M 3.45 Planung von Schulungsinhalten zur Informationssicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Personalabteilung, Vorgesetzte

Ein Schulungsprogramm zur Informationssicherheit sollte den Mitarbeitern alle Informationen und Fähigkeiten vermitteln, die erforderlich sind, um in der Institution geltende Sicherheitsregelungen und -maßnahmen umsetzen zu können (siehe M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit).

Nachdem die Ziele der Informationssicherheitsschulungen für die Institution festgelegt sowie relevante Zielgruppen und deren spezifischer Schulungsbedarf identifiziert wurden (siehe M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme), müssen nun die konkreten Schulungsmodule und -inhalte geplant werden.

Hierzu sollten folgende Aspekte betrachtet werden:

Im Folgenden werden beispielhaft eine Struktur und wichtige Inhalte von Schulungsmodulen vorgestellt, die entsprechend den dargestellten Aspekten noch rollen- und ressourcenbezogen aufbereitet werden müssen.

Die Module unterscheiden sich zunächst nur nach Themen. Jedes Modul kann fast immer in unterschiedlicher inhaltlicher Tiefe durchgeführt werden, abhängig davon, für welche Arbeitsumgebung oder welchen Abschnitt einer Mitarbeiterlaufbahn es bestimmt ist.

Die Schulungsinhalte sollten auf Basis der in Maßnahme M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit erarbeiteten Analyse festgelegt sowie regelmäßig überprüft und angepasst werden, um eine größtmögliche Wirksamkeit der Schulungsmaßnahmen zu erzielen. Zusätzlich sollten alle für den jeweiligen Informationsverbund relevanten Bausteine der IT-Grundschutz-Kataloge daraufhin überprüft werden, ob die erforderlichen Maßnahmen nicht nur angeordnet, sondern auch geschult wurden.

Ebenfalls exemplarisch wurden hier die Schulungsmodule den Zielgruppen zugeordnet. Dabei wird mit "X" gekennzeichnet, dass das jeweilige Modul für die entsprechende Rolle empfohlen wird. Mit einem "O" werden die optionalen Schulungsmodule gekennzeichnet, bei denen von Fall zu Fall entschieden werden sollte, ob die Inhalte für die entsprechende Rolle benötigt werden.

Schulungsmodule

Modul 1: Grundlagen der Informationssicherheit

Modul 2: Informationssicherheit am Arbeitsplatz

Modul 3: Gesetze und Regularien

Modul 4: Sicherheitskonzept der Organisation

Modul 5: Risikomanagement

Modul 6: Informationssicherheitsmanagement

Modul 7: IT-Systeme

Modul 8: Operativer Bereich

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Modul 10: Notfallvorsorge/Notfallplanung

Modul 11: Neue Entwicklungen im IT-Bereich

Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit

Modul 13: Infrastruktur-Sicherheit

Modul / Funktion 1 2 3 4 5 6 7 8 9 10 11 12 13
Vorgesetzte X X X X             O X  
Sicherheitsmanagement X X X X X X X X X X X X X
Datenschutzbeauftragter X X X X             X O  
Infrastrukturverantwortliche X X X X X O       X     X
Benutzer X X                      
Administratoren X X   X X   X X X X X   O

Tabelle: Vorgeschlagene Schulungsmodule je Funktion

In diesem Beispiel dienen die beiden Module 1 und 2 als Basisschulung für alle Mitarbeiter und sind eng mit Sensibilisierungsmaßnahmen abzustimmen (siehe M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit). Alle anderen Module zeigen auf, welche Vertiefungsgebiete je nach Fachaufgabe außerdem vermittelt werden sollten.

Je nach Art der Institution wird es sinnvoll sein, weitere Zielgruppen und die zugehörigen Schulungsziele zu definieren (siehe M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme). Wichtig ist, dass auch Mitarbeiter nicht vergessen werden, die in erster Linie nichts mit Informationstechnik zu tun haben, wie z. B. der Sicherheits- und Reinigungsdienst.

Modul 1: Grundlagen der Informationssicherheit

Institutionen sind stark von einer ausreichend verfügbaren und gegen Angriffe geschützten IT und Infrastruktur abhängig. Daher ist die wichtigste Aufgabe von Sensibilisierung und Schulung, den Mitarbeitern den Wert von Informationssicherheit für die Institution und entsprechende Grundlageninformationen zu vermitteln.

Unter anderem sollten in diesem Modul folgende Themen behandelt werden:

Modul 2: Informationssicherheit am Arbeitsplatz

Mitarbeiter können oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden. Das Modul zur Umsetzung von Informationssicherheit am Arbeitsplatz sollte unter anderem die folgenden Themenschwerpunkte umfassen:

Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Schulungsmodul "Informationssicherheit am Arbeitsplatz" sollte stets den individuellen Gegebenheiten der Institution angepasst sein.

Modul 3: Anforderungen, Gesetze und Regularien

Dieses Schulungsmodul soll den rechtlichen Anforderungsrahmen, in dem Informationssicherheit innerhalb der Institution zu betrachten ist, für die Mitarbeiter umreißen.

Hierzu zählen Sicherheitsanforderungen, die sich ergeben können aus:

Es ist wichtig, Mitarbeiter nicht nur auf die Einhaltung relevanter Anforderungen zu verpflichten, sondern ihnen diese auch nahe zu bringen sowie Hintergründe und Auswirkungen zu erläutern.

Relevante Anforderungen können je nach Branche und Land, in dem eine Institution tätig ist, sehr unterschiedlich sein. Eine wichtige Komponente stellen die Standards und Richtlinien zur Informationssicherheit und ihre konkrete Umsetzung in der Institution dar, da hier erfahrungsgemäß schon eine Reihe der übrigen Anforderungen verarbeitet wurde.

Beispielhafte Themen sind:

Modul 4: Sicherheitskonzept der Institution

Dieses Schulungsmodul vertieft die im Modul 2 behandelten Themen. Darüber hinaus soll es die System- und Aufgabenverantwortlichen in die Lage versetzen, an der permanenten Anpassung des Sicherheitskonzeptes aufgrund technischer, organisatorischer oder rechtlicher Änderungen mitzuwirken.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 5: Risikomanagement

Dieses Schulungsmodul zeigt Verantwortlichen, wie sie Risiken der Informationssicherheit systematisch analysieren, bewerten und behandeln können.

Modul 6: Sicherheitsmanagement

Dieses Schulungsmodul zeigt wichtige Grundlagen dafür auf, wie Verantwortliche Informationssicherheit in der Institution umsetzen können. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 7: IT-Systeme

Dieses Schulungsmodul beschreibt die Steuerungsinstrumente, die in den verschiedenen Phasen des Lebenszyklus von IT-Systemen gewährleisten, dass die Sicherheitsnormen eingehalten werden.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 8: Operativer Bereich

Dieses Schulungsmodul beschreibt die Prozeduren und Maßnahmen, die operationelle Systeme und Anwendungen schützen sollen.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Dieses Schulungsmodul vermittelt Kenntnisse über die Möglichkeiten der technischen Realisierung der in den Modulen 6 bis 8 abstrakt beschriebenen Steuerungs- und Kontrollinstrumente.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 10: Notfallmanagement

Dieses Schulungsmodul soll die Grundlagen zur Etablierung und Aufrechterhaltung eines Notfallmanagements in der Institution vermitteln. Thematisch stellt es einen Aufbaukurs zum Modul 5 "Risikomanagement" dar. Die Schulungsinhalte können gemäß der Struktur des BSI-Standards 100-4 aufgebaut werden.

Folgende Inhalte sollten vorgesehen und entsprechend den Inhalten des BSI-Standards 100-4 weiter detailliert werden:

Modul 11: Neue Entwicklungen im IT-Bereich

Dieses Schulungsmodul soll IT-Systembetreiber über Innovationen auf ihrem Gebiet informieren. Um stets auf dem aktuellen Stand zu sein, sollte dieses Seminar in regelmäßigen Abständen von etwa zwei Jahren wieder besucht werden. Alternativ können der angesprochenen Zielgruppe auch die Ressourcen bereitgestellt werden, um sich aus verfügbaren Informationsquellen entsprechend selbstständig zu informieren.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit

Dieses Schulungsmodul ist speziell für das Management und Entscheidungsträger gedacht, um Informationssicherheit übergreifend in die Planung der Institution zu integrieren.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 13: Infrastruktursicherheit

Dieses Modul befasst sich mit dem Schutz der Informationstechnik mit Hilfe von baulichen und technischen Maßnahmen. Wichtige Punkte dabei sind unter anderem:

Prüffragen: