Überblick
Dieses Programm kombiniert die CompTIA Security+ als operatives Sicherheitsfundament mit den drei renommiertesten ISACA-Zertifizierungen im Bereich IT-Governance: dem Certified Information Security Manager (CISM), dem Certified Information Systems Auditor (CISA) und dem Certified in Risk and Information Systems Control (CRISC). Damit entsteht ein Kompetenzprofil, das weit über technische IT-Sicherheit hinausgeht und gezielt auf Führungs-, Audit- und Risikomanagement-Positionen vorbereitet. Das Kursformat ist als Combined Learning konzipiert und wird überwiegend in Teilzeit angeboten.
Kursinhalte & Lernziele
CompTIA Security+ (SY0-701) Security+ bildet das technische Fundament dieser Zertifizierungsreihe. Bevor Governance- und Audit-Konzepte greifen können, müssen die technischen Grundlagen der Informationssicherheit verstanden sein.
- Bedrohungsanalyse: Angriffstechniken, Angreifertypen, Malware-Kategorien und -Verhalten
- Kryptographie: symmetrische und asymmetrische Algorithmen, Hashing, PKI-Infrastruktur und Zertifikatsverwaltung
- Netzwerksicherheit: Firewalls, IDS/IPS, VPNs, Zero-Trust-Architekturen
- Identity and Access Management: RBAC, MFA, Privileged Access Management
- Sicherheitsarchitektur für Cloud- und Hybridumgebungen: CASB, Workload-Absicherung
- Compliance und Datenschutz: DSGVO-Grundprinzipien, Sicherheitsrichtlinien-Entwicklung
CISM — Certified Information Security Manager (ISACA) CISM richtet sich an IT-Sicherheitsverantwortliche, die Sicherheitsprogramme managen und strategisch ausrichten. Die vier CISM-Domänen decken das gesamte Spektrum des Informationssicherheitsmanagements ab.
- Domäne 1: Information Security Governance — Sicherheitsstrategie, Sicherheitsrahmen, Rollenkonzepte
- Domäne 2: Information Risk Management — Risikobewertung, Risikobehandlung, Risikoakzeptanz
- Domäne 3: Information Security Program Development and Management — Programmentwicklung, Ressourcen, Controlling
- Domäne 4: Information Security Incident Management — Incident-Response-Planung, Vorfallsmanagement, Recovery
- Sicherheitsmetriken und KPIs für das Reporting an Unternehmensführung und Aufsichtsgremien
- Integration von Sicherheitsmanagement in Unternehmensgovernance und regulatorische Anforderungen
CISA — Certified Information Systems Auditor (ISACA) CISA ist die weltweit führende Zertifizierung für IT-Revisoren und -Kontrolleure. Die fünf CISA-Domänen vermitteln das Rüstzeug für unabhängige Prüfungen von IT-Systemen und -Prozessen.
- Domäne 1: Information Systems Auditing Process — Auditplanung, Durchführung, Berichterstattung
- Domäne 2: Governance and Management of IT — IT-Governance-Frameworks, IT-Strategie, Management-Kontrollen
- Domäne 3: Information Systems Acquisition, Development and Implementation — SDLC-Prüfung, Change Management
- Domäne 4: Information Systems Operations and Business Resilience — Betriebskontrollen, Backup, DRP-Prüfung
- Domäne 5: Protection of Information Assets — Zugriffskontrollprüfung, Datenschutz, physische Sicherheit
- Auditstandards und -methoden: COBIT, ISACA-Auditleitlinien, interne vs. externe Revision
CRISC — Certified in Risk and Information Systems Control (ISACA) CRISC ist die spezialisierte ISACA-Zertifizierung für IT-Risikomanagement und die Gestaltung von IS-Kontrollsystemen. Sie richtet sich an Profis, die Risiken quantifizieren, steuern und kontrollieren.
- Domäne 1: IT Risk Identification — Risikoinventur, Risikolandkarten, Bedrohungs- und Schwachstellenanalyse
- Domäne 2: IT Risk Assessment — Risikobewertungsmethoden, qualitative und quantitative Bewertung, Risikotoleranz
- Domäne 3: Risk Response and Reporting — Risikobehandlungsstrategien, Risikoregister, Management-Reporting
- Domäne 4: Information Technology and Security — IS-Kontrollrahmen, Kontrolldesign, Kontrolleffektivität
- Risikokommunikation: Aufbereitung für Vorstands- und Aufsichtsratsberichte
- Integration von IT-Risikomanagement in Enterprise-Risk-Management-Frameworks (COSO, ISO 31000)
Praxis und angewandte Szenarien über alle vier Module Die Laborphasen verbinden technische Security+-Übungen mit Governance- und Audit-Szenarien, um den Übergang vom operativen in den strategischen Sicherheitsbereich gezielt zu trainieren. Exemplarische Aufgabenformate sind folgende Arbeiten.
- Schwachstellen-Scanning und Risikobewertung in einer Testumgebung
- Erstellung eines strukturierten Risikoregisters und Risikobehandlungsplans
- Simulierte Audit-Durchführung nach CISA-Standards mit Prüfprogramm und Bericht
- CISM-Szenario: Entwicklung einer Informationssicherheitsstrategie für ein fiktives Unternehmen
- CRISC-Szenario: Risikoidentifikation in einem hybriden IT-System mit Kontrollempfehlungen
- Incident-Response-Simulation aus Managementperspektive: Eskalation und Entscheidungsprozesse
- Sicherheitsmetrik-Dashboard: KPIs für das Sicherheitsreporting an die Unternehmensleitung
- Compliance-Gap-Analyse: Vergleich eines Ist-Zustands mit ISO 27001 und NIST-Framework
- Prüfung eines Disaster-Recovery-Plans nach CISA-Kriterien
- Rollenspiel: Auditpräsentation vor einem simulierten Aufsichtsgremium
- Erstellung eines IT-Risikoprofils nach CRISC-Methodik
- Abschlussprojekt: vollständige Sicherheitsgovernance-Bewertung eines fiktiven Unternehmens
Lernziele:
Das Programm baut folgende Kompetenzen auf.
- IT-Sicherheitsbedrohungen und -risiken nach dem CompTIA Security+ SY0-701-Rahmen zu analysieren und Schutzmaßnahmen zu entwickeln
- Informationssicherheitsprogramme strategisch zu planen, umzusetzen und zu steuern (CISM)
- IT-Kontrollen und -Prozesse nach anerkannten Audit-Standards zu prüfen und zu bewerten (CISA)
- IT-Risiken zu identifizieren, zu quantifizieren und in Risikoregister und Risikosteuerungsmaßnahmen zu überführen (CRISC)
- Sicherheitsrichtlinien und Governance-Strukturen für Organisationen zu entwickeln und zu kommunizieren
- IT-Compliance-Anforderungen (DSGVO, ISO 27001, COBIT, NIST) in operative Sicherheitskonzepte zu übersetzen
- Audit-Berichte und Risikobewertungen für Führungsebenen und Aufsichtsgremien aufzubereiten
- Informationssicherheitsvorfälle aus einer Governance-Perspektive zu managen und zu dokumentieren
- Kontrollrahmen und Assurance-Prozesse für IT-Systeme zu gestalten
- Sicherheitsinvestitionen risikobasiert zu begründen und priorisieren
- IT-Risikobewusstsein und Sicherheitskultur in Organisationen fördern und messbar machen
Zielgruppe & Voraussetzungen
Dieses Programm richtet sich an IT-Fachleute, die eine Karriere in der strategischen Informationssicherheit, im IT-Audit oder im Enterprise-Risikomanagement anstreben.
- IT-Sicherheitsverantwortliche, die in CISO- oder Security-Manager-Positionen wechseln oder sich darauf vorbereiten möchten
- IT-Revisoren und interne Prüfer, die ihre Audit-Kompetenz durch CISA formal absichern wollen
- Risikomanager und Compliance-Beauftrage, die IT-Risiken strukturiert managen und berichten möchten
- IT-Berater, die Unternehmen in Fragen der Sicherheitsgovernance und des IT-Audit beraten
- Führungskräfte und Projektleiter in der IT, die ein umfassendes Verständnis von Sicherheitsgovernance entwickeln möchten
Für die CompTIA Security+-Prüfung (SY0-701) empfiehlt CompTIA zwei Jahre praktische Sicherheitserfahrung oder vergleichbare Kenntnisse. Die ISACA-Zertifizierungen CISM, CISA und CRISC verlangen mehrjährige Berufserfahrung in ihren jeweiligen Fachgebieten: CISM fünf Jahre in der Informationssicherheit (davon drei in einer Managementfunktion), CISA fünf Jahre in der IT-Revision, CRISC drei Jahre in IT-Risikomanagement oder IS-Kontrollen. Prüfungen können jedoch bereits vor der vollständigen Erfüllung dieser Erfahrungsvoraussetzungen abgelegt werden — das offizielle Zertifikat wird nach Nachweis der Praxisanforderungen ausgestellt.
Ablauf & Abschluss
Der Kurs läuft im Combined-Learning-Format, das Präsenzunterricht mit selbstgesteuerten Lernphasen über digitale Plattformen kombiniert. Das überwiegende Teilzeitformat eignet sich für Berufstätige, die parallel zu ihren Governance- oder Sicherheitsaufgaben lernen. Fallstudien, Rollenspiele und praxisnahe Audit-Szenarien sind ein zentraler Bestandteil — insbesondere bei CISM und CISA, wo das Verständnis organisationaler Prozesse wichtiger ist als technisches Laborwissen.
Die Gesamtdauer hängt vom gewählten Lernpensum und den individuell kombinierten Modulen ab. Das Programm ist modular aufgebaut: Die vier Zertifizierungsmodule (Security+, CISM, CISA, CRISC) können einzeln gebucht und im eigenen Tempo durchlaufen werden. Ergänzende Trainings aus dem IT-Sicherheitsumfeld lassen sich bei Bedarf integrieren.
Nach bestandenen Prüfungen erhält man vier international anerkannte Zertifikate: CompTIA Security+ (SY0-701) von CompTIA sowie CISM, CISA und CRISC von ISACA. Die ISACA-Zertifizierungen gelten als Goldstandard für Informationssicherheitsmanagement, IT-Audit und Risikomanagement — sie sind in regulierten Branchen wie Finanzwesen, Versicherungen und öffentlicher Verwaltung stark nachgefragt. Alle vier Zertifikate müssen durch Prüfungen bei akkreditierten Testcentern erworben werden. Zusätzlich stellt der Bildungsträger eine qualifizierte Lehrgangsbescheinigung aus.
Nutzen & Perspektiven
Dieses Zertifikatspaket schließt eine Lücke, die viele technisch starke IT-Sicherheitsfachleute haben: strategisches Sicherheitsmanagement, strukturierte Auditpraxis und quantifizierbares Risikomanagement. Wer Security+ als Fundament mitbringt und dann CISM, CISA und CRISC hinzufügt, macht sich für Positionen qualifizierbar, die auf der Brücke zwischen IT-Betrieb und Unternehmensführung sitzen — eine Zone, in der Fachkräfte besonders selten und entsprechend wertvoll sind. ISACA-Zertifizierungen haben einen besonderen Stellenwert in regulierten Umgebungen. Finanzinstitute, Versicherungsgesellschaften, Krankenhäuser und Behörden suchen gezielt nach Personen, die IT-Risiken nicht nur technisch verstehen, sondern auch governance-seitig steuern und auditieren können. CISM, CISA und CRISC signalisieren genau diese Kombination — und das in einer international einheitlichen, prüfungsbasierten Form, die von Arbeitgebern weltweit akzeptiert wird. Die Kombination der drei ISACA-Abschlüsse mit dem kompakteren Security+-Fundament macht außerdem taktisch Sinn: Wer alle vier Zertifikate in einem integrierten Programm erwirbt, spart Zeit und kann Querverbindungen zwischen technischer Sicherheit und Governance im Lernprozess direkt herstellen — anstatt Wissen aus getrennten Trainings nachträglich zu verbinden.
Häufig gestellte Fragen (FAQ)
Was unterscheidet diesen Kurs von der CompTIA/CISSP-Variante?
Dieser Kurs setzt nach dem Security+-Fundament auf ISACA-Zertifizierungen: CISM (Informationssicherheitsmanagement), CISA (IT-Audit und -Kontrolle) und CRISC (Risikosteuerung und Kontrollsysteme). Das Profil ist stärker auf Governance, Audit und Risikomanagement ausgerichtet als auf technische Sicherheitsarchitektur oder operative Vorfallsbearbeitung.
Welche Erfahrungsvoraussetzungen verlangen die ISACA-Zertifizierungen?
ISACA verlangt für CISM fünf Jahre Berufserfahrung in der Informationssicherheit, davon mindestens drei Jahre in einer Managementrolle. CISA setzt fünf Jahre IT-Revisionserfahrung voraus; CRISC erfordert drei Jahre Berufspraxis in Risikomanagement oder IS-Kontrollen. Prüfungen dürfen vor der Erfüllung der Erfahrungsvoraussetzungen abgelegt werden; das Zertifikat wird nach Nachweis der Praxis ausgestellt.
Für welche Berufsfelder ist dieses Zertifikatspaket besonders relevant?
CISM/CISA/CRISC sind besonders gefragt in Positionen wie Chief Information Security Officer (CISO), IT-Auditor, Information Security Manager, Risk Manager, Compliance Officer und IT-Governance-Berater. Die ISACA-Zertifikate sind in regulierten Branchen (Finanzwesen, Gesundheitswesen, öffentliche Verwaltung) sehr hoch angesehen.
Wie bauen CISM, CISA und CRISC aufeinander auf?
Die drei ISACA-Zertifizierungen sind komplementär. CISM deckt das strategische Sicherheitsmanagement ab, CISA die Prüfungs- und Kontrollkompetenz und CRISC die Risikosteuerung in IT-Systemen. Gemeinsam schaffen sie ein vollständiges Governance-Profil, das von Sicherheitsstrategie über Kontrolle bis zur Risikoquantifizierung reicht.
Was ist der Abschluss dieses Kurses?
Nach bestandenen Prüfungen erhält man die vier internationalen Herstellerzertifikate: CompTIA Security+ (SY0-701), CISM, CISA und CRISC von ISACA. Zusätzlich stellt der Bildungsträger eine qualifizierte Lehrgangsbescheinigung aus. Die ISACA-Zertifikate sind unbegrenzt gültig, sofern die jährliche Pflichtfortbildung (Continuing Education) erfüllt wird.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Data Scientist3.283 Stellen
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen