Überblick
Diese Weiterbildung verbindet zwei komplementäre Sicherheitsdisziplinen: Die SC-900-Zertifizierung gibt einen strukturierten Überblick über das Microsoft-Sicherheits- und Compliance-Portfolio — von Entra ID über Microsoft Purview bis zu Defender und Sentinel. Das ISTQB Advanced Level Security Tester-Zertifikat (CTAL-SEC) rückt die Softwaretest-Perspektive in den Vordergrund: Es behandelt, wie sicherheitsrelevante Tests in Entwicklungs- und Qualitätssicherungsprozessen verankert werden. Während SC-900 die Cloud- und Compliance-Infrastruktur eines Unternehmens beleuchtet, fragt CTAL-SEC, wie Software selbst gegen Angriffe getestet wird. Die Kombination bietet ein breites Sicherheitsverständnis, das sowohl Plattform- als auch Produktebene abdeckt.
Kursinhalte & Lernziele
Modul 1 — SC-900: Identitäts- und Zugriffsverwaltung mit Microsoft Entra Identität ist der primäre Angriffspunkt in modernen Cloud-Umgebungen. Dieses Modul legt den Grundstein für ein sicheres Identitätsmanagement auf Basis von Microsoft Entra ID, das Benutzerverwaltung, Authentifizierungsrichtlinien und Zugriffskontrolle in einer zentralen Plattform vereint.
- Mandantenarchitektur in Microsoft Entra ID: Benutzer, Gruppen, Dienstprinzipale
- Authentifizierungsverfahren: MFA, kennwortloser Zugriff (FIDO2, Windows Hello)
- Conditional Access: Richtlinienbasierte Zugriffskontrolle auf Basis von Signalen und Kontext
- Microsoft Entra ID Protection: Risikobasierte Anmeldungen erkennen und blockieren
- Privileged Identity Management (PIM): Zeitbegrenzte Rollen und Just-in-Time-Zugriff
- Hybride Identität: Entra Connect und Azure AD DS
Modul 2 — SC-900: Bedrohungsschutz, Compliance und Purview Nachdem die Identitätsgrundlagen gesetzt sind, richtet dieses Modul den Blick auf die Erkennungs- und Reaktionsmechanismen sowie die Compliance-Infrastruktur im Microsoft-Ökosystem. Defender und Sentinel ergänzen Purview als ganzheitliches Sicherheits-Framework.
- Microsoft Defender for Cloud: kontinuierliche Sicherheitsbewertung und Schutzempfehlungen
- Microsoft 365 Defender: einheitliches XDR für E-Mail, Endpunkte, Identitäten, Anwendungen
- Microsoft Sentinel: SIEM-Architektur, Konnektoren, KQL-basierte Analyseregeln, Incident-Management
- Microsoft Purview: Sensitivitätsbeschriftungen, DLP, Records Management
- Compliance-Manager: Compliance-Scores, Kontrollmechanismen, Nachweisführung
- DSGVO und Datenschutzkonzepte im Microsoft Trust Center
Modul 3 — ISTQB Advanced Level Security Tester (CTAL-SEC): Grundlagen und Bedrohungsmodellierung Das ISTQB Advanced Level Security Tester-Zertifikat setzt ISTQB Foundation Level (CTFL) voraus und baut systematisch auf diesem Fundament auf. Dieses Modul führt in die Konzepte des sicherheitsorientierten Testens ein und vermittelt, wie Bedrohungsmodelle die Testplanung steuern.
- Grundbegriffe der Informationssicherheit im Testkontext: CIA-Triad, Schwachstellen, Bedrohungen, Risiken
- Bedrohungsmodellierung mit STRIDE und DREAD als Grundlage für Testfallableitung
- Sicherheitstest-Typen: Black-Box, Grey-Box, White-Box-Sicherheitstest
- Abgrenzung von Vulnerability Assessment, Penetrationstest und Sicherheitsaudit
- Security Testing im SDLC: Shift-Left-Ansatz und Security by Design
- OWASP Testing Guide als Methodenrahmen
Modul 4 — ISTQB Advanced Level Security Tester: Testtechniken und DevSecOps-Integration Dieser Abschnitt behandelt konkrete Testtechniken, mit denen Sicherheitsprobleme in Software gefunden werden. Besonderer Wert wird auf die Integration von Sicherheitstests in agile Prozesse und CI/CD-Pipelines gelegt — ein wachsender Anforderungsbereich in der Softwareentwicklung.
- Whitebox-Techniken: Code Review auf Sicherheitsschwachstellen, statische Analyse
- Dynamische Testtechniken: Fuzzing, Boundary-Value-Tests mit Sicherheitsfokus
- OWASP Top 10 im Testprozess: SQL Injection, XSS, Authentifizierungsschwächen testen
- Sicherheitstests in agilen Sprints und DevSecOps-Pipelines (SAST, DAST, IAST)
- Testmetriken für Sicherheit: Schwachstellendichte, Mean Time to Detect/Remediate
- Berichterstellung für Sicherheitstests: Befundbeschreibung, Risikoklassifizierung, Empfehlungen
Theorie wird durch angeleitete Laborübungen gefestigt, die beide Zertifizierungsbereiche abdecken.
- Microsoft-Lernlabs: Konfiguration von Conditional-Access-Richtlinien, Analyse von Defender-Dashboards
- Einlesen in Microsoft Sentinel Workbooks und Simulieren von Alert-Szenarien
- Bedrohungsmodellierung mit STRIDE für eine fiktive Webanwendung
- Ableitung von Testfällen aus einem STRIDE-Modell und Mapping auf OWASP Top 10
- Analyse statischer Code-Beispiele mit bewusst eingebetteten Sicherheitslücken
- Übungen zur Testergebnisdokumentation im Format von ISTQB-konformen Prüfberichten
- Diskussion von Case Studies zu realen Sicherheitsvorfällen und ihrer Verhütbarkeit durch Testing
- Integration eines einfachen DAST-Tools in eine Beispiel-CI-Pipeline
Lernziele:
- Konzeptionelle Grundlagen von Microsoft-Cloud-Sicherheit, Compliance und Identitätsverwaltung benennen und einordnen
- Kernfunktionen von Microsoft Entra ID, Microsoft Defender-Familie und Microsoft Purview erläutern
- Zero-Trust-Modell und das Prinzip der minimalen Rechtevergabe auf reale Szenarien anwenden
- Sicherheitstest-Konzepte im Softwareentwicklungs- und Qualitätssicherungsprozess verankern
- Sicherheitsanforderungen aus Bedrohungsmodellen ableiten und Testfälle daraus formulieren
- Unterschiedliche Testtechniken für Vertraulichkeit, Integrität und Verfügbarkeit einsetzen
- Vulnerability Scans und Penetrationstests als Teil eines strukturierten Testprozesses planen und begleiten
- Sicherheitstests in agilen und DevSecOps-Umgebungen integrieren
- Audit-Nachweise und Testergebnisse für Compliance-Zwecke aufbereiten
- OWASP-Top-10-Schwachstellen beschreiben und testbasiert adressieren
- Testmetriken für Sicherheit erheben und interpretieren
Zielgruppe & Voraussetzungen
Diese Kombination richtet sich an technische Profile, die Sicherheit aus beiden Richtungen betrachten: aus der Perspektive der Cloud-Infrastruktur und aus der Perspektive der Softwarequalität.
- Software-Tester und QA-Engineers mit Sicherheitsspezialisierungswunsch
- Entwickler, die ihre Sicherheitstestkenntnisse formalisieren möchten
- Security-Analysten in Unternehmen mit starker Microsoft-365-Prägung
- IT-Fachkräfte in Branchen mit hohen Compliance-Anforderungen (Finanz, Gesundheit, öffentliche Hand)
- Berufswechsler aus IT-Support oder Administration mit Ambitionen in der Qualitätssicherung
Für den ISTQB Advanced Level Security Tester ist das ISTQB Foundation Level Certificate (CTFL) eine formale Voraussetzung — Teilnehmer ohne dieses Zertifikat sollten es vor Kursbeginn erwerben oder parallel anstreben. Grundkenntnisse in Softwareentwicklungsprozessen und allgemeine IT-Sicherheitskonzepte sind hilfreich. Für den SC-900-Teil ist allgemeines IT-Verständnis ausreichend.
Ablauf & Abschluss
Der Unterricht wird als Live-Virtualisierung mit interaktiven Theorieblöcken und begleitenden Übungsphasen durchgeführt. Für CTAL-SEC-Inhalte werden strukturierte Fallstudien und werkzeuggestützte Übungen eingesetzt; SC-900-Themen werden mit Microsoft-Labs ergänzt. Teilnehmer erhalten Zugang zu konfigurierten Übungsumgebungen für beide Lernbereiche. Vor-Ort-Arbeitsplätze und HomeOffice-Teilnahme sind möglich.
Die Weiterbildung erstreckt sich über mehr als einen Monat bis zu drei Monate im Vollzeitformat. Die genaue Dauer richtet sich nach dem individuellen Lernplan und der gewählten Modulkombination. Teilzeitvarianten können nach Absprache realisiert werden.
Der Kurs bereitet auf die externe SC-900-Zertifizierungsprüfung von Microsoft und auf das ISTQB Advanced Level Security Tester Exam (CTAL-SEC) des International Software Testing Qualifications Board vor. Beide Prüfungen werden separat bei den jeweiligen Prüfungsorganisationen abgelegt. Der Bildungsträger stellt eine qualifizierte Teilnahmebescheinigung aus. Das CTAL-SEC-Zertifikat ist unbefristet gültig, solange die CTFL-Grundlage aktiv ist.
Nutzen & Perspektiven
Das ISTQB Advanced Level Security Tester-Zertifikat (CTAL-SEC) ist in der Softwaretest-Community ein anerkannter Nachweis für spezialisierte Sicherheitstestkompetenz. In Unternehmen, die Software entwickeln oder integrieren und gleichzeitig regulatorischen Anforderungen unterliegen, wird genau diese Qualifikation zunehmend gesucht: Jemand, der nicht nur testet, sondern Sicherheit systematisch in den Entwicklungszyklus einbettet. Die Verbindung mit dem Microsoft-Sicherheitsfundament aus SC-900 ist besonders für Tester und QA-Fachleute in Organisationen relevant, die auf Microsoft-Cloud-Dienste setzen. Wer versteht, wie Microsoft Defender Schwachstellen erkennt und wie Microsoft Purview mit Datenschutzanforderungen umgeht, kann Sicherheitstests besser kontextualisieren und Ergebnisse für Compliance-relevante Entscheidungen aufbereiten. Die Kombination beider Zertifizierungen schließt eine Qualifikationslücke, die viele QA-Fachleute haben: das Verständnis für plattformseitige Sicherheitsmechanismen. Umgekehrt profitieren Security-Analysten davon, strukturiertes Testwissen in ihren täglichen Umgang mit Schwachstellen einfließen zu lassen.
Häufig gestellte Fragen (FAQ)
Was ist das ISTQB Advanced Level Security Tester (CTAL-SEC)-Zertifikat?
CTAL-SEC ist ein international anerkanntes Zertifikat des ISTQB (International Software Testing Qualifications Board) auf der Advanced Level-Stufe. Es richtet sich an erfahrene Tester, die sich auf Sicherheitstesting spezialisieren möchten. Es setzt das ISTQB Foundation Level-Zertifikat (CTFL) voraus.
Muss ich das ISTQB Foundation Level haben, um an diesem Kurs teilzunehmen?
Für die CTAL-SEC-Prüfung ist das CTFL eine formale Voraussetzung. Der Kurs setzt diese Grundlage voraus. Wenn Sie das CTFL noch nicht haben, sollten Sie es vor Kursbeginn erwerben oder parallel in Vorbereitung nehmen.
Was unterscheidet ISTQB Security Testing von einem klassischen Penetrationstest?
Ein Penetrationstest ist ein einmaliger, operativer Angriffssimulation. ISTQB Security Testing fokussiert auf die systematische Integration von Sicherheitstests in den Softwareentwicklungsprozess — von Anforderungsanalyse über Code Reviews bis zu dynamischen Tests. Beide Ansätze ergänzen einander, sind aber unterschiedlich ausgerichtet.
Wie lange ist das CTAL-SEC-Zertifikat gültig?
Das CTAL-SEC-Zertifikat selbst hat keine Ablaufzeit. Allerdings muss die zugrunde liegende CTFL-Zertifizierung gültig bleiben. ISTQB-Zertifikate auf Advanced Level verfallen nicht automatisch, aber Arbeitgeber erwarten in der Regel aktuelles Praxiswissen.
Ist der Kurs für Personen ohne Programmiererfahrung geeignet?
Grundlegende Kenntnisse in der Softwareentwicklung und im Testprozess sind für den CTAL-SEC-Teil hilfreich, da Konzepte wie Code Reviews und statische Analyse behandelt werden. Tiefgreifende Programmierfähigkeiten sind für den Kurs selbst nicht notwendig, erleichtern jedoch das Verständnis einiger Inhalte.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Wirtschaftsinformatik (grundständig)4.204 Stellen
- Security Consultant992 Stellen
- Sicherheitsmanagement (weiterführend)178 Stellen
- Compliance Officer177 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen
- Medieninformatik (grundständig)5 Stellen