M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur IT-Sicherheit
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal, IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team, Vorgesetzte
Ein gutes Schulungs- und Sensibilisierungsprogramm zur IT-Sicherheit sollte jeden im Unternehmen bzw. in der Behörde einbeziehen. Dabei sollte das Bewusstsein aller Mitarbeiter für Gefährdungen geschärft bzw. geschaffen werden, um Sicherheitsproblemen vorzubeugen und um aus eigenen und externen Sicherheitsproblemen zu lernen.
Für die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen ist unbedingt die Unterstützung des Managements erforderlich, damit der notwendige Nachdruck für alle sichtbar ist und die benötigten Ressourcen zur Verfügung stehen (siehe auch M 3.44 Sensibilisierung des Managements für IT-Sicherheit).
Im Folgenden werden die wichtige Schritte bei der Konzeption eines Schulungs- und Sensibilisierungsprogramms beschrieben.
1. Lernziele definieren (Ableiten aus IT-Sicherheitszielen)
Als erstes muss definiert werden, welche Ziele erreicht werden sollen. Wichtig ist vor allem, dass die IT-Sicherheitsziele der jeweiligen Institution hier einfließen. Typische Ziele von Sensibilisierungs- und Schulungsmaßnahmen zur IT-Sicherheit sind die folgenden:
- Aufmerksamkeit für IT-Sicherheit zu gewinnen und Interesse daran wecken,
- Grundwissen zu IT-Sicherheit zu vermitteln,
- die für die Fachaufgaben der Benutzer benötigten IT-Sicherheitskenntnisse zu vermitteln,
- Praxiswissen zu vermitteln, so dass Mitarbeiter in sicherheitskritischen Situation richtig reagieren,
- kontinuierliche Verhaltensänderungen zu erzielen.
Außerdem sollten die Erfolgskriterien für die Schulungs- und Sensibilisierungsprogramme skizziert werden, auch wenn diese unbestreitbar nur schwer zu beschreiben oder zu quantifizieren sind.
2. Zielgruppenorientiertes Training und Sensibilisierung
Die Zielgruppe für jede Maßnahme im Bereich IT-Sicherheitstraining ist im Voraus zu bestimmen, da IT-Benutzer im allgemeinen unterschiedliche Bedürfnisse und Vorkenntnisse haben und auch teilweise über verschiedene Methoden anzusprechen sind. Hier sind beispielsweise zu unterscheiden:
-
Managementebene
Der Erfolg ganzer Sensibilisierungsprogramme hängt oft davon ab, wie gut diese von der Managementebene aufgenommen werden. Daher ist eine gründliche Vorbereitung der Sensibilisierungsmaßnahmen für die Managementebene enorm wichtig.
Diese Zielgruppe hat oft wenig Zeit, daher sollten alle Sensibilisierungsmaßnahmen kurz und prägnant sein. -
Mitarbeiter
Die Mitarbeiter sind diejenigen, deren Verhalten die stärksten direkten Auswirkungen auf die tägliche IT-Sicherheit innerhalb der Institution hat. Hier ist zu berücksichtigen, dass der Wissenstand über IT sehr unterschiedlich sein kann. Beispielsweise haben Software-Entwickler andere IT Kenntnisse als Mitarbeiter der Personalverwaltung und benötigen unterschiedliche Inhalte um zum Thema IT-Sicherheit sensibilisiert und geschult zu werden. -
Administratoren
Administratoren und Support-Mitarbeiter müssen tiefgehende Fachkenntnisse der von ihnen betreuten IT-Systeme und IT-Anwendungen haben, so dass sie auch in der Lage sind, Sicherheitsprobleme zu erkennen und zu beheben sowie diesen vorzubeugen. -
Externe Mitarbeiter
In vielen Fällen werden interne Daten, Anwendungen und Systeme für Mitarbeiter anderer Institutionen zur Verfügung gestellt. Vertraulichkeitserklärungen bieten ein Mittel, um externe Mitarbeiter zum sicheren Umgang mit der internen Informationstechnik zu verpflichten und zu sensibilisieren.
Das IT-Sicherheitstraining muss in Umfang und Inhalt auf die Bedeutung und Komplexität des IT-Einsatzes bei den jeweiligen Zielgruppen abgestimmt werden. Daher sollten zunächst die Mitarbeiter einer Institution in Zielgruppen eingeteilt werden, für die jeweils passende IT-Sicherheitstrainingsmaßnahmen ausgewählt werden.
3. Lernbedürfnisse identifizieren
Um die Inhalte für die Schulungs- und Sensibilisierungsmaßnahmen zielgerecht festlegen zu können, müssen die Lernbedürfnisse identifiziert werden. Es sollte erörtert werden, wer welche Kenntnisse über IT-Sicherheit haben und welche IT-Sicherheitsmaßnahmen beherrschen sollte. Insbesondere sind folgende Bereiche auf jeden Fall zu berücksichtigen:
- Sensibilisierung für alle Mitarbeiter, aber insbesondere Managementebene,
- Einarbeitung neuer Mitarbeiter,
- Grundlagenwissen für alle Mitarbeiter,
- Spezialkenntnisse für bestimmte Gruppen wie z. B. Sicherheitsspezialisten und Administratoren.
Der Wissensbedarf sollte dabei an den Sicherheitszielen der Behörde oder des Unternehmens ausgerichtet werden.
4. Lerninhalte festlegen
Alle Mitarbeiter sollten alle internen IT-Sicherheitsleitlinien, Regelungen, Verfahren kennen, die für ihren Arbeitsplatz relevant sind. Sie sollten nicht nur auf deren Existenz hingewiesen werden, sondern auch deren Inhalte, Hintergründe und Einflüsse auf die Arbeitsumgebung kennen. Dafür ist natürlich auch wichtig, dass es nicht zu viele Vorgaben, Regeln und Dokumente zu IT-Sicherheit gibt. Hier wie überall sollte das Regelwerk einfach und überschaubar gehalten werden
- Inhalte zu Grundlagen der IT-Sicherheit sind in den Maßnahmen M 3.26 Einweisung des Personals in den sicheren Umgang mit IT und M 3.5 Schulung zu IT-Sicherheitsmaßnahmen spezifiziert.
- Für Inhalte zu Spezialthemen können die Maßnahmen M 3.45 Planung von Schulungsinhalten zur IT-Sicherheit und M 3.49 Schulung zur Vorgehensweise nach IT-Grundschutz herangezogen werden. Wenn für die Trainingsmaßnahmen auf externe Veranstalter zurückgegriffen wird, können diese auch hier als Checkliste genutzt werden, um zu prüfen, ob vorkonfektionierte Seminare die benötigten Inhalte haben.
Damit das Einhalten der IT-Sicherheitsvorgaben während des täglichen Betriebes nicht als Hürde empfunden wird, muss dieses vorher ausreichend geübt werden. Anderenfalls wird aufgrund von Termindruck möglicherweise auf die IT-Sicherheitsvorkehrungen erst einmal verzichtet. So geraten sie langfristig in Vergessenheit.
Die Schulungsmaßnahmen zur IT-Sicherheit müssen in enger Abstimmung mit den sonstigen Schulungsmaßnahmen der Institution, vor allem mit den IT-Schulungen erstellt werden. Dabei sollte überlegt werden, inwieweit es möglich ist, Schulungsthemen zur IT-Sicherheit in letztere zu integrieren. Eine solche Einbindung hat den Vorteil, dass IT-Sicherheit unmittelbar als Bestandteil des IT-Einsatzes wahrgenommen wird. Dafür müssen allerdings die Dozenten ausreichend qualifiziert sein. Außerdem muss IT-Sicherheitsaspekten genügend Platz und Zeit eingeräumt werden. Eine Kurz-Abhandlung des Themas etwa am Freitag zwischen 13 und 14 Uhr genügt nicht.
5. Methoden und Medien auswählen
Zunächst muss geklärt werden, ob die Sensibilisierung und Ausbildung zu Sicherheitsfragen durch eigene Mitarbeiter oder Externe durchgeführt werden soll und in welcher Form die Ausbildung erfolgen soll (siehe auch M 3.48 Auswahl von Trainern oder Schulungsanbietern). Typische Varianten sind folgende:
- Informationsbörse zu IT-Sicherheit im Intranet,
- Mitarbeiterzeitung,
- E-Mails zu aktuellen Sicherheitsfragen, Anmelde-Bildschirm mit Sicherheitsinformationen,
- Rundschreiben und Zeitschriften mit sicherheitsrelevanten Themen,
- Poster und Broschüren,
- Werbematerialen zur IT-Sicherheit,
- interne Informationsveranstaltungen,
- externe Seminare, Messen und Konferenzen,
- Videos, die Spezialthemen zur IT-Sicherheit aufzeigen,
- E-Learning-Programme,
- Planspiele zur IT-Sicherheit (siehe M 3.47 Durchführung von Planspielen zur IT-Sicherheit).
Alle bereits im Unternehmen oder in der Behörde vorhandenen Schulungsprogramme und -materialien sollten darauf untersucht werden, ob sie sich als erfolgreich erwiesen haben und als Vorbild übernommen werden können und ob Sicherheitsthemen in andere Programme integriert werden können.
Für Sensibilisierungsprogramme sollten kreative und phantasiereiche pädagogische Materialien gewählt werden, die zur verantwortungsbewussten IT-Nutzung anregen.
Bei der Auswahl von E-Learning-Anwendungen sollte auch berücksichtigt werden, dass diese als IT-Anwendungen selber wieder keine negativen Auswirkungen auf die IT-Sicherheit in der eingesetzten IT-Umgebung haben dürfen. Wenn E-Learning-Angebote nicht nur im Intranet, sondern auch über das Internet präsentiert werden sollen, sollte beispielsweise auf aktive Inhalte (Java, Javascript, ActiveX, etc.) verzichtet werden. Wenn dies nicht machbar ist, können sie nur über dedizierte, nicht ins Netz integrierte Internet-PCs abgerufen werden. Grundsätzlich sollten E-Learning-Anwendungen wie jede andere Anwendung auch vor ihrem Einsatz getestet und nur freigegeben werden, wenn keine Sicherheitsbedenken bestehen.
6. Durchführung
Alle Ausbildungsangebote sollten auf die vorliegenden Bedürfnisse abgestimmt sein und modularisierbar sein, so dass jede Zielgruppe ausreichend und in angemessener Tiefe geschult werden kann.
7. Erfolg und Effektivität kontrollieren
Bei allen Maßnahmen zur Schulung und Sensibilisierung für IT-Sicherheit muss zum einen sichergestellt werden, dass diese für sich zielgruppengerecht und effektiv waren, zum anderen aber auch, dass alle betroffenen Mitarbeiter erreicht wurden. Dabei dürfen auch Personen nicht vergessen werden, die nur zeitweise bei der Institution oder bei einem Unterauftragnehmer arbeiten. Jede Organisation sollte einen Überblick über den Ausbildungsstand ihrer Mitarbeiter haben, beispielsweise über Schulungsnachweise.
Um die Effektivität der Trainingsmaßnahmen nachzuprüfen, können verschiedene Verfahren gewählt werden. Die klassische Methode ist der Einsatz von Fragebögen, mit denen die Teilnehmer die Qualität der Schulung bewerten können, bzw. über die Gelerntes hinterfragt, Verständnisprobleme aufgezeigt und Bedürfnisse für weitere Schulungen festgestellt werden können. Wenn regelmäßig externe Anbieter Schulungen für Mitarbeiter durchführen, sollten diese unbedingt auch intern bewertet werden, um
Zufriedenheit und Lernerfolge bei diesen Anbietern feststellen zu können.
Eine sichtbare Änderung der Einstellung der Mitarbeiter gegenüber Sicherheitsmaßnahmen, z. B. ob sich Benutzer in Arbeitspausen abmelden oder sie Bildschirmschoner zum Zugriffsschutz aktivieren, kann ebenfalls als Maßstab für den Erfolg der Trainingsmaßnahmen verwendet werden. Dies darf allerdings nicht als Überwachung von Mitarbeitern missbraucht werden.
In die Planung von Sicherheitskampagnen sollte auch der Personal- bzw. Betriebsrat rechtzeitig einbezogen werden, da auch typisches Fehlverhalten von Mitarbeitern angesprochen werden muss. Dies sollte aber natürlich nie auf konkrete Einzelfälle innerhalb der eigenen Institution bezogen sein.
8. Wissen regelmäßig aktualisieren
In dem sich dynamisch entwickelnden IT-Bereich verliert einmal erworbenes Wissen rasch an Wert. Neue IT-Anwendungen und IT-Systeme, aber auch neue Bedrohungen, Schwachstellen und mögliche Abwehrmaßnahmen machen eine ständige Auffrischung und Erweiterung des Wissens über IT-Sicherheit erforderlich. Das diesbezügliche Schulungsangebot sollte sich daher nicht ausschließlich an neue Mitarbeiter richten, sondern auch für erfahrenere IT-Benutzer in regelmäßigen Abständen Auffrischungs- und Ergänzungskurse vorsehen. Weiterhin ist es vor diesem Hintergrund wichtig, die Schulungskonzepte einer regelmäßigen Aktualisierung zu unterziehen und sie nötigenfalls an neue Gegebenheiten anzupassen (siehe hierzu auch M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit).
Ergänzende Kontrollfragen:
- Ist eine Bedarfsanalyse zum vorhandenen Wissenstand und Wissensbedarf zu IT-Sicherheit durchgeführt worden?
- Gibt es Schulungsprogramme zur eingesetzten IT und zur IT-Sicherheit für alle Mitarbeiter einer Institution?
- Wird das IT-Sicherheitsmanagement-Team bei der Planung und Durch-führung von IT-Schulungen eingebunden?
- Werden die Trainingsprogramme regelmäßig aktualisiert?