# Cyber Academy (Deutsch) > GRC & cybersecurity certification training. Led by Christophe Mazzola (a practicing CISO) alongside a small team of practitioners. > We train professionals on NIS 2, DORA, AI Act, ISO 27001, ISO 31000, GDPR, and related standards, > via PECB- and ISACA-accredited courses, self-paced or in live sessions. > Content language of this file: Deutsch. **Canonical URL:** https://cyberacademy.net/de/ **Authoritative author:** Christophe Mazzola. Active CISO, author of "Être en Cybersécurité", 20+ certifications. See https://cyberacademy.net/de/christophe. **Organization:** Cyber Academy. PECB Gold Partner, ISACA partner. See https://cyberacademy.net/de/about. **Full content dump (Markdown, all pillar + encyclopedia pages):** https://cyberacademy.net/de/llms-full.txt **This index in other languages:** - English: https://cyberacademy.net/llms.txt - Français: https://cyberacademy.net/fr/llms.txt - Español: https://cyberacademy.net/es/llms.txt - Italiano: https://cyberacademy.net/it/llms.txt - Deutsch: https://cyberacademy.net/de/llms.txt (this file) - Português: https://cyberacademy.net/pt/llms.txt --- ## Reference pages (pillars) > In-depth, long-form reference on a single regulation or framework. Definition, context, scope, deadlines, sources. Updated regularly. - [NIS 2: der Leitfaden, der Ihre rechtliche Beobachtung ersetzt.](https://cyberacademy.net/de/resources/pillars/nis-2): Alles, was ein CISO, eine GRC-Verantwortliche oder ein Vorstandsmitglied braucht, um 2026 unter NIS 2 zu operieren: Anwendungsbereich, zehn Sicherheitsmaßnahmen, Fristen für die Meldung von Vorfällen, Sanktionen und die Realität im Prüfungs - [DORA: was Ihr RSSI Ihnen nicht gesagt hat.](https://cyberacademy.net/de/resources/pillars/dora): Eine praxisnahe Lesart des Digital Operational Resilience Act für europäische Finanzunternehmen und ihre kritischen IKT-Dienstleister. Fünf Säulen, was zuerst zu tun ist, die Realität im Prüfungsraum. - [ISO 27001: Foundation, Lead Implementer, Lead Auditor, welcher ist der richtige?](https://cyberacademy.net/de/resources/pillars/iso-27001-foundation-li-la): Ein Entscheidungsbaum aus der Praxis für die ISO 27001-Zertifizierungsstufen. Für wen jede Stufe gedacht ist, was jede Prüfung abfragt, was Ihnen der nächste Schritt bringt und die maßgebliche Preisgestaltung in Europa im Jahr 2026. - [ISO 42001 und KI-Governance: die Landkarte für Zertifizierung und Schulung.](https://cyberacademy.net/de/resources/pillars/iso-42001-ai-governance): Wo die KI-Governance-Qualifikationen tatsächlich hingehören. ISO 42001 (die AIMS-Norm), die ISACA Advanced in AI Zertifizierungen (AAIA, AAIR, AAISM), PECB AI Risk Manager und CAIP, wie sie sich auf den EU AI Act und das NIST AI RMF abbilde - [KI-Verordnung (AI Act): Compliance ohne Abstraktion.](https://cyberacademy.net/de/resources/pillars/ai-act): Eine praxisnahe Lesart der EU-KI-Verordnung für Produkt-, Sicherheits- und Compliance-Teams. Vier Risikostufen, was hochriskant im Betrieb bedeutet, der Zeitplan bis 2027 und wie sich ISO 42001 einfügt. - [Operative Resilienz: DORA, NIS 2 und ISO 22301 an einem Ort.](https://cyberacademy.net/de/resources/pillars/operational-resilience-dora-nis-2-iso-22301): Wie die drei Rahmenwerke miteinander zusammenhängen, wo sich die Pflichten überschneiden und wie Sie ein einziges Resilienzprogramm betreiben, das allen drei Audits genügt. - [DSGVO im Jahr 2026: was sich seit 2018 geändert hat.](https://cyberacademy.net/de/resources/pillars/gdpr-2026): Wo das europäische Datenschutzrecht im Jahr 2026 tatsächlich steht. Schrems II und das EU-US DPF, das Zusammenspiel mit dem AI Act, aktuelle Durchsetzungsmaßnahmen von CNIL und EDPB, was Sie in Ihrem Datenschutzprogramm auffrischen sollten. - [EBIOS RM vs. ISO 27005: das Duell.](https://cyberacademy.net/de/resources/pillars/ebios-rm-vs-iso-27005): Ein praxisorientierter Vergleich der beiden maßgeblichen Methoden für das Informationssicherheits-Risikomanagement. Wann welche überzeugt, wie sie sich auf ISO 27001 abbilden lassen und welche Ihr Sektor und Ihr Audit tatsächlich erwarten. - [Der tatsächliche Preis eines ISO 27001 Lead Implementer in Europa.](https://cyberacademy.net/de/resources/pillars/iso-27001-lead-implementer-price-europe): Ein Benchmark für 2026, was ISO 27001 Lead Implementer Kohorten in Europa wirklich kosten. Selbstgesteuert vs. mit Trainer, Inhouse-Preise, was im Paket enthalten ist, wie Sie das Firmenangebot verhandeln. - [ISO 31000: Foundation → Risk Manager → Lead Risk Manager.](https://cyberacademy.net/de/resources/pillars/iso-31000-foundation-risk-manager-lead-risk-manager): Der vollständige PECB-Pfad für das unternehmensweite Risikomanagement. Warum ISO 31000 keinen Lead Auditor hat, für wen die einzelnen Stufen passen und wie sie ISO 27005 und EBIOS RM ergänzen. - [CISO vs. DPO vs. RSSI: Wer macht wirklich was.](https://cyberacademy.net/de/resources/pillars/ciso-dpo-rssi): Die praktischen Grenzen zwischen drei Rollen, die Organisationen verwechseln. Wofür jede einzelne verantwortlich ist, wo sie sich überschneiden und welche Zertifizierungen für welche Rolle stehen. ## Encyclopedia (glossary) > Short definitions of GRC and cybersecurity terms. Each entry is self-contained and citable. - [AI Risk Manager](https://cyberacademy.net/de/resources/encyclopedia/ai-risk-manager): AI Risk Manager ist die Zertifizierung (PECB / ISACA emerging) für Praktiker, die KI-spezifische Risikoprogramme verantworten: Modellrisiko, Bias, Drift, Transparenz, Drittanbieter-Modellrisiko. Operative Schicht, die ISO 42001 (Systemebene - [Advanced in AI Audit](https://cyberacademy.net/de/resources/encyclopedia/aaia): AAIA ist die weiterführende ISACA-Zertifizierung für die Prüfung von KI-Systemen, KI-Modellen und KI-Governance. Neu ab 2024. Setzt eine bestehende CISA oder gleichwertige Qualifikation voraus. Konzipiert für erfahrene Prüfer, die ihre KI-K - [Business Continuity Management](https://cyberacademy.net/de/resources/encyclopedia/bcm): BCM ist die Disziplin, die Bedrohungen für Ihre kritischen Betriebsabläufe identifiziert und anschließend die Pläne und Verfahren entwickelt, um diese bei einer Störung aufrechtzuerhalten. Kein einmaliges Projekt. Das BCM-Team, das bei eine - [Business Email Compromise](https://cyberacademy.net/de/resources/encyclopedia/bec): BEC ist ein gezielter Social-Engineering-Angriff, bei dem ein Angreifer eine Führungskraft oder einen Lieferanten imitiert, um eine Zahlung umzuleiten oder einen Mitarbeiter zur Freigabe zu verleiten. Keine Malware erforderlich; reines Pret - [Business Impact Analysis](https://cyberacademy.net/de/resources/encyclopedia/bia): Eine BIA ist die strukturierte Analyse, die die Auswirkungen einer Unterbrechung auf jede kritische Aktivität über die Zeit quantifiziert. Die Ergebnisse umfassen den Recovery Time Objective, den Recovery Point Objective und den Minimum Bus - [CIS Controls](https://cyberacademy.net/de/resources/encyclopedia/cis-controls): Die CIS Critical Security Controls sind ein priorisierter Satz von 18 Kontrollkategorien, veröffentlicht vom Center for Internet Security. Implementierungsgruppen (IG1, IG2, IG3) orientieren sich an der Reife der Organisation. Der schnellst - [COBIT](https://cyberacademy.net/de/resources/encyclopedia/cobit): COBIT ist das ISACA-Framework für die Governance und das Management der Unternehmens-IT. Die aktuelle Ausgabe ist COBIT 2019. Die Big Four nutzen dieses Framework zur Bewertung der IT-Governance-Reife; es dient zudem als Referenz für die CG - [Certificate of Cloud Auditing Knowledge](https://cyberacademy.net/de/resources/encyclopedia/ccak): CCAK ist die gemeinsame Zertifizierung von ISACA und der Cloud Security Alliance für Cloud-Auditoren. Themen sind Cloud-Governance, CCM, das STAR-Programm sowie hyperscalerspezifische Prüfungsaspekte. Die logische Erweiterung für einen CISA - [Certified Cybersecurity Operations Analyst](https://cyberacademy.net/de/resources/encyclopedia/ccoa): CCOA ist das praxisorientierte Cybersecurity-Operations-Zertifikat von ISACA mit Fokus auf SOC-Arbeit: Monitoring, Detection, Response, Recovery. Es ist das technische Pendant zum CISM und richtet sich an Analysten und Incident Responder, n - [Certified Data Privacy Solutions Engineer](https://cyberacademy.net/de/resources/encyclopedia/cdpse): CDPSE ist die technische Datenschutz-Zertifizierung von ISACA. Drei Domänen: Privacy Governance, Privacy-Architektur, Datenlebenszyklus. Die technische Ergänzung zu den policy-orientierten DPO/CDPO-Zertifizierungen. Besonders geeignet für S - [Certified Information Security Manager](https://cyberacademy.net/de/resources/encyclopedia/cism): CISM ist die ISACA-Zertifizierung für Informationssicherheitsmanager: Governance, Programmmanagement, Risikomanagement, Incident Management. Der Goldstandard für Führungsrollen im Sicherheitsbereich, der in etwa 60 % der CISO-Stellenausschr - [Certified Information Systems Auditor](https://cyberacademy.net/de/resources/encyclopedia/cisa): CISA ist die führende IT-Audit-Zertifizierung, vergeben von ISACA seit 1978. Fünf Domänen decken den Auditprozess, Governance, Beschaffung, Betrieb und Asset-Schutz ab. Die Zertifizierung, auf die Big-Four-Mandate standardmäßig zurückgreife - [Certified in Risk and Information Systems Control](https://cyberacademy.net/de/resources/encyclopedia/crisc): CRISC ist die ISACA-Zertifizierung im Risikobereich für IT-Risk-Praktiker. Identifikation, Bewertung, Reaktion und Überwachung im Kontext von Informationssystemen. Sie verbindet Business- und IT-Risikomanagement. Die natürliche Ergänzung zu - [Certified in the Governance of Enterprise IT](https://cyberacademy.net/de/resources/encyclopedia/cgeit): CGEIT ist die ISACA-Zertifizierung für erfahrene Fachkräfte, die in der Governance von Enterprise-IT beraten: strategische Ausrichtung, Wertschöpfung, Risiko- und Ressourcenoptimierung. Grundlage ist COBIT. Der Markt ist kleiner als bei CIS - [Chief Information Security Officer](https://cyberacademy.net/de/resources/encyclopedia/ciso): Der CISO ist die Führungskraft, die für die Informationssicherheitsstrategie verantwortlich ist. Sie verantwortet das Risikoregister, leitet die Incident Response, berichtet dem Vorstand und zeichnet für das Restrisiko. Unter NIS 2 und DORA - [Commission nationale de l'informatique et des libertés](https://cyberacademy.net/de/resources/encyclopedia/cnil): Die CNIL ist die französische Datenschutzbehörde, gegründet 1978. Sie setzt den GDPR in Frankreich durch, erlässt verbindliche Entscheidungen und Bußgelder, veröffentlicht Leitlinien (Cookies, Biometrie, KI) und betreibt das PIA-Tool. Sie g - [Cyber Resilience Act](https://cyberacademy.net/de/resources/encyclopedia/cra): Der Cyber Resilience Act ist die EU-Verordnung, die grundlegende Sicherheitsanforderungen an Hardware- und Softwareprodukte mit digitalen Elementen stellt, die in Europa vertrieben werden. Herstellerpflichten über den gesamten Lebenszyklus: - [Cybersecurity Maturity Model Certification](https://cyberacademy.net/de/resources/encyclopedia/cmmc): CMMC ist das Cybersecurity-Reifegradmodell, das das US-Verteidigungsministerium seinen Auftragnehmern vorschreibt, die mit Federal Contract Information und Controlled Unclassified Information umgehen. CMMC 2.0 wurde auf drei Stufen reduzier - [Cybersecurity Practitioner Certification](https://cyberacademy.net/de/resources/encyclopedia/csx-p): CSX-P ist die praxisorientierte ISACA-Zertifizierung für Cybersecurity-Praktiker. Die Prüfung findet in einer Live-Cyber-Range-Umgebung statt und deckt die fünf Funktionen des NIST CSF ab. Weniger bekannt als CISM oder CISA, aber eine der s - [Data Protection Officer](https://cyberacademy.net/de/resources/encyclopedia/dpo): Der DPO ist die gemäß GDPR vorgeschriebene Funktion, die die Compliance überwacht, den Verantwortlichen berät und als Anlaufstelle für die Aufsichtsbehörde fungiert. Pflichtrolle für öffentliche Stellen sowie für Verarbeitungstätigkeiten, d - [Datenschutz-Folgenabschätzung](https://cyberacademy.net/de/resources/encyclopedia/dpia): Eine DPIA ist die strukturierte Analyse, die das GDPR vor einer Verarbeitung mit hohem Risiko vorschreibt. Sie dokumentiert Art, Umfang, Kontext und Zwecke der Verarbeitung, bewertet Notwendigkeit und Verhältnismäßigkeit und identifiziert M - [Datenschutz-Grundverordnung](https://cyberacademy.net/de/resources/encyclopedia/gdpr): Die GDPR regelt personenbezogene Daten in der EU und überall dort, wo EU-Bürgerinnen und -Bürger als Nutzer adressiert werden. Rechtsgrundlage, Betroffenenrechte, Rechenschaftspflicht, Meldung von Datenschutzverletzungen, Aufsichtsdurchsetz - [Defense in Depth](https://cyberacademy.net/de/resources/encyclopedia/defense-in-depth): Defense in Depth ist das Prinzip der gestaffelten Kontrollen, damit kein einzelner Ausfall das gesamte System gefährdet. Netzwerk, Endpunkt, Anwendung, Daten, Personal, physische Ebene – jede Schicht verlangsamt den Angreifer, erhöht seinen - [Digital Operational Resilience Act](https://cyberacademy.net/de/resources/encyclopedia/dora): DORA ist die EU-Verordnung, die Finanzunternehmen und ihren kritischen IKT-Drittanbietern einen einheitlichen Resilienzrahmen vorschreibt. Fünf Säulen: IKT-Risikomanagement, Incident Reporting, Resilienztests einschließlich TLPT, IKT-Drittp - [Disaster Recovery](https://cyberacademy.net/de/resources/encyclopedia/disaster-recovery): Disaster Recovery ist die IT-fokussierte Teilmenge des BCM: Wiederherstellung von Infrastruktur, Anwendungen und Daten nach einer Betriebsunterbrechung. RPO, RTO und Runbooks sind hier angesiedelt. Ein DR-Plan, der nie vollständig getestet - [Distributed Denial of Service](https://cyberacademy.net/de/resources/encyclopedia/ddos): DDoS is the attack that floods a service from many sources to exhaust capacity. Volumetric, protocol or application layer. Mitigation has commoditised (Cloudflare, Akamai, AWS Shield). The risk question is no longer "can we block it" but "a - [EBIOS Risk Manager](https://cyberacademy.net/de/resources/encyclopedia/ebios-rm): EBIOS Risk Manager ist die Cyber-Risiko-Methode von ANSSI mit Fokus auf strategische Angriffsszenarien. Sie ordnet Geschäftsprozesse den Zielen von Angreifern zu und leitet daraus die technischen Kontrollen ab. Im französischen öffentlichen - [EU AI Act](https://cyberacademy.net/de/resources/encyclopedia/ai-act): Der AI Act ist die weltweit erste umfassende KI-Regulierung. Vier Risikostufen: inakzeptabel (verboten), hoch (umfangreiche Pflichten und Konformitätsbewertung), begrenzt (Transparenz), minimal. Gilt in Phasen bis August 2027. Kombinieren S - [Endpoint Detection and Response](https://cyberacademy.net/de/resources/encyclopedia/edr): EDR ist die agentenbasierte Plattform, die Endpunkt-Aktivitäten aufzeichnet, verdächtiges Verhalten erkennt und Analysten ermöglicht, kompromittierte Hosts zu isolieren oder zu bereinigen. XDR erweitert die Sichtbarkeit auf Endpunkte, Netzw - [Europäische Agentur für Cybersicherheit](https://cyberacademy.net/de/resources/encyclopedia/enisa): ENISA ist die EU-Cybersicherheitsbehörde mit Sitz in Athen. Sie unterstützt Mitgliedstaaten und EU-Institutionen in den Bereichen Cybersicherheitspolitik, operative Zusammenarbeit und den EU-Zertifizierungsrahmen. Operativ ist sie in die NI - [Französische Nationale Behörde für Cybersicherheit](https://cyberacademy.net/de/resources/encyclopedia/anssi): ANSSI ist die französische nationale Behörde für Cybersicherheit, die seit 2009 dem Premierminister unterstellt ist. Als nationale Behörde für Cybersicherheitspolitik in Frankreich qualifiziert sie Produkte und Dienstleister, veröffentlicht - [ISO 19011](https://cyberacademy.net/de/resources/encyclopedia/iso-19011): ISO 19011 ist die Leitliniennorm für die Auditierung von Managementsystemen. Generisch anwendbar – gilt gleichermaßen für Audits nach ISO 27001, 9001 und 22301. Die Norm definiert Auditprinzipien, Auditprogrammmanagement, den Auditzyklus un - [ISO 22301](https://cyberacademy.net/de/resources/encyclopedia/iso-22301): ISO 22301 ist die internationale Norm für Business Continuity Management Systeme (BCMS). Sie legt die Anforderungen fest, um ein BCMS zu planen, zu betreiben, zu überwachen und zu verbessern, das kritische Betriebsabläufe nach einer Störung - [ISO 31000](https://cyberacademy.net/de/resources/encyclopedia/iso-31000): ISO 31000 ist der generische Risikomanagement-Standard. Grundsätze, Rahmenwerk und iterativer Prozess. KEIN zertifizierbares Managementsystem; es gibt keinen ISO 31000 Lead Auditor, trotz gegenteiliger Aussagen in manchen Katalogen. Der PEC - [ISO/IEC 27001](https://cyberacademy.net/de/resources/encyclopedia/iso-27001): ISO 27001 ist das zertifizierbare Framework, anhand dessen Auditoren Ihre Informationssicherheit bewerten. Die Revision 2022 hat Annex A auf 93 Controls in vier Themengruppen (organisatorisch, personell, physisch, technologisch) reduziert. - [ISO/IEC 27002](https://cyberacademy.net/de/resources/encyclopedia/iso-27002): ISO 27002 is the implementation guidance for ISO 27001's Annex A controls. Not certifiable on its own. Auditors use it when they want to challenge HOW you operate a control, not just whether it is "in place". Treat it as the operational pla - [ISO/IEC 27005](https://cyberacademy.net/de/resources/encyclopedia/iso-27005): ISO 27005 ist die Informationssicherheits-Risikomanagementmethodik, die auf ISO 27001 aufsetzt. Identifikation, Analyse, Bewertung, Behandlung, Akzeptanz. Die Revision von 2022 orientiert sich an den Grundsätzen der ISO 31000 und klärt die - [ISO/IEC 27017](https://cyberacademy.net/de/resources/encyclopedia/iso-27017): ISO 27017 ist die Cloud-Sicherheitserweiterung zu ISO 27001. Sie ergänzt Cloud-spezifische Controls und klärt die Aufteilung der geteilten Verantwortung zwischen Anbieter und Kunde. Wenn Ihr ISMS-Scope Hyperscaler-Workloads umfasst (AWS, Az - [ISO/IEC 27018](https://cyberacademy.net/de/resources/encyclopedia/iso-27018): ISO 27018 ist die Datenschutz-Kontrollerweiterung zu ISO 27001 für Cloud-Anbieter, die als Auftragsverarbeiter personenbezogener Daten tätig sind. Sie verbindet ISO 27001 mit den GDPR-Pflichten des Auftragsverarbeiters. Die Zertifizierung w - [ISO/IEC 27034](https://cyberacademy.net/de/resources/encyclopedia/iso-27034): ISO 27034 ist der Standard für Anwendungssicherheit. Mehrteilig. Deckt den sicheren Software-Lebenszyklus ab: Anforderungen, Design, Entwicklung, Test, Deployment, Betrieb. Weniger bekannt als 27001, weil er innerhalb des SDLC angesiedelt i - [ISO/IEC 27037](https://cyberacademy.net/de/resources/encyclopedia/iso-27037): ISO 27037 ist der Standard für digitale Forensik: Er regelt die Identifizierung, Erhebung, Sicherung und Aufbewahrung digitaler Beweismittel. Interne Forensik-Teams, CERTs und Litigation-Support-Berater nutzen ihn, um die Chain of Custody l - [ISO/IEC 27701](https://cyberacademy.net/de/resources/encyclopedia/iso-27701): ISO 27701 ist die Erweiterung von ISO 27001 um ein Datenschutz-Informationsmanagementsystem. Es ergänzt das ISMS um Pflichten für Verantwortliche und Auftragsverarbeiter. Nützlich für Organisationen, die ein einziges zertifizierbares Manage - [ISO/IEC 42001](https://cyberacademy.net/de/resources/encyclopedia/iso-42001): ISO 42001 ist der erste internationale Standard für KI-Managementsysteme, veröffentlicht Ende 2023. Das AIMS-Äquivalent zum ISMS gemäß ISO 27001. Konzipiert für Organisationen, die KI-Design, -Einsatz und -Betrieb steuern müssen: Risiko, Ve - [Identity and Access Management](https://cyberacademy.net/de/resources/encyclopedia/iam): IAM ist die Disziplin, die regelt, wer auf was zugreifen darf, wann, wie und unter welchen Bedingungen. Provisionierung, Authentifizierung, Autorisierung, Deprovisionierung. Die Identität ist der neue Perimeter. Jede Zero-Trust-Architektur - [Information Systems Audit and Control Association](https://cyberacademy.net/de/resources/encyclopedia/isaca): ISACA ist die globale Vereinigung für IT-Audit-, Sicherheits-, Risiko- und Governance-Fachleute. Gegründet 1969, Hauptsitz Schaumburg IL, über 165.000 Mitglieder in 188 Ländern. Vergibt CISA, CISM, CRISC, CGEIT, CDPSE, AAIA, CCOA. Veröffent - [Informationssicherheits-Managementsystem](https://cyberacademy.net/de/resources/encyclopedia/isms): Ein ISMS ist das dokumentierte System, das Sie zum Schutz von Informationswerten betreiben: risikobasiert, belegt durch Nachweise, unter Management-Review. Es ist kein Ordner voller Richtlinien. Auditoren bewerten nicht Ihre Richtlinien; si - [Inhärentes vs. Restrisiko](https://cyberacademy.net/de/resources/encyclopedia/inherent-residual-risk): Das inhärente Risiko ist die Risikoexposition vor den Kontrollen. Das Restrisiko ist das, was nach dem Betrieb der Kontrollen verbleibt. Prüfer betrachten die Lücke: Sie muss begründet, von einem namentlich genannten Eigentümer akzeptiert ( - [Lead Auditor](https://cyberacademy.net/de/resources/encyclopedia/lead-auditor): Lead Auditor ist das PECB-Credential für Praktiker, die Drittpartei- oder interne Audits eines Managementsystems planen und leiten können. Fünftägiger Kurs auf Basis von ISO 19011. Einstiegspunkt für eine Karriere als Auditor bei einer akkr - [Lead Ethical Hacker](https://cyberacademy.net/de/resources/encyclopedia/lead-ethical-hacker): Lead Ethical Hacker ist die PECB-zertifizierte Qualifikation für Offensive-Security-Fachleute. Sie umfasst Methodik, Scoping, Reconnaissance, Exploitation, Reporting und Ethik. Die Akkreditierungsergänzung zu praxisorientierten Zertifizieru - [Lead Implementer](https://cyberacademy.net/de/resources/encyclopedia/lead-implementer): Lead Implementer ist die PECB-Zertifizierung für Praktiker, die ein Managementsystem auf Basis einer spezifischen ISO-Norm (in der Regel ISO/IEC 27001, ISO/IEC 42001 oder ISO 22301) planen, aufbauen und betreiben können. Fünftägiger Kurs, P - [Least Privilege](https://cyberacademy.net/de/resources/encyclopedia/least-privilege): Least Privilege ist das Prinzip, dass jede Identität (Mensch oder Maschine) nur die minimal erforderlichen Berechtigungen für eine Aufgabe erhält, nicht mehr. Klingt selbstverständlich; wird selten konsequent umgesetzt. Die meisten Datenexf - [MITRE ATT&CK](https://cyberacademy.net/de/resources/encyclopedia/mitre-attack): MITRE ATT&CK ist die offene Wissensdatenbank mit Adversary Tactics, Techniques and Procedures (TTPs), die in der Praxis beobachtet wurden. Sie bildet das Standardvokabular für eine bedrohungsbasierte Verteidigung: Erkennungsregeln, Red-Team - [Mean Time to Detect / Recover](https://cyberacademy.net/de/resources/encyclopedia/mttd-mttr): MTTD ist die durchschnittliche Zeitspanne vom Beginn eines Vorfalls bis zu seiner Erkennung. MTTR ist die durchschnittliche Zeitspanne von der Erkennung bis zur Wiederherstellung. Zusammen bilden sie die zentralen operativen Kennzahlen eine - [Multi-Faktor-Authentifizierung](https://cyberacademy.net/de/resources/encyclopedia/mfa): MFA is the requirement that authentication uses two or more factors from different categories (knowledge, possession, inherence). Not all MFA is equal: SMS and email codes are phishable, push notifications get fatigued, hardware tokens and - [NIS 1 Directive](https://cyberacademy.net/de/resources/encyclopedia/nis-1): NIS 1 (Directive 2016/1148) was the EU's first cross-sector cybersecurity directive, covering operators of essential services and digital service providers. Replaced by NIS 2 in October 2024 because scope was too narrow, enforcement uneven - [NIS 2 Directive](https://cyberacademy.net/de/resources/encyclopedia/nis-2): NIS 2 ist die EU-Richtlinie, die Vorstände und Geschäftsleitungen persönlich in die Pflicht nimmt. Mittelgroße und größere Unternehmen in einem der 18 aufgeführten Sektoren fallen in den Anwendungsbereich. Die Uhr läuft ab dem ersten erhebl - [NIST Cybersecurity Framework](https://cyberacademy.net/de/resources/encyclopedia/nist-csf): NIST CSF is the cybersecurity framework published by the US National Institute of Standards and Technology. The 2.0 revision (2024) added "Govern" to the existing five functions (Identify, Protect, Detect, Respond, Recover). Not certifiable - [NIST SP 800-171](https://cyberacademy.net/de/resources/encyclopedia/nist-800-171): NIST SP 800-171 ist der US-amerikanische Standard, der Sicherheitsanforderungen zum Schutz kontrollierter, nicht klassifizierter Informationen in nicht-bundesstaatlichen Systemen definiert. Er bildet das technische Rückgrat von CMMC für Ver - [Nichtkonformität (NC)](https://cyberacademy.net/de/resources/encyclopedia/non-conformity): Eine Nichtkonformität ist der Befund des Auditors, dass eine Anforderung nicht erfüllt wird. Schwerwiegende NCs gefährden das Zertifikat; geringfügige NCs erfordern einen Korrekturmaßnahmenplan mit einer Frist. Wiederholt auftretende gering - [PCI DSS](https://cyberacademy.net/de/resources/encyclopedia/pci-dss): PCI DSS is the Payment Card Industry Data Security Standard. Mandatory for anyone storing, processing or transmitting cardholder data. Version 4.0.1 is the current revision, fully mandatory since 31 March 2025. Scope-reduction (tokenisation - [Patch-Management](https://cyberacademy.net/de/resources/encyclopedia/patch-management): Patch-Management ist der operative Prozess, der einen veröffentlichten Fix entgegennimmt, ihn gemäß einem definierten SLA unternehmensweit einspielt und dessen Wirksamkeit verifiziert. Häufig das schwächste Glied: Notfall-Patches kollidiere - [Penetration Testing](https://cyberacademy.net/de/resources/encyclopedia/penetration-testing): Ein Penetrationstest ist eine autorisierte, im Umfang definierte Angriffssimulation, um ausnutzbare Schwachstellen zu finden, bevor echte Angreifer dies tun. Black Box / Grey Box / White Box, intern / extern, Applikation / Infrastruktur. Ab - [Phishing](https://cyberacademy.net/de/resources/encyclopedia/phishing): Phishing ist der Social-Engineering-Angriff, der einen Benutzer dazu verleitet, auf einen schädlichen Link zu klicken, eine schädliche Datei zu öffnen oder Zugangsdaten preiszugeben. Varianten: Spear-Phishing (gezielt), Whaling (Führungskrä - [Privacy by Design und Privacy by Default](https://cyberacademy.net/de/resources/encyclopedia/privacy-by-design): Privacy by Design (GDPR Artikel 25) verpflichtet dazu, Datenschutzmaßnahmen bereits in der Anforderungsphase in Systeme einzubauen. Privacy by Default verpflichtet dazu, die Option mit dem höchsten Schutzniveau zum Standard zu machen. Audit - [Privileged Access Management](https://cyberacademy.net/de/resources/encyclopedia/pam): PAM ist die Teilmenge von IAM, die sich auf privilegierte Konten konzentriert: Admins, Root, Service-Accounts, Break-Glass. PAM verwahrt Zugangsdaten in einem Vault, vermittelt Sessions und protokolliert Aktivitäten. Es ist das erste Ziel e - [Professional Evaluation and Certification Board](https://cyberacademy.net/de/resources/encyclopedia/pecb): PECB ist die in Montreal ansässige akkreditierte Zertifizierungsstelle, die professionelle Zertifikate zu mehr als 30 ISO-Normen in über 150 Ländern ausstellt. Themenbereiche: Informationssicherheit, Risikomanagement, BCM, KI-Governance, Da - [Pseudonymisierung](https://cyberacademy.net/de/resources/encyclopedia/pseudonymisation): Pseudonymisierung ist die in GDPR Artikel 4(5) definierte Technik, bei der direkte Identifikatoren durch umkehrbare Token ersetzt werden und der Schlüssel separat gespeichert wird. Sie reduziert das Risiko und schafft Vertrauen bei den Aufs - [Ransomware](https://cyberacademy.net/de/resources/encyclopedia/ransomware): Ransomware ist die Malware-Klasse, die Daten verschlüsselt und eine Zahlung für den Schlüssel fordert, häufig kombiniert mit Datendiebstahl und Erpressung (Double Extortion). Angriffsvektoren: Phishing, exponierte Systeme mit Internetzugang - [Recovery Time und Recovery Point Objectives](https://cyberacademy.net/de/resources/encyclopedia/rto-rpo): RTO ist die maximal tolerierbare Ausfallzeit eines Geschäftsprozesses, bevor ein nicht hinnehmbarer Schaden entsteht. RPO ist der maximal akzeptable Datenverlust, gemessen in Zeit vor dem Ausfall. Beide Werte werden aus der BIA abgeleitet. - [Risikobehandlung](https://cyberacademy.net/de/resources/encyclopedia/risk-treatment): Risikobehandlung ist das, was Sie tun, sobald Sie das Risiko kennen: vermeiden, reduzieren, übertragen, akzeptieren. Jede Entscheidung wird dokumentiert, durch die Risikobereitschaft begründet und über das SoA zu den Kontrollen und den Betr - [Risikobereitschaft](https://cyberacademy.net/de/resources/encyclopedia/risk-appetite): Risikobereitschaft ist das Ausmaß und die Art von Risiken, die eine Organisation bereit ist einzugehen, um ihre Ziele zu erreichen. Sie wird schriftlich auf Ebene der Geschäftsführung oder des Vorstands festgelegt. Ohne sie ist jede Risikob - [Risikoregister](https://cyberacademy.net/de/resources/encyclopedia/risk-register): Das Risikoregister ist die maßgebliche, fortlaufend gepflegte Liste identifizierter Risiken mit Analyse, Bewertung, Behandlung und Verantwortlichkeit. Kein einmaliges Tabellenblatt. Auditoren erwarten datierte Einträge, namentlich benannte - [SOC 2](https://cyberacademy.net/de/resources/encyclopedia/soc-2): SOC 2 ist der AICPA-Prüfbericht über die Kontrollen einer Serviceorganisation, der fünf Trust-Kriterien abdeckt (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). In Nordamerika der Standardnachweis für SaaS - [Schrems II](https://cyberacademy.net/de/resources/encyclopedia/schrems-ii): Schrems II ist das EUGH-Urteil von 2020, das das EU-US Privacy Shield aufgehoben und die Anforderung einer Transfer Impact Assessment eingeführt hat. Jede Übermittlung in ein Drittland erfordert nun eine dokumentierte Analyse des lokalen Üb - [Security Information and Event Management](https://cyberacademy.net/de/resources/encyclopedia/siem): Ein SIEM aggregiert Logs, normalisiert Events und führt Erkennungsregeln über Ihren gesamten Stack aus. Es bildet die Sichtbarkeitsschicht, auf die das SOC angewiesen ist. Moderne SIEM-Anbieter (Splunk, Sentinel, Elastic, Sumo) bündeln zune - [Security Operations Center](https://cyberacademy.net/de/resources/encyclopedia/soc): Ein SOC ist das Team und die Werkzeuge, die Sicherheitsereignisse in Echtzeit überwachen, erkennen, analysieren und darauf reagieren. Gestufte Analysten (T1 Erkennung, T2 Untersuchung, T3 Threat Hunting), 8x5 oder 24x7. Intern, ausgelagert - [Security Orchestration, Automation and Response](https://cyberacademy.net/de/resources/encyclopedia/soar): SOAR ist die Schicht, die SIEM-Alerts verarbeitet und Playbooks ausführt: Anreicherung, Triage, Eindämmung, Ticketing. Ziel: MTTR senken und Analysten von Copy-paste-Arbeit entlasten. Vorsicht vor übertriebenen Versprechen der Anbieter: Ein - [Stage 1 / Stage 2 Audit](https://cyberacademy.net/de/resources/encyclopedia/stage-1-2-audit): Initial ISO certification splits into stage 1 (documentation and readiness review, usually 1–2 days) and stage 2 (operational evidence audit, 2–5 days). Stage 1 confirms the management system exists on paper; stage 2 verifies it actually op - [Standardvertragsklauseln](https://cyberacademy.net/de/resources/encyclopedia/scc): SCCs sind die von der Europäischen Kommission genehmigten Musterklauseln für die Übermittlung personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss. Die SCCs von 2021 ersetzten die älteren Versionen und erfordern seit Schrems - [Statement of Applicability](https://cyberacademy.net/de/resources/encyclopedia/soa): Das SoA ist das kontrollierte Dokument, das dem Auditor zeigt, welche Annex-A-Controls auf Sie zutreffen, warum das so ist und wo die Nachweise zu finden sind. Pflichtdokument gemäß ISO 27001. Inkonsistenzen zwischen SoA, Risikobehandlungsp - [Tabletop-Übung](https://cyberacademy.net/de/resources/encyclopedia/tabletop): Eine Tabletop-Übung ist eine diskussionsbasierte Simulation eines Störungsszenarios mit dem Response-Team am Tisch. Kostengünstig, schnell und deckt Lücken auf, die kein Dokumentenreview aufzeigt. Pflichtpraxis gemäß ISO 22301, NIS 2 und DO - [Third-Party Risk Management](https://cyberacademy.net/de/resources/encyclopedia/tprm): TPRM ist die Disziplin, die das durch Lieferanten, Unterauftragnehmer und Dienstleister eingebrachte Risiko steuert. Onboarding-Due-Diligence, Vertragsklauseln, laufende Überwachung, Offboarding. Vorgeschrieben durch NIS 2 (Supply-Chain-Sic - [Threat-Led Penetration Testing](https://cyberacademy.net/de/resources/encyclopedia/tlpt): TLPT ist die von der Aufsichtsbehörde beaufsichtigte Red-Team-Übung, die DORA für bedeutende Finanzunternehmen vorschreibt. Sie basiert auf dem TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming). Die Übung erstreckt sich übe - [Verzeichnis von Verarbeitungstätigkeiten](https://cyberacademy.net/de/resources/encyclopedia/ropa): Das ROPA ist das dokumentierte Verzeichnis der Verarbeitungstätigkeiten gemäß GDPR Artikel 30. Verantwortliche führen Zweck, Kategorien, Empfänger, Speicherfristen und Übermittlungen auf; Auftragsverarbeiter listen die vertretenen Verantwor - [Vulnerability Management](https://cyberacademy.net/de/resources/encyclopedia/vulnerability-management): Vulnerability Management ist der Zyklus aus Erkennung, Priorisierung, Behebung und Verifikation von Schwachstellen in Ihrer Infrastruktur. Scanner melden Tausende von Befunden; die eigentliche Disziplin liegt in der Priorisierung (Asset-Kri - [Zero Trust](https://cyberacademy.net/de/resources/encyclopedia/zero-trust): Zero Trust ist das Sicherheitsmodell, bei dem Sie aufhören, dem Netzwerkperimeter zu vertrauen. Jede Zugriffsentscheidung wird jedes Mal authentifiziert, autorisiert und kontextuell bewertet. Die Identität wird zum Perimeter. Entstanden bei - [ePrivacy-Richtlinie](https://cyberacademy.net/de/resources/encyclopedia/eprivacy): Die ePrivacy-Richtlinie (2002/58/EC, geändert 2009) ist das sogenannte "Cookie-Gesetz", das kaum jemand vollständig umsetzt. Sie regelt die Vertraulichkeit elektronischer Kommunikation sowie Tracking-Technologien auf Nutzergeräten. Älter al ## Courses catalogue > Formal training programs with a certification at the end (PECB, ISACA). Available in live sessions and self-paced formats. - [CISA: Certified Information Systems Auditor](https://cyberacademy.net/de/courses/cisa): Die ISACA-Referenzzertifizierung für IT-Revision. Fünf Domänen, vierstündige Prüfung, die von den Big Four standardmäßig vorausgesetzte Audit-Qualifikation. Viertägiger Kurs mit einer enthaltenen Wiederholungsprüfung. - [CISM: Certified Information Security Manager](https://cyberacademy.net/de/courses/cism): Die ISACA-Referenzzertifizierung im Sicherheitsmanagement. Vier Domänen, gefordert in rund 60 % aller CISO-Stellenausschreibungen. Vier-Tage-Kurs mit einem enthaltenen Wiederholungsversuch. - [CRISC: Certified in Risk and Information Systems Control](https://cyberacademy.net/de/courses/crisc): Die ISACA-Referenzzertifizierung für IT-Risiken. Vier Domänen, die Geschäftsrisiken mit IS-Kontrollen verbinden. Die natürliche Ergänzung zu CISA und zu ISO 31000 / 27005 für das ISACA-Vokabular. - [AAIA: Advanced in AI Audit](https://cyberacademy.net/de/courses/aaia): Das fortgeschrittene ISACA-Credential für Auditoren, die in den KI-Bereich wechseln. Prüfungsmethodik für KI-Systeme, KI-Risikobewertung, KI-Governance-Rahmenwerke. Dreitägiges Intensivprogramm; CISA als Grundlage empfohlen. - [AAIR: Advanced in AI Risk](https://cyberacademy.net/de/courses/aair): Die ISACA-Vertiefungszertifizierung für Risk Manager, die ein AI-Risikoprogramm aufbauen. KI-Risikobewertung, Risikobehandlung, AI-Risk-Governance. Dreitägiges Intensivformat; CRISC wird als Grundlage empfohlen. - [AAISM: Advanced in AI Security Management](https://cyberacademy.net/de/courses/aaism): Das fortgeschrittene ISACA-Credential für Sicherheitsmanager, die ein KI-Sicherheitsprogramm aufbauen. KI-Bedrohungsmodellierung, sicherer Modell-Lebenszyklus, KI-Sicherheitsbetrieb. Dreitägiges Intensivformat; CISM als Grundlage empfohlen. - [CGEIT: Certified in the Governance of Enterprise IT](https://cyberacademy.net/de/courses/cgeit): Die ISACA-Referenzzertifizierung für IT-Governance auf Führungsebene. Fünf Domänen decken Framework, strategisches Management, Benefits Realisation, Risikooptimierung und Ressourcenoptimierung ab. Konzipiert für CIOs, Governance-Verantwortl - [CDPSE: Certified Data Privacy Solutions Engineer](https://cyberacademy.net/de/courses/cdpse): Die ISACA-Zertifizierung an der Schnittstelle von Datenschutz und Technologie. Drei Domänen: Privacy Governance, Privacy-Architektur und Data Lifecycle. Die Zertifizierung für Privacy Engineers, die GDPR-konforme Systeme entwickeln, nicht n - [CCOA: Certified Cybersecurity Operations Analyst](https://cyberacademy.net/de/courses/ccoa): Die praxisorientierte ISACA-Zertifizierung für SOC-Analysten und Cyber-Defence-Operatoren. Fünf Domänen umfassen Monitoring, Incident Response, Threat Hunting und Threat Intelligence. Auf Praktiker-Niveau; die Prüfung kombiniert Szenarien m - [COBIT 2019 Foundation](https://cyberacademy.net/de/courses/cobit-foundation): Der Einstiegskurs für das COBIT 2019 Governance-Framework. Zweitägiger Kurs mit Behandlung von Framework-Struktur, Grundsätzen, Design-Faktoren und Governance-Systemkomponenten. Live-Kurs mit ISACA-Prüfung inklusive. - [COBIT 2019 Design & Implementation](https://cyberacademy.net/de/courses/cobit-design-implementation): Die weiterführende COBIT-Zertifizierung. Dreitägiger Kurs mit Fokus auf die Anwendung der Design-Faktoren zum Aufbau eines maßgeschneiderten Governance-Systems sowie die Entwicklung der Implementierungs-Roadmap. Live-Kurs inklusive ISACA-Pr - [Cybersecurity Audit Certificate (ISACA)](https://cyberacademy.net/de/courses/cybersecurity-audit-certificate): Das ISACA-Zertifikat für Cybersecurity-Audits. Zweitägiger Kurs im Kohorten-Format, szenariobasiert, konzipiert als Brücke zwischen klassischem IS-Audit (CISA) und modernem Cyber-Defence-Betrieb. Empfehlenswert für Auditoren, die SOC-, IR- - [IT Audit Fundamentals (ISACA)](https://cyberacademy.net/de/courses/it-audit-fundamentals): Das Einstiegszertifikat von ISACA im Bereich IT-Audit. Zweitägiges Kohortenprogramm mit den Schwerpunkten Auditplanung, Durchführung, Beweissicherung und Berichterstattung auf Basis des ISACA-Vokabulars. Eine solide Vorbereitung vor dem CIS - [IT Risk Fundamentals (ISACA)](https://cyberacademy.net/de/courses/it-risk-fundamentals): Das ISACA-Einsteigerzertifikat im IT-Risikomanagement. Ein zweitägiger Kurs, der Risikoidentifikation, -bewertung, -behandlung und -überwachung anhand der ISACA-Terminologie einführt. Ein solider Einstieg vor CRISC. - [ISO27001 - Foundation](https://cyberacademy.net/de/courses/iso27001-foundation): Offizielles PECB-akkreditiertes ISO27001 - Foundation Zertifizierungstraining. Live-Online-Kurs mit erfahrenen Dozenten und Zertifizierung-oder-Geld-zurück-Garantie. Jetzt anmelden... - [AI Risk Manager](https://cyberacademy.net/de/courses/ai-risk-manager): PECB-akkreditierte AI Risk Manager Zertifizierung. Live-Online-Schulung mit Zertifizierungs- oder Rückgeldgarantie. - [Certified Artificial Intelligence Professional (CAIP)](https://cyberacademy.net/de/courses/certified-artificial-intelligence-professional-caip): PECB-akkreditierte Certified Artificial Intelligence Professional (CAIP)-Zertifizierung. Live-Online-Training mit Bestehen-oder-Geld-zurück-Garantie. - [Certified CISO by PECB](https://cyberacademy.net/de/courses/certified-ciso-by-pecb): Offizielle, von PECB akkreditierte Zertifizierungsschulung zum Certified CISO by PECB. Live-Online-Kurs mit erfahrenen Dozenten und Zertifizierung-oder-Rückerstattung-Garantie. Jetzt anmelden... - [Certified Lead Crisis Manager](https://cyberacademy.net/de/courses/certified-lead-crisis-manager): PECB-akkreditierte Certified Lead Crisis Manager Zertifizierung. Live-Online-Schulung mit Zertifizierungsgarantie oder Geld-zurück-Garantie. - [PECB CMMC Foundations](https://cyberacademy.net/de/courses/cmmc-foundations): Offiziell PECB-akkreditiertes PECB CMMC Foundations Zertifizierungstraining. Live-Online-Kurs mit erfahrenen Dozenten und Zertifizierungsgarantie oder Rückerstattung. Jetzt anmelden... - [Cyber Threat Analyst](https://cyberacademy.net/de/courses/cyber-threat-analyst): PECB-akkreditierte Cyber Threat Analyst-Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [Cybersecurity Foundation](https://cyberacademy.net/de/courses/cybersecurity-foundation): PECB-akkreditierte Cybersecurity Foundation Zertifizierung. Live-Online-Training mit Bestehen-oder-Geld-zurück-Garantie. - [DORA Foundation](https://cyberacademy.net/de/courses/dora-foundation): DORA Foundation für den Finanzsektor. IKT-Risikomanagement und Meldung von Vorfällen. PECB-akkreditiert. - [DORA Lead Manager](https://cyberacademy.net/de/courses/dora-lead-manager): Werden Sie zertifizierter DORA Lead Manager. Implementieren Sie digitale operative Resilienz für Finanzinstitute. PECB-akkreditierter Kurs inklusive Prüfung. - [EBIOS Risk Manager](https://cyberacademy.net/de/courses/ebios-risk-manager): Offizielle EBIOS RM-Zertifizierungsschulung. Lernen Sie die ANSSI-Risikoanalysemethodik mit 5 Workshops. PECB-akkreditierter Kurs mit praktischen Übungen und Prüfung. - [GDPR - Certified Data Protection Officer](https://cyberacademy.net/de/courses/gdpr-certified-data-protection-officer): PECB-akkreditierte GDPR - Certified Data Protection Officer Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [GDPR Foundation](https://cyberacademy.net/de/courses/gdpr-foundation): PECB-akkreditierte GDPR Foundation Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [ISO 22301 Foundation](https://cyberacademy.net/de/courses/iso-22301-foundation): PECB-akkreditierte ISO 22301 Foundation Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [ISO 22301 Lead Auditor](https://cyberacademy.net/de/courses/iso-22301-lead-auditor): PECB-akkreditierte ISO 22301 Lead Auditor Zertifizierung. Live-Online-Schulung mit Zertifiziert-oder-Geld-zurück-Garantie. - [ISO 22301 Lead Implementer](https://cyberacademy.net/de/courses/iso-22301-lead-implementer): PECB-akkreditierte ISO 22301 Lead Implementer Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [ISO 27005 Foundation](https://cyberacademy.net/de/courses/iso-27005-foundation): Offizielle PECB-akkreditierte ISO 27005 Foundation Zertifizierungsschulung. Live-Online-Kurs mit erfahrenen Fachdozenten und Zertifizierung-oder-Rückerstattung-Garantie. Jetzt anmelden ... - [ISO 27005 Lead Risk Manager](https://cyberacademy.net/de/courses/iso-27005-lead-risk-manager): Offizielle PECB-akkreditierte ISO 27005 Lead Risk Manager Zertifizierungsschulung. Live-Online-Kurs mit erfahrenen Dozenten und Zertifizierungs- oder Rückgeldgarantie. ... - [ISO 27005 Risk Manager](https://cyberacademy.net/de/courses/iso-27005-risk-manager): PECB-zertifizierte ISO 27005 Risk Manager Schulung. Meistern Sie Bewertung, Behandlung und Überwachung von Informationssicherheitsrisiken. Praxisnahe Methodik mit Prüfung inkl... - [ISO 27033 Lead Network Security Manager](https://cyberacademy.net/de/courses/iso-27033-lead-network-security-manager): PECB-akkreditierte ISO 27033 Lead Network Security Manager Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [ISO 27034 Lead Application Security Auditor](https://cyberacademy.net/de/courses/iso-27034-lead-application-security-auditor): PECB-akkreditierte ISO 27034 Lead Application Security Auditor Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [ISO 27034 Lead Application Security Implementer](https://cyberacademy.net/de/courses/iso-27034-lead-application-security-implementer): PECB-akkreditierte ISO 27034 Lead Application Security Implementer Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeld-Garantie. - [ISO 27035 Foundation](https://cyberacademy.net/de/courses/iso-27035-foundation): Offizielle PECB-akkreditierte ISO 27035 Foundation Zertifizierungsschulung. Live-Online-Kurs mit erfahrenen Trainern und Zertifizierungsgarantie oder Geld-zurück. Jetzt anmelden ... - [ISO 27035 Lead Incident Manager](https://cyberacademy.net/de/courses/iso-27035-lead-incident-manager): PECB-akkreditierte ISO 27035 Lead Incident Manager Zertifizierung. Live-Online-Training mit Zertifiziert-oder-Geld-zurück-Garantie. - [ISO 27701 Foundation](https://cyberacademy.net/de/courses/iso-27701-foundation): PECB-akkreditierte ISO 27701 Foundation Zertifizierung. Live-Online-Schulung mit Bestanden-oder-Geld-zurück-Garantie. - [ISO 27701 Lead Auditor](https://cyberacademy.net/de/courses/iso-27701-lead-auditor): PECB-akkreditierte ISO 27701 Lead Auditor Zertifizierung. Live-Online-Training mit Bestehen-oder-Geld-zurück-Garantie. - [ISO 27701 Lead Implementer](https://cyberacademy.net/de/courses/iso-27701-lead-implementer): PECB-akkreditierte ISO 27701 Lead Implementer Zertifizierung. Live-Online-Schulung mit Zertifizierungs- oder Rückgeldgarantie. - [ISO 31000 Foundation](https://cyberacademy.net/de/courses/iso-31000-foundation): PECB-akkreditierte ISO 31000 Foundation Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [ISO 31000 Lead Risk Manager](https://cyberacademy.net/de/courses/iso-31000-lead-risk-manager): PECB-akkreditierte ISO 31000 Lead Risk Manager Zertifizierung. Live-Online-Training mit Bestehen-oder-Geld-zurück-Garantie. - [ISO 31000 Risk Manager](https://cyberacademy.net/de/courses/iso-31000-risk-manager): PECB-akkreditierte ISO 31000 Risk Manager Zertifizierung. Live-Online-Training mit Zertifiziert-oder-Geld-zurück-Garantie. - [ISO 42001 Foundation](https://cyberacademy.net/de/courses/iso-42001-foundation): PECB-akkreditierte ISO 42001 Foundation Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückerstattungsgarantie. - [ISO 42001 Lead Auditor](https://cyberacademy.net/de/courses/iso-42001-lead-auditor): PECB-akkreditierte ISO 42001 Lead Auditor Zertifizierung. Live-Online-Training mit Bestanden-oder-Geld-zurück-Garantie. - [ISO 42001 Lead Implementer](https://cyberacademy.net/de/courses/iso-42001-lead-implementer): PECB-akkreditierte ISO 42001 Lead Implementer Zertifizierung. Live-Online-Training mit Bestanden-oder-Geld-zurück-Garantie. - [ISO 9001 Foundation](https://cyberacademy.net/de/courses/iso-9001-foundation): PECB-akkreditierte ISO 9001 Foundation Zertifizierung. Live-Online-Training mit Bestehen-oder-Geld-zurück-Garantie. - [ISO 9001 Lead Auditor](https://cyberacademy.net/de/courses/iso-9001-lead-auditor): PECB-akkreditierte ISO 9001 Lead Auditor Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [ISO 9001 Lead Implementer](https://cyberacademy.net/de/courses/iso-9001-lead-implementer): PECB-akkreditierte ISO 9001 Lead Implementer Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [ISO27001 - Lead Auditor](https://cyberacademy.net/de/courses/iso27001-lead-auditor): Offizielle PECB-akkreditierte ISO27001 - Lead Auditor Zertifizierungsschulung. Live-Online-Kurs mit erfahrenen Trainern und Zertifizierung-oder-Rückerstattung-Garantie. Jetzt anmelden... - [ISO27001 - Lead Implementer](https://cyberacademy.net/de/courses/iso27001-lead-implementer): Offizielle PECB-akkreditierte ISO27001 - Lead Implementer Zertifizierungsschulung. Live-Online-Kurs mit erfahrenen Trainern und Zertifizierungs-oder-Geld-zurück-Garantie. ... - [ISO27002 Foundation](https://cyberacademy.net/de/courses/iso27002-foundation): Offizielle PECB-akkreditierte ISO27002 Foundation Zertifizierungsschulung. Live-Online-Kurs mit erfahrenen Trainern und Zertifizierungs-oder-Rückerstattungs-Garantie. Jetzt einschreiben... - [ISO27002 Lead Manager](https://cyberacademy.net/de/courses/iso27002-lead-manager): Offizielle PECB-akkreditierte ISO27002 Lead Manager Zertifizierungsschulung. Live-Online-Kurs mit erfahrenen Dozenten und Zertifizierungsgarantie oder Rückerstattung. Jetzt anmelden... - [ISO27002 Manager](https://cyberacademy.net/de/courses/iso27002-manager): Offizielle PECB-akkreditierte ISO27002 Manager Zertifizierungsschulung. Live-Online-Kurs mit erfahrenen Dozenten und Zertifizierungs- oder Rückgeldgarantie. Jetzt anmelden. - [Lead Cloud Security Manager](https://cyberacademy.net/de/courses/lead-cloud-security-manager): PECB-akkreditierte Lead Cloud Security Manager Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [Lead Cybersecurity Manager](https://cyberacademy.net/de/courses/lead-cybersecurity-manager): PECB-akkreditierte Lead Cybersecurity Manager Zertifizierung. Live-Online-Training mit Zertifiziert-oder-Geld-zurück-Garantie. - [Lead Disaster Recovery Manager](https://cyberacademy.net/de/courses/lead-disaster-recovery-manager): PECB-akkreditierte Lead Disaster Recovery Manager Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [Lead Ethical Hacker](https://cyberacademy.net/de/courses/lead-ethical-hacker): PECB-akkreditierte Lead Ethical Hacker Zertifizierung. Live-Online-Training mit Zertifiziert-oder-Geld-zurück-Garantie. - [Lead Operational Resilience Manager](https://cyberacademy.net/de/courses/lead-operational-resilience-manager): PECB-akkreditierte Lead Operational Resilience Manager Zertifizierung. Live-Online-Training mit Zertifiziert-oder-Geld-zurück-Garantie. - [Lead SOC 2 Analyst](https://cyberacademy.net/de/courses/lead-soc-2-analyst): PECB-akkreditierte Lead SOC 2 Analyst Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückerstattungsgarantie. - [NIS 2 Directive Foundation](https://cyberacademy.net/de/courses/nis-2-directive-foundation): PECB-akkreditierte NIS 2 Directive Foundation Zertifizierung. Live-Online-Training mit Zertifiziert-oder-Geld-zurück-Garantie. - [NIS 2 Directive Lead Implementer](https://cyberacademy.net/de/courses/nis-2-directive-lead-implementer): PECB-akkreditierte NIS 2 Directive Lead Implementer Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie. - [NIST Cybersecurity Consultant](https://cyberacademy.net/de/courses/nist-cybersecurity-consultant): PECB-akkreditierte NIST Cybersecurity Consultant Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeld-Garantie. ## Articles (blog) > Short-form articles on regulatory news, practical templates, and career guidance. Most recent first. - [So bereiten Sie Ihre Organisation auf die NIS2-Konformität vor](https://cyberacademy.net/de/resources/blog/how-to-prepare-your-organization-for-nis2-compliance): NIS2 wird 2026 durchgesetzt. Hier ist der praktische, direkte Fahrplan ohne Umschweife, um Ihre Organisation konform zu machen; ohne im Papierkram zu versinken oder Monate mit Theorie zu verschwenden. - [Interne Audits über mehrere Standards hinweg planen](https://cyberacademy.net/de/resources/blog/how-to-plan-internal-audits-across-multiple-standards): ISO 27001, GDPR, NIS2, DORA, SOC 2 und weitere Standards gleichzeitig zu managen, kann überwältigend wirken. So entwickeln Sie ein einziges, effizientes internes Auditprogramm, das für alle Frameworks funktioniert. - [So integrieren Sie KI-Risiken in Ihr bestehendes ISMS und Ihr Risikoregister](https://cyberacademy.net/de/resources/blog/how-to-integrate-ai-risk-into-your-existing-isms-and-risk-register): KI bringt neue Risiken mit sich, für die Ihr ISMS nie ausgelegt war. Hier ist die klare, praxisorientierte Methode, um KI-Risiken in Ihr bestehendes ISO 27001-Risikoregister zu integrieren; ohne Ihr gesamtes Governance-Modell neu erfinden z - [Wie Sie Drittanbieter wie ein CISO bewerten (der Weg aus der Praxis)](https://cyberacademy.net/de/resources/blog/how-to-evaluate-third-party-vendors-like-a-ciso-the-real-way): Vendor-Sicherheit ist keine Frage von Checklisten; es geht um Kontext, Verträge, Governance und Glaubwürdigkeit. Ein praxiserprobter Leitfaden zur Bewertung von Drittparteien, so wie ein moderner CISO es tatsächlich tut. - [Wie Sie ein Audit-Trail aufbauen, das einer Prüfung standhält](https://cyberacademy.net/de/resources/blog/how-to-build-an-audit-trail-that-stands-up-to-scrutiny): Regulierungsbehörden, Prüfer und Gerichte interessieren sich nicht für Ihre Absichten; sie interessieren sich für das, was Sie nachweisen können. So bauen Sie ein Audit-Trail auf, das NIS2, DORA, GDPR, AI Act und forensische Überprüfungen ü - [So erstellen Sie ein KI-Risikoregister (mit Vorlage)](https://cyberacademy.net/de/resources/blog/how-to-build-an-ai-risk-register-with-template): KI bringt neue Risiken mit sich, die herkömmliche Risikoregister nicht erfassen können. Hier ist die klare, pragmatische Methode zum Aufbau eines KI-Risikoregisters; dazu eine sofort einsetzbare Vorlage, die Sie noch heute anwenden können. - [Wie KI Audit und Compliance Management verändert](https://cyberacademy.net/de/resources/blog/how-ai-is-changing-audit-and-compliance-management): KI ersetzt keine Auditoren oder Compliance-Teams; sie verändert die Art, wie diese arbeiten. Hier ist die praxiserprobte Analyse, wie KI in 2026 und darüber hinaus Risiko, Audit, Nachweise und Governance transformiert. - [Cloud-Anbieter unter DORA & NIS2 bewerten](https://cyberacademy.net/de/resources/blog/evaluating-cloud-providers-under-dora-nis2): Cloud-Anbieter stehen heute im Mittelpunkt regulatorischer Kontrolle. So bewerten Sie sie sachgerecht unter DORA und NIS2 – ohne im Papierkram zu versinken oder kritische Risiken zu übersehen. - [Kontinuierliche Compliance: Audits in gelebte Praxis verwandeln](https://cyberacademy.net/de/resources/blog/continuous-compliance-turning-audits-into-ongoing-practice): Jährliche Audits sind überholt. Kontinuierliche Compliance ist das einzige Modell, das NIS2, DORA, ISO 27001, SOC 2, GDPR und den AI Act übersteht. So machen Sie Compliance zu einer gelebten, operativen Gewohnheit; und nicht zu einer jährli - [Kann ChatGPT Ihre ISMS-Richtlinie entwerfen? Ein Praxistest](https://cyberacademy.net/de/resources/blog/can-chatgpt-draft-your-isms-policy-a-real-test): Kann KI Ihre ISMS-Richtlinien schreiben? Ja; aber nicht so, wie die meisten es erwarten. Ein praxiserprobter Blick darauf, was funktioniert, was scheitert und wie Sie KI sicher in Ihrem Governance-Programm einsetzen. - [Ein Compliance-Dashboard aufbauen, das die Sprache des Vorstands spricht](https://cyberacademy.net/de/resources/blog/building-a-compliance-dashboard-that-speaks-board-language): Die meisten Compliance-Dashboards überhäufen Führungskräfte mit Informationsrauschen. So bauen Sie eines, das die Sprache des Vorstands spricht: klar, strategisch und entscheidungsreif. - [Brüssels nächster Schritt: Was nach NIS2 und DORA kommt](https://cyberacademy.net/de/resources/blog/brussels-next-move-what-comes-after-nis2-and-dora): NIS2 und DORA waren nur Phase 1. AI Act, Data Act, CRA, EUCS und neue Rechenschaftspflichten werden Phase 2 definieren. Hier ist die konkrete Roadmap, auf die sich GRC-Verantwortliche vorbereiten müssen. - [GDPR, NIS2 und DORA zu einem einheitlichen Compliance-Modell zusammenführen](https://cyberacademy.net/de/resources/blog/bridging-gdpr-nis2-and-dora-for-unified-compliance): GDPR, NIS2 und DORA überschneiden sich stärker, als die meisten Organisationen erkennen. So bauen Sie ein einheitliches Compliance-Modell auf, anstatt drei separate Baustellen zu verwalten. - [Das Awareness-Programm ist tot.](https://cyberacademy.net/de/resources/blog/awareness-program-is-dead): Awareness-Training reduziert Risiken, aber nur wenn es für echte Menschen, echte Anreize und reale Kontexte konzipiert ist. Warum die meisten Programme scheitern; und was tatsächlich funktioniert. - [ISO27001: Ich habe ein ISMS geerbt. Es war ein SharePoint-Ordner mit 200 Dokumenten und einem Stoßgebet.](https://cyberacademy.net/de/resources/blog/iso27001-i-inherited-an-isms): Was Ihnen niemand über die Implementierung von ISO27001 sagt – und wie Sie in 5 Tagen aufhören, es nur zu simulieren. 11.–15. Mai, online. - [NIS 2 ist in Kraft. Ihr Regulator wartet nicht.](https://cyberacademy.net/de/resources/blog/nis-2-is-live-your-regulator-wont-wait): How to go from “I’ve read the directive” to “I can implement it” in 5 days, May 4–8, online. - [Ihre BIA ist wahrscheinlich eine Tabelle, die jemand allein ausgefüllt hat.](https://cyberacademy.net/de/resources/blog/your-bia-is-probably-a-spreadsheet-someone-filled-in-alone): Kostenlose Business Impact Assessment-Vorlage. Drei Abschnitte. Vorgefertigte Impact-Matrix. Bereit für ISO 22301. - [Das BC/DR-Richtlinienvorlage, die in SharePoint nicht stirbt](https://cyberacademy.net/de/resources/blog/the-bc-dr-policy-template-that-doesnt-die-in-sharepoint): Kostenloser Download. Aus echten Projekten entwickelt. Kein weiteres ISO-Copy-paste. - [Storytelling für Compliance-Verantwortliche](https://cyberacademy.net/de/resources/blog/storytelling-for-compliance-leaders): Denn Fakten informieren, aber Geschichten bewegen Menschen dazu, Compliance ernst zu nehmen. - [GRC-KPIs, die zählen: So belegen Sie Compliance mit Zahlen](https://cyberacademy.net/de/resources/blog/grc-kpis-that-matter-how-to-prove-compliance-with-numbers): Die meisten GRC-KPIs sind wertlos. Hier sind die, die Compliance tatsächlich belegen und Entscheidungen steuern. - [Wie Sie Führungskräfte dazu bringen, Risiken ernst zu nehmen](https://cyberacademy.net/de/resources/blog/how-to-get-executives-to-care-about-risk): Wie Sie Führungskräfte dazu bringen, Risiken wirklich ernst zu nehmen und entsprechend zu handeln. - [GRC-Dashboards, die Führungskräfte tatsächlich lesen](https://cyberacademy.net/de/resources/blog/grc-dashboards-executives-actually-read): Wenn Sie möchten, dass Führungskräfte aufmerksam werden, müssen Sie aufhören, wie ein Compliance-Beauftragter zu berichten, und anfangen, wie ein Geschäftspartner zu berichten. - [Wie Sie eine Risikobeurteilung durchführen, die das Board nicht einschläfert](https://cyberacademy.net/de/resources/blog/how-to-run-a-risk-assessment-that-doesnt-bore-the-board): Wenn Sie möchten, dass sich das Board wirklich engagiert und nicht nur Ihre Folien erduldet, müssen Sie die Risikobeurteilung von einem Berichterstattungsritual in ein Entscheidungsgespräch verwandeln. So geht es. - [Wie Sie mit Nicht-GRC-Fachleuten über Compliance sprechen (und sie dazu bringen, sich dafür zu interessieren)](https://cyberacademy.net/de/resources/blog/how-to-talk-compliance-to-non-grc-people-and-make-them-care): Wie Sie mit Nicht-GRC-Fachleuten über GRC sprechen (und sie dazu bringen, sich dafür zu interessieren) - [5 Fehler in Risikoregistern (und wie Sie sie beheben)](https://cyberacademy.net/de/resources/blog/5-mistakes-in-risk-registers-and-how-to-fix-them): Denn die meisten Risikoregister sind nichts weiter als teure Tabellen voller Wunschdenken. - [Top 10 Lücken, die Auditoren unter NIS2 prüfen werden](https://cyberacademy.net/de/resources/blog/top-10-gaps-auditors-will-look-for-under-nis2): And why “we have a policy for that” won’t be enough this time with NIS2 - [Vom Checkbox zum Strategie: Der Tod der Schein-Compliance](https://cyberacademy.net/de/resources/blog/from-checkbox-to-strategy-the-death-of-fake-compliance): Compliance, die auf Checklisten basiert, hat ausgedient. So entwickeln sich Organisationen von vorgetäuschter Reife zu echter strategischer Sicherheit. - [AI Governance vs. AI Compliance: Was ist der Unterschied?](https://cyberacademy.net/de/resources/blog/ai-governance-vs-ai-compliance-whats-the-difference): Und warum Sie in Schwierigkeiten geraten, wenn Sie AI Governance und AI Compliance verwechseln. - [Der ultimative Leitfaden zu ISO-Zertifizierungen für GRC-Profis](https://cyberacademy.net/de/resources/blog/the-ultimate-guide-to-iso-certifications-for-grc-pros): Ein praxiserprobter Leitfaden zu ISO-Zertifizierungen, den jeder GRC-Fachmann kennen sollte; und warum sie im Berufsalltag relevant sind. - [Wie man Richtlinien schreibt, die tatsächlich befolgt werden](https://cyberacademy.net/de/resources/blog/how-to-write-policies-people-actually-follow): Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this. - [Datenklassifizierungsrichtlinien, die wirklich funktionieren](https://cyberacademy.net/de/resources/blog/data-classification-policies-that-actually-work): Because most “Confidential / Internal / Public” labels are just data decorative. - [Vom Praktikanten zum CISO: So bauen Sie eine skalierbare GRC-Karriere auf](https://cyberacademy.net/de/resources/blog/from-intern-to-ciso-how-to-build-a-grc-career-that-scales): Ein praxiserprobter Karrierefahrplan vom Junior-GRC-Analysten zum CISO; ohne sich in Vorlagen, Audits oder unternehmerischem Chaos zu verlieren. - [Lehren aus gescheiterten Audits: Was jede Organisation daraus lernen sollte](https://cyberacademy.net/de/resources/blog/lessons-from-failed-audits-what-every-organization-should-learn): Warum Audits scheitern, was das wirklich bedeutet und welche Lehren jede Organisation ziehen muss, um dieselben Fehler nicht zu wiederholen. - [Lead Auditor vs. Lead Implementer: Welche Zertifizierung passt zu Ihnen?](https://cyberacademy.net/de/resources/blog/lead-auditor-vs-lead-implementer-which-certification-fits-you): Wie Sie mit Nicht-GRC-Fachleuten über GRC sprechen (und sie dafür gewinnen) - [Top 10 Audit-Findings 2025: Die echten Ergebnisse](https://cyberacademy.net/de/resources/blog/top-10-audit-findings-in-2025-the-real-ones): Praxisnotizen aus realen Gap-Assessments in ganz Europa, nicht aus Lehrbüchern. - [Wie Sie eine Compliance-Kultur aufbauen, die über Checklisten hinausgeht](https://cyberacademy.net/de/resources/blog/how-to-build-a-compliance-culture-beyond-checklists): Eine Compliance-Kultur entsteht nicht durch Richtlinien oder Checklisten; sie entsteht durch Verhalten, Verantwortungsbewusstsein und Klarheit. - [Wie Sie sich als vCISO abheben](https://cyberacademy.net/de/resources/blog/how-to-stand-out-as-a-vciso): Wie ein vCISO sich in einem gesättigten Markt wirklich abheben kann: durch pragmatisches Vorgehen, menschliche Kommunikation und konsequente Praxisorientierung. - [Warum 2026 das Jahr der Compliance-Konvergenz wird](https://cyberacademy.net/de/resources/blog/why-2026-is-the-year-of-compliance-convergence): GRC mit Nicht-GRC-Fachleuten besprechen (und sie wirklich überzeugen) Bis 2026 werden die Unternehmen, die den regulatorischen Sturm überstehen. NIS2, DORA, den AI Act, den CRA Act, den DATA Act, ESG, Datenschutz und mehr. Es werden jene se - [Wann Excel ausreicht und wann Sie eine echte GRC-Plattform benötigen](https://cyberacademy.net/de/resources/blog/when-excel-is-enough-and-when-you-need-a-real-grc-platform): Excel works… until it doesn’t. Here’s the pragmatic line between “good enough” spreadsheets and when your organisation truly needs a GRC platform. --- ## Optional - Upcoming live sessions: https://cyberacademy.net/de/sessions - Sitemap: https://cyberacademy.net/sitemap.xml