Bundesamt für Sicherheit in der Informationstechnik

M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

Damit ein Sicherheitskonzept in einer Institution etabliert werden kann, müssen die Mitarbeiter es akzeptieren, beachten und dauerhaft umsetzen. Wesentliche Erfolgsfaktoren hierfür sind auf die Institution zugeschnittene und sichtbar vom Management unterstützte Programme zur Sensibilisierung und Schulung zur Informationssicherheit.

Bei der Sensibilisierung zur Informationssicherheit geht es vor allem darum, ein Bewusstsein aller Mitarbeiter für Gefährdungen in ihrem Arbeitsumfeld zu schaffen bzw. es zu schärfen und daraus Verhaltensweisen abzuleiten, um Schäden vorzubeugen oder bestmöglich zu begrenzen (siehe M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit ). In Schulungen werden den Mitarbeitern ergänzend alle notwendigen Kenntnisse und Fähigkeiten vermittelt, um die angesprochenen Verhaltensweisen richtig durchzuführen. Der Begriff Schulung umfasst alle möglichen Formen der geplanten und überprüften Wissensvermittlung, z. B. Präsenzschulungen, Online-Lernprogramme, Einweisung durch verantwortliche Mitarbeiter oder Kenntnisnahme relevanter Regelungen und Verpflichtungen.

Sensibilisierung und Schulung ergänzen sich und sollten daher aufeinander abgestimmt entwickelt werden.

Es sollte ein Schulungsprogramm geben, das jeden Mitarbeiter in der Institution einbezieht, zielgruppenorientiert ist und auch die Mitarbeiterlaufbahn berücksichtigt ( z. B. Funktions-, Abteilungs- oder Standortwechsel). Das Schulungsprogramm muss zwingend vom Management unterstützt werden, damit seine besondere Bedeutung erkennbar ist und die benötigten Ressourcen für Planung, Umsetzung und Aufrechterhaltung vorhanden sind (siehe M 3.96 Unterstützung des Managements für Sensibilisierung und Schulung ).

Im Folgenden werden die wichtigen Schritte beschrieben, um ein Schulungsprogramm zur Informationssicherheit zu konzeptionieren.

1. Definition von Schulungszielen

Das Schulungsprogramm soll die Ziele der Informationssicherheit und die daraus resultierenden Maßnahmen bei allen Mitarbeitern der Institution verankern. Daher müssen die Schulungsziele aus den Informationssicherheitszielen abgeleitet werden.

Typische Ziele solcher Schulungsmaßnahmen können sein:

  • Aufmerksamkeit und Interesse für Informationssicherheit gewinnen,
  • Grundwissen zur Informationssicherheit vermitteln,
  • spezielle Informationssicherheitskenntnisse vermitteln, die für Fachaufgaben der Mitarbeiter benötigt werden,
  • Praxiswissen vermitteln, sodass Mitarbeiter in sicherheitskritischen Situationen richtig reagieren und
  • dauerhafte Verhaltensänderungen erzielen, damit Mitarbeiter erkennen und akzeptieren, dass Richtlinien und Maßnahmen zur Informationssicherheit notwendig sind und sie diese in ihren Arbeitsalltag integrieren.

Außerdem sollten Erfolgskriterien für die Schulungsprogramme definiert werden, um deren Wirkung beurteilen zu können.

2. Analyse von Zielgruppen

Mitarbeiter mit vergleichbaren Anforderungen und Aufgaben in Bezug auf die Informationssicherheit sollten durch eine Zielgruppenanalyse identifiziert werden, um Schulungsmaßnahmen möglichst bedarfsgerecht, wirksam und konfektioniert gestalten zu können. Für genauere Empfehlungen zur Zielgruppenanalyse siehe Maßnahme M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme .

3. Definition des Schulungsbedarfs für Zielgruppen

Für zielgerechte Schulungsinhalte muss vorab der Schulungsbedarf pro Zielgruppe analysiert werden. Es ist festzulegen, wer in welcher Situation welche Kenntnisse haben sollte. Um den aktuellen Wissensstand von Zielgruppen zu evaluieren, können beispielsweise Fragebögen zur Selbsteinschätzung verwendet werden. Folgende Bereiche sollten auf jeden Fall berücksichtigt werden:

  • Grundlagenwissen für alle Mitarbeiter,
  • Managementebene zur Wahrnehmung der Vorbildfunktion für Informationssicherheit,
  • Einarbeitung neuer Mitarbeiter,
  • Spezialkenntnisse für bestimmte Gruppen wie z. B. Administratoren und Telearbeiter,
  • Zusatzkenntnisse bei Wechseln zwischen den Zielgruppen.

4. Ableitung von Schulungsinhalten

Alle Mitarbeiter sollten die internen Regelungen, Konzepte und Verfahren zur Informationssicherheit kennen, die für ihren Arbeitsplatz relevant sind, und wissen, wo sie diese finden. Es ist wichtig, dass die Dokumentation zur Informationssicherheit einfach, überschaubar und allgemein verständlich gehalten ist.

Zur Vermittlung von Fähigkeiten gehören auch praktische Übungen, wie bestimmte Sicherheitsvorgaben im Arbeitsalltag eingehalten werden können. Ziel ist, dass sie sich mehr und mehr zur Selbstverständlichkeit entwickeln, statt ständig als unangenehmer Mehraufwand empfunden zu werden.

Die Schulungsmaßnahmen zur Informationssicherheit sind eng mit den sonstigen Schulungsmaßnahmen der Institution abzustimmen. Wo immer möglich, sollten Informationssicherheitsthemen in bestehende Schulungen integriert werden, um auch dadurch zu fördern, dass Mitarbeiter das Thema als selbstverständlich wahrnehmen. Wenn nötig, müssen hierfür die bisherigen Dozenten zusätzlich qualifiziert werden. Des Weiteren muss Informationssicherheitsaspekten ausreichend Zeit innerhalb der Schulung eingeräumt werden.

5. Entwicklung von Schulungsmodulen

Ziel dieses Schrittes ist es, die Schulungsinhalte, inklusive geeigneter Medien und Methodik, bestmöglich zu konfektionieren. Dazu müssen anhand der entwickelten Schulungsinhalte entsprechende Module festgelegt werden. Außerdem ist zu definieren, wie die Module realisiert werden (siehe auch M 3.48 Auswahl von Trainern oder externen Schulungsanbietern ), zum Beispiel durch:

  • von eigenen Mitarbeitern durchgeführte Schulungen,
  • von externen Lehrkräften durchgeführte Schulungen, die entweder speziell auf die Institution zugeschnitten (in der Regel innerhalb der Institution) sind oder im Rahmen des Angebots von Seminaranbietern (gegebenenfalls innerhalb der Institution) stattfinden,
  • Einbettung in bereits vorhandene Schulungen oder
  • die Erstellung von Schulungsunterlagen zum selbstständigen Lernen.

Als mögliche Medien und Methoden kommen infrage:

  • klassische Präsenzschulung,
  • Informationsbörse, Blog oder News zur Informationssicherheit im Intranet,
  • Mitarbeiterzeitung,
  • Zeitschriften mit sicherheitsrelevanten Themen,
  • interne Informationsveranstaltungen,
  • externe Seminare, Messen und Konferenzen,
  • Videos, die Spezialthemen zur Informationssicherheit aufzeigen,
  • E-Learning-Programme, Computer Based Training, Infotainment, Webinare und
  • Planspiele zur Informationssicherheit (siehe M 3.47 Durchführung von Planspielen zur Informationssicherheit ).

Alle bereits in der Institution vorhandenen Schulungsprogramme und -materialien sollten darauf untersucht werden, ob sie sich als erfolgreich erwiesen haben und als Vorbild übernommen werden können und ob Sicherheitsthemen in andere Programme integriert werden können.

Bei der Auswahl von E-Learning-Programmen sollte auch berücksichtigt werden, dass diese sich nicht negativ auf die Informationssicherheit in der eingesetzten IT-Umgebung auswirken. Wenn E-Learning-Angebote nicht nur im Intranet, sondern auch über das Internet präsentiert werden sollen, ist beispielsweise auf aktive Inhalte (Java, Javascript, ActiveX, etc. ) zu verzichten. Grundsätzlich sollten E-Learning-Anwendungen wie jede andere Anwendung auch vor ihrem Einsatz getestet und nur freigegeben werden, wenn keine Sicherheitsbedenken bestehen (siehe B 5.25 Allgemeine Anwendungen ).

6. Festlegung von Schulungsplänen

Für die verschiedenen Zielgruppen sollten Schulungspläne und dazu außerdem Zyklen bzw. definierte Zeitpunkte innerhalb der Mitarbeiterlaufbahn festgelegt werden, in denen bestimmte Module durchlaufen werden sollten. Die Schulungsmodule sollten um eine entsprechende Zeit- und Ressourcenplanung ergänzt und als Veranstaltung etabliert werden. Damit können die verantwortlichen Führungskräfte Informationssicherheitsschulungen für ihre Mitarbeiter planen.

7. Lernerfolgskontrolle

Bei Schulungsmaßnahmen zur Informationssicherheit muss sichergestellt werden, dass die geplanten Schulungsziele bei den Teilnehmern auch erreicht werden. Andernfalls sind entsprechende Korrekturmaßnahmen vorzusehen.

Eine Lernerfolgskontrolle sollte sowohl während der Schulung nach wichtigen Schulungsabschnitten ( z. B. durch gemeinsames Zusammenfassen und Fragen der Dozenten) als auch am Ende der Schulung und noch einmal nach einigen Wochen stattfinden (siehe dazu auch M 3.94 Messung und Auswertung des Lernerfolgs ).

Die Institution sollte einen aktuellen und vollständigen Überblick über die Sicherheitskenntnisse ihrer Mitarbeiter haben, beispielsweise über Schulungsnachweise oder Personenzertifikate.

8. Lernstoffsicherung und -aktualisierung

Einmal erworbenes Wissen sollte kontinuierlich aufgefrischt werden. Wie schnell und intensiv das geschehen muss, ist abhängig von der Dynamik des Themas und dem Grad der praktischen Umsetzung des erworbenen Wissens. So machen es neue Techniken, aber auch neue Bedrohungen, Schwachstellen und mögliche Abwehrmaßnahmen erforderlich, Informationssicherheitswissen ständig aufzufrischen und zu erweitern. Das Schulungsprogramm muss diese Tatsache durch regelmäßige Auffrischungs- und Ergänzungsveranstaltungen für Mitarbeiter berücksichtigen. Weiterhin ist es wichtig, das gesamte Programm regelmäßig zu aktualisieren und es nötigenfalls an neue Gegebenheiten anzupassen (siehe hierzu auch M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit sowie M 3.95 Lernstoffsicherung ).

Prüffragen:

  • Ist eine Zielgruppen- und Schulungsbedarfsanalyse für die Schulungsmaßnahmen zur Informationssicherheit durchgeführt worden?

  • Werden bei den Schulungsprogrammen zur Informationssicherheit alle Mitarbeiter der Institution entsprechend ihren Aufgaben und Kenntnisse berücksichtigt?

  • Werden die Inhalte der Schulungsmaßnahmen zur Informationssicherheit mit den sonstigen Schulungsmaßnahmen der Institution abgestimmt?

  • Werden die Schulungsprogramme zur Informationssicherheit regelmäßig aktualisiert?

Stand: 14. EL Stand 2014