 4 Foundation vermittelt das Service Value System, die sieben Leitprinzipien, die vier Dimensionen und eine Auswahl der 34 ITIL-4-Managementpraktiken – darunter Incident Management, Problem Management und Change Enablement.
Wie ergänzen sich ECIH und ITIL 4 in der Praxis?
ECIH liefert den technischen Reaktionsrahmen für Sicherheitsvorfälle. ITIL 4 sorgt dafür, dass diese Reaktion in Service-Management-Prozesse eingebettet ist – mit klaren Schnittstellen zu Service Desk, Problem Management und Change Enablement.
Welche Vorkenntnisse brauche ich für diesen Kurs?
Für ECIH sind grundlegende IT-Netzwerk- und Sicherheitskenntnisse empfohlen. ITIL 4 Foundation hat keine formalen Voraussetzungen, profitiert aber von IT-Berufserfahrung. Security+ oder vergleichbare Praxis ist eine gute Basis.
Unterscheidet sich ITIL 4 von ITIL v3?
Ja. ITIL 4 ersetzt den v3-Service-Lifecycle (Strategy, Design, Transition, Operation, CSI) durch das Service Value System mit Service Value Chain und 34 Managementpraktiken. Der Kurs behandelt ausschließlich ITIL 4.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin338 Stellen
- Security Analyst271 Stellen
- IT-Compliance-Consultant144 Stellen
- Incident Responder35 Stellen
- Ethical Hacker33 Stellen
- IT-Sicherheitsingenieur0 Stellen