Bundesamt für Sicherheit in der Informationstechnik

M 3.45 Planung von Schulungsinhalten zur Informationssicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Personalabteilung, Vorgesetzte

Ein Schulungsprogramm zur Informationssicherheit sollte den Mitarbeitern alle Informationen und Fähigkeiten vermitteln, die erforderlich sind, um in der Institution geltende Sicherheitsregelungen und -maßnahmen umsetzen zu können (siehe M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit ).

Nachdem die Ziele der Informationssicherheitsschulungen für die Institution festgelegt sowie relevante Zielgruppen und deren spezifischer Schulungsbedarf identifiziert wurden (siehe M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme ), müssen nun die konkreten Schulungsmodule und -inhalte geplant werden.

Hierzu sollten folgende Aspekte betrachtet werden:

  • In welcher Tiefe und mit welcher Methodik soll welche Zielgruppe geschult werden?
  • Welche Mitarbeiter gehören in welche Zielgruppe?
  • Welche Ressourcen sind für eine Zielgruppe erforderlich, z. B. Trainerkapazität, Räumlichkeiten, benötigte IT-Infrastruktur, Organisation etc. ?
  • Welche speziellen Arbeitsumgebungen mit ihren Anforderungen an die Informationssicherheit und welche zugeordneten Maßnahmen müssen berücksichtigt werden, z. B. Prozesse, Verfahren, Aufgaben und Rollen inklusive möglicher Veränderungen?

Im Folgenden werden beispielhaft eine Struktur und wichtige Inhalte von Schulungsmodulen vorgestellt, die entsprechend den dargestellten Aspekten noch rollen- und ressourcenbezogen aufbereitet werden müssen.

Die Module unterscheiden sich zunächst nur nach Themen. Jedes Modul kann fast immer in unterschiedlicher inhaltlicher Tiefe durchgeführt werden, abhängig davon, für welche Arbeitsumgebung oder welchen Abschnitt einer Mitarbeiterlaufbahn es bestimmt ist.

Die Schulungsinhalte sollten auf Basis der in Maßnahme M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit erarbeiteten Analyse festgelegt sowie regelmäßig überprüft und angepasst werden, um eine größtmögliche Wirksamkeit der Schulungsmaßnahmen zu erzielen. Zusätzlich sollten alle für den jeweiligen Informationsverbund relevanten Bausteine der IT-Grundschutz-Kataloge daraufhin überprüft werden, ob die erforderlichen Maßnahmen nicht nur angeordnet, sondern auch geschult wurden.

Ebenfalls exemplarisch wurden hier die Schulungsmodule den Zielgruppen zugeordnet. Dabei wird mit "X" gekennzeichnet, dass das jeweilige Modul für die entsprechende Rolle empfohlen wird. Mit einem "O" werden die optionalen Schulungsmodule gekennzeichnet, bei denen von Fall zu Fall entschieden werden sollte, ob die Inhalte für die entsprechende Rolle benötigt werden.

Schulungsmodule

Modul 1: Grundlagen der Informationssicherheit

Modul 2: Informationssicherheit am Arbeitsplatz

Modul 3: Gesetze und Regularien

Modul 4: Sicherheitskonzept der Organisation

Modul 5: Risikomanagement

Modul 6: Informationssicherheitsmanagement

Modul 7: IT-Systeme

Modul 8: Operativer Bereich

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Modul 10: Notfallvorsorge/Notfallplanung

Modul 11: Neue Entwicklungen im IT-Bereich

Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit

Modul 13: Infrastruktur-Sicherheit

Modul / Funktion 1 2 3 4 5 6 7 8 9 10 11 12 13
Vorgesetzte X X X X             O X  
Sicherheitsmanagement X X X X X X X X X X X X X
Datenschutzbeauftragter X X X X             X O  
Infrastrukturverantwortliche X X X X X O       X     X
Benutzer X X                      
Administratoren X X   X X   X X X X X   O

Tabelle: Vorgeschlagene Schulungsmodule je Funktion

In diesem Beispiel dienen die beiden Module 1 und 2 als Basisschulung für alle Mitarbeiter und sind eng mit Sensibilisierungsmaßnahmen abzustimmen (siehe M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit ). Alle anderen Module zeigen auf, welche Vertiefungsgebiete je nach Fachaufgabe außerdem vermittelt werden sollten.

Je nach Art der Institution wird es sinnvoll sein, weitere Zielgruppen und die zugehörigen Schulungsziele zu definieren (siehe M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme ). Wichtig ist, dass auch Mitarbeiter nicht vergessen werden, die in erster Linie nichts mit Informationstechnik zu tun haben, wie z. B. der Sicherheits- und Reinigungsdienst.

Modul 1: Grundlagen der Informationssicherheit

Institutionen sind stark von einer ausreichend verfügbaren und gegen Angriffe geschützten IT und Infrastruktur abhängig. Daher ist die wichtigste Aufgabe von Sensibilisierung und Schulung, den Mitarbeitern den Wert von Informationssicherheit für die Institution und entsprechende Grundlageninformationen zu vermitteln.

Unter anderem sollten in diesem Modul folgende Themen behandelt werden:

  • Motivation
    • Fallbeispiele aus der Praxis für Gefährdungen und Risiken
    • Auswirkungen von Angriffen, inklusive Social Engineering
  • Informationen als Werte einer Institution und ihr Schutzbedarf
  • Begriffserläuterungen:
    • Informationssicherheit
    • Vertraulichkeit, Integrität, Verfügbarkeit
    • Security, Safety, Datenschutz und ihre Abgrenzung zur Informationssicherheit
  • Informationssicherheit in der eigenen Institution
    • Aufgaben und Ziele der Institution
    • Sicherheitsanforderungen und Risiken in der Institution
    • Informationssicherheitsstrategie und -konzept der Institution im Überblick
    • Aufgaben und Verpflichtungen der einzelnen Mitarbeiter
  • Wesentliche Sicherheitsregeln für Mitarbeiter
    • Überblick über interne Sicherheitsregelungen
    • Umgang mit sensiblen Informationen (inklusive Passwörtern)
    • Nutzung von E-Mail und Internet
    • Schutz vor Schadprogrammen und Datensicherung
    • Umgang mit mobilen Endgeräten
    • Arbeiten in fremden oder öffentlichen Umgebungen

Modul 2: Informationssicherheit am Arbeitsplatz

Mitarbeiter können oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden. Das Modul zur Umsetzung von Informationssicherheit am Arbeitsplatz sollte unter anderem die folgenden Themenschwerpunkte umfassen:

  • Sensibilisierung von Mitarbeitern
  • Motivation typische Fehler von Anwendern zu vermeiden
    • leichtsinniger Umgang mit Passwörtern
    • Verzicht auf Verschlüsselung
    • mangelnder Schutz von Informationen
    • mangelndes Misstrauen
    • Laptop-Diebstahl
  • Vorbeugung gegen Social Engineering
  • Organisation und Sicherheit
    • Die Sicherheitsvorgaben der Institution und deren Bedeutung für den Arbeitsalltag
    • Verantwortlichkeiten und Meldewege in der Institution (mit persönlicher Vorstellung der IT-Sicherheitsbeauftragten)
  • Zutritts, Zugangs- und Zugriffsschutz
  • Bedeutung der Datensicherung und gegebenenfalls deren Durchführung
  • E-Mail- und Internet-Sicherheit
  • Schutz vor Schadprogrammen
  • Sicherheitsaspekte relevanter IT-Systeme und Anwendungen
  • Rechtliche Aspekte
  • Verhalten bei Sicherheitsvorfällen
    • Erkennung von Sicherheitsvorfällen
    • Meldewege und Ansprechpartner
    • Verhaltensregeln im Verdachtsfall

Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Schulungsmodul "Informationssicherheit am Arbeitsplatz" sollte stets den individuellen Gegebenheiten der Institution angepasst sein.

Modul 3: Anforderungen, Gesetze und Regularien

Dieses Schulungsmodul soll den rechtlichen Anforderungsrahmen, in dem Informationssicherheit innerhalb der Institution zu betrachten ist, für die Mitarbeiter umreißen.

Hierzu zählen Sicherheitsanforderungen, die sich ergeben können aus:

  • Verträgen ( z. B. mit Kunden, Lieferanten, Outsourcing-Partnern, Kreditgebern)
  • regulatorischen Anforderungen, einschlägigen Gesetzen, Vorschriften, Informationssicherheitsstandards und -richtlinien, etc.
  • sonstigen Anforderungen der Institution ( z. B. bewusste Marktdifferenzierung, Produktstrategie, Sicherheitsimage etc. )

Es ist wichtig, Mitarbeiter nicht nur auf die Einhaltung relevanter Anforderungen zu verpflichten, sondern ihnen diese auch nahe zu bringen sowie Hintergründe und Auswirkungen zu erläutern.

Relevante Anforderungen können je nach Branche und Land, in dem eine Institution tätig ist, sehr unterschiedlich sein. Eine wichtige Komponente stellen die Standards und Richtlinien zur Informationssicherheit und ihre konkrete Umsetzung in der Institution dar, da hier erfahrungsgemäß schon eine Reihe der übrigen Anforderungen verarbeitet wurde.

Beispielhafte Themen sind:

  • Datenschutz in der Institution
    • Rolle und Aufgabe des Datenschutzbeauftragten
    • Datenschutzgesetze
    • Organisationspflichten
    • Umgang mit personenbezogenen Daten durch Mitarbeiter, z. B. Zusammenhang mit Protokoll-Dateien
  • Arbeitsschutz
    • Rolle des Arbeitsschutzbeauftragten
    • Regelungen zu Bildschirmarbeitsplätzen
  • Rechtliche oder regulatorische Vorgaben mit Bezug zur Informationssicherheit, soweit sie für die Institution relevant sind, wie z. B. PCI DSS, Basel III, etc.
  • Gesetze und Normen zur technischen Infrastruktur
    • Brandschutz, Klimatisierung, Verkabelung, Blitzschutz, etc.
  • Juristische Haftungsrisiken und IT-Nutzung
    • Nutzung oder Angebot von TK- oder Internetdiensten
    • Haftung des Unternehmens nach außen (z. B. KonTraG, Schäden durch Schadsoftware)
    • Haftung bei der Privatnutzung von IT-Komponenten
    • Rechtsrahmen bei der Mitarbeiterüberwachung
  • Sonstige rechtliche Rahmenbedingungen
    • Ausfuhrbestimmungen für IT-Produkte, z. B. bei Verschlüsselung
    • digitale Signaturen und ihre rechtliche Stellung
    • Lizenz- und Urheberrecht für Software
  • Umgang mit Angriffen auf interne IT
    • Strafbarkeit im Bereich Hacking
    • Gesetzlich zulässige Abwehrmaßnahmen
    • Verfolgung von Hacker-Straftaten

Modul 4: Sicherheitskonzept der Institution

Dieses Schulungsmodul vertieft die im Modul 2 behandelten Themen. Darüber hinaus soll es die System- und Aufgabenverantwortlichen in die Lage versetzen, an der permanenten Anpassung des Sicherheitskonzeptes aufgrund technischer, organisatorischer oder rechtlicher Änderungen mitzuwirken.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • detaillierte Kenntnis der Anforderungen und Risiken, die als Basis für das Sicherheitskonzept dienen
  • spezifische Risiken und Sicherheitsmaßnahmen des Sicherheitskonzeptes aus den Bereichen Management, Organisation, Infrastruktur, IT-Betrieb und Mitarbeiter
  • Anpassung dieser Sicherheitsmaßnahmen an neue technische, organisatorische und rechtliche Gegebenheiten
  • Revision und Aufrechterhaltung des Sicherheitskonzeptes

Modul 5: Risikomanagement

Dieses Schulungsmodul zeigt Verantwortlichen, wie sie Risiken der Informationssicherheit systematisch analysieren, bewerten und behandeln können.

  • Definitionen und Beispiele zu den Begriffen: Gefährdung, Bedrohung, Schwachstelle, Risiko, Sicherheitsziel
  • Typische Gefährdungen und Bedrohungen:
    • Höhere Gewalt: Feuer, Wasser, Explosion, Sturm, Erdbeben, Blitzschlag, Streik, Demonstration, etc.
    • Organisatorische Mängel: fehlende oder unzureichende Regelungen, ungeeignete Rechtevergabe, unkontrollierter Einsatz von IT-Systemen, Umgang mit sensiblen Informationen / Datenträgern etc.
    • Menschliche Fehlhandlungen: Irrtum, Nachlässigkeit, Neugier, Unwissenheit, etc.
    • Technisches Versagen: Stromausfall, Ausfall der Klimaanlage, Überspannung, Ausfall von Schaltelementen oder Schaltkreisen, Störungen in der Mechanik oder Elektronik, etc.
    • Vorsätzliche Handlungen: Schadprogramme, Diebstahl, Sabotage, Spionage, Manipulation, Vandalismus, Hacking und Cracking inklusive Gegenüberstellung von Angreifertypen und Motivationen, z. B. bei Innentätern oder bei Angreifern von außen
  • Risikomanagement
    • Begriffe zum Risikomanagement: Risikoanalyse, -bewertung, -behandlung, -akzeptanz, Restrisiko
    • Erstellung einer Gefährdungsübersicht
    • Ermittlung zusätzlicher Gefährdungen
    • Gefährdungsbewertung
    • Identifizierung und Bewertung der Risiken
    • Risikobehandlung (Reduktion, Vermeidung, Übernahme, Transfer)
    • Umgang mit Restrisiken

Modul 6: Sicherheitsmanagement

Dieses Schulungsmodul zeigt wichtige Grundlagen dafür auf, wie Verantwortliche Informationssicherheit in der Institution umsetzen können. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Sicherheitsmanagement
    • Ziel und Aufgaben
    • Prozess (Informationssicherheitsmanagementsystem, ISMS) und Strategie (Leitlinie)
    • Bereitstellung von Ressourcen
    • Organisation und Verantwortlichkeiten
    • Standards wie ISO /IEC 2700x, IT-Grundschutz, ITIL , CobiT etc.
    • Durchführen von Reviews, Audits, Managementbewertungen
    • Planung und Umsetzung von Verbesserungsmaßnahmen
    • Einbindung der Mitarbeiter
  • Sicherheitskonzept
    • Ziele und Inhalte eines Sicherheitskonzeptes
    • Aufbau eines Sicherheitskonzeptes
    • Verpflichtung von Mitarbeitern, System- und Aufgabenverantwortlichen zur Umsetzung des Sicherheitskonzeptes
  • System- und anwendungsspezifische Sicherheitsrichtlinien
  • Berechtigungsmanagement
    • Berechtigungskonzepte, Gestaltung der Rechtevergabe
    • Zugriffsrechte auf Systemressourcen, Zuweisung und zeitliche Begrenzung
    • Authentisierung ( z. B. Stärken und Auswahl von Mechanismen)
    • Remote Zugriff ( z. B. bei Telearbeit)
  • Sensibilisierung und Training zur Informationssicherheit
    • Ausarbeitung passender Programme entsprechend den Rahmenbedingungen der Institution
  • Evaluierung und Zertifizierung im Bereich Informationssicherheit
    • Produkt-/System-Zertifizierung ( z. B. nach ITSEC, Common Criteria usw.)
    • Zertifizierung des Sicherheitsmanagements ( z. B. nach IT-Grundschutz)
    • Experten-Zertifikate ( z. B. TISP, CISA , CISSP , IT-Sicherheitskoordinator, Security+ usw. )
  • Spezielle Probleme in der Informationssicherheit
    • Kommunikation mit Management und Fachabteilung
    • Kosten- und Akzeptanzprobleme

Modul 7: IT-Systeme

Dieses Schulungsmodul beschreibt die Steuerungsinstrumente, die in den verschiedenen Phasen des Lebenszyklus von IT-Systemen gewährleisten, dass die Sicherheitsnormen eingehalten werden.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Sicherheitsmaßnahmen in den Lebenszyklus-Phasen
    • Planung
    • Beschaffung/Entwicklung
    • Test und Evaluierung
    • Implementierung bzw. Installation
    • produktiver Betrieb
    • Aussonderung
    • Notfallvorsorge
  • Sicherheitsplanung für den Systembetrieb
    • Feststellung des Einsatzzweckes und -nutzens eines bestimmten IT-Systems
    • Festlegung der Schutzmaßnahmen für dieses System
    • Bestimmung der für den Systembetrieb Verantwortlichen
    • Installation und Konfiguration der in jeder Phase des Lebenszyklus erforderlichen Sicherheitsmechanismen
  • Festlegung von Konfigurations-, Patch- und Änderungsmanagement in Abhängigkeit von den Sicherheitszielen
  • Festlegung der Freigabekriterien für den operativen Betrieb
  • Tests und Freigabe der Sicherheitsmechanismen

Modul 8: Operativer Bereich

Dieses Schulungsmodul beschreibt die Prozeduren und Maßnahmen, die operationelle Systeme und Anwendungen schützen sollen.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Infrastruktur-Maßnahmen
    • Zugangskontrollen, Werkschutz, Alarmanlagen, etc.
    • Haustechnik, Energie- und Wasserversorgung, etc.
    • Brandschutzeinrichtungen
    • Klimaanlagen
  • Organisatorische Maßnahmen
    • Dokumentation von Systemen und Konfigurationen, Applikationen, Software, Hardware-Bestand, etc.
    • Regelmäßige Kontrolle von Protokolldateien
    • Regelungen für die Datensicherung
    • Regelungen für den Datenträgeraustausch
    • Lizenzverwaltung und Versionskontrolle von Standardsoftware
  • Maßnahmen im Bereich Personal
    • Auswahl, Einarbeitung und Schulung von Mitarbeitern
    • Geregelte Verfahrensweise beim Weggang von Mitarbeitern
    • Funktionen und Verantwortlichkeiten
    • Funktionstrennung und funktionsbezogene Rechtevergabe
    • Vertretungsregelungen
    • Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen
  • Maßnahmen im Bereich Hardware und Software
    • Grundlagen Betriebssystem-Sicherheit
    • Sichere Konfiguration von Hardware und Software
    • Schutz vor Schadprogrammen
    • Nutzung der in der Hardware bzw. den Anwendungsprogrammen vorhandenen Sicherheitsfunktionen
    • Implementierung zusätzlicher Sicherheitsfunktionen
    • Rechteverwaltung
    • Protokollierung
  • Maßnahmen im Bereich Kommunikation
    • Sichere Konfiguration von TK-Anlagen und Netzdiensten
    • E-Mail- und Internet-Sicherheit
    • Absicherung externer Remote-Zugriffe
    • Virtual Private Networks (VPN)
    • Sichere Nutzung mobiler IT-Systeme und drahtloser Kommunikation
    • Information über Sicherheitslücken ( z. B. über CERT s) und Umgang mit Sicherheitsvorfällen

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Dieses Schulungsmodul vermittelt Kenntnisse über die Möglichkeiten der technischen Realisierung der in den Modulen 6 bis 8 abstrakt beschriebenen Steuerungs- und Kontrollinstrumente.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Basiswissen Kryptographie
    • Problemabgrenzung Vertraulichkeit, Integrität, Authentizität
    • Grundbegriffe wie Klartext, Chiffrat, Schlüssel
    • Symmetrische, asymmetrische und hybride Verschlüsselung
    • Public Key Infrastrukturen
    • Digitale Signaturen
    • Aufzählung "guter" und "schlechter" bekannter Algorithmen
  • Identifizierung und Authentikation, z. B.
    • Begriffsdefinition (Wissen, Besitz, Eigenschaft)
    • Authentisierung durch Wissen: Passwörter, Einmal-Passwörter, Challenge-Response-Verfahren, digitale Signaturen
    • Authentisierung durch Besitz: Token, Chipkarten, z. B.
    • Biometrische Verfahren: Fingerabdruckerkennung, Handvenenerkennung, Iriserkennung, Gesichtserkennung, z. B.
    • Single Sign-On
    • Berechtigungsmanagement
  • Protokollierung und Monitoring, z. B.
    • Technische Möglichkeiten des "Transaction Logging"
    • Intrusion Detection, Response und Prevention Systeme (IDS, IRS, IPS): Unterschiede zwischen aktiven und passiven Systemen
    • Zwangsprotokollierung aller Administratoraktivitäten
    • Datenschutzaspekte
  • Überblick über Administrationswerkzeuge
    • Werkzeuge, mit denen Sicherheitsvorgaben realisiert und kontrolliert werden können
    • Zusatzprodukte zur Ergänzung bzw. Verbesserung der Sicherheitsfunktionen von Betriebssystemen ("gehärtete Betriebssysteme")
    • Netzmanagement-Software
    • Remote-Management-Software
  • Firewalls (Sicherheitsgateways)
    • Internet-Technik (OSI-Modell, TCP / IP )
    • Realisierungsformen (statische Paketfilter, Stateful Inspection, Application Level Gateways)
    • Content Security
    • Hochverfügbare Firewalls
  • Schutz der Vertraulichkeit: Kryptografische Verfahren und Produkte, Zugriffsschutz z. B. durch Festplattenverschlüsselung, Kryptografie auf den verschiedenen Schichten des OSI-Modells
    • Protokolle für Schicht 1 und 2 ( ISDN -Verschlüsselung, ECP und CHAP , WLAN , Bluetooth )
    • Protokolle für Schicht 3 IPSec , IKE, SINA )
    • Protokolle für Schicht 4 und höher SSL , TLS , S/MIME )
  • Schutz der Verfügbarkeit
    • Organisatorische Maßnahmen zur Erhöhung der Verfügbarkeit SLA s, Change Management, Vermeidung von SPOF)
    • Datensicherung, Datenwiederherstellung
    • Speichertechnologien
    • Netzkonfigurationen zur Erhöhung der Verfügbarkeit
    • Infrastrukturelle Maßnahmen zur Erhöhung der Verfügbarkeit
    • Verfügbarkeit auf der Client, Server und Anwendungsebene (Server-Standby, Failover)
    • Methoden zur Replikation von Daten
    • Wiederanlauf- und Geschäftsfortführungsmaßnahmen
  • Technische Möglichkeiten zum Schutz von TK-Anlagen
    • Schutz vor Abhören
    • Schutz der Datenleitungen z. B. durch alarmüberwachte und plombierte Leitungsschächte, gesicherte Verteiler (Knoten), Verschlüsselung der Nachrichten, etc.
    • Sicherung von Wartungs-, Fernwartungs-, und Administratorenzugängen
    • Protokollierung jedes Systemzugangs, Löschungsschutz der Protokolldateien
  • Erkennen von Schwachstellen des eigenen Systems mittels Penetrationstests
  • Hacker-Methoden, Web-Seiten-Hacking, Schutz vor: Sniffer, Scanner, Password Cracker, etc.

Modul 10: Notfallmanagement

Dieses Schulungsmodul soll die Grundlagen zur Etablierung und Aufrechterhaltung eines Notfallmanagements in der Institution vermitteln. Thematisch stellt es einen Aufbaukurs zum Modul 5 "Risikomanagement" dar. Die Schulungsinhalte können gemäß der Struktur des BSI-Standards 100-4 aufgebaut werden.

Folgende Inhalte sollten vorgesehen und entsprechend den Inhalten des BSI-Standards 100-4 weiter detailliert werden:

  • Einführung: Ziel, Aufgaben, Begriffe, Abgrenzung von Business Continuity und IT Service Continuity, Standards
  • Der Prozess im Überblick
  • Initiierung des Prozesses
  • Konzeption
  • Umsetzung des Notfallvorsorgekonzepts
  • Notfallbewältigung und Krisenmanagement
  • Tests und Übungen

Modul 11: Neue Entwicklungen im IT-Bereich

Dieses Schulungsmodul soll IT-Systembetreiber über Innovationen auf ihrem Gebiet informieren. Um stets auf dem aktuellen Stand zu sein, sollte dieses Seminar in regelmäßigen Abständen von etwa zwei Jahren wieder besucht werden. Alternativ können der angesprochenen Zielgruppe auch die Ressourcen bereitgestellt werden, um sich aus verfügbaren Informationsquellen entsprechend selbstständig zu informieren.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Hardware-Architekturen, Schnittstellen, Bussysteme, Peripherie
  • Speicher-/Archivierungstechnologien und -systeme
  • Hochverfügbarkeitslösungen
  • Client- / Server-Betriebssysteme
  • Software-Architekturen
  • Terminal Server, N-Tier, Host versus Client/Server
  • Datenbanken
  • Cloud Computing
  • Mobile Computing
  • Data Warehouse, SharePoint, etc.
  • Netztechnologie
  • Informationssicherheit, insbesondere neue Bedrohungen und Schwachstellen zu allen angesprochenen Themen

Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit

Dieses Schulungsmodul ist speziell für das Management und Entscheidungsträger gedacht, um Informationssicherheit übergreifend in die Planung der Institution zu integrieren.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Betriebswirtschaftliche Vorteile der Informationssicherheit
    • Risikominimierung
    • Beschleunigung der Bearbeitung
    • Reduzierung des Aufwands
    • Umsatzerhöhung
    • Erschließen neuer Geschäftsfelder
    • sonstiger Nutzen
  • Kalkulation der Investitionen für Informationssicherheit
    • Erstellung einer Kostenübersicht
    • Abgrenzung gegenüber Betriebs- und Fortschreibungskosten
    • Verdeckte Kosten
  • Investitionsrechnung in der Informationssicherheit
    • Investitionsrechnung
    • Argumentation gegenüber dem Management
  • Verzahnung von Sicherheitsmaßnahmen im Unternehmen
    • Berücksichtigung der Geschäftsprozesse und der Geschäftsvorfälle bei den Sicherheitsmaßnahmen
    • Einfluss- und Verantwortungsbereiche, typische Stolpersteine
    • Informationssicherheit bei der IT-Beschaffung und in IT-Projekten
  • Erfolgsfaktoren der Informationssicherheit
    • Wie gelingt ein Projekt zur Informationssicherheit?
    • Klärung der Erwartungshaltung
    • Konzeption von Sicherheitslösungen
    • Erstellen eines Konzepts
    • Gliedern in Teilprojekte
    • Umsetzen der Teilprojekte
    • Modul- und Funktionstests
    • Akzeptanz- und Integrationstests
    • Inbetriebnahme
  • Häufige Fehler bei der Umsetzung von Informationssicherheit
    • Fehler bei der Projektleitung
    • andere typische Fehler

Modul 13: Infrastruktursicherheit

Dieses Modul befasst sich mit dem Schutz der Informationstechnik mit Hilfe von baulichen und technischen Maßnahmen. Wichtige Punkte dabei sind unter anderem:

  • Objektschutz
    • Absicherung des Standortes: Umgebung, Umfriedung, Freilandschutz, Nachbarschaftsgefahren, Zonenbildung
    • Bautechnik: Einbruchschutz, Brandschutz, Schutz gegen Wasser, etc.
    • Technische Überwachung
    • Geräteschutz
  • Zutrittskontrolle
    • Pförtnerdienst
    • Verschluss von Räumen
    • Technische Zutrittskontrolle
  • Stromversorgung
    • Überspannungsschutz
    • Unterbrechungsfreie Stromversorgung
    • Trassen / Verkabelung
  • Brandschutz
  • Klimatechnik

Prüffragen:

  • Ist gewährleistet, dass alle Mitarbeiter entsprechend ihren Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden?

  • Werden die Schulungsinhalte zur Informationssicherheit regelmäßig auf Aktualität überprüft und bei geändertem Schulungsbedarf angepasst?

  • Sind die Schulungsinhalte zur Informationssicherheit entsprechend den existierenden Zielgruppen, Aufgaben und Verantwortlichkeiten der Mitarbeiter strukturiert und geplant?

Stand: 14. EL Stand 2014