Überblick
Wer in einem Security Operations Center auf der dritten Eskalationsstufe arbeitet oder in diese Rolle wechseln möchte, stößt mit Standard-Sicherheitswissen schnell an Grenzen. Dieser Kurs adressiert genau diese Lücke: Er vertieft analytische Fähigkeiten für den Umgang mit hochentwickelten Angreifergruppen, automatisierten Abwehrstrecken und forensischen Ermittlungsmethoden. Im Mittelpunkt stehen nicht Produktbedienungen, sondern das Denken und Handeln unter realem Bedrohungsdruck.
Kursinhalte & Lernziele
Modul 1 - Erkennung fortgeschrittener Bedrohungen Dieser erste Block legt das analytische Fundament für den gesamten Kurs. Teilnehmende lernen, wie sich fortgeschrittene Angreifer in Netzwerken und Systemen verhalten, welche Techniken zur Verschleierung eingesetzt werden und wie man Angriffsketten Schritt für Schritt nachvollzieht. Die Inhalte orientieren sich am MITRE ATT&CK-Framework als gemeinsame Sprache für Angriffs- und Abwehrtaktiken.
- Identifikation und Klassifikation von Advanced Persistent Threats (APTs)
- Analyse von Zero-Day-Exploits und noch nicht öffentlich bekannten Schwachstellen
- Reverse Engineering von Malware-Samples in isolierten Laborumgebungen
- Rekonstruktion mehrstufiger Angriffsketten anhand von Logdaten und Artefakten
- Lateral Movement, Privilege Escalation und Exfiltrationstechniken erkennen
- Threat-Intelligence-Reports lesen, bewerten und auf die eigene Infrastruktur anwenden
Modul 2 - Sicherheitsautomatisierung und Incident Response Effektive Abwehr moderner Bedrohungen erfordert nicht nur Wissen, sondern schnelle, reproduzierbare Reaktionsprozesse. Dieser Block vermittelt, wie SOAR-Plattformen Alarm-Triagen beschleunigen, manuelle Schritte in Playbooks überführt werden und die forensische Analyse strukturiert dokumentiert wird. Besonderer Wert liegt auf der Nachvollziehbarkeit der gesamten Bearbeitungskette für spätere Audits.
- Aufbau und Pflege von SOAR-Playbooks für wiederkehrende Angriffsszenarien
- Automatisierte Anreicherung von Sicherheitsvorfällen mit Kontextdaten
- Strukturierte Incident-Response-Phasen von der Detektion bis zur Nachbereitung
- Forensische Analyse von Dateisystemen, Arbeitsspeicher-Dumps und Netzwerkverkehr
- Beweissicherung und Dokumentation für interne und rechtliche Zwecke
- Nachbereitung von Vorfällen und Ableitung von Schutzmaßnahmen aus Lessons Learned
Modul 3 - Threat Hunting und Verhaltensanalyse Passives Warten auf Alarme genügt gegen gezielte Angriffe nicht. Threat Hunting bedeutet, aktiv nach Spuren von Angreifern zu suchen, die alle Detektionsregeln umgangen haben. Dieser Block vermittelt hypothesenbasiertes Vorgehen, den Einsatz von Behavioral Analytics in SIEM-Systemen und die Nutzung externer Bedrohungsdaten für die gezielte Suche in eigenen Infrastrukturen.
- Hypothesenbildung und systematisches Vorgehen beim aktiven Threat Hunting
- Nutzung und Korrelation externer Threat-Intelligence-Feeds (z. B. MISP, OpenCTI)
- Konfiguration verhaltensbasierter Erkennungsregeln in SIEM-Plattformen
- Anomalieerkennung auf Netzwerk-, Endpunkt- und Identitätsebene
- Frühwarnsysteme und automatische Eskalationsmechanismen aufbauen
- Dokumentation von Hunting-Runs und Überführung in dauerhafte Detektionsregeln
Modul 4 - Risikomanagement, Compliance und nachhaltige Sicherheitsarchitektur IT-Sicherheit endet nicht an der Firewall, sondern muss im organisatorischen Rahmen verankert sein. Dieser Block verbindet technische Schutzmaßnahmen mit gesetzlichen Anforderungen und methodischen Frameworks. Teilnehmende lernen, wie Sicherheitsrisiken bewertet, priorisiert und in Maßnahmen übersetzt werden, die sowohl technisch wirksam als auch auditierfähig sind.
- Risikoanalyse und Bedrohungsmodellierung für komplexe IT-Landschaften
- Umsetzung von Anforderungen aus ISO/IEC 27001, NIS2 und DSGVO
- Konzeption und Durchführung interner Sicherheitsaudits
- Defense-in-Depth-Architektur: Schutzebenen aufeinander abstimmen
- Sicherheitsrichtlinien, Access Control und Datensegmentierung organisatorisch verankern
- Monitoring-Strategie langfristig pflegen und an neue Bedrohungslagen anpassen
Praxisblock - Übungsszenarien und Angriffssimulationen Der gesamte Kurs wird von Übungsszenarien begleitet, die reale Angriffssituationen nachbilden. Teilnehmende analysieren Logdaten aus simulierten Einbrüchen, reagieren auf konstruierte Vorfälle und erstellen Berichte, wie sie im beruflichen Alltag eines Security Analysts anfallen würden.
- Analyse von SIEM-Alarmen aus simulierten APT-Kampagnen
- Durchführung kontrollierter Penetrationstests gegen Test-Infrastrukturen
- Forensische Untersuchung eines kompromittierten Systems von Grund auf
- Entwicklung eines Incident-Response-Playbooks für ein reales Bedrohungsszenario
- Threat-Hunting-Run mit dokumentierter Hypothese und Ergebnis
- Konfiguration und Feinabstimmung von SIEM-Erkennungsregeln
- Risikobewertung einer fiktiven IT-Infrastruktur nach ISO-27001-Methodik
- Erstellung eines Audit-Berichts mit Handlungsempfehlungen
- Bewertung und Priorisierung einer CVE-Liste für einen definierten Systembestand
- Gruppenübung zur Koordination eines mehrstufigen Sicherheitsvorfalls
- Nachbereitung eines simulierten Ransomware-Angriffs mit Lessons-Learned-Protokoll
- Präsentation und kritische Diskussion der eigenen Lösungsansätze
Der Kurs schließt mit einer Gesamtbetrachtung moderner Angreifergruppen und deren Taktiken. Die Teilnehmenden verlassen den Kurs mit einem erweiterten Methodenrepertoire, das sowohl die technische als auch die organisatorische Dimension der IT-Sicherheit abdeckt. Im Vordergrund steht die Fähigkeit, nicht nur auf Alarme zu reagieren, sondern Bedrohungen aktiv zu suchen, zu verstehen und strukturiert abzuwehren.
Lernziele:
- Fortgeschrittene Angriffsmuster wie APTs und Zero-Day-Exploits methodisch erkennen und einordnen
- Malware-Verhalten in kontrollierten Umgebungen analysieren und Angriffsvektoren rekonstruieren
- SOAR-Plattformen zur Automatisierung von Erkennungs- und Reaktions-Workflows einsetzen
- Strukturierte Incident-Response-Abläufe nach gängigen Frameworks (z. B. PICERL) durchführen
- Digitale Forensik auf Datei-, Arbeitsspeicher- und Netzwerkebene anwenden
- Threat-Intelligence-Feeds bewerten, korrelieren und in operative Maßnahmen übersetzen
- Verhaltensbasierte Anomalieerkennung in SIEM-Systemen konfigurieren und auswerten
- Penetrationstests und kontrollierte Angriffssimulationen konzipieren und auswerten
- Sicherheitsarchitekturen nach Defense-in-Depth-Prinzipien bewerten und erweitern
- Compliance-Anforderungen aus ISO 27001, DSGVO und NIS2 operativ umsetzen
- Sicherheitsaudits vorbereiten, durchführen und dokumentieren
- Monitoring-Systeme kontinuierlich an neue Bedrohungslagen anpassen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an Fachkräfte aus dem IT-Sicherheitsbereich, die bereits operative Erfahrung mitbringen und ihre Kompetenzen auf fortgeschrittenes Analyseniveau heben möchten.
- IT-Sicherheitsanalystinnen und -analysten im SOC, die auf L3-Aufgaben vorbereitet werden möchten
- Security Engineers, die ihre Abwehrstrecken um Automatisierung und Threat Hunting erweitern wollen
- Incident Responder, die strukturiertere forensische Methoden einsetzen möchten
- IT-Sicherheitsbeauftragte, die operative Kenntnisse mit Compliance-Anforderungen verbinden möchten
- Penetrationstester, die ihre Arbeit in einen größeren Abwehrkontext einbetten wollen
Grundkenntnisse in Netzwerktechnik, Betriebssystemsicherheit und IT-Infrastruktur werden vorausgesetzt. Erfahrung im Umgang mit mindestens einem SIEM-System sowie Grundkenntnisse in Incident-Response-Prozessen sind erforderlich. Kenntnisse in einem gängigen Skript- oder Automatisierungsumfeld (z. B. Python, PowerShell) sind hilfreich. Der Kurs richtet sich ausdrücklich nicht an Einsteiger in die IT-Sicherheit, sondern an Personen mit mindestens zwei Jahren praktischer Erfahrung im Bereich.
Ablauf & Abschluss
Der Kurs wird im Combined-Learning-Format durchgeführt und verbindet strukturierte Unterrichtseinheiten mit umfangreichen Übungsanteilen in simulierten Angriffsumgebungen. Analyse-Sessions wechseln sich mit praktischen Aufgaben ab, bei denen Teilnehmende eigenständig Bedrohungen untersuchen und dokumentieren. Diskussionen zu realen Vorfällen und aktuellen Bedrohungslagen ergänzen das Programm. Die Kurssprache ist Deutsch, Quellmaterial liegt teils auf Englisch vor. Die Teilnahme ist deutschlandweit online möglich.
Der Kurs findet in Teilzeit statt, sodass er sich mit beruflicher Tätigkeit kombinieren lässt. Der genaue Zeitraum variiert je nach Kursinstanz; aktuelle Termine und Detailangaben sind beim jeweiligen Anbieter erhältlich.
Nach erfolgreichem Abschluss erhalten Teilnehmende ein trägerinternes Zertifikat bzw. eine qualifizierte Teilnahmebescheinigung. Der Kurs kann als strukturierte Vorbereitung auf einschlägige Zertifizierungsprüfungen im Bereich Cybersecurity genutzt werden, ohne selbst eine Herstellerprüfung zu beinhalten. Welche externen Prüfungen sich anschließen lassen, ist mit dem jeweiligen Anbieter zu klären.
Nutzen & Perspektiven
IT-Sicherheit entwickelt sich schneller als die meisten Fachdisziplinen. Wer nur auf bekannte Angriffsmuster reagiert, ist strukturell im Nachteil gegenüber Angreifern, die kontinuierlich neue Techniken einsetzen. Dieser Kurs vermittelt nicht nur Werkzeuge, sondern ein analytisches Denkmuster, das auf unbekannte Szenarien übertragbar ist. Der Unterschied zwischen einem guten und einem sehr guten Security Analyst liegt oft nicht im Toolwissen, sondern in der Fähigkeit, Zusammenhänge herzustellen und strukturiert unter Druck zu handeln. Unternehmen und öffentliche Einrichtungen stehen angesichts steigender Regulierungsanforderungen durch NIS2 und ISO 27001 zunehmend vor der Aufgabe, nicht nur Technik, sondern auch Prozesse und Nachweisbarkeit zu organisieren. Fachkräfte, die beides verbinden können, sind auf dem Arbeitsmarkt gefragt. Der Kurs bereitet gezielt auf diese Schnittstelle zwischen operativer Sicherheitsarbeit und Compliance-Dokumentation vor. Die Kombination aus Threat Hunting, Forensik und SOAR-Automatisierung macht Teilnehmende zu Personen, die in einem modernen SOC nicht nur Alarme abarbeiten, sondern aktiv zur Verbesserung der Erkennungsqualität beitragen können. Das ist der Unterschied zwischen einem ausführenden und einem gestaltenden Sicherheitsexperten.
Häufig gestellte Fragen (FAQ)
Welche Vorkenntnisse sind für diesen Kurs notwendig?
Der Kurs setzt mindestens zwei Jahre operative Erfahrung im IT-Sicherheitsbereich voraus. Kenntnisse in Netzwerktechnik, Betriebssystemsicherheit und der praktischen Arbeit mit SIEM-Systemen sind erforderlich. Einsteiger in die IT-Sicherheit sind mit diesem Kurs überfordert und sollten zunächst eine Grundlagenweiterbildung absolvieren.
Was unterscheidet diesen Kurs von einem allgemeinen IT-Security-Kurs?
Der Fokus liegt ausschließlich auf fortgeschrittenen Bedrohungsszenarien: APTs, Zero-Day-Exploits, verhaltensbasierte Anomalieerkennung und proaktives Threat Hunting. Grundlegende Sicherheitskonzepte werden nicht von Grund auf erklärt, sondern als bekannt vorausgesetzt und in einem anspruchsvolleren Kontext angewendet.
Welches Zertifikat erhalte ich nach Abschluss?
Nach Kursabschluss erhalten Teilnehmende ein trägerinternes Zertifikat bzw. eine qualifizierte Teilnahmebescheinigung. Der Kurs bereitet inhaltlich auf externe Zertifizierungsprüfungen im Bereich Cybersecurity vor; welche Prüfungen konkret angeboten werden, ist mit dem Anbieter zu klären.
Kann der Kurs berufsbegleitend absolviert werden?
Ja. Der Kurs wird in Teilzeit durchgeführt und ist auf eine Kombination mit beruflicher Tätigkeit ausgelegt. Die Online-Durchführung ermöglicht eine standortunabhängige Teilnahme.
Wie praxisnah ist die Ausbildung?
Praktische Übungen bilden einen wesentlichen Teil des Kursprogramms. Teilnehmende analysieren simulierte Angriffe, führen kontrollierte Penetrationstests durch und bearbeiten forensische Szenarien, die realen Vorfällen nachempfunden sind. Theoretische Konzepte werden konsequent in Übungsaufgaben verankert.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheit (grundständig)926 Stellen
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen