Die meisten erfahrenen Sicherheitsmanager schneiden in Domäne 1 schlechter ab als Berufseinsteiger. Nicht weil sie weniger wissen, sondern weil sie mit dem falschen Denkmodell antworten.

24 Prozent der Prüfungsfragen entfallen auf Information Security Governance – ein Thema, das jeder IT-Sicherheitsverantwortliche mit mehrjähriger Erfahrung zu kennen glaubt. ISACA bewertet in der CISM-Prüfung jedoch nicht, was ein guter Sicherheitsmanager im Alltag tut. ISACA bewertet, wie ein Sicherheitsmanager aus der Perspektive des Unternehmens entscheidet – und das ist ein anderes Modell.

Die drei folgenden Denkfehler sind nicht aus der Luft gegriffen. Sie entstammen dem Muster, das sich beim Entwickeln prüfungsnaher Fragen immer wieder zeigt: Kandidaten mit echter Berufserfahrung wählen konsistent eine bestimmte Kategorie falscher Antworten – und tun es aus dem gleichen Grund.

Denkfehler 1: Sicherheit vor Geschäftszielen priorisieren

Das Szenario ist in Domäne 1 häufig: Ein Unternehmen steht kurz vor dem Launch eines neuen Produkts. Die Sicherheitsabteilung hat einen mittelschweren Befund identifiziert – kein kritisches Risiko, aber eine offene Lücke im Authentifizierungskonzept. Was empfiehlt der Information Security Manager?

Erfahrene Sicherheitsverantwortliche antworten intuitiv: Den Launch verschieben, bis die Lücke geschlossen ist. Das ist in vielen Unternehmen die richtige operative Entscheidung, und es ist die falsche CISM-Antwort.

ISACA bewertet Governance als Ausrichtung der Informationssicherheit an den Unternehmenszielen – nicht als deren Bremse. Die korrekte Antwort lautet typischerweise: Das Risiko formal dokumentieren, dem Management zur Entscheidung vorlegen und eine Risikoakzeptanz durch die Geschäftsleitung einholen. Der Sicherheitsmanager ist nicht der Entscheider über Geschäftsziele, er ist derjenige, der das Risikobild transparent macht und die Entscheidung ermöglicht.

Der Denkfehler ist strukturell: Viele Kandidaten haben in ihrer Berufspraxis gelernt, Sicherheitsrisiken zu minimieren. ISACA bewertet die Fähigkeit, Risiken zu managen – also zu kommunizieren, zu dokumentieren, zur Entscheidung zu bringen, anstatt sie unilateral zu blockieren. Governance ist nicht Kontrolle, Governance ist Steuerung mit Rechenschaftspflicht.

Erkennungszeichen

Sobald eine Antwortoption lautet „den Launch stoppen" oder „die Maßnahme sofort umsetzen", ist das fast immer die operative, nicht die Governance-Antwort. Die richtige Antwort enthält Begriffe wie „dem Senior Management vorlegen", „formal dokumentieren" oder „Risikoakzeptanz einholen".

Denkfehler 2: Zwischen Governance, Management und Kontrolle nicht scharf unterscheiden

Das Board fragt, wie sichergestellt werden kann, dass die Informationssicherheitsstrategie mit den Unternehmenszielen ausgerichtet bleibt. Welche Maßnahme empfiehlt der Information Security Manager?

Genau hier verwechseln viele Kandidaten Governance, Management und Kontrolle – drei Ebenen, die im Alltag fließend ineinander übergehen, in der Prüfung aber hart getrennt sind.

Governance definiert, wer welche Entscheidungen trifft und wie Rechenschaft sichergestellt wird. Sie liegt beim Board und der Geschäftsleitung, nicht beim Information Security Manager. Management setzt die durch Governance gesetzten Ziele um und steuert Ressourcen – das ist die Ebene des CISM. Kontrolle sind die technischen und organisatorischen Maßnahmen, die Management-Entscheidungen operativ absichern.

Drei-Ebenen-Modell nach ISACA: Governance oben (Board), Management in der Mitte (CISM-Ebene), Kontrolle unten – mit gestricheltem Pfeil als typische Verwechslungsrichtung von Management zur Kontrollebene
Abb. 1 – Drei-Ebenen-Modell nach ISACA. Der CISM sitzt auf der Management-Ebene. Typischer Denkfehler: Antworten auf Kontrollebene, obwohl die Frage Governance-Perspektive verlangt.

Kandidaten mit technischem Hintergrund neigen zur Kontrollebene: ein Security-Monitoring-System einführen, Vulnerability-Scans durchführen, Zugriffsrechte überprüfen. Kandidaten mit Management-Erfahrung landen auf der Management-Ebene: ein ISMS etablieren, Richtlinien aktualisieren.

Die Governance-Antwort klingt anders: Ein Berichtswesen etablieren, das der Geschäftsleitung regelmäßig den Sicherheitsstatus gegen strategische Ziele kommuniziert – und sicherstellt, dass das Board Entscheidungskompetenz behält. Es geht nicht darum, was gemacht wird, sondern darum, wer entscheidet und wie die Aufsicht sichergestellt wird.

Erkennungszeichen

Wenn eine Frage auf Governance-Ebene gestellt ist, aber die naheliegendsten Antworten operative Maßnahmen beschreiben, ist das die gezielte Falle. Die richtige Antwort enthält typischerweise „Berichtswesen", „Eskalationspfad", „Board-Level-Kommunikation" oder „Verantwortlichkeitsrahmen".

Denkfehler 3: Den „besten ersten Schritt" mit dem „besten Schritt" verwechseln

ISACA stellt in Domäne 1 häufig Fragen nach der Reihenfolge: Was ist der erste Schritt, bevor ein Information Security Governance Framework eingeführt wird? Was muss zuerst geklärt werden, bevor eine Sicherheitsstrategie entwickelt wird?

Die intuitive Antwort für erfahrene Praktiker lautet fast immer: eine Bestandsaufnahme machen, eine Gap-Analyse durchführen, den aktuellen Reifegrad bewerten. Das ist operativ vernünftig – und in der Prüfung meist falsch.

ISACAs Antwortlogik folgt dem Top-down-Prinzip der Governance: Bevor irgendetwas analysiert oder gemessen wird, muss der Auftrag klar sein. Der erste Schritt ist die Klärung der Unternehmensanforderungen und die Sicherstellung des Management-Commitments. Erst wenn diese Ausgangslage definiert ist, kann eine Gap-Analyse sinnvoll sein – weil man dann weiß, womit man vergleicht.

Der Denkfehler ist besonders hartnäckig, weil die „falsche" Antwort in der Praxis oft die pragmatischere ist. ISACA bewertet nicht Pragmatismus, sondern die konzeptionell korrekte Reihenfolge eines Governance-Aufbaus.

Erkennungszeichen

Fragen mit „zuerst" oder „als ersten Schritt" in Domäne 1 sind fast immer Fallen. Wenn „Gap-Analyse", „Reifegradbewertung" oder „technische Bestandsaufnahme" als Antwortoptionen erscheinen, sind sie selten die erste richtige Antwort. „Unternehmensanforderungen klären", „Management-Commitment sicherstellen" oder „Governance-Rahmen definieren" kommen zuerst.

Entscheidungsmatrix: Drei Prüfungsszenarien im Vergleich – operative Antwort (falsch) vs. Governance-Antwort (ISACA-korrekt) mit Erkennungszeichen
Abb. 2 – Die drei Szenarien im direkten Vergleich. Die Erkennungszeichen helfen, die richtige Antwortkategorie in der Prüfung schnell einzugrenzen.

Was das für die Prüfungsvorbereitung bedeutet

Die drei Denkfehler haben eine gemeinsame Ursache: Berufserfahrung schult operative Entscheidungsfähigkeit, nicht Governance-Perspektive. Wer fünf oder zehn Jahre als Sicherheitsmanager gearbeitet hat, denkt in Lösungen, Maßnahmen und Kontrollen – weil das sein Alltag ist.

ISACA bewertet in Domäne 1, ob Kandidaten verstehen, dass Information Security Governance eine Funktion des Unternehmens ist, nicht der IT-Abteilung. Der Information Security Manager ist in der Governance-Perspektive kein Entscheider, sondern ein Berater, Kommunikator und Ermöglicher von Entscheidungen auf höherer Ebene.

Das trainiert man nicht durch Auswendiglernen von Domäneninhalten, sondern durch konsequentes Üben an Fragen, die genau diese Verwechslungen provozieren – mit bewusst ähnlichen Antwortoptionen, bei denen der Unterschied zwischen „operativ richtig" und „governance-korrekt" kleiner ist als er auf den ersten Blick aussieht.

Wer die Governance-Perspektive einmal verinnerlicht hat, erkennt das Muster in fast jeder Domäne-1-Frage. Das folgende Kurzschema hilft, die richtige Antwort systematisch einzugrenzen:

Flowchart: Vier Prüfschritte zur Identifikation der governance-korrekten Antwort in CISM-Domäne-1-Fragen – von Antwortoption gefunden bis Governance-Antwort wahrscheinlich korrekt
Abb. 3 – Kurzschema zur Eingrenzung der governance-korrekten Antwort in Domäne-1-Prüfungsfragen.

Die größte Herausforderung der CISM-Prüfung besteht nicht darin, Governance zu lernen. Sie besteht darin, für vier Stunden aufzuhören, wie ein Sicherheitsmanager zu denken – und stattdessen wie ein Vorstand zu entscheiden.