Überblick
Dieser Kurs verbindet zwei inhaltlich komplementäre Zertifizierungsprogramme: SC-900, Microsofts Einstiegszertifizierung zu Sicherheit, Compliance und Identity in der Microsoft-Cloud, und CISM, die von ISACA angebotene Zertifizierung für erfahrene Informationssicherheitsmanager. Während SC-900 die technische Plattformperspektive abdeckt — Microsofts Sicherheitsdienste, Identitätsverwaltung und Compliance-Lösungen —, adressiert CISM die strategische Managementdimension: Wie wird Informationssicherheit in einer Organisation geführt, gemessen und weiterentwickelt? Die Kombination beider Zertifizierungen ist besonders für Fachkräfte interessant, die sowohl technisches Verständnis als auch eine managementorientierte Sicherheitsperspektive aufbauen möchten.
Kursinhalte & Lernziele
Modul 1 — SC-900: Microsoft Sicherheit, Compliance und Identity Fundamentals Das erste Modul gibt einen strukturierten Überblick über die Microsoft-Sicherheitsarchitektur und bildet das technische Fundament für den gesamten Kurs. Teilnehmende verstehen, wie Microsofts Sicherheitsdienste ineinandergreifen und wie Identity als Kontrollpunkt moderner IT-Sicherheit funktioniert.
- Zero Trust-Modell: Grundprinzipien und Umsetzung in der Microsoft-Cloud
- Microsoft Entra ID: Authentifizierung, Autorisierung, Conditional Access, Privileged Identity Management
- Microsoft Sentinel: SIEM-Überblick auf Fundamentals-Ebene
- Microsoft Defender-Familie: Endpoint, Identity, Office 365, Cloud Apps — konzeptueller Überblick
- Microsoft Purview: Datenschutz, Information Protection, eDiscovery, Compliance Manager
- Compliance-Score und integrierte Bewertungstools im Microsoft 365 Compliance Center
Modul 2 — CISM-Domäne 1 und 2: Informationssicherheits-Governance und Risikomanagement Die CISM-Zertifizierung richtet sich an erfahrene Sicherheitsmanager. Die ersten beiden Domänen behandeln die strategische Grundlage des Sicherheitsmanagements: Wie wird Sicherheit als Managementdisziplin ausgestaltet, und wie werden Risiken systematisch gehandhabt?
- Aufbau einer Informationssicherheits-Governance-Struktur: Rollen, Zuständigkeiten, Policies
- Ausrichtung der Sicherheitsstrategie an Geschäftszielen (Business Alignment)
- Risikobewertungsframeworks: qualitative und quantitative Methoden, Risikoappetit
- Behandlungsoptionen für identifizierte Risiken: Akzeptanz, Minderung, Transfer, Vermeidung
- Metriken und KPIs für Informationssicherheits-Governance
- Regulatorische und rechtliche Rahmenbedingungen: DSGVO, ISO 27001, SOC 2 im Managementkontext
Modul 3 — CISM-Domäne 3 und 4: Sicherheitsprogramm-Management und Incident Management Die Umsetzungsebene des CISM-Frameworks steht im Mittelpunkt dieses Abschnitts: Wie wird ein Informationssicherheitsprogramm aufgebaut, gepflegt und weiterentwickelt? Und wie reagiert eine Organisation professionell auf Sicherheitsvorfälle?
- Aufbau eines Information Security Program: Bestandteile, Ressourcen, Reifegrad
- Security Awareness-Programme: Konzeption, Messung, kontinuierliche Verbesserung
- Drittanbieter-Risikomanagement: Lieferantenbewertung, Vertragsklauseln, Kontrollen
- Incident-Management-Lifecycle: Erkennung, Eskalation, Eindämmung, Wiederherstellung, Lessons Learned
- Business Continuity und Disaster Recovery im Kontext des CISM-Frameworks
- Kommunikation von Sicherheitsvorfällen: intern (Management/Vorstand) und extern (Behörden, Kunden)
Praxismodul — Verknüpfung von Microsoft-Technik und CISM-Governance Dieser Abschnitt verbindet die technischen SC-900-Inhalte mit der strategischen CISM-Perspektive anhand von Fallstudien und Übungen.
- Sicherheitsstrategie für ein fiktives Unternehmen mit Microsoft 365-Umgebung entwickeln
- Risikobewertung einer Microsoft-Cloud-Migration: Identifizierung von Risiken, Behandlungsplan
- Compliance Manager in Microsoft Purview: Bewertungsvorlagen für DSGVO und ISO 27001 nutzen
- Incident-Kommunikationsplan für einen Datenschutzvorfall in Microsoft 365 erstellen
- Governance-Dokumente: Security Policy-Entwurf basierend auf CISM-Framework
- Secure Score in Microsoft 365 interpretieren und Verbesserungsmaßnahmen priorisieren
- Drittanbieter-Risikobewertung eines externen SaaS-Anbieters (Checkliste, Bewertungsmatrix)
- Sensibilisierungskampagne konzipieren: Phishing-Awareness in einem Unternehmen mit M365-Umgebung
- Diskussion realer Sicherheitsvorfälle (öffentlich bekannte Fälle) unter CISM-Gesichtspunkten
- Metriken-Dashboard entwerfen: welche KPIs dem Vorstand berichtet werden sollten
- Technische Absicherung einer Microsoft-Entra-ID-Umgebung nach CISM-Governance-Anforderungen
Die Stärke dieser Kombination liegt in ihrer Dualität: Technische Grundlagen allein reichen nicht aus, um Informationssicherheit im Unternehmenskontext zu führen; strategische Managementkenntnisse ohne technisches Verständnis der eingesetzten Plattformen bleiben abstrakt. SC-900 und CISM ergänzen sich daher nicht nur formal, sondern inhaltlich auf sinnvolle Weise.
Lernziele:
- Verständnis der grundlegenden Sicherheitskonzepte in der Microsoft-Cloud (Confidentiality, Integrity, Availability)
- Einordnung von Microsoft Entra ID (Azure AD) als zentrales Identitäts- und Zugriffsmanagement-System
- Kenntnis von Microsofts Compliance-Lösungen: Microsoft Purview, Compliance Manager, Information Protection
- Überblick über Microsoft-Sicherheitsdienste: Defender, Sentinel, Secure Score
- CISM-Domäne 1: Entwicklung und Management einer Informationssicherheitsstrategie im Unternehmenskontext
- CISM-Domäne 2: Informationssicherheits-Risikomanagement — Identifikation, Bewertung, Behandlung
- CISM-Domäne 3: Entwicklung und Management eines Informationssicherheitsprogramms
- CISM-Domäne 4: Management von Informationssicherheitsvorfällen
- Ausrichtung von IT-Sicherheitsmaßnahmen an Unternehmenszielen und regulatorischen Anforderungen
- Kommunikation von Sicherheitsrisiken an Führungsebene und Vorstand
- Verknüpfung technischer Microsoftlösungen mit CISM-konformen Governance-Strukturen
- Vorbereitung auf die offizielle SC-900-Prüfung (Microsoft) und die CISM-Prüfung (ISACA)
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an Fachkräfte, die an der Schnittstelle von technischer IT-Sicherheit und Informationssicherheitsmanagement tätig sind oder tätig werden möchten. Die Kombination eignet sich besonders für Personen, die eine Führungsrolle im Sicherheitsbereich anstreben.
- IT-Sicherheitsspezialist:innen, die ihre Managementkompetenz mit CISM formalisieren möchten
- Compliance- und Risikomanager:innen mit IT-Hintergrund
- IT-Leiter:innen und CISOs (oder angehende CISOs), die Microsoft 365 in ihrer Organisation einsetzen
- Informationssicherheitsbeauftragte, die ihre Kenntnisse strukturiert erweitern wollen
- Berater:innen im Bereich IT-Governance und Informationssicherheit
Für den SC-900-Anteil werden Grundkenntnisse in IT-Konzepten empfohlen, tiefe technische Vorkenntnisse sind jedoch nicht erforderlich. Der CISM-Anteil setzt praktische Berufserfahrung im Bereich Informationssicherheit voraus — ISACA empfiehlt für die eigentliche CISM-Prüfung mindestens fünf Jahre Erfahrung im Informationssicherheitsmanagement (mit möglichen Ausnahmen für verwandte Qualifikationen). Wer diese Erfahrung noch nicht vollständig aufweist, kann die Kursinhalte als Vorbereitung und konzeptuelle Grundlage nutzen, sollte jedoch den ISACA-Erfahrungsnachweis für die Prüfung separat im Blick behalten.
Ablauf & Abschluss
Live-Lehreinheiten im virtuellen Klassenzimmer wechseln sich mit fallstudienbasierten Übungen ab. Für den SC-900-Anteil stehen Konfigurationsübungen in Microsoft-Demoumgebungen im Vordergrund; für den CISM-Anteil dominieren Fallstudienanalysen, Policy-Entwürfe und Managementszenarien. Präsenzteilnehmende erhalten Zugang zu PC-Arbeitsplätzen vor Ort; Homeoffice-Teilnahme ist gleichwertig möglich. Die unterschiedlichen Methoden der beiden Programmteile — technische Demonstration einerseits, strategische Fallanalyse andererseits — sorgen für methodische Abwechslung im Kursalltag.
Der Kurs findet in Vollzeit statt. Die genaue Gesamtdauer ist modulabhängig und wird individuell geplant. Da CISM als anspruchsvolle Managementzertifizierung mit umfangreichem Prüfungsstoff gilt, ist ausreichend Vorbereitungszeit für diesen Anteil einzuplanen.
Das Zertifikat „Microsoft Certified: Security, Compliance, and Identity Fundamentals" (SC-900) wird durch Bestehen der Prüfung bei einem Microsoft-akkreditierten Testcenter (Pearson VUE) erworben. Die CISM-Zertifizierung wird von ISACA vergeben, setzt neben der Prüfung auch den Nachweis der relevanten Berufserfahrung voraus und muss durch kontinuierliche Weiterbildungspunkte (CPE) alle drei Jahre erneuert werden. Beide Zertifizierungen werden separat angesteuert; der Bildungsträger stellt eine Teilnahmebescheinigung für den absolvierten Kurs aus.
Nutzen & Perspektiven
CISM gehört weltweit zu den anerkanntesten Zertifizierungen im Bereich Informationssicherheitsmanagement und wird von Unternehmen, Behörden und Prüfungsgesellschaften als Qualitätsmerkmal für leitende Sicherheitsfachkräfte anerkannt. Wer CISM mit SC-900 kombiniert, demonstriert nicht nur managementorientierte Kompetenz, sondern auch konkretes Plattformwissen über die Microsoft-Sicherheitsarchitektur — die in sehr vielen Unternehmen die operative Grundlage bildet. Für Unternehmen, die DSGVO-konforme Prozesse und ISO-27001-nahe Sicherheitsstrukturen aufbauen, sind CISM-zertifizierte Mitarbeitende besonders wertvoll: Sie können Governance-Anforderungen in Unternehmenssprache kommunizieren und gleichzeitig beurteilen, welche technischen Microsoft-Lösungen welche Kontrollziele abdecken. Diese Brückenfunktion zwischen Management und IT ist in vielen Organisationen ein gesuchtes Profil. Langfristig schafft die Kombination die Grundlage für eine Karriere als CISO, Informationssicherheitsbeauftragter oder leitender Sicherheitsberater. CISM ist dabei nicht das Ende einer Lernreise, sondern ein zertifizierter Ausgangspunkt: Aufbauende ISACA-Qualifikationen (CRISC, CGEIT) sowie weiterführende Microsoft-Zertifizierungen (SC-100 Cybersecurity Architect Expert) können das Profil weiter schärfen.
Häufig gestellte Fragen (FAQ)
Für wen ist die Kombination SC-900 und CISM geeignet?
Der Kurs richtet sich an IT-Fachkräfte, die sowohl die Microsoft-Cloud-Sicherheitsarchitektur verstehen als auch Informationssicherheit auf Managementebene steuern möchten. Besonders geeignet für angehende CISOs und Informationssicherheitsbeauftragte.
Welche Berufserfahrung wird für CISM vorausgesetzt?
ISACA verlangt für die eigentliche CISM-Zertifizierung mindestens fünf Jahre Erfahrung im Informationssicherheitsmanagement, wobei verwandte Qualifikationen teilweise angerechnet werden können. Der Kurs kann auch als konzeptuelle Vorbereitung genutzt werden.
Wie lange ist das SC-900-Zertifikat gültig?
Das SC-900-Zertifikat (Microsoft Certified: Security, Compliance, and Identity Fundamentals) ist nach aktuellem Microsoft-Stand unbefristet gültig. Das CISM-Zertifikat muss hingegen durch jährliche CPE-Punkte aufrechterhalten und alle drei Jahre erneuert werden.
Sind die Prüfungsgebühren im Kurs enthalten?
Die Prüfungen werden bei akkreditierten Testcentern separat gebucht und sind nicht im Kurspreis enthalten. SC-900 wird bei Pearson VUE abgelegt; CISM direkt über ISACA.
Kann ich den Kurs im Homeoffice absolvieren?
Ja, der Live-Unterricht findet im virtuellen Klassenzimmer statt. Homeoffice-Teilnahme ist technisch gleichwertig zur Präsenz vor Ort möglich.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Compliance-Manager235 Stellen
- Informationssicherheitsbeauftragter201 Stellen
- Chief-Information-Security-Officer103 Stellen
- Betriebswirt/Betriebswirtin (Fachschule) für Informationsverarbeitung/Bachelor Professional in Wirtschaft40 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen
- Betriebswirt/Betriebswirtin (Fachschule) für Kommunikation und Büromanagement/Bachelor Professional in Wirtschaft5 Stellen