Überblick
Wer in IT-Sicherheitsmanagement, Audit oder Risikomanagement auf Führungsebene arbeiten will, braucht mehr als technisches Wissen — er braucht die Fähigkeit, organisatorische, regulatorische und operative Perspektiven zu verbinden. Dieser Lehrgang bereitet auf drei der angesehensten ISACA-Zertifizierungen der IT-Branche vor: Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA) und Certified in Risk and Information Systems Control (CRISC). Die drei Zertifikate decken unterschiedliche, aber eng miteinander verwobene Domänen ab — und genau diese Verflechtung ist der Kern des Programms: Sicherheitsgovernance, Audit-Methodik und Risikokontrolle greifen in der Praxis täglich ineinander. Das Programm richtet sich an erfahrene IT-Fachleute, die ihre Karriere in Richtung GRC, CISO oder Senior Audit konsequent weiterentwickeln möchten.
Kursinhalte & Lernziele
CISM — Certified Information Security Manager Das CISM-Modul behandelt die vier Kerndisziplinen des Information Security Managements: Governance, Risikomanagement, Programmentwicklung und Incident Management. Die Teilnehmenden lernen, wie eine Informationssicherheitsstrategie aus den Unternehmenszielen abgeleitet wird, welche Strukturen und Rollen nötig sind und wie Sicherheitsvorfälle gesteuert und nachbereitet werden. Ein besonderer Schwerpunkt liegt auf der Kommunikation mit dem Senior Management und der Aufsicht über Sicherheitsprogramme.
- Information Security Governance: Strategie, Strukturen, Aufsichtspflichten
- Risikomanagement: Bedrohungsanalyse, Sicherheitslücken, Restrisiko-Bewertung
- Informationssicherheitsprogramme aufbauen und steuern
- Incident Management und Response-Pläne entwickeln
- Business Continuity und Disaster Recovery im Sicherheitskontext
- Sicherheitsrichtlinien, Standards und Verfahren dokumentieren
CISA — Certified Information Systems Auditor Das CISA-Modul bildet das methodische Rückgrat für IT-Auditorinnen und Revisoren. Es vermittelt, wie Audit-Aufgaben strukturiert geplant, Kontrollen bewertet und Prüfergebnisse sachgerecht dokumentiert werden. Das COBIT-Framework dient als zentrales Referenzmodell für IT-Governance und Audit-Scoping. Fallbeispiele aus realen Audit-Situationen illustrieren, wie Prüfungsberichte aufgebaut und Empfehlungen wirksam kommuniziert werden.
- IT-Audit-Standards und -Rahmenwerke (ISACA, COBIT, ISO 27001)
- Prüfungsplanung: Risikobasierter Ansatz, Scope-Definition, Ressourcenplanung
- Kontrollbewertung: Gestaltungs- und Wirksamkeitsprüfung
- IT-Governance und Management-Strukturen prüfen
- Datenbankintegrität, Netzwerksicherheit und Systemzugang auditieren
- Berichterstattung: Befunde formulieren, Empfehlungen ableiten, Nachverfolgung sicherstellen
CRISC — Certified in Risk and Information Systems Control Das CRISC-Modul konzentriert sich auf die systematische Identifikation, Bewertung und Steuerung von IT-Risiken. Im Mittelpunkt stehen Risikoszenarien, Kontrollframeworks und die Definition von Key Risk Indicators (KRI), die eine frühzeitige Erkennung kritischer Risikotrends ermöglichen. Die Teilnehmenden erarbeiten Risikominderungsstrategien und lernen, wie Risikoberichte für unterschiedliche Zielgruppen — vom Fachbereich bis zum Vorstand — aufbereitet werden.
- IT-Risikoidentifikation und Szenario-Entwicklung
- Risikoanalyse: qualitative und quantitative Bewertungsverfahren
- IT-Risikoreaktionen: Akzeptanz, Transfer, Vermeidung, gezielte Abwehrschritte
- Key Risk Indicators (KRI) definieren und überwachen
- Risikoberichterstattung an das Management
- Risiko- und Kontrollbewertung im CRISC-Rahmenwerk
Praxisvertiefung — GRC-Integration und Compliance-Management Im abschließenden Vertiefungsblock verbinden die Teilnehmenden die drei Disziplinen zu einem integrierten GRC-Ansatz (Governance, Risk, Compliance). Anhand praxisnaher Szenarien wird gezeigt, wie Audit-Befunde in das Risikomanagement einfließen, wie Sicherheitskontrollen über alle drei Frameworks hinweg bewertet werden und wie regulatorische Anforderungen (z. B. DSGVO, ISO 27001, branchenspezifische Standards) in IT-Konzepte übersetzt werden.
- GRC-Frameworks und deren Zusammenspiel in der Praxis
- Mapping regulatorischer Anforderungen auf IT-Kontrollen
- Audit-Befunde und Risikomanagement-Zyklen synchronisieren
- DSGVO-Anforderungen im IT-Security-Kontext umsetzen
- Compliance-Monitoring und kontinuierliche Verbesserung
- Simulierte Audit- und Risikoprüfungssituationen
Lernziele:
- Informationssicherheitsprogramme nach CISM-Standards konzipieren, implementieren und kontinuierlich weiterentwickeln
- IT-Audits nach CISA-Rahmenwerk vollständig planen, durchführen und dokumentieren
- Risikobewertungen nach CRISC-Methodik durchführen und Key Risk Indicators definieren
- Governance-Strukturen für Informationssicherheit aufbauen und gegenüber der Unternehmensleitung kommunizieren
- Incident-Management-Prozesse entwickeln und koordinieren
- COBIT als Referenzrahmen für Audit und Governance einsetzen
- Compliance-Anforderungen (regulatorisch und vertraglicher Natur) in IT-Konzepte übersetzen
- Risikominderungsstrategien priorisieren und deren Umsetzung kontrollieren
- Revisions- und Prüfungsberichte professionell formulieren und präsentieren
- Audit-Befunde in umsetzbare Verbesserungsempfehlungen überführen
- Sicherheitskontrollen bewerten und Lücken gegenüber Standards nachweisen
- Datenschutz- und Compliance-Anforderungen mit operativen IT-Prozessen in Einklang bringen
Zielgruppe & Voraussetzungen
Dieser Lehrgang richtet sich an erfahrene IT-Fachkräfte, die auf Governance-, Audit- oder Risikoebene Verantwortung übernehmen möchten oder bereits tragen. Einsteigerinnen ohne IT-Background sind mit diesem Programm überfordert — der Kurs setzt fundiertes IT-Wissen voraus.
- IT-Sicherheitsverantwortliche, die ihre Managementrolle durch anerkannte Zertifikate absichern möchten
- IT-Auditoren und Risikoanalysten, die eine formale Zertifizierung anstreben
- GRC-Berater mit Spezialisierungswunsch im IT-Bereich
- Compliance-Beauftrage in IT-nahen Unternehmen oder Finanzinstituten
- Senior-IT-Fachleute mit Ambitionen auf eine CISO-Position
Der Kurs setzt mehrjährige praktische Erfahrung im IT-Bereich voraus. Kenntnisse in IT-Infrastruktur, Netzwerken, Sicherheitsprozessen oder IT-Compliance sind notwendig, um die Inhalte von CISM, CISA und CRISC vollständig zu erfassen. Für die CISA- und CISM-Zertifizierung verlangen ISACA zudem nachgewiesene Berufserfahrung im jeweiligen Fachbereich — dies sollte bei der Anmeldung berücksichtigt werden. Grundlegendes Verständnis regulatorischer Rahmenbedingungen (z. B. ISO 27001, DSGVO) ist von Vorteil.
Ablauf & Abschluss
Das Programm wird im Combined-Learning-Format umgesetzt, das synchrone Livesessions oder Präsenzphasen mit selbstgesteuerten Onlinephasen verbindet. Prüfungsrelevante Inhalte werden in strukturierten Einheiten erarbeitet; Fallstudien aus realen Audit- und Risikoprojekten vertiefen das Verständnis. Die Teilnehmenden analysieren Szenarien, formulieren Audit-Berichte und entwickeln Risiko-Frameworks in praktischen Übungen. Das Tempo orientiert sich an der Tiefe der drei Domänen — jedes Modul erhält den notwendigen Raum, damit Inhalte nicht nur für die Prüfung gelernt, sondern wirklich verstanden werden.
Der Lehrgang umfasst die vollständige Vorbereitung auf drei ISACA-Zertifizierungsprüfungen, was einen erheblichen Lernaufwand bedeutet. Er wird sowohl in Teilzeit als auch in Vollzeit angeboten. Die genaue Gesamtdauer variiert je nach gewähltem Zeitmodell — aktuelle Termine und Laufzeiten sind den jeweiligen Angeboten auf der Kursseite zu entnehmen.
Der Lehrgang bereitet auf die drei ISACA-Zertifizierungsprüfungen CISM, CISA und CRISC vor. Die Prüfungen werden von ISACA abgenommen und führen bei Bestehen zu global anerkannten Zertifizierungen. CISM und CISA setzen für die Zertifikatserteilung darüber hinaus nachgewiesene Berufserfahrung voraus, die nach der Prüfung eingereicht wird. Ergänzend stellt der Anbieter eine qualifizierte Teilnahmebescheinigung aus.
Nutzen & Perspektiven
CISM, CISA und CRISC einzeln zu absolvieren ist möglich — aber teuer, zeitaufwendig und lässt die Wechselwirkungen zwischen den drei Disziplinen im Dunkeln. Genau hier liegt der Mehrwert dieses Lehrgangs: Wer versteht, wie Audit-Befunde direkt in Risikominderungsstrategien einfließen und wie Sicherheitskontrollen sowohl aus Governance- als auch aus Audit-Perspektive bewertet werden, handelt nicht als Spezialist in seiner Silo-Funktion, sondern als Stratege. Diese integrierte Sichtweise wird in der Praxis zunehmend von Unternehmen erwartet — und von Prüfungsgremien und Aufsichtsbehörden vorausgesetzt. Die drei ISACA-Zertifikate zählen international zu den anerkanntesten Nachweisen im GRC-Bereich. Wer alle drei besitzt, positioniert sich für Rollen, die früher auf mehrere Personen verteilt wurden: IT-Security-Manager mit Audit-Kompetenz und Risikokontroll-Knowhow. Das ist kein akademisches Konstrukt — das ist die Realität in regulierten Branchen wie Finanzwesen, Gesundheitswesen und öffentlicher Verwaltung, in denen kombinierte GRC-Kompetenz nicht mehr optional ist. Über die Prüfungsvorbereitung hinaus entwickeln die Teilnehmenden eine Kommunikationsfähigkeit, die in der Praxis oft unterschätzt wird: die Fähigkeit, komplexe Risikobewertungen und Audit-Ergebnisse so aufzubereiten, dass Vorstände und Aufsichtsräte handlungsfähig werden. Dieser Brückenbau zwischen technischer Tiefe und strategischer Kommunikation ist der dauerhafteste Mehrwert, den dieses Programm vermittelt.
Häufig gestellte Fragen (FAQ)
Sind CISM, CISA und CRISC wirklich sinnvoll in Kombination?
Ja — die drei ISACA-Zertifikate ergänzen sich inhaltlich stark. CISM steuert die Sicherheitsstrategie, CISA prüft die Umsetzung und CRISC bewertet und steuert die Risiken. Wer alle drei beherrscht, kann GRC-Aufgaben integriert übernehmen, was in der Praxis zunehmend verlangt wird.
Welche Voraussetzungen verlangt ISACA für die Zertifikate?
Neben dem Bestehen der Prüfung setzt ISACA für CISM und CISA mehrjährige nachgewiesene Berufserfahrung im jeweiligen Fachbereich voraus. Diese wird nach der Prüfung eingereicht. Der Lehrgang bereitet auf die Prüfungsinhalte vor — die Berufserfahrung muss die Teilnehmenden selbst mitbringen.
Wie lange dauert der Lehrgang?
Die genaue Dauer hängt vom gewählten Zeitmodell (Vollzeit oder Teilzeit) ab. Da drei umfangreiche Zertifizierungsdomänen abgedeckt werden, ist ein erheblicher Lernaufwand einzuplanen. Aktuelle Laufzeiten sind auf der Kursseite zu finden.
Ist dieser Kurs auch für Quereinsteiger geeignet?
Nein. Der Lehrgang setzt fundierte IT-Kenntnisse und praktische Erfahrung voraus. Ohne diesen Hintergrund sind die Prüfungsinhalte von CISM, CISA und CRISC kaum zu bewältigen. Für den Einstieg in IT-Sicherheit gibt es geeignetere Grundlagen-Kurse.
Was unterscheidet CRISC von CISM im Bereich Risikomanagement?
CISM betrachtet Risikomanagement als eine von vier Domänen der Informationssicherheits-Governance — fokussiert auf Strategie und Programmentwicklung. CRISC widmet sich ausschließlich der operativen Risikoidentifikation, -bewertung und -steuerung mit starkem Fokus auf Key Risk Indicators und Kontrollframeworks. Beide Perspektiven zusammen geben ein vollständiges Bild.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT-Lizenzmanager/IT-Lizenzmanagerin38 Stellen