Überblick
Diese Weiterbildung richtet sich an IT-Sicherheitsfachleute, die bereits über eine fundierte Grundlage im IT-Sicherheitsmanagement verfügen und ihren Verantwortungsbereich in Richtung Koordination und Auditierung erweitern wollen. Das Programm kombiniert zwei inhaltlich eng verwandte Rollen: die IT-Sicherheitskoordinator:in als interne Anlaufstelle für alle sicherheitsrelevanten Prozesse einer Organisation sowie die IT-Security-Auditor:in als Person, die diese Prozesse unabhängig prüft und bewertet. Grundlage für die Auditierungsarbeit sind die Normen ISO 9001 (Qualitätsmanagementsysteme) und ISO/IEC 27001 (Informationssicherheitsmanagementsysteme). Der Kurs schließt mit einer TÜV-Zertifizierungsprüfung ab, die die erworbene Kompetenz extern bestätigt.
Kursinhalte & Lernziele
Modul 1: Normative Grundlagen — ISO 9001 und ISO/IEC 27001 Qualitäts- und Informationssicherheitsmanagementsysteme teilen strukturelle Gemeinsamkeiten, unterscheiden sich aber in ihrem Fokus erheblich. Dieser Block legt die Basis für das Verständnis beider Normen als Prüfungsrahmen für Audits.
- Aufbau und Kernforderungen der DIN EN ISO 9001
- Aufbau und Kernforderungen der ISO/IEC 27001 (ISMS)
- Vergleich und Schnittstellen zwischen beiden Normen
- Bedeutung von Zertifizierung und Akkreditierung im Kontext beider Normen
- Normanforderungen auf konkreten Unternehmenskontext anwenden
- Dokumentationsanforderungen und geforderte Aufzeichnungen
Modul 2: Audit-Vorbereitung und -Planung Ein gut vorbereitetes Audit ist mehr als die halbe Arbeit. Dieser Abschnitt zeigt, wie Auditziele definiert, Umfang festgelegt und alle Beteiligten vorbereitet werden.
- Auditobjekte, -geltungsbereich und -kriterien festlegen
- Audit-Programm und Einzelaudit-Planung
- Checklisten und Prüffragen auf Basis der Norm erstellen
- Rollenverteilung im Auditteam: Leitauditeur:in, Auditeur:in, technische Expert:innen
- Kommunikation mit der auditierten Organisation
- Umgang mit vertraulichen Informationen während des Audits
Modul 3: Audit-Durchführung und technische Tests Die Durchführungsphase stellt höchste Anforderungen an Systematik, Kommunikation und technisches Urteilsvermögen. Dieser Block deckt sowohl die methodische Durchführung als auch den Einsatz technischer Prüfwerkzeuge ab.
- Eröffnungsgespräch und Kick-off des Audits
- Methoden der Beweiserhebung: Interviews, Dokumentenprüfung, Beobachtung, technische Tests
- Einsatz von Auditwerkzeugen: Vulnerability-Scanner, Netzwerkanalyse, Log-Auswertung
- Technische Sicherheitstests im Audit-Rahmen
- Nonkonformitäten und Beobachtungen dokumentieren
- Abschlussgespräch: Ergebniskommunikation mit der auditierten Stelle
Modul 4: Auswertung, Reporting und Maßnahmenmanagement Ein Audit ist erst vollständig, wenn seine Ergebnisse in klare, handlungsorientierte Berichte und Maßnahmen überführt sind. Dieser Abschnitt vermittelt, wie Befunde strukturiert werden und wie das Management mit den Ergebnissen umgeht.
- Analyse und Bewertung gesammelter Audit-Nachweise
- Klassifizierung von Befunden: kritische Nonkonformität, Nebenabweichung, Verbesserungspotenzial
- Erstellung von Audit-Reports: Struktur, Sprache, Präzision
- Identifikation von Schwachstellen und Ableitung konkreter Korrekturmaßnahmen
- Management Review: Ergebnispräsentation an Leitungsebene
- Nachverfolgung von Maßnahmen und Wirksamkeitsprüfung
Praktische Übungen und Audit-Simulationen Das Kursprogramm legt besonderen Wert auf praktische Übungsformate, die die realen Anforderungen des Auditor:in-Alltags simulieren. Neben Dokumentenprüfungen kommen auch Rollenspiele zum Einsatz, bei denen Audit-Situationen durchgespielt werden.
- Dokumentenprüfung: ISMS-Dokumentation einer fiktiven Organisation auf ISO/IEC-27001-Konformität prüfen
- Normabweichungen in einem bereitgestellten Audit-Paket identifizieren
- Audit-Checkliste für einen definierten Geltungsbereich entwickeln
- Interview-Rollenspiel: Auditeur:in befragt Mitarbeitende zum Umgang mit Passwörtern und Datenzugriffen
- Technisches Szenario: Ergebnisse eines Netzwerkscans einordnen und bewerten
- Audit-Report schreiben: Befunde aus einem Übungsaudit strukturieren und dokumentieren
- Maßnahmenplan entwickeln: Prioritäten setzen, Verantwortliche zuordnen, Fristen festlegen
- Ergebnispräsentation vor simuliertem Management-Gremium
- Fallstudie: IT-Sicherheitsvorfall rückwirkend auf ISMS-Schwachstellen analysieren
- Selbstaudit-Simulation: Eigenes ISMS auf Lücken prüfen
Die Übungen sind so gestaltet, dass Teilnehmende die reale Komplexität und den Kommunikationsaufwand eines Audits erleben — von der Vorbereitung über die Durchführung bis zur Ergebnisaufbereitung.
Lernziele:
- Audit-Prozesse nach ISO 9001 und ISO/IEC 27001 von der Vorbereitung bis zur Nachbereitung eigenständig begleiten
- Auditobjekte, -ziele und Sicherheitsstandards definieren und dokumentieren
- Normanforderungen aus DIN EN ISO 9001 und ISO/IEC 27001 korrekt interpretieren und auf Unternehmenskontext anwenden
- Auditdurchführungen mit geeigneten Werkzeugen und technischen Tests begleiten
- Schwachstellen systematisch identifizieren, analysieren und in Reports dokumentieren
- Maßnahmen zur Behebung von Sicherheitslücken ableiten und deren Wirksamkeit beurteilen
- Management Reviews vorbereiten und Auditergebnisse strukturiert präsentieren
- IT-Sicherheitsmaßnahmen in einer Organisation koordinieren und deren Umsetzung überwachen
- Dokumentenprüfungen als Teil des Audit-Prozesses durchführen
- Rollenspiele und Simulationen zur Übung realer Audit-Situationen nutzen
- Die Anforderungen der TÜV-Zertifizierungsprüfung erfüllen
Zielgruppe & Voraussetzungen
Die Weiterbildung setzt solide Vorkenntnisse in IT-Sicherheitsmanagement voraus und ist kein Einstiegskurs.
- IT-Sicherheitsmanager:innen, die die Auditor:in-Qualifikation ergänzen wollen
- Informationssicherheitsbeauftragte (ISB / CISO), die Audits inhouse durchführen oder begleiten möchten
- IT-Leiter:innen und IT-Koordinator:innen mit Verantwortung für Compliance und Informationssicherheit
- Zertifizierte IT-Security-Manager:innen (TÜV) oder vergleichbar, die in die Auditor:in-Rolle wechseln
- Interne und externe Auditor:innen, die ihre Qualifikation für den IT-Sicherheitsbereich erweitern wollen
Für die Aufnahme in dieses Programm ist eine abgeschlossene Berufsausbildung, ein Studium oder ausreichende einschlägige Berufserfahrung erforderlich. Die wichtigste fachliche Voraussetzung ist eine abgeschlossene Zertifizierung als IT-Security-Manager:in (TÜV) oder eine vergleichbare Qualifikation im IT-Sicherheitsbereich. Gute Deutschkenntnisse in Wort und Schrift sowie solide PC-Kenntnisse werden vorausgesetzt.
Ablauf & Abschluss
Die Weiterbildung findet in Vollzeit und im Combined-Learning-Format statt. Präsenz- oder Live-Online-Phasen sind eng mit praktischen Übungsformaten verknüpft — Rollenspiele, Dokumentenprüfungen und Fallstudien bilden einen wesentlichen Anteil am Lernprogramm. Die Inhalte sind stark szenariobasiert: Statt abstrakter Vorträge stehen konkrete Auditsituationen im Mittelpunkt, an denen Methoden und Normanforderungen direkt geübt werden.
Die Weiterbildung dauert je nach Variante zwischen einer Woche und einem Monat. Das Vollzeitformat ermöglicht eine intensive, fokussierte Durchführung. Aufgrund der Tiefe der vermittelten Inhalte — zwei Normsysteme, vollständiger Audit-Prozess, technische Tests — ist eine ausreichende Lernzeit einzuplanen, auch um die TÜV-Prüfung erfolgreich zu absolvieren.
Der Kurs schließt mit einer TÜV-Zertifizierungsprüfung ab. Bei Bestehen wird ein TÜV-Zertifikat als IT-Sicherheitskoordinator:in inkl. IT-Security-Auditor:in ausgestellt. TÜV-Personenzertifikate im IT-Sicherheitsbereich gelten als anerkannte Qualifikationsnachweise in der deutschsprachigen Wirtschaft und werden von Arbeitgebern und Auftraggebern im Compliance-Umfeld geschätzt. Ergänzend wird ein trägerinternes Zertifikat über die absolvierte Weiterbildung ausgestellt.
Nutzen & Perspektiven
IT-Sicherheitskoordination und Security-Auditing sind zwei Rollen, die in der Praxis oft eng zusammenliegen. Als Sicherheitskoordinator:in verantwortet man die Planung, Steuerung und Überwachung aller sicherheitsrelevanten Maßnahmen innerhalb einer Organisation — als Auditor:in prüft man, ob diese Maßnahmen wirksam und normkonform umgesetzt sind. Wer beide Perspektiven versteht, kann in der eigenen Organisation wesentlich fundierter handeln: als kompetente:r Ansprechpartner:in für interne und externe Audits, als jemand, der Schwachstellen nicht nur meldet, sondern auch die Grundlage für ihre systematische Behebung legt. Die TÜV-Zertifizierung verschafft dieser Doppelqualifikation eine externe Glaubwürdigkeit, die in Ausschreibungen, Zertifizierungsverfahren und Compliance-Projekten zählt. Unternehmen, die nach ISO/IEC 27001 zertifiziert sind oder eine Zertifizierung anstreben, brauchen Mitarbeitende, die das Audit-System von innen kennen und aktiv mitgestalten können. Diese Weiterbildung bereitet genau darauf vor. Wer den Abschluss als IT-Security-Manager:in (TÜV) bereits mitbringt, findet in diesem Kurs den konsequenten nächsten Schritt: von der operativen Sicherheitsarbeit zur strategischen Koordination und unabhängigen Prüfung. Die Kombination beider TÜV-Zertifikate ist ein starkes Signal in einem Berufsfeld, in dem nachgewiesene Kompetenz und persönliche Verlässlichkeit unverzichtbar sind.
Häufig gestellte Fragen (FAQ)
Welche Vorkenntnisse brauche ich für diesen Kurs?
Der Kurs setzt eine abgeschlossene Qualifikation als IT-Security-Manager:in (TÜV) oder eine vergleichbare Zertifizierung im IT-Sicherheitsbereich voraus. Er richtet sich nicht an Einsteiger, sondern an Fachleute, die ihre Kompetenz gezielt in Richtung Koordination und Auditierung erweitern wollen.
Welches Zertifikat erhalte ich nach dem Kurs?
Nach bestandener TÜV-Zertifizierungsprüfung erhalten Teilnehmende ein TÜV-Personenzertifikat als IT-Sicherheitskoordinator:in inkl. IT-Security-Auditor:in. Zusätzlich wird ein trägerinternes Lehrgangszertifikat ausgestellt.
Was unterscheidet die Rollen IT-Sicherheitskoordinator:in und IT-Security-Auditor:in?
Die Sicherheitskoordinator:in steuert und überwacht intern alle sicherheitsrelevanten Maßnahmen einer Organisation. Die Auditor:in prüft unabhängig, ob diese Maßnahmen wirksam und normkonform umgesetzt sind. Beide Rollen ergänzen sich und sind Gegenstand dieses Kurses.
Welche Normen werden im Kurs behandelt?
Der Kurs behandelt zwei Normen: ISO 9001 (Qualitätsmanagementsysteme) und ISO/IEC 27001 (Informationssicherheitsmanagementsysteme). Beide dienen als Auditierungsrahmen, und ihre Unterschiede und Gemeinsamkeiten werden im Kurs systematisch erarbeitet.
Wie praktisch ist der Kurs aufgebaut?
Ein wesentlicher Teil des Programms besteht aus Audit-Simulationen, Rollenspielformaten und Fallstudien. Teilnehmende durchlaufen Audit-Situationen von der Vorbereitung bis zur Ergebnispräsentation — so entsteht ein realistisches Bild der späteren Berufspraxis.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Pflege- und Gesundheits-Fachkräfte sind seit 2018 durchgehend als Engpassberuf gelistet. Demografische Entwicklung treibt die Nachfrage; höhere Tarife in Pflege und Reform der Pflegeausbildung verbessern Einstiegsbedingungen 2025/26 weiter.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Sicherheits- und Gesundheitsschutz-Koordinator/Sicherheits- und Gesundheitsschutz-Koordinatorin131 Stellen
- IT-Organisator/IT-Organisatorin127 Stellen