Überblick
Dieser Kurs bündelt die Vorbereitung auf drei eigenständige ISACA-Zertifizierungen, die jeweils unterschiedliche Perspektiven auf IT-Sicherheit abdecken: Certified Information Security Manager (CISM) für die Steuerung von Informationssicherheit auf Führungsebene, Certified Information Systems Auditor (CISA) für die Prüfung und Bewertung von IT-Systemen sowie Certified in Risk and Information Systems Control (CRISC) für den Umgang mit IT-bezogenen Risiken und Kontrollen. Die drei Module sind einzeln buchbar, ergeben in Kombination aber ein Profil, das Sicherheitsmanagement, Auditierung und Risikosteuerung aus einer Hand abdeckt – ein Zuschnitt, der in vielen Unternehmen von einer einzelnen Fachkraft erwartet wird.
Kursinhalte & Lernziele
Das Modul Certified Information Security Manager behandelt Informationssicherheit aus der Perspektive der Unternehmenssteuerung. Im Zentrum steht, wie Sicherheitsprogramme mit Geschäftszielen verknüpft und auf Führungsebene verantwortet werden.
- Aufbau von Governance-Strukturen für Informationssicherheit
- Entwicklung und Steuerung unternehmensweiter Sicherheitsprogramme
- Management von Sicherheitsrisiken aus Führungsperspektive
- Planung und Durchführung von Vorfallreaktion und -bewältigung
- Kommunikation von Sicherheitsthemen gegenüber Geschäftsleitung und Fachbereichen
- Messung und Berichterstattung zur Wirksamkeit von Sicherheitsvorkehrungen
Das Modul Certified Information Systems Auditor vermittelt die Perspektive der unabhängigen Prüfung. Anders als im Sicherheitsmanagement steht hier die Bewertung bestehender Systeme und Prozesse im Vordergrund, nicht deren operative Steuerung.
- Grundlagen und Standards der IT-Systemprüfung
- Planung und Durchführung von Prüfungsaufträgen
- Bewertung von IT-Governance- und Managementstrukturen
- Prüfung von Systementwicklung, -beschaffung und -implementierung
- Beurteilung des Schutzes von Informationswerten
- Dokumentation und Berichterstattung von Prüfungsergebnissen
Das Modul Certified in Risk and Information Systems Control widmet sich dem systematischen Umgang mit IT-Risiken. Der Fokus liegt auf der Verbindung von Risikoidentifikation mit konkreten Kontrollmechanismen im IT-Umfeld.
- Identifikation und Klassifikation von IT-Risiken
- Bewertung von Eintrittswahrscheinlichkeit und Auswirkung
- Auswahl und Gestaltung von Kontrollen zur Risikominderung
- Überwachung und Anpassung bestehender Kontrollen
- Aufbau eines Risikoregisters und laufende Aktualisierung
- Kommunikation von Risikoeinschätzungen an unterschiedliche Zielgruppen im Unternehmen
Ein vierter Block führt die drei Perspektiven zusammen und zeigt, wie Sicherheitsmanagement, Auditierung und Risikosteuerung im Unternehmensalltag ineinandergreifen, statt getrennt voneinander betrachtet zu werden.
- Schnittstellen zwischen Sicherheitsmanagement und interner Revision
- Nutzung von Prüfungsergebnissen für die Risikosteuerung
- Aufbau eines gemeinsamen Berichtswesens für Sicherheit, Audit und Risiko
- Rollenverständnis: wann managt, wann prüft, wann bewertet man Risiko
- Umgang mit regulatorischen Anforderungen aus allen drei Perspektiven
- Fallbeispiele zu Zielkonflikten zwischen Sicherheitsanforderungen und Prüfungsunabhängigkeit
- Aufbau eines persönlichen Vorbereitungsplans für die Prüfungen der drei Zertifizierungen
- Vertiefung ausgewählter Prüfungsthemen je nach individuellem Schwerpunkt
- Diskussion realer Fallstudien aus Sicherheitsvorfällen, Audits und Risikoanalysen
- Vergleich der drei ISACA-Rahmenwerke hinsichtlich Zielsetzung und Methodik
- Rückschau, welches der drei Zertifikate für die eigene Karriereplanung im Vordergrund stehen sollte
- Verknüpfung der Modulinhalte zu einem einheitlichen Verständnis von IT-Governance
Die drei Module lassen sich einzeln buchen und einzeln abschließen, ergänzen sich aber inhaltlich: Wer beispielsweise zunächst als Prüferin oder Prüfer nach CISA arbeitet, profitiert vom CRISC-Modul für ein tieferes Risikoverständnis und vom CISM-Modul, sobald eine Führungsrolle im Sicherheitsmanagement ansteht. Am Ende der Weiterbildung verstehen Teilnehmende, wie Informationssicherheit, unabhängige Prüfung und Risikosteuerung im Unternehmen zusammenwirken – ein Verständnis, das über das reine Faktenwissen der einzelnen Prüfungen hinausgeht und die praktische Zusammenarbeit dieser drei Funktionen abbildet.
Lernziele:
- Rolle und Aufgaben eines Information Security Managers im Unternehmenskontext einordnen
- Governance-Strukturen für Informationssicherheit gemäß CISM-Rahmenwerk aufbauen und bewerten
- Sicherheitsprogramme entwickeln, steuern und deren Wirksamkeit messen
- Vorfallmanagement und Reaktion auf Sicherheitsvorfälle strukturieren
- Grundprinzipien der IT-Systemprüfung nach CISA-Standard anwenden
- Prüfungsprozesse für IT-Systeme und -Prozesse planen und durchführen
- IT-Governance und Management-Strukturen aus Prüfersicht bewerten
- Schutz von Informationswerten anhand von Kontrollzielen beurteilen
- IT-Risiken systematisch identifizieren, analysieren und bewerten gemäß CRISC
- Kontrollen zur Risikominderung auswählen, gestalten und deren Wirksamkeit überwachen
- Risikoberichte für Entscheidungsträgerinnen und -träger verständlich aufbereiten
- Zusammenhänge zwischen Sicherheitsmanagement, Auditierung und Risikosteuerung im Unternehmen erkennen und für die Prüfungsvorbereitung aller drei Zertifizierungen nutzen
Zielgruppe & Voraussetzungen
Die Weiterbildung richtet sich an Fachkräfte, die bereits im Bereich IT-Sicherheit, IT-Revision oder Risikomanagement tätig sind und ihre Kompetenzen durch anerkannte Zertifizierungen sichtbar machen möchten. Ebenso geeignet ist sie für Personen, die eine Spezialisierung in einem dieser drei Bereiche anstreben und sich durch die Kombination aller drei Perspektiven ein breiteres Fundament aufbauen wollen.
- IT-Sicherheitsverantwortliche mit Interesse an einer Managementzertifizierung
- IT-Auditorinnen und -Auditoren, die ihre Prüfungskompetenz zertifizieren lassen möchten
- Risikomanagerinnen und -manager im IT-Umfeld
- Fachkräfte aus der internen Revision mit IT-Schwerpunkt
- Berufserfahrene, die von einer operativen IT-Rolle in Sicherheits-, Prüfungs- oder Risikofunktionen wechseln möchten
Für alle drei Zertifizierungen sind fundierte Kenntnisse in IT-Sicherheit, IT-Systemen oder Risikomanagement hilfreich, wie sie typischerweise aus mehrjähriger Berufserfahrung im IT-Umfeld entstehen. Die offiziellen ISACA-Zertifizierungen selbst setzen für die vollständige Zertifizierung zusätzlich einschlägige Berufserfahrung voraus, die unabhängig vom Kurs bei ISACA nachgewiesen werden muss. Gute Englischkenntnisse erleichtern den Umgang mit den international geprägten Fachbegriffen der drei Rahmenwerke.
Ablauf & Abschluss
Die drei Module werden im Combined-Learning-Format unterrichtet, das Präsenz- oder Live-Online-Einheiten mit eigenständige Übungsphasen verbindet. Da die Zertifizierungen jeweils eigenständige Prüfungsinhalte mit spezifischer Terminologie haben, wechseln sich Theorieblöcke zu den ISACA-Rahmenwerken mit Fallbeispielen aus der Praxis ab. Die Weiterbildung findet überwiegend in Teilzeit statt, sodass sich die Vorbereitung auf die einzelnen Module über einen längeren Zeitraum verteilen lässt.
Da die drei Module einzeln buchbar sind, richtet sich der Gesamtumfang danach, ob ein, zwei oder alle drei Zertifizierungen vorbereitet werden. Die Teilzeitorganisation ermöglicht es, jedes Modul gründlich zu bearbeiten, bevor das nächste beginnt, was angesichts der unterschiedlichen Schwerpunkte der drei Rahmenwerke sinnvoll ist.
Der Kurs bereitet auf die Zertifizierungsprüfungen von ISACA für CISM, CISA und CRISC vor und schließt zusätzlich mit einem Lehrgangszertifikat des Kursanbieters ab. Die eigentlichen ISACA-Zertifizierungen werden nach bestandener Prüfung direkt von ISACA vergeben und setzen den Nachweis einschlägiger Berufserfahrung voraus; der Kurs selbst ersetzt diesen Nachweis nicht, sondern bereitet fachlich auf die jeweilige Prüfung vor.
Nutzen & Perspektiven
Der besondere Wert dieser Weiterbildung liegt darin, dass sie drei Rollen abdeckt, die in der Praxis eng zusammenarbeiten, aber selten in einem einzigen Kurs vereint werden: die steuernde Perspektive des Sicherheitsmanagements, die unabhängige Perspektive der Prüfung und die analytische Perspektive der Risikobewertung. Wer alle drei versteht, kann Sicherheitsthemen im Unternehmen aus mehreren Blickwinkeln einordnen statt nur aus einem. Für die berufliche Praxis bedeutet das einen klaren Vorteil bei der Kommunikation zwischen Abteilungen: Sicherheitsverantwortliche, die auch die Denkweise von Auditorinnen und Risikomanagern kennen, können deren Anforderungen besser antizipieren und Konflikte zwischen Sicherheitszielen und Prüfungsanforderungen frühzeitig erkennen. Da die Module einzeln buchbar sind, lässt sich die Weiterbildung zudem flexibel an die eigene Karriereplanung anpassen – etwa mit CISA als Einstieg in die Prüfungsperspektive, gefolgt von CRISC für die Risikoseite und CISM, sobald eine Führungsrolle im Sicherheitsmanagement erreicht wird.
Häufig gestellte Fragen (FAQ)
Muss ich alle drei Module CISM, CISA und CRISC gleichzeitig buchen?
Nein, die drei Module sind einzeln buchbar. Viele Teilnehmende starten mit einem Schwerpunkt und ergänzen die anderen beiden Zertifizierungen später, je nach beruflicher Ausrichtung.
Worin unterscheiden sich CISM, CISA und CRISC inhaltlich?
CISM behandelt die Steuerung von Informationssicherheit auf Managementebene, CISA die unabhängige Prüfung von IT-Systemen und -Prozessen, CRISC die Identifikation und Kontrolle von IT-Risiken. Der Kurs zeigt, wie die drei Perspektiven zusammenwirken.
Reicht der Kurs allein für die ISACA-Zertifizierung aus?
Der Kurs bereitet fachlich auf die jeweilige Prüfung vor. Für die vollständige Zertifizierung durch ISACA ist zusätzlich der Nachweis einschlägiger Berufserfahrung erforderlich, den ISACA unabhängig vom Kurs prüft.
Welche Vorkenntnisse sollte ich mitbringen?
Praktische Erfahrung in IT-Sicherheit, IT-Systemen oder Risikomanagement ist hilfreich, da alle drei Rahmenwerke auf einem Verständnis unternehmensweiter IT-Strukturen aufbauen. Gute Englischkenntnisse erleichtern den Umgang mit der Fachterminologie.
In welcher Form findet die Weiterbildung statt?
Der Unterricht erfolgt im Combined-Learning-Format aus Präsenz- oder Live-Online-Einheiten und Selbstlernphasen, überwiegend in Teilzeit organisiert.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Scientist3.283 Stellen
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen