Security Incident Manager (TÜV)

Motivation und Grundlagen
- Beispiele von Sicherheitsvorfällen und Angriffsvektoren
- Typische Herausforderungen
- Grundbegriffe bei der Security Incident Response
- Übliche Betriebsformen

Anforderungen, Checklisten, Standards und rechtliche bzw. regulatorische Grundlagen
- ISMS-Standards (ISO 27001, ISO 27002, ISO 27035)
- BSI-Grundschutz (Grundschutzkompendium, Behandlung von Sicherheitsvorfällen, IT-Forensik)
- Sonstige Normen und Standards (NIST Cybersecurity Framework, GTAG, VdS, MaRisk, TiSaX)
- Cyber Resilience Act (CRA), EU-Richtlinie NIS-2, Sicherheitsgesetze, KRITIS
- Möglichkeiten der Personenzertifizierung (ISO 27035 Lead Incident Manager)

Management von Sicherheitsvorfällen aus Sicht des ISOs/CISOs/IT-Managers
- Sinnvolle Pläne, Taktiken und Richtlinien
- Schnellstart am Beginn einer ISO- bzw. CISO-Tätigkeit
- Ausarbeitung eines Security-Incident-Response-Prozesses
- Vorbereitung und Unterstützung durch die Geschäftsführung
- Führungsaufgaben, Teambildung und Aufbau eines SOC bzw. CSIRT sowie Definition von Rollenmodellen (Tier 1-3, Threat Hunter, Incident Commander)
- Koordinationsaufgaben rund um den Kompetenzaufbau
- Finanzierung und Bereitstellung der Ressourcen, insbesondere Budgetierung und Wirtschaftlichkeitsbetrachtung von SOC-, SIEM-, Defence- und Threat-Intelligence-Lösungen
- Rechtliche Betrachtung von Sicherheitsvorfällen
- Umgang mit Anzeigen und Ermittlungsbehörden
- Ergänzung des Berichtswesens um geeignete Kennzahlen
- Prüfungsaspekte, Kontrollmöglichkeiten und Auditierung

Bearbeitung von Sicherheitsvorfällen aus Sicht des IT-Betriebs und der Technik
- Kompetenzen und Fähigkeiten
- Planung und proaktive Maßnahmen
- Durchführung der Incident Response und reaktives Arbeiten
- Soziales Verhalten und Zusammenarbeit
- Übungen und Tests
- Nachschau und Verbesserungen nach einem Sicherheitsvorfall
- Operative Berichterstellung zum Sicherheitsvorfall

Mitwirken bei einem Sicherheitsvorfall von Externen und weiteren Fachbereichen
- Übersicht über übliche Dienstleistungen von Externen
- Vorbereitungsarbeiten für den Ernstfall
- Einbindung der eigenen Fachbereiche (außerhalb der IT und der Informationssicherheit)
- Zusammenarbeit und typische Konflikte
- Übungen und Tests
- Vertragsgestaltungen mit Externen

Exkurs
- Aufbau und Betrieb eines internen oder Managed SOC inklusive der Architektur und dem Einsatz moderner SIEM-/XDR-Plattformen sowie der Integration von OSINT- und Threat-Intelligence-Feeds / Detection Engineering
- Cloud-Überwachung und Security Incident Response in der Cloud
- Forensisches Basiswissen und Erste Hilfe (forensische Duplikation, digitale Spuren, Tools)

Was machen Security Incident Manager?

Cyberangriffe nehmen stetig zu - von Ransomware über die Übernahme von Active Directory bzw. Entra ID bis hin zum Datendiebstahl sensibler Unternehmensdaten. Dahinter stehen Motive wie Betrug, Spionage, Manipulation oder die Störung der Verfügbarkeit.

Als Security Incident Managerin oder Manager, auch Incident Response Manager und Managerin, Vorfallmanager und -managerin oder auch Threat Hunter genannt, stellen Sie sicher, dass Ihr Unternehmen und die bzw. der CISO bzw. ISO auf solche Vorfälle vorbereitet sind. Sie erkennen Angriffe frühzeitig, bewerten Risiken und bauen eine wirksame Defense-Strategie auf. Dabei koordinieren Sie SOC-, CSIRT- und SIEM-Strukturen, führen Bedrohungsanalysen durch und binden bei Bedarf externe Dienstleister ein. Auch durch Anforderungen wie die NIS-2-Richtlinie gewinnt das Management von Sicherheitsvorfällen zunehmend an Bedeutung.

Ihr Nutzen des Seminars zum zertifizierten Security Incident Manager (TÜV)

In der dreitägigen Schulung lernen Sie, Sicherheitsvorfälle strukturiert zu managen und Ihr Unternehmen wirksam zu schützen. Sie verstehen typische Angriffsszenarien besser, reagieren im Ernstfall sicher und bauen belastbare Incident-Response-Strukturen im Bereich IT-Sicherheit auf.

Sie gewinnen Sicherheit im Umgang mit relevanten Standards wie ISO 27001, ISO 27035-1 bis -4 und ISO 22301 sowie dem BSI IT-Grundschutz (z. B. Bausteinklasse DER). Ergänzend lernen Sie die Berührungspunkte zwischen der Business Continuity Norm ISO 22301 und dem Security-Incident-Response-Prozess der ISO 27035 und 27001 kennen. Durch praxisnahe Übungen und den Austausch mit anderen Teilnehmerinnen und Teilnehmern entwickeln Sie konkrete Maßnahmen, die Sie direkt in Ihrem Unternehmen umsetzen können.

Was Sie nachhaltig über das Incident Response Management lernen

Nach dem Seminar können Sie Incident-Response-Prozesse nach ISO 27035 sicher aufbauen und anwenden, Sicherheitsvorfälle effizient bewältigen und Ausfallzeiten deutlich reduzieren. Sie verbessern Ihre Reaktion auf Cyberangriffe und stärken nachhaltig die IT-Sicherheit Ihres Unternehmens.

Sie koordinieren SOC-, CSIRT- und externe Teams souverän, nutzen SIEM-Systeme zur Angriffserkennung und führen OSINT-basierte Bedrohungsanalysen durch. Zudem sind Sie in der Lage, Vorfälle forensisch zu sichern, gezielt auszuwerten und Ihre Sicherheitsstrategie nachhaltig zu verbessern. Sie stellen sicher, dass Ihr Unternehmen schnell wieder in den Normalbetrieb zurückkehrt und langfristig resilient bleibt. Darüber hinaus lernen Sie als erfahrene bzw. erfahrener CISO bzw. ISO die wesentlichen Prüfungspunkte kennen, um ein effektives und effizientes Incident Response Management im Unternehmen zu betreiben. Optional schließen Sie das Seminar mit dem TÜV-Zertifikat als Security Incident Manager (TÜV) ab.

Informationsupdate: Vom BSI IT-Grundschutz zum neuen BSI Grundschutz++

Wir legen Wert auf Aktualität. Daher verfolgen wir kontinuierlich die Entwicklungen beim BSI und informieren Sie in den Kursen darüber.
Unsere Schulungen behandeln die Standards 200-1 bis 200-4, die aktuell und auch gültig sind. Der neue Grundschutz++ befindet sich in der Phase der Pilotierung. Bisher wurden keine neuen Versionen veröffentlicht.

Präsenzseminar

Information Security Officer (ISO), Chief Information Security Officer (CISO), IT-Sicherheitsbeauftragte, IT-Sicherheitsleiter, IT-Sicherheitsmitarbeitende, Incident Response Manager, CSIRT-Mitarbeitende (Computer Security Incident Response Team), SOC-Mitarbeitende (Security Operation Center), SOC-Leiter und SOC-Analysten, Threat-Intelligence-Analysten, Blue-Team-Mitglieder, Detection Engineers, Forensiker/CERT-Mitarbeitende (Computer Emergency Response Team), Sicherheits-Administratoren, Führungskräfte für IT-Sicherheit/ Informationssicherheit, IT-Manager, IT-Leiter, Administratoren, Geschäftsführerinnen und Geschäftsführer

EX/A52/10201291/01062026-1