Überblick
Schadsoftware ist das Werkzeug hinter einem Großteil moderner Cyberangriffe. Wer Malware nicht nur erkennt, sondern versteht, wie sie konstruiert ist, wie sie sich im System verhält und welche Spuren sie hinterlässt, kann Sicherheitsarchitekturen gezielter härten und auf Vorfälle deutlich schneller reagieren. Dieser Kurs verbindet die offensive Methodik des Certified Ethical Hacker (CEH) von EC-Council mit den spezialisierten Analysetechniken der Malware-Analyse — statische und dynamische Verfahren, grundlegendes Reverse Engineering mit Ghidra und x64dbg sowie die Entwicklung von YARA-Erkennungsregeln. Azure AI Fundamentals (AI-900) ergänzt das Programm um einen Einblick in KI-gestützte Malware-Erkennung. Im Unterschied zum Geschwisterkurs Ethical Hacking und IT-Forensik liegt hier der Schwerpunkt nicht auf der gerichtsverwertbaren Beweissicherung und der CHFI-Ermittlungsmethodik, sondern auf dem technischen Innenleben von Schadsoftware: Wie funktioniert sie, wie kommuniziert sie mit Angreifern, und wie lässt sie sich verlässlich erkennen und stoppen?
Kursinhalte & Lernziele
Modul 1 — Grundlagen der IT-Sicherheit und das Malware-Ökosystem Der Einstieg legt die technische und konzeptionelle Basis. Teilnehmende lernen, wie Schadsoftware klassifiziert wird, welche Verbreitungswege sie nutzt und welche Auswirkungen verschiedene Malware-Typen auf befallene Systeme haben. Praktisch steht die Einrichtung einer sicheren, vollständig isolierten Laborumgebung im Vordergrund — ohne diese Grundvoraussetzung ist jede Malware-Analyse ein inakzeptables Sicherheitsrisiko.
- IT-Sicherheitsgrundlagen nach CompTIA Security+ SY0-701: Bedrohungslandschaft, Verschlüsselung, Netzwerk- und Systemsicherheit
- Malware-Taxonomie: Viren, Würmer, Trojaner, RATs, Ransomware, Rootkits, Bootkits, Fileless Malware — Eigenschaften und Erkennungsmerkmale
- Infektionswege und Verbreitungsstrategien: Phishing, Drive-by-Downloads, Supply-Chain-Angriffe, USB-Verbreitung
- Konzept und Aufbau von Analyse-Sandboxes: isolierte VMs, Netzwerkisolation via INetSim/FakeNet, Snapshot-Management
- Rechtliche und ethische Rahmenbedingungen der Malware-Forschung und des Reverse Engineering
Modul 2 — Ethical Hacking mit Malware-Szenarien (CEH) Dieser Block behandelt Angriffsszenarien aus Angreiferperspektive, wobei Malware als zentrales Angriffsmittel eingesetzt wird. Teilnehmende führen strukturierte Penetrationstests durch, in denen Schadsoftware-Einsatz simuliert wird — von der initialen Kompromittierung über Lateral Movement bis zur Datenexfiltration. Der Fokus liegt auf dem Verständnis, wie Angreifer Malware in realen Kampagnen orchestrieren und welche Spuren dabei entstehen.
- Angriffsphasen nach CEH mit Malware-Einsatz: Weaponization, Delivery, Exploitation, Installation, Command & Control, Exfiltration
- Penetrationstests mit Schadsoftware-Szenarien in kontrollierten Laborumgebungen
- Schwachstellenanalyse und Auswahl geeigneter Angriffsvektoren für Malware-Deployment
- Evasion-Techniken: Wie Angreifer Endpoint-Schutz, Sandbox-Erkennung und SIEM-Alarme umgehen
- Vollständige Dokumentation des Angriffspfads für spätere Erkennungsregel-Ableitung
Modul 3 — Statische und dynamische Malware-Analyse Hier liegt der technische Kern des Kurses. Teilnehmende analysieren reale Malware-Samples mit professionellen Werkzeugen — zunächst statisch ohne Ausführung, dann dynamisch im kontrollierten Laufzeitbetrieb. Beide Verfahren ergänzen sich: Statische Analyse deckt Code-Strukturen, importierte Bibliotheken und Strings auf; dynamische Analyse zeigt Laufzeitverhalten, Netzwerkkommunikation und persistierte Artefakte.
- Statische Analyse mit PEiD, ExeinfoPE, strings, PEview und CFF Explorer: Dateiformat-Struktur, importierte DLLs, auffällige Zeichenketten, Packer-Erkennung
- Dynamische Analyse mit Process Monitor, Process Hacker, Wireshark und INetSim: Systemaufruf-Protokollierung, Netzwerktraffic-Simulation, Registry- und Dateisystem-Änderungen
- Grundlegendes Reverse Engineering mit Ghidra: Disassemblierung, Control-Flow-Graphen, Identifikation kritischer API-Aufrufe
- Debugging mit x64dbg: Breakpoints setzen, Laufzeitvariablen auslesen, Entschlüsselungsroutinen verfolgen
- Analyse von Persistenz-Mechanismen: Registry-Autorun-Einträge, geplante Aufgaben, DLL-Hijacking, Bootsektor-Manipulation
- Entschlüsselung und Deobfuskation: Packer entpacken, XOR-verschlüsselte Strings extrahieren, Base64-kodierte Payloads dekodieren
Modul 4 — Abwehrstrategien und Sicherheitsintegration Die Erkenntnisse aus der Analyse werden in diesem Modul direkt in Schutzmaßnahmen übertragen. Wer versteht, wie Malware funktioniert, kann passgenaue Erkennungsregeln schreiben und vorhandene Sicherheitsarchitekturen gezielt verstärken. Praktisch erstellen Teilnehmende YARA-Regeln und lernen, diese in SIEM-Systeme und Endpoint-Schutzlösungen zu integrieren.
- Ableitung von Indicators of Compromise (IoC) aus Analyseergebnissen: Datei-Hashes, IP-Adressen, Domain-Namen, Registry-Schlüssel, User-Agent-Strings
- Schreiben von YARA-Regeln für die automatisierte Erkennung spezifischer Malware-Familien und Malware-Klassen
- Integration in SIEM-Systeme: Korrelationsregeln und Alarme auf Basis forensischer Erkenntnisse aufbauen
- Netzwerksegmentierung, Applikations-Whitelisting und Endpoint Detection & Response (EDR) als komplementäre Abwehrebenen
- Incident-Response-Playbooks für Malware-Vorfälle: Triage, Containment, Eradikation, Wiederherstellung
Modul 5 — KI-gestützte Malware-Erkennung (AI-900) Der letzte Modulblock ordnet KI-Werkzeuge in den Malware-Analyse-Kontext ein. Anhand des Azure-AI-Fundamentals-Rahmens verstehen Teilnehmende, welche maschinellen Lernverfahren für Anomalie-Erkennung, Verhaltensklassifikation und automatisierte Bedrohungserkennung eingesetzt werden — und wo klassische signaturbasierte Erkennung an ihre Grenzen stößt.
- Grundkonzepte maschinellen Lernens: Klassifikation, Clustering, Supervised vs. Unsupervised Learning im Security-Kontext
- Anomalie-Erkennung in großen Logdatenmengen mit Azure Cognitive Services und Azure Anomaly Detector
- KI-gestützte Malware-Klassifikation: Verhaltensbasierte Erkennung vs. signaturbasierte Methoden
- Grenzen KI-basierter Systeme im Malware-Kontext: Adversarial Attacks, hohe False-Positive-Raten, Evasion-Techniken gegen ML-Modelle
Praxiseinheiten (kursbegleitend)
- Einrichtung einer vollständig isolierten Malware-Analyseumgebung mit VMware/VirtualBox, INetSim und FakeNet-NG
- Statische Analyse eines realen Malware-Samples mit PEiD, strings und PEview: Packer identifizieren, importierte Funktionen auflisten
- Dynamische Verhaltensanalyse mit Process Monitor und Wireshark in der kontrollierten Sandbox: Systemaufrufe, Netzwerkverbindungen, Registry-Änderungen
- Grundlegende Disassemblierung eines Malware-Samples mit Ghidra: Control-Flow verstehen, Entschlüsselungsroutine identifizieren
- Debugging einer Malware-Instanz mit x64dbg: Breakpoints auf kritische API-Aufrufe setzen, verschlüsselte Strings zur Laufzeit auslesen
- Identifikation von C2-Kommunikationsmustern in einer Netzwerk-Trace-Datei: Beacon-Intervalle, HTTP-User-Agent-Strings, DNS-Anfragemuster
- Durchführung eines vollständigen CEH-Engagements mit Malware-Einsatz: Angriffspfad dokumentieren, Artefakte für spätere YARA-Regeln sichern
- Analyse einer simulierten Ransomware-Infektion: Verschlüsselungslogik nachvollziehen, Schlüsselverwaltung identifizieren
- Erkennung von DLL-Hijacking und Registry-Persistenz-Mechanismen in einem infizierten System
- YARA-Regel schreiben: Für einen analysierten Malware-Typ eine funktionierende Erkennungsregel entwickeln und testen
- Abschluss-Szenario: Malware-Infektion von der Analyse bis zum vollständigen Incident-Response-Playbook durcharbeiten
- KI-gestützte Logfile-Analyse mit Azure-Diensten in einer Übungsumgebung: Anomalien in einem synthetischen Log-Datensatz erkennen
Alle Analysen werden in sicheren, isolierten Laborumgebungen durchgeführt — ein Ausbrechen von Schadsoftware in produktive Netzwerke ist durch die Architektur der Übungsumgebung ausgeschlossen.
Lernziele:
- Sie klassifizieren die wichtigsten Malware-Kategorien — Viren, Würmer, Trojaner, Ransomware, Rootkits, Fileless Malware — und verstehen deren technische Funktionsweise und Verbreitungswege
- Sie richten sichere, vollständig isolierte Analyse-Sandboxes ein und untersuchen Schadsoftware ohne Risiko für produktive Systeme
- Sie wenden statische Analyseverfahren an: Sie extrahieren Metadaten, Strings, importierte Funktionen und Sektionsanomalie-Indikatoren aus ausführbaren Dateien, ohne diese auszuführen
- Sie führen dynamische Analysen durch: Sie überwachen das Laufzeitverhalten von Malware, protokollieren Systemaufrufe, Netzwerkverbindungen, Registry-Änderungen und Dateisystem-Operationen
- Sie wenden grundlegende Reverse-Engineering-Techniken an: Disassemblierung mit Ghidra, Debugging mit x64dbg, Identifikation kritischer Funktionen und Entschlüsselung einfacher Obfuskationsverfahren
- Sie führen CEH-konforme Penetrationstests mit Malware-Szenarien durch und dokumentieren Angriffspfade strukturiert
- Sie identifizieren Persistenz-Mechanismen, C2-Kommunikationsmuster und Evasion-Techniken in analysierten Samples
- Sie schreiben YARA-Regeln für die automatisierte Erkennung spezifischer Malware-Familien und integrieren diese in Sicherheitslösungen
- Sie leiten aus Analyseergebnissen konkrete Schutzmaßnahmen ab und erarbeiten Incident-Response-Playbooks für Malware-Vorfälle
- Sie beurteilen, welche Rolle KI-gestützte Verhaltensklassifikation und Anomalie-Erkennung bei der Malware-Erkennung spielen können
- Sie kommunizieren technische Analysebefunde gegenüber Sicherheitsteams und Management klar und nachvollziehbar
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an IT-Fachkräfte mit solider technischer Basis, die sich auf Malware-Analyse und offensive Sicherheit spezialisieren möchten. Besonders relevant ist er für Personen im Bereich Incident Response, Threat Intelligence oder Endpoint-Sicherheit.
- IT-Sicherheitsfachkräfte, die verstehen wollen, wie Schadsoftware technisch aufgebaut ist und sich verhält
- Penetrationstester, die Malware gezielt in Tests einsetzen und die resultierenden Artefakte analysieren möchten
- Incident Responder, die Malware-Vorfälle eigenständig untersuchen, eindämmen und bereinigen müssen
- SOC-Analysten, die Erkennungsregeln und Alarme auf Basis von Malware-Verhaltensmustern präzisieren wollen
- Berufswechsler aus der IT mit nachgewiesenen technischen Grundlagenkenntnissen
Solide Kenntnisse in Betriebssystemen (Windows und Linux, insbesondere Kommandozeile), Netzwerktechnologien (TCP/IP, DNS, HTTP) und allgemeiner IT-Sicherheit werden vorausgesetzt. Das inhaltliche Eintrittsniveau entspricht CompTIA Security+ (SY0-701). Erfahrung mit Virtualisierung (VMware oder VirtualBox) ist von Vorteil, da alle Laborübungen in virtuellen Umgebungen stattfinden. Englischkenntnisse auf B1-Niveau sind sinnvoll, da Werkzeuge und Referenzmaterialien überwiegend englischsprachig sind.
Ablauf & Abschluss
Das Programm wird im Combined-Learning-Format durchgeführt. Live-Unterricht im virtuellen Klassenzimmer deckt Konzepte, Demonstrationen und geführte Übungen ab. Der eigenständige Anteil ist konsequent auf praktische Laborarbeit ausgerichtet: Teilnehmende vertiefen Analysetechniken eigenständig an vorab präparierten Malware-Samples und Szenarien. Der Kurs wird überwiegend in Vollzeit durchgeführt, eine Teilzeitvariante ist verfügbar. Dozenten illustrieren Konzepte mit Beispielen aus realen Malware-Kampagnen und aktuellen Bedrohungslagen.
Der Kurs wird überwiegend in Vollzeit durchgeführt, eine Teilzeitvariante ist verfügbar. Die Gesamtdauer richtet sich nach den gewählten Modulkombinationen — ein Vollzeitdurchlauf dauert typischerweise mehrere Wochen bis zu drei Monate. Genaue Termine sind beim Anbieter erhältlich.
Der Kurs bereitet auf drei externe Prüfungen vor: Certified Ethical Hacker (CEH) von EC-Council, CompTIA Security+ (SY0-701) von CompTIA sowie Azure AI Fundamentals (AI-900) von Microsoft. Im Unterschied zum Forensik-Geschwisterkurs ist hier keine CHFI-Komponente enthalten — stattdessen steht Malware-Analyse und Abwehrstrategie im Vordergrund. Zusätzlich wird eine qualifizierte Teilnahmebescheinigung ausgestellt. CEH ist industrieweit als Nachweis offensiver Sicherheitskompetenz anerkannt; Security+ gilt als Standardzertifizierung für IT-Sicherheitsfachkräfte.
Nutzen & Perspektiven
Malware-Analyse ist ein Fachgebiet, das tiefes technisches Verständnis voraussetzt und gleichzeitig unmittelbar praxisrelevant ist. Unternehmen, die Malware-Vorfälle eigenständig untersuchen können, sind schneller handlungsfähig und weniger auf externe Forensik-Dienstleister angewiesen. Die CEH-Zertifizierung zusammen mit nachgewiesener Malware-Analysekompetenz öffnet Türen in Rollen wie Malware Analyst, Threat Intelligence Engineer oder Senior SOC-Analyst — Positionen, die auf dem deutschen Arbeitsmarkt stark nachgefragt und entsprechend vergütet werden. Der Unterschied zum Geschwisterkurs Ethical Hacking und IT-Forensik ist konzeptionell wesentlich: Dort liegt der Schwerpunkt auf gerichtsverwertbarer Beweissicherung nach CHFI-Methodik und auf dem, was nach einem Vorfall dokumentiert und gemeldet wird. Hier liegt er auf dem technischen Innenleben von Schadsoftware: Wie wurde sie gebaut, wie verhält sie sich, und wie schreibt man verlässliche Erkennungsregeln? Diese Ausrichtung ist für Penetrationstester, Malware-Analysten und Threat-Intelligence-Fachkräfte die unmittelbar relevantere Qualifikation. Die AI-900-Komponente stellt sicher, dass Teilnehmende nicht nur klassische signaturbasierte Erkennung kennen, sondern auch verstehen, wo verhaltensbasierte KI-Systeme im Sicherheitsbetrieb eingesetzt werden — und welche Evasion-Techniken gegen diese Systeme existieren. Diese Kombination aus traditionellen Analyse-Skills und KI-Kompetenz ist in modernen SOC-Umgebungen zunehmend ein Einstellungskriterium.
Häufig gestellte Fragen (FAQ)
Was unterscheidet diesen Kurs vom Forensik-Geschwisterkurs?
Dieser Kurs fokussiert auf das technische Innenleben von Schadsoftware: Wie ist Malware aufgebaut, wie verhält sie sich, und wie erstellt man YARA-Erkennungsregeln? Der Kurs Ethical Hacking und IT-Forensik legt seinen Schwerpunkt dagegen auf die gerichtsverwertbare Beweissicherung und forensische Ermittlungsmethodik (CHFI).
Welche Werkzeuge werden in den Übungen eingesetzt?
Für die statische Analyse PEiD, strings, PEview und CFF Explorer; für die dynamische Analyse Process Monitor, Process Hacker, Wireshark und INetSim; für Reverse Engineering Ghidra und x64dbg. Alle Übungen finden in vollständig isolierten virtuellen Laborumgebungen statt.
Welche Zertifizierungen kann ich nach dem Kurs ablegen?
Das Programm bereitet auf drei externe Prüfungen vor: Certified Ethical Hacker (CEH, EC-Council), CompTIA Security+ SY0-701 (CompTIA) und Azure AI Fundamentals AI-900 (Microsoft). Die Prüfungen werden separat angemeldet und abgelegt.
Sind Vorkenntnisse in Malware-Analyse erforderlich?
Nein, der Kurs baut Malware-Analyse-Kompetenz von Grund auf auf. Vorausgesetzt werden jedoch solide Kenntnisse in Betriebssystemen, Netzwerktechnologien und IT-Sicherheit sowie Erfahrung mit der Kommandozeile.
Wie viel Praxisanteil hat der Kurs?
Der Praxisanteil ist sehr hoch. Alle fünf Modulblöcke werden durch kursbegleitende Laborübungen vertieft — von der Sandbox-Einrichtung über die Malware-Analyse bis zur YARA-Regel-Entwicklung und dem abschließenden Incident-Response-Szenario.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Pflege- und Gesundheits-Fachkräfte sind seit 2018 durchgehend als Engpassberuf gelistet. Demografische Entwicklung treibt die Nachfrage; höhere Tarife in Pflege und Reform der Pflegeausbildung verbessern Einstiegsbedingungen 2025/26 weiter.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin338 Stellen
- Ethical Hacker33 Stellen
- Facharzt/Fachärztin Fachrichtung Hygiene und Umweltmedizin33 Stellen