Bundesamt für Sicherheit in der Informationstechnik

M 3.48 Auswahl von Trainern oder externen Schulungsanbietern

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Personalabteilung

Die Verantwortlichen für Sensibilisierungs- und Schulungsprogramme müssen klären, ob und in welchem Umfang sie eigene Mitarbeiter oder externe Anbieter als Trainer einsetzen wollen. Außerdem muss die Form der Ausbildung festgelegt werden.

Wenn eigene Mitarbeiter als Trainer eingesetzt werden sollen, müssen diese das benötigte Fachwissen haben und dazu fähig sein, dieses Wissen auch zielgruppengerecht zu vermitteln. Neben den erforderlichen Informationssicherheitskenntnissen müssen die Trainer über ausgeprägte didaktische und kommunikative Fähigkeiten verfügen. Speziell für Sensibilisierungsmaßnahmen sind außerdem ausreichende Kenntnisse über die Institution, deren Sicherheitskultur sowie die Geschäftsprozesse der Zielumgebung erforderlich. Wichtig ist auch, dass Trainer die Sprache ihres jeweiligen Zielpublikums beherrschen, also die zu schulenden Informationssicherheitsaspekte in die jeweiligen Arbeits- und Projektzusammenhänge stellen können. Interne Trainer müssen die erforderliche Zeit bekommen, um Sensibilisierungs- und Schulungsmaßnahmen nicht nur durchführen, sondern auch vorbereiten und auswerten zu können.

Aus Kosten- oder Qualifikationsgründen kann es zumindest zu Beginn vorteilhafter sein, die Schulung durch externe Fachkräfte durchführen zu lassen. Dann ist zu klären, welche finanziellen Ressourcen dafür verfügbar sind. Die externen Trainer sollten sorgfältig anhand der oben genannten Kriterien ausgewählt und auf ihre Aufgabe vorbereitet werden. Insbesondere müssen ihnen die erforderlichen institutionsinternen Hintergründe vermittelt werden.

Auch bei externer Durchführung von Sensibilisierungs- oder Schulungsmaßnahmen sind interne Ressourcen erforderlich. Es muss ein verantwortlicher Schulungskoordinator benannt werden, der

  • qualifizierte Schulungsanbieter auswählt,
  • Lerninhalte und -methoden vorgibt sowie den Trainern erforderliche Informationen zur Verfügung stellt,
  • die interne Schulungsplanung, -vorbereitung und -durchführung koordiniert,
  • die Kommunikationsschnittstelle zwischen Trainern und eigenen Mitarbeitern bildet,
  • die Teilnehmerbewertungen analysiert und geeignete Verbesserungsmaßnahmen festlegt, gegebenenfalls zusammen mit den Trainern.

Die Schulungskoordination kann der IT-Sicherheitsbeauftragte oder auch ein Mitarbeiter aus der Personalabteilung übernehmen. Der IT-Sicherheitsbeauftragte und die Personalabteilung müssen hierbei auf jeden Fall eng zusammenarbeiten.

Erfahrungsgemäß gibt es eine Reihe von externen Anbietern, die geeignete Sensibilisierungs- oder Schulungsmaßnahmen in einer Form anbieten, die den Bedürfnissen der Institution entsprechen oder die mit vertretbarem Aufwand angepasst werden können.

Bei Sensibilisierungs- oder Schulungsmaßnahmen, die in mehreren Zyklen eine größere Zahl von Mitarbeitern erreichen sollen, bietet es sich an, über ein "Train the Trainer"-Konzept nachzudenken. Hierbei werden die initialen Maßnahmen entweder von geeigneten internen Mitarbeitern oder externen Trainern mit dem Ziel durchgeführt, dass die Teilnehmer dieser Maßnahmen später selbst eine Trainerrolle übernehmen. Dies kann für diese Mitarbeiter einen sehr positiven Effekt auf ihre eigene Sensibilisierung und Motivation für Informationssicherheit haben. Darüber hinaus können sie ihre eigenen Erfahrungen in die Trainingsmaßnahmen einbringen. Gerade bei Trainingsthemen, die Aspekte der Kultur und bestimmter Verhaltensweisen innerhalb der Institution beinhalten, kann ein interner Trainer aufgrund seiner tieferen Kenntnis interner Prozesse und Bekanntheit bei den Teilnehmern die Akzeptanz und den Lernerfolg des Trainings erhöhen. Sofern das "Train the Trainer"-Konzept eingesetzt werden soll, müssen die initialen Maßnahmen neben den vorgesehenen Fachinhalten auch Anleitungen zur methodisch-didaktischen Lernstoffvermittlung beinhalten.

Prüffragen:

  • Wurden für Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit geeignete Trainer ausgewählt?

  • Wurde ein Schulungskoordinator ernannt?

  • Sind die Angebote verschiedener Schulungsanbieter daraufhin verglichen worden, welche inhaltlich, qualitativ und preislich am besten geeignet sind?

  • Werden die durchgeführten Sensibilisierungs- oder Schulungsmaßnahmen von den Teilnehmern bewertet und diese Erfahrungen regelmäßig intern ausgewertet?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK