Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 3.45 Planung von Schulungsinhalten zur IT-Sicherheit - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 3.45 Planung von Schulungsinhalten zur IT-Sicherheit

Verantwortlich für Initiierung: Leiter Personal, IT-Sicherheitsmanagement-Team

Verantwortlich für Umsetzung: Vorgesetzte, Personalabteilung, IT-Sicherheitsmanagement-Team

Alle Mitarbeiter sollten, bezogen auf ihren Arbeitsplatz, fundiertes Fachwissen besitzen und in diesem Rahmen auch über Belange der IT-Sicherheit Bescheid wissen.

Dafür sollte es auf verschiedene Zielgruppen zugeschnittene Schulungen zu IT-Sicherheit geben, z. B. für IT-Benutzer aus den verschiedenen Fachbereichen, Vorgesetzte, IT-Sicherheitsmanagement-Team, IT-Verantwortliche, Administratoren, etc.

Zu Beginn einer Schulungsmaßnahme muss der Qualifikationsstand und der Ausbildungsbedarf der Mitarbeiter analysiert werden. Dabei sind folgende Fakten zu ermitteln:

Die Schulungsinhalte sollten so modularisierbar sein, dass jede Zielgruppe hinreichend und in angemessener Tiefe geschult werden kann. Im Folgenden werden wichtige Inhalte verschiedener Schulungsmodule vorgestellt, die für die jeweiligen Personengruppen rollenbezogen ausgewählt und eventuell zurechtgeschnitten werden müssen. Dieser Überblick soll dazu dienen, bei der Durchführung interner bzw. der Entscheidung für externe Schulungsveranstaltungen die passenden Inhalte auszuwählen. Daneben sollten alle für den jeweiligen IT-Verbund relevanten Bausteine der IT-Grundschutz-Kataloge daraufhin überprüft werden, ob die erforderlichen Maßnahmen nicht nur angeordnet, sondern auch geschult wurden.

Die hier beschriebenen Module sollten den Zielgruppen zugewiesen werden, wie dies in der folgenden Matrix exemplarisch aufgezeigt wird. Dabei wird mit "X" gekennzeichnet, dass das jeweilige Modul für die entsprechende Rolle empfohlen wird. "O" bedeutet optional, das heißt, es sollte von Fall zu Fall entschieden werden, ob die Inhalte des jeweiligen Schulungsmoduls für die entsprechende Rolle benötigt werden.

Schulungsmodule

Modul 1: Grundlagen der IT-Sicherheit

Modul 2: IT-Sicherheit am Arbeitsplatz

Modul 3: Gesetze und Regularien

Modul 4: IT-Sicherheitskonzept der Organisation

Modul 5: Risikomanagement

Modul 6: IT-Sicherheitsmanagement

Modul 7: IT-Systeme

Modul 8: Operativer Bereich

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Modul 10: Notfallvorsorge/Notfallplanung

Modul 11: Neue Entwicklungen im IT-Bereich

Modul 12: Betriebswirtschaftliche Seite der IT-Sicherheit

Modul 13: Infrastruktur-Sicherheit

 
Modul / Funktion  10  11  12  13 
Vorgesetzte               
IT-Sicherheitsmanagement 
Datenschutzbeauftragter               
Infrastrukturverantwortliche           
Benutzer                       
Administratoren       

Tabelle: Vorgeschlagene Schulungsmodule je Funktion

Die beiden Module 1 und 2 dienen als Basisschulung aller Mitarbeiter. Die Module 3 und folgende zeigen auf, welche Vertiefungsgebiete je nach Fachaufgaben außerdem gelernt werden sollten.

Je nach Art der Institution kann es sinnvoll sein, weitere Zielgruppen und die zugehörigen Ausbildungsziele zu definieren, z. B. Verwaltungsmitarbeiter oder Sicherheitsdienst mit dem Fokus auf deren Aufgabengebiet, aber auch deren Basiswissen über IT. Wichtig ist, dass bei der Schulung für IT-Sicherheit auch das Personal nicht vergessen wird, das nicht in erster Linie mit IT in Verbindung gebracht wird, wie Pforten- und Reinigungspersonal. Für diese ist allerdings im Allgemeinen kein komplexes Schulungsmodul erforderlich.

Modul 1: Grundlagen der IT-Sicherheit

Angesichts des beachtlichen Nutzens und der erheblichen Arbeitserleichterungen, die ein sinnvoller Einsatz der IT bewirken kann,

dürfen die gravierenden Gefahren nicht aus dem Auge verloren werden, die ein allzu sorgloser oder gar fahrlässiger Umgang mit dieser Technologie nach sich ziehen kann. Eine der wichtigsten Aufgaben des Schulungskonzeptes besteht daher in der Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit, die unter anderem folgende Themen umfassen sollte:

Modul 2: IT-Sicherheit am Arbeitsplatz

Mitarbeiter können oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden. Das Modul zur Umsetzung von IT-Sicherheit am Arbeitsplatz sollte unter anderem die folgenden Themenschwerpunkte umfassen:

Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Schulungsmodul "IT-Sicherheit am Arbeitsplatz" sollte stets den individuellen Gegebenheiten der entsprechenden Organisation angepasst sein.

Modul 3: Gesetze und Regularien

Dieses Schulungsmodul soll allen, die im IT-Bereich an verantwortlicher Stelle tätig sind, den rechtlichen Rahmen ihres Handelns umreißen. Häufig werden Mitarbeiter nur in einem formalen Akt, meist bei der Einarbeitung, darauf verpflichtet, einschlägige Gesetze, Vorschriften und Regelungen einzuhalten. Es ist aber wichtig, nicht nur alle Mitarbeiter zu verpflichten, sondern ihnen die Vorschriften auch nahe zu bringen sowie Herkunft und Auswirkungen von Regelungen zu erläutern.

Es sollte ein grober Überblick über Gesetze und Verordnungen gegeben werden, die Auswirkungen auf den IT-Betrieb bzw. die IT-Sicherheit haben können. Dies kann je nach Branche und Land, in dem eine Organisation tätig ist, extrem unterschiedlich sein. Außerdem sollten Standards und Richtlinien zum IT-Einsatz und zur IT-Sicherheit, die in der eigenen Organisation einzuhalten sind, vorgestellt werden.

Dazu gehören beispielsweise

Modul 4: IT-Sicherheitskonzept der Organisation

Dieses Schulungsmodul dient der weiteren Vertiefung der im entsprechenden Basismodul "IT-Sicherheit am Arbeitsplatz" einführend behandelten Themen. Darüber hinaus soll es die System- und Aufgabenverantwortlichen in die Lage versetzen, an der permanenten Fortschreibung und - aufgrund neuer technischer, organisatorischer und rechtlicher Entwicklungen - notwendigen Anpassung des IT-Sicherheitskonzeptes mitzuwirken.

Modul 5: Risikomanagement

Dieses Schulungsmodul soll den Verantwortlichen die Bedrohungen der IT-Umgebung aufzeigen und es ihnen ermöglichen, die daraus für die Organisation resultierenden Risiken abzuschätzen. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 6: IT-Sicherheitsmanagement

Dieses Schulungsmodul zeigt wichtige Grundlagen für IT-Sicherheitsverantwortliche auf, um IT-Sicherheit in der Organisation umzusetzen. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 7: IT-Systeme

Dieses Schulungsmodul beschreibt die Steuerungsinstrumente, die in den verschiedenen Phasen des Lebenszyklus von IT-Systemen die Einhaltung der Sicherheitsnormen gewährleisten.

Modul 8: Operativer Bereich

Dieses Schulungsmodul beschreibt die Prozeduren und Maßnahmen, die im täglichen Einsatz operationelle Systeme und Anwendungen schützen.

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Dieses Schulungsmodul vermittelt Kenntnisse über die Möglichkeiten der technischen Realisierung der in den Modulen 6 bis 8 abstrakt beschriebenen Steuerungs- und Kontrollinstrumente.

Modul 10: Notfallvorsorge/Notfallplanung

Dieses Schulungsmodul soll die Grundlagen zur Erstellung eines Notfall- und Wiederanlaufplanes vermitteln. Thematisch stellt es einen Aufbaukurs zum Modul 5 "Risikomanagement" dar.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 11: Neue Entwicklungen im IT-Bereich

Der rasanten Weiterentwicklung im Bereich der IT muss auch durch das Schulungskonzept Rechnung getragen werden. Dieses Schulungsmodul soll daher IT-Systembetreiber über neue Innovationen auf ihrem Gebiet informieren. Um stets auf dem aktuellen Stand zu sein, sollte dieses Seminar periodisch - etwa alle 2 Jahre - wieder besucht werden.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 12: Betriebswirtschaftliche Seite der IT-Sicherheit

Dieses Schulungsmodul ist speziell für das Management und Entscheidungsträger gedacht, um IT-Sicherheit übergreifend in die Unternehmensplanung zu integrieren.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

Modul 13: Infrastruktursicherheit

Dieses Modul befasst sich mit dem Schutz der Informationstechnik mit Hilfe von baulichen und technischen Maßnahmen. Wichtige Punkte dabei sind unter Anderem:

Ergänzende Kontrollfragen: