Überblick
Dieser Lehrgang bündelt die drei wichtigsten ISACA-Zertifizierungen für leitende IT-Sicherheits-, Audit- und Risikomanagement-Rollen in einem strukturierten Qualifizierungsweg: CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor) und CRISC (Certified in Risk and Information Systems Control). Alle drei Zertifizierungen stammen von ISACA, der weltweit führenden Organisation für IT-Governance, IT-Audit und IT-Risikomanagement. Wer alle drei Abschlüsse hält, deckt das komplette GRC-Spektrum ab — von der strategischen Sicherheitssteuerung über das operative Risikomanagement bis zur unabhängigen Prüfung von IT-Systemen. Aktuelle Entwicklungen rund um Künstliche Intelligenz werden in einem eigenen Abschnitt berücksichtigt.
Kursinhalte & Lernziele
Modul 1 — Governance und Sicherheitsmanagement (CISM) CISM ist die führende ISACA-Zertifizierung für IT-Sicherheitsmanager und CISOs. Sie behandelt, wie IT-Sicherheitsprogramme aufgebaut, geführt und kontinuierlich verbessert werden — immer im Kontext der Unternehmensstrategie. Wer CISM anstrebt, muss nicht nur technische Sicherheitskontrollen kennen, sondern auch erklären können, warum sie existieren und wie sie zum Geschäftserfolg beitragen.
- Aufbau eines IT-Governance-Frameworks: Prinzipien, Verantwortlichkeiten, Steuerungsorgane
- Rollen und Verantwortlichkeiten im CISM-Kontext: CISO, Sicherheitsteam, Executive Management
- Entwicklung von Informationssicherheitsstrategien: Leitlinien, Richtlinien, Standards, Verfahren
- Steuerung von Sicherheitsprogrammen: Budget, Ressourcen, KPIs und Metriken
- Integration von KI-gestützten Analysewerkzeugen in Sicherheitsentscheidungsprozesse
- Business-Impact-Analyse als Grundlage für Sicherheitspriorisierungen
Modul 2 — IT-Risikoanalyse und Risikomanagement (CRISC) CRISC ist speziell auf IT-Risikomanager ausgerichtet und beleuchtet, wie IT-Risiken identifiziert, bewertet, kommuniziert und durch Kontrollen gesteuert werden. Im Unterschied zu CISM, das die strategische Steuerung in den Vordergrund stellt, fokussiert CRISC auf den operativen und analytischen Risikoprozess.
- Risikobewertungsverfahren: qualitative und quantitative Methoden, Risikokategorien
- Entwicklung und Implementierung von Risikominderungs- und Kontrollmaßnahmen
- Restrisiko, Risikoakzeptanz und Eskalationsprozesse im Unternehmenskontext
- Kommunikation und Reporting von IT-Risiken an Stakeholder und Führungsgremien
- Einsatz von KI-Werkzeugen zur automatisierten Risikoidentifikation in großen Datensätzen
- CRISC-Prüfungsdomänen: IT-Risikoidentifikation, Bewertung, Reaktion und Überwachung
Modul 3 — IT-Audit und Kontrolle (CISA) CISA deckt die unabhängige Prüfperspektive ab: Wie werden IT-Systeme, -prozesse und -kontrollen systematisch und methodisch geprüft? Die Prüfung orientiert sich am CISA Review Manual mit fünf Domänen, die von Auditprozessen über IT-Governance bis zum Schutz von Informationsassets reichen.
- Auditplanung: Risikobasierte Priorisierung, Audit-Charter, Ressourcenplanung
- Durchführung von IS-Audits: Stichprobenverfahren, Befragungen, Dokumentenanalyse, Tests
- Prüfung interner Kontrollsysteme: Kontrollenrahmen, Kontrollschwächen, Restrisiko
- IT-Service Management und Asset Management im Audit-Kontext (ITIL-bezogene Prüfpunkte)
- Digitale Prüfroutinen: datengestützte Auditverfahren, kontinuierliche Prüfung, KI-gestützte Kontrollen
- Abschlussbericht und Nachverfolgung von Auditempfehlungen
Modul 4 — Künstliche Intelligenz in Governance und Audit Künstliche Intelligenz verändert, wie Governance-, Risiko- und Audit-Prozesse durchgeführt werden. Dieser Block gibt einen praxisorientierten Überblick über KI-Anwendungen im GRC-Kontext und bereitet optional auf ergänzende KI-Zertifizierungen vor.
- Grundlagen der KI im Unternehmenskontext: Machine Learning, Natural Language Processing, Automatisierung
- Anwendungsbeispiele in der GRC-Praxis: Anomalieerkennung in Transaktionsdaten, automatisiertes Audit-Reporting
- KI im Risikomanagement: prädiktive Risikomodelle, automatisierte Kontrollüberwachung
- Einordnung und kritische Bewertung von KI-Tools: Erklärbarkeit, Bias, regulatorische Anforderungen
- Optionale Erweiterungen: Microsoft AI-900, CertNexus AIBIZ, CertNexus GenAIBIZ
Praxisbezug und verknüpfende Übungen Die drei ISACA-Zertifizierungen werden im Lehrgang nicht isoliert nebeneinandergestellt, sondern durch gemeinsame Praxisszenarien miteinander verknüpft, die zeigen, wie CISM, CISA und CRISC in der Praxis zusammenwirken.
- Entwicklung einer Informationssicherheitsstrategie (CISM) und anschließende Risikoanalyse (CRISC)
- Überführung von Audit-Findings (CISA) in Risikobewertungen und Governance-Entscheidungen
- Erstellung eines vollständigen IT-Risiko-Registers für eine fiktive Organisation
- Auditplan für ein IT-Governance-Framework entwerfen und mit CISA-Kriterien prüfen
- CISM-Sicherheitsrichtlinien auf Basis von CRISC-Risikobewertungen formulieren
- KI-gestützte Anomalieerkennung in einem CISA-Kontext: Daten auswerten, Auffälligkeiten dokumentieren
- Rollenspiel: Präsentation von Audit-Ergebnissen vor dem Executive Management
- CISM-Prüfungsdomänen-Review: Informationssicherheits-Governance, Incident Management, Programmmanagement
- CRISC-Prüfungsdomänen-Review: Risikoidentifikation, Risikobewertung, Risikoreaktion, Risikoüberwachung
- CISA-Prüfungsdomänen-Review: IS-Audit-Prozess, IT-Governance, Informationssysteme, IT-Betrieb, Asset-Schutz
- Simulierte Prüfungsfragen und Analysen typischer Fragetypen aller drei Zertifizierungen
- Abschlussfall: integrierte GRC-Analyse eines mittelständischen Unternehmens mit Audit-, Risiko- und Governance-Perspektive
Der Lehrgang richtet sich ausdrücklich an Fachkräfte, die nicht nur eine Prüfung bestehen, sondern eine leitende Rolle in der IT-Sicherheit oder Compliance übernehmen wollen. Die Integration aller drei ISACA-Zertifizierungen in einem strukturierten Lehrgang spart Zeit gegenüber drei separat gebuchten Einzelkursen und schafft die inhaltlichen Verbindungen, die im Berufsalltag täglich relevant sind.
Lernziele:
- CISM-Inhalte zu IT-Sicherheitsmanagement und Governance vollständig beherrschen
- IT-Sicherheitsziele mit Unternehmenszielen in Einklang bringen und ein Governance-Framework aufbauen
- CRISC-Inhalte zu Identifikation, Bewertung und Steuerung von IT-Risiken sicher anwenden
- Risikomanagementprozesse im Unternehmenskontext strukturieren und dokumentieren
- CISA-Inhalte zu IT-Audit, Kontrollsystemen und Asset-Schutz methodisch anwenden
- IS-Audits nach ISACA-Standard planen, durchführen und berichten
- IT-Governance-Frameworks (COBIT, ISO 27001) in der Praxis einsetzen
- KI-basierte Werkzeuge für Anomalieerkennung und automatisiertes Reporting in GRC-Prozesse integrieren
- Alle drei ISACA-Prüfungen (CISM, CISA, CRISC) inhaltlich vollständig vorbereiten
- Strategische Sicherheitsentscheidungen mit Risiko- und Audit-Erkenntnissen fundieren
- Rollenprofile für CISO, Auditor und Risikomanager in Organisationen verankern
- KI-Zertifizierungspfade (AI-900, AIBIZ, GenAIBIZ) als Ergänzung einordnen
Zielgruppe & Voraussetzungen
Der Lehrgang richtet sich an erfahrene IT-Fachkräfte mit Ambitionen in strategischen GRC-Rollen sowie an Personen, die bereits in Audit-, Compliance- oder Risikomanagementfunktionen tätig sind und eine formal anerkannte Qualifizierung anstreben.
- IT-Sicherheitsbeauftragte und CISOs in mittelständischen und großen Unternehmen
- IT-Auditoren und interne Revisoren, die ihren Horizont auf Risikomanagement und Governance erweitern wollen
- IT-Risk-Manager und GRC-Verantwortliche, die alle drei Perspektiven formalisieren möchten
- IT-Manager mit Fokus auf Governance und Compliance aus regulierten Branchen
- Fachkräfte mit erster Berufserfahrung im IT- oder Compliance-Umfeld, die ISACA-Zertifizierungen anstreben
Für alle drei ISACA-Zertifizierungen wird relevante Berufserfahrung vorausgesetzt: CISM verlangt fünf Jahre Informationssicherheits-Management-Erfahrung (davon drei Jahre in drei der vier Domänen); CRISC verlangt drei Jahre Erfahrung in IT-Risikomanagement oder Kontrollen; CISA verlangt fünf Jahre IS-Audit-Erfahrung. Die Prüfungen können vor Erfüllung dieser Anforderungen abgelegt werden — das Zertifikat wird erst nach Nachweis ausgestellt. Erste Berufserfahrung im IT- oder Compliance-Umfeld ist Voraussetzung für eine sinnvolle Teilnahme am Lehrgang.
Ablauf & Abschluss
Der Lehrgang wird im Combined-Learning-Format durchgeführt, das Live-Unterrichtseinheiten im virtuellen Klassenraum mit selbstständigen Lernphasen und Praxisübungen kombiniert. Die Modulstruktur erlaubt eine flexible Schwerpunktsetzung je nach Vorkenntnissen und beruflicher Ausrichtung. Praxisszenarien verknüpfen die Inhalte aller drei Zertifizierungen miteinander. Vollzeit- und Teilzeitformate stehen zur Verfügung.
Die Kombination aus drei ISACA-Vollzertifizierungen erfordert einen umfangreichen Lehrgang über mehrere Wochen bis Monate. Die genaue Dauer hängt vom Vorkenntnisstand und dem gewählten Format ab. Das Modulformat erlaubt es, einzelne Bestandteile zeitlich zu strecken oder zu komprimieren.
Die Prüfungsvorbereitung zielt auf drei vollständige ISACA-Zertifizierungen: CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor) und CRISC (Certified in Risk and Information Systems Control). Jede Prüfung wird separat bei ISACA abgelegt; die Zertifikate werden nach Nachweis der geforderten Berufserfahrung ausgestellt. Optional können ergänzend KI-Zertifizierungen (AI-900, AIBIZ, GenAIBIZ) angestrebt werden. Ergänzend erhalten alle Teilnehmenden eine qualifizierte Teilnahmebescheinigung des Anbieters.
Nutzen & Perspektiven
Fachkräfte mit allen drei ISACA-Zertifizierungen sind auf dem Markt außergewöhnlich selten — und außergewöhnlich gefragt. Wer CISM, CISA und CRISC kombiniert, kann in Organisationen die vollständige GRC-Funktion abdecken: strategische Sicherheitssteuerung, unabhängige Prüfung und operatives Risikomanagement. Das ist eine Kompetenz, für die Unternehmen sonst mehrere Spezialisten engagieren. Die zunehmende regulatorische Dichte in Europa — NIS2, DORA, DSGVO, sektorspezifische Anforderungen im Gesundheitswesen und Finanzsektor — treibt die Nachfrage nach zertifizierten GRC-Fachkräften weiter an. Unternehmen müssen nachweisen können, dass ihre IT-Sicherheits-, Risiko- und Auditfunktionen durch qualifiziertes Personal abgedeckt sind. Dieser Lehrgang liefert genau diese Qualifikation in einem Zug. Die KI-Integration im vierten Modul ist kein Trendthema ohne Substanz: Audit-Tools mit ML-basierter Anomalieerkennung, automatisiertes Risikoreporting und KI-gestützte Compliance-Überprüfung sind bereits in vielen Unternehmen im Einsatz. Wer versteht, wie diese Werkzeuge funktionieren und wo ihre Grenzen liegen, kann sie in GRC-Prozesse einbetten — ein Kompetenzvorsprung, der in den nächsten Jahren an Bedeutung gewinnen wird.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen CISM, CISA und CRISC?
CISM (Certified Information Security Manager) fokussiert auf das Management von IT-Sicherheitsprogrammen und richtet sich an CISOs und Sicherheitsmanager. CISA (Certified Information Systems Auditor) deckt die unabhängige Prüfperspektive ab und richtet sich an IT-Auditoren. CRISC (Certified in Risk and Information Systems Control) ist auf IT-Risikomanager ausgerichtet und behandelt Identifikation, Bewertung und Steuerung von IT-Risiken. Alle drei werden von ISACA vergeben.
Kann ich alle drei Zertifizierungen ohne Berufserfahrung ablegen?
Die Prüfungen können auch ohne die geforderte Berufserfahrung abgelegt werden. Das eigentliche Zertifikat wird jedoch erst nach Nachweis der relevanten Praxisjahre ausgestellt. CISM und CISA fordern jeweils fünf Jahre, CRISC drei Jahre einschlägige Erfahrung.
Ist dieser Kurs für Einsteiger in die IT-Sicherheit geeignet?
Nein — der Lehrgang richtet sich an Fachkräfte mit erster Berufserfahrung im IT- oder Compliance-Umfeld. Die ISACA-Zertifizierungen sind auf leitende und strategische Rollen ausgerichtet und setzen ein grundlegendes Verständnis von IT-Prozessen, Sicherheitskonzepten und Unternehmensorganisation voraus.
Warum werden KI-Inhalte in diesem Lehrgang behandelt?
KI-Werkzeuge finden zunehmend Einzug in GRC-Prozesse: automatisierte Audit-Tools, KI-gestützte Risikoanalysen und Anomalieerkennung in Compliance-Monitoring-Systemen sind keine Zukunftsmusik mehr. Der Lehrgang vermittelt die konzeptionellen Grundlagen, damit Teilnehmende diese Werkzeuge einordnen, bewerten und in ihre Sicherheitsstrategie integrieren können.
Welche Branchen suchen besonders nach CISM/CISA/CRISC-zertifizierten Fachkräften?
Besonders gefragt sind diese Zertifizierungen in der Finanzdienstleistung, Wirtschaftsprüfung, Versicherungswirtschaft, im Gesundheitswesen und in der öffentlichen Verwaltung. Alle diese Branchen unterliegen hohen regulatorischen Anforderungen, die einen formalen Nachweis von GRC-Kompetenz voraussetzen — etwa durch NIS2, DORA oder branchenspezifische Aufsichtsanforderungen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Informationssicherheitsbeauftragter/Informationssicherheitsbeauftragte241 Stellen
- Chief-Information-Security-Officer103 Stellen