Überblick
Sicherheitsvorfälle sind unvermeidlich — entscheidend ist, wie schnell und strukturiert eine Organisation darauf reagiert. Der EC-Council Certified Incident Handler (ECIH) vermittelt genau diese Kompetenz: den Incident-Response-Lebenszyklus von der ersten Erkennung und Triage über Eindämmung und forensische Artefakt-Sicherung bis zur Eradikation, Wiederherstellung und strukturierten Nachbereitung. Ergänzt wird das Programm durch den PMI Risk Management Professional (PMI-RMP), der das formale Framework für Risikoidentifikation, -analyse und -steuerung nach dem Project Management Institute bereitstellt. Die Verbindung beider Qualifikationen ist konzeptionell tiefer als ein bloßes Nebeneinander zweier Zertifizierungen: Incident-Post-Reviews liefern wertvolle Risiko-Erkenntnisse, die direkt in das Risikoregister einfließen. Umgekehrt schärft ein gepflegtes Risikoregister die Prioritäten bei der Incident-Response-Vorbereitung. Diesen Closed-Loop-Ansatz zwischen reaktiver Vorfallsbearbeitung und proaktiver Risikobewertung abzubilden ist das zentrale Lernziel der Programmstruktur. Im Unterschied zur Geschwister-Kombination CompTIA Security+ mit PMI-RMP liegt hier der Schwerpunkt nicht auf dem breiten IT-Sicherheitsfundament, sondern auf der hochspezialisierten Incident-Response-Methodik: Wie wird ein Vorfall operativ bewältigt, dokumentiert und in verbesserte Prozesse überführt?
Kursinhalte & Lernziele
Modul 1 — Grundlagen der Incident Response und Vorfallsklassifikation (ECIH) Dieser Einstiegsblock legt das konzeptionelle Fundament des gesamten ECIH-Anteils. Teilnehmende lernen, was einen Sicherheitsvorfall von einem allgemeinen IT-Problem unterscheidet, wie Vorfälle klassifiziert und eskaliert werden und welche organisatorischen Strukturen — CSIRT, SOC — für deren Bearbeitung zuständig sind. Die rechtliche Dimension spielt von Beginn an eine Rolle: Welche Meldepflichten gelten, und welche Konsequenzen hat eine fehlerhafte oder verspätete Reaktion?
- Definition und Kategorisierung von Sicherheitsvorfällen: Malware, Datenpannen, DoS/DDoS, Insider Threats, APTs
- Incident-Response-Lebenszyklus nach EC-Council: Preparation, Detection, Triage, Notification, Containment, Evidence Gathering, Eradication, Recovery, Post-Incident
- CSIRT-Strukturen: Rollen, Verantwortlichkeiten, interne und externe Kommunikationsprozesse im Vorfallsfall
- Rechtliche Rahmenbedingungen: DSGVO-Meldepflicht (72-Stunden-Frist nach Art. 33), NIS-2-Anforderungen, BSI-Meldepflichten
- Dokumentation von Beginn an: Grundsätze der Evidenz-Sicherung, die ab dem ersten Moment eines Vorfalls gelten müssen
Modul 2 — Erkennung, Triage und erste Reaktion (ECIH) Hier wird der operative Kern der frühen Incident-Response-Phase erarbeitet: Wie erkennt man einen Vorfall frühzeitig, bevor er sich ausbreitet? Wie priorisiert man unter Zeitdruck richtig? Welche ersten Maßnahmen stabilisieren die Lage, ohne Beweise zu vernichten? Teilnehmende üben diese Prozesse anhand realistischer Vorfallsszenarien.
- Alert-Triage in SIEM und EDR: True Positives von False Positives unterscheiden, Priority-Eskalation steuern
- Live-Response-Techniken: flüchtige Daten (RAM, laufende Verbindungen, aktive Prozesse) sichern bevor Systeme abgeschaltet werden
- Scope-Eingrenzung und Betroffenheitsanalyse: Welche Systeme, Konten und Daten sind betroffen?
- Kommunikation im Vorfallsfall: wer wird wann informiert — intern (Management, Legal, HR) und extern (BSI, Datenschutzbehörde, Betroffene)
- Threat-Intelligence-Integration: eingehende IoCs in die laufende Triage einbeziehen und Angriffsvektor eingrenzen
Modul 3 — Eindämmung, forensische Artefakt-Sicherung und Eradikation (ECIH) Der methodisch intensivste Block des ECIH-Anteils behandelt die Kernphasen Containment, Evidence Gathering und Eradication. Teilnehmende lernen, Systeme zu isolieren, ohne Spuren zu vernichten, forensische Artefakte korrekt zu sichern und auszuwerten, und eine nachhaltige Bereinigung durchzuführen, die Reinfektionen ausschließt.
- Containment-Strategien: Netzwerk-Isolation befallener Systeme, Kontensperrungen, laterale Ausbreitung unterbrechen
- Forensische Artefakt-Sicherung im laufenden IR-Betrieb: Disk-Images erstellen, RAM-Dumps anfertigen, Log-Sicherung über zentrale SIEM-Infrastruktur
- Root Cause Analysis: Angriffsvektor rekonstruieren, initiale Kompromittierungspunkt identifizieren, gesamten Angriffspfad nachverfolgen
- Eradikation: Persistenz-Mechanismen entfernen (Registry, Scheduled Tasks, WMI-Abonnements), betroffene Systeme bereinigen oder neu aufsetzen
- Verbindung zur Malware-Analyse: Welche Artefakte braucht der Analyst, um Schadsoftware vollständig zu entfernen und YARA-Signaturen abzuleiten?
Modul 4 — Recovery, Post-Incident-Review und Lessons Learned (ECIH) Nach der Bereinigung beginnt die Wiederherstellungsphase — und danach die für die langfristige Verbesserung wichtigste Aktivität: der Post-Incident-Review. Dieser Block behandelt den strukturierten Abschluss eines Vorfalls und die Überführung von Erkenntnissen in verbesserte Prozesse, Playbooks und Sicherheitskontrollen. Der direkte Anschluss an das PMI-RMP-Modul ist hier besonders spürbar.
- Recovery-Planung: Systeme schrittweise wieder in Betrieb nehmen, Monitoring-Intensität erhöhen, Rückfall-Überwachung einrichten
- Post-Incident-Review-Methodik: Timeline des Vorfalls, Bewertung der Reaktionsgeschwindigkeit, identifizierte Lücken
- Abschlussbericht erstellen: technischer Bericht und Management-Summary — unterschiedliche Tiefe, unterschiedliche Zielgruppen
- Erkenntnisse in Prozesse und Kontrollen überführen: Playbook aktualisieren, Sicherheitskontrollen nachschärfen
- CSIRT-Kapazitäten weiterentwickeln: Aus jedem Vorfall systematisch lernen, Übungen und Red-Team-Engagements planen
Modul 5 — PMI Risk Management Professional: Identifikation und Analyse Dieser Block führt in das PMI-Risikomanagement-Framework ein. Während ECIH den reaktiven Umgang mit eingetretenen Vorfällen abdeckt, befasst sich PMI-RMP mit der proaktiven Identifikation und Bewertung von Risiken, bevor sie zu Vorfällen werden. Die konzeptionelle Verbindung ist direkt: Aus Incident-Post-Reviews entstehen Risiko-Erkenntnisse, die strukturiert in das Risikoregister einfließen.
- PMI-Risikomanagement-Prozesse: Identifikation, qualitative Analyse, quantitative Analyse, Planung und Steuerung nach PMBOK
- Risikoidentifikation: Interviews, Brainstorming, SWOT-Analyse, Lessons-Learned-Datenbanken als primärer Input
- Risikoregister: Aufbau, laufende Pflege über den Projektzyklus, Versionierung, Verantwortlichkeiten
- Qualitative Risikoanalyse: Wahrscheinlichkeits-Auswirkungs-Matrix, Risikoprioritäten, Heat Maps
- Quantitative Risikoanalyse: Erwarteter Monetärer Wert (EMV), Sensitivitätsanalysen, Monte-Carlo-Simulation in Grundzügen
Modul 6 — PMI-RMP: Bewältigungsstrategien und Closed-Loop-Risikosteuerung Der zweite RMP-Block behandelt die Planung und Umsetzung von Risikobewältigungsmaßnahmen sowie die kontinuierliche Überwachung. Besonderes Gewicht liegt auf dem Closed-Loop-Ansatz: Incident-Post-Reviews als Input für das Risikoregister, Risikoregister als Planungsgrundlage für künftige Incident-Response-Bereitschaft.
- Bewältigungsstrategien: Avoid, Transfer, Mitigate, Accept — Auswahl, Dokumentation und Wirksamkeitskontrolle
- Risikoüberwachung: Risk Audits, regelmäßige Register-Reviews, Eskalationsprozesse bei Statusänderungen
- Risikokommunikation: stakeholdergerechte Aufbereitung für Management und Aufsichtsgremien
- Closed-Loop-Integration: Erkenntnisse aus Incident-Lessons-Learned systematisch in die Risikoidentifikation rückführen
Praxiseinheiten (kursbegleitend)
- Incident-Klassifikation: Verschiedene Vorfallsszenarien einordnen und den passenden Response-Track (CSIRT-intern, Behördenmeldung, externe Forensik) auswählen
- Alert-Triage-Übung: Einen realistischen SIEM-Alert-Stack priorisieren, eskalieren und dokumentieren
- Live-Response-Übung: Flüchtige Daten von einem aktiven System sichern, ohne laufende Prozesse zu zerstören oder Spuren zu verändern
- Containment-Szenario: Lateral Movement eines simulierten Angreifers stoppen und betroffene Systeme netzwerk-isolieren
- Forensische Artefakt-Sicherung: Disk-Image erstellen, RAM-Dump mit Volatility analysieren, Log-Sicherung über SIEM-Export
- Root Cause Analysis: Angriffsvektor in einem rekonstruierten Incident-Szenario vollständig zurückverfolgen und dokumentieren
- Post-Incident-Bericht schreiben: Technischen Analysebericht und Management-Summary für einen simulierten Vorfall verfassen
- Risikoregister aufbauen: Für ein realistisches IT-Sicherheitsprojekt Risiken identifizieren, kategorisieren und im Register dokumentieren
- Qualitative Risikoanalyse: Wahrscheinlichkeits-Auswirkungs-Matrix und Heat Map für IT-Sicherheitsrisiken erstellen
- Bewältigungsstrategien ableiten: Für identifizierte Risiken geeignete Strategien auswählen, begründen und im Register festhalten
- Closed-Loop-Übung: Erkenntnisse aus einem Incident-Post-Review systematisch in das Risikoregister überführen
- Abschluss-Szenario: Vollständigen Incident-Response-Zyklus durchlaufen und die Erkenntnisse direkt in eine aktualisierte Risikoregister-Version einarbeiten
Lernziele:
- Sie beschreiben den Incident-Response-Lebenszyklus nach EC-Council-ECIH-Standard und können alle Phasen operationell anwenden
- Sie erkennen und klassifizieren Sicherheitsvorfälle systematisch: Malware-Infektionen, Datenpannen, Insider Threats, DoS/DDoS-Angriffe, APT-Kampagnen
- Sie führen die initiale Triage eines Vorfalls durch: Scoping, Priorisierung, erste Stabilisierungsmaßnahmen ohne Spuren zu vernichten
- Sie setzen Eindämmungsstrategien (Containment) um — kurzfristige Netzwerkisolation ebenso wie langfristige Systemhärtung nach einem Vorfall
- Sie sichern forensische Artefakte integer: Disk-Images, RAM-Dumps, Log-Sicherung unter Wahrung der Chain of Custody
- Sie führen Root Cause Analyses durch: Angriffsvektor rekonstruieren, initiale Kompromittierung identifizieren, Persistenz-Mechanismen aufspüren
- Sie koordinieren Incident-Response-Teams, weisen Aufgaben zu und kommunizieren Vorfallsstatus intern und extern strukturiert
- Sie entwickeln und pflegen Incident-Response-Pläne, Playbooks und Kommunikationsprozeduren für verschiedene Vorfallsklassen
- Sie kennen die Risikomanagement-Prozesse nach PMI-RMP: Identifikation, qualitative und quantitative Analyse, Bewältigung und Überwachung
- Sie erstellen und pflegen Risikoregister, wählen Bewältigungsstrategien aus und dokumentieren Residualrisiken
- Sie überführen Erkenntnisse aus Incident-Post-Reviews in das Risikoregister und schließen damit den Closed-Loop zwischen Incident Response und Risikomanagement
Zielgruppe & Voraussetzungen
Das Programm richtet sich an IT-Sicherheitsfachkräfte, die strukturierte Incident Response beherrschen und gleichzeitig Risikomanagement-Kompetenz nach PMI-Standard aufbauen möchten. Besonders relevant ist es für Rollen, die sowohl operative Sicherheitsverantwortung als auch strategische Risikosteuerung tragen.
- Incident Responder und SOC-Analysten, die ihre Methodik formalisieren und durch Risikomanagement-Kompetenz ergänzen wollen
- IT-Sicherheitsmanager, die Incident-Response-Teams führen und gegenüber der Unternehmensleitung berichten
- IT-Risikoberater, die operative Vorfallserfahrung mit formalen PMI-Methoden verbinden wollen
- CISO-nahe Rollen in mittleren und großen Unternehmen, die Doppelkompetenz aus Incident Response und Risikosteuerung benötigen
- Berufswechsler aus der IT mit nachgewiesener technischer Sicherheitserfahrung
Grundkenntnisse in IT-Sicherheit und IT-Infrastrukturen werden für den ECIH-Anteil vorausgesetzt; Erfahrung mit Incident-Response-Abläufen oder SOC-Tätigkeiten ist von Vorteil. Für den PMI-RMP-Anteil verlangt das PMI Berufserfahrung im Projektrisikomanagement — 3.000 Stunden mit Hochschulabschluss, 4.500 Stunden ohne — sowie 30 Stunden formale Risikomanagement-Ausbildung. Diese Anforderungen sollten vor Kursbeginn geprüft werden. PC mit Kamera und Mikrofon sind für die Online-Teilnahme erforderlich; Englischkenntnisse sind hilfreich, da Referenzmaterialien und Prüfungsunterlagen englischsprachig sind.
Ablauf & Abschluss
Das Programm wird im Combined-Learning-Format durchgeführt: interaktiver Live-Unterricht im virtuellen Klassenzimmer kombiniert mit selbstständigen Übungsphasen, Fallstudienarbeit und szenariobasierten Praxisaufgaben. Die Interaktivität entspricht Präsenzunterricht — Teilnehmende können via Mikrofon, Kamera und Chat in Echtzeit teilnehmen. Dozenten bringen Praxiserfahrung aus realen Incident-Response-Engagements und Risikomanagement-Projekten mit.
Das Programm wird in Vollzeit durchgeführt und deckt je nach Modulkombination einen Zeitraum von mehr als einem Monat bis zu drei Monaten ab. Die individuelle Modulauswahl erlaubt eine am Wissensstand orientierte Semesterlänge. Aktuelle Termine sind beim Anbieter erhältlich.
Das Programm bereitet auf zwei externe Prüfungen vor: EC-Council Certified Incident Handler (ECIH), abgenommen von EC-Council, und PMI Risk Management Professional (PMI-RMP), abgenommen vom Project Management Institute. Beide Zertifikate erfordern separate Prüfungsanmeldungen. ECIH ist ein international anerkanntes Spezialkredential für Incident-Response-Fachkräfte; PMI-RMP ist ein PMI-Spezialkredential für Risikomanagement-Experten. Zusätzlich wird eine qualifizierte Teilnahmebescheinigung ausgestellt.
Nutzen & Perspektiven
Der entscheidende Unterschied zur Geschwister-Kombination CompTIA Security+ mit PMI-RMP liegt im Fokus: Während Security+ ein breites IT-Sicherheitsfundament legt, ist ECIH hochspezialisiert auf Incident Response — den operativen Kern der Sicherheitsarbeit in Vorfallssituationen. Wer ECIH und PMI-RMP kombiniert, signalisiert sowohl reaktive Krisenmanagement-Kompetenz als auch strategisches Risikobewertungsvermögen. Diese Doppelkompetenz ist für Führungspositionen in IT-Sicherheitsteams besonders relevant — insbesondere für CSIRT-Leiter, IT-Security Manager und Risikobeauftragte. Die strukturelle Verzahnung von ECIH und PMI-RMP im Kursdesign bildet ab, wie moderne Sicherheitsorganisationen tatsächlich funktionieren. Der Closed-Loop-Ansatz — Incident-Post-Reviews als Input für das Risikoregister, Risikoregister als Planungsgrundlage für Incident-Response-Bereitschaft — ist kein akademisches Konstrukt, sondern ein praktikabler Prozess, den Teilnehmende bereits im Abschluss-Szenario des Kurses vollständig durchlaufen. Unternehmen, die NIS-2-Anforderungen erfüllen müssen, benötigen dokumentierte Incident-Response-Prozesse und formales Risikomanagement — beides Kernkompetenzen dieser Qualifikationskombination. In Branchen wie Finanzdienstleistungen, Energie, Gesundheit und öffentliche Verwaltung, wo diese Anforderungen besonders stringent gelten, sind Fachkräfte mit diesem Profil ein zentrales Asset für Compliance-konforme Sicherheitsorganisationen.
Häufig gestellte Fragen (FAQ)
Was unterscheidet diesen Kurs von der Kombination CompTIA Security+ mit PMI-RMP?
Während Security+ ein breites IT-Sicherheitsfundament vermittelt, ist ECIH hochspezialisiert auf Incident Response — den operativen Kern der Sicherheitsarbeit bei Vorfällen. Dieser Kurs ist die richtige Wahl für Fachkräfte, die bereits ein IT-Sicherheitsfundament haben und sich auf strukturierte Vorfallsbearbeitung und Krisenmanagement spezialisieren möchten.
Was bedeutet der Closed-Loop-Ansatz im Kurs?
Der Closed-Loop-Ansatz beschreibt die Verbindung zwischen Incident Response und Risikomanagement: Erkenntnisse aus Post-Incident-Reviews fließen direkt in das Risikoregister ein, das Risikoregister schärft wiederum die Prioritäten bei der Incident-Response-Vorbereitung. Dieser Prozess wird im Abschluss-Szenario des Kurses vollständig durchlaufen.
Welche Zertifizierungen kann ich nach dem Kurs ablegen?
Der Kurs bereitet auf EC-Council Certified Incident Handler (ECIH) und PMI Risk Management Professional (PMI-RMP) vor. Beide Prüfungen werden separat angemeldet und abgelegt. Zusätzlich wird eine qualifizierte Teilnahmebescheinigung ausgestellt.
Welche Vorkenntnisse werden für den ECIH-Anteil vorausgesetzt?
Grundkenntnisse in IT-Sicherheit und IT-Infrastrukturen werden erwartet; Erfahrung mit Incident-Response-Abläufen oder SOC-Tätigkeiten ist von Vorteil, aber nicht zwingend. Der Kurs eignet sich auch für Fachkräfte, die aus anderen IT-Bereichen in die Incident-Response-Spezialisierung wechseln.
Ist der Kurs relevant für NIS-2-konforme Sicherheitsorganisationen?
Ja, unmittelbar. NIS-2 verlangt dokumentierte Incident-Response-Prozesse und formales Risikomanagement. Der ECIH-Anteil liefert die methodische Grundlage für strukturierte Vorfallsbearbeitung und Meldeprozesse, der PMI-RMP-Anteil die formale Risikodokumentation — beides NIS-2-Kernanforderungen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Sicherheits-Branche wächst stabil — Wachpersonal, Objektschutz, Veranstaltungssicherheit. Einstieg ist mit Sachkundenachweis §34a GewO schnell möglich, Aufstieg primär über Spezialisierung (Personenschutz, IT-Security-Operations).
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Geprüfter Meister/Geprüfte Meisterin für Schutz und Sicherheit1.673 Stellen
- Office-Manager/Office-Managerin633 Stellen
- Risk Manager220 Stellen
- Cyber-Security-Consultant118 Stellen
- Ethical Hacker33 Stellen
- Incident Handler0 Stellen