Überblick
Diese Weiterbildung verbindet zwei klar voneinander abgrenzbare Disziplinen der modernen IT-Sicherheit: das methodisch strukturierte Incident-Response-Framework des EC-Council Certified Incident Handler (ECIH, Prüfung 212-89 v3) und die technisch tiefe Cloud-Sicherheitskompetenz des Microsoft Certified Azure Security Engineer (Prüfung AZ-500). Das Ergebnis ist ein Lehrgang, der Fachkräfte befähigt, Sicherheitsvorfälle im gesamten IT-Ökosystem — lokal wie cloudbasiert — zu erkennen, zu behandeln und dauerhaft zu mitigieren. Gerade in hybriden Unternehmensinfrastrukturen, in denen Azure-Workloads und klassische On-Premises-Systeme nebeneinander betrieben werden, ist die Verzahnung dieser beiden Kompetenzfelder ein entscheidender Wettbewerbsvorteil.
Kursinhalte & Lernziele
Modul 1 — ECIH: Grundlagen und Rahmenbedingungen des Incident Handling Der Kurs beginnt mit dem konzeptionellen Fundament des ECIH-212-89-v3-Rahmenwerks. Teilnehmende lernen, was einen Sicherheitsvorfall von einem normalen Systemereignis unterscheidet, wie Vorfälle klassifiziert und priorisiert werden und welche rechtlichen sowie regulatorischen Rahmenbedingungen die Incident-Response-Arbeit prägen.
- Definition und Taxonomie von Sicherheitsvorfällen nach ECIH-Kategorien
- Aufbau und Rollen eines Computer Incident Response Teams (CIRT)
- Rechtliche Grundlagen: Meldepflichten, Beweissicherung, Datenschutz
- Erstellung von Incident-Response-Plänen und Eskalationsverfahren
- Kommunikationsstrategien während eines aktiven Vorfalls
Modul 2 — ECIH: Reaktion auf spezifische Angriffstypen Auf der Grundlage des Rahmenwerks behandelt dieser Block die taktische Reaktion auf konkrete Bedrohungsklassen — von Malware über Netzwerkangriffe bis hin zu Insider-Bedrohungen.
- Erkennung und Eindämmung von Malware-Infektionen und Ransomware-Kampagnen
- Behandlung von Netzwerkangriffen: DoS, DDoS, Man-in-the-Middle
- Reaktion auf Web-Application-Angriffe: SQL Injection, XSS, CSRF
- Handling von Cloud- und mobilen Sicherheitsvorfällen
- Forensische Sicherung flüchtiger und nicht-flüchtiger Daten
Modul 3 — AZ-500: Azure-Identität, Zugriff und Governance Der Azure-Teil startet mit den Grundpfeilern der Cloud-Sicherheit: Identität und Zugriffskontrolle. In hybriden und reinen Cloud-Umgebungen ist die korrekte Konfiguration von Azure Active Directory der erste Schutzwall gegen unbefugten Zugriff.
- Konfiguration von Azure Active Directory und Conditional Access
- Implementierung von Multi-Factor Authentication und Privileged Identity Management
- Verwaltung von Managed Identities und Service-Principals
- Role-Based Access Control (RBAC) und Azure Policy
- Governance mit Azure Blueprints und Management Groups
Modul 4 — AZ-500: Netzwerk-, Plattform- und Datenschutz in Azure Dieser Block vertieft den Schutz von Azure-Infrastrukturschichten — vom Netzwerk über Compute-Ressourcen bis hin zu Speicherdaten.
- Azure Firewall, Network Security Groups und DDoS-Schutz
- Härtung von Azure Virtual Machines und Container-Diensten
- Sicherheit in Azure Kubernetes Service (AKS)
- Verschlüsselung und Schlüsselverwaltung mit Azure Key Vault
- Schutz von Azure Storage und SQL-Datenbankdiensten
Praxisblock — Integrierte Szenarien und Laborübungen Die erworbenen Kenntnisse aus ECIH und AZ-500 werden in einem integrierten Praxisblock zusammengeführt. Laborübungen simulieren reale Angriffsszenarien auf hybride Infrastrukturen und trainieren die Reaktionskette vom ersten Alert bis zur vollständigen Remediation.
- Aufbau einer Laborumgebung mit Azure-Sandbox und simulierten Angriffsvektoren
- Erkennung eines kompromittierten Service-Principals in Azure AD
- Incident-Response auf einen Azure-Speicher-Daten-Leak
- Analyse von Azure Monitor-Logs und Microsoft-Sentinel-Alerts
- Eindämmung eines Lateral-Movement-Angriffs in einer hybriden Active-Directory-Umgebung
- Erstellung eines vollständigen Incident-Response-Berichts nach ECIH-Vorgaben
- Konfiguration von Microsoft Defender for Cloud Secure Score Empfehlungen
- Simulation einer Ransomware-Attacke auf Azure-VM-Workloads und Wiederherstellung
- Durchführung von Threat-Hunting-Queries in Azure Log Analytics
- Koordinierter Rollentest: Incident Handler und Cloud Security Engineer im Team
- Validierung der Härtungsmaßnahmen anhand des CIS Azure Benchmark
- Dokumentation und Post-Incident-Review
Der Praxisblock orientiert sich an realistischen Unternehmensszenarien und schult sowohl die technische Handlungsfähigkeit als auch die organisatorische Koordination, die bei echten Sicherheitsvorfällen gefragt ist. Alle Übungen werden im virtuellen Klassenzimmer mit Zugang zu Live-Laboren durchgeführt, sodass die Lernerfahrung der Realität des Arbeitsalltags möglichst nahekommt.
Lernziele:
- Aufbau eines vollständigen Incident-Response-Lebenszyklus nach ECIH-212-89-v3-Standard
- Analyse und Klassifikation von Sicherheitsvorfällen anhand international anerkannter Kategorien
- Entwicklung und Durchsetzung organisationsweiter Sicherheitsrichtlinien
- Härtung von Microsoft-Azure-Umgebungen entsprechend den AZ-500-Prüfungsanforderungen
- Implementierung von Identitäts- und Zugriffsmanagement in Azure Active Directory
- Schutz von Azure-Netzwerken, -Speicherdiensten und -Compute-Ressourcen
- Betrieb von Microsoft Defender for Cloud und Azure Security Center
- Erkennung und Eindämmung cloud-spezifischer Angriffsvektoren
- Integration von Threat-Intelligence-Feeds in die operative Sicherheitsarbeit
- Protokollierung, Monitoring und forensische Nachverfolgung in Azure-Log-Analytics
- Koordination von Incident-Response-Teams und Kommunikation mit Stakeholdern
- Dokumentation von Vorfällen und Lessons-Learned-Prozesse nach gängigen Standards
Zielgruppe & Voraussetzungen
Diese Weiterbildung richtet sich an IT-Fachkräfte mit einem Schwerpunkt in der Informationssicherheit, die ihre Kenntnisse gezielt in zwei gefragten Zertifizierungsbereichen vertiefen möchten.
- Security Analysten und Incident Responder, die ihre Methodik nach ECIH-Standard formalisieren möchten
- Azure-Administratoren und Cloud-Ingenieure, die auf die AZ-500-Prüfung hinarbeiten
- IT-Sicherheitsbeauftragte in Unternehmen mit hybrider Azure-Infrastruktur
- Führungskräfte im Bereich IT-Security, die technische Tiefe mit strategischen Fähigkeiten verbinden wollen
Teilnehmende sollten über fundierte Grundkenntnisse in der Netzwerksicherheit und der allgemeinen IT-Administration verfügen. Für den ECIH-Teil sind praktische Erfahrungen mit Netzwerkprotokollen, Betriebssystemsicherheit und dem Umgang mit Sicherheitswerkzeugen hilfreich. Den AZ-500-Teil erschließen sich am besten Personen, die bereits mit Azure-Diensten gearbeitet haben und die grundlegenden Konzepte von virtuellen Netzwerken, Speicherdiensten und Identitätsverwaltung in der Microsoft-Cloud kennen. Eine vorherige AZ-900-Zertifizierung oder vergleichbare Praxiserfahrung erleichtert den Einstieg in den Cloud-Sicherheitsteil erheblich.
Ablauf & Abschluss
Der Unterricht folgt dem Combined-Learning-Modell: Live-Instruktion im virtuellen Klassenzimmer wird mit praktischen Labor- und Übungsphasen verzahnt. Praxiserfahrene Dozenten leiten die Theoriephasen und begleiten die Teilnehmenden durch Fallstudien und technische Übungen. In den Schulungszentren stehen vollausgestattete PC-Arbeitsplätze mit Zwei-Monitor-Konfiguration zur Verfügung; eine Teilnahme aus dem Homeoffice ist nach Absprache möglich. Der Unterrichtsstil ist interaktiv — Fragen, Gruppenaufgaben und technische Diskussionen werden aktiv eingebunden. Vollzeitkurse ermöglichen ein zügiges, konzentriertes Durcharbeiten der Lerninhalte.
Die Weiterbildung ist als Vollzeitkurs konzipiert und dauert in der Regel mehr als einen Monat, maximal bis zu drei Monaten. Die genaue Kursdauer hängt von der individuellen Modulkonfiguration ab, da die Anbieter eine flexible Zusammenstellung ermöglichen. Der intensive Vollzeitmodus erlaubt es, die Kompetenzen für beide Zertifizierungsprüfungen in einem zusammenhängenden Lernblock zu erwerben, ohne Wartezeiten zwischen den Themenbereichen.
Nach Abschluss der Weiterbildung erhalten Teilnehmende ein trägerinternes Lehrgangszertifikat, das die erfolgreiche Teilnahme an beiden Kursbestandteilen dokumentiert. Die offiziellen Herstellerzertifikate — der EC-Council Certified Incident Handler (ECIH) nach bestandener Prüfung 212-89 v3 und der Microsoft Certified Azure Security Engineer Associate nach bestandener Prüfung AZ-500 — werden von den jeweiligen Organisationen EC-Council und Microsoft nach dem Ablegen und Bestehen der externen Prüfungen vergeben. Diese externen Prüfungen sind nicht im Kursumfang inbegriffen, werden aber durch die Kursinhalte gezielt vorbereitet.
Nutzen & Perspektiven
Die Kombination aus ECIH und AZ-500 adressiert eine Lücke, die in vielen Sicherheitsteams besteht: Incident Responder kennen die methodischen Frameworks, aber nicht immer die technischen Details der Cloud-Plattform, auf der Vorfälle eintreten — und Cloud-Sicherheitsexperten beherrschen die Plattform, aber nicht immer die strukturierten Reaktionsprozesse. Wer beide Kompetenzen vereint, wird zu einer doppelt wertvollen Ressource in jedem Sicherheitsteam. Für Unternehmen, die ihre kritischen Workloads auf Microsoft Azure betreiben, ist diese Qualifikationskombination besonders relevant. Ein Sicherheitsvorfall in einer Azure-Umgebung erfordert sowohl das technische Wissen über Azure-Diagnosetools, Sentinel-Playbooks und Defender-Richtlinien als auch das methodische ECIH-Framework für Koordination, Dokumentation und Post-Incident-Analyse. Wer beide Bereiche beherrscht, kann Vorfälle schneller eindämmen und belastbarer dokumentieren. Das trägerinterne Zertifikat dokumentiert den Lernweg gegenüber Arbeitgebern und Personalverantwortlichen, während die angestrebten Herstellerzertifikate ECIH und AZ-500 auf dem Arbeitsmarkt als eigenständige, weithin anerkannte Qualifikationsnachweise gelten. Die Investition in diese Doppelkompetenz zahlt sich besonders in Branchen mit hohen Compliance-Anforderungen aus — Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor — wo Cloud-Sicherheit und regulierte Incident-Response-Prozesse Hand in Hand gehen müssen.
Häufig gestellte Fragen (FAQ)
Welche Zertifizierungsprüfungen werden durch diesen Kurs vorbereitet?
Der Kurs bereitet auf zwei separate Zertifizierungsprüfungen vor: die EC-Council-Prüfung 212-89 v3 für den Titel Certified Incident Handler (ECIH) sowie die Microsoft-Prüfung AZ-500 für den Titel Azure Security Engineer Associate. Beide Prüfungen werden von ihren jeweiligen Herstellern EC-Council bzw. Microsoft abgenommen und sind nicht Teil des Kursumfangs selbst.
Wie lange dauert die Weiterbildung?
Die Weiterbildung ist als Vollzeitkurs angelegt und dauert in der Regel mehr als einen Monat, bis zu drei Monaten. Die genaue Dauer hängt von der individuellen Modulauswahl und dem Lernfortschritt ab.
In welchem Format findet der Unterricht statt?
Der Unterricht findet im Combined-Learning-Format statt, das heißt, Live-Unterricht im virtuellen Klassenzimmer wird mit Präsenzphasen in zertifizierten Schulungszentren kombiniert. Die Teilnahme über das Heimnetzwerk ist nach Genehmigung möglich.
Welchen Abschluss erhalte ich nach dem Kurs?
Nach erfolgreichem Abschluss erhalten Sie ein trägerinternes Lehrgangszertifikat als Nachweis der absolvierten Weiterbildung. Die offiziellen Herstellerzertifikate ECIH und AZ-500 setzen das Bestehen der jeweiligen externen Prüfungen bei EC-Council und Microsoft voraus.
Für wen ist die Kombination ECIH + AZ-500 besonders geeignet?
Die Kombination eignet sich besonders für IT-Sicherheitsfachkräfte, die sowohl im Incident-Response-Bereich (ECIH) als auch in der Azure-Cloud-Sicherheit (AZ-500) anerkannte Kompetenznachweise erwerben möchten. Unternehmen, die stark auf Microsoft Azure setzen, schätzen genau diese Überschneidung aus reaktiver Sicherheit und präventiver Cloud-Absicherung.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Engineer5.110 Stellen
- IT Security Specialist221 Stellen
- Cyber-Security-Consultant86 Stellen
- Ethical Hacker33 Stellen
- Fachberater/Fachberaterin für integrierte Systeme (doppelt qualifizierende Ausbildung)7 Stellen
- Azure Security Engineer1 Stellen