Domäne 2 stellt in der CISA-Prüfung nur 17 Prozent der Fragen, entscheidet aber häufiger über das Bestehen als jede andere Domäne. Der Grund: Governance-Fragen prüfen kein Faktenwissen, sondern ein Denkmodell. Wer die Frage aus der Perspektive des operativen IT-Betriebs beantwortet statt aus der Perspektive des Prüfungsvorstands, liegt bei ISACA-Prüfungen fast immer falsch. Genau dieser Perspektivwechsel ist der Kern dessen, was Domäne 2 tatsächlich abfragt.
Was Domäne 2 tatsächlich abdeckt
Der offizielle ISACA-Rahmen für Domäne 2, Governance und Management von IT, umfasst die Informationssicherheitsstrategie und ihre Ausrichtung an den Unternehmenszielen, die Governance-Struktur mit Rollen und Verantwortlichkeiten, das unternehmensweite Risikomanagement-Framework, Richtlinien, Standards und Verfahren sowie das Security-Awareness-Programm. Auch die Steuerung von Drittparteien und die Berichterstattung an Vorstand und Aufsichtsgremien gehören dazu. Das gemeinsame Prinzip hinter all diesen Themen: Governance schafft die Struktur, innerhalb derer operative Sicherheitsmaßnahmen erst wirksam werden können.
Warum COBIT hier so oft auftaucht
COBIT ist das Referenzmodell, an dem ISACA die Governance-Fragen in Domäne 2 spiegelt, auch wenn der Rahmenname in der Frage selten explizit genannt wird. Zentral ist die Kaskade von Unternehmenszielen über IT-bezogene Ziele bis zu Governance- und Managementzielen. Wer diese Kaskade verinnerlicht hat, erkennt in Prüfungsfragen sofort, auf welcher Ebene ein beschriebenes Problem eigentlich liegt. Eine Frage, die nach der besten Reaktion auf ein fehlendes Sicherheitsbudget fragt, zielt fast immer auf die Governance-Ebene: Fehlende Ausrichtung zwischen Sicherheitsstrategie und Unternehmenszielen, nicht auf ein technisches Detail.
Der häufigste Denkfehler in Domäne 2
Erfahrene Praktiker beantworten Governance-Fragen oft aus ihrer beruflichen Erfahrung heraus und wählen die Antwort, die im eigenen Unternehmen tatsächlich funktionieren würde. ISACA prüft aber die theoretisch korrekte Best-Practice-Antwort nach dem Governance-Modell, nicht die pragmatischste Lösung. Wer bei einer Frage zwischen einer schnellen operativen Lösung und einer formal korrekten Governance-Antwort wählen muss, liegt mit der Governance-Antwort fast immer richtig.
Wie typische Prüfungsfragen aufgebaut sind
Domäne-2-Fragen folgen meist einem Muster: Eine Situationsbeschreibung nennt ein Symptom, etwa einen Konflikt zwischen IT-Abteilung und Fachbereich, einen fehlenden Risikoappetit oder ein unklar zugeordnetes Sicherheitsbudget. Gefragt wird nach der besten nächsten Handlung des Information Security Managers. Die richtige Antwort liegt fast immer auf der strukturellen Ebene: Eskalation an den zuständigen Ausschuss, Klärung der Risikobereitschaft mit der Geschäftsleitung, Anpassung der Governance-Struktur. Antworten, die eine rein technische Lösung vorschlagen, sind in Domäne 2 fast immer Distraktoren.
Prüfungsvorbereitung: der praktische Ansatz
Wer für Domäne 2 lernt, sollte weniger Definitionen auswendig lernen und stattdessen an echten Fallbeispielen üben, die Governance-Ebene eines Problems zu identifizieren. Ein hilfreicher Test: Bei jeder Übungsfrage zunächst festlegen, ob das beschriebene Problem strategisch, strukturell oder operativ ist. Nur wenn die Antwortoption zur richtigen Ebene passt, kommt sie überhaupt infrage. Dieses Vorgehen reduziert die Trefferquote auf falsche, aber plausibel klingende operative Antworten erheblich.
Governance-Objekte für die strukturierte Vorbereitung
Das erste deutschsprachige CISA-Vorbereitungsbuch von Brain-Media.de bildet alle fünf Prüfungsdomänen inklusive Domäne 2 mit strukturierten Übungsfragen und Erklärungen ab. Der vollständige Fragenpool steht Käufern digital zur Verfügung.
CISA Übungsfrage · Domäne 2
Der Fachbereich beschwert sich, dass Sicherheitsanforderungen seine Projekte verzögern, während kein dokumentiertes Risikoappetit-Niveau existiert. Was ist die beste nächste Handlung des Information Security Managers?
Prüfungsvorbereitung · CISA Domäne 2
Alle fünf CISA-Domänen strukturiert lernen
Das erste deutschsprachige CISA-Vorbereitungsbuch – mit vollständigem Fragenpool und Erklärungen für Domäne 2 und alle anderen Prüfungsbereiche.