Überblick
Dieser Kurs richtet sich an Fachkräfte, die bereits Grundkenntnisse in der IT-Sicherheit mitbringen — idealerweise eine TÜV-Zertifizierung als IT-Security-Beauftragte:r oder eine vergleichbare Qualifikation — und nun in eine koordinierende oder managementorientierte Rolle wachsen möchten. Im Mittelpunkt steht die Befähigung zur operativen Steuerung von Informationssicherheits-Managementsystemen (ISMS) nach ISO/IEC 27001 sowie das Verständnis der normativen Grundlagen, die in modernen Unternehmensumgebungen zunehmend gefordert werden. Der Kurs mündet in der TÜV-Zertifizierung als IT-Security-Manager:in — einer Personenzertifizierung, die von der TÜV-Organisation vergeben wird und keine einheitliche staatliche Prüfung, sondern ein anerkanntes Trägerzertifikat auf Basis definierter Curricula darstellt.
Kursinhalte & Lernziele
Informationssicherheit im organisationalen Kontext Dieser Eröffnungsblock legt die konzeptionelle Grundlage für alle weiteren Module. Er behandelt die Frage, warum Informationssicherheit nicht nur eine technische, sondern vor allem eine organisatorische und rechtliche Aufgabe ist. Compliance-Anforderungen aus Gesetzen wie dem BSI-Gesetz, der DSGVO oder branchenspezifischen Regelwerken werden in ihrer praktischen Bedeutung für Unternehmen eingeordnet.
- Informationssicherheit als strategisches Unternehmensthema
- Rechtliche Anforderungen und regulatorische Rahmenbedingungen
- Rollen und Verantwortlichkeiten im Sicherheitsmanagement (CISO, ISB, Koordinator:in)
- Compliance-Landschaft: DSGVO, BSI-Grundschutz, NIS2-Richtlinie
- Kategorisierung von Informationswerten und deren Schutzbedarf
Normen und Standards der Informationssicherheit Das Herzstück dieses Abschnitts ist die ISO/IEC 27001 — die führende internationale Norm für Informationssicherheits-Managementsysteme. Teilnehmende lernen, die Anforderungen der Norm strukturiert zu lesen, die zugehörige Normfamilie (27002, 27005) einzuordnen und den Zusammenhang zwischen Norm und betrieblicher Praxis herzustellen. Kontinuierliche Verbesserungsprozesse (KVP) als methodischer Rahmen werden ebenfalls behandelt.
- DIN ISO/IEC 27001: Struktur, Anforderungen und Kontrollen
- ISO/IEC 27002: Best Practices zur Implementierung
- ISO/IEC 27005: Risikomanagement-Rahmenwerk
- BSI-Grundschutz-Kompendium als deutsches Gegenstück
- KVP und seine Rolle im ISMS-Betrieb
- Informationssicherheits-Politik (IS-Policy): Anforderungen und Gestaltung
ISMS betreiben: PDCA-Zyklus in der Praxis Ein ISMS ist kein einmaliges Projekt, sondern ein dauerhafter Betriebsprozess. Dieser Modulblock erklärt, wie der Plan-Do-Check-Act-Zyklus konkret auf den ISMS-Betrieb angewendet wird — von der initialen Risikoanalyse über die Umsetzung von Maßnahmen bis hin zur regelmäßigen Management-Review. Besonderes Gewicht liegt auf der Dokumentationspflicht und der internen Auditfähigkeit.
- Planung: Scope, Kontext und Informationswerte bestimmen
- Umsetzung: Maßnahmenkataloge, Verantwortliche und Ressourcen
- Überprüfung: Interne Audits, KPIs und Kennzahlen zur Sicherheitsperformance
- Verbesserung: Korrekturmaßnahmen, Nichtkonformitäten bearbeiten
- Dokumentationsanforderungen der ISO/IEC 27001
Risikomanagement nach ISO/IEC 27005 Risikobewertung ist das methodische Fundament jedes ISMS. Dieser Abschnitt vermittelt, wie Risiken systematisch identifiziert, bewertet und behandelt werden — und wie das Ergebnis in nachvollziehbaren Risk-Treatment-Plänen dokumentiert wird.
- Risikoidentifikation: Assets, Bedrohungen und Schwachstellen
- Risikoanalyse und -bewertung: qualitative und quantitative Methoden
- Risikobehandlung: Akzeptieren, vermeiden, übertragen, reduzieren
- Restrisiko und Risikoakzeptanz durch die Unternehmensleitung
- Risk-Treatment-Pläne und deren Integration in das ISMS
Berichtswesen und Zertifizierungsprozess Der abschließende Abschnitt bereitet Teilnehmende auf ihre kommunikativen Aufgaben als IT-Sicherheitskoordinator:in vor: regelmäßige Berichte an die Unternehmensleitung, Vorbereitung auf externe Audits und den formalen Ablauf der ISO-27001-Zertifizierung. Die inhaltliche Auseinandersetzung mit dem TÜV-Lehrplan für IT-Security-Manager:innen bildet die Klammer des gesamten Kurses.
- Sicherheitsberichte: Struktur, Adressaten und Turnus
- ISO/IEC 27001-Zertifizierung: Stage-1- und Stage-2-Audit verstehen
- Umgang mit Auditor:innen und Dokumentationsanforderungen
- Typische Schwachstellen in ISMS-Implementierungen
- Praxisfallstudien aus dem ISMS-Betrieb in Unternehmen verschiedener Größen
Lernziele:
- die strategische und rechtliche Bedeutung von Informationssicherheit im Unternehmenskontext einordnen
- relevante Normen — insbesondere DIN ISO/IEC 27001 und 27002 — inhaltlich verstehen und deren Anforderungen ableiten
- ein Informationssicherheits-Managementsystem (ISMS) nach dem PDCA-Zyklus (Plan-Do-Check-Act) aufbauen und betreiben
- Risikomanagementprozesse gemäß ISO/IEC 27005 strukturieren und dokumentieren
- Informationssicherheits-Richtlinien (IS-Policies) entwickeln, abstimmen und kommunizieren
- Berichtswesen an Geschäftsführung, Auditor:innen und Behörden vorbereiten
- den Zertifizierungsprozess nach ISO/IEC 27001 begleiten und vorbereiten
- interne Audits und Gap-Analysen durchführen
- gesetzliche und regulatorische Anforderungen im Bereich IT-Sicherheit überblicken
- die eigene Koordinationsrolle im Verhältnis zu anderen Sicherheitsverantwortlichen (CISO, Datenschutzbeauftragte:r) abgrenzen
- ISMS-Dokumentation revisionssicher führen und für externe Prüfungen aufbereiten
Zielgruppe & Voraussetzungen
Dieser Kurs baut auf Grundlagenkenntnissen in der IT-Sicherheit auf und richtet sich an Personen, die in eine koordinierende oder managementorientierte Sicherheitsrolle wechseln möchten. Die Teilnehmenden sollten bereits mit grundlegenden IT-Sicherheitskonzepten vertraut sein.
- IT-Sicherheitsbeauftragte, die in eine Koordinator:innen- oder Manager:innen-Rolle aufsteigen wollen
- IT-Fachkräfte, die ISMS-Verantwortung übernehmen sollen
- Personen, die eine ISO-27001-Zertifizierung im Unternehmen vorbereiten oder begleiten
- IT-Verantwortliche, die ihr Wissen über Normen und Compliance systematisieren möchten
- Quereinsteiger mit Berufserfahrung und erster IT-Sicherheitsqualifikation
Erwartet wird eine abgeschlossene Berufsausbildung, ein Studium oder ausreichende einschlägige Berufserfahrung. Eine Vorzertifizierung als IT-Security-Beauftragte:r (TÜV) oder eine vergleichbare Qualifikation wird vorausgesetzt, da der Kurs auf Grundlagenwissen aufbaut. Gute Deutschkenntnisse in Wort und Schrift sowie grundlegende PC-Kenntnisse werden erwartet.
Ablauf & Abschluss
Der Kurs wird im Combined-Learning-Format durchgeführt, das Präsenz- und digitale Lernphasen kombiniert. Normtexte und Fallstudien aus der betrieblichen Praxis bilden die Arbeitsgrundlage. Gruppenarbeiten zu Gap-Analysen und Risikobewertungsszenarien fördern die Übertragung auf eigene berufliche Kontexte. Vollzeit- und Teilzeitvarianten stehen zur Verfügung.
Der Kurs erstreckt sich über mehr als eine Woche bis zu einem Monat, je nach gewähltem Durchführungsformat. Dieser Zeitrahmen ermöglicht eine gründliche Durcharbeitung der Norminhalte sowie ausreichend Übungszeit für die abschließende TÜV-Prüfung.
Der Kurs schließt mit einem Trägerzertifikat sowie der TÜV-Zertifizierung als IT-Security-Manager:in ab. Wichtig zu verstehen: Die Bezeichnung „IT-Security-Manager:in" entspricht keinem einheitlichen staatlichen Abschluss. Es handelt sich um eine Personenzertifizierung der TÜV-Organisation auf Basis eines definierten Curriculums — anerkannt in der Branche, aber kein IHK- oder Hochschulabschluss. Für Rollen, die explizit eine ISO-27001-Lead-Auditor- oder Lead-Implementer-Zertifizierung fordern, sind weiterführende Kurse erforderlich.
Nutzen & Perspektiven
Unternehmen sind zunehmend gesetzlich verpflichtet, Informationssicherheit nachweisbar zu managen — durch die NIS2-Richtlinie, branchenspezifische Regulierungen und die wachsende Anforderung externer Partner und Auftraggeber nach ISO-27001-konformen Prozessen. Personen, die ein ISMS eigenverantwortlich steuern und externe Audits gezielt vorbereiten können, sind auf dem Arbeitsmarkt gefragt. Die TÜV-Zertifizierung als IT-Security-Manager:in schafft einen sichtbaren Kompetenznachweis, der deutlich über ein internes Schulungszertifikat hinausgeht. Sie signalisiert Arbeitgebern und Kunden gleichermaßen, dass die zertifizierte Person die normativen Anforderungen der ISO/IEC 27001 versteht und in der Lage ist, Informationssicherheitsprozesse strukturiert zu koordinieren und weiterzuentwickeln. Für Personen, die bereits als IT-Sicherheitsbeauftragte:r arbeiten und den nächsten Karriereschritt konkret planen, bietet dieser Kurs die konzeptionelle Tiefe, die für Führungs- und Koordinationsaufgaben im Sicherheitsbereich erforderlich ist — von der sachgerechten Normauslegung bis zur kompetenten Kommunikation mit der Unternehmensleitung und externen Prüfstellen. Gleichzeitig schärft der Kurs das Bewusstsein dafür, dass Informationssicherheit keine einmalige Projektleistung ist, sondern ein laufender Steuerungsprozess, der kontinuierlich gepflegt, gemessen und an neue Bedrohungslagen angepasst werden muss. Wer dieses Verständnis glaubhaft verkörpert, ist in ISMS-Koordinationsrollen dauerhaft wertvoll — unabhängig davon, wie sich einzelne Normen und Gesetze weiterentwickeln.
Häufig gestellte Fragen (FAQ)
Was unterscheidet diesen Kurs vom IT-Security-Beauftragten-Kurs?
Der IT-Security-Beauftragte-Kurs vermittelt Grundlagen. Dieser Aufbaukurs setzt die TÜV-Zertifizierung als IT-Security-Beauftrage:r oder eine vergleichbare Qualifikation voraus und geht tiefer in den operativen ISMS-Betrieb nach ISO/IEC 27001, Risikomanagement nach ISO/IEC 27005 und das Berichtswesen für Auditor:innen und Unternehmensleitung ein.
Was bedeutet die TÜV-Zertifizierung als IT-Security-Manager:in?
Es handelt sich um eine Personenzertifizierung der TÜV-Organisation auf Basis eines definierten Curriculums. Sie ist kein staatlicher oder IHK-Abschluss, aber ein branchenweit anerkannter Nachweis von Managementkompetenz im Bereich Informationssicherheit.
Welche Normen stehen im Mittelpunkt?
Der Kurs behandelt hauptsächlich die ISO/IEC-27000er-Normfamilie: ISO/IEC 27001 als Grundlage für ISMS-Anforderungen, ISO/IEC 27002 für Best Practices und ISO/IEC 27005 für das Risikomanagement. Ergänzend wird der BSI-Grundschutz eingeordnet.
Welche Lernformen werden eingesetzt?
Der Kurs wird im Combined-Learning-Format durchgeführt — eine Kombination aus betreuten Präsenz- oder Online-Phasen und selbstgesteuerten Lernabschnitten. Normtexte und Fallstudien bilden die Arbeitsgrundlage; Gruppenübungen zu Gap-Analysen und Risikobewertungen fördern den Praxistransfer.
Öffnet dieser Kurs den Weg zu weiteren Qualifikationen?
Ja. Die TÜV-Zertifizierung als IT-Security-Manager:in ist ein anerkannter Kompetenznachweis im Karrierepfad der Informationssicherheit. Für weiterführende Rollen, z. B. als ISO-27001-Lead-Implementer oder Lead-Auditor, sind ergänzende Zertifizierungen erforderlich.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Berufsbild ist branchenübergreifend einsetzbar. Karrierechancen hängen stark von zusätzlicher Spezialisierung und Region ab.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- IT-Service-Delivery-Manager/IT-Service-Delivery-Managerin195 Stellen
- IT-Organisator/IT-Organisatorin127 Stellen