M 3.45 Planung von Schulungsinhalten zur Informationssicherheit
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Personalabteilung, Vorgesetzte
Alle Mitarbeiter sollten, bezogen auf ihren Arbeitsplatz, fundiertes Fachwissen besitzen und in diesem Rahmen auch über Belange der Informationssicherheit Bescheid wissen.
Dafür sollte es auf verschiedene Zielgruppen zugeschnittene Schulungen zu Informationssicherheit geben, z. B. für Mitarbeiter aus den verschiedenen Fachbereichen, Vorgesetzte, Verantwortliche für Informationssicherheit, IT-Verantwortliche, Administratoren, etc.
Zu Beginn einer Schulungsmaßnahme muss der Qualifikationsstand und der Schulungsbedarf der Mitarbeiter analysiert werden. Dabei sind folgende Fakten zu ermitteln:
- Ausbildungsabschlüsse
- Berufserfahrung, Weiterbildungen, Zusatzkenntnisse
- Aufgaben und Rollen der Mitarbeiter in ihrer Organisationseinheit
Die Schulungsinhalte sollten modular aufgebaut sein, so dass jede Zielgruppe hinreichend und in angemessener Tiefe geschult werden kann. Im Folgenden werden wichtige Inhalte verschiedener Schulungsmodule vorgestellt, die für die jeweiligen Personengruppen rollenbezogen ausgewählt und aufbereitet werden müssen. Dieser Überblick soll dazu dienen, bei der Durchführung interner bzw. der Entscheidung für externe Schulungsveranstaltungen die passenden Inhalte auszuwählen. Zusätzlich sollten alle für den jeweiligen Informationsverbund relevanten Bausteine der IT-Grundschutz-Kataloge daraufhin überprüft werden, ob die erforderlichen Maßnahmen nicht nur angeordnet, sondern auch geschult wurden.
Die hier beschriebenen Module sollten den Zielgruppen zugewiesen werden, wie dies in der folgenden Matrix exemplarisch aufgezeigt wird. Dabei wird mit "X" gekennzeichnet, dass das jeweilige Modul für die entsprechende Rolle empfohlen wird. Mit einem "O" werden die optionalen Schulungsmodule gekennzeichnet, bei denen von Fall zu Fall entschieden werden sollte, ob die Inhalte für die entsprechende Rolle benötigt werden.
Schulungsmodule
Modul 1: Grundlagen der Informationssicherheit
Modul 2: Informationssicherheit am Arbeitsplatz
Modul 3: Gesetze und Regularien
Modul 4: Sicherheitskonzept der Organisation
Modul 5: Risikomanagement
Modul 6: Informationssicherheitsmanagement
Modul 7: IT-Systeme
Modul 8: Operativer Bereich
Modul 9: Technische Realisierung von Sicherheitsmaßnahmen
Modul 10: Notfallvorsorge/Notfallplanung
Modul 11: Neue Entwicklungen im IT-Bereich
Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit
Modul 13: Infrastruktur-Sicherheit
Modul / Funktion | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Vorgesetzte | X | X | X | X | O | X | |||||||
Sicherheitsmanagement | X | X | X | X | X | X | X | X | X | X | X | X | X |
Datenschutzbeauftragter | X | X | X | X | X | O | |||||||
Infrastrukturverantwortliche | X | X | X | X | X | O | X | X | |||||
Benutzer | X | X | |||||||||||
Administratoren | X | X | X | X | X | X | X | X | X | O |
Tabelle: Vorgeschlagene Schulungsmodule je Funktion
Die beiden Module 1 und 2 dienen als Basisschulung aller Mitarbeiter. Die Module 3 und folgende zeigen auf, welche Vertiefungsgebiete je nach Fachaufgaben außerdem gelernt werden sollten.
Je nach Art der Institution kann es sinnvoll sein, weitere Zielgruppen und die zugehörigen Ausbildungsziele zu definieren, z. B. Verwaltungsmitarbeiter oder Sicherheitsdienst mit dem Fokus auf deren Aufgabengebiet, aber auch deren Basiswissen über IT. Wichtig ist, dass bei der Schulung für Informationssicherheit auch das Personal nicht vergessen wird, das nicht in erster Linie mit IT in Verbindung gebracht wird, wie Pforten- und Reinigungspersonal. Für diese ist allerdings im Allgemeinen kein komplexes Schulungsmodul erforderlich.
Modul 1: Grundlagen der Informationssicherheit
Angesichts des beachtlichen Nutzens und der erheblichen Arbeitserleichterungen, die ein sinnvoller Einsatz der IT bewirken kann, dürfen die gravierenden Gefahren nicht aus dem Auge verloren werden, die ein allzu sorgloser oder gar fahrlässiger Umgang mit dieser Technologie nach sich ziehen kann. Eine der wichtigsten Aufgaben des Schulungskonzeptes besteht daher in der Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit, die unter anderem folgende Themen umfassen sollte:
- Motivation
- Statistiken zur Informationssicherheit
- Fallbeispiele für Gefährdungen und Risiken
- Studien zur Informationssicherheit
- Erläuterung der Grundprinzipien der Informationssicherheit
- Vertraulichkeit, Integrität und Verfügbarkeit als Grundlagen
- Unterschied zwischen Security und Safety
- Gründe für Angriffe auf die Informationssicherheit
- Wirtschaftsspionage
- staatliche Ermittlungen
- Neugier, spielerische Herausforderung
- kriminelle Ziele
- Sicherheitsstrukturen der Organisation
- Aufgaben und Ziele der Organisation
- Einsatz von IT
- Richtlinien und Vorgaben der Organisation
- Ziele und Inhalte des Sicherheitskonzeptes der Organisation
- Aufgaben und Verpflichtungen der einzelnen Mitarbeiter
- Wesentliche Sicherheitsregeln für Mitarbeiter
- Überblick über interne Sicherheitsregelungen
- Umgang mit Passwörtern
- Nutzung von E-Mail und Internet
- Virenschutz und Datensicherung
Modul 2: Informationssicherheit am Arbeitsplatz
Mitarbeiter können oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden. Das Modul zur Umsetzung von Informationssicherheit am Arbeitsplatz sollte unter anderem die folgenden Themenschwerpunkte umfassen:
- Sensibilisierung von Benutzern
- Motivation und Aufzeigen typischer Fehler von Anwendern:
- leichtsinniger Umgang mit Passwörtern
- Verzicht auf Verschlüsselung
- mangelnder Schutz von Informationen
- mangelndes Misstrauen
- Laptop-Diebstahl
- Organisation und Sicherheit
- Die Sicherheitsvorgaben der Institution und deren Bedeutung für den Arbeitsalltag
- Verantwortlichkeiten und Meldewege in der Institution (mit persönlicher Vorstellung der IT-Sicherheitsbeauftragten)
- Zugangs- und Zugriffsschutz
- Technische Sicherheit
- E-Mail- und Internet-Sicherheit
- Schadsoftware
- Sicherheitsaspekte relevanter IT-Systeme und Anwendungen
- Rechtliche Aspekte
- Verhalten bei Sicherheitsvorfällen
- Erkennung und Aufbereitung von Sicherheitsvorfällen
- Meldewege und Ansprechpartner
- Eskalationsstrategie
Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Schulungsmodul "Informationssicherheit am Arbeitsplatz" sollte stets den individuellen Gegebenheiten der entsprechenden Organisation angepasst sein.
Modul 3: Gesetze und Regularien
Dieses Schulungsmodul soll allen, die im IT-Bereich an verantwortlicher Stelle tätig sind, den rechtlichen Rahmen ihres Handelns umreißen. Häufig werden Mitarbeiter nur in einem formalen Akt, meist bei der Einarbeitung, darauf verpflichtet, einschlägige Gesetze, Vorschriften und Regelungen einzuhalten. Es ist aber wichtig, nicht nur alle Mitarbeiter zu verpflichten, sondern ihnen die Vorschriften auch nahe zu bringen sowie Hintergründe und Auswirkungen von Regelungen zu erläutern.
Es sollte ein grober Überblick über Gesetze und Verordnungen gegeben werden, die Auswirkungen auf den IT-Betrieb bzw. die Informationssicherheit haben können. Dies kann je nach Branche und Land, in dem eine Organisation tätig ist, extrem unterschiedlich sein. Außerdem sollten Standards und Richtlinien zum IT-Einsatz und zur Informationssicherheit, die in der eigenen Organisation einzuhalten sind, vorgestellt werden.
Dazu gehören beispielsweise
- Datenschutz im Unternehmen oder der Behörde
- Rolle und Aufgabe des Datenschutzbeauftragten
- Datenschutzgesetze
- Organisationspflichten
- rechtliche Situation im Zusammenhang mit Protokoll-Dateien
- Arbeits- und arbeitsschutzrechtliche Bestimmungen
- Rolle des Arbeitsschutzbeauftragten
- Regelungen zu Bildschirmarbeitsplätzen
- Gesetze und Normen zur Infrastruktur im Bereich IT
- Brandschutz
- Sichere Verkabelung usw.
- Juristische Haftungsrisiken und IT-Nutzung
- Haftung für Online-Inhalte
- Haftungsrisiken, wenn Mitarbeiter verbotene Online-Inhalte nutzen
- Weiterleitung von digitalen Daten
- rechtliche Situation beim Hosting
- Haftung des Unternehmens nach außen
- Allgemeine Geschäftsbedingungen ( AGB )
- Nutzung von Telekommunikationsdiensten (z. B. TKG)
- Haftung bei der Privatnutzung von IT-Komponenten
- rechtliche Probleme bei der Mitarbeiterüberwachung
- Verantwortlichkeiten
- Haftungsverteilung innerhalb eines Unternehmens oder einer Behörde
- Verantwortlichkeiten bei der Notfallplanung
- Virenschutz
- Organisationsverschulden bei Virenproblemen
- Regresspflichten bei durch Viren verursachten Schäden
- Wirtschaftsrechtliche Bestimmungen
- Ausfuhrbestimmungen für IT-Produkte
- Lizenz- und Urheberrecht für Software
- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
- Authentikation
- Haftungszuordnung
- Beweisrecht im Bereich Authentikation
- Netz- und Server-Sicherheit
- Zugriffsvoraussetzungen
- Datenschutz im Netz
- Hacker-Strafrecht
- Grenzen der Strafbarkeit im Bereich Hacking
- Notwehr
- indirekte Hacker-Angriffe
- Verfolgung von Hacker-Straftaten
- Vertragsrecht im Netz
- Informationspflichten
- digitale Signaturen und ihre rechtliche Stellung
Modul 4: Sicherheitskonzept der Organisation
Dieses Schulungsmodul dient der weiteren Vertiefung der im entsprechenden Basismodul "Informationssicherheit am Arbeitsplatz" einführend behandelten Themen. Darüber hinaus soll es die System- und Aufgabenverantwortlichen in die Lage versetzen, an der permanenten Fortschreibung und - aufgrund neuer technischer, organisatorischer und rechtlicher Entwicklungen - notwendigen Anpassung des Sicherheitskonzeptes mitzuwirken.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Übersicht über das Sicherheitskonzept der Organisation
- spezifische Vorschriften, die sich aus dem Sicherheitskonzept für die Bereiche Management, Organisation, Infrastruktur und IT-Betrieb ergeben
- Anpassung dieser Vorschriften an neue technische, organisatorische und rechtliche Gegebenheiten
- Revision und Fortschreibung des Sicherheitskonzeptes
Modul 5: Risikomanagement
Dieses Schulungsmodul soll den Verantwortlichen die Bedrohungen für den Informationsverbund aufzeigen und es ihnen ermöglichen, die daraus für die Institution resultierenden Risiken abzuschätzen. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Definitionen und Beispiele zu den Begriffen: Risiko, Gefährdung, Bedrohung, Schwachstelle, Sicherheitslücke, Sicherheitsziel
- Typische Gefährdungen und Bedrohungen:
- Höhere Gewalt: Feuer, Wasser, Explosion, Sturm, atmosphärische Entladung, Streik, Demonstration, etc.
- Organisatorische Mängel: Fehlende oder unzureichende Regelungen, Ungeeignete Rechtevergabe, Unkontrollierter Einsatz von IT-Systemen, etc.
- Menschliche Fehlhandlungen: mangelnde Sorgfalt, unsachgemäße Behandlung, Unwissenheit, etc.
- Technisches Versagen: Stromausfall, Ausfall der Klimaanlage, Überspannung, Ausfall von Schaltelementen oder Schaltkreisen, Störungen in der Mechanik oder Elektronik, etc.
- Vorsätzliche Handlungen: Viren, Würmer, Trojanische Pferde, Diebstahl, Sabotage, Spionage, Manipulation, inklusive Gegenüberstellung von Angreifertypen und Motivationen, z. B. bei Innentätern oder bei Angreifern von außen
- Risikoanalyse: Risikoanalysestrategien, Beurteilung einer Bedrohung nach Eintrittswahrscheinlichkeit und Schadenshöhe
- Festlegung von Schutzzielen: Grad der Akzeptanz verschiedener Risiken, Definition inakzeptabler Risiken
- Maßnahmenkatalog zur Beseitigung inakzeptabler Risiken
Modul 6: Sicherheitsmanagement
Dieses Schulungsmodul zeigt wichtige Grundlagen für Verantwortliche der Informationssicherheit auf, um Informationssicherheit in der Institution umzusetzen. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Sicherheitsmanagement
- Aufbau und Aufgaben des Sicherheitsmanagements
- Sicherheitsprozess, -ziele und -strategien
- Organisation und Verantwortlichkeiten
- Standards zum Sicherheitsmanagement wie ISO/IEC 27001, ISO/IEC 27002 (17799), IT-Grundschutz, ITIL
- Sicherheitskonzept
- Ziele und Inhalte eines Sicherheitskonzeptes
- Aufbau eines Sicherheitskonzeptes
- Verpflichtung von Mitarbeitern, System- und Aufgabenverantwortlichen zur Umsetzung des Sicherheitskonzeptes
- System- und anwendungsspezifische Sicherheitsrichtlinien
- Berechtigungsmanagement
- Berechtigungskonzepte, Gestaltung der Rechtevergabe
- Zugriffsrechte auf Systemressourcen, Zuweisung und zeitliche Begrenzung
- Authentisierung (z. B. Stärken und Auswahl von Mechanismen)
- Remote Zugriff (z. B. bei Telearbeit)
- Training und Sensibilisierung zur Informationssicherheit
- Festlegung von Sicherheitstrainingsprogrammen für die verschiedenen Funktionsträger
- Entwickeln einer Sicherheitskultur
- Evaluierung und Zertifizierung im Bereich Informationssicherheit
- Produkt-/System-Zertifizierung (z. B. nach ITSEC, Common Criteria usw.)
- Zertifizierung der IT-Umgebung und des Sicherheitsmanagements (z. B. nach IT-Grundschutz)
- Experten-Zertifikate (z. B. TISP, CISA , CISSP , IT-Sicherheitskoordinator, Security+ usw.)
- Spezielle Probleme in der Informationssicherheit
- Kostenproblem
- Akzeptanzproblem
Modul 7: IT-Systeme
Dieses Schulungsmodul beschreibt die Steuerungsinstrumente, die in den verschiedenen Phasen des Lebenszyklus von IT-Systemen die Einhaltung der Sicherheitsnormen gewährleisten.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Sicherheitsmaßnahmen in den Lebenszyklus-Phasen
- Planung
- Beschaffung/Entwicklung
- Test und Evaluierung
- Implementierung bzw. Installation
- produktiver Betrieb
- Einstellung des Betriebes
- Sicherheitsplanung für den Systembetrieb
- Feststellung des Einsatzzweckes und -nutzens eines bestimmten IT-Systems
- Festlegung der Schutzmaßnahmen für dieses System
- Bestimmung der für den Systembetrieb Verantwortlichen
- Installation und Konfiguration der in jeder Phase des Lebenszyklus erforderlichen Sicherheitsmechanismen
- Festlegung eines Konfigurations- und Änderungsmanagements in Abhängigkeit von den Sicherheitszielen
- Festlegung der Voraussetzungen für die Freigabe für den Wirkbetrieb
- Tests und Freigabe der Sicherheitsmechanismen
Modul 8: Operativer Bereich
Dieses Schulungsmodul beschreibt die Prozeduren und Maßnahmen, die im täglichen Einsatz operationelle Systeme und Anwendungen schützen.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Infrastruktur-Maßnahmen
- Zugangskontrollen, Werkschutz, Alarmanlagen, etc.
- Haustechnik, Energie- und Wasserversorgung, etc.
- Brandschutzeinrichtungen
- Klimaanlagen
- Organisatorische Maßnahmen
- Dokumentation von Systemen und Konfigurationen, Applikationen, Software, Hardware-Bestand, etc.
- Regelmäßige Kontrolle von Protokolldateien
- Regelungen für die Datensicherung
- Regelungen für den Datenträgeraustausch
- Lizenzverwaltung und Versionskontrolle von Standardsoftware
- Maßnahmen im Bereich Personal
- Auswahl, Einarbeitung und Schulung von Mitarbeitern
- Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern
- Funktionen und Verantwortlichkeiten
- Funktionstrennung und funktionsbezogene Rechtevergabe
- Vertretungsregelungen
- Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen
- Maßnahmen im Bereich Hardware und Software
- Grundlagen Betriebssystem-Sicherheit
- Sichere Konfiguration von Hardware und Software
- Virenschutz, Spam-Abwehr, Patchmanagement
- Nutzung der in der Hardware bzw. den Anwendungsprogrammen vorhandenen Sicherheitsfunktionen
- Implementierung zusätzlicher Sicherheitsfunktionen
- Rechteverwaltung
- Protokollierung
- Maßnahmen im Bereich Kommunikation
- Sichere Konfiguration von TK-Anlagen
- Sichere Konfiguration von Netzdiensten
- Firewall-Konzepte, IDS-Systeme, Penetrationstests
- E-Mail- und Internet-Sicherheit
- Absicherung externer Remote-Zugriffe
- Virtual Private Networks (VPN)
- Sichere Nutzung mobiler IT-Systeme und drahtloser Kommunikation
- Information über Sicherheitslücken (z. B. über CERT s) und Umgang mit Sicherheitsvorfällen
Modul 9: Technische Realisierung von Sicherheitsmaßnahmen
Dieses Schulungsmodul vermittelt Kenntnisse über die Möglichkeiten der technischen Realisierung der in den Modulen 6 bis 8 abstrakt beschriebenen Steuerungs- und Kontrollinstrumente.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Basiswissen Kryptographie
- Problemabgrenzung Vertraulichkeit, Integrität, Authentizität
- Grundbegriffe wie Klartext, Chiffrat, Schlüssel
- Symmetrische und asymmetrische Verschlüsselung
- Public Key Infrastrukturen
- Digitale Signaturen
- Aufzählung "guter" und "schlechter" bekannter Algorithmen
- Identifizierung und Authentikation, z. B.
- Begriffsdefinition (Wissen, Besitz, Eigenschaft)
- Authentisierung durch Wissen: Passwörter, Einmal-Passwörter, Challenge-Response-Verfahren, digitale Signaturen
- Authentisierung durch Besitz: Token, Chipkarten, Magnetstreifenkarten
- Biometrische Verfahren: Fingerabdruckerkennung, Iriserkennung, Gesichtserkennung, etc.
- Single Sign-On
- Berechtigungsmanagement
- Protokollierung und Monitoring, z. B.
- Technische Möglichkeiten des "Transaction Logging"
- Intrusion Detection Systeme (IDS): Unterschiede zwischen aktiven und passiven Systemen
- Zwangsprotokollierung aller Administratoraktivitäten
- Datenschutzaspekte
- Überblick über Administrationswerkzeuge
- Werkzeuge, mit denen Sicherheitsvorgaben realisiert und kontrolliert werden können
- Zusatzprodukte zur Ergänzung bzw. Verbesserung der Sicherheitsfunktionen von Betriebssystemen ("gehärtete Betriebssysteme")
- Netzmanagement-Software
- Remote-Management-Software
- Firewalls
- Internet-Technik (OSI-Modell, TCP/IP)
- Realisierungsformen (statische Paketfilter, Stateful Inspection, Application Level Gateways)
- Content Security
- Hochverfügbare Firewalls
- Schutz der Vertraulichkeit: Kryptographische Verfahren und Produkte, Zugriffsschutz z. B. durch Festplattenverschlüsselung, Kryptographie auf den verschiedenen Schichten des OSI-Modells
- Protokolle für Schicht 1 und 2 ( ISDN -Verschlüsselung, ECP und CHAP , WLAN, Bluetooth )
- Protokolle für Schicht 3 (IPsec, IKE, SINA)
- Protokolle für Schicht 4 (SSL, TLS, WTLS)
- E-Mail-Kryptografie (GnuPG, PGP, S/MIME)
- Kryptografie im Browser (HTTPS, Code-Signing, Form-Signing)
- Schutz der Verfügbarkeit
- Organisatorische Maßnahmen zur Erhöhung der Verfügbarkeit (SLAs, Change Management, Vermeidung von SPOF)
- Datensicherung, Datenwiederherstellung
- Speichertechnologien
- Netzkonfigurationen zur Erhöhung der Verfügbarkeit
- Infrastrukturelle Maßnahmen zur Erhöhung der Verfügbarkeit
- Verfügbarkeit auf der Client-Seite
- Verfügbarkeit auf der Anwendungsebene
- Verfügbarkeit auf der Server-Seite (Server-Standby, Failover)
- Methoden zur Replikation von Daten
- Disaster Recovery
- Technische Möglichkeiten zum Schutz von TK-Anlagen
- Schutz vor Abhören
- Schutz der Datenleitungen z. B. durch alarmüberwachte und plombierte Leitungsschächte, gesicherte Verteiler (Knoten), Verschlüsselung der Nachrichten, etc.
- Verbindungsaufbau nur durch Rückruf
- Verhinderung von Gebührenbetrug, Sicherung der Datenträger mit Gebührendaten
- Sicherung von Wartungs-, Fernwartungs- und Administratorzugängen
- Protokollierung jedes Systemzugangs, Löschungsschutz der Protokolldateien
- Erkennen von Schwachstellen des eigenen Systems mittels Penetrationstests
- Hacker-Methoden, Web-Seiten-Hacking, Schutz vor: Sniffer, Scanner, Password Cracker, etc.
Modul 10: Notfallvorsorge/Notfallplanung
Dieses Schulungsmodul soll die Grundlagen zur Erstellung eines Notfall- und Wiederanlaufplanes vermitteln. Thematisch stellt es einen Aufbaukurs zum Modul 5 "Risikomanagement" dar.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Überblick über Notfallvorsorge, Incident Handling, Business Continuity
- Aufbau einer Notfallorganisation
- Definition des Notfalles
- Festlegung von Verantwortlichkeiten
- Bildung von Krisenstäben: Zentraler Krisenstab, Operative Stäbe, Unterstützungsteams
- Erstellung von Alarm- und Eskalationsplänen
- Festlegung der Mindestanforderungen für einen Notbetrieb
- Planung für die Verlagerung kritischer Arbeitsbereiche in Ausweichstandorte
- Ersatzbeschaffungsplan
- Abschluss von Service-Verträgen mit Recovery-Dienstleistern
- Wiederanlaufplanung
- Erstellung eines Planes für regelmäßige Notfallübungen
- Dokumente zum Notfallplan
- Notfallhandbuch
- Flowcharts zu den Alarmierungs- und Meldeplänen
- Checklisten für verschiedene Notfallszenarien
- Dokumentationen von Hard- und Software, Systemkonfigurationen, Datenbeständen, Datensicherung, ...
- Hersteller- und Lieferantenverzeichnis
Modul 11: Neue Entwicklungen im IT-Bereich
Der rasanten Weiterentwicklung im Bereich der IT muss auch durch das Schulungskonzept Rechnung getragen werden. Dieses Schulungsmodul soll daher IT-Systembetreiber über neue Innovationen auf ihrem Gebiet informieren. Um stets auf dem aktuellen Stand zu sein, sollte dieses Seminar in regelmäßigen Abständen von etwa 2 Jahren wieder besucht werden.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Neue Entwicklungen in den Bereichen
- Hardware/Software, Systemumgebung, System-Architekturen
- Hardware-Typen
- Betriebssysteme
- Dienstprogramme
- Anwendungssoftware
- Systemplanung
- Workflow
- Damit verbundene neue Bedrohungen und Schwachstellen
- Rechnernetze
- Netzkoppelelemente
- Netzarchitektur
- Monitoring
- Zugriffskontrolle
- Kryptographie
- Netztrennung
- Damit verbundene neue Bedrohungen und Schwachstellen
- Speicher und Archivierungsumgebungen
- Speichertechnologien (DAS, NAS, SAN, IP Storage, etc.)
- Archivierungstechnologien (Systeme, Medien, Software)
- Elektronische Kommunikation und Internet-Technologien
Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit
Dieses Schulungsmodul ist speziell für das Management und Entscheidungsträger gedacht, um Informationssicherheit übergreifend in die Unternehmensplanung zu integrieren.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Betriebswirtschaftliche Vorteile der Informationssicherheit
- Risikominimierung
- Beschleunigung der Bearbeitung
- Reduzierung des Aufwands
- Umsatzerhöhung
- Erschließen neuer Geschäftsfelder
- sonstiger Nutzen
- Kalkulation der Investitionen für Informationssicherheit
- Erstellung einer Kostenübersicht
- Abgrenzung gegenüber Betriebs- und Fortschreibungskosten
- Verdeckte Kosten
- Investitionsrechnung in der Informationssicherheit
- Investitionsrechnung
- Argumentation gegenüber dem Management
- Verzahnung von Sicherheitsmaßnahmen im Unternehmen
- Berücksichtigung der Geschäftsprozesse und der Geschäftsvorfälle bei den Sicherheitsmaßnahmen
- Einfluss- und Verantwortungsbereiche, typische Stolpersteine
- Informationssicherheit bei der IT-Beschaffung und in IT-Projekten
- Erfolgsfaktoren der Informationssicherheit
- Wie gelingt ein Projekt zur Informationssicherheit?
- Klärung der Erwartungshaltung
- Konzeption von Sicherheitslösungen
- Erstellen eines Lösungskonzepts
- Verfassen eines Betriebskonzepts
- Prüfen der Konzepte
- Gliedern in Teilprojekte
- Umsetzen der Teilprojekte
- Modul- und Funktionstests
- Akzeptanz- und Integrationstests
- Inbetriebnahme
- Häufige Fehler bei der Umsetzung von Informationssicherheit
- Fehler bei der Projektleitung
- andere typische Fehler
Modul 13: Infrastruktursicherheit
Dieses Modul befasst sich mit dem Schutz der Informationstechnik mit Hilfe von baulichen und technischen Maßnahmen. Wichtige Punkte dabei sind unter Anderem:
- Objektschutz
- Umgebung
- Umfriedung
- Freiland-Schutz
- Mechanischer Schutz
- Technische Überwachung
- Geräteschutz
- Zutrittskontrolle
- Pförtnerdienst
- Verschluss von Räumen
- Technische Zutrittskontrolle
- Stromversorgung
- Überspannungsschutz
- Unterbrechungsfreie Stromversorgung
- Trassen / Verkabelung
- Brandschutz
- Klimatisierung
- Schutz gegen Wasser
Ergänzende Kontrollfragen:
- Werden die Schulungsinhalte zur Informationssicherheit den Bedürfnissen der Zielgruppe entsprechend angepasst?