Überblick
Ein Sicherheitsvorfall lässt sich selten rückgängig machen – aber er lässt sich vorbereiten, erkennen und kontrollieren. Dieser Kurs setzt genau dort an: Malware wird identifiziert, bevor sie Systeme lahmlegt. Netzwerkangriffe werden in der Entstehungsphase sichtbar. Und wenn ein Vorfall eintritt, weiß das Team, welche Schritte in welcher Reihenfolge zu gehen sind. Die Teilnehmenden erwerben praxisnahes Handwerkszeug für Cybersecurity-Monitoring und Incident Response – von der Konfiguration eines Intrusion-Detection-Systems bis zur Durchführung einer forensischen Untersuchung und der Nutzung von Threat-Intelligence-Plattformen.
Kursinhalte & Lernziele
Das erste Modul schafft das Bedrohungsbewusstsein als Fundament. Ohne ein klares Bild der Angriffslandschaft – wer greift an, mit welchen Mitteln, auf welche Ziele – lassen sich weder präventive noch reaktive Maßnahmen sinnvoll planen. Teilnehmende lernen, Bedrohungstypen zu klassifizieren und in Zusammenhänge zu stellen.
- Malware-Kategorien: Trojaner, Ransomware, Rootkits, Spyware und ihre Erkennungsmerkmale
- Phishing und Spear-Phishing: Anatomie eines Social-Engineering-Angriffs
- Insider-Bedrohungen: absichtliche und unbeabsichtigte Risiken durch eigene Mitarbeitende
- Angriffsvektoren: E-Mail, Web, USB, Supply-Chain, Remote-Access-Schwachstellen
- MITRE ATT&CK-Framework: Taktiken und Techniken von Angreifern einordnen
- Bewährte Verfahren zur Cyberrisiko-Minderung: Patch-Management, Least-Privilege-Prinzip
Im zweiten Modul steht Netzwerksicherheit und Angriffserkennung im Mittelpunkt. Angriffe hinterlassen Spuren im Netzwerkverkehr – wer diese Spuren lesen kann, hat einen entscheidenden Zeitvorteil bei der Reaktion. IDS- und IPS-Systeme sind dabei das technische Rückgrat, ergänzt durch Firewalls und VPN-Architekturen.
- IDS vs. IPS: Unterschiede, Einsatzszenarien und typische Fehlalarme reduzieren
- Firewall-Regelwerke und Zugriffskontrolllisten (ACLs) konfigurieren und reviewen
- VPN-Architekturen und sichere Remote-Access-Konzepte bewerten
- Netzwerkverkehrsanalyse mit Paket-Capture-Tools: Wireshark-Grundlagen anwenden
- Anomalie-Erkennung: Baselines definieren und Abweichungen als Signale lesen
- Segmentierung und Mikrosegmentierung als präventive Netzwerkschutzmaßnahmen
Das dritte Modul behandelt Incident Response als strukturierten Prozess. Ein Sicherheitsvorfall ist kein Sonderereignis – er ist eine vorhersagbare Situation, die einen vorbereiteten Plan braucht. Dieser Block erarbeitet den Incident Response Lifecycle und vermittelt forensische Techniken, die Beweise sichern und Ursachen aufklären.
- Incident-Response-Lifecycle: Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung
- Incident-Response-Plan (IRP) strukturieren: Rollen, Eskalationswege, Kommunikationsregeln
- Log-Analyse: Systemlogs, Eventlogs und Netzwerklogs auf Anzeichen von Kompromittierung prüfen
- Forensische Sicherung: Beweise korrekt dokumentieren und chain of custody wahren
- Post-Incident-Review: Root-Cause-Analyse und Maßnahmenableitung
- Tabletop-Übungen: Incident-Response-Pläne im Planspiel testen
Im vierten Modul werden Sicherheitsautomatisierung und Threat Intelligence vertieft. Moderne Security-Operations-Center arbeiten mit SIEM-Systemen, die Millionen von Ereignissen pro Tag verarbeiten – Automatisierung ist keine Option, sondern eine Notwendigkeit. Threat-Intelligence-Plattformen liefern zusätzlich externe Informationen über aktuelle Angriffsgruppen und Kampagnen.
- SIEM-Architektur: Log-Collector, Korrelations-Engine, Dashboard und Alert-Management
- SIEM-Regeln schreiben: Wann wird ein Ereignis zum Alert?
- SOAR-Konzepte: Security Orchestration, Automation and Response für schnellere Reaktionszeiten
- Threat-Intelligence-Feeds: Indicators of Compromise (IOCs) in Schutzmaßnahmen umsetzen
- Threat-Hunting: proaktiv nach versteckten Angreifern in der Infrastruktur suchen
- Automatisierte Playbooks: typische Incident-Typen als standardisierten Reaktionsworkflow definieren
Das fünfte Modul schließt mit Compliance und sicherer Systemhärtung. Technische Schutzmaßnahmen und regulatorische Anforderungen gehen Hand in Hand: DSGVO, ISO 27001 und branchenspezifische Vorgaben prägen, welche Maßnahmen dokumentiert und nachgewiesen werden müssen.
- Datenschutzgesetze im Security-Kontext: DSGVO-Anforderungen für Datenpannen und Meldepflichten
- CIS-Benchmarks und Hardening-Guides für Betriebssysteme und Server
- Zugriffskontrollen: Role-Based Access Control (RBAC) und Least-Privilege-Implementierung
- Vulnerability Management: Schwachstellen-Scanning, Patch-Priorisierung, Remediation-Tracking
- Continuous Monitoring: Security-Metriken definieren und in Reports aufbereiten
- Nachweis von Sicherheitsmaßnahmen in Audits: Dokumentation und Evidence Collection
Praxisblock – Detection and Response in simulierten Angriffsszenarien Übungen in diesem Block arbeiten mit realistischen Angriffsszenarien. Die Teilnehmenden übernehmen die Rolle des Analysten, der einen aktiven Vorfall erkennt und bearbeitet.
- SIEM-Analyse: einen lateral movement-Angriff anhand von Log-Korrelation identifizieren
- IDS-Alert bewerten: false positive oder echter Angriff?
- Incident-Response-Plan für einen Ransomware-Vorfall schritthaft ausführen
- Forensische Untersuchung: kompromittiertes System sichern und Beweise dokumentieren
- Netzwerkverkehr-Analyse: C2-Kommunikation (Command and Control) im Capture identifizieren
- Threat-Intelligence-Feed auswerten: IOCs gegen eigene Systeme prüfen
- SOAR-Playbook entwickeln: automatisierte Reaktion auf Phishing-Alert definieren
- Hardening-Checkliste für einen Windows-Server nach CIS-Benchmark umsetzen
- Tabletop-Übung: Datenleck-Szenario mit Eskalation an das Management durchspielen
- Compliance-Checkliste: DSGVO-Meldepflicht nach Datenpanne erfüllen
- Schwachstellen-Scan-Report interpretieren und Patch-Reihenfolge priorisieren
- Abschluss-Report: Incident-Dokumentation auf Standard für Security-Audit erstellen
Lernziele:
- Malware, Ransomware, Phishing und Insider-Bedrohungen technisch beschreiben und klassifizieren
- Angriffsvektoren und Bedrohungslandschaften systematisch analysieren
- Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) konfigurieren und überwachen
- Netzwerkverkehr in Echtzeit auf Anomalien untersuchen
- Incident-Response-Pläne (IRP) entwickeln und im Ernstfall anwenden
- Protokolldateien analysieren und forensische Untersuchungstechniken einsetzen
- SIEM-Tools zur Erkennung, Analyse und Korrelation von Ereignissen bedienen
- Warnmeldungen automatisieren und Reaktionsabläufe mit Playbooks standardisieren
- Threat-Intelligence-Plattformen zur Früherkennung von Angriffen einsetzen
- IT-Compliance-Anforderungen und Datenschutzgesetze im Security-Kontext einordnen
- Sichere Systemkonfigurationen umsetzen und Zugriffskontrollen überprüfen
- Sicherheitslage kontinuierlich überwachen und dokumentieren
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an Fachkräfte aus IT und IT-Sicherheit, die ihr Wissen über Angriffserkennung und Incident Response praxisnah vertiefen wollen.
- IT-Fachkräfte mit Grundkenntnissen in Netzwerken und Betriebssystemen, die in Security-Rollen wechseln
- Systemadministratorinnen und -administratoren, die Schutzmaßnahmen selbst einrichten und überwachen
- Angehende Security-Analysten und SOC-Mitarbeitende
- IT-Betriebsteams, die mit SIEM-Tools arbeiten oder dies planen
- Personen, die sich auf Security-Zertifizierungen vorbereiten und praktisches Wissen aufbauen wollen
Grundlegende Kenntnisse in Netzwerktechnik (TCP/IP, Protokolle, Routing) und im Umgang mit Betriebssystemen (Windows und/oder Linux) werden vorausgesetzt. Erfahrung in der Systemadministration oder einem IT-Betriebsbereich ist hilfreich. Spezifische Vorkenntnisse in IT-Security sind nicht zwingend erforderlich, erleichtern aber den Einstieg in die praktischen Übungen erheblich.
Ablauf & Abschluss
Praktische Laborübungen sind das zentrale Lernformat: Teilnehmende konfigurieren reale Security-Tools, analysieren echte Log-Dateien und spielen Incident-Response-Szenarien durch. Theoretische Input-Phasen werden bewusst kurz gehalten und sofort durch Anwendungsaufgaben ergänzt. Das Combined-Learning-Format erlaubt sowohl Vollzeit- als auch Teilzeitvarianten.
Typischerweise erstreckt sich dieser Kurs über mehrere Wochen. Vollzeitvarianten ermöglichen einen schnelleren Abschluss; Teilzeitoptionen sind für Berufstätige verfügbar. Aktuelle Durchführungsdaten sind beim Anbieter zu erfragen.
Die Teilnehmenden erhalten ein trägerausgestelltes Lehrgangszertifikat, das den Kursinhalt und die vermittelten Kompetenzen in Cybersecurity-Monitoring und Incident Response dokumentiert. Der Kurs bereitet auf branchenübliche Sicherheitszertifizierungen vor, ist selbst jedoch keine externe Prüfungsvorbereitung für einen spezifischen Herstellerabschluss.
Nutzen & Perspektiven
Die Fähigkeit, einen Angriff zu erkennen, bevor er eskaliert, ist das Kernversprechen dieses Kurses – und zugleich die Fähigkeit, die den Unterschied zwischen einem handhabten Vorfall und einem medienwirksamen Datenleck ausmacht. Teilnehmende verlassen den Kurs mit konkretem Handwerkszeug: Sie wissen, wie ein SIEM eingerichtet und ausgewertet wird, wie ein Incident-Response-Plan aussieht und wie forensische Beweissicherung funktioniert. Das ist kein abstraktes Konzeptwissen, sondern direkt einsatzfähige Kompetenz. SOC-Analysten, Security-Ingenieure und IT-Administratoren mit diesen Kenntnissen sind auf dem Arbeitsmarkt stark gefragt. Der Fachkräftemangel im Cybersecurity-Bereich ist in Deutschland und europaweit dokumentiert; wer nachweislich SIEM-Erfahrung, Incident-Response-Training und Threat-Intelligence-Kenntnisse mitbringt, ist in Stellenausschreibungen explizit gesucht. Dieses Kurszertifikat schafft eine nachprüfbare Grundlage. Darüber hinaus schließt der Kurs eine Lücke, die viele IT-Fachkräfte haben: technisches Systemwissen ist vorhanden, aber die strukturierte Security-Perspektive fehlt. Wer Netzwerke administriert hat, ohne je einen IDS-Alert ausgewertet oder einen Incident-Response-Plan angewendet zu haben, füllt nach diesem Kurs genau diese Lücke. Der Einstieg in spezialisierte Security-Rollen – SOC Analyst Level 1/2, Incident Responder, Security Engineer – wird damit realistischer und nachweisbarer.
Häufig gestellte Fragen (FAQ)
Was ist ein SIEM und warum ist es für Incident Response zentral?
SIEM (Security Information and Event Management) ist eine Plattform, die Log-Daten aus verschiedenen Quellen – Server, Firewalls, Endpoints, Netzwerkgeräte – zentral sammelt, korreliert und analysiert. Anstatt Logs auf Einzelsystemen zu durchsuchen, sieht das Security-Team über das SIEM zeitgleich, was im gesamten Netzwerk passiert. Im Kurs lernen Teilnehmende, SIEM-Regeln zu schreiben, Alerts zu interpretieren und typische Angriffsmuster zu erkennen.
Was versteht man unter Threat Intelligence im Security-Kontext?
Threat Intelligence bezeichnet das strukturierte Wissen über aktuelle Angreifer, ihre Techniken, Werkzeuge und Ziele. Threat-Intelligence-Plattformen stellen sogenannte Indicators of Compromise (IOCs) bereit – IP-Adressen, Domains oder Datei-Hashes, die mit bekannten Angriffen verknüpft sind. Wer diese Informationen gegen die eigene Infrastruktur prüft, kann aktive Bedrohungen erkennen, bevor sie eskalieren.
Wie unterscheidet sich Incident Response von allgemeinem IT-Support?
IT-Support behebt technische Probleme im laufenden Betrieb. Incident Response ist dagegen ein strukturierter Prozess für den Sicherheitsfall: Verdacht erkennen, System isolieren, Beweise sichern, Ursache ermitteln, Wiederherstellung einleiten und Lessons Learned dokumentieren. Jede Phase hat klare Verantwortlichkeiten und Dokumentationspflichten, da Sicherheitsvorfälle rechtliche und regulatorische Folgen haben können.
Welche Tools werden im Kurs praktisch eingesetzt?
Der Kurs arbeitet mit typischen Security-Tools aus dem SOC-Alltag: Paket-Capture-Analyse (z. B. Wireshark-Konzepte), SIEM-Plattformen, IDS/IPS-Konfiguration, Threat-Intelligence-Feeds und Vulnerability-Scanner. Spezifische Produkte variieren je nach Anbieter; der Kurs vermittelt konzeptionelles Verständnis, das auf verschiedene Tool-Implementierungen übertragen werden kann.
Bereitet dieser Kurs auf eine bestimmte Zertifizierungsprüfung vor?
Der Kurs ist kein explizites Vorbereitungsprogramm für eine einzelne externe Prüfung, deckt aber inhaltlich Bereiche ab, die für Security-Zertifizierungen wie CompTIA Security+ oder CySA+ relevant sind. Die vermittelten Kompetenzen in Monitoring, Incident Response und Compliance bilden eine solide Grundlage für solche Prüfungen. Das trägerausgestellte Kursabschlusszertifikat dokumentiert die erworbenen Kenntnisse.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheit (grundständig)926 Stellen
- Geprüfte Schutz- und Sicherheitskraft (IHK)847 Stellen
- Cyber-Security-Consultant528 Stellen