M 3.45 Planung von Schulungsinhalten zur IT-Sicherheit
Verantwortlich für Initiierung: Leiter Personal, IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: Vorgesetzte, Personalabteilung, IT-Sicherheitsmanagement-Team
Alle Mitarbeiter sollten, bezogen auf ihren Arbeitsplatz, fundiertes Fachwissen besitzen und in diesem Rahmen auch über Belange der IT-Sicherheit Bescheid wissen.
Dafür sollte es auf verschiedene Zielgruppen zugeschnittene Schulungen zu IT-Sicherheit geben, z. B. für IT-Benutzer aus den verschiedenen Fachbereichen, Vorgesetzte, IT-Sicherheitsmanagement-Team, IT-Verantwortliche, Administratoren, etc.
Zu Beginn einer Schulungsmaßnahme muss der Qualifikationsstand und der Ausbildungsbedarf der Mitarbeiter analysiert werden. Dabei sind folgende Fakten zu ermitteln:
- Ausbildungsabschlüsse
- Berufserfahrung, Weiterbildungen, Zusatzkenntnisse
- Aufgaben und Rollen der Mitarbeiter in ihrer Organisationseinheit
Die Schulungsinhalte sollten so modularisierbar sein, dass jede Zielgruppe hinreichend und in angemessener Tiefe geschult werden kann. Im Folgenden werden wichtige Inhalte verschiedener Schulungsmodule vorgestellt, die für die jeweiligen Personengruppen rollenbezogen ausgewählt und eventuell zurechtgeschnitten werden müssen. Dieser Überblick soll dazu dienen, bei der Durchführung interner bzw. der Entscheidung für externe Schulungsveranstaltungen die passenden Inhalte auszuwählen. Daneben sollten alle für den jeweiligen IT-Verbund relevanten Bausteine der IT-Grundschutz-Kataloge daraufhin überprüft werden, ob die erforderlichen Maßnahmen nicht nur angeordnet, sondern auch geschult wurden.
Die hier beschriebenen Module sollten den Zielgruppen zugewiesen werden, wie dies in der folgenden Matrix exemplarisch aufgezeigt wird. Dabei wird mit "X" gekennzeichnet, dass das jeweilige Modul für die entsprechende Rolle empfohlen wird. "O" bedeutet optional, das heißt, es sollte von Fall zu Fall entschieden werden, ob die Inhalte des jeweiligen Schulungsmoduls für die entsprechende Rolle benötigt werden.
Schulungsmodule
Modul 1: Grundlagen der IT-Sicherheit
Modul 2: IT-Sicherheit am Arbeitsplatz
Modul 3: Gesetze und Regularien
Modul 4: IT-Sicherheitskonzept der Organisation
Modul 5: Risikomanagement
Modul 6: IT-Sicherheitsmanagement
Modul 7: IT-Systeme
Modul 8: Operativer Bereich
Modul 9: Technische Realisierung von Sicherheitsmaßnahmen
Modul 10: Notfallvorsorge/Notfallplanung
Modul 11: Neue Entwicklungen im IT-Bereich
Modul 12: Betriebswirtschaftliche Seite der IT-Sicherheit
Modul 13: Infrastruktur-Sicherheit
Modul / Funktion | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Vorgesetzte | X | X | X | X | O | X | |||||||
IT-Sicherheitsmanagement | X | X | X | X | X | X | X | X | X | X | X | X | X |
Datenschutzbeauftragter | X | X | X | X | X | O | |||||||
Infrastrukturverantwortliche | X | X | X | X | X | O | X | X | |||||
Benutzer | X | X | |||||||||||
Administratoren | X | X | X | X | X | X | X | X | X | O |
Tabelle: Vorgeschlagene Schulungsmodule je Funktion
Die beiden Module 1 und 2 dienen als Basisschulung aller Mitarbeiter. Die Module 3 und folgende zeigen auf, welche Vertiefungsgebiete je nach Fachaufgaben außerdem gelernt werden sollten.
Je nach Art der Institution kann es sinnvoll sein, weitere Zielgruppen und die zugehörigen Ausbildungsziele zu definieren, z. B. Verwaltungsmitarbeiter oder Sicherheitsdienst mit dem Fokus auf deren Aufgabengebiet, aber auch deren Basiswissen über IT. Wichtig ist, dass bei der Schulung für IT-Sicherheit auch das Personal nicht vergessen wird, das nicht in erster Linie mit IT in Verbindung gebracht wird, wie Pforten- und Reinigungspersonal. Für diese ist allerdings im Allgemeinen kein komplexes Schulungsmodul erforderlich.
Modul 1: Grundlagen der IT-Sicherheit
Angesichts des beachtlichen Nutzens und der erheblichen Arbeitserleichterungen, die ein sinnvoller Einsatz der IT bewirken kann,
dürfen die gravierenden Gefahren nicht aus dem Auge verloren werden, die ein allzu sorgloser oder gar fahrlässiger Umgang mit dieser Technologie nach sich ziehen kann. Eine der wichtigsten Aufgaben des Schulungskonzeptes besteht daher in der Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit, die unter anderem folgende Themen umfassen sollte:
-
Motivation
- Statistiken zur IT-Sicherheit
- Fallbeispiele für Gefährdungen und Risiken
- Studien zur IT-Sicherheit
-
Erläuterung der Grundprinzipien der IT-Sicherheit
- Vertraulichkeit, Integrität und Verfügbarkeit als Grundlagen
- Unterschied zwischen Security und Safety
-
Gründe für Angriffe auf die IT-Sicherheit
- Wirtschaftsspionage
- staatliche Ermittlungen
- Neugier, spielerische Herausforderung
- kriminelle Ziele
- IT-Sicherheitsstrukturen der Organisation
- Aufgaben und Ziele der Organisation
- Einsatz von IT Richtlinien und Vorgaben der Organisation
- Ziele und Inhalte des IT-Sicherheitskonzeptes der Organisation
- Aufgaben und Verpflichtungen der einzelnen Mitarbeiter
-
Wesentliche Sicherheitsregeln für Mitarbeiter
- Überblick über interne Sicherheitsregelungen
- Umgang mit Passwörtern
- utzung von E-Mail und Internet
- Virenschutz und Datensicherung
Modul 2: IT-Sicherheit am Arbeitsplatz
Mitarbeiter können oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden. Das Modul zur Umsetzung von IT-Sicherheit am Arbeitsplatz sollte unter anderem die folgenden Themenschwerpunkte umfassen:
- Sensibilisierung von Benutzern
-
Motivation und Aufzeigen typischer Fehler von Anwendern:
- leichtsinniger Umgang mit Passwörtern
- Verzicht auf Verschlüsselung
- mangelnder Schutz von Informationen
- mangelndes Misstrauen Laptop-Diebstahl
-
Organisation und Sicherheit
- Die IT-Sicherheitsvorgaben der Institution und deren Bedeutung für den Arbeitsalltag
- Verantwortlichkeiten und Meldewege in der Institution (mit persönlicher Vorstellung der IT-Sicherheitsbeauftragten)
- Zugangs- und Zugriffsschutz
- Technische Sicherheit
- E-Mail- und Internet-Sicherheit
- Schad-Software
- Sicherheitsaspekte relevanter IT-Systeme und Anwendungen
- Rechtliche Aspekte
-
Verhalten bei Sicherheitsvorfällen
- Erkennung und Aufbereitung von Sicherheitsvorfällen
- Meldewege und Ansprechpartner Eskalationsstrategie
Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Schulungsmodul "IT-Sicherheit am Arbeitsplatz" sollte stets den individuellen Gegebenheiten der entsprechenden Organisation angepasst sein.
Modul 3: Gesetze und Regularien
Dieses Schulungsmodul soll allen, die im IT-Bereich an verantwortlicher Stelle tätig sind, den rechtlichen Rahmen ihres Handelns umreißen. Häufig werden Mitarbeiter nur in einem formalen Akt, meist bei der Einarbeitung, darauf verpflichtet, einschlägige Gesetze, Vorschriften und Regelungen einzuhalten. Es ist aber wichtig, nicht nur alle Mitarbeiter zu verpflichten, sondern ihnen die Vorschriften auch nahe zu bringen sowie Herkunft und Auswirkungen von Regelungen zu erläutern.
Es sollte ein grober Überblick über Gesetze und Verordnungen gegeben werden, die Auswirkungen auf den IT-Betrieb bzw. die IT-Sicherheit haben können. Dies kann je nach Branche und Land, in dem eine Organisation tätig ist, extrem unterschiedlich sein. Außerdem sollten Standards und Richtlinien zum IT-Einsatz und zur IT-Sicherheit, die in der eigenen Organisation einzuhalten sind, vorgestellt werden.
Dazu gehören beispielsweise
-
Datenschutz im Unternehmen oder der Behörde
- Rolle und Aufgabe des Datenschutzbeauftragten
- Datenschutzgesetze
- Organisationspflichten
- rechtliche Situation im Zusammenhang mit Protokoll-Dateien
- Arbeits- und arbeitsschutzrechtliche Bestimmungen
- Rolle des Arbeitsschutzbeauftragten
- Regelungen zu Bildschirmarbeitsplätzen
- Gesetze und Normen zur Infrastruktur im Bereich IT
- Brandschutz
- Sichere Verkabelung usw.
- Juristische Haftungsrisiken und IT-Nutzung
- Haftung für Online-Inhalte Haftungsrisiken, wenn Mitarbeiter verbotene Online-Inhalte nutzen Weiterleitung von digitalen Daten rechtliche
- Situation beim Hosting
- Haftung des Unternehmens nach außen
- Allgemeine Geschäftsbedingungen (AGB)
- Nutzung von Telekommunikationsdiensten (z. B. TKG)
- Haftung bei der Privatnutzung von IT-Komponenten
- rechtliche Probleme bei der Mitarbeiterüberwachung
- Verantwortlichkeiten
- Haftungsverteilung innerhalb eines Unternehmens oder einer Behörde
- Verantwortlichkeiten bei der Notfallplanung
- Virenschutz
- Organisationsverschulden bei Virenproblemen
- Regresspflichten bei durch Viren verursachten Schäden
- Wirtschaftsrechtliche Bestimmungen
- Ausfuhrbestimmungen für IT-Produkte
- Lizenz- und Urheberrecht für Software
- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
- Authentikation
- Haftungszuordnung
- Beweisrecht im Bereich Authentikation
- Netz- und Server-Sicherheit
- Zugriffsvoraussetzungen
- Datenschutz im Netz
- Hacker-Strafrecht
- Grenzen der Strafbarkeit im Bereich Hacking
- Notwehr indirekte Hacker-Angriffe
- Verfolgung von Hacker-Straftaten
- Vertragsrecht im Netz
- Informationspflichten
- digitale Signaturen und ihre rechtliche Stellung
Modul 4: IT-Sicherheitskonzept der Organisation
Dieses Schulungsmodul dient der weiteren Vertiefung der im entsprechenden Basismodul "IT-Sicherheit am Arbeitsplatz" einführend behandelten Themen. Darüber hinaus soll es die System- und Aufgabenverantwortlichen in die Lage versetzen, an der permanenten Fortschreibung und - aufgrund neuer technischer, organisatorischer und rechtlicher Entwicklungen - notwendigen Anpassung des IT-Sicherheitskonzeptes mitzuwirken.
- Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Übersicht über das IT-Sicherheitskonzept der Organisation
- spezifische Vorschriften, die sich aus dem IT-Sicherheitskonzept für die Bereiche Management, Organisation, Infrastruktur und IT-Betrieb ergeben
- Anpassung dieser Vorschriften an neue technische, organisatorische und rechtliche Gegebenheiten
- Revision und Fortschreibung des IT-Sicherheitskonzeptes
Modul 5: Risikomanagement
Dieses Schulungsmodul soll den Verantwortlichen die Bedrohungen der IT-Umgebung aufzeigen und es ihnen ermöglichen, die daraus für die Organisation resultierenden Risiken abzuschätzen. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Definitionen und Beispiele zu den Begriffen: Risiko, Gefährdung, Bedrohung, Schwachstelle, Sicherheitslücke, Sicherheitsziel
-
Typische Gefährdungen und Bedrohungen:
- Höhere Gewalt:
Feuer, Wasser, Explosion, Sturm, atmosphärische Entladung, Streik, Demonstration, etc. - Organisatorische Mängel:
Fehlende oder unzureichende Regelungen, Ungeeignete Rechtevergabe, Unkontrollierter Einsatz von IT-Systemen, etc. - Menschliche Fehlhandlungen:
mangelnde Sorgfalt, unsachgemäße Behandlung, Unwissenheit, etc. - Technisches Versagen:
Stromausfall, Ausfall der Klimaanlage, Überspannung, Ausfall von Schaltelementen oder Schaltkreisen, Störungen in der Mechanik oder Elektronik, etc. - Vorsätzliche Handlungen:
Viren, Würmer, Trojaner, Diebstahl, Sabotage, Spionage, Manipulation, inklusive Gegenüberstellung von Angreifertypen und Motivationen, z. B. bei Innentätern oder bei Angreifern von außen
- Höhere Gewalt:
- Risikoanalyse: Risikoanalysestrategien, Beurteilung einer Bedrohung nach Eintrittswahrscheinlichkeit und Schadenshöhe
- Festlegung von Schutzzielen: Grad der Akzeptanz verschiedener Risiken, Definition inakzeptabler Risiken
- Maßnahmenkatalog zur Beseitigung inakzeptabler Risiken
Modul 6: IT-Sicherheitsmanagement
Dieses Schulungsmodul zeigt wichtige Grundlagen für IT-Sicherheitsverantwortliche auf, um IT-Sicherheit in der Organisation umzusetzen. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- IT-Sicherheitsmanagement
- Aufbau und Aufgaben des IT-Sicherheitsmanagements
- IT-Sicherheitsprozess, -ziele und -strategien
- Organisation und Verantwortlichkeiten
- Standards zum IT-Sicherheitsmanagement wie ISO/IEC 13335, ISO/IEC 17799, IT-Grundschutz, ITIL
- IT-Sicherheitskonzept
- Ziele und Inhalte eines IT-Sicherheitskonzeptes
- Aufbau eines IT-Sicherheitskonzeptes
- Verpflichtung von IT-Benutzern, System- und Aufgabenverantwortlichen zur Umsetzung des IT-Sicherheitskonzeptes
- System- und anwendungsspezifische IT-Sicherheitsrichtlinien
-
Berechtigungsmanagement
- Berechtigungskonzepte, Gestaltung der Rechtevergabe
- Zugriffsrechte auf Systemressourcen, Zuweisung und zeitliche Begrenzung
- Authentisierung (z. B. Stärken und Auswahl von Mechanismen)
- Remote Zugriff (z. B. bei Telearbeit)
-
Training und Sensibilisierung zur IT-Sicherheit
- Festlegung von IT-Sicherheitstrainingsprogrammen für die verschiedenen Funktionsträger
- Entwickeln einer Sicherheitskultur
- Evaluierung und Zertifizierung im Bereich IT-Sicherheit
- Produkt-/System-Zertifizierung (z. B. nach ITSEC, Common Criteria usw.)
- Zertifizierung der IT-Umgebung und des IT-Sicherheitsmanagements (z. B. nach IT-Grundschutz)
- Experten-Zertifikate (z. B. TISP, CISA, CISSP, IT-Sicherheitskoordinator, Security+ usw.)
- Spezielle Probleme in der IT-Sicherheit
- Kostenproblem
- Akzeptanzproblem
Modul 7: IT-Systeme
Dieses Schulungsmodul beschreibt die Steuerungsinstrumente, die in den verschiedenen Phasen des Lebenszyklus von IT-Systemen die Einhaltung der Sicherheitsnormen gewährleisten.
- Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
-
IT-Sicherheitsmaßnahmen in den Lebenszyklus-Phasen
- Planung
- Beschaffung/Entwicklung
- Test und Evaluierung
- Implementierung bzw. Installation
- produktiver Betrieb
- Einstellung des Betriebes
-
Sicherheitsplanung für den Systembetrieb
- Feststellung des Einsatzzweckes und -nutzens eines bestimmten IT-Systems
- Festlegung der Schutzmaßnahmen für dieses System
- Bestimmung der für den Systembetrieb Verantwortlichen
- Installation und Konfiguration der in jeder Phase des Lebenszyklus erforderlichen Sicherheitsmechanismen
- Festlegung eines Konfigurations- und Änderungsmanagements in Abhängigkeit von den Sicherheitszielen
- Festlegung der Voraussetzungen für die Freigabe für den Wirkbetrieb
- Tests und Freigabe der Sicherheitsmechanismen
Modul 8: Operativer Bereich
Dieses Schulungsmodul beschreibt die Prozeduren und Maßnahmen, die im täglichen Einsatz operationelle Systeme und Anwendungen schützen.
- Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
-
Infrastruktur-Maßnahmen
- Zugangskontrollen, Werkschutz, Alarmanlagen, etc.
- Haustechnik, Energie- und Wasserversorgung, etc.
- Brandschutzeinrichtungen
- Klimaanlagen
-
Organisatorische Maßnahmen
- Dokumentation von Systemen und Konfigurationen, Applikationen, Software, Hardware-Bestand, etc.
- Regelmäßige Kontrolle von Protokolldateien
- Regelungen für die Datensicherung
- Regelungen für den Datenträgeraustausch
- Lizenzverwaltung und Versionskontrolle von Standardsoftware
-
Maßnahmen im Bereich Personal
- Auswahl, Einarbeitung und Schulung von Mitarbeitern
- Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern
- Funktionen und Verantwortlichkeiten
- Funktionstrennung und funktionsbezogene Rechtevergabe
- Vertretungsregelungen
- Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen
-
Maßnahmen im Bereich Hardware und Software
- Grundlagen Betriebssystem-Sicherheit
- Sichere Konfiguration von Hardware und Software
- Virenschutz, Spam-Abwehr, Patchmanagement
- Nutzung der in der Hardware bzw. den Anwendungsprogrammen vorhandenen Sicherheitsfunktionen
- Implementierung zusätzlicher Sicherheitsfunktionen
- Rechteverwaltung
- Protokollierung
-
Maßnahmen im Bereich Kommunikation
- Sichere Konfiguration von TK-Anlagen
- Sichere Konfiguration von Netzdiensten
- Firewall-Konzepte, IDS-Systeme, Penetrationstests
- E-Mail- und Internet-Sicherheit
- Absicherung externer Remote-Zugriffe
- Virtual Private Networks (VPN)
- Sichere Nutzung mobiler IT-Systeme und drahtloser Kommunikation
- Information über Sicherheitslücken (z. B. über CERTs) und Umgang mit Sicherheitsvorfällen
Modul 9: Technische Realisierung von Sicherheitsmaßnahmen
Dieses Schulungsmodul vermittelt Kenntnisse über die Möglichkeiten der technischen Realisierung der in den Modulen 6 bis 8 abstrakt beschriebenen Steuerungs- und Kontrollinstrumente.
- Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
-
Basiswissen Kryptographie
- Problemabgrenzung
- Vertraulichkeit, Integrität, Authentizität
- Grundbegriffe wie Klartext, Chiffrat, Schlüssel
- Symmetrische und asymmetrische Verschlüsselung
- Public Key Infrastrukturen
- Digitale Signaturen
- Aufzählung "guter" und "schlechter" bekannter Algorithmen
-
Identifizierung und Authentikation, z. B.
- Begriffsdefinition (Wissen, Besitz, Eigenschaft)
- Authentisierung durch Wissen: Passwörter, Einmal-Passwörter, Challenge-Response-Verfahren, digitale Signaturen
- Authentisierung durch Besitz: Token, Chipkarten, Magnetstreifenkarten
- Biometrische Verfahren: Fingerabdruckerkennung, Iriserkennung, Gesichtserkennung, etc.
- Single Sign-On
- Berechtigungsmanagement
-
Protokollierung und Monitoring, z. B.
- Technische Möglichkeiten des "Transaction Logging"
- Intrusion Detection Systeme (IDS): Unterschiede zwischen aktiven und passiven Systemen
- Zwangsprotokollierung aller Administratoraktivitäten
- Datenschutzaspekte
-
Überblick über Administrationswerkzeuge
- Werkzeuge, mit denen Sicherheitsvorgaben realisiert und kontrolliert werden können
- Zusatzprodukte zur Ergänzung bzw. Verbesserung der Sicherheitsfunktionen von Betriebssystemen ("gehärtete Betriebssysteme")
- Netzmanagement-Software
- Remote-Management-Software
-
Firewalls
- Internet-Technik (OSI-Modell, TCP/IP)
- Realisierungsformen (statische Paketfilter, Stateful Inspection, Application Level Gateways)
- Content Security
- Hochverfügbare Firewalls
-
Schutz der Vertraulichkeit: Kryptographische Verfahren und Produkte, Zugriffsschutz z. B. durch Festplattenverschlüsselung, Kryptographie auf den verschiedenen Schichten des OSI-Modells
- Protokolle für Schicht 1 und 2 (ISDN-Verschlüsselung, ECP und CHAP, WLAN, Bluetooth )
- Protokolle für Schicht 3 (IPsec, IKE, SINA)
- Protokolle für Schicht 4 (SSL, TLS, WTLS)
- E-Mail-Kryptografie (GnuPG, PGP, S/MIME)
- Kryptografie im Browser (HTTPS, Code-Signing, Form-Signing)
-
Schutz der Verfügbarkeit
- Organisatorische Maßnahmen zur Erhöhung der Verfügbarkeit (SLAs, Change Management, Vermeidung von SPOF)
- Datensicherung, Datenwiederherstellung
- Speichertechnologien
- Netzkonfigurationen zur Erhöhung der Verfügbarkeit
- Infrastrukturelle Maßnahmen zur Erhöhung der Verfügbarkeit
- Verfügbarkeit auf der Client-Seite
- Verfügbarkeit auf der Anwendungsebene
- Verfügbarkeit auf der Server-Seite (Server-Standby, Failover)
- Methoden zur Replikation von Daten Disaster Recovery
-
Technische Möglichkeiten zum Schutz von TK-Anlagen
- Schutz vor Abhören
- Schutz der Datenleitungen z. B. durch alarmüberwachte und plombierte Leitungsschächte, gesicherte Verteiler (Knoten), Verschlüsselung der Nachrichten, etc.
- Verbindungsaufbau nur durch Rückruf
- Verhinderung von Gebührenbetrug, Sicherung der Datenträger mit Gebührendaten
- Sicherung von Wartungs-, Fernwartungs- und Administratorzugängen
- Protokollierung jedes Systemzugangs, Löschungsschutz der Protokolldateien
- Erkennen von Schwachstellen des eigenen Systems mittels Penetrationstests
- Hacker-Methoden, Web-Seiten-Hacking, Schutz vor: Sniffer, Scanner, Password Cracker, etc.
Modul 10: Notfallvorsorge/Notfallplanung
Dieses Schulungsmodul soll die Grundlagen zur Erstellung eines Notfall- und Wiederanlaufplanes vermitteln. Thematisch stellt es einen Aufbaukurs zum Modul 5 "Risikomanagement" dar.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Überblick über Notfallvorsorge, Incident Handling, Business Continuity
-
Aufbau einer Notfallorganisation
- Definition des Notfalles
- Festlegung von Verantwortlichkeiten
- Bildung von Krisenstäben: Zentraler Krisenstab, Operative Stäbe, Unterstützungsteams
- Erstellung von Alarm- und Eskalationsplänen
- Festlegung der Mindestanforderungen für einen Notbetrieb
- Planung für die Verlagerung kritischer Arbeitsbereiche in Ausweichstandorte
- Ersatzbeschaffungsplan
- Abschluss von Service-Verträgen mit Recovery-Dienstleistern
- Wiederanlaufplanung
- Erstellung eines Planes für regelmäßige Notfallübungen
-
Dokumente zum Notfallplan
- Notfallhandbuch
- Flowcharts zu den Alarmierungs- und Meldeplänen
- Checklisten für verschiedene Notfallszenarien
- Dokumentationen von Hard- und Software, Systemkonfigurationen, Datenbeständen, Datensicherung, ...
- Hersteller- und Lieferantenverzeichnis
Modul 11: Neue Entwicklungen im IT-Bereich
Der rasanten Weiterentwicklung im Bereich der IT muss auch durch das Schulungskonzept Rechnung getragen werden. Dieses Schulungsmodul soll daher IT-Systembetreiber über neue Innovationen auf ihrem Gebiet informieren. Um stets auf dem aktuellen Stand zu sein, sollte dieses Seminar periodisch - etwa alle 2 Jahre - wieder besucht werden.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
- Neue Entwicklungen in den Bereichen
- Hardware/Software, Systemumgebung, System-Architekturen
- Hardware-Typen
- Betriebssysteme
- Dienstprogramme
- Anwendungssoftware
- Systemplanung
- Workflow
- Damit verbundene neue Bedrohungen und Schwachstellen
- Rechnernetze
- Netzkoppelelemente
- Netzarchitektur
- Monitoring
- Zugriffskontrolle
- Kryptographie Netztrennung
- Damit verbundene neue Bedrohungen und Schwachstellen
- Speicher und Archivierungsumgebungen
- Speichertechnologien (DAS, NAS, SAN, IP Storage, etc.)
- Archivierungstechnologien (Systeme, Medien, Software)
- Elektronische Kommunikation und Internet-Technologien
Modul 12: Betriebswirtschaftliche Seite der IT-Sicherheit
Dieses Schulungsmodul ist speziell für das Management und Entscheidungsträger gedacht, um IT-Sicherheit übergreifend in die Unternehmensplanung zu integrieren.
Folgende Inhalte gehören unter anderem zu diesem Themengebiet:
-
Betriebswirtschaftliche Vorteile der IT-Sicherheit
- Risikominimierung
- Beschleunigung der Bearbeitung
- Reduzierung des Aufwands
- Umsatzerhöhung
- Erschließen neuer Geschäftsfelder
- sonstiger Nutzen
-
Kalkulation einer IT-Sicherheitsinvestition
- Erstellung einer Kostenübersicht
- Abgrenzung gegenüber Betriebs- und Fortschreibungskosten
- Verdeckte Kosten
-
Investitionsrechnung in der IT-Sicherheit
- Investitionsrechnung
- Argumentation gegenüber dem Management
-
Verzahnung von IT-Sicherheitsmaßnahmen im Unternehmen
- Berücksichtigung der Geschäftsprozesse und der Geschäftsvorfälle bei den Sicherheitsmaßnahmen
- Einfluss- und Verantwortungsbereiche, typische Stolpersteine
- IT-Sicherheit bei der IT-Beschaffung und in IT-Projekten
-
Erfolgsfaktoren der IT-Sicherheit
- Wie gelingt ein Projekt zur IT-Sicherheit?
- Klärung der Erwartungshaltung
- Konzeption von IT-Sicherheitslösungen
- Erstellen eines Lösungskonzepts
- Verfassen eines Betriebskonzepts
- Prüfen der Konzepte
- Gliedern in Teilprojekte
- Umsetzen der Teilprojekte
- Modul- und Funktionstests
- Akzeptanz- und Integrationstests
- Inbetriebnahme
-
Häufige Fehler bei der Umsetzung von IT-Sicherheit
- Fehler bei der Projektleitung
- andere typische Fehler
Modul 13: Infrastruktursicherheit
Dieses Modul befasst sich mit dem Schutz der Informationstechnik mit Hilfe von baulichen und technischen Maßnahmen. Wichtige Punkte dabei sind unter Anderem:
-
Objektschutz
- Umgebung
- Umfriedung
- Freiland-Schutz
- Mechanischer Schutz
- Technische Überwachung
- Geräteschutz
-
Zutrittskontrolle
- Pförtnerdienst
- Verschluss von Räumen
- Technische Zutrittskontrolle
-
Stromversorgung
- Überspannungsschutz
- Unterbrechungsfreie Stromversorgung
- Trassen / Verkabelung
- Brandschutz
- Klimatisierung
- Schutz gegen Wasser
Ergänzende Kontrollfragen:
- Werden die Schulungsinhalte zur IT-Sicherheit den Bedürfnissen der Zielgruppe entsprechend angepasst?