M 3.45 Planung von Schulungsinhalten zur Informationssicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Personalabteilung, Vorgesetzte

Alle Mitarbeiter sollten, bezogen auf ihren Arbeitsplatz, fundiertes Fachwissen besitzen und in diesem Rahmen auch über Belange der Informationssicherheit Bescheid wissen.

Dafür sollte es auf verschiedene Zielgruppen zugeschnittene Schulungen zu Informationssicherheit geben, z. B. für Mitarbeiter aus den verschiedenen Fachbereichen, Vorgesetzte, Verantwortliche für Informationssicherheit, IT-Verantwortliche, Administratoren, etc.

Zu Beginn einer Schulungsmaßnahme muss der Qualifikationsstand und der Schulungsbedarf der Mitarbeiter analysiert werden. Dabei sind folgende Fakten zu ermitteln:

Die Schulungsinhalte sollten modular aufgebaut sein, so dass jede Zielgruppe hinreichend und in angemessener Tiefe geschult werden kann. Im Folgenden werden wichtige Inhalte verschiedener Schulungsmodule vorgestellt, die für die jeweiligen Personengruppen rollenbezogen ausgewählt und aufbereitet werden müssen. Dieser Überblick soll dazu dienen, bei der Durchführung interner bzw. der Entscheidung für externe Schulungsveranstaltungen die passenden Inhalte auszuwählen. Zusätzlich sollten alle für den jeweiligen Informationsverbund relevanten Bausteine der IT-Grundschutz-Kataloge daraufhin überprüft werden, ob die erforderlichen Maßnahmen nicht nur angeordnet, sondern auch geschult wurden.

Die hier beschriebenen Module sollten den Zielgruppen zugewiesen werden, wie dies in der folgenden Matrix exemplarisch aufgezeigt wird. Dabei wird mit "X" gekennzeichnet, dass das jeweilige Modul für die entsprechende Rolle empfohlen wird. Mit einem "O" werden die optionalen Schulungsmodule gekennzeichnet, bei denen von Fall zu Fall entschieden werden sollte, ob die Inhalte für die entsprechende Rolle benötigt werden.

Schulungsmodule

Modul 1: Grundlagen der Informationssicherheit

Modul 2: Informationssicherheit am Arbeitsplatz

Modul 3: Gesetze und Regularien

Modul 4: Sicherheitskonzept der Organisation

Modul 5: Risikomanagement

Modul 6: Informationssicherheitsmanagement

Modul 7: IT-Systeme

Modul 8: Operativer Bereich

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Modul 10: Notfallvorsorge/Notfallplanung

Modul 11: Neue Entwicklungen im IT-Bereich

Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit

Modul 13: Infrastruktur-Sicherheit

Modul / Funktion 1 2 3 4 5 6 7 8 9 10 11 12 13
Vorgesetzte X X X X O X
Sicherheitsmanagement X X X X X X X X X X X X X
Datenschutzbeauftragter X X X X X O
Infrastrukturverantwortliche X X X X X O X X
Benutzer X X
Administratoren X X X X X X X X X O

Tabelle: Vorgeschlagene Schulungsmodule je Funktion

Die beiden Module 1 und 2 dienen als Basisschulung aller Mitarbeiter. Die Module 3 und folgende zeigen auf, welche Vertiefungsgebiete je nach Fachaufgaben außerdem gelernt werden sollten.

Je nach Art der Institution kann es sinnvoll sein, weitere Zielgruppen und die zugehörigen Ausbildungsziele zu definieren, z. B. Verwaltungsmitarbeiter oder Sicherheitsdienst mit dem Fokus auf deren Aufgabengebiet, aber auch deren Basiswissen über IT. Wichtig ist, dass bei der Schulung für Informationssicherheit auch das Personal nicht vergessen wird, das nicht in erster Linie mit IT in Verbindung gebracht wird, wie Pforten- und Reinigungspersonal. Für diese ist allerdings im Allgemeinen kein komplexes Schulungsmodul erforderlich.

Modul 1: Grundlagen der Informationssicherheit

Angesichts des beachtlichen Nutzens und der erheblichen Arbeitserleichterungen, die ein sinnvoller Einsatz der IT bewirken kann, dürfen die gravierenden Gefahren nicht aus dem Auge verloren werden, die ein allzu sorgloser oder gar fahrlässiger Umgang mit dieser Technologie nach sich ziehen kann. Eine der wichtigsten Aufgaben des Schulungskonzeptes besteht daher in der Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit, die unter anderem folgende Themen umfassen sollte:

Modul 2: Informationssicherheit am Arbeitsplatz

Mitarbeiter können oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden. Das Modul zur Umsetzung von Informationssicherheit am Arbeitsplatz sollte unter anderem die folgenden Themenschwerpunkte umfassen:

Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Schulungsmodul "Informationssicherheit am Arbeitsplatz" sollte stets den individuellen Gegebenheiten der entsprechenden Organisation angepasst sein.

Modul 3: Gesetze und Regularien

Dieses Schulungsmodul soll allen, die im IT-Bereich an verantwortlicher Stelle tätig sind, den rechtlichen Rahmen ihres Handelns umreißen. Häufig werden Mitarbeiter nur in einem formalen Akt, meist bei der Einarbeitung, darauf verpflichtet, einschlägige Gesetze, Vorschriften und Regelungen einzuhalten. Es ist aber wichtig, nicht nur alle Mitarbeiter zu verpflichten, sondern ihnen die Vorschriften auch nahe zu bringen sowie Hintergründe und Auswirkungen von Regelungen zu erläutern.

Es sollte ein grober Überblick über Gesetze und Verordnungen gegeben werden, die Auswirkungen auf den IT-Betrieb bzw. die Informationssicherheit haben können. Dies kann je nach Branche und Land, in dem eine Organisation tätig ist, extrem unterschiedlich sein. Außerdem sollten Standards und Richtlinien zum IT-Einsatz und zur Informationssicherheit, die in der eigenen Organisation einzuhalten sind, vorgestellt werden.

Dazu gehören beispielsweise

Modul 4: Sicherheitskonzept der Organisation

Dieses Schulungsmodul dient der weiteren Vertiefung der im entsprechenden Basismodul "Informationssicherheit am Arbeitsplatz" einführend behandelten Themen. Darüber hinaus soll es die System- und Aufgabenverantwortlichen in die Lage versetzen, an der permanenten Fortschreibung und - aufgrund neuer technischer, organisatorischer und rechtlicher Entwicklungen - notwendigen Anpassung des Sicherheitskonzeptes mitzuwirken.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 5: Risikomanagement

Dieses Schulungsmodul soll den Verantwortlichen die Bedrohungen für den Informationsverbund aufzeigen und es ihnen ermöglichen, die daraus für die Institution resultierenden Risiken abzuschätzen. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 6: Sicherheitsmanagement

Dieses Schulungsmodul zeigt wichtige Grundlagen für Verantwortliche der Informationssicherheit auf, um Informationssicherheit in der Institution umzusetzen. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 7: IT-Systeme

Dieses Schulungsmodul beschreibt die Steuerungsinstrumente, die in den verschiedenen Phasen des Lebenszyklus von IT-Systemen die Einhaltung der Sicherheitsnormen gewährleisten.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 8: Operativer Bereich

Dieses Schulungsmodul beschreibt die Prozeduren und Maßnahmen, die im täglichen Einsatz operationelle Systeme und Anwendungen schützen.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Dieses Schulungsmodul vermittelt Kenntnisse über die Möglichkeiten der technischen Realisierung der in den Modulen 6 bis 8 abstrakt beschriebenen Steuerungs- und Kontrollinstrumente.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 10: Notfallvorsorge/Notfallplanung

Dieses Schulungsmodul soll die Grundlagen zur Erstellung eines Notfall- und Wiederanlaufplanes vermitteln. Thematisch stellt es einen Aufbaukurs zum Modul 5 "Risikomanagement" dar.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 11: Neue Entwicklungen im IT-Bereich

Der rasanten Weiterentwicklung im Bereich der IT muss auch durch das Schulungskonzept Rechnung getragen werden. Dieses Schulungsmodul soll daher IT-Systembetreiber über neue Innovationen auf ihrem Gebiet informieren. Um stets auf dem aktuellen Stand zu sein, sollte dieses Seminar in regelmäßigen Abständen von etwa 2 Jahren wieder besucht werden.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit

Dieses Schulungsmodul ist speziell für das Management und Entscheidungsträger gedacht, um Informationssicherheit übergreifend in die Unternehmensplanung zu integrieren.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 13: Infrastruktursicherheit

Dieses Modul befasst sich mit dem Schutz der Informationstechnik mit Hilfe von baulichen und technischen Maßnahmen. Wichtige Punkte dabei sind unter Anderem:

Prüffragen: