Überblick
Sicherheitsvorfälle zu beherrschen ist eine Sache — sie in eine kohärente Unternehmensarchitektur einzubetten eine andere. Diese Weiterbildung verbindet beides: Der ECIH-Teil nach EC-Council schult die systematische Erkennung, Eindämmung und Nachbereitung von Sicherheitsvorfällen gemäß dem Prüfungsstandard 212-89 v3. Der TOGAF-Certified-Teil vermittelt das Enterprise-Architecture-Framework der Open Group (TOGAF 9.2) und zeigt, wie Sicherheitsrichtlinien, Incident-Prozesse und IT-Architektur-Entscheidungen auf Unternehmensebene zusammenhängen. Wer beide Disziplinen versteht, kann Sicherheitsvorfälle nicht nur technisch auflösen, sondern auch im Kontext von Architekturprinzipien und Governance-Vorgaben handeln.
Kursinhalte & Lernziele
Modul 1 — Incident Response Fundamentals (ECIH 212-89 v3) Der ECIH-Kurs beginnt mit den konzeptionellen Grundlagen: Was ist ein Sicherheitsvorfall, wie unterscheidet er sich von einem Ereignis, und welche regulatorischen Rahmenbedingungen gelten? Die Teilnehmer erarbeiten den vollständigen Incident-Response-Lifecycle nach EC-Council-Standard, von der Vorbereitung über Erkennung und Analyse bis zu Eindämmung und Wiederherstellung.
- Definition von Security Incidents, Events und Threats im regulatorischen Kontext
- Aufbau und Aufgaben eines Computer Security Incident Response Teams (CSIRT)
- Incident-Response-Plan erstellen und testen
- Dokumentationsstandards und Meldepflichten (z. B. bei Datenpannen nach DSGVO)
- Forensische Grundprinzipien: Beweiserhebung ohne Kontamination
- Incident-Klassifizierungsmodelle und Prioritätsstufen nach ECIH v3
Modul 2 — Angriffsvektoren und technische Reaktionsmaßnahmen (ECIH) Dieser Block vertieft die technische Dimension: Wie verlaufen typische Angriffe, und welche konkreten Gegenmaßnahmen stehen bereit? Der Fokus liegt auf Malware-Vorfällen, Netzwerkangriffen, webbasierten Attacken und Insider-Threats.
- Analyse von Malware-Vorfällen: Ransomware, Trojaner, Rootkits
- Netzwerk-Forensik: Log-Auswertung, Traffic-Analyse, IDS/IPS-Ereignisse
- Web-Application-Incidents: SQL-Injection-Spuren, XSS-Kampagnen
- Containment-Strategien: Netzwerk-Isolierung, Account-Sperrung, Patch-Deployment
- Wiederherstellung und Validierung nach einem Vorfall
- Schnittstellen zu Threat-Intelligence-Diensten und SIEM-Systemen
Modul 3 — Enterprise Architecture mit TOGAF 9.2 ADM Der TOGAF-Teil startet mit der Architektur-Entwicklungsmethode (ADM): ein iterativer, phasenbasierter Prozess zur Entwicklung und Pflege der Unternehmensarchitektur. Die Teilnehmer verstehen, wie Architektur-Domänen (Business, Data, Application, Technology) zusammenspielen und wie Sicherheitsanforderungen systematisch integriert werden.
- Überblick: TOGAF 9.2, Architecture Capability Framework, Architecture Content Framework
- ADM-Phasen Preliminary bis Phase H und Requirements Management
- Business Architecture: Geschäftsprozesse, Organisationsstrukturen, Fähigkeitsmodelle
- Data Architecture: logische und physische Datenmodelle, Daten-Governance
- Application und Technology Architecture: Systemlandschaften, Plattformen, Infrastruktur
- Architecture Repository, Building Blocks und Standardisierungskataloge
Modul 4 — Governance, Compliance und Security Architecture Im abschließenden Block verbinden die Teilnehmer beide Zertifizierungsstränge: Wie fließen Erkenntnisse aus Sicherheitsvorfällen in Architekturentscheidungen ein? Welche TOGAF-Governance-Mechanismen stützen ein nachhaltiges Sicherheitsmanagement?
- Architecture Governance Framework: Architecture Board, Compliance Review
- Risikomanagement und Risikoregister aus EA-Perspektive
- Sicherheitsrichtlinien als Architektur-Constraint verankern
- Transition Planning: Sicherheitsverbesserungen in Architektur-Roadmaps einplanen
- Stakeholder-Management bei sicherheitsrelevanten Architekturentscheidungen
- Audit-Bereitschaft und Nachweispflichten in Enterprise-Umgebungen
Der kombinierte Praxisteil verzahnt beide Lernstränge in realistischen Szenarien. Incident-Response-Übungen werden dabei explizit im Kontext einer Enterprise Architecture bewertet — ein Spiegel der realen Berufsanforderungen in größeren Organisationen.
- Fallstudie: Ransomware-Vorfall in einem multinationalen Unternehmen — Incident-Response und EA-Impact-Analyse
- Erstellung eines Incident-Response-Plans, der mit dem Architecture Development Plan abgestimmt ist
- TOGAF-konformes Stakeholder-Mapping für einen Sicherheitsvorfall auf C-Level-Ebene
- Entwicklung einer Security-Architecture-Vision gemäß ADM Phase A
- Kombination von Incident-Metriken und Architektur-KPIs in einem Governance-Dashboard
- Review und Peer-Feedback zu erstellten Architektur-Artefakten
- Simulation eines Architecture Compliance Review nach einem größeren Sicherheitsvorfall
- Ableitung von Architektur-Anforderungen aus einem Post-Incident-Report
- Präsentation von Ergebnissen vor simuliertem Architecture Board
- Cross-Domain-Analyse: Wo überschneiden sich ECIH-Kompetenzen und TOGAF-Governance?
- Abschlussübung: vollständiger ADM-Zyklus mit integrierter Sicherheitsarchitektur
Das Modulangebot ist flexibel kombinierbar, sodass individuelle Schwerpunkte — mehr Tiefe im Incident-Response oder mehr Breite in der Enterprise Architecture — berücksichtigt werden können.
Lernziele:
- Sicherheitsvorfälle nach einem strukturierten Incident-Response-Lifecycle erkennen, klassifizieren und eskalieren
- Forensische Beweissicherung regelkonform durchführen und dokumentieren
- Malware-Vorfälle, Netzwerkattacken und Datenpannen methodisch eindämmen und bereinigen
- Post-Incident-Analysen durchführen und Lessons Learned in Sicherheitsrichtlinien überführen
- Das ADM (Architecture Development Method) von TOGAF 9.2 auf reale Architekturprojekte anwenden
- Architektur-Artefakte und Deliverables gemäß TOGAF-Konventionen erstellen
- Sicherheitsarchitektur als Teil der Enterprise Architecture verankern
- Governance-Mechanismen und Compliance-Anforderungen in Architekturentscheidungen integrieren
- Stakeholder-Kommunikation bei Sicherheitsvorfällen auf Architekturebene strukturieren
- Risikomodelle aus dem Incident-Response-Bereich mit EA-Risikomanagement-Frameworks verknüpfen
- Internationale Zertifizierungsstandards (EC-Council 212-89 v3, Open Group TOGAF 9.2) benennen und anwenden
Zielgruppe & Voraussetzungen
Diese Weiterbildung richtet sich an IT-Fachleute, die in größeren oder regulierten Organisationen tätig sind und sowohl im Sicherheitsbetrieb als auch in architektonischen Fragestellungen Verantwortung übernehmen wollen.
- IT-Sicherheitsanalysten und SOC-Mitarbeiter, die ihre Kompetenz in Richtung Architektur erweitern möchten
- Enterprise Architects, die Sicherheitsaspekte systematischer in ihre Arbeit einbinden wollen
- IT-Leiter und Sicherheitsverantwortliche in Unternehmen mit komplexen IT-Landschaften
- Berater, die Kunden sowohl bei Incident-Response als auch bei Architektur-Fragen unterstützen
- Techniker mit Erfahrung in Netzwerk- oder Systemadministration, die in Sicherheits- oder Architektur-Rollen wechseln
Für den ECIH-Teil werden grundlegende IT-Kenntnisse und ein Verständnis von Netzwerk- und Sicherheitsgrundlagen erwartet — typischerweise entsprechend einem CompTIA Security+ oder vergleichbarer Berufserfahrung. Wer bereits im SOC-Umfeld oder in der IT-Administration gearbeitet hat, bringt die praxisrelevante Basis mit. Für den TOGAF-Teil sind grundlegende Kenntnisse über Unternehmens-IT-Strukturen hilfreich; formale TOGAF Foundation-Kenntnisse sind von Vorteil, aber nicht zwingend erforderlich, da der Kurs die relevanten Konzepte aufbaut. Umgang mit englischsprachigem Fachmaterial wird vorausgesetzt, da Prüfungen und Originalquellen auf Englisch sind.
Ablauf & Abschluss
Der Unterricht findet live im virtuellen Klassenraum statt — mit interaktiver Teilnahme per Mikrofon, Kamera und Chat. Theorie wird in strukturierten Lehreinheiten vermittelt, gefolgt von Übungsphasen und praxisnahen Fallstudien, die beide Zertifizierungsbereiche miteinander verknüpfen. In Trainingszentren stehen vollausgestattete PC-Arbeitsplätze zur Verfügung. Die Modulstruktur erlaubt eine individuelle Schwerpunktsetzung; die Gesamtdauer hängt von der Modulauswahl ab.
Die Weiterbildung ist als Vollzeitkurs konzipiert und dauert nach Modulauswahl mehr als einen Monat bis zu drei Monaten. Da die Module individuell kombinierbar sind, variiert die genaue Stundenzahl. Das Vollzeitformat ermöglicht eine intensive und kompakte Durcharbeitung beider Zertifizierungsbereiche.
Die Weiterbildung bereitet auf zwei externe Zertifizierungsprüfungen vor: die ECIH-Prüfung (Prüfungscode 212-89 v3) bei EC-Council und die TOGAF-Certified-Prüfung bei der Open Group (basierend auf TOGAF 9.2). Beide Prüfungen werden bei akkreditierten Testcentern abgelegt und sind nicht Teil des Kurses selbst. Ergänzend stellt der Anbieter eine qualifizierte Teilnahmebescheinigung aus, die die absolvierten Inhalte dokumentiert.
Nutzen & Perspektiven
Wer Sicherheitsvorfälle nur technisch beherrscht, aber nicht in die Unternehmensarchitektur einbetten kann, bleibt im operativen Silo. Diese Kombination aus ECIH (212-89 v3) und TOGAF 9.2 Certified schließt genau diese Lücke: Teilnehmer erwerben einerseits die operative Handlungskompetenz für den Ernstfall — sie können im Incident-Fall methodisch und sicher agieren — und andererseits das strategische Rüstzeug, um aus jedem Vorfall architektonisch zu lernen und die Gesamtsicherheitsstruktur des Unternehmens weiterzuentwickeln. Die Doppelzertifizierung ist besonders wertvoll für Positionen, in denen Sicherheits- und Architektur-Teams enger zusammenarbeiten müssen. In vielen Unternehmen entstehen Sicherheitslücken nicht aus fehlendem technischen Wissen, sondern aus mangelnder Abstimmung zwischen Sicherheitsoperatoren und Architekten. Wer in beiden Sprachen sprechen kann, wird zum gesuchten Vermittler. Für die berufliche Positionierung bedeuten beide Zertifizierungen zusammen eine klare Aufwertung: ECIH signalisiert operative Reife in der Incident-Behandlung, TOGAF Certified zeigt die Fähigkeit, in Enterprise-Kontexten zu denken und zu handeln. Diese Kombination öffnet Türen in Rollen wie Security Architect, CISO-Stabsfunktion oder leitender IT-Sicherheitsberater — insbesondere in Organisationen, die regulierten Branchen angehören oder international tätig sind.
Häufig gestellte Fragen (FAQ)
Welche Zertifizierungen bereitet dieser Lehrgang vor?
Der Lehrgang bereitet auf die EC-Council ECIH-Prüfung (Prüfungscode 212-89 v3) und auf die TOGAF-Certified-Prüfung der Open Group (basierend auf TOGAF 9.2) vor. Beide Prüfungen werden separat bei akkreditierten Testcentern abgelegt.
Was ist ECIH 212-89 v3?
ECIH steht für EC-Council Certified Incident Handler. Version 3 (212-89 v3) ist der aktuelle Prüfungsstandard von EC-Council für die Zertifizierung von Incident-Response-Fachleuten. Das Curriculum deckt den vollständigen Incident-Response-Lifecycle ab — von der Vorbereitung bis zur Post-Incident-Analyse.
Warum TOGAF in Kombination mit Incident Response?
TOGAF 9.2 liefert das Framework, um Sicherheitsrichtlinien und Incident-Erkenntnisse in die Unternehmensarchitektur zu integrieren. Wer beide Bereiche versteht, kann nicht nur auf Vorfälle reagieren, sondern die Architektur so weiterentwickeln, dass künftige Angriffsflächen systematisch reduziert werden.
Welche Vorkenntnisse sind erforderlich?
Für ECIH werden IT-Grundkenntnisse und ein Verständnis von Sicherheitsgrundlagen erwartet, etwa auf CompTIA-Security+-Niveau oder aus vergleichbarer Berufspraxis. Für TOGAF sind Grundkenntnisse über Unternehmens-IT-Strukturen hilfreich; das Framework wird im Kurs aufgebaut.
Für welche Rollen ist dieser Kurs besonders geeignet?
Besonders geeignet für SOC-Analysten und Sicherheitsverantwortliche, die in Richtung Architektur wechseln, sowie für Enterprise Architects, die ihre Sicherheitskompetenz formalisieren wollen. Auch IT-Berater, die Kunden in beiden Bereichen begleiten, profitieren von der Doppelzertifizierung.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin338 Stellen
- Security Architect279 Stellen
- IT-Compliance-Consultant144 Stellen
- Ethical Hacker33 Stellen
- IT-Sicherheitsanalyst2 Stellen
- Incident Handler0 Stellen