Bundesamt für Sicherheit in der Informationstechnik

M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

Wird für eine Institution ein Sensibilisierungs- und Schulungsprogramm erstellt, sind im Konzept die jeweiligen Zielgruppen zu definieren (siehe auch M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit ). Dazu sollte eine detaillierte Zielgruppenanalyse durchgeführt werden, sodass Maßnahmen auf spezielle Anforderungen und unterschiedliche Hintergründe fokussiert werden können.

Es können beispielsweise Mitarbeiter mit vergleichbaren fachlichen Hintergründen, Kenntnissen oder Aufgaben zu einer Zielgruppe zusammengeführt werden. Ein praktikabler Ansatz ist auch die Zielgruppen aus den organisatorischen Einheiten abzuleiten. In der Regel kann hier davon ausgegangen werden, dass Mitarbeiter mit vergleichbarer Technik und ähnlichen Vorgaben arbeiten.

Ein weiteres Kriterium sind Ereignisse, die innerhalb einer Mitarbeiterlaufbahn eintreten. Hierzu zählen z. B. Neueinstellung, Aufgaben- oder Abteilungswechsel, Standortwechsel, Technikwechsel, Änderungen in der bestehenden Organisation oder der Weggang aus der Institution.

Beispiele möglicher Zielgruppen und deren Merkmale:

Managementebene

Die Mitglieder der Managementebene haben eine Vorbildfunktion für die Mitarbeiter. Allerdings haben sie auch oft wenig Zeit, sodass die Sensibilisierung- und Schulungsmaßnahmen strukturiert und prägnant sein müssen.

Mitarbeiter

Das Verhalten dieser Zielgruppe im Arbeitsalltag hat die stärksten direkten Auswirkungen auf die Informationssicherheit innerhalb der Institution. Hier ist zu berücksichtigen, dass der Wissensstand innerhalb der Zielgruppe sehr unterschiedlich sein kann. Beispielsweise haben Software-Entwickler eine andere IT-Ausstattung und andere Aufgaben und Kenntnisse als Mitarbeiter der Personalverwaltung. Die beiden Gruppen benötigen daher unterschiedliche Schulungsinhalte zum Thema Informationssicherheit.

Administratoren

Administratoren und Support-Mitarbeiter müssen tief gehende Fachkenntnisse der von ihnen betreuten IT-Systeme und Anwendungen haben, sodass sie auch in der Lage sind, Sicherheitsprobleme zu erkennen und zu beheben sowie diesen vorzubeugen.

Personalabteilung

Mitarbeiter dieser Abteilung haben einen hohen Informationsbedarf über Datenschutzanforderungen.

Externe Projektmitarbeiter

In vielen Fällen haben auch Externe, die eng mit oder sogar in der Institution tätig sind, Zugriff auf interne Informationen, Anwendungen oder Systeme. Diese Zielgruppe muss die Informationssicherheitsziele und -regeln der Institution ebenso unterstützen und darauf verpflichtet werden wie interne Mitarbeiter. Dies erfordert entsprechende Schulungsmaßnahmen, z. B. in Form von Einweisungen mit dokumentierter Kenntnisnahme. Diese Maßnahmen sollte die externe Institution entsprechend den mit der eigenen Institution vereinbarten Anforderungen durchführen.

Neueinstellungen

Diese Zielgruppe hatte bisher keine Berührung mit der organisationsinternen Informationssicherheit.

Prüffragen:

  • Ist der Bedarf an Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zielgruppenorientiert bestimmt?

Stand: 14. EL Stand 2014