Überblick
Dieses Weiterbildungsprogramm fasst vier der global gefragtesten Qualifikationen im Bereich Informationssicherheit zusammen: CISSP (Certified Information System Security Professional), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor) und CRISC (Certified in Risk and Information Systems Control). Wer alle vier Zertifizierungen ablegt, deckt das gesamte Spektrum moderner IT-Security-Verantwortung ab — von der Sicherheitsarchitektur über das strategische Sicherheitsmanagement bis hin zu Revisionspraxis und Risikosteuerung. Das Programm richtet sich an erfahrene IT-Fachkräfte, die eine belastbare und international anerkannte Expertise aufbauen und in leitenden Positionen tätig werden oder Auditorenaufgaben übernehmen wollen.
Kursinhalte & Lernziele
Das erste Modul widmet sich dem CISSP — der weltweit führenden Zertifizierung für IT-Sicherheitsprofis mit breitem Verantwortungsbereich. Die acht Domänen des Common Body of Knowledge (CBK) werden systematisch durchgearbeitet. Dabei geht es nicht nur um theoretische Konzepte, sondern um deren Anwendung in realen Sicherheitsszenarien: von der Netzwerksicherheit über Kryptographie bis hin zu Softwareentwicklungssicherheit.
- Sicherheits- und Risikomanagement: Prinzipien, Governance, Compliance und ethische Grundlagen
- Asset Security: Informationsklassifizierung, Eigentumsrechte, Datenschutz und Aufbewahrungsrichtlinien
- Sicherheitsarchitektur und -engineering: Secure-Design-Modelle, Kryptographie, Perimetersicherheit
- Kommunikations- und Netzwerksicherheit: Netzwerkarchitekturen, sichere Protokolle, Angriffserkennung
- Identitäts- und Zugriffsmanagement: Authentifizierungsverfahren, Zugriffsmodelle, Verzeichnisdienste
- Security Assessment und Testing: Auditstrategien, Schwachstellenanalyse, Penetrationstests
- Security Operations: Vorfallreaktion, forensische Analyse, kontinuierliches Monitoring
- Softwareentwicklungssicherheit: SDLC, sichere Programmierstandards, API-Sicherheit
Das zweite Modul behandelt CISM — die strategisch ausgerichtete Managementzertifizierung von ISACA für Sicherheitsverantwortliche. Im Mittelpunkt steht die Frage, wie Informationssicherheit als Unternehmensfunktion geführt wird: mit klarer Governance, messbaren Zielen und einer starken Verbindung zur Gesamtstrategie der Organisation.
- Informationssicherheits-Governance: Steuerungsrahmen, Policies, Rollen und Rechenschaftspflichten
- Risikomanagement für Informationen: Risikoidentifikation, Bewertungsmethoden, Risikoakzeptanz
- Informationssicherheitsprogramm-Entwicklung: Aufbau, Ressourcenplanung, Kennzahlen
- Incident Management: Eskalationswege, Kommunikationspläne, Nachsorge und Lektionen
Das dritte Modul konzentriert sich auf CISA — die weltweit anerkannte Zertifizierung für IT-Auditoren, Prüfer und Compliance-Verantwortliche. Inhaltlich umfasst es alle Phasen eines strukturierten IT-Audits: von der Planung über die Durchführung bis zur Berichterstattung. Dabei werden Revisionswerkzeuge und -techniken aus der Praxis eingesetzt.
- Auditprozess: Planung, Scope-Definition, Evidenzerhebung und Berichterstattung
- IT-Governance und Management: Kontrollen, Rahmenwerke (COBIT, ITIL 4, ISO 27001)
- Informationssysteme: Akquisition, Entwicklung, Implementierung und Testmethoden
- IT-Betrieb, Wartung und Service Management: Änderungsmanagement, Problemmanagement, Kapazitätsplanung
- Schutz von Informationsbeständen: logische und physische Zugriffskontrollen, Datensicherung
Das vierte Modul deckt CRISC ab — die ISACA-Zertifizierung, die speziell für Fachkräfte im IT-Risikomanagement entwickelt wurde. CRISC-Professionals verknüpfen technische Kontrollen mit unternehmerischen Risikoentscheidungen und tragen damit zu einer belastbaren Sicherheitskultur bei.
- IT-Risiko-Identifikation: Bedrohungsszenarien, Schwachstellenkataloge, Business-Impact-Analyse
- IT-Risiko-Bewertung: qualitative und quantitative Methoden, Risikomatrizen, Priorisierungsverfahren
- Risikosteuerung und -verminderung: Kontrollauswahl, Risikominderungsverfahren, Residualrisiko
- Kontroll-Monitoring: KRI-Definition, kontinuierliches Reporting, Eskalationsprozesse
Ergänzend zu den vier Modulen werden übergreifende Praxiskompetenzen vermittelt. Die Teilnehmenden bearbeiten realistische Szenarien, in denen mehrere Zertifizierungsdomänen gleichzeitig relevant sind — etwa bei der Reaktion auf einen Sicherheitsvorfall, der Vorbereitung eines IT-Audits oder der Kommunikation von Risiken an das Management.
- Fallstudien zu realen Sicherheitsvorfällen und deren Aufarbeitung
- Simulation von Audit-Interviews und Prüfberichts-Review
- Governance-Workshop: Sicherheits-Policy von der Lückenanalyse zum fertigen Dokument
- Risiko-Modellierung anhand branchentypischer Angriffspfade
- Übungsszenarien aus Bereichen wie Finanzdienstleistungen, Gesundheitswesen und kritischer Infrastruktur
- Verknüpfung von CISM-Strategieplanung mit CRISC-Risikosteuerung in einem gemeinsamen Framework
- Analyse von CISA-Prüfberichten und Ableitung von Handlungsempfehlungen
- Ausarbeitung eines unternehmensweiten Sicherheitsprogramms als Abschlussprojekt
- Koordination von Sicherheitsanforderungen mit externen Stakeholdern (Wirtschaftsprüfer, Regulatoren)
- Integration von Datenschutzanforderungen (DSGVO) in Audit- und Risikosteuerungsprozesse
- Aufbau von Metriken und Kennzahlensystemen für das laufende Monitoring
- Dokumentation und Kommunikation von Risikobefunden an Vorstand und Aufsichtsrat
Das Programm schließt je Modul mit einer auf die jeweilige Zertifizierungsprüfung ausgerichteten Vorbereitung ab. Die genaue Prüfungsanmeldung erfolgt eigenständig bei ISACA (für CISM, CISA, CRISC) und (ISC)² (für CISSP) — inklusive Nachweis einschlägiger Berufserfahrung, die beide Organisationen als Zulassungsvoraussetzung verlangen.
Lernziele:
Nach Abschluss des gesamten Programms beherrschen die Teilnehmenden die folgenden Kompetenzen.
- Sicherheitsarchitekturen nach CISSP-Domänen konzipieren, bewerten und weiterentwickeln
- Informationssicherheitsstrategien entwickeln und auf Unternehmensebene verankern (CISM)
- IT-Systeme, Prozesse und Kontrollen systematisch prüfen und Prüfberichte erstellen (CISA)
- Informationsrisiken identifizieren, bewerten und durch geeignete Kontrollverfahren steuern (CRISC)
- Sicherheitsprogramme an Unternehmenszielen und regulatorischen Anforderungen ausrichten
- Incident-Management-Prozesse strukturieren und Sicherheitsvorfälle kommunizieren
- Governance-Strukturen für Informationssicherheit und IT-Compliance gestalten
- Risikoregister pflegen und Kontrollrahmenwerke kontinuierlich überwachen
- Interne und externe Audits vorbereiten, begleiten und Prüfungsergebnisse bewerten
- Regulatorische Anforderungen wie ISO 27001, NIST oder COBIT in die Praxis überführen
- Auf alle vier Zertifizierungsprüfungen von ISACA und (ISC)² gezielt vorbereiten
Zielgruppe & Voraussetzungen
Das Programm spricht erfahrene Fach- und Führungskräfte aus der IT-Sicherheit an, die ihre Expertise durch international anerkannte Zertifizierungen belegen wollen.
- IT-Sicherheitsbeauftragte und Security-Manager, die eine strategische Perspektive stärken möchten
- IT-Auditoren und Compliance-Verantwortliche, die eine strukturierte Ausbildung im Prüfungswesen suchen
- Risikomanager, die technische Kontrollen mit unternehmerischen Entscheidungsprozessen verbinden
- Systemadministratoren und Netzwerktechniker mit mehrjähriger Praxis, die in Führungsrollen wechseln
- Chief Information Security Officers (CISOs) in spe oder solche, die ihre Kompetenzen formalisieren
Für die Vorbereitung auf CISSP ist laut (ISC)² eine mindestens fünfjährige hauptberufliche Erfahrung in mindestens zwei der acht CBK-Domänen erforderlich. CISM und CISA von ISACA setzen fünf Jahre Berufserfahrung im jeweils relevanten Bereich voraus; für CRISC sind ebenfalls mehrere Jahre praktische Erfahrung in IT-Risikokontrolle oder -Management gefordert. Fundierte Kenntnisse in Netzwerktechnologien, Betriebssystemen und IT-Sicherheitsgrundlagen sind für alle vier Module unverzichtbar. Gute Deutsch- oder Englischkenntnisse sind Voraussetzung für die Prüfungsteilnahme, da Originalunterlagen oft englischsprachig sind.
Ablauf & Abschluss
Das Programm wird im Combined-Learning-Format angeboten — Präsenzphasen wechseln mit betreuten Online-Einheiten, sodass bundesweite Teilnahme möglich ist. Jedes der vier Zertifizierungsmodule ist einzeln buchbar, was eine individuelle Abstimmung auf vorhandene Vorkenntnisse erlaubt. Im Unterricht dominieren Fallstudien, Gruppenanalysen und szenariobasierte Aufgaben; Dozierende mit eigener Prüfungs- und Praxiserfahrung stehen für inhaltliche Fragen zur Verfügung. Die Unterrichtssprache ist überwiegend Deutsch, Prüfungsvorbereitungsmaterialien liegen teils auf Englisch vor, da die Prüfungen von ISACA und (ISC)² international standardisiert sind.
Das Gesamtprogramm mit allen vier Zertifizierungsmodulen kann je nach gebuchtem Umfang und gewähltem Zeitmodell mehrere Monate in Anspruch nehmen. Vollzeit-Durchläufe sind ebenso möglich wie Teilzeit-Kombinationen, die eine Weiterbildung parallel zur Berufstätigkeit ermöglichen. Da jedes Modul einzeln abschließt, können die Prüfungen schrittweise abgelegt werden.
Jedes Modul schließt mit der Vorbereitung auf eine externe Zertifizierungsprüfung ab. Die Prüfungen werden von (ISC)² (CISSP) und ISACA (CISM, CISA, CRISC) abgenommen und sind weltweit anerkannte Industriezertifikate. Das Ablegen der Prüfungen erfolgt eigenständig an akkreditierten Prüfungszentren. Ergänzend stellen kooperierende Bildungsanbieter eine qualifizierte Teilnahmebescheinigung für das jeweilige Trainingsprogramm aus.
Nutzen & Perspektiven
Wer CISSP, CISM, CISA und CRISC in Kombination erwirbt, gehört zu einer kleinen Gruppe hochqualifizierter IT-Sicherheitsexperten, die sowohl technische als auch managementorientierte und auditbezogene Kompetenzen formal belegen können. Das öffnet Türen zu Positionen als CISO, Head of Security, IT-Risikobeauftragter oder leitender IT-Auditor — in Unternehmen, Behörden und Beratungsgesellschaften gleichermaßen. Die Zertifizierungen genießen in der Branche seit Jahrzehnten höchste Reputation. Aufgrund der anspruchsvollen Zulassungsvoraussetzungen und der rigorosen Prüfungen sind sie klare Signale für Arbeitgeber und Auftraggeber: Die zertifizierte Person hat nicht nur Wissen, sondern auch einschlägige Berufserfahrung nachgewiesen. In einer Zeit, in der Cyberangriffe, Datenschutzverletzungen und regulatorische Anforderungen zunehmen, wächst die Nachfrage nach solchen Profilen kontinuierlich. Das modulare Format gibt außerdem die Möglichkeit, gezielt in den Bereichen einzusteigen, in denen der größte Bedarf besteht — und das Programm schrittweise über die Zeit aufzubauen. So kann das vierteilige Zertifizierungsprogramm auch parallel zur Berufstätigkeit absolviert werden, ohne dass ein vollständiger Karriereunterbruch notwendig ist.
Häufig gestellte Fragen (FAQ)
Muss ich alle vier Zertifizierungen auf einmal buchen?
Nein. Das Programm ist modular aufgebaut — jedes der vier Zertifizierungsmodule (CISSP, CISM, CISA, CRISC) ist einzeln buchbar. So kann die Reihenfolge an vorhandene Kenntnisse und Kapazitäten angepasst werden.
Welche Berufserfahrung brauche ich für CISSP?
Für die offizielle CISSP-Zertifizierung verlangt (ISC)² mindestens fünf Jahre hauptberufliche Erfahrung in mindestens zwei der acht CBK-Domänen. Wer die Prüfung vorher ablegt, erhält zunächst den Status „Associate of (ISC)²" und kann die Erfahrung innerhalb von sechs Jahren nachreichen.
Wie unterscheiden sich CISM und CRISC?
CISM (Certified Information Security Manager) ist auf die strategische Steuerung von Sicherheitsprogrammen ausgerichtet — Governance, Incident Management und Sicherheitsstrategie. CRISC (Certified in Risk and Information Systems Control) fokussiert stärker auf operative Risikoidentifikation, -bewertung und die Implementierung von Kontrollverfahren.
In welcher Sprache finden die Prüfungen statt?
Die Zertifizierungsprüfungen von (ISC)² und ISACA werden international in englischer Sprache abgehalten (CISSP auch auf Japanisch und Koreanisch). Die Kursunterlagen sind überwiegend auf Deutsch; Prüfungsvorbereitungsmaterial liegt teils auf Englisch vor.
Werden die Zertifizierungen von Arbeitgebern anerkannt?
Ja — CISSP, CISM, CISA und CRISC gehören zu den am häufigsten in Stellenanzeigen für IT-Sicherheitspositionen genannten Qualifikationen weltweit. Sie werden von Unternehmen, Behörden und Beratungsgesellschaften als Beleg für fundierte Praxis und geprüftes Fachwissen anerkannt.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Scientist3.283 Stellen
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen