Domäne 2 stellt in der CISA-Prüfung nur 17 Prozent der Fragen, entscheidet aber häufiger über das Bestehen als jede andere Domäne. Der Grund: Governance-Fragen prüfen kein Faktenwissen, sondern ein Denkmodell. Wer die Frage aus der Perspektive des operativen IT-Betriebs beantwortet statt aus der Perspektive des Prüfungsvorstands, liegt bei ISACA-Prüfungen fast immer falsch. Genau dieser Perspektivwechsel ist der Kern dessen, was Domäne 2 tatsächlich abfragt.

Was Domäne 2 tatsächlich abdeckt

Der offizielle ISACA-Rahmen für Domäne 2, Governance und Management von IT, umfasst die Informationssicherheitsstrategie und ihre Ausrichtung an den Unternehmenszielen, die Governance-Struktur mit Rollen und Verantwortlichkeiten, das unternehmensweite Risikomanagement-Framework, Richtlinien, Standards und Verfahren sowie das Security-Awareness-Programm. Auch die Steuerung von Drittparteien und die Berichterstattung an Vorstand und Aufsichtsgremien gehören dazu. Das gemeinsame Prinzip hinter all diesen Themen: Governance schafft die Struktur, innerhalb derer operative Sicherheitsmaßnahmen erst wirksam werden können.

Strategie & Ausrichtung Die Informationssicherheitsstrategie muss aus den Unternehmenszielen abgeleitet sein, nicht umgekehrt. Prüfungsfragen testen, ob Kandidaten Sicherheit als Business-Enabler oder als reines Kostenzentrum verstehen.
Governance-Struktur Klare Trennung zwischen Vorstandsverantwortung, Sicherheitsausschuss und operativer Umsetzung. Funktionstrennung (Segregation of Duties) ist ein wiederkehrendes Prüfungsthema.
Risikomanagement Ein unternehmensweites Framework mit definierter Risikobereitschaft, Risikoregister und regelmäßiger Berichterstattung an die Geschäftsleitung.
Policies & Standards Die Hierarchie aus Policy, Standard, Verfahren und Guideline muss verstanden werden: Eine Policy legt das Ziel fest, ein Standard die verbindliche Ausprägung, ein Verfahren die konkrete Ausführung.
Awareness & Kultur Ein wirksames Security-Awareness-Programm wird an Verhaltensänderung gemessen, nicht an Teilnahmequoten einer Schulung.

Warum COBIT hier so oft auftaucht

COBIT ist das Referenzmodell, an dem ISACA die Governance-Fragen in Domäne 2 spiegelt, auch wenn der Rahmenname in der Frage selten explizit genannt wird. Zentral ist die Kaskade von Unternehmenszielen über IT-bezogene Ziele bis zu Governance- und Managementzielen. Wer diese Kaskade verinnerlicht hat, erkennt in Prüfungsfragen sofort, auf welcher Ebene ein beschriebenes Problem eigentlich liegt. Eine Frage, die nach der besten Reaktion auf ein fehlendes Sicherheitsbudget fragt, zielt fast immer auf die Governance-Ebene: Fehlende Ausrichtung zwischen Sicherheitsstrategie und Unternehmenszielen, nicht auf ein technisches Detail.

Der häufigste Denkfehler in Domäne 2

Erfahrene Praktiker beantworten Governance-Fragen oft aus ihrer beruflichen Erfahrung heraus und wählen die Antwort, die im eigenen Unternehmen tatsächlich funktionieren würde. ISACA prüft aber die theoretisch korrekte Best-Practice-Antwort nach dem Governance-Modell, nicht die pragmatischste Lösung. Wer bei einer Frage zwischen einer schnellen operativen Lösung und einer formal korrekten Governance-Antwort wählen muss, liegt mit der Governance-Antwort fast immer richtig.

Wie typische Prüfungsfragen aufgebaut sind

Domäne-2-Fragen folgen meist einem Muster: Eine Situationsbeschreibung nennt ein Symptom, etwa einen Konflikt zwischen IT-Abteilung und Fachbereich, einen fehlenden Risikoappetit oder ein unklar zugeordnetes Sicherheitsbudget. Gefragt wird nach der besten nächsten Handlung des Information Security Managers. Die richtige Antwort liegt fast immer auf der strukturellen Ebene: Eskalation an den zuständigen Ausschuss, Klärung der Risikobereitschaft mit der Geschäftsleitung, Anpassung der Governance-Struktur. Antworten, die eine rein technische Lösung vorschlagen, sind in Domäne 2 fast immer Distraktoren.

Prüfungsvorbereitung: der praktische Ansatz

Wer für Domäne 2 lernt, sollte weniger Definitionen auswendig lernen und stattdessen an echten Fallbeispielen üben, die Governance-Ebene eines Problems zu identifizieren. Ein hilfreicher Test: Bei jeder Übungsfrage zunächst festlegen, ob das beschriebene Problem strategisch, strukturell oder operativ ist. Nur wenn die Antwortoption zur richtigen Ebene passt, kommt sie überhaupt infrage. Dieses Vorgehen reduziert die Trefferquote auf falsche, aber plausibel klingende operative Antworten erheblich.

Governance-Objekte für die strukturierte Vorbereitung

Prüfungsfokus CISA · Domäne 2
Gewichtung17 Prozent der Prüfungsfragen, fünfter Teilbereich neben Domäne 1, 3, 4 und den Prozessen des Audits.
KernmodellCOBIT-Kaskade: Unternehmensziele → IT-bezogene Ziele → Governance- und Managementziele → Prozesse.
PrüfungslogikSymptom in der Fallfrage der richtigen Governance-Ebene zuordnen, bevor eine Antwortoption bewertet wird.
FragenpoolVollständiger CISA-Fragenpool inklusive Domäne 2 im Buch „Das CISA-Buch" von Brain-Media.de.

Das erste deutschsprachige CISA-Vorbereitungsbuch von Brain-Media.de bildet alle fünf Prüfungsdomänen inklusive Domäne 2 mit strukturierten Übungsfragen und Erklärungen ab. Der vollständige Fragenpool steht Käufern digital zur Verfügung.

CISA Übungsfrage · Domäne 2

Der Fachbereich beschwert sich, dass Sicherheitsanforderungen seine Projekte verzögern, während kein dokumentiertes Risikoappetit-Niveau existiert. Was ist die beste nächste Handlung des Information Security Managers?

Prüfungsvorbereitung · CISA Domäne 2

Alle fünf CISA-Domänen strukturiert lernen

Das erste deutschsprachige CISA-Vorbereitungsbuch – mit vollständigem Fragenpool und Erklärungen für Domäne 2 und alle anderen Prüfungsbereiche.