Überblick
Diese Weiterbildung ist die umfassendste Option im Bereich IT-Governance, Risikomanagement und Audit für Fachleute, die in Führungs- oder Steuerungsfunktionen tätig sind oder dorthin aufsteigen möchten. Sie kombiniert vier renommierte Zertifizierungen des ISACA-Instituts und von CompTIA: CompTIA Security+, Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA) und Certified in Risk and Information Systems Control (CRISC). Alle vier Prüfungen sind im Paket enthalten. Das Programm schließt ein optionales Microsoft-365-Modul ein und bereitet Teilnehmende gezielt auf Positionen wie CISO, IT-Audit-Director, IT-Risk-Manager oder CIO vor.
Kursinhalte & Lernziele
CompTIA Security+ bildet die technische Grundlage des Programms. Dieses Modul stellt sicher, dass Teilnehmende auch als Manager und Auditoren die technischen Grundlagen von Angriffsmethoden, Schutzmaßnahmen und Sicherheitsarchitekturen beherrschen, was für glaubwürdige Führungs- und Prüfrollen unerlässlich ist.
- Bedrohungslandschaft und Angriffsvektoren (Malware, Social Engineering, Zero-Day)
- Sicherheitsimplementierung: Firewalls, IDS/IPS, Endpoint-Protection
- Kryptographie und PKI-Grundlagen
- Netzwerksicherheitsarchitekturen und Segmentierungsstrategien
- Identity & Access Management und Least-Privilege-Prinzip
- Sicherheitsoperationen und Incident-Response-Grundlagen
Das CISM-Modul (Certified Information Security Manager) fokussiert auf die Management-Dimension der Informationssicherheit. Teilnehmende lernen, Sicherheitsprogramme zu entwerfen, zu implementieren und an Unternehmenszielen auszurichten. CISM ist die bevorzugte Zertifizierung für alle, die Informationssicherheit als strategische Führungsaufgabe begreifen.
- Information Security Governance: Rahmenwerk, Strategie, Compliance
- Entwicklung und Steuerung von Informationssicherheitsprogrammen
- Incident Management: Vorbereitung, Erkennung, Reaktion, Nachbereitung
- Risikomanagement im CISM-Kontext: Risikobewertung und -behandlung
- Third-Party-Risikomanagement und Lieferantenaudits
- Reporting an das C-Level und den Vorstand
Das CISA-Modul (Certified Information Systems Auditor) ist der weltweite Standard für IT-Auditoren. Teilnehmende erlernen systematische Audit-Methoden, die Bewertung von Kontrollsystemen und die Berichterstattung über Audit-Ergebnisse. CISA wird von Regulatoren, Wirtschaftsprüfungsgesellschaften und Finanzinstituten weltweit anerkannt.
- IT-Audit-Prozess: Planung, Durchführung, Berichterstattung
- Governance und Management von IT-Systemen aus Audit-Perspektive
- Informationssysteme: Erwerb, Entwicklung, Implementierung, Kontrolle
- IT-Operations, -Wartung und -Servicemanagement auditieren
- Schutz von Informationswerten: Datensicherheit, Datenschutz, Kontinuität
- Compliance-Prüfung: DSGVO, ISO 27001, SOX, PCI-DSS
Das CRISC-Modul (Certified in Risk and Information Systems Control) rundet das Programm mit fokussiertem IT-Risikomanagement ab. CRISC-Inhaber sind spezialisiert auf die Identifizierung und Bewältigung von IT-Risiken und die Implementierung geeigneter Kontrollen, was sie zu gefragten Partnern für Vorstände und Risikokomitees macht.
- IT-Risikoidentifikation und -szenarioanalyse
- Risikobewertung: qualitative und quantitative Methoden
- Risiko-Response und Kontrolldesign
- Monitoring und Reporting von Risikoindikatoren (KRIs)
- IT-Risiko und Unternehmensrisiko: Integration in das ERM-Framework
- COBIT- und NIST-RMF-Anwendung
Praxismodul: Das Praxismodul simuliert eine vollständige Governance-Audit-Sequenz in einem fiktiven Unternehmen und verbindet alle vier Zertifizierungsinhalte.
- Risiko-Assessment nach CRISC-Methodik für ein mittelständisches Unternehmen
- Security-Program-Review gemäß CISM-Rahmenwerk
- IS-Audit-Planung und Audit-Scope-Festlegung (CISA)
- Durchführung eines Control-Audits für Zugriffsrechte und Berechtigungskonzepte
- Erstellung eines formalen Audit-Berichts mit Findings und Empfehlungen
- Präsentation der Ergebnisse vor einem simulierten C-Level-Gremium
- NIS2- und DSGVO-Compliance-Prüfung anhand einer Fallstudie
- Third-Party-Risikomanagement: Lieferantenbewertung und Vertragsprüfung
- SIEM-Log-Analyse und Anomalieerkennung in einem Security-Operations-Szenario
- Business-Continuity-Plan: Bewertung und Gap-Analyse
- Prüfungsvorbereitung CISM und CISA: Übungsklausuren, Fallfragen
- Prüfungsvorbereitung CRISC und Security+: Performance-Übungen und Flashcards
Die Praxisphase schließt mit einer vollständigen Prüfungsvorbereitungswoche ab. Erfahrene Trainerende mit eigenem CISM-, CISA- oder CRISC-Hintergrund betreuen die Teilnehmenden und geben gezieltes Feedback zu Stärken und Lücken.
Lernziele:
- Entwicklung und Steuerung unternehmensweiter Informationssicherheitsprogramme (CISM)
- Durchführung von IT-Audits nach international anerkannten Standards (CISA/ISACA)
- Identifikation, Bewertung und Behandlung von IT-Risiken im Unternehmenskontext (CRISC)
- Technische Grundlagen der Informationssicherheit nach CompTIA Security+
- Aufbau von Governance-Strukturen für Informationssicherheit in Übereinstimmung mit gesetzlichen Anforderungen
- Verständnis und Anwendung von Risikomanagement-Frameworks (ISO 31000, COBIT, NIST RMF)
- Planung und Durchführung von IS-Audits inklusive Berichterstattung und Nachverfolgung von Findings
- Gestaltung und Überwachung von internen Kontrollsystemen
- Bewertung von IT-Risiken und Ableitung von Maßnahmen für Vorstand und Aufsichtsrat
- Sicherstellung von Compliance: DSGVO, ISO 27001, BSI IT-Grundschutz, NIS2
- Kommunikation von Risiko- und Audit-Ergebnissen auf C-Level-Ebene
- Grundlegende Microsoft-365-Nutzung für professionelle Berichterstattung und Zusammenarbeit (optional)
Zielgruppe & Voraussetzungen
Diese Weiterbildung richtet sich an IT-Fachleute auf Seniorneniveau oder in Führungsverantwortung, die sich als IT-Manager, Risikoexperten oder Auditoren in einem zunehmend regulierten Umfeld positionieren wollen.
- IT-Leiterinnen und -Leiter, die eine fachlich fundierte Governance-Zertifizierung anstreben
- IT-Auditoren und Compliance-Managerinnen aus dem internen Revisions- oder Controllingbereich
- Risikomanagerinnen und -manager mit IT-Fokus oder Übergang aus dem Finanzbereich
- CISOs oder CISO-Anwärter, die ihre Zertifizierungsbasis verbreitern möchten
- Beraterinnen und Berater im Bereich IT-Governance, Risk und Compliance (GRC)
ISACA empfiehlt für die CISM-Prüfung mindestens fünf Jahre Berufserfahrung im Bereich Informationssicherheitsmanagement. Für CISA sind mindestens fünf Jahre Auditerfahrung gefordert (mit Erleichterungen bei akademischen Abschlüssen). CRISC setzt mindestens drei Jahre Erfahrung in zwei der CRISC-Domänen voraus. Für CompTIA Security+ werden ca. zwei Jahre IT-Erfahrung empfohlen. Im individuellen Beratungsgespräch vor Kursbeginn wird der Lernplan auf die vorhandene Erfahrung abgestimmt.
Ablauf & Abschluss
Die Weiterbildung erfolgt im Combined-Learning-Format: Präsenzphasen für intensive Gruppenarbeiten, Fallstudien und prüfungsnahe Diskussionen wechseln sich mit Online-Lernphasen für Selbststudium und virtuelle Labs ab. Das ISACA-Material für CISM, CISA und CRISC wird als Hauptlernmaterial eingesetzt. Erfahrene Trainerende aus der GRC-Praxis begleiten die Teilnehmenden durchgehend.
Die Weiterbildung erstreckt sich über mehr als einen Monat bis zu drei Monaten und ist in Vollzeit und Teilzeit buchbar. Der genaue Umfang hängt von der Modulauswahl und den Vorkenntnissen ab. Alle vier Zertifizierungsprüfungen (CompTIA Security+, CISM, CISA, CRISC) sind im Kurspaket enthalten.
Die Weiterbildung bereitet auf vier international anerkannte Zertifizierungen vor: CompTIA Security+, CISM und CISA (beide von ISACA) sowie CRISC (ebenfalls ISACA). Alle Prüfungen sind Bestandteil des Kurspaketes. Ergänzend erhalten Teilnehmende ein Lehrgangszertifikat des Anbieters. Die Kombination aus CISM, CISA und CRISC ist im Bereich IT-Governance und Audit einzigartig und qualifiziert für die höchsten Führungspositionen im IT-Sicherheitsbereich.
Nutzen & Perspektiven
CISM, CISA und CRISC sind nicht nur Zertifizierungen – sie sind international anerkannte Qualifikationsnachweise, die von Regulatoren, Wirtschaftsprüfern und Großunternehmen weltweit als Maßstab für Kompetenz in IT-Governance, Audit und Risikomanagement angesehen werden. Wer alle drei ISACA-Zertifizierungen plus CompTIA Security+ nachweisen kann, positioniert sich für die anspruchsvollsten und bestbezahlten Positionen im IT-Sicherheitsbereich. Unternehmen suchen heute händeringend nach Fachleuten, die in der Lage sind, IT-Risiken sowohl technisch als auch betriebswirtschaftlich zu bewerten und verständlich an Vorstände und Aufsichtsgremien zu kommunizieren. Diese Weiterbildung schult genau diese Brückenfunktion zwischen IT und Unternehmensführung. Teilnehmende lernen nicht nur, Risiken zu identifizieren, sondern auch, welche Maßnahmen wirtschaftlich vertretbar und strategisch sinnvoll sind. Bei AZAV-zertifizierten Bildungsträgern ist diese Weiterbildung in der Regel über den Bildungsgutschein der Bundesagentur für Arbeit oder der Jobcenter förderbar. Auch das Qualifizierungschancengesetz, die Berufsförderung der Bundeswehr (BFD), Leistungen zur Teilhabe am Arbeitsleben sowie Förderungen der Deutschen Rentenversicherung kommen je nach individueller Situation in Betracht.
Häufig gestellte Fragen (FAQ)
Was unterscheidet CISM, CISA und CRISC voneinander?
CISM fokussiert auf das Management und die Steuerung von Informationssicherheitsprogrammen. CISA ist der Standard für IT-Auditoren und deckt die systematische Prüfung von IT-Systemen und -Kontrollen ab. CRISC spezialisiert sich auf IT-Risikomanagement und die Gestaltung von Kontrollen. Zusammen decken sie die drei Kernbereiche moderner IT-Governance ab.
Für wen ist diese Weiterbildung geeignet?
Die Weiterbildung richtet sich an erfahrene IT-Fachleute in Management- oder Audit-Positionen sowie an Personen, die in diese Rollen aufsteigen möchten. Typische Zielgruppen sind IT-Leiter, interne Auditoren, Risikomanager und GRC-Consultants.
Welche Berufserfahrung ist für die ISACA-Zertifizierungen erforderlich?
ISACA empfiehlt für CISM und CISA jeweils mindestens fünf Jahre einschlägige Berufserfahrung; für CRISC mindestens drei Jahre in zwei der vier CRISC-Domänen. Akademische Abschlüsse können Erfahrungsanforderungen teilweise ersetzen.
Sind alle vier Prüfungsgebühren im Kurspreis enthalten?
Ja, alle vier Zertifizierungsprüfungen – CompTIA Security+, CISM, CISA und CRISC – sind im Kurspaket enthalten. Details zu Prüfungsterminen und -modalitäten werden im Beratungsgespräch vor Kursbeginn geklärt.
Kann diese Weiterbildung über einen Bildungsgutschein gefördert werden?
Bei AZAV-zertifizierten Anbietern ist eine Förderung über den Bildungsgutschein der Agentur für Arbeit oder Jobcenter in der Regel möglich. Auch das Qualifizierungschancengesetz und andere Förderwege wie die Deutsche Rentenversicherung kommen je nach Situation in Betracht.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Information Security Officer200 Stellen
- Chief-Information-Security-Officer103 Stellen
- Cyber-Security-Consultant86 Stellen
- IT-Lizenzmanager/IT-Lizenzmanagerin38 Stellen
- IT-Auditor0 Stellen