Zielgruppenspezifisches E-Learning im Rahmen von Schulungs- … · JUSTUS-LIEBIG-UNIVERSITÄT...

JUSTUS-LIEBIG-UNIVERSITÄT GIESSEN

PROFESSUR BWL – WIRTSCHAFTSINFORMATIK

UNIV.-PROF. DR. AXEL C. SCHWICKERT

Hertel, Sven; Schulze, Kristin; Odermatt, Sven; Schwickert,

Axel C.

Zielgruppenspezifisches E-Learning im

Rahmen von Schulungs- und Sensibilisie-

rungsmaßnahmen zur IT Sicherheit

ARBEITSPAPIERE WIRTSCHAFTSINFORMATIK

Nr. 1 / 2010

ISSN 1613-6667

Arbeitspapiere WI Nr. 1 / 2010

Autoren: Hertel, Sven; Schulze, Kristin; Odermatt, Sven; Schwickert, Axel C.

Titel: Zielgruppenspezifisches E-Learning im Rahmen von Schulungs-

und Sensibilisierungsmaßnahmen zur IT Sicherheit

Zitation: Hertel, Sven; Schulze, Kristin; Odermatt, Sven; Schwickert, Axel C.:

Zielgruppenspezifisches E-Learning im Rahmen von Schulungs-

und Sensibilisierungsmaßnahmen zur IT Sicherheit, in: Arbeitspa-

piere WI, Nr. 1/2010, Hrsg.: Professur BWL – Wirtschaftsinformatik,

Justus-Liebig-Universität Gießen 2010, 117 Seiten, ISSN 1613-6667.

Kurzfassung: Die weitläufige elektronische Nutzung von Informations- und Kom-

munikationssystemen (IKS) zur Unterstützung von Geschäftspro-

zessen innerhalb eines Unternehmens eröffnet eine Verbesserung

der Wettbewerbsfähigkeit, die Erschließung neuer Märkte sowie ein

flexibleres und schnelleres Reagieren auf diverse Anforderungen in

einem dynamischen Umfeld. Den Steigerungen der Geschäftspro-

zesseffizienz, -transparenz und -kontrolle, stehen jedoch immer

komplexere IKS gegenüber, begleitet von einem immanenten Ri-

siko: Massive wirtschaftliche Schäden in Folge der (selbst induzier-

ten) Abhängigkeit von störungsfreien IKS. Die Wahrung der IT-Si-

cherheit im Lichte von sich permanent ändernden Schadensszena-

rien ist somit von überragender Bedeutung für die Erreichung der

Unternehmensziele. Dabei ist im Rahmen der Analyse bzw. Hand-

habung von IT-Risiken aus Sicht der Unternehmen eine Fokusver-

schiebung weg von technischen Aspekten hin zu menschlichen

Faktoren zu beobachten. Die Bedeutung dieser personenzentrier-

ten Maßnahmen reflektieren neuere internationale Standards, die

die Sensibilisierung und Schulung von Mitarbeitern, Vertragspart-

nern und Dritten als integralen Bestandteil zur Etablierung eines ef-

fektiven und effizienten Sicherheitsmanagements benennen. Ziel

dieser Arbeit ist es daher, einen Beitrag zur Entwicklung eines all-

gemeinen, unternehmensunabhängigen Vorgehensmodells im Be-

reich E-Learning zur IT-Sicherheit zu leisten, nach dem Schulungs-

und Sensibilisierungsmaßnahmen konzipiert, implementiert und

evaluiert werden können.

Schlüsselwörter: Zielgruppenspezifisches E-Learning, IT-Sicherheit, Schulungs- und

Sensibilisierungsmaßnahmen, Informations- und Kommunikations-

systeme, IKS, IT-Risiken, Sicherheitsmanagement, Sicherheitskul-

tur, Lernebenen, Formen der Lehrvermittlung, Web-Based-Trai-

nings, WBT

Inhaltsverzeichnis I

Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010

Inhaltsverzeichnis Seite

Inhaltsverzeichnis ...................................................................................................... I

Abbildungsverzeichnis ........................................................................................... III

Tabellenverzeichnis ................................................................................................ IV

Abkürzungsverzeichnis ............................................................................................ V

1 Einleitung ................................................................................................................ 1

1.1 Motivation, Problemstellung und Ziele ............................................................ 1

1.2 Gang der Arbeit ................................................................................................ 3

2 Aufbau einer IT-Sicherheitskultur ....................................................................... 5

2.1 Grundlagen und Definitionen ........................................................................... 5

2.1.1 IT-Sicherheit ........................................................................................ 5

2.1.2 IT-Sicherheitsmanagement .................................................................. 7

2.1.3 IT-Sicherheitskultur ............................................................................. 9

2.2 Konzeption und Implementierung der IT-Sicherheitskultur .......................... 13

2.2.1 Das PDCA-Modell ............................................................................. 13

2.2.1.1 Plan .................................................................................... 14

2.2.1.2 Do ...................................................................................... 16

2.2.1.3 Check ................................................................................. 20

2.2.1.4 Act...................................................................................... 20

2.2.2 IT-Sicherheitskultur als Wettbewerbsfaktor ...................................... 21

3 Lernebenen und Formen der Lehrvermittlung ................................................. 24

3.1 Überblick ........................................................................................................ 24

3.2 Das Learning-Kontinuum ............................................................................... 25

3.2.1 Sensibilisierung .................................................................................. 25

3.2.2 Schulung ............................................................................................. 28

3.2.3 Ausbildung ......................................................................................... 29

3.3 Formen der Lehrvermittlung .......................................................................... 29

3.3.1 Die Präsenzveranstaltung als traditioneller Ansatz ............................ 29

3.3.2 E-Learning .......................................................................................... 30

3.3.3 Blended Learning ............................................................................... 32

4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern ................... 34

4.1 Zur Eignung von Standard-Vorgehensmodellen in komplexen Lernfeldern . 34

4.2 Konzeptionelle Vorarbeiten ............................................................................ 35

4.2.1 Zielgruppenanalyse ............................................................................ 35

4.2.2 Strukturierung der Lerninhalte in einer Lernzielhierarchie ............... 37

Inhaltsverzeichnis II


4.2.3 Unternehmensunabhängige Zielgruppenanalyse und komplexe

Lernfelder ........................................................................................... 39

4.3 Lernpsychologischer Ansatz .......................................................................... 42

4.3.1 Wahl der Lehrstrategie ....................................................................... 42

4.3.2 Aufgabenkonstruktion und Lernerfolgskontrolle ............................... 43

4.4 Medienrealisation ........................................................................................... 44

4.5 Visuelles Konzept ........................................................................................... 46

4.6 Das Learning Management System als organisatorischer Rahmen ............... 49

5 IT-Sicherheit als komplexes Lernfeld ................................................................. 50

5.1 Zur Komplexität des Lernfelds „IT-Sicherheit“ ............................................. 50

5.2 Zielgruppen..................................................................................................... 51

5.2.1 Anforderungen an Zielgruppen .......................................................... 51

5.2.2 IT-orientiertes Rollenverständnis ....................................................... 52

5.2.3 Management-orientiertes Rollenverständnis ...................................... 55

5.2.4 Auswahl relevanter Zielgruppen ........................................................ 57

5.3 Lernmodule..................................................................................................... 59

5.3.1 Anforderungen an Lernmodule .......................................................... 59

5.3.2 IT-orientierte Lernmodule .................................................................. 59

5.3.3 Management-orientierte Lernmodule ................................................. 61

5.3.4 Auswahl relevanter Lernmodule ........................................................ 62

5.4 Zwischenfazit: Ableitung des „Learning-Cube“ ............................................ 64

6 Prototypische Konzeption von WBTs zur IT-Sicherheit .................................. 66

6.1 Fallbeispiel ABC AG ..................................................................................... 66

6.1.1 Das Unternehmen ............................................................................... 66

6.1.2 Auswahl relevanter WBTs für die ABC AG ...................................... 67

6.2 Konzeption und Umsetzung der WBTs .......................................................... 68

6.2.1 Ableitung der Lernzielhierarchien ..................................................... 68

6.2.1.1 Lernzielhierarchie für alle Zielgruppen ............................. 69

6.2.1.2 Lernzielhierarchie für Mitarbeiter ..................................... 70

6.2.1.3 Lernzielhierarchie für das Management ............................ 72

6.2.2 Lernpsychologischer Ansatz .............................................................. 73

6.2.3 Visuelles Konzept .............................................................................. 75

6.2.4 Medienrealisation ............................................................................... 77

6.2.5 Technische Realisation ....................................................................... 80

7 Zusammenfassung und Ausblick ........................................................................ 81

Anhang ................................................................................................................... VI

Literaturverzeichnis .......................................................................................... XXVI

Abbildungsverzeichnis III


Abbildungsverzeichnis

Seite

Abb. 1: Gang der Arbeit ................................................................................................. 4

Abb. 2: Die duale Sicht der IT-Sicherheit ...................................................................... 6

Abb. 3: Die drei Ebenen der Organisationskultur ........................................................ 10

Abb. 4: Der Kreislauf des PDCA-Modells ................................................................... 14

Abb. 5: Maßnahmenkatalog der IT-Sicherheitskultur .................................................. 17

Abb. 6: Die angepasste Wertkette von Porter............................................................... 22

Abb. 7: Das Learning-Kontinuum ................................................................................ 25

Abb. 8: Die Phasen einer Sensibilisierungs-Kampagne ............................................... 27

Abb. 9: Der Einsatz von Blended Learning im Rahmen einer Sensibilisierungs-

Kampagne ........................................................................................................ 33

Abb. 10: Standard-Vorgehensmodell zur Konzeption eines WBTs ............................... 35

Abb. 11: Auszug einer Mind Map zum Thema „Sensibilisierung der Mitarbeiter“ ....... 38

Abb. 12: Angepasstes Vorgehensmodell für komplexe Lernfelder im

unternehmensunabhängigen Kontext .............................................................. 41

Abb. 13: Der Learning-Cube zum Thema „IT-Sicherheit“ ............................................ 65

Abb. 14: Zielgruppen-spezifisches E-Learning durch Profile ........................................ 73

Abb. 15: Visuelles Konzept der realisierten WBTs ....................................................... 75

Abb. 16: Corporate Design der ABC AG im WBT ........................................................ 77

Abb. 17: Poster einer Sensibilisierungs-Kampagne für die ABC AG ............................ 79

Abb. 18: Mind Map Modul 1 nach IT-Grundschutz-Kataloge des BSI ...................... XVI

Abb. 19: Mind Map Modul 2 nach IT-Grundschutz-Kataloge des BSI ..................... XVII

Abb. 20: Mind Map Modul 3 nach IT-Grundschutz-Kataloge des BSI .................... XVIII

Abb. 21: Flyer Seite 1 der Sensibilisierungs-Kampagne ............................................ XXV

Abb. 22: Flyer Seite 2 der Sensibilisierungs-Kampagne ............................................ XXV

Tabellenverzeichnis IV


Tabellenverzeichnis

Seite

Tab. 1: Prinzipien der IT-Sicherheitskultur nach OECD ............................................. 12

Tab. 2: Methoden und Ansatzpunkte für die Analyse der IT-Sicherheitskultur .......... 16

Tab. 3: Rollen nach NIST 800-16 ................................................................................ 54

Tab. 4: Vergleich der identifizierten Zielgruppen ....................................................... 58

Tab. 5: IT-Security Training Matrix ............................................................................ 61

Tab. 6: Lernmodule nach IT-Grundschutz-Kataloge ................................................... 62

Tab. 7: Lernmodule des NIST und der IT-Grundschutz-Kataloge im Vergleich ........ 63

Tab. 9: Lernzielhierarchie 1 „Grundlagen der IT-Sicherheit“ ..................................... 69

Tab. 10: Lernzielhierarchie 2 „IT-Sicherheit am Arbeitsplatz“..................................... 71

Tab. 11: Lernzielhierarchie 3 „Gesetze und Regularien“ .............................................. 72

Tab. 12: Anwendungen zur Produktion von WBTs ...................................................... 81

Tab. 13: Fragenkatalog zur Erhebung der IT-Sicherheitskultur .................................. VIII

Tab. 14: Mitglieder von Rollen nach NIST 800-12 ....................................................... IX

Tab. 15: Rollenverständnis der IT-Grundschutz-Kataloge ......................................... XIV

Tab. 16: Trainingsmatrix des NIST für den User ....................................................... XIV

Tab. 17: Trainingsmatrix des NIST für den Chief Information Officer ....................... XV

Tab. 18: IT-Sicherheitsrichtlinie für den Finanzsektor ............................................ XXIV

Abkürzungsverzeichnis V


Abkürzungsverzeichnis

BDSG ............... Bundesdatenschutzgesetz

BSI .................... Bundesamt für Sicherheit in der Informationstechnik

CBT .................. Computer Based Training

COBIT .............. Control Objectives for Information and Related Technology

ENISA .............. European Network and Information Security Agency

IEC .................... International Electrotechnical Commission

IKS .................... Informations- und Kommunikationssysteme

ISF .................... International Security Forum

ISMS ................. Information Security Management System

ISO .................... International Organization for Standardization

ITGI .................. IT Governance Institute

KMU ................. Kleine und mittelständische Unternehmen

KonTraG ........... Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

LMS .................. Learning Management System

NIST ................. National Institute of Standards and Technology

OECD ............... Organisation for Economic Co-Operation and Development

PR ..................... Public Relations

SOX .................. Sarbanes-Oxley-Act

WBT ................. Web Based Training

1 Einleitung 1


1 Einleitung

1.1 Motivation, Problemstellung und Ziele

Die weitläufige elektronische Nutzung von Informations- und Kommunikationssystemen

(IKS) zur Unterstützung von Geschäftsprozessen innerhalb eines Unternehmens, als auch

die somit ermöglichte Kollaboration mit Kunden oder angebundenen Unternehmen,1 er-

öffnet eine Verbesserung der Wettbewerbsfähigkeit, die Erschließung neuer Märkte,

sowie ein flexibleres und schnelleres Reagieren auf diverse Anforderungen in einem dy-

namischen Umfeld.2

Den Steigerungen in punkto Effizienz, Transparenz und Kontrolle der Geschäftsprozesse

stehen jedoch immer komplexere IKS gegenüber, begleitet von einem immanenten

Risiko: Massive wirtschaftliche Schäden in Folge der (selbst induzierten) Abhängigkeit

von störungsfreien IKS. Die Wahrung der IT-Sicherheit im Lichte von sich permanent

ändernden Schadensszenarien ist somit von überragender Bedeutung für die Erreichung

der Unternehmensziele. Die Gesetzgeber forcieren diese Erkenntnis mit entsprechenden

Veröffentlichungen wie dem Gesetz zur Kontrolle und Transparenz im Unternehmens-

bereich (KonTraG) oder dem Sarbanes-Oxley-Act (SOX).3

Dabei ist im Rahmen der Analyse bzw. Handhabung von IT-Risiken aus Sicht der Un-

ternehmen eine Fokusverschiebung weg von technischen Aspekten hin zu menschlichen

Faktoren zu beobachten. Bei einer Umfrage zur IT-Sicherheit von Ernst & Young im Jahr

2003 benannten 83 % aller Befragten die Technologie als die am höchsten budgetierte

Maßnahme zur IT-Sicherheit.4 Ein Jahr später hatte sich aber die Erkenntnis durchgesetzt,

dass modernste Technologien nicht greifen, wenn die Mitarbeiter nicht konsequent für

den Umgang mit der IT-Sicherheit sensibilisiert und geschult werden.5 Dies gilt sowohl

im unternehmensinternen Kontext, als auch unternehmensübergreifend für alle am Ge-

schäftsprozess beteiligten Personen.6 Als größte Bedrohung für eine „sichere“ IT wird

1 Laut Statistischem Bundesamt nutzen 84% aller deutschen Unternehmen Computer in ihrem

Geschäftsablauf, 43% setzen E-Business ein. Vgl. Statistisches Bundesamt (Hrsg.):

Informationstechnologie in Unternehmen und Haushalten 2005, Online im Internet:

http://www.destatis.de/download/d/veroe/Pressebroschuere_IKT2005.pdf, 12.08.2007, S. 6.

2 Vgl. Kompetenzzentrum Electronic Commerce Bonn/Rhein-Sieg (Hrsg.): Ganzheitliche Sicherheit

für elektronisch gestützte Geschäftsprozesse - Eine Praxishilfe für kleine und mittlere Unternehmen

(KMU), Bonn, Rhein-Sieg: 2003, S. 1.

3 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2004, EYG No. FF0231, 2004,

S. 9.

4 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2003, EYG No. FF0224, 2003,

S. 8.

5 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2004, a. a. O., S. 19.

6 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2006, EYG No. AU0022, 2006,

S. 20.

1 Einleitung 2


konsequenterweise ein beabsichtigtes oder auch unbeabsichtigtes menschliches Fehl-

verhalten angesehen. Die in den Medien viel beschriebenen Trojaner und Würmer ran-

gieren nur auf Platz zwei der gefürchtetsten Bedrohungen für die IT-Sicherheit.7

Die Bedeutung dieser personenzentrierten Maßnahmen reflektieren neuere internationale

Standards,8 die die Sensibilisierung und Schulung von Mitarbeitern, Vertragspartnern

und Dritten als integralen Bestandteil zur Etablierung eines effektiven und effizienten

Sicherheitsmanagements benennen.9

Die unternehmerische Praxis zeigt Probleme bei der konkreten Ergreifung von Gegen-

maßnahmen. Mangelnde Rückendeckung durch das Management10, nicht ausreichende

Budgets, Fehlverhalten der Mitarbeiter trotz Schulung und fehlendes Know-how11 bilden

nur einige der Hindernisse auf dem Weg zu einer unternehmensweiten IT-Sicherheits-

kultur.

Die Anforderungen bzw. Voraussetzungen zur Planung und Umsetzung einer Sensibili-

sierungs- und Schulungskampagne zur IT-Sicherheit sind vielfältig. E-Learning als eine

mögliche Methode erfordert bspw. eine genaue Analyse der typischerweise heterogenen

Zielgruppen. Ebenso differenziert und flexibel zeigt sich die Gestaltung der Lerninhalte,

deren Vermittlung messbar und kontrollierbar sein soll.

Ziel dieser Arbeit ist es daher, einen Beitrag zur Entwicklung eines allgemeinen, unter-

nehmensunabhängigen Vorgehensmodells im Bereich E-Learning zur IT-Sicherheit zu

leisten, nach dem Schulungs- und Sensibilisierungsmaßnahmen konzipiert, implementiert

und evaluiert werden können. Hierzu werden in einem ersten Schritt Mitarbeiterrollen

identifiziert, beschrieben und abgegrenzt, um sie im Anschluss zu Zielgruppen zusammen

zu fassen. Im zweiten Schritt werden Lernmodule verschiedener Standards, Richtlinien

7 Vgl. o. V.: <kes> Microsoft Sicherheitsstudie - Lagebericht zur Informations-Sicherheit

(Sonderdruck für Microsoft), in: <kes> Die Zeitschrift für Informations-Sicherheit, Sonderdruck für

Microsoft 2006, S. 3.

8 Vgl. OECD (Hrsg.): OECD Guidelines for the Security of Information Systems and Networks:

Towards a Culture of Security, Online im Internet: http://webdomino1.oecd.org/COMNET/

STI/IccpSecu.nsf?OpenDatabase, 12.08.2007, S. 10.

9 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC 27001:2005, Information

Technology – Security techniques – Information security management systems – Requirements,

Online im Internet (kostenpflichtig): www.iso.org, 24.07.2007, S. 6 und S. 9 und International

Organization for Standardization (Hrsg.): ISO/IEC 17799:2005, Information Technology – Security

techniques – Code of practice for information security management, Online im Internet

(kostenpflichtig): www.iso.org, 24.07.2007, S. 25 f.

10 Vgl. Capgemini (Hrsg.): Studie IT-Trends 2005 – Paradigmenwechsel in Sicht, Online im Internet:

http://www.de.capgemini.com/m/de/tl/IT-Trends_2005.pdf, 12.08.2007, S. 11.

11 Vgl. Silicon.de (Hrsg.): IT-Sicherheit 2005 - Ringen mit dem steigenden Aufwand - Auszüge aus

der aktuellen silicon.de-Studie IT-Sicherheit 2005, Online im Internet: http://www.sicherheits

forum-bw.de/x_loads/siliconDEStudie_IT_Sicherheit2005.pdf, 12.08.2007, S. 10.

1 Einleitung 3


und Best Practices mit dem Ziel gegenüber gestellt, eine unternehmensunabhängige Aus-

wahl zu treffen.

Die hierauf aufbauende prototypische Realisierung von Schulungs- und Sensibilisie-

rungsmaßnahmen zur IT-Sicherheit bei einem modellhaften mittelständischen Finanz-

dienstleister wird die Angemessenheit und Wirksamkeit des Vorgehensmodells in der

Realität validieren.

1.2 Gang der Arbeit

Die Sensibilisierung und Schulung von Mitarbeitern für die IT-Sicherheit ist eine wich-

tige Maßnahme auf dem Weg zur Etablierung einer IT-Sicherheitskultur. In diesem Zu-

sammenhang werden im folgenden Kapitel 2 zunächst grundlegende Begriffe erläutert.

Hierauf aufbauend dient die Hervorhebung des menschlichen/personellen Aspekts des

IT-Sicherheitsmanagements durch die Etablierung einer IT-Sicherheitskultur als fach-

lich-inhaltliche Abgrenzung dieser Arbeit. Ein mögliches Vorgehensmodell zur Imple-

mentierung einer IT-Sicherheitskultur ist das PDCA-Modell, das mit einem geschlosse-

nen Handlungssystem vorgestellt wird. Besonderer Wert wird hierbei insbesondere auf

kritische Erfolgsfaktoren für eine Sensibilisierungs-Kampagne gelegt, die u. a. die Er-

stellung einer IT-Sicherheitsrichtlinie und die Konzeption eines „Learning-Kontinuums“

im Sinne des zielgruppen-spezifischen Lernens vorsehen.

Kapitel 3 stellt dieses Learning-Kontinuum als ein Modell vor, das die verschiedenen

Ebenen „Sensibilisierung, Schulung und Ausbildung“ systematisiert. Die anschließende

Untersuchung verschiedener Medien zur Lerninhaltsvermittlung auf Eignung für das

Learning-Kontinuum mündet in der Auswahl von E-Learning als eine geeignete Methode

zur Unterstützung aller Lernstufen. Das Vorgehen zur spezifischen Konzeption von Web

Based Trainings (WBTs) veranschaulicht Kapitel 4. Dort wird ein Standard-Vor-

gehensmodell speziell an die Anforderungen von Schulungs- und Sensibilisierungs-

maßnahmen zur IT-Sicherheit als komplexes Lernfeld angepasst.

Kapitel 5 kombiniert dieses Vorgehensmodell mit dem Learning-Kontinuum. Ausgehend

von existierenden Standards werden zunächst Mitarbeiterrollen identifiziert, beschrieben

und abgegrenzt. Eine Zusammenfassung der Rollen in Zielgruppen dient der Komplexi-

tätsreduktion. Der zweite Schritt beginnt mit der Erläuterung potentieller Lernmodule aus

relevanten Standards, Richtlinien und Best Practices und endet in der Auswahl

potentieller Lernmodule. Ergebnis ist ein dreidimensionales Modell, das als Grundlage

für die praktische, unternehmensindividuelle Auswahl von WBTs zur IT-Sicherheit im

konkreten Anwendungsfall dient. In Kapitel 6 folgt die Dokumentation der proto-

typischen Realisierung. Dabei wird die inhaltliche Umsetzung beschrieben, sowie auf die

1 Einleitung 4


Auswahl der verwendeten Medien und die technische Umsetzung der WBTs einge-

gangen. Kapitel 7 fasst die wichtigsten Aussagen der Arbeit zusammen und gibt einen

Ausblick.

Die folgende Grafik veranschaulicht die grundlegenden Zusammenhänge und Inhalte der

einzelnen Kapitel.

Abb. 1: Gang der Arbeit

Demnach bilden die drei Abschnitte 2, 3 und 4 die theoretischen Säulen, deren Inhalte im

praktischen Teil dieser Arbeit (Abschnitte 5 und 6; in der Abb. 1 blau hinterlegt) Be-

rücksichtigung finden werden.

1. Einleitung

Motivation, Problemstellung und Ziele der Arbeit

Gang der Arbeit

1. Einleitung


Gang der Arbeit

7. Zusammenfassung und Ausblick7. Zusammenfassung und Ausblick

2. Aufbau einer

IT-Sicherheitskultur

Aspekte einer


und deren

Implementierung

anhand des PDCA-

Modells

2. Aufbau einer


Aspekte einer


und deren

Implementierung

anhand des PDCA-

Modells

5. IT-Sicherheit als komplexes

Lernfeld

Identifizierung, Beschreibung und

Abgrenzung von Rollen

Erläuterung der Lernmodule

6. Prototypische Realisierung

Konzeption und Implementierung

von WBTs bei einem konkreten

Finanzdienstleister

3. Learning-

Kontinuum und

Lehrformen

Blended Learning als

geeigneter Ansatz zur

Unterstützung des

Learning-Kontinuums

3. Learning-

Kontinuum und

Lehrformen



Unterstützung des

Learning-Kontinuums

4. E-Learning in

komplexen

Lernfeldern

Allgemeines

Vorgehen bei der

Konzeption und

Umsetzung von

WBTs; Anpassung an

komplexe Lernfelder

4. E-Learning in

komplexen

Lernfeldern

Allgemeines

Vorgehen bei der

Konzeption und

Umsetzung von

WBTs; Anpassung an

komplexe Lernfelder

1. Einleitung


Gang der Arbeit

1. Einleitung


Gang der Arbeit

7. Zusammenfassung und Ausblick7. Zusammenfassung und Ausblick

2. Aufbau einer


Aspekte einer


und deren

Implementierung

anhand des PDCA-

Modells

2. Aufbau einer


Aspekte einer


und deren

Implementierung

anhand des PDCA-

Modells

5. IT-Sicherheit als komplexes

Lernfeld

Identifizierung, Beschreibung und

Abgrenzung von Rollen

Erläuterung der Lernmodule

6. Prototypische Realisierung

Konzeption und Implementierung

von WBTs bei einem konkreten

Finanzdienstleister

3. Learning-

Kontinuum und

Lehrformen



Unterstützung des

Learning-Kontinuums

3. Learning-

Kontinuum und

Lehrformen



Unterstützung des

Learning-Kontinuums

4. E-Learning in

komplexen

Lernfeldern

Allgemeines

Vorgehen bei der

Konzeption und

Umsetzung von

WBTs; Anpassung an

komplexe Lernfelder

4. E-Learning in

komplexen

Lernfeldern

Allgemeines

Vorgehen bei der

Konzeption und

Umsetzung von

WBTs; Anpassung an

komplexe Lernfelder

2 Aufbau einer IT-Sicherheitskultur 5


2 Aufbau einer IT-Sicherheitskultur

2.1 Grundlagen und Definitionen

2.1.1 IT-Sicherheit

Der Begriff „IT-Sicherheit“ hat seit seiner erstmaligen Verwendung vielerlei Definitio-

nen erfahren. Allein die Abkürzung „IT“ wird in der Literatur unterschiedlich mit „In-

formationstechnik“, „Informations- und Kommunikationstechnik“ und „Informations-

und Telekommunikationstechnik“ gedeutet.12 Die “International Organization for Stan-

dardization (ISO)” definiert den weiter gefassten Begriff „Informationssicherheit“ als

„[...]the preservation of confidentiality, integrity and availability of information; in

addition, other properties, such as authenticity, accountability, non-repudiation, and

reliability can also be involved.”13

Diese Definition veranschaulicht, dass der Begriff der Informationssicherheit mehrere

Dimensionen umfasst und flexibel erweitert werden kann.14 Da in der deutschsprachigen

Literatur der teilweise synonym verwendete Begriff „IT-Sicherheit“ gebräuchlicher ist,

wird dieser auch in der vorliegenden Arbeit verwendet. Eine Systematisierung dieser

Dimensionen erfolgt durch Dierstein mit dem dualen Konzept der IT-Sicherheit.15

Die Zweiteilung trägt dem Umstand Rechnung, dass IKS sozio-technische Systeme sind,

die aus Mensch und Maschine bestehen. Abb. 2 verdeutlicht, dass sich diese Sichten

gegenseitig ergänzen und somit zueinander komplementär sind.

12 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard 100-1

Managementsysteme für Informationssicherheit - Version 1.0, Online im Internet:

http://www.bsi.de/literat/bsi_standard/standard_1001.pdf, 12.08.2007, S. 8.

13 International Organization for Standardization (Hrsg.): ISO/IEC 17799:2005, Information

Technology – Security techniques – Code of practice for information security management, a. a. O.,

S. 1.

14 Vgl. Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit, in:

Informatik Spektrum, Band 27, Heft 4, S. 352.

15 Vgl. Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit, a. a. O.,

S. 346.



Abb. 2: Die duale Sicht der IT-Sicherheit16

Der Verlässlichkeit der Technik stehen drei Grundbedrohungen gegenüber, aus denen

Dierstein die ersten drei Dimensionen der IT-Sicherheit ableitet:17

Unbefugter Informationsgewinn: Beeinträchtigung oder Verlust der Vertraulich-

keit von Ergebnissen oder Funktionen (liegt bspw. vor, wenn ein Notebook mit

vertraulichen Daten gestohlen wurde, die nicht verschlüsselt sind);

Unbefugte Modifikation: Beeinträchtigung oder Verlust der Integrität von Ergeb-

nissen oder Funktionen (liegt bspw. vor, wenn sich ein Hacker Zugriff zu ver-

traulichen Daten des Unternehmens verschafft und diese ändert);

Unbefugte Veränderung der Verfügbarkeit: Beeinträchtigung oder Verlust der

Verfügbarkeit des Funktionsablaufs oder der Ergebnisse (liegt bspw. vor, wenn

IKS auf Grund eines Virenbefalls ihren Dienst verweigern).

Die Verlässlichkeit aus dem dualen Konzept der IT-Sicherheit korreliert dabei mit den

drei Grundwerten der IT-Sicherheit des BSI,18 dessen Werk zum IT-Grundschutz auch

international Beachtung findet.19

Die Nutzung des Internets für elektronischen Datenaustausch, Bankverkehr und Handel

bedingt die zweite Sicht der IT-Sicherheit. Die Abwicklung von Rechtsgeschäften über

das Internet verlangt nach einer Methode zur eindeutigen Authentifikation der Nutzer.

16 Eigene Darstellung in Anlehnung an Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der

Begriff IT-Sicherheit, a. a. O., S. 346.

17 Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit, a. a. O.,

S. 347.


Managementsysteme für Informationssicherheit - Version 1.0, a. a. O., S. 8.

19 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand

2006, Online im Internet: http://www.bsi.bund.de/gshb/deutsch/download/it-grundschutz-

kataloge_2006_de.pdf, 12.08.2007, S. 13.

Technische Sicht:

Verlässlichkeit

(dependability)

• Zurechenbarkeit

• Revisionsfähigkeit

• Vertraulichkeit

• Verfügbarkeit

• Integrität

Menschliche Sicht:

Beherrschbarkeit

(controllability)

Die duale Sicht der IT-Sicherheit

Technische Sicht:

Verlässlichkeit

(dependability)

• Zurechenbarkeit

• Revisionsfähigkeit

• Vertraulichkeit

• Verfügbarkeit

• Integrität

Menschliche Sicht:

Beherrschbarkeit

(controllability)

Die duale Sicht der IT-Sicherheit



Nur so können durchgeführte Transaktionen einem konkreten Nutzer zugeordnet werden

(Zurechenbarkeit) und mit Hilfe Dritter überprüft und durchgesetzt werden (Revisi-

onsfähigkeit). In dieser Sicht der IT-Sicherheit steht nicht mehr das System im Vorder-

grund, sondern der Mensch, der vor diesem geschützt werden soll.20

Die vorgenannten Dimensionen sind konstituierend für den Begriff „IT-Sicherheit“ und

stellen zudem dessen übergreifende Ziele dar. Ergänzende Elemente können zusätzlich

aufgenommen werden,21 wie die zitierte Definition der International Organization for

Standardardization beispielhaft veranschaulicht.

Für die Erreichung der Ziele der IT-Sicherheit ist das IT-Sicherheitsmanagement zu-

ständig, dessen Aufgaben im Spannungsfeld von Technik, Organisation und Mensch im

folgenden Abschnitt dargestellt werden.

2.1.2 IT-Sicherheitsmanagement

ISO/IEC TR 13335-1 definiert IT-Sicherheitsmanagement analog zur Definition der

IT-Sicherheit wie folgt:

„IT security management is a process used to achieve and maintain appropriate levels of

confidentiality, integrity, availability, accountability, authenticity and reliability.”22

IT-Sicherheitsmanagement ist also ein kontinuierlicher Prozess, dessen Strategien und

Konzepte fortwährend auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und

bei Bedarf anzupassen sind.23 Wesentliche Schritte dieses Prozesses sind der Aufbau

einer IT-Sicherheitsorganisation, die Etablierung einer IT-Sicherheitsrichtlinie, die

Identifizierung und Bewertung von IT-Risiken (Risikomanagement) sowie die Ergrei-

fung von geeigneten Maßnahmen zur Abwehr dieser Risiken.24 Der Prozess ist als Zyklus

anzusetzen, da die betrachteten Risiken und Maßnahmen einer dynamischen Umwelt

ständigen Änderungen unterliegen. Von Solms identifiziert in diesem Zusammenhang


S. 349.


S. 352.

22 International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-1:1996(E) – Information

Technology – Guidelines for the management of IT Security – Part 1: Concepts and models for IT

Security, Online im Internet (kostenpflichtig): www.iso.org, 24.07.2007, S. 3.


IT-Grundschutz-Vorgehensweise - Version 1.0, Online im Internet: http://www.bsi.de/literat/bsi_

standard/standard_1002.pdf, 12.08.2007, S. 8.

24 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-1:1996(E) –

Information Technology – Guidelines for the management of IT Security – Part 1: Concepts and

models for IT Security, a. a. O., S. 3 und Bundesamt für Sicherheit in der Informationstechnik, BSI

Standard 100-2 IT-Grundschutz-Vorgehensweise - Version 1.0, a. a. O., S. 10.



drei „Wellen“ des IT-Sicherheitsmanagements, die analog zur Entwicklung des Begriffs

der IT-Sicherheit am Ende auch den Menschen ins Zentrum der Betrachtung rücken.25

Die erste Welle in den frühen achtziger Jahren konzentrierte Sicherheitsmaßnahmen auf

der technischen Ebene. Vor dem Hintergrund einer monolithischen Mainframe-Organi-

sation in den Unternehmen sind Zugangskontrollen oder die Vergabe von User-IDs und

Passwörtern typische Maßnahmen zur Sicherung der IT-Sicherheit gewesen.26 Menschen

als Benutzer der IT-Systeme wurden primär als „Feinde des Systems“ verstanden.

Die zweite Welle ist entstanden, nachdem zusehends erkannt wurde, dass Informati-

onstechnik neue Absatzwege schafft (z. B. E-Business) und die Ressource „Information“

einen zentralen Wettbewerbsfaktor darstellt (Verbreitung des Internet). Ein reibungsloses

Funktionieren der IT-Sicherheit ist somit kritisch für den Geschäftsfortgang geworden –

und IT-Sicherheit hielt Einzug in die Büros des Top-Managements. IT-Sicherheitsricht-

linien als Formulierung einer Sicherheitsstrategie und regelmäßige Berichterstattungen

zur Umsetzung dieser durch neue Organisationsstrukturen sind sichtbare Merkmale der

Managementwelle.

Die fortschreitende Vernetzung der Unternehmen untereinander führte schließlich zur

dritten, „institutionellen“ Welle. Jede Institution ist nur so sicher wie das schwächste

Glied in der Kette. Best Practices und Standardisierungen, inklusive der Option zur

Zertifizierung, ermöglichen die öffentliche Demonstration der eigenen IT-Sicherheit. Die

Einführung von Metriken zur IT-Sicherheit offeriert zudem eine weitere Möglichkeit zum

Benchmarking mit vergleichbaren Unternehmen einer Branche. Kapitel 2.1.2 diskutiert

diesen Aspekt des IT-Sicherheitsmanagements ausführlich.

Parallel zur Entwicklung der technischen und organisatorischen Dimension rückte der

Mensch zunehmend ins Zentrum der Betrachtung. Die Unternehmen mussten einsehen:

Kostspielige technische Lösungen alleine können nicht flexibel auf neuartige Bedro-

hungen reagieren. Ebenso funktioniert eine gut eingerichtete Sicherheitsorganisation

inklusive IT-Sicherheitsrichtlinie nicht, wenn diese „am Mitarbeiter vorbei geregelt“

wurde.27 Überprüfungen zeigen bspw., dass Mitarbeiter trotz besseren Wissens keine

starken Passwörter wählen. Diese psychologischen Faktoren wurden in einer Studie

untersucht, die eine „sachliche Verschließung“ gegenüber formalen Sicherheitsstandards

feststellt.28

25 Vgl. von Solms, Basie: Information Security – The Third Wave, in: Computers & Security, 19/2000,

S. 615.

26 Vgl. von Solms, Basie: Information Security – The Third Wave, a. a. O., S. 615.

27 Vgl. von Solms, Basie: Information Security – The Third Wave, a. a. O., S. 618.

28 Vgl. o. V.: Entsicherung am Arbeitsplatz, in <kes> Die Zeitschrift für Informations-Sicherheit,

6/2006, S. 61.



Fazit: Technik, Organisation und Mensch stehen zueinander in einem Spannungsver-

hältnis. Jede Dimension für sich kann IT-Sicherheit nicht angemessen sicherstellen,

zusammen bedürfen sie einer integrierenden Regelung, die das effiziente Zusammenspiel

aller Faktoren unterstützen kann.29 Einen großen Beitrag hierzu leistet die IT-Sicher-

heitskultur. Der folgende Abschnitt wird darlegen, dass eine IT-Sicherheitskultur durch

die gezielte Beeinflussung unbewusster Verhaltensweisen eines jeden Mitarbeiters koor-

dinierend und kontrollierend tätig sein kann.

2.1.3 IT-Sicherheitskultur

Die IT-Sicherheitskultur ist eine Subkultur der Organisationskultur (Unternehmenskul-

tur).30 Die Verwandtschaft beider Begriffe erlaubt die Verwendung einer einheitlichen

Definition. Demnach ist die Organisationskultur/IT-Sicherheitskultur definiert als

„[…]die Gesamtheit der tradierten, wandelbaren, zeitbedingten und (teilweise) beein-

flussbaren kollektiven Werte, Normen und Wissensbestände in einer Unternehmung,

welche mit emotionalem Engagement gehalten werden und sich in vielfältigen Artefakten

äussern, und die das Verhalten der Betriebsangehörigen und damit letztlich das Be-

triebsgeschehen (Erfolg) sowie das Erscheinungsbild nach aussen beeinflussen.“31

Die Definition lässt erahnen, dass das Konzept der IT-Sicherheitskultur Ansatzpunkte zur

Beeinflussung der Mitglieder einer Organisation bereithält. Hier kann das zielgruppen-

spezifische E-Learning mit der Sensibilisierung und Schulung von Mitarbeitern ansetzen,

um letztlich deren Verhalten oder Einstellungen im Alltag zu verändern. Jedoch erlaubt

die abstrakte Definition keine direkte Ableitung von Regeln zur Konzeption von

Sensibilisierungs-Kampagnen oder Schulungen.

Schein liefert ein Modell zur Operationalisierung der Organisationskultur, das, übertra-

gen auf die IT-Sicherheitskultur, konkrete Ansatzpunkte für die Planung und Implemen-

tierung von Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit aufzeigt,

indem die zu beeinflussenden Ebenen sichtbar gemacht werden. Abb. 3 zeigt die Syste-

matisierung der Organisationskultur nach Schein in drei Schichten:

29 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und

Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, Fribourg: iimt

University Press: 2006, S. 33.


Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 43.

31 Rühli, E.: Unternehmungskultur – Konzepte und Methoden, in: Rühli, E.; Keller, A. (Hrsg.):

Kulturmangement in schweizerischen Industrieunternehmungen, Bern, Stuttgart: Paul Haupt Verlag

1991, S. 15.



Abb. 3: Die drei Ebenen der Organisationskultur32

Jede Organisation basiert auf impliziten Basis-Annahmen, die meist unbewusst von ihren

Mitgliedern gelebt werden. Sie schwingen bei vielen Entscheidungen im alltäglichen

Leben mit, ohne dass dies sichtbar wäre. Zur Verbreitung und Konkretisierung dieser

Annahmen werden Normen und Standards geschrieben, die gerade Neueinsteigern die

Anpassung an die Organisationskultur vereinfachen. Diese sind für alle Mitglieder ein-

sehbar. Nicht formulierte Ideologien oder Maximen hingegen sind nicht immer

festgeschrieben und sichtbar. Die Anwendung dieser geteilten Basis-Annahmen ma-

nifestiert sich in der Sprache der Organisationsmitglieder oder anderen sichtbaren Sym-

bolen der Organisation. Werden diese Symbole von außen betrachtet, so sind sie nicht

immer eindeutig und bedürfen der Interpretation. Ein strikter Business-Dress-Code bspw.

steht in der Unternehmung A für Professionalität und Qualität der Arbeit, denen die

Annahme zugrunde liegt, dass die Mitarbeiter dieses Unternehmens gründlich arbeiten.

Dies bedeutet jedoch nicht, dass der legerere Kleidungsstil des Unternehmens B für

mangelnde Gründlichkeit steht. Diesem können wiederum andere Annahmen zugrunde

liegen, die konstituierend für diese Unternehmenskultur sind.33

32 In Anlehnung an Schein, Edgar H.: Coming to a New Awareness of Organizational Culture, in: Sloan

Management Review, 25. Jg., 2/1984, S. 4.

33 Vgl. Schein, Edgar H.: Coming to a New Awareness of Organizational Culture, a. a. O., S. 3 f.

Basis- AnnahmenUnsichtbar,

meist unbewusstUmweltbezug

Wahrheit

Wesen des Menschen

Wesen menschlicher Handlungen

Wesen menschlicher Beziehungen

Normen und StandardsTeils sichtbar,

teils unbewusstMaximen, „Ideologien“,

Verhaltensrichtlinien, Verbote

SymbolsystemeSichtbar, aber

interpretationsbedürftigSprache, Rituale, Kleidung,

Umgangsformen

Basis- AnnahmenUnsichtbar,

meist unbewusstUmweltbezug

Wahrheit

Wesen des Menschen

Wesen menschlicher Handlungen

Wesen menschlicher Beziehungen

Normen und StandardsTeils sichtbar,

teils unbewusstMaximen, „Ideologien“,

Verhaltensrichtlinien, Verbote

SymbolsystemeSichtbar, aber

interpretationsbedürftigSprache, Rituale, Kleidung,

Umgangsformen



Zur Bildung einer IT-Sicherheitskultur bedarf es daher (von der Unternehmensführung

gewollter) Basis-Annahmen, die in den Köpfen der Mitarbeiter verankert werden sol-

len.34 Diese werden in einer IT-Sicherheitsrichtlinie niedergeschrieben und durch den

Vorstand verabschiedet. Sie erlangen somit Verbindlichkeit für alle Mitarbeiter. Die

„Organisation for Economic Co-Operation and Development (OECD)” veröffentlichte

einen Leitfaden mit neun konstituierenden Prinzipien einer IT-Sicherheitskultur, die in

Tab. 1 zusammenfassend dargestellt werden.

Prinzip Hauptaussage

1 Sensibilisierung

(awareness)

Allen Anwendern müssen die möglichen Sicherheitsrisiken

und die grundsätzlichen Schwachstellen sowie die Mög-

lichkeiten der Verbesserung der Sicherheit bewusst ge-

macht werden.

2 Verantwortlichkeit

(responsibility)

Anwender tragen die Verantwortung für die Sicherheit ihrer

Informationssysteme und können für die davon ausgehen-

den Gefahren haftbar sein.

3 Reaktion

(response)

Alle Beteiligten sollen rechtzeitig und kooperativ Schwach-

stellen und Sicherheitsverletzungen vorbeugen und ent-

deckte Schwachstellen unverzüglich beheben und veröf-

fentlichen.

4 Ethik

(ethics)

Die berechtigten Interessen anderer Anwender müssen

respektiert werden.

5 Demokratie

(democracy)

Sicherheitsmaßnahmen dürfen die Werte demokratischer

Gesellschaften nicht verletzen.

6 Risikomanagement

(risk assessment)

Anwender sind zur Risikobewertung und zum Risikomana-

gement verpflichtet.

7 Konzeption und

Implementierung

(security design and

implementation)

Anwender und Hersteller müssen Informationssicherheit

als grundlegendes Element der Informations- und Kom-

munikationssysteme verstehen.

8 Sicherheitsmanagement

(security management)

Die Teilnehmer müssen ein angemessenes Informations-

sicherheitsmanagement betreiben.





Prinzip Hauptaussage

9 Ständige Überprüfung

(reassessment)

Alle Beteiligten müssen die Sicherheit der Systeme ständig

überprüfen und den aktuellen Erfordernissen anpassen.

Tab. 1: Prinzipien der IT-Sicherheitskultur nach OECD35

Die ersten drei Prinzipien „Sensibilisierung“, „Verantwortlichkeit“ und „Reaktion“ (siehe

Tab. 1) betreffen jeden Mitarbeiter in alltäglichen Situationen und eignen sich daher

besonders für eine durchgängige Adressierung. Aus ihnen kann folgendes Wertesystem

abgeleitet werden:36

Fragende Grundhaltung

Gründliches und vorsichtiges Vorgehen

Eigenverantwortung

Kommunikation

Aufgabe der Schulungs- und Sensibilisierungsmaßnahmen ist die Vermittlung dieses

Wertesystems als Resultat eines Lernprozesses im Umgang mit der externen und internen

Umwelt. Ziel ist die Bildung einer „starken“ IT-Sicherheitskultur.37

Ist eine Kultur stark ausgeprägt, bedarf die Organisation nur einer geringen formalen

Regelungsdichte. Dieser entscheidende Vorteil resultiert aus den geteilten Normen und

Werten, die automatisch zu einer schnellen Entscheidungsfindung und –umsetzung durch

die Mitarbeiter führen. Motivation und Teamgeist werden durch gemeinsame Leit-

gedanken gestärkt, indem die Mitarbeiter gegenseitig durch die einheitliche Anwendung

von gewissen Verhaltensmustern bestätigt werden.38 Dies birgt wesentliche Erleich-

terungen für die Kontrolle eines sicherheitskonformen Verhaltens der Mitarbeiter durch

die Implementierung einer IT-Sicherheitskultur. Die flächendeckende Überprüfung der

Einhaltung von Sicherheitsstandards ist eine nicht zu bewältigende Aufgabe, die auch

rechtliche Einschränkungen erfährt. So können z. B. private Telefongespräche nicht

abgehört werden, um herauszufinden, ob sensitive Informationen weiter gegeben werden.

Ist das Bewusstsein für das eigenverantwortliche Handeln bei dem Mitarbeiter jedoch

stark genug ausgeprägt, wird er von sich aus keine vertraulichen Informationen weiter-

35 Vgl. OECD (Hrsg.): OECD Guidelines for the Security of Information Systems and Networks:

Towards a Culture of Security, a. a. O., S. 10 f.



37 Vgl. Schreyögg, Georg: Organisationskultur, in: Frese, Erich (Hrsg.): Handwörterbuch der

Organisation, 3. völlig neu gestaltete Auflage, Stuttgart: Schäffer-Poeschel 1992, S. 1526.

38 Vgl. Mayrhofer, Wolfgang; Meyer, Michael: Organisationskultur, in: Schreyögg, Georg; v. Werder,

Axel (Hrsg.): Handwörterbuch Unternehmensführung und Organisation, 4. völlig neu überarbeitete

Auflage, Stuttgart: Schäffer-Poeschel 2004, S. 1029.



leiten. Der „sachlichen Verschließung“ gegenüber Sicherheitsstandards wird mit Sensi-

bilisierungsmaßnahmen auf menschlicher Ebene entgegengewirkt. Die bildliche

Darstellung von Viren kann durch Emotionalisierung der IT-Sicherheit den Willen zum

Schutz (= Verantwortung übernehmen) wecken. Bezogen auf die Benutzung von Pass-

wörtern würde dies bspw. bedeuten, dass ein sicheres Passwort dann unwirksam wird,

wenn der Mitarbeiter dem Social Engineering erliegt. Ein sensibilisierter Arbeiter aber

würde sein Passwort nicht an Dritte weitergeben. Kontrollen in den durch die Kultur

geregelten Bereichen können somit reduziert werden.

Fazit: Die IT-Sicherheitskultur leistet einen Beitrag zur Koordination von Organisation,

Mensch und Technik. Sensibilisierungsmaßnahmen schulen das Auge des IT-Benutzers,

der Sicherheitsvorfälle einschätzen lernt und diese an die zuständige Stelle berichtet.

Schulungen und eine fundierte Ausbildung vermitteln Administratoren das nötige Wis-

sen, um IT-Systeme vor sich permanent ändernden Schadensszenarien zu schützen.

Unterstützt werden diese Maßnahmen von einer angemessenen Sicherheitsorganisation.

Ergebnis soll eine gelebte IT-Sicherheitskultur sein, die in den Alltag eines jeden Mitar-

beiters eingebunden ist. Die Sicherheitsstrategie findet in der IT-Sicherheitskultur einen

guten Nährboden für ihre Umsetzung und die kongruente Ausrichtung des Handlungs-

systems.39

2.2 Konzeption und Implementierung der IT-Sicherheitskultur

2.2.1 Das PDCA-Modell

Der Name des PDCA-Modells ist aus den englischen Phasen des Lebenszyklus-Modells

nach Deming abgeleitet: Plan – Do – Check – Act. Dieses ist prinzipiell auf alle Prozesse

innerhalb des IT-Sicherheitsmanagements anwendbar. Es verdeutlicht, dass die prak-

tische Umsetzung von IT-Sicherheit ein kontinuierlicher Prozess ist, der auch mit dem

temporären Erreichen eines akzeptierten Sicherheitsniveaus nicht abgeschlossen ist.40

Abb. 4 zeigt den Management-Prozess im Sinne eines Kreislaufs, der die Aufrecht-

erhaltung und kontinuierliche Anpassung der IT-Sicherheit zum Ziel hat.41

39 Vgl. Schreyögg, Georg: Organisationskultur, a. a. O., S. 1526.







Abb. 4: Der Kreislauf des PDCA-Modells42

ISO/IEC 27001 beschreibt die Anwendung des PDCA-Modells bezogen auf die Etablie-

rung eines „Information Security Management Systems (ISMS)“. Hierzu zählt ISO/IEC

17799 verschiedene Arbeitsschritte auf, die bei der Umsetzung zu beachten sind. Dabei

wird, auch unter direktem Bezug zu den Prinzipien einer IT-Sicherheitskultur nach

OECD,43 explizit die Einführung eines Schulungs- und Sensibilisierungsprogramms als

Bestandteil der Implementierung eines ISMS genannt.44 Auf Grund der umfassenden

Anwendbarkeit zeigen die folgenden Abschnitte auf, wie eine IT-Sicherheitskultur an-

hand des PDCA-Modells implementiert und fortgeführt werden kann.

2.2.1.1 Plan

Die Planungsphase dient der Erarbeitung und Priorisierung von Maßnahmen, die unter-

nehmensindividuell für die Implementierung einer IT-Sicherheitskultur geeignet sind.

Zur Feststellung der jeweiligen Ausgangssituation muss zunächst im Rahmen einer GAP-

Analyse der Ist-Zustand erhoben und mit dem Soll-Zustand verglichen werden.45 Aus

dem Ergebnis können in einem zweiten Schritt Maßnahmen abgeleitet werden, die die

aktuellen Stärken stützen und die Lücken in der IT-Sicherheitskultur schließen. Speziell

42 Eigene Darstellung in Anlehnung an Bundesamt für Sicherheit in der Informationstechnik (Hrsg.):

BSI Standard 100-1 Managementsysteme für Informationssicherheit - Version 1.0, a. a. O., S. 14.



a. a. O., S. 30.



S. 6.

45 Vgl. Sackmann, Sonja A.: Unternehmenskultur – Erkennen – Entwickeln – Verändern, Neuwied et

al.: Luchterhand 2002, S. 147.

Erfolgskontrolle und

Übwerwachung


Übwerwachung

Planung und

Konzeption

Planung und

Konzeption

Implementierung

und Pflege

Implementierung

und PflegeOptimierung und

Verbesserung

Optimierung und

Verbesserung

Plan

Do

Check

Act


Übwerwachung


Übwerwachung

Planung und

Konzeption

Planung und

Konzeption

Implementierung

und Pflege

Implementierung

und PflegeOptimierung und

Verbesserung

Optimierung und

Verbesserung

Plan

Do

Check

Act



bei der erstmaligen Implementierung ist eine Situationsanalyse entscheidend.46 Hierfür

sind konzeptionelle Vorarbeiten zur Identifizierung eines Analyserahmens notwendig.

Dieser umfasst zwei Dimensionen. Zum einen muss festgelegt werden, wo eine

Situationsanalyse der schwer greifbaren IT-Sicherheitskultur ansetzen kann. Zum ande-

ren müssen Instrumente identifiziert werden, die geeignet sind, Ausprägungen der ver-

schiedenen Ansatzpunkte zu erfassen. Hierbei ist gesondert zu beachten, dass Außen-

stehende nicht oder nur schwer in einem abgegrenzten Zeitraum dieselben Einsichten in

die Kultur eines Unternehmens gewinnen können, wie dies Interne haben. Interne un-

terliegen jedoch häufig der Betriebsblindheit und können nicht objektiv werten.47 Im

Folgenden wird ein Rahmen vorgestellt, der beide Sichten miteinander vereint.

Die sichtbaren Ebenen des Modells von Schein (Werte und Artefakte), welches im vo-

rangegangenen Abschnitt erläutert wurde, bieten konkrete Ansatzpunkte zur Erhebung

der Ist-IT-Sicherheitskultur.48 Nach außen gezeigte Werte müssen jedoch nicht den wah-

ren Werten entsprechen. Deswegen erfolgt als weitere Systematisierung für die

Ansatzpunkte eine Unterteilung in „wahre“ und „offizielle“ Werte nebst den offiziellen

Artefakten.49 Instrumente zur Analyse der IT-Sicherheitskultur sind geeignet, die externe

und interne Sicht zu integrieren; sie unterscheiden sich aber in Hinblick auf die erreichte

Bandbreite der Ansatzpunkte. Tab. 2 zeigt eine mögliche Kombination von Ansatz-

punkten und Instrumenten zur Analyse einer IT-Sicherheitskultur. Die markierten Felder

repräsentieren dabei jeweils realistische Kombinationen beider Dimensionen. Eine

Dokumentenanalyse bspw. kann von Externen vorgenommen werden, jedoch werden ihm

dabei die wahren Werte mit hoher Wahrscheinlichkeit verschlossen bleiben.





48 Vgl. Sackmann, Sonja A.: Unternehmenskultur – Erkennen – Entwickeln – Verändern, a. a. O.,

S. 27.





Artefakte Offizielle Werte

und Wissen

Wahre Werte

und Wissen

Dokumentenanalyse x x

Fragebogen x x

Gruppensitzung/Workshop x x x

Interview x x x

Beobachtung x

Tab. 2: Methoden und Ansatzpunkte für die Analyse der IT-Sicherheits-

kultur50

Ein standardisiertes Vorgehen beginnt mit dem Sicherheitsverantwortlichen in einer

Vorbereitungssitzung, um den zeitlichen Rahmen und die Ziele der Analyse zu planen.

Die Dokumentenanalyse, also die Sichtung der IT-Sicherheitsrichtlinie, des IT-Sicher-

heitskonzepts u. ä., gibt einen ersten Überblick über die Soll-Sicherheitskultur. Ein In-

terview mit dem Sicherheitsverantwortlichen hilft, die gewonnenen Eindrücke zu inter-

pretieren.51 Auf diese Phase folgt eine Befragung der Mitarbeiter mit erneuter Interpreta-

tion der Eindrücke. Diese können ihren Einstellungen in einem Fragebogen Ausdruck

verleihen, der in verschiedenen Kategorien Skalen von „stimme stark zu“ bis „lehne stark

ab“ beinhaltet. Im Anhang befindet sich ein Beispiel zu den verschiedenen Bewertungs-

kategorien. Die Befragung kann mit einer Erhebung der Vorkenntnisse zum Thema IT-

Sicherheit gekoppelt werden. Kapitel 4.2.1 wird die Bedeutung der Vorkenntnisse im

Rahmen der Konzeption von WBTs noch näher erläutern. Abschließend dient ein

Workshop der Besprechung der Resultate. Parallel hierzu werden Maßnahmen geplant,

die im folgenden Abschnitt näher betrachtet werden.52

2.2.1.2 Do

In der Durchführungsphase werden die in der Planungsphase als geeignet identifizierten

Maßnahmen umgesetzt. Hierzu bedarf es der Unterstützung anderer Funktionsbereiche

wie der Kommunikations-, Public Relations (PR)- oder Marketingabteilung. Nur die effi-

ziente Zusammenarbeit und ein durchgehender Wissenstransfer dieser Bereiche kann die



51 Vgl. Schein, Edgar H.: Coming to a New Awareness of Organizational Culture, a. a. O., S. 3.





erfolgreiche Implementierung einer IT-Sicherheitskultur garantieren. Abb. 5 zeigt den

dabei anzuwendenden Maßnahmenkatalog an. Die Anlehnung an die grafische

Darstellung der Porter‘schen Wertkette verdeutlicht die Unterscheidung in primäre und

unterstützende Maßnahmen.53 Primäre Maßnahmen wirken sich direkt auf die IT-Sicher-

heitskultur aus, wohingegen die quer verlaufenden Maßnahmen lediglich unterstützenden

Charakter aufweisen. Sie dienen der Entfaltung der Wirkung der primären Maßnahmen

und sind somit auch als kritische Erfolgsfaktoren für eine Sensibilisierungs-Kampagne

zu verstehen.54 Im Folgenden werden diese kurz vorgestellt.

Abb. 5: Maßnahmenkatalog der IT-Sicherheitskultur55

Der Maßnahmenkatalog ist in unterstützende und primäre Maßnahmen unterteilt. Die

unterstützenden Maßnahmen ziehen sich durch die gesamte Implementierungsphase; sie

ermöglichen die volle Entfaltung der Wirkungen der primären Maßnahmen. Verant-

wortung ist eine solche unterstützende Maßnahme. Ihre Bedeutung wurde bereits im

Rahmen der Prinzipien einer IT-Sicherheitskultur hervorgehoben. Die Mitarbeiter sollen

sich der gesetzlichen Regularien bewußt sein, die sie zur Verantwortung für ihr Handeln

verpflichten. Hierzu zählt bspw. das Datenschutzgesetz. Kann einem Mitarbeiter nach-

gewiesen werden, dass er Kundendaten an Externe weitergeleitet hat, ist eine gesetzliche

53 Normalerweise wird die Portersche Wertkette in Bezug auf Wertschöpfung zur Generierung von

Wettbewerbsvorteilen in einer Unternehmung verwendet. In diesem Zusammenhang soll der

wertschöpfende Charakter der IT-Sicherheitskultur an sich herausgestellt werden. Vgl. hierzu auch

die Ausführungen zu Wettbewerbsaspekten der IT-Sicherheitskultur in Abschnitt 2.2.2.

54 Vgl. Fox, Dirk; Kaun, Sven: Security-Awareness-Kampagnen, 9. Deutscher IT-Sicherheitskongress

des BSI, Online im Internet: http://www.secorvo.de/publikationen/ awareness-kampagnen-fox-

kaun-2005.pdf, 12.08.2007, S. 333.

55 Eigene Darstellung in Anlehnung an Schlienger, Thomas: Informationssicherheitskultur in Theorie

und Praxis – Analyse und Förderung soziokultureller Faktoren der Informationssicherheit in

Organisationen, a. a. O., S. 97.

Dokument-

system

Verantwortung

Internes Marketing und Kommunikation

Interkulturelle Aspekte

Management-

Commitment

Learning-

Kontinuum

Verpflichtung

und

Überwachung

Unterstützende

Maßnahmen

Primäre Maßnahmen



Dokument-

system

Verantwortung

Internes Marketing und Kommunikation

Interkulturelle Aspekte

Management-

Commitment

Learning-

Kontinuum

Verpflichtung

und

Überwachung

Unterstützende

Maßnahmen

Primäre Maßnahmen





Strafverfolgung möglich.56 Der Vorstand übernimmt die Gesamtverantwortung für ein

funktionierendes Risikomanagement nach KonTraG. Durch eine geeignete Sicher-

heitsorganisation kann er Aufgaben an den Sicherheitsbeauftragten delegieren. Wo je-

doch Regulierungslücken bestehen, ist ein ethisch korrektes Verhalten der Mitarbeiter

gefragt, wie zuvor bereits diskutiert wurde.57

Um gewisse Werte und Normen in den Köpfen der Mitarbeiter zu verankern, bedarf es

einer internen Marketingstrategie. Ebenso wie in der kommerziellen Werbung verlangt

die Implementierung einer IT-Sicherheitskultur nach einem einprägsamen Slogan. Es gilt

die IT-Sicherheit, die für viele Mitarbeiter eine Einschränkung ihrer Freiheit bedeutet,

„schmackhaft“ zu machen. Ein Eckpfeiler des Marketing-Mix ist die Kommuni-

kationspolitik. Zur Umsetzung einer IT-Sicherheitskultur muss entschieden werden,

welche Medien zur Übermittlung von Informationen geeignet und wirkungsvoll sind.

Primäre Medien nutzen Sprache, Mimik und Gestik als eine persönliche Form der

Kommunikation. Sekundäre Medien wie Flugblatt, Plakat und Zeitung können unter-

stützend und breitflächig eingesetzt werden. Das tertiäre Medium (Fernsehen, Internet

etc.) ist die modernste Form der Kommunikation. Die Eignung dieser für Schulungs- und

Sensibilisierungsmaßnahmen wird auf Grund ihrer hohen Bedeutung für diese Arbeit

separat in Kapitel 3.3 untersucht.58

Interkulturelle Aspekte schließlich sind von enormer Bedeutung für multinational ope-

rierende Unternehmen. Kulturverändernde Maßnahmen treffen in unterschiedlichen

Ländern auf verschiedene Nährböden. Anpassungen sind unumgänglich. Der Daten-

schutz bspw. kann gesetzlich unterschiedlich geregelt sein, Unternehmungen unterliegen

ggf. unterschiedlichen Risiken und Chancen. Höfliche Verhaltensweisen eines Landes

brüskieren die Gemüter der Kollegen eines anderen Landes. Dies sind nur einige

Beispiele zur Verdeutlichung der Bedeutung dieser unterstützenden Maßnahme.59

Die primären Maßnahmen sind mit initialem Aufwand aufzubauen und in den operativen

Ablauf des Unternehmens zu integrieren. Ein Dokumentensystem besteht aus zentralen

Policies, Standards und Prozessbeschreibungen. Sie sind die sichtbaren Artefakte eines

Unternehmens, die, umklammert von einer Strategie, das gewünschte Zielverhalten der

Mitarbeiter festschreiben. Die IT-Sicherheitsrichtlinie bildet das hierarchisch höchste

56 Vgl. Kurzlechner, Werner: IT-Sicherheit: Firmen haften für ihre Mitarbeiter, Online im Internet:

http://www.cio.de/_misc/article/printoverview/index.cfm?pid=185&pk=834373&op=pdf,

12.08.2007, S. 1 f.


Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 98 ff.




Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 105 f.



Dokument, das kurz und prägnant die wichtigsten Eckpfeiler der IT-Sicherheitsstrategie

umreißt.60 Ein IT-Sicherheitskonzept auf der hierarchisch nachgelagerten Ebene

konkretisiert die Eckpfeiler mit konkreten Angaben zu Aufgaben und Verant-

wortlichkeiten.61 Prozessbeschreibungen dokumentieren schließlich, wie die Aufgaben

ausgeführt werden sollen. Es entsteht ein geschlossenes System von Dokumenten, das

alle Mitglieder einer Organisation über grundlegende Annahmen und Prozesse der IT-

Sicherheit in der Unternehmung informiert.62

Um diese Aufgaben durchzusetzen, bedarf es der Unterstützung des Managements. Die-

ses muss, als Teil ihrer Gesamtverantwortung, die benötigten Ressourcen bereitstellen

und den Fortschritt der einzelnen Aufgaben überwachen. Nicht weniger wichtig ist, dass

das Management eine Vorbildfunktion übernimmt und somit die Mitarbeiter zusätzlich

zur Befolgung der Sicherheitsstandards ermutigt.63

Damit das Prinzip der Verantwortung sinnvoll praktiziert werden kann, müssen die Mit-

arbeiter angemessen über die Risiken und geeignete Möglichkeiten zum Schutz infor-

miert sein. Das komplexe Lernfeld der IT-Sicherheit64 verlangt nach einem mehrstufigen

Konzept der Wissensvermittlung, welches vom „National Institute of Standards and

Technology (NIST)“ mit dem Learning-Kontinuum eingeführt wurde. Diese primäre

Maßnahme zur Implementierung einer IT-Sicherheitskultur ist eng mit der unterstützen-

den Funktion „Kommunikation und internes Marketing“ verzahnt, so dass diese Themen

in angemessenem Umfang gemeinschaftlich in Kapitel 3 behandelt werden.

Die Schulung und Sensibilisierung der Mitarbeiter für die IT-Sicherheit ermöglicht

letztendlich die weitergehende Verpflichtung der Mitarbeiter über gesetzliche Regularien

hinaus. Klauseln im Arbeitsvertrag können die Mitarbeiter zur Befolgung der internen

IT-Sicherheitsrichtlinie verpflichten. Dies gilt insbesondere auch für den Umgang mit

vertraulichen Informationen nach Ausscheiden aus der Firma. Bei Neueinstellung sollten

Mitarbeiter direkt auf Schulungs- und Sensibilisierungsmaterialien aufmerksam gemacht

und informiert werden. Nach der Kenntnisnahme bestätigt der Mitarbeiter mit seiner

Unterschrift, dass er die IT-Sicherheitsrichtlinie gelesen und verstanden hat. Eine



61 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand

2006, a. a. O., S. 45.



63 Vgl. Sackmann, Sonja A.: Erfolgsfaktor Unternehmenskultur – Mit kulturbewusstem Management

Unternehmensziele erreichen und Identifikation schaffen – 6 Best Practice-Beispiele, Wiesbaden:

Gabler Verlag 2004, S. 194.

64 Zur Komplexität des Lernfelds der IT-Sicherheit vgl. Abschnitt 5.1.



anschließende Überwachung des Mitarbeiters muss, wie in der OECD Richtlinie gefor-

dert, den Grundsätzen der Demokratie entsprechen und bedarf nach deutschem Recht der

Zustimmung des Betriebsrats. Das Abhören von Telefongesprächen ist bspw. als kritisch

anzusehen, da dies grundlegende Menschenrechte verletzen würde.65

Die in der Planung festgelegten Maßnahmen sind im Sinne des Projektmanagements nach

einem bestimmten Zeit-, Kosten- und Organisationsplan umzusetzen, um Kontrollen und

eventuelle Anpassungen der IT-Sicherheitskultur zu ermöglichen.

2.2.1.3 Check

In Hinblick auf die sich ständig ändernden Bedrohungen im Bereich der IT-Sicherheit ist

eine Überprüfung der durchgeführten Maßnahmen zur Gewährleistung des nachhaltigen

Erfolgs der IT-Sicherheitskultur unerlässlich. Eine Anpassung der Soll-IT-Sicherheits-

kultur nach einem ersten Durchlauf des PDCA-Modells würde zu einer kompletten

Anpassung der durchzuführenden Maßnahmen führen. Eine solche Anpassung resultiert

unter anderem aus unvollständigen Informationen bei der Planung der Maßnahmen. Das

Vorgehen hierzu entspricht dem der Situationsanalyse, daher wird an dieser Stelle nicht

näher hierauf eingegangen.66

2.2.1.4 Act

Basierend auf den Erkenntnissen der „Check“-Phase werden in der „Act“-Phase geeig-

nete Korrekturmaßnahmen implementiert. Diese gezielten Verbesserungen können un-

terschiedlicher Natur sein. Im Sinne des inkrementell-iterativen Charakters dieses Vor-

gehens werden die eingesetzten Maßnahmen an sich weiter verfeinert und verbessert, um

die festgelegte Soll-IT-Sicherheitskultur besser zu erfüllen. Umgekehrt kann bei der

Überprüfung festgestellt werden, dass die Soll-Sicherheitskultur angepasst werden muss.

Die darauf neu abgestimmten Maßnahmen führten infolge dessen zu einer Beeinflussung

der zu Grunde gelegten Normen und Werte. Speziell im zweiten Fall, der Veränderung

der Kultur, ist eine Kommunikation dieser Erkenntnisse an die Mitarbeiter unerlässlich.

Die Partizipation der Mitarbeiter am Entwicklungsprozess der IT-Sicherheitskultur kann

ein weiterer Erfolgsfaktor zur Implementierung dieser sein. Die ständige Verbesserung

und die gezogenen Konsequenzen aus Fehlentwicklungen tragen zum organisationalen


Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 115 f.





Lernen bei, auf das später in Kapitel 4 näher eingegangen wird.67 Als Abschluss-

betrachtung dieses Kapitels wird jedoch zunächst der Nutzen einer IT-Sicherheitskultur

nach internen und externen Gesichtspunkten untersucht.

2.2.2 IT-Sicherheitskultur als Wettbewerbsfaktor

Die Etablierung einer IT-Sicherheitskultur ist integraler Bestandteil des ISO/IEC

27001,68 nach dem Unternehmen zertifiziert werden können. IT-Compliance, also die

Befolgung von anerkannten Standards, Richtlinien oder Gesetzen, ist zu einem wesent-

lichen Faktor im Rahmen der Corporate Governance geworden. Zertifizierungen geben

Anlass zur gezielten internen Revision relevanter Geschäftsprozesse. Ergebnis ist eine

Erhöhung der Transparenz, einhergehend mit neuen Optimierungs- und Harmonisie-

rungsmöglichkeiten, die letztendlich Kosten reduzieren helfen.69 Ein erlangtes Zertifikat

dokumentiert die Sicherheit und Qualität der IT-Systeme und ist, in Hinblick auf die

wachsende Abhängigkeit von IKS, nicht zuletzt ein wichtiges Instrument des Kontinui-

tätsmanagements.70 Dies ist gerade für Finanzdienstleister relevant, die sich im Lichte

von Basel II wachsenden Anforderungen an ihr Risikomanagementsystem gegenüber

sehen.71 In den vergangenen Jahren ist das Interesse an der IT-Sicherheitskultur als

effektivem Kontrollinstrument gewachsen. Die Etablierung von Schulungs- und Sensi-

bilisierungsmaßnahmen führt zu einem erhöhten Verständnis der unternehmensinternen

Regelungen und rollenspezifischen Verantwortlichkeiten. Der organisationale Lernfort-

schritt integriert die IT-Sicherheit in die Unternehmenskultur – und schafft somit einen

internen Mehrwert für alle Mitarbeiter.72

Die Wertkette von Porter visualisiert wertsteigernde, primäre Funktionen, die durch zu

ihnen quer verlaufende Funktionen unterstützt werden.73 Aus der internen Perspektive

betrachtet stünde das IT-Sicherheitsmanagement für eine solche unterstützende Funktion,

die der Sicherstellung des Geschäftsfortgangs durch störungsfreie IKS dient. Abb. 6





a. a. O., S. 30.


70 Vgl. o. V.: Zertifizierung gemäß ISO 27001, Online im Internet, http://www.tuv.com/de/

zertifizierung_ gemaess_iso_27001.html#2, 12.08.2007.

71 Vgl. Hirschmann, Stefan; Romeike, Frank: IT-Sicherheit als Rating-Faktor, in: RATINGaktuell,

01/2004, S. 13.


73 Vgl. Porter, Michael E.: Competitive Advantage – Creating and Sustaining Superior Performance,

London, New York: Collier Macmillan Publishers 1985, S. 36.



unterteilt das IT-Sicherheitsmanagement zur Verdeutlichung der Stellung der

IT-Sicherheitskultur in seine Kernaufgaben, die bereits in Abschnitt 2.1.2 erwähnt wur-

den.

Abb. 6: Die angepasste Wertkette von Porter74

Doch welche Wirkung hat eine Zertifizierung nach außen? Mit der wachsenden Ver-

breitung des E-Business, und damit einhergehend neuer Betrugsformen, wächst das Be-

dürfnis der Kunden nach dem Schutz ihrer Identität inklusive privater Daten. Ein Unter-

nehmen, das ein durchgängiges IT-Sicherheitsmanagement von der Beschaffung bis zum

Vertrieb betreibt, kann mit sicheren Infrastrukturen und Transaktionen einen besseren

Service leisten als seine Wettbewerber. Mit dem gewonnenen Kundenvertrauen erlangt

der zertifizierte Anbieter einen Wettbewerbsvorteil gegenüber anderen Anbietern, die

ihre IT-Sicherheit nicht belegen können.75 Insbesondere für Finanzdienstleister ist es

derzeit eine kritische Aufgabe des IT-Sicherheitsmanagements, dem Identitätsdiebstahl

74 Eigene Darstellung in Anlehnung an Porter, Michael E.: Competitive Advantage – Creating and

Sustaining Superior Performance, a. a. O., S. 37.

75 Vgl. Wirtschafts- und sozialpolitisches Forschungs- und Beratungszentrum der Friedrich-Ebert-

Stiftung Abt. Wirtschaftspolitik (Hrsg.): (Un–)Sicherheit im Internet - Wege zu einem besseren

Schutz für Unternehmen und private Nutzer, Online im Internet, http://library.fes.de/pdf-files/fo-

wirtschaft/03014.pdf, 12.08.2007, Vorwort.

Eingangs-

logistik

Unternehmensinfrastruktur

Technologieentwicklung

Beschaffung

Operationen Ausgangs-

logistik

Marketing &

Vertrieb

Un

ters

tütz

end

e

Aktivitäte

n

Primäre Aktivitäten

Personalwirtschaft

Kunden-

dienst

Gew

innsp

anne

Gew

innsp

anne

Sicherheits-

organisation

Sicherheits-

richtlinie

Risiko-

management

Maßnahmen

(Sicherheits-

kultur)

Eingangs-

logistik

Unternehmensinfrastruktur

Technologieentwicklung

Beschaffung

Operationen Ausgangs-

logistik

Marketing &

Vertrieb

Un

ters

tütz

end

e

Aktivitäte

n

Primäre Aktivitäten

Personalwirtschaft

Kunden-

dienst

Gew

innsp

anne

Gew

innsp

anne

Sicherheits-

organisation

Sicherheits-

richtlinie

Risiko-

management

Maßnahmen

(Sicherheits-

kultur)



mit präventiven Maßnahmen zu begegnen. IT-Sicherheit dient hier der Erhaltung der

Reputation und somit des Erfolgs.76 Ein anderes Beispiel liefert die Globalisierung mit

dem einhergehenden Katalysator „Outsourcing“, bzw. „Offshoring“, das das Phänomen

einer rasant wachsenden Auslagerung von Geschäftsbereichen zur Realisierung von

Kosten- oder Qualitätsvorteilen in Entwicklungsländern wie Indien beschreibt. Eine

derart enge Kooperation von Unternehmen verlangt als Basis der Zusammenarbeit ein

identisches Verständnis für IT-Sicherheit. Dieses lässt sich jedoch vor Vertragsabschluss

schwer prüfen.77 Das Beispiel unterstreicht die Bedeutung von international bzw. welt-

weit anerkannten Standards zum Abbau von Informationsasymmetrien auf dem Gebiet

der IT-Sicherheit.78

Die aufgeführten Beispiele verdeutlichen eine Tendenz der letzten Jahre: In vielen Bran-

chen oder Unternehmen, in denen der Informationsfunktion eine hohe Bedeutung zu-

kommt, ist das IT-Sicherheitsmanagement nicht nur eine unterstützende, sondern eine

gleichgestellte primäre Funktion in der Wertkette Porters. Dies bedeutet de facto den

Aufstieg des IT-Sicherheitsmanagements zu einer wertsteigernden Funktion innerhalb

des Unternehmens.

Bei allen Vorteilen werden auch Kritiker laut. Sie warnen vor einer Überreglementierung,

die die Flexibilität gefährdet. Zudem sehen manche Hacker die Demonstration von

„zertifizierter Sicherheit“ als eine willkommene Herausforderung das Gegenteil zu

beweisen.79 Die Schaffung einer IT-Sicherheitskultur als Teil der Zertifizierung hat

jedoch einen höheren Anspruch. In einer zunehmend vernetzten Welt ist nicht nur der

Unternehmenserfolg von störungsfreien IKS abhängig. Privatpersonen und Staaten auf

der ganzen Welt sehen sich dieser Entwicklung ausgesetzt. Ein Bewusstsein für die Be-

drohungen der IT-Sicherheit zu schaffen, wie es auch die Richtlinie der OECD vorsieht,

ist eine entscheidende Maßnahme zur Vermeidung von negativen externen Effekten.

Denn: Die Umsetzung von Standards bleibt unwirksam, insofern sich nur ein Glied in der

Kette nicht konform verhält. Wettbewerb bspw. wird beschränkt, wenn ein Unternehmen

für die Schäden bezahlen muss, die ein anderer (sei es eine Privatperson oder ein anderes

76 Vgl. Deloitte (Hrsg.): 2006 Global Security Survey, Online im Internet:

http://www.deloitte.com/dtt/cda/doc/content/dtt_fsi_2006%20Global%20Security%20Survey_

2006-06-13.pdf, 12.08.2007, S. 13 und S. 16.

77 Vgl. Price Waterhouse Coopers (Hrsg.): The Global State of Information Security, Online im

Internet: http://www.pwchk.com/webmedia/doc/632949485891990448_info_security_sep2006.

pdf, 12.08.2007, S. 6.

78 Vgl. Bundesamt für die Sicherheit der Informationstechnik (Hrsg.): Vorteile und Stellenwert, Online

im Internet: http://www.bsi.de/gshb/zert/vorteile_und_stellenwert.htm, 12.08.2007.

79 Vgl. Wirtschafts- und sozialpolitisches Forschungs- und Beratungszentrum der Friedrich-Ebert-

Stiftung Abt. Wirtschaftspolitik (Hrsg.): (Un–)Sicherheit im Internet - Wege zu einem besseren

Schutz für Unternehmen und private Nutzer, a. a. O., Vorwort.

3 Lernebenen und Formen der Lehrvermittlung 24


Unternehmen)80 ungewollt oder intentional verursacht hat.81 Die derzeit am größten

eingeschätzte Bedrohung ist der Mensch selbst. Eigenverantwortliches Handeln beginnt

mit der Sensibilisierung (und somit der Basis zur Verpflichtung) von allen Nutzern von

IKS.82 Die folgenden Abschnitte zeigen einen pragmatischen Weg auf, wie dies realisiert

werden kann.

3 Lernebenen und Formen der Lehrvermittlung

3.1 Überblick

Im vorangegangenen Kapitel wurde der organisatorische Rahmen zur Implementierung

einer IT-Sicherheitskultur vorgestellt. Der folgende Abschnitt betrachtet mit dem Lear-

ning-Kontinuum ein Rahmenwerk, das einen ersten Anhaltspunkt zur inhaltlichen Sys-

tematisierung eines Lernthemas liefert. Im Zuge dessen werden die in Abb. 7 dargestell-

ten verschiedenen Lernebenen „Sensibilisierung“, „Schulung“ und „Ausbildung“ aus-

führlich erläutert und voneinander abgegrenzt.

80 Alle Nutzer von IKS sind betroffen, vgl. OECD (Hrsg.): Implementation Plan for the OECD

Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security,

Online im Internet: http://www.oecd.org/dataoecd/23/11/31670189.pdf, 12.08.2007, S. 2.

81 Vgl. Andersson, Ross; Moore, Tyler: The Economics of Information Security: A Survey and Open

Questions, Online im Internet: http://www.cl.cam.ac.uk/~rja14/Papers/toulouse-summary.pdf,

12.08.2007, S. 5.

82 Vgl. o. V.: <kes> Microsoft Sicherheitsstudie - Lagebericht zur Informations-Sicherheit

(Sonderdruck für Microsoft), a. a. O., S. 3.



Abb. 7: Das Learning-Kontinuum83

Der dritte Abschnitt dieses Kapitels untersucht die gängigen Formen der Lehrvermittlung

„Präsenzlehre“, „E-Learning“ und „Blended Learning“ auf ihre Eignung zur Unter-

stützung des Learning-Kontinuums.

3.2 Das Learning-Kontinuum

3.2.1 Sensibilisierung

Sensibilisierung bildet die Grundlage für alle folgenden Stufen des Learning-Konti-

nuums. In Zusammenhang mit dem Datenschutz kann Sensibilisierung als „die Fähigkeit

einer Person, die Chancen und Risiken bei der elektronischen Erfassung, Speicherung

83 In Anlehnung an National Institute of Standards and Technology (Hrsg.): NIST Special Publication

800-16 – Information Technology Security Training Requirements: A Role- and Performance-Based

Model 1998, Online im Internet: http://csrc.nist.gov/publications/nistpubs/800-16/ 800-16.pdf,

12.08.2007, S. 15.

Sensibilisierung für

IT-Sicherheit

Alle Mitarbeiter

Se

nsib

ilisie

run

gS

ch

ulu

ng

Au

sb

ildu

ng

Verständnis und Grundlagen der

IT-Sicherheit

Alle Nutzer von IT-Systemen

Ausbildung und Erfahrung

IT-Sicherheits-Spezialisten

Manage-

ment

Adminis-

tratoren

Mitarbeiter mit Arbeitsplatz

mobil stationär

Rollen- und funktionsorientiert

AF

E

FA

E

A = Anfänger

F = Fortgeschritten

E = Experte

Sensibilisierung für

IT-Sicherheit

Alle Mitarbeiter

Se

nsib

ilisie

run

gS

ch

ulu

ng

Au

sb

ildu

ng

Verständnis und Grundlagen der

IT-Sicherheit

Alle Nutzer von IT-Systemen

Ausbildung und Erfahrung

IT-Sicherheits-Spezialisten

Manage-

ment

Adminis-

tratoren

Mitarbeiter mit Arbeitsplatz

mobil stationär

Rollen- und funktionsorientiert

AF

E

FA

E

A = Anfänger

F = Fortgeschritten

E = Experte



und Verarbeitung personenbezogener Daten zu erkennen, zu bewerten und angemessen

darauf zu reagieren“84 verstanden werden.

Ziel ist die nachhaltige und kontinuierliche Sensibilisierung aller Mitarbeiter für Ge-

fährdungen der IT-Sicherheit.85 Somit wird der Grundstein für eine effektive Verhaltens-

änderung gelegt, die letztlich die Schaffung einer IT-Sicherheitskultur ermöglicht.86

Zentrale Voraussetzung hierfür ist die Gewinnung und Aufrechterhaltung des Interesses

der Mitarbeiter.87

Ein geeignetes Mittel zur Umsetzung der ersten Stufe des Learning-Kontinuums ist die

Sensibilisierungs-Kampagne. Diese ist langfristig angelegt und unterteilt sich in vier

Phasen, dargestellt durch Abb. 8.88

84 Dimler, Simone; Federrath, Hannes; Nowey, Thomas; Plößl, Klaus: Awareness für IT-Sicherheit

und Datenschutz in der Hochschulausbildung – Eine empirische Untersuchung, in: Sicherheit 2006.

Beiträge der 3. Jahrestagung des GI-Fachbereichs Sicherheit, Lecture Notes in Informatics (P-77),

Hrsg.: Dittmann, Jana, Bonn: Köllen-Verlag 2006, S. 19.


2006, a. a. O., S. 94.

86 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,

a. a. O., S. 15.

87 Vgl. Fox, Dirk: Security Awareness - Oder: Die Wiederentdeckung des Menschen in der

IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 678.

88 Vgl. Fox, Dirk; Kaun, Sven: Security-Awareness-Kampagnen, 9. Deutscher IT-Sicherheitskongress

des BSI, a. a. O., S. 333 und National Institute of Standards and Technology (Hrsg.): NIST Special

Publication 800-50 - Building an Information Technology Security Awareness and Training

Program 2003, Online im Internet: http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-

50.pdf, 12.08.2007, S. 32 f und Siponen, Mikko T.: A conceptual foundation for organizational

information security awareness, in: Information Management & Computer Security, 8 (1)/2000,

S. 35.



Abb. 8: Die Phasen einer Sensibilisierungs-Kampagne89

Aufmerksamkeit gewinnen durch den gezielten Einsatz von Anzeigen, Flyern und

Schreiben des Vorstands

Wissen vermitteln und Einstellungen verändern anhand von WBTs, Intranetsei-

ten, Informationsveranstaltungen, Videos und individueller Beratung, Präsenz-

veranstaltung

Verstärkung der Wirkung mittels Newsletter, Intranet-Artikel, Broschüren, Mitar-

beiteranzeigen und Preisverleihungen

Öffentlichkeitsarbeit (optional) durch Kundenzeitschriften, Fachzeitschriften und

Kundenmailing

Zur Verdeutlichung der Ziele der einzelnen Phasen wird im Folgenden das Beispiel

„Virenschutz“ verwendet. Um die Aufmerksamkeit des Mitarbeiters in Phase eins zu

gewinnen, kann ein Plakat mit einer Karikatur eines Virus veröffentlicht werden, der

einen Arbeitsplatz-Rechner anbeißt. In Phase zwei, der bedeutendsten, können anhand

eines WBTs Informationen über die Verbreitung von Viren übermittelt und somit ein

grundlegendes Verständnis für das Thema erreicht werden. Übergeordnetes Ziel bildet

hierbei die aktive Veränderung der Einstellung (bzw. des Verhaltens) der Mitarbeiter. Die

nachhaltige Wirkung dieser Maßnahmen wird in Phase drei mittels regelmäßiger

Newsletter oder Broschüren erreicht. Hat ein Unternehmen eine Sensibilisierungs-Kam-

pagne erfolgreich implementiert, kann es diese Erfahrungen mit Geschäftspartnern oder

89 In Anlehnung an Fox, Dirk: Security Awareness - Oder: Die Wiederentdeckung des Menschen in

der IT-Sicherheit, a. a. O., S. 678.

Phase 1 Phase 2 Phase 3 Phase 4

Schreiben des

Vorstands

Flyer

Anzeigen

Individuelle Beratung

Videos

Informations-

veranstaltungen

Intranet-Seiten

WBTs

Preisverleihung

Mitarbeiter-

anzeigen

Broschüren

Intranet-Artikel

Newsletter

Kundenzeitschrift

Fachzeitschrift

Kundenmailing

Sicherheits-

bewußtsein

Aufmerksamkeit Wissen & Einstellung Verstärkung Öffentlichkeit

Phase 1 Phase 2 Phase 3 Phase 4

Schreiben des

Vorstands

Flyer

Anzeigen

Individuelle Beratung

Videos

Informations-

veranstaltungen

Intranet-Seiten

WBTs

Preisverleihung

Mitarbeiter-

anzeigen

Broschüren

Intranet-Artikel

Newsletter

Kundenzeitschrift

Fachzeitschrift

Kundenmailing

Sicherheits-

bewußtsein

Aufmerksamkeit Wissen & Einstellung Verstärkung Öffentlichkeit



Kunden teilen, da, wie bereits in Abschnitt 2.2.2 dargelegt wurde, jeder für IT-Sicherheit

mit verantwortlich ist (Phase 4).90

Die hier erwähnten Mittel haben lediglich informierenden Charakter, eine aktive Ausei-

nandersetzung mit dem Thema „IT-Sicherheit“ findet erst auf der nächsten Ebene des

Learning-Kontinuums, der Schulung, statt. Als Schnittstelle zwischen beiden Ebenen

fungiert das einheitliche Begriffsverständnis innerhalb der IT-Sicherheit als Konsequenz

der breit angelegten Sensibilisierungs-Kampagne.91

3.2.2 Schulung

Ziel der Schulung ist die Vermittlung wichtiger, grundlegender und ständig benötigter

Fähigkeiten und Kompetenzen.92 Während die erste Stufe des Learning-Kontinuums die

Lernenden für ein Thema sensibilisiert, erlangt der Lernende nun durch Übungen

Fähigkeiten, die die Ausübung spezieller Funktionen erlauben.93 Die einzelnen Schu-

lungseinheiten sind, im Gegensatz zur Sensibilisierung, nicht mehr für alle Mitarbeiter

verbindlich, sondern werden individuell auf die Funktionen im Unternehmen (sog.

Rollenbedürfnisse94) angepasst.95 Der Lernende nimmt aktiv am Lernprozess teil. Für

die Entwicklung der Schulungsmaterialien kann auf Ausbildungsunterlagen von Uni-

versitäten oder Berufsschulen zurückgegriffen werden, wenngleich die Schulung nicht

mit einem anerkannten Bildungsabschluss endet. Beispielhaft für die Schulung ist ein IT-

Sicherheitskurs für Systemadministratoren. In diesem sollten ausgewählte Themen wie

z. B. operative oder technische Kontrollen enthalten sein.96


IT-Sicherheit, a. a. O., S. 678 f.


a. a. O., S. 25 f.


a. a. O., S. 15.


a. a. O., S. 9.

94 Abschnitt 5.2 gibt einen umfassenden Überblick über die verschiedenen Rollen in einem

Unternehmen, daher soll an dieser Stelle keine differenzierte Darstellung erfolgen.


2006, a. a. O., S. 1747.

96 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-50 -

Building an Information Technology Security Awareness and Training Program 2003, a. a. O., S. 9.



3.2.3 Ausbildung

Die oberste Stufe des Learning-Kontinuums bildet die Ausbildung. Diese setzt auf die

beiden vorhergehenden Stufen „Sensibilisierung“ und „Schulung“ auf.97 Ziel der klassi-

schen Ausbildung ist es, alle Fähigkeiten und Kompetenzen zum Thema IT-Sicherheit

zusammenzufassen und mit verschiedenen Studien über technologische und soziale

Themen zu verknüpfen. Dadurch soll der Auszubildende zu einem IT-Sicherheits-

spezialisten mit professionellen Fähigkeiten und fundiertem Wissen über proaktives

Handeln ausgebildet werden.98 Bspw. ist eine Ausbildung zum IT-Sicherheitsexperten

nach europäischem Sicherheitszertifikat möglich. Diese Ausbildung führt zu einem

anerkannten Abschluss einer unabhängigen Einrichtung.99

In den folgenden Abschnitten stellt sich die Frage, welche Formen der Lehrvermittlung

geeignet sind, um die in diesem Kapitel voneinander abgegrenzten Stufen des Learning-

Kontinuums zu unterstützen. Hierzu werden die Formen „Traditionelle Präsenzlehre“,

„E-Learning“ und „Blended Learning“ vorgestellt und auf ihre Eignung für das Lear-

ning-Kontinuum hin untersucht.

3.3 Formen der Lehrvermittlung

3.3.1 Die Präsenzveranstaltung als traditioneller Ansatz

Die Präsenzlehre, die auch heute noch breitflächig praktiziert wird, ist die älteste Form

der Wissensvermittlung. Kennzeichnend ist die direkte Interaktion und synchrone

Kommunikation zwischen den teilnehmenden Akteuren in einer hauptsächlich durch den

Lehrenden dominierten Umgebung.100 Die inhaltliche Zusammenstellung sowie die

Abfolge der Bearbeitung der Lerninhalte sind weitestgehend festgelegt. Eigene Einflüsse

der Kursteilnehmer auf die Lehrinhalte sind nur bedingt möglich. Ohne Nachbearbeitung

ist kein nachhaltiger Lernerfolg zu erwarten.101


a. a. O., S. 8.


a. a. O., S. 9.

99 Vgl. ITSecCity (Hrsg.): Secorvo bieten neuen Kurs zum IT-Sicherheitsexperten, Online im Internet:

http://www.itseccity.de/?url=/content/markt/nachrichten/061116_mar_nac_teletrust.html,

12.08.2007.

100 Vgl. Bonk, Curtis J.; Graham, Charles R.: The Handbook of Blended Learning – global perspectives,

local designs, San Francisco: Pfeiffer 2006, S. 5.

101 Vgl. Görlich, Sascha: Fundierung und Integration von E-Learning Komponenten in die Präsenzlehre,

Online im Internet: http://geb.uni-giessen.de/geb/volltexte/2007/4535/index.html, 12.08.2007, S. 1.



Die Präsenzlehre kann in reinen Frontalunterricht und Workshops unterteilt werden.

Teilnehmer eines Frontalunterrichts verhalten sich in der Regel passiv; das Wissen wird

durch den Dozenten vermittelt. In einem Workshop hingegen wandelt sich die Rolle des

Dozenten vom Wissensvermittler zum Moderator. Zuvor bearbeitete Präsentationen

werden kommentiert, problemorientierte Aufgaben können gemeinsam bearbeitet wer-

den.102

Unbestrittener Vorteil dieser Form der Lehrvermittlung ist die persönliche Betreuung

durch den Lehrenden und die Möglichkeit des direkten, sozialen Austauschs auch zwi-

schen den Kursteilnehmern.103 Werden jedoch zeitliche und örtliche Koordinierungs-

probleme in die Betrachtung einbezogen, stößt die Präsenzlehre schnell an ihre Grenzen.

Insbesondere multinationale Unternehmen haben Probleme, Mitarbeiter aus aller Welt zu

einem gegebenen Zeitpunkt an einem vorgegebenen Ort zu versammeln. Die Kosten

hierfür sind enorm.104 Zudem verliert die Präsenzlehre schnell ihren persönlichen

Charakter, wenn die Teilnehmerzahl eine gewisse Größe übersteigt. Das Eingehen auf

persönliche Fragen und Probleme jedes einzelnen Teilnehmers ist in dem gegebenen

Zeitrahmen nicht mehr zu bewältigen.

Für Ausbildungen im Sinne des Learning-Kontinuums sind Präsenzveranstaltungen

bspw. insbesondere für Administratoren geeignet, deren komplexe, technische Ausbil-

dung die unmittelbare Möglichkeit zu differenziertem Feedback erfordert.105

3.3.2 E-Learning

Die vielschichtigen Diskussionen des Begriffs „E-Learning“ haben bisher zu keiner

einheitlichen Definition geführt.106 Im Rahmen dieser Arbeit wird der Umfang des

E-Learnings in eine weite Definition gefasst.107 Demnach werden unter E-Learning alle

102 Vgl. Sauter, Werner; Sauter, Anette M.; Bender, Harald: Blended Learning – Effiziente Integration

von E-Learning und Präsenztraining, 2. erweiterte und überarbeitet Auflage, Neuwied et al.:

Luchterhand 2004, S. 146.

103 Vgl. Schmidt, Inna: Blended E-Learning – Strategie, Konzeption, Praxis, Saarbrücken: VDM Verlag

2005, S. 16.

104 Vgl. Bauer, Robert; Phillippi, Tillmann: Einstieg ins E-Learning – Die Zukunftschance für

beruflichen und privaten Erfolg, Nürnberg: Bildung und Wissen Verlag 2001, S. 73.


a. a. O., S. 18.

106 Vgl. Schwickert, Axel C.; Hildmann, Jochen; Voß, Christoph: Blended Learning in der Universität

– Eine Fallstudie zur Vorbereitung und Durchführung, in: Arbeitspapiere WI, Nr. 9/2005, Hrsg.:

Professur BWL – Wirtschaftsinformatik, Justus-Liebig-Universität Gießen 2005, 36 Seiten, ISSN

1613-6667, S. 10 ff.

107 Vgl. Baumgartner, Peter; Häfele, Hartmut; Maier-Häfele, Kornelia: E-Learning Praxishandbuch:

Auswahl von Lernplattformen; Marktübersicht – Funktionen – Fachbegriffe, Innsbruck:

Studienverlag 2002, S. 14.



Arten der medienunterstützten Wissensvermittlung verstanden. Hierzu gehört sowohl das

Lernen von CD-Rom mittels Computer Based Trainings (CBT) als auch das netzan-

gebundene Lernen über das Internet anhand von Web Based Trainings (WBT).108 Das

CBT ist die ältere Form des E-Learning. Der Nutzer installiert eine Lernsoftware von

einer zuvor verteilten CD-ROM auf seinem PC. Der Austausch mit anderen Kursteil-

nehmern oder dem Dozenten wird durch ein CBT nicht unterstützt bzw. gefördert, die

asynchrone Kommunikation ist vorherrschendes Merkmal dieser Lernform.109 Kurzfris-

tige Änderungen der Lerninhalte können entweder gar nicht oder nur unter zusätzlichen

Kosten an den Nutzer herangetragen werden. WBTs hingegen garantieren die Aktualität

der online abgerufenen Lerninhalte, ohne zusätzliche Kosten zu verursachen. Zusätzlich

besteht für Kursteilnehmer und deren Dozenten die Möglichkeit zur Online-Kollabora-

tion, bspw. in virtuellen Klassenräumen. Es findet somit eine dezentrale, aber synchrone

Kommunikation statt, ermöglicht durch technische Innovationen.110 Kapitel 4.6 nennt im

Rahmen des Learning Management Systems (LMS) weitere Beispiele.

Beiden Formen liegt das Konzept des selbstgesteuerten Lernens zugrunde, welches im

Vergleich mit der traditionellen Präsenzveranstaltung neue Möglichkeiten des Lernens

eröffnet. Der Nutzer eines WBTs kann selbst entscheiden, wann, wo, wie lange und ggf.

in welcher Reihenfolge er Lerninhalte absolvieren möchte.111 Seitens der Schulungsan-

bieter ist der Einsparungsaspekt durch den Einsatz von E-Learning ein vorherrschendes

Argument. Die Lerninhalte können einem breiten Publikum zugänglich gemacht werden,

ohne zusätzliche Kosten zu verursachen. Im Gegenteil: Während eine Präsenzver-

anstaltung mit jeder zusätzlich angebotenen Einheit zusätzliche Kosten verursacht (Per-

sonalkosten, Raumkosten, etc.), kann ein WBT nach den Initialaufwendungen einem

beliebig breiten Publikum ohne Verursachung zusätzlicher Kosten angeboten werden.

Fazit: E-Learning ermöglicht (mit Hilfe der elektronischen Medien) Wissen und Schu-

lungen einem größeren Publikum schneller, aktueller und kostengünstiger zugänglich zu

machen, als die traditionellen Lehrmethoden.112 Dieser Aspekt ist gerade im Bereich von

Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit relevant, da dieses

108 Vgl. Baumgartner, Peter; Häfele, Hartmut; Maier-Häfele, Kornelia: E-Learning Praxishandbuch:

Auswahl von Lernplattformen; Marktübersicht – Funktionen – Fachbegriffe, a. a. O., S. 14.

109 Vgl. Stickel, Eberhard; Groffmann, Hans-Dieter; Rau, Karls-Heinz: Wirtschaftsinformatiklexikon,

Wiesbaden: Gabler 1997, S. 131.

110 Vgl. Schmidt, Inna: Blended E-Learning – Strategie, Konzeption, Praxis, a. a. O., S. 15.

111 Vgl. Dietrich, Stephan; Fuchs-Brüninghof, Elisabeth, u. a.: Selbstgesteuertes Lernen – Auf dem Weg

zu einer neuen Lernkultur, Online im Internet:

http://www.die-bonn.de/esprid/dokumente/doc-1999/dietrich99_01.pdf, 08.04.2007, S. 15.

112 Vgl. Staub, Timo; Friesendorf, Christoph Isler; Kurian, Matthai; Reimann, Michael: The

International Relations and Security Network’s e-Learning Project, Online im Internet:

http://www.isn.ethz.ch/edu/el_about/_doc/project_description_en.pdf, 12.08.2007, S. 4.



Thema jeden Mitarbeiter betrifft. Die Kosten für eine Umsetzung dieser Maßnahme im

Rahmen von reinen Präsenzveranstaltungen würden den erwarteten Nutzen übersteigen.

Darüber hinaus wäre dies unter budget- und koordinierungstechnischen Gesichtspunkten

kaum realisierbar, wie die Ausführungen dieses Kapitels veranschaulicht haben.113

Bei den genannten Vorteilen bleibt jedoch zu beachten, dass der Nutzer eines WBTs den

direkten Kontakt mit anderen Kursteilnehmern und Dozenten durch isoliertes Lernen am

PC einbüßt. Die Freiheit des selbstgesteuerten Lernens erfordert umgekehrt ein ungleich

höheres Maß an Selbstdisziplin.114 Diese Bedenken haben u. a. zum Konzept des

„Blended Learning“ geführt, das Gegenstand des nächsten Abschnitts ist.

3.3.3 Blended Learning

Unter Blended Learning wird die „Kombination von Präsenzlehre mit telemedialen

Lehrangeboten, die eine komplette methodisch-didaktische Neuorganisation der Inhalte,

neue Qualifikationen des Dozenten und einschlägige technologische Grundlagen zur

Voraussetzung hat“115, verstanden. Die Neuerung besteht somit in der Kombination der

Vorteile der Präsenzveranstaltung mit denen des E-Learnings. „Alten Wein in neuen

Schläuchen“ zu verkaufen genügt jedoch dem Anspruch des Blended Learning nicht.

Lerninhalte und deren Vermittlung müssen an die neuen methodischen und didaktischen

Möglichkeiten im Sinne des Wissensmanagements angepasst werden. Wissensmanage-

ment bezeichnet dabei „die Menge der in einem Unternehmen entwickelten Prozesse, um

Wissen zu erzeugen, zu sammeln, zu speichern, weiterzugeben und anzuwenden“116. Zu

diesem Zwecke wird ein allgemeiner Lernprozess etabliert, der drei Phasen vorsieht:117

Vorbereitungsphase

Aneignungsphase

Nachbereitungsphase

Ziel der Vorbereitungsphase ist die Homogenisierung der Vorkenntnisse der Kursteil-

nehmer. Über ein Portal können den Kursteilnehmern vorab Informationen, z. B. in Form

von kurzen WBTs, zur Verfügung gestellt werden. Chaträume bieten die Möglichkeit

113 Vgl. Dittler, U.: E-Learning Einsatzkonzepte und Erfolgsfaktoren des Lernens mit interaktiven

Medien, S. 39.

114 Vgl. Dietrich, Stephan; Fuchs-Brüninghof, Elisabeth, u. a.: Selbstgesteuertes Lernen – Auf dem Weg

zu einer neuen Lernkultur, a. a. O., S. 7.

115 Kleimann, Bernd; Wannmacher, Klaus: E-Learning an deutschen Hochschulen – Von der

Projektentwicklung zur nachhaltigen Implementierung, Hannover: HIS 2004, S. 5.

116 Laudon, Kenneth C.; Laudon, Jane P.; Schoder, Detlef: Wirtschaftsinformatik – Eine Einführung,

München et al.: Pearson Studium 2006, S. 453.




eines ersten Austauschs über die Lerninhalte zwischen den Teilnehmern. Der Dozent

erhält somit erste Anhaltspunkte über den Wissensstand und mögliche Probleme, die der

geplante Lerninhalt verursachen könnte.118

Die Aneignungsphase baut auf die Vorbereitungsphase auf und ist in der Regel als Prä-

senzveranstaltung ausgerichtet. Das Verständnis für die seitens der Teilnehmer vorbe-

reiteten Lerninhalte wird vertieft. Elektronisch schwer darstellbare Sachverhalte ver-

mittelt der Dozent persönlich; Rückfragen durch die Teilnehmer können jederzeit gestellt

werden. Schwerpunktmäßig ist diese Präsenzphase als Workshop auszurichten, in dem

Handlungskompetenzen vermittelt werden. Der persönliche Kontakt dient der Lenkung

und Motivation des Kursteilnehmers.119

In der Nachbereitungsphase werden die behandelten Lerninhalte reflektiert und auf pra-

xisnahe Fälle transferiert. Der Erfahrungsaustausch zwischen den Teilnehmern spielt eine

gewichtige Rolle. Durch die Wiederholung des Lerninhalts, z. B. in Diskussionen von

Online-Foren, wird dieser nachhaltig gefestigt.120

Abb. 9: Der Einsatz von Blended Learning im Rahmen einer Sensibilisierungs-

Kampagne

118 Vgl. Baumbach, Janet; Kornmayer, Evert; Volkmer, Ralf; Winter, Heike: Blended Learning in der

Praxis – Konzepte, Erfahrungen & Überlegungen von Aus- und Weiterbildungsexperten, Dreieich:

Imselbst-Verlag 2004, S. 24.


120 Vgl. Baumbach, Janet; Kornmayer, Evert; Volkmer, Ralf; Winter, Heike: Blended Learning in der

Praxis – Konzepte, Erfahrungen & Überlegungen von Aus- und Weiterbildungsexperten, a. a. O.,

S. 24.

VorbereitungVorbereitung AneignungAneignung NachbereitungNachbereitung

Wirkung

verstärken

WBT,

Gruppen-

diskussion

Wissen

vermitteln

WBT,

Präsenzlehre

Aufmerk-

samkeit

gewinnen

Poster,

Flyer

VorbereitungVorbereitung AneignungAneignung NachbereitungNachbereitung

Wirkung

verstärken

WBT,

Gruppen-

diskussion

Wissen

vermitteln

WBT,

Präsenzlehre

Aufmerk-

samkeit

gewinnen

Poster,

Flyer

4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 34


Abb. 9 zeigt die Phasen des allgemeinen Lernprozesses. Dieser kann, wie das Wasserfall-

modell verdeutlicht, beliebig oft wiederholt werden. Ausgestaltet werden die einzelnen

Phasen mit einem systematischen Mix aus traditioneller Präsenzlehre und elektronischen

Elementen. Beispielhaft wurde das Thema der zuvor beschriebenen Sensibilisierungs-

Kampagne aufgegriffen. Der Text in den Blockpfeilen zählt mögliche Medien zur

Erreichung des jeweiligen Phasen-Ziels an. WBTs können einen breiten Teil der

Sensibilisierungs-Kampagne abdecken. Das ergänzende Angebot von Präsenzveranstal-

tungen kann flexibel in der Aneignungsphase oder der Nachbereitungsphase erfolgen.

Äquivalent ist das Blended Learning-Konzept für Schulungen anwendbar. Für

Ausbildungen im Sinne des Learning-Kontinuums können WBTs lediglich eine unter-

stützende Funktion einnehmen, da zur Erlangung eines Zertifikats Tests einer unabhän-

gigen Institution erforderlich sind.

Die Ausführungen dieses Kapitels haben gezeigt, dass WBTs einen zentralen Baustein

zur Vermittlung von Grundwissen in Bezug auf die Stufen „Sensibilisierung“ und

„Schulung“ des Learning-Kontinuums bilden.121 Daher werden im Rahmen dieser Arbeit

WBTs als eine geeignete Methode zur Realisierung von Schulungs- und Sensibili-

sierungsmaßnahmen zur IT-Sicherheit identifiziert. Das folgende Kapitel 4 erläutert die

verschiedenen Aspekte, die zur Konzeption eines WBTs erforderlich sind.

4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern

4.1 Zur Eignung von Standard-Vorgehensmodellen in komplexen Lernfeldern

Die Erstellung eines WBTs erfordert mehr als die Auswahl eines lernpsychologischen

Ansatzes. Design im Sinne eines ansprechenden visuellen Konzepts und die Ausgewo-

genheit des Medieneinsatzes tragen maßgeblich zum Erfolg eines Lernkonzepts im

Rahmen des E-Learning bei. Hierfür steht ein Set von Bausteinen zur Verfügung, über

die die Abschnitte 4.3, 4.4 und 4.5 einen kurzen Überblick geben. Die dort beschriebenen

Komponenten werden abhängig von den Bedürfnissen und Anforderungen der jeweiligen

Zielgruppe, bzw. des Lernthemas, aufeinander abgestimmt und zu einem adäquaten

Konzept vereint.


IT-Sicherheit, a. a. O., S. 679.



Abb. 10: Standard-Vorgehensmodell zur Konzeption eines WBT122

Doch wie wirken sich komplexe Lernthemen und die Forderung nach Unternehmens-

unabhängigkeit auf die vorgeschaltete Zielgruppenanalyse und die Systematisierung des

Lernthemas aus? Können diese entscheidenden Vorarbeiten nach Standard-Kriterien oder

einem Standard-Vorgehen abgehandelt werden?

Ausgehend von diesen zentralen Fragen wird in den folgenden Abschnitten zunächst das

in Abb. 10 dargestellte Standard-Vorgehen erläutert. Es folgt die kritische Würdigung

dessen mit einem Vorschlag zur Anpassung des Vorgehensmodells zur Konzeption von

WBTs. Im Ergebnis wird dieses für einfache und komplexe Themenfelder im unter-

nehmensunabhängigen Kontext gleichermaßen geeignet sein. Eine erschöpfende Be-

handlung aller existierenden Strukturelemente eines WBTs ist hingegen nicht beab-

sichtigt, dies würde den Rahmen dieser Arbeit sprengen.

4.2 Konzeptionelle Vorarbeiten

4.2.1 Zielgruppenanalyse

Standardmäßig sieht die Zielgruppenanalyse die Sammlung von Informationen über den

Nutzer in den folgenden Schwerpunkten vor:123

122 Eigene Darstellung in Anlehnung an Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren,

entwickeln, gestalten, München, Wien: Carl Hanser Verlag 2003, S. 106.

123 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und

Planer, 3. vollständig überarbeitete Auflage, Berlin et al.: Springer Verlag 2002, S. 204 f.

Inhalte

Richtziel

Programmstruktur

Lernpsycho-

logischer

Ansatz

Multimediale

Umsetzung

Visuelles

Konzept

Grobziel

Feinziel

Lernthema

Themenfeld 2

Themenfeld 3

Lernmodul

Lerneinheit

Lernschritt

Themenfeld 1

Zielgruppenanalyse: Rahmenbedingungen

• Soziographisches Profil

• Lernort• Medienkompetenz

• Vorkenntnisse • Lernzeit

• Lernsituation

Lernzielhierarchie und Lernmodul

Inhalte

Richtziel

Programmstruktur

Lernpsycho-

logischer

Ansatz

Multimediale

Umsetzung

Visuelles

Konzept

Grobziel

Feinziel

Lernthema

Themenfeld 2

Themenfeld 3

Lernmodul

Lerneinheit

Lernschritt

Themenfeld 1

Zielgruppenanalyse: Rahmenbedingungen

• Soziographisches Profil

• Lernort• Medienkompetenz

• Vorkenntnisse • Lernzeit

• Lernsituation

Lernzielhierarchie und Lernmodul



Soziographisches Profil

Medienkompetenz

Angaben zu Lernort, -zeit und -situation

Generelle Motivation

Vorwissen in Bezug auf den Lernstoff

Die Konsequenzen dieser Aspekte für die Konzeption von WBTs sind leicht einsehbar:

Nachweislich haben Alters- und Bildungsstrukturen Einfluss auf die Medienkompetenz

und damit einhergehend auch auf die Motivation, mit WBTs zu lernen.124 Diese spezifi-

schen Umstände finden u. a. im visuellen Konzept Berücksichtigung: Klassisches,

funktionales Design für Altersgruppen ab ca. 25 Jahre; Kreativität und Abwechslung für

die jüngere Lerngruppe. Ein Ausgleich mangelnder Medienkompetenz kann durch er-

weiterte Hilfefunktionen erfolgen.125

Lernort und –zeit schränken ggf. die Aufnahmemöglichkeiten der Lernenden ein. Wird

bspw. am Arbeitsplatz gelernt, sollten die Lerneinheiten möglichst kurz gehalten werden.

Sprechertexte könnten gänzlich entfallen auf Grund mangelnder Ausstattung mit

Audioausgabegeräten. Hilfefunktionen brauchen hingegen nicht verstärkt angeboten

werden, wenn die Lernsituation ein einführendes Präsenzseminar zur Bedienung der

Anwendung vorsieht.126

Die Berücksichtigung von Vorkenntnissen in heterogen ausgebildeten Zielgruppen ist nur

mit speziell programmierten Lösungen umzusetzen, insofern nur ein gemeinsames WBT

für die gesamte Nutzergruppe erstellt werden soll. Durch Anlage eines Eingangstests

kann der aktuelle Wissensstand des Nutzers abgefragt werden. Abhängig vom Test-

ergebnis werden Lernmodule zusammengestellt, die ausschließlich diejenigen Lernin-

halte vermitteln, deren Fragen der Nutzer nicht korrekt beantwortet hat.127

Die Untersuchung der Rahmenbedingungen ist eine effektive Methode zur Sammlung

von Grundlageninformationen für die Konzeption eines WBTs. Losgelöst hiervon sieht

das Standard-Vorgehen die Strukturierung der Lerninhalte in einer Lernzielhierarchie

vor, deren Konstruktion Thema des folgenden Abschnitts ist.

124 Vgl. Statistisches Bundesamt (Hrsg.): Informationstechnologie in Unternehmen und Haushalten

2005, a. a. O., S. 49 f.

125 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,

S. 94 f.


S. 96.


S. 95.



4.2.2 Strukturierung der Lerninhalte in einer Lernzielhierarchie

Lernziele und –inhalte können nicht gelöst voneinander erarbeitet werden; vielmehr

ergänzen und bedingen sich beide Perspektiven, um anschließend bei der Erstellung von

Lernmodulen zusammen geführt zu werden. Das Vorgehen zur Erstellung einer Lern-

zielhierarchie umfasst standardmäßig zwei Schritte:

Sammlung und Strukturierung der Inhalte

Erstellung einer Lernzielhierarchie

Themenfelder können sehr vielseitig sein und durch eine unüberschaubare Masse an

Quellen dargeboten werden. Daher ist es wichtig, die Lerninhalte zunächst auf ihre Eig-

nung zur Lehrvermittlung zu untersuchen, zu sammeln und in einer geeigneten Form zu

strukturieren. Ein Instrument zur Unterstützung dieser Phase ist die Mind Map. Sie fun-

giert als Schnittstelle zwischen Themenstrukturierung und einer ersten Formulierung von

möglichen Lernzielen.128 Abb. 11 zeigt beispielhaft einen Auszug einer Mind Map zum

Thema „Sensibilisierung Mitarbeiter“. Abgehend vom Hauptthema wurden Unterzweige

angelegt, die jeweils ein assoziiertes Unterthema repräsentieren. Nach dem Prinzip der

hierarchischen Dekomposition folgen weitere Unterzweige, die das Thema bis zur

kleinsten Einheit in einer Hierarchie systematisieren. Die Erstellung einer solchen Mind

Map erfolgt idealerweise im Rahmen eines Brainstorming, bei dem ein Teilnehmer für

die simultane Erweiterung der Mind Map verantwortlich ist.


S. 101.



Abb. 11: Auszug einer Mind Map zum Thema „Sensibilisierung der

Mitarbeiter“

Die Lernzielhierarchie entsteht schließlich Top-Down mit dem Richtziel. Dieses drückt

ein gewünschtes Zielverhalten des Nutzers bezogen auf das allgemeine Lernthema

aus.129 Dieses lässt sich aus der IT-Sicherheitsrichtlinie als dem zentralen Dokument

innerhalb des IT-Sicherheitsmanagements ableiten.130 Im oben eingeführten Beispiel

könnte dies „Sensibilisierung der Mitarbeiter für die IT-Sicherheit“ lauten. Logisch ver-

knüpft mit diesem Beispiel wären u. a. die Einheiten „Korrekter Umgang mit Passwör-

tern“ und „Sicheres Surfen im Internet“. Diese Ziele sind weniger abstrakt, sie befinden

sich in der Mind Map (und damit der Lernzielhierarchie) eine Ebene tiefer und werden

„Grobziele“ genannt. Aus Ihnen können konkrete Lernmodule entwickelt werden. Eine

weitere Aufspaltung in „Feinziele“ erlaubt die Ableitung von umsetzungsnahen Lernein-

heiten. Dies wäre im Kontext des Grobziels „Korrekter Umgang mit Passwörtern“ die

Ableitung der einzelnen Lerneinheiten „Sichere Passwörter bilden“ oder „Passwörter

richtig aufbewahren“. Einzelne Lernschritte erfolgen bspw. durch eine Darstellung

alltäglicher Situationen, in denen Mitarbeiter den Umgang mit Passwörtern lernen

können.

Fazit: Im Standardfall werden Lernmodule ausschließlich aus der Lernzielhierarchie,

genauer aus den Grobzielen, abgeleitet. Die Effektivität dieses Standard-Vorgehens in


Planer, a. a. O., S. 28.


2006, a. a. O., S. 95.



Kombination mit der eingangs vorgestellten Zielgruppenanalyse wird im folgenden Ab-

schnitt näher untersucht.

4.2.3 Unternehmensunabhängige Zielgruppenanalyse und komplexe

Lernfelder

Die Forderung nach einem Vorgehensmodell, das unternehmensunabhängig einsetzbar

ist, lässt den Sinn einer Zielgruppenanalyse nach Standardkriterien nur bedingt sinnvoll

erscheinen. Informationen etwa über das soziographische Profil können nicht repräsen-

tativ eingeholt werden. Studien über die Nutzung von Internet (bzw. Intranet) am Ar-

beitsplatz liefern zumindest erste Anhaltspunkte für die Medienkompetenz der Ziel-

gruppe. Demnach setzen 84% aller deutschen Unternehmen Computer im Arbeitsablauf

ein, 78% davon nutzen das Internet.131 Im Finanzdienstleistungsbereich setzen sogar

62% das Intranet als Informationsinstrument ein, 37% nutzen diese Medien für webba-

sierte Schulungen.132 Diese Zahlen, Tendenz steigend, verdeutlichen, dass aus Sicht der

Medienkompetenz keine Abstriche in Bezug auf ein WBT-Angebot vorgenommen wer-

den müssen.

Lernort ist annahmegemäß der Arbeitsplatz; Sprechertexte sind somit durch ein paralleles

Textangebot zu ergänzen, um den ggf. fehlenden Audio-Ausgabegeräten vorzubeugen.

Das simultane Angebot von Sprechertext und Textblasen kann jedoch zu einer

Beeinträchtigung des Lernerfolgs führen (Redundanzprinzip).133 Wird der Fließtext nicht

als Ersatz für den Sprechertext benötigt, kann die Redundanz durch das Schließen des

Fensters durch den Nutzer beseitigt werden.

Die Lernzeit ist am Arbeitsplatz ebenso eingeschränkt. Auf eine effektive Modularisie-

rung der Inhalte muss verstärkt geachtet werden.134 „Sensibilisierungs“-Module bspw.

können kurz gehalten werden (maximal 20 Minuten), um die gewünschte Wirkung zu

erzielen. Schulungs-Module hingegen sollten einen Zeitrahmen von etwa 60 Minuten

umfassen.135


2005, a. a. O., S. 28 f.


2005, a. a. O., S. 33.

133 Vgl. Niegemann, Helmut M.: Besonderheiten einer Didaktik des E-Learning, in: Grundlagen der

Berufs- und Erwachsenenbildung, Band 48, eLearning-Didaktik, Hrsg.: Arnold, Rolf; Lermen,

Markus, Baltmannsweiler: Schneider Verlag 2006, S. 70.


Planer, a. a. O., S. 227 f.

135 Vgl. Kunz, Thomas: IT-Security – Ausbildung mit einem multimedialen CBT, in: E-Learning –

Einsatzkonzepte und Erfolgsfaktoren des Lernens mit interaktiven Medien, Hrsg.: Dittler, U., 2.

Auflage, München; Wien: Oldenbourg Verlag 2003, S. 43.



Die spezifische Lernsituation, also inwiefern ein Blended Learning-Konzept genutzt

wird, soll nicht ausschlaggebend für die Konzeption des WBTs sein. Die Lernziele sollen

auch ohne Präsenzveranstaltung erreichbar sein, ergänzende Angebote diesbezüglich

könnten jedoch optional von dem jeweiligen Unternehmen als Verstärkung angeboten

werden. In Zusammenhang mit dem Thema der IT-Sicherheit gilt diese Annahme bspw.

für die Ebenen „Sensibilisierung“ und „Schulung“. Für die tiefergehende Ausbildung sind

Präsenzveranstaltungen unumgänglich, wie bereits in Kapitel 3 dargelegt wurde.

Nach wie vor ist die Berücksichtigung von Vorkenntnissen von Bedeutung. Eine Unter-

forderung für einen Teil der Zielgruppe wirkt demotivierend und kann somit zur Lern-

zielverfehlung führen. Der entsprechende Lösungsansatz für dieses Problem wurde mit

dem Eingangstest und der entsprechenden Auswahl von Lerninhalten bereits aufgezeigt.

Jedoch ist die Zielgruppenanalyse im Falle von komplexen Lernfeldern mit den Stan-

dardkriterien nicht abgeschlossen. Vielmehr muss eine „Bedürfnisanalyse“ durchgeführt

werden, da der Mitarbeiter das Themengebiet nicht richtig einschätzen kann. Die

Vorgesetzten stehen vor der Herausforderung, nur diejenigen Kurse für ihre Mitarbeiter

auszuwählen, die deren spezifischen Tätigkeitsfeldern am förderlichsten sind. Die Lücke

zwischen Soll- und Ist-Qualifikation erfordert die Erarbeitung eines effektiven

Schulungskonzepts, das strikt an den Bedürfnissen der Nutzer ausgerichtet ist.136 Die

Erkenntnisse aus dieser Analyse dienen dazu, die Lernmodule rollengerecht „zuzu-

schneiden“. Die Verzahnung beider Aspekte - Zielgruppe als auch Lernthema - kann

soweit gehen, dass die Mitarbeiter- oder Rollenbedürfnisse schon in die Systematisierung

des Lernthemas anhand einer Mind Map einfließen. In diesem Fall kann eine Mind Map

pro Zielgruppe und Unterthema angefertigt werden. Der Vorteil dieses Vorgehens liegt

in der nahtlosen Verwendung von modularisierten Lerninhalten aus der Mind Map der

„Zielgruppe A“ in die Mind Map der „Zielgruppe B“. Bspw. kann das Thema „Haftung“

sowohl in der Mind Map „Sensibilisierung von Mitarbeitern“ als auch in der Mind Map

„Sensibilisierung von Managern“ verwendet werden. Unter Berücksichtigung der sich

ändernden Bedürfnisse der Zielgruppen im Zeitablauf und von Unternehmen zu

Unternehmen liegt die Erleichterung und Verringerung des Konzipierungsaufwands auf

der Hand.

Die genannten Überlegungen führen zu einem angepassten Vorgehensmodell, das in Abb.

12 gezeigt wird. Die farblichen Markierungen verdeutlichen den Zusammenhang

zwischen Zielgruppenanalyse und Lernzielhierarchie einerseits und der Bildung von

zielgruppengerechten Lernmodulen andererseits.

136 Vgl. Sauter, Annette M.; Sauter, Werner; Bender, Harald: Blended Learning – Effiziente Integration

von E-Learning und Präsenztraining, a. a. O., S. 17.



Abb. 12: Angepasstes Vorgehensmodell für komplexe Lernfelder im

unternehmensunabhängigen Kontext

Die Grundlagen zur Bildung der Programmstruktur (lernpsychologischer Ansatz, visu-

elles Konzept und multimediale Umsetzung) bleiben im angepassten Vorgehensmodell

standardisiert. Die universell kombinierbaren Elemente der einzelnen Dimensionen

werden in den folgenden Abschnitten kurz vorgestellt. Das Learning Management Sys-

tem als mögliche Form der Organisation der WBTs bildet den Abschluss dieses Kapitels.

Lernmodul I

Lerneinheit 2

Lerneinheit 1

Zielgruppen-spezifisches E-Learning im Rahmen von

Schulungs- und Sensibilisierungsmaßnahmen zur

IT-Sicherheit



IT-Sicherheit

LernzielhierarchieZielgruppe

Rahmenbedingungen

Grobziele

Richtziel

Feinziele

Lernschritt 1

Lernschritt 2

Lernmodul II

Lerneinheit 2

Lerneinheit 1

Lernschritt 1

Lernschritt 2

Lernmodul n

Lerneinheit 2

Lerneinheit 1

Lernschritt 1

Lernschritt 2

Zielgruppengerechte Lernmodule

Programmstruktur

Lernpsycho-

logischer

Ansatz

Multimediale

Umsetzung

Visuelles

Konzept

WBT I

Rollenbedürfnisse

Learning Management System

WBT II WBT n

Lernmodul I

Lerneinheit 2

Lerneinheit 1



IT-Sicherheit



IT-Sicherheit

LernzielhierarchieZielgruppe

Rahmenbedingungen

Grobziele

Richtziel

Feinziele

Lernschritt 1

Lernschritt 2

Lernmodul II

Lerneinheit 2

Lerneinheit 1

Lernschritt 1

Lernschritt 2

Lernmodul n

Lerneinheit 2

Lerneinheit 1

Lernschritt 1

Lernschritt 2

Zielgruppengerechte Lernmodule

Programmstruktur

Lernpsycho-

logischer

Ansatz

Multimediale

Umsetzung

Visuelles

Konzept

WBT I

Rollenbedürfnisse

Learning Management System

WBT II WBT n



4.3 Lernpsychologischer Ansatz

4.3.1 Wahl der Lehrstrategie

Die Wahl der Lehrstrategie hängt, wie eingangs bereits erwähnt, in hohem Maße von der

Zielgruppe und den Lerninhalten ab. Liegen diese Informationen erst einmal vor, kann

aus einem gegebenen Set die optimale Strategie gewählt werden. Äquivalent zu dem in

Kapitel 3.3.3 präsentierten Prozess des Blended Learning kann zunächst zwischen drei

Grundphasen der Lehrstrategie unterschieden werden: 137

Vorbereitung

Aneignung und

Nachbereitung

Die Vorbereitungsphase dient der Erläuterung des Kursverlaufs und der Aktivierung der

Vorkenntnisse. Anschließend folgt die strukturierte Vermittlung von Lerninhalten in der

Aneignungsphase. Diese kann durch verschiedene Lehrstrategien ausgestaltet werden, die

im Folgenden kurz charakterisiert werden. Die Nachbereitungsphase dient der Festigung

des zuvor präsentierten Lerninhalts mittels Tests und Feedback, deren Formen im

Abschnitt 4.3.2 behandelt werden.

Zu den Strategien der Aneignungsphase zählen die Ausbildung von

Faktenwissen

intellektuellen Fähigkeiten

Verhaltensweisen und

praktischen Fähigkeiten

Ist das gewünschte Zielverhalten hauptsächlich auf die Vermittlung von Faktenwissen

ausgerichtet, eignet sich u. a. ein tutorielles System zur Führung des Nutzers durch die

einzelnen Lernschritte. Innerhalb dieser Lernschritte kann der Nutzer jedoch frei zwi-

schen den verschiedenen Sequenzen „springen“; es steht ein begrenzt offener Lernweg

zur Verfügung.138

Ziel der Ausbildung von intellektuellen Fähigkeiten ist das Entwickeln einer kontext-

übergreifenden Problemlösungskompetenz. Erreicht wird dies durch praxisnahe Fallbei-

spiele, an die der Nutzer mit gleich ausgerichteten Lernwegen aus verschiedenen Pers-

pektiven (Wissenspräsentation und Test) herangeführt wird. Nach Bearbeitung jeder




S. 107.



Teilaufgabe erhält der Nutzer ein differenziertes Feedback und wird somit in die Lage

versetzt, vernetzt zu denken und Probleme konstruktiv zu lösen.139

Ähnlich ist das Vorgehen bei der Ausbildung von Verhaltensweisen. Der Nutzer wird mit

einem Verhalten in einer realen Situation konfrontiert, das entweder richtig oder falsch

ist. Auf eine Demonstration falschen Verhaltens folgt die unmittelbare Richtigstellung.

Ein Abschlusstest kann die jeweiligen Situationen erneut aufgreifen und eine Beurteilung

dieser fordern. Diese Strategie eignet sich besonders zur Sensibilisierung von Nutzern in

Hinblick auf ein gewünschtes Zielverhalten.140

Praktische Fähigkeiten können adäquat über Simulationen oder Mikrowelten trainiert

werden, die dem Nutzer ein unmittelbares Feedback für Interaktionen mit dem Lern-

system liefern. Diese Art der Strategie erreicht den höchsten Komplexitätsgrad und er-

fordert Zeit für die technische Umsetzung.141

Allen Ansätzen ist die Überprüfung des Zielverhaltens durch Tests gemein. Daher werden

im nächsten Abschnitt verschiedene Aufgabentypen erläutert, die sich zur Lerner-

folgskontrolle eignen.

4.3.2 Aufgabenkonstruktion und Lernerfolgskontrolle

Zur Überprüfung des in der Lernzielhierarchie festgelegten Zielverhaltens eignen sich je

nach Lerninhalt bestimmte Aufgaben, nach deren Bearbeitung ein Feedback konstruiert

wird. In ihren Grundformen werden folgende Aufgabentypen unterschieden:142

Ja/Nein-Aufgaben,

Auswahlaufgaben

Markierungsaufgaben

Reihenfolgenaufgaben

Zuordnungsaufgaben und

Textaufgaben

Bei Ja/Nein-Aufgaben kann der Nutzer mit einer 50-prozentigen Wahrscheinlichkeit die

richtige Antwort erraten. Dieser Umstand erfordert das Stellen von komplexeren Fragen,


S. 108.


S. 110.


S. 111.


S. 145 und Lau, Christoph: eLearning – Lernprozess und Lernfortschrittskontrolle, Hamburg:

Diplomica GmbH 2003, S. 91ff.



wie bspw. das Prüfen einer Liste auf Vollständigkeit. Auswahlaufgaben sind in ihrer

Ausgestaltung ähnlich. Der Nutzer muss entweder eine, keine oder mehrere richtige

Antworten ankreuzen. Richtige Lösungen können auch hier ggf. leicht erraten werden,

jedoch besteht die Möglichkeit der Erschwerung des Ratens, indem themenverwandte

Antworten vorgegeben werden, die nicht richtig sind. Positiv hervorzuheben bei beiden

Aufgabentypen ist die leichte Gestaltung von Fragen und Feedback.143

Praktischer orientiert sind Markierungsaufgaben, bei denen der Nutzer gefragte Teile

eines Bildes markiert. Bspw. wird dem Nutzer das Bild einer typischen Bürosituation

vorgelegt, anhand dessen dieser markieren soll, an welchen Stellen Gefährdungen der IT-

Sicherheit versteckt sind. Erleichterungen können gegeben werden, indem die relevanten

Stellen durch das einfache Überfahren mit der Mouse markiert werden (Mouse-Over-

Effekt). Reihenfolgenaufgaben hingegen fordern den Nutzer auf, eine Zahl von

Elementen in einer bestimmten Reihenfolge anzuordnen. Eine Schulung für einen

IT-Sicherheitsmanager könnte diesen bspw. auffordern, die Phasen des Lebenszyk-

lus-Modells richtig anzuordnen. Bei Zuordnungsaufgaben aber handelt es sich um die

generelle Zuordnung von Teilen zu einem vorgefertigten Bild. Bspw. könnten vorgefer-

tigte Textbausteine per Drag&Drop als Beschriftung von Teilen eines Servers angeboten

werden. Feedback wird in den drei Fällen über das Anzeigen der richtigen Lösung oder

durch Anzeigen der richtig markierten/platzierten Elemente gegeben.144

Die Abfrage von komplexem Wissen erfolgt durch Texteingabe-Aufgaben. Dies ist in

Form von Freitext oder Lückentext realisierbar. Beide Formen sind nicht oder nur sehr

schwer durch hohen Programmieraufwand zu kontrollieren – ein Feedback kann nicht

ohne weiteres gegeben werden.145

Daher sollte die Auswahl von Aufgabentypen mit Bedacht geschehen. Nur so wird si-

chergestellt, dass das gewünschte Zielverhalten richtig gefestigt und kontrolliert wird.

4.4 Medienrealisation

Der Einsatz von Multimedia zur Lehrvermittlung beeinflusst entscheidend die Behal-

tensleistung des Lernenden. Durch Adressierung des Sprach- und Bildgedächtnisses in

geschickten Variationen können komplexe Lerninhalte anschaulich dargestellt und ver-


S. 145 ff.


S. 148 f.


S. 151.



mittelt werden. So kann die Behaltensleistung von 20 % (alleinige Aufnahme von akus-

tischen Signalen über das Sprachgedächtnis, wie z. B. bei Präsentationen oder Vorle-

sungen) auf beachtliche 90 % (gleichzeitige Adressierung von Sprach- und Bildge-

dächtnis in Verbindung mit direkter Anwendung des Lerninhalts) gesteigert werden.146

Die Verwendung von Multimedia erfolgt daher standardmäßig über die Formen

Text

Grafiken

Ton

Digitalvideo und

Animation.

Der Fantasie sind keine Grenzen gesetzt, insofern jedes eingesetzte Medium zur Ver-

mittlung eines Lerninhalts verwendet wird und nicht zum bloßen Selbstzweck. Andern-

falls würde allein die Konzentrationsfähigkeit des Lernenden auf die Probe gestellt, nicht

aber sein Zielverhalten positiv beeinflusst. Im Folgenden werden die einzelnen Medien

kurz in ihrer Wirkung dargestellt.

Text ist das beständigste Medium zur Verdeutlichung von Zusammenhängen. Er kann

beliebig oft gelesen werden, was jedoch auch seinen größten Nachteil widerspiegelt:

Lesen am Bildschirm ermüdet die Augen. Daher sollte beim Einfügen von Text auf kurze

Textpassagen geringer Zeilenlänge geachtet werden. Abschnitte, Aufzählungen und

Überschriften strukturieren zusätzlich und erleichtern das Lesen.147

Alternativ oder ergänzend zum Text können Grafiken verwendet werden. 81% aller

Informationen werden vom Auge aufgenommen.148 Grafiken bieten dabei eine geeignete

Variante zur Darstellung komplexer Sachverhalte auf einen Blick. Im Kontext von

Sensibilisierungsmaßnahmen kommt ihnen eine hervorgehobene Bedeutung zu: Reali-

tätsnahe Bilder können emotionale Reize verursachen, die Informationen stärker ins

Bewusstsein vordringen lassen als reiner Text. Die Aufmerksamkeit des Lernenden kann

somit auch über einen längeren Zeitraum gehalten werden.149


S. 187.


S. 189.


S. 188.


S. 190 f.



Töne können in verschiedener Art und Weise das Sprachgedächtnis ansprechen. Spre-

chertexte eignen sich zur Einführung in verschiedene Kapitel ebenso wie zur abwechs-

lungsreichen Wissensvermittlung. Musik oder eine Geräuschkulisse dienen hingegen der

Erzeugung von authentischen Stimmungen oder Situationen, mit denen sich der Lernende

identifizieren kann. Feedback, bspw. für richtige oder falsche Antworten, wird über

Signale vermittelt. Diese Arten von Tönen können zu einem positiven Lerneffekt

beitragen – aber auch störend für den Lernenden sein. Die Möglichkeit zur Abschaltung

des Tons oder zur Lautstärkenregulierung sollte daher immer vorhanden sein. Wichtige

Sprechertexte sollten schlagwortartig in ihren wichtigsten Aussagen per Fließtext

angeboten werden. Die Möglichkeit zur Wiederholung einer Sprechersequenz ist für den

Lernenden jedoch nur dann sinnvoll, wenn der gesprochene Text angemessen

modularisiert ist. Langes Suchen nach einzelnen Textpassagen verleitet den Lernenden

eher zur Übergehung – und somit zur nur flüchtigen Aufnahme des Mediums „Ton“- als

zum aktiven Lernen.150

Soll ein bestimmtes Verhalten trainiert werden, sind Digitalvideos ein geeignetes Me-

dium. Sie können Demonstrationen des gewünschten Zielverhaltens abspielen und im

Anschluss den Lernenden die Aktionen wiederholen lassen. Ebenso können lebensnahe

Probleme dargestellt werden, zu denen der Lernende (durch Interaktion mit dem Lern-

system) Lösungsvorschläge direkt anwenden kann. Einsatzmöglichkeiten sind in jeder

Art denkbar und variierbar. Die bewegten Bilder gehören jedoch auch den „flüchtigen“

Medien an, so dass die Möglichkeit einer Wiederholung über entsprechende Bedien-

elemente gegeben sein muss.151

Werden diese Elemente im Sinne der Multimedialität miteinander kombiniert, ist eine

Konstruktionsregel sinnvoll: Erst erscheint der Ton, dann das Bild und erst zum Schluss

der Text. So werden Sprachgedächtnis und Bildgedächtnis nacheinander angesprochen,

der Text kann zum Abschluss beliebig oft gelesen werden, um das zuvor Gehörte und

Gesehene zu verinnerlichen.152

4.5 Visuelles Konzept

Die Herausforderung bei der Erarbeitung eines visuellen Konzepts liegt in der Gestaltung

einer intuitiven, funktionalen Benutzeroberfläche, die zugleich ästhetischen und


S. 192 ff.


S. 196 ff.


S. 199 f.



lernpsychologischen Ansprüchen genügen soll. Während Navigationskonzepte und

Prinzipien zur Raumaufteilung kognitive Metastrukturen beim Nutzer hinterlassen, die

ihm helfen sich im Lernprogramm zurecht zu finden, dient das grafische Design der

Lenkung der Aufmerksamkeit durch emotionale Reize und somit der Verbesserung der

Behaltensleistung.153

Wie bereits in Abschnitt 3.3 erläutert, basiert ein WBT u. a. auf dem Konzept des

selbstgesteuerten Lernens. Dieses Konzept funktioniert jedoch nur, wenn die Navigati-

onshilfen im WBT den Lernenden maximal beim Management der Lerninhalte

unterstützen.154 Unverzichtbar ist daher das Hauptmenü (eine Art Inhaltsverzeichnis in

typischer Baumstruktur) das zu jedem Zeitpunkt einsehbar ist. Es zeigt dem Lernenden

auf, in welchem Kapitel er sich befindet und welchen Grad sein Lernfortschritt erreicht

hat.

Das Navigieren zwischen den einzelnen Kapiteln kann in verschiedenen Strukturen er-

folgen. Sind wenige oder keine Grundkenntnisse vorhanden, ist eine lineare Navigation

empfehlenswert, die im Sinne des tutoriellen Prinzips eine sequentielle Führung durch

die einzelnen Lerneinheiten unterstützt. Nutzern mit Vorkenntnissen entspricht unter

Umständen eher eine hierarchische Navigation. Sie können von einem zentralen Menü

aus die einzelnen Lerneinheiten in beliebiger Reihenfolge ansteuern und den Lernweg

selbst bestimmen. Vernetzte Navigationsstrukturen verzichten fast gänzlich auf eine

externe Steuerung des Lernweges. Hyperlinks führen den Lernenden an die gewünschten

Stellen im WBT. Diese Art von Strukturierung verlangt allerdings ein gewisses Maß an

Erfahrung von den Nutzern, da immer die Gefahr der Verfehlung des Lernziels besteht,

wenn nicht alle Lerneinheiten im Sinnzusammenhang absolviert wurden.155

Eine übersichtliche und einfache Darstellung der Navigationselemente erhöht die

Transparenz und ermöglicht eine durchgängige Orientierung im WBT zu jeder Zeit.

Realisiert wird dies typischerweise in einem Master-Template, das Kopf- und/oder Fuß-

zeile eines WBTs definiert und farblich vom Gestaltungsbereich abgrenzt.156 Das Auge

wandert nach wahrnehmungspsychologischen Erkenntnissen von der oberen linken Ecke

einer Seite zu deren unteren rechten Ecke. Daher ist es sinnvoll, in die obere linke Ecke

der Kopfzeile ein Logo zu platzieren, wie z. B. das Firmenlogo. Direkt im Anschluss


S. 226 f.




S. 203 ff.





sollten im Sinne der Orientierung Informationen über das Lernmodul, die Lektion, die

Lerneinheit und den Lernschritt, in denen sich der Lernende derzeit befindet, eingefügt

werden.157

Während die Kopfzeile zur reinen Orientierung gedacht ist, können in der Fußzeile

konkrete Navigationselemente verwendet werden. Das Hauptmenü mit Hyperlinks zu den

einzelnen Lektionen oder Lernschritten ist ebenso wichtig wie ein Glossar, über das

zentrale Begriffe des WBTs angesteuert werden können. Metaphern als verlinkte Grafi-

ken vereinfachen den Gebrauch dieser Hilfen für den Nutzer. Z. B. kann für das An-

steuern eines Glossars ein Buch verwendet werden, das in der Fußzeile jeder Seite stets

an der gleichen Stelle zu finden ist.158 Zur Navigation in Lernsequenzen sind Pfeile

unabdingbar, die den Lernenden von einem Lernschritt zum nächsten führen. Die je-

weiligen Ausgestaltungen können demnach je nach angewandter Lehrstrategie variieren.

Wenig erfahrene Nutzer benötigen u. U. kontextbezogene Hilfesysteme. Die Zahl der

Möglichkeiten scheint unbegrenzt, jedoch sollte unter Raumaufteilungsaspekten beachtet

werden, dass der Lernbereich das dominierende Element darstellt. Aktions- und

Informationsfelder sollten auf maximal drei im sichtbaren Bereich beschränkt werden.

Darüber hinausgehendes Angebot kann bspw. hinter Hyperlinks verborgen werden. Die

Grundregel der „Einfachheit und Effizienz“ gilt hier vorrangig.159

Bei der grafischen Gestaltung ist auf die harmonische Verwendung von Farben, Formen

und Grafiken im Sinne eines Corporate Designs zu achten.160 Für Lernumgebungen hat

sich eine unaufdringliche Schlichtheit bewährt, die die Aufmerksamkeit des Nutzers nicht

vom Lerninhalt ablenkt.161 Durch Verwendung gleicher Schriftformate und Farbge-

bungen nach Standard des jeweiligen Unternehmens kann ein E-Learning-Konzept

nahtlos in die Arbeitsumgebung (z. B. Intranet) integriert werden. Diese soll eine

Lernatmosphäre vermitteln, die der Nutzer als professionell und angenehm empfindet.

Beispiele zum Screendesign werden in Kapitel 6 näher erläutert, das die konkrete prak-

tische Gestaltung von WBTs für einen Finanzdienstleister dokumentiert.


S. 213 f.




S. 225 f.




S. 230.



4.6 Das Learning Management System als organisatorischer Rahmen

Im vorangegangenen Abschnitt wurde bereits das Thema der Integration von WBTs in

die Arbeitsumgebung angesprochen. Das Wissensmanagement bietet den Rahmen für

organisationales Lernen. Die Speicherung von Wissen ermöglicht die Integration dessen

in Unternehmensprozesse und speziell in die Unternehmenskultur.162 Ein Learning Ma-

nagement System stellt dazu relevante Werkzeuge für die Verwaltung, Bereitstellung,

Nachverfolgung und Bewertung verschiedener Lernformen von Unternehmensmitar-

beitern bereit.163 Konstituierende Merkmale eines LMS werden in der Literatur wie folgt

enumeriert:164

Benutzerverwaltung (Anmeldung mit Verschlüsselung)

Kursverwaltung (Kurse, Verwaltung der Inhalte, Dateiverwaltung)

Rollen- und Rechtevergabe mit differenzierten Rechten

Kommunikationsmethoden (Chat, Foren) und Werkzeuge für das Lernen (White-

board, Notizbuch, Annotationen, Kalender, etc.)

Darstellung der Kursinhalte, Lernobjekte und Medien in einem netzwerkfähigen

Browser

Die Benutzerverwaltung ermöglicht u. a. eine Lernerfolgskontrolle durch eine Historie

der bereits abgeschlossenen Kurse inklusive der erworbenen Punktzahl. Dies ist zum

einen eine effiziente Möglichkeit zur Prüfung der Effektivität des Online-Lehrangebots.

Zum anderen ermöglicht es den Nutzern ihren Leistungsstand einzusehen und dement-

sprechend ihr Lernmanagement auszurichten.

Eine Anmeldung mit Benutzernamen ermöglicht nur diejenigen Kursinhalte anzuzeigen,

die für die jeweilige Person relevant sind. Diese Funktion ist von entscheidender Be-

deutung für das Lernfeld der IT-Sicherheit, wie das folgende Kapitel anschaulich darle-

gen wird.

162 Vgl. Laudon, Kenneth C.; Laudon, Jane P.; Schoder, Detlef: Wirtschaftsinformatik – Eine

Einführung, a. a. O., S. 453.

163 Vgl. Laudon, Kenneth C.; Laudon, Jane P.Schoder, Detlef: Wirtschaftsinformatik – Eine

Einführung, a. a. O., S. 469.

164 Vgl. Schulmeister, R: Lernplattformen für das virtuelle Lernen – Evaluation und Didaktik, 2.

Auflage, München, Wien: Oldenbourg Verlag 2005, S. 10.

5 IT-Sicherheit als komplexes Lernfeld 50


5 IT-Sicherheit als komplexes Lernfeld

5.1 Zur Komplexität des Lernfelds „IT-Sicherheit“

Das in Kapitel 4 vorgestellte generelle Vorgehensmodell zur Konzeption von WBTs

behandelt schwerpunktmäßig konzeptionelle Vorarbeiten, die abhängig vom Lernfeld

unterschiedlich umfangreich ausfallen können. Die Zielgruppenanalyse (inklusive rol-

lenspezifischer Bedürfnisanalyse) und die Systematisierung des Lernfelds in verschie-

dene Lernmodule anhand einer Lernzielhierarchie bilden die Kernbestandteile des Vor-

gehensmodells. Diese Komponenten werden in den folgenden Abschnitten spezifisch auf

das Lernfeld der IT-Sicherheit hin entwickelt und konkretisiert. Die Komplexität dieses

Anwendungsfalls zeigt sich in zwei Aspekten: Zum einen sind potentiell alle Mitarbeiter

eines jeden Unternehmens von Schulungs- und Sensibilisierungsmaßnahmen zur IT-

Sicherheit betroffen; die Zielgruppe kann demnach sehr heterogen bezüglich der in

Abschnitt 5.2 vorgestellten Zielgruppen-Kategorie -Analyse ausfallen. Zum anderen

eröffnet das Lernfeld der IT-Sicherheit eine Vielzahl unterschiedlicher Lernmodule, die

nicht für jeden Mitarbeiter gleichermaßen relevant sind. Die spezifischen Rollen der

Mitarbeiter bedingen ein heterogenes Lernbedürfnis.165

Die geforderte Unternehmensunabhängigkeit gebietet ein pragmatisches Vorgehen bei

der Identifizierung von Zielgruppen, sowie bei der Abgrenzung der diesen Zielgruppen

zuzuordnenden Lernmodule. Standards, Richtlinien und Best Practices zur IT-Sicherheit

helfen diese konzeptionellen Vorarbeiten zu harmonisieren. Als Basis für die Untersu-

chungen in diesem Kapitel dienen die folgenden Publikationen:166

ISO/IEC 27001:2005, Information technology – Security techniques – Informa-

tion security management systems – Requirements und ISO/IEC 17799:2005,

Information technology – Security techniques – Code of practice for information

security management

IT-Grundschutz-Kataloge: Stand 2006 des Bundesamts für Sicherheit in der In-

formationstechnik (BSI)

“The Standard of Good Practice for Information Security” des International Secu-

rity Forum (ISF)

“A user’s guide: How to raise Information Security Awareness” der European

Network and Information Security Agency (ENISA)

165 Zur Notwendigkeit der Berücksichtigung von heterogenen Lernbedürfnissen vgl. die Abschnitte

3.2.2 und 4.2.1.

166 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-4:2000, Information

Technology – Guidelines for the management of IT-Security – Part 4: Selection of safeguards,

Online im Internet (kostenpflichtig): www.iso.org, 24.07.2007, S. 16.



ISO/IEC TR 13335-3:1998 – Information technology - Guidelines for the man-

agement of IT Security - Part 3: Techniques for the management of IT Security

und ISO/IEC TR 13335-4:2000, Information technology – Guidelines for the

management of IT-Security – Part 4: Selection of safeguards

National Institute of Standards and Technology (NIST) 800-12, 800-16 und

800-50

Andere wesentliche Richtlinien wie die „Guidelines for the Security of Information

Systems and Networks: Towards a Culture of Security“ der OECD oder die „Control

Objectives for Information and Related Technology“ (COBIT) des IT Governance In-

stitute (ITGI) werden an dieser Stelle nicht näher betrachtet, da sie zwar auch auf die

Notwendigkeit von Schulungs- und Sensibilisierungsmaßnahmen hinweisen, jedoch

keinerlei Hinweise zur praktischen Ausgestaltung liefern.167 Die in diesen Standards,

Richtlinien und Best Practices erwähnten Zielgruppen und Lernmodule werden im Fol-

genden vergleichend gegenübergestellt. Hierzu werden im nächsten Abschnitt generelle

Anforderungen an eine Zielgruppenbildung definiert. Anschließend erfolgt die Untersu-

chung der aufgelisteten Standards in Hinblick auf diese Anforderungen.

5.2 Zielgruppen

5.2.1 Anforderungen an Zielgruppen

Die Aufbauorganisation mit definierten Aufgaben, Stellen, Kompetenzen und Verant-

wortlichkeiten ist unternehmensindividuell verschieden. Aus Effizienzgründen ist es

nicht erstrebenswert, die Schulungs- und Sensibilisierungsmaßnahmen an einzelnen

Stellen oder Aufgaben festzumachen. Vielmehr sollte eine Orientierung an – gemessen

an den Erfordernissen der Schulungs- und Sensibilisierungsmaßnahmen – möglichst

homogenen, gleichartigen Gruppierungen, sog. Rollen, erfolgen. Diese Mitarbeiter-

Rollen können dann wiederum als Zielgruppen der Schulungs- und Sensibilisierungs-

maßnahmen betrachtet werden. Die in diesem Abschnitt zu identifizierenden Zielgruppen

müssen daher zwei Hauptanforderungen erfüllen: Zum einen soll eine möglichst große

Anzahl von Rollen in einem Unternehmen zu den aggregierten Zielgruppen zugeordnet

werden können (Standardisierung der Zielgruppenbildung). Zum anderen sollen diese

jedoch flexibel erweiterbar sein, um sich den speziellen Gegebenheiten eines Un-

ternehmens anpassen zu können. Wird der Wille des betrachteten Unternehmens vor-

ausgesetzt, eine kurz- bis mittelfristige Zertifizierung nach ISO/IEC 27001 anzustreben,

167 Vgl. OECD (Hrsg.): The Promotion of a Culture of Security for Information Systems and Networks

in OECD Countries, Online im Internet: http://www.oecd.org/dataoecd/16/27/ 35884541.pdf,

12.08.2007, S. 9.



sollten die dort geforderten Präliminarien beachtet werden. Die dort genannten Ziel-

gruppen sind im Einzelnen:168

Management

Mitarbeiter

Vertragspartner

Dritte

Zusätzlich erfolgt der Hinweis auf die Notwendigkeit einer rollenspezifischen Anpassung

der Lerninhalte. Die in den folgenden zwei Abschnitten erläuterten Zielgruppen-

einteilungen aus den oben genannten Publikationen behandeln diese Notwendigkeit mit

unterschiedlicher Tiefe, wie ein zusammenfassender Vergleich zeigt. Zur besseren

Übersicht werden die Publikationen nach ihrer Ausrichtung unterteilt. Während ISO/IEC

TR 13335 und die NIST-Standards das Thema der Schulung und Sensibilisierung

hauptsächlich aus IT- und damit einer eher technisch orientierten Perspektive betrachten,

folgen die restlichen Publikationen einem Management-orientierten Ansatz.

5.2.2 IT-orientiertes Rollenverständnis

ISO/IEC TR 13335-3 schlägt gemäß seiner technischen Prägung eine Einteilung der

Zielgruppen in Hinblick auf ihren Bezug zur IT vor:169

Personal verantwortlich für die Entwicklung und das Design von IT-Systemen

Personal verantwortlich für den Betrieb der IT-Systeme

Unternehmensleitung, IT-Projektleiter, Sicherheitsbeauftragte

Personal verantwortlich für die Administration der IT-Sicherheit.

NIST 800-12 gibt zusätzlich den Hinweis, dass zwar alle Mitarbeiter für IT-Sicherheit

verantwortlich sind, sich aber unterschiedliche Verantwortungen und Pflichten aus den

folgenden Rollen ergeben:170

Senior Management

Program/Functional Manager/Application Owner

Computer Security Management



S. 26.

169 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-3 1998, Information

Technology – Guidelines for the management of IT-security – Part 3: Techniques for the

management of IT-Security, Online im Internet (kostenpflichtig): www.iso.org, 24.07.2007 S. 26.


Online im Internet: http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf, 12.08.2007,

S. 15.



Technology Provider

Supporting Organizations

User

Der Standard liefert zu jeder dieser Rollen eine kurze Beschreibung über die Aufgaben

der Mitglieder.171 Die vorgeschlagenen Rollen sollen dem Leser jedoch nur als Hilfestel-

lung bei der Identifizierung von Rollen im eigenen Unternehmen dienen. Nicht jede dieser

Rollen existiert in jedem Unternehmen. Dem Anwender wird daher empfohlen, eine

Anpassung der Rollen an das eigene Unternehmen vorzunehmen.172 Zusammen mit den

Grundschutz-Katalogen des BSI ist NIST 800-16 der einzige Standard, der nicht nur

aggregierte Zielgruppen nennt, sondern gleichzeitig detaillierte Rollenbeschreibungen

anbietet. Er identifiziert 26 Rollen für Schulungs- und Sensibilisierungsmaßnahmen zur

IT-Sicherheit in Unternehmungen, die Tab. 3 auflistet. Diese Differenzierung ist als

Vorschlag des Instituts zu verstehen und beinhaltet nur diejenigen Rollen eines

Unternehmens, die für IT-Sicherheit relevant sind.173 Die Rollenaufteilung spiegelt dabei

das klassische Zentralrechner-Konzept der 1980er Jahre wider;174 die nachfolgende

Tabelle listet diese Rollen auf.

Rolle Beschreibung

1 IT Security Officer/Manager

2 System Owner

3 Information Resources Manager

4 Program Manager

5 Auditor, Internal

6 Network Administrator

7 System Administrator

8 System Designer/Developer

9 Auditor, External

171 Eine ausführliche Rollenbeschreibung befindet sich im Anhang, Tab. 13.


a. a. O., S. 15.


a. a. O., S. 46.


a. a. O., S. 26.



Rolle Beschreibung

10 Contracting Officer’s Technical Representative (COTR)

11 Programmer/System Analyst

12 Systems Operations Personal

13 Information Resources Management Official, Senior

14 Chief Information Officer

15 Database Administrator

16 Data Center Manager

17 Certification Reviewer

18 Contracting Officer

19 User

20 Designated Approving Authority (DAA)

21 Technical Support Personnel

22 Records Management Official

23 Source Selection Board Member

24 Freedom of Information Act Official

25 Privacy Act Official

26 Telecommunications Specialist

Tab. 3: Rollen nach NIST 800-16175

Um die anschließende Zuordnung zu Lernmodulen zu vereinfachen, wurden die folgen-

den sechs Funktionen im Umgang mit der IT aus der Aggregation der Rollen herausge-

stellt:176

Verwalten

Erwerb

Aufbau und Entwicklung


a. a. O., S. 47.


a. a. O., S. 27 f.



Implementierung und Betrieb

Nachprüfung und Evaluierung

Benutzung

Jede der 26 Rollen kann eine oder mehrere dieser Funktionen betreffen. Um zukünftige

Entwicklungen innerhalb der IT in diesem Modell abbilden zu können, existiert in allen

Funktionen der Platzhalter „Weitere“. Entstehen durch neue Entwicklungen in der IT

weitere Funktionen, so können diese an der Stelle des Platzhalters eingefügt werden.

5.2.3 Management-orientiertes Rollenverständnis

Das ISF nimmt in seiner Publikation “The Standard of Good Practice for Information

Security” eine eindeutige Identifizierung von Zielgruppen vor. Hierzu flossen vielseitige

praktische Erfahrungen und internationale Standards in die Ausarbeitung mit ein.177 Die

Identifizierung von Zielgruppen wird im Thema Security Management betrachtet und ist

somit nicht technisch ausgerichtet. Hierbei werden vier Zielgruppen aufgelistet:178

Top Management

Business Manager / User

IT Staff

External Personnel

Die IT-Grundschutz-Kataloge des BSI beschäftigen sich in ihrem 3. Kapitel mit der

Identifizierung von Rollen in Unternehmen. Es werden insgesamt 45 Rollen identifiziert.

Da die Verwendung der Rollenbezeichnungen nicht in jedem Unternehmen einheitlich

ist, wurde zusätzlich eine Rollenbeschreibung veröffentlicht. Jeder Mitarbeiter kann auf

diese Weise (mehr oder weniger eindeutig) einer oder mehreren Rollen zugeordnet

werden.179 Eine Auflistung sämtlicher Rollen inklusive Beschreibung befindet sich im

Anhang in Tab. 14. Da diese Vielzahl an Rollen für die Einführung von zielgrup-

penspezifischen Schulungs- und Sensibilisierungsmaßnahmen auf Grund ihrer

Komplexität ungeeignet scheint, identifiziert Maßnahme 2.312 „Konzeption eines

Schulungs- und Sensibilisierungsprogramms zur IT-Sicherheit“ aggregierte Zielgruppen.

Für die Analyse der Zielgruppen in Unternehmen wird eine enge Orientierung an den

177 Vgl. International Security Forum (Hrsg.): ISF best practices 2004, Online im Internet:

http://www.isfsecuritystandard.com/index_ns.htm, 12.08.2007, S. 8.

178 Vgl. International Security Forum (Hrsg.): ISF best practices, a. a. O., S. 78.


2006, a. a. O., S. 35.



Bedürfnissen und Vorkenntnissen der IT-Benutzer empfohlen. Das BSI listet als

Beispielergebnis einer solchen Analyse folgende Zielgruppen auf:180

Management

Mitarbeiter

Administratoren

Externe Mitarbeiter

Diese Zielgruppen bilden jedoch nur die oberste Aggregationsebene und setzen sich daher

zum Teil aus weiteren Zielgruppen zusammen. So besteht z. B. die Zielgruppe der

Mitarbeiter u. a. aus Mitarbeitern in der Softwareentwicklung und der Personalabteilung.

Da die Kenntnisse zur IT-Sicherheit innerhalb der Untergruppen voneinander abweichen

und abhängig von der jeweiligen Rolle auch die Bedürfnisse unterschiedlich ausgeprägt

sind,181 schlagen die IT-Grundschutz-Kataloge in der Maßnahme 3.45 „Planung von

Schulungsinhalten zur IT-Sicherheit“ die Berücksichtigung weiterer Parameter zur

Ermittlung der relevanten Zielgruppen vor. Entscheidend für die Einteilung der

Mitarbeiter in Zielgruppen sind demnach deren Ausbildungsabschlüsse, die Berufs-

erfahrung, sowie die Aufgabe und die Rolle der Mitarbeiter.182 Auf diese Weise lassen

sich anstatt der zu Beginn ermittelten vier Zielgruppen die folgenden sechs Zielgruppen

identifizieren:183

Vorgesetzte

IT-Sicherheitsmanagement

Datenschutzbeauftragter

Infrastrukturverantwortlicher

Benutzer

Administratoren

Werden die vorherigen Zielgruppen mit den als entscheidend erachteten Zielgruppen

verglichen, so fallen einige Unterschiede auf. Die ehemals eigenständige Zielgruppe

„Externe Mitarbeiter“ verschwindet und geht in der allgemeinen Zielgruppe „Benutzer“

auf. Zusätzlich werden die Rollen „Datenschutzbeauftragter“ und

„IT-Sicherheitsmanagement“ auf Grund Ihrer Bedeutung für die IT-Sicherheit als eigen-


2006, a. a. O., S. 1747 f.


2006, a. a. O., S. 1748.


2006, a. a. O., S. 2127.


2006, a. a. O., S. 2128.



ständige Zielgruppen identifiziert. Es handelt sich hierbei um keine abschließende Auf-

zählung von Zielgruppen. Die IT-Grundschutz-Kataloge weisen darauf hin, dass in ei-

nigen Unternehmen auch weitere zusätzliche Zielgruppen existieren können. Die Auf-

zählung muss in diesem Fall entsprechend ergänzt werden.184

Die Zielgruppen-Einteilung der ENISA orientiert sich im Wesentlichen an denen des

ISO/IEC 17799 (Geschäftsleitung, IT-Management, Business Management und Mitar-

beiter), vernachlässigt jedoch Dritte oder externe Mitarbeiter gänzlich.185 Positiv hervor-

zuheben sind die praktischen Anhaltspunkte zur Identifikation konkreter Rollen in einem

Unternehmen anhand folgender Fragen:186

Wen soll die Sensibilisierungs-Kampagne erreichen?

Gibt es Gruppen mit identischen oder differierenden Informationsbedürfnissen?

Wie soll einer Gruppe der Inhalt einer Sensibilisierungs-Kampagne vermittelt

werden?

Haben alle Zielgruppen dieselben, bzw. vergleichbare Vorkenntnisse?

Der folgende Abschnitt stellt nun die IT- und Management-orientierten Zielgruppen

vergleichend gegenüber, um eine geeignete Auswahl treffen zu können.

5.2.4 Auswahl relevanter Zielgruppen

Durch die Ausführungen in den vorherigen Abschnitten wird ersichtlich, dass kein ein-

heitliches Verständnis über die Zielgruppen existiert. Die Unterschiede ergeben sich

sowohl aus der Benennung der Zielgruppen, als auch aus deren Anzahl und deren Aus-

gestaltung. Auffällig ist die Tatsache, dass NIST 800-16 keine Zusammenfassung von

einzelnen Rollen zu Zielgruppen vornimmt, sondern in einem zweiten Schritt eine Zu-

ordnung von Lerninhalten zu den jeweiligen Rollen vorsieht. Darüber hinaus ist eine

technische Sicht auf die Zielgruppenanalyse nicht sinnvoll. Die Schulungs- und Sensi-

bilisierungsmaßnahmen werden typischerweise von der Personalabteilung gesteuert und

überwacht. Der geforderte Pragmatismus bei der Zielgruppeneinteilung wird von den

technischen Standards auf Grund ihrer Orientierung an der IT und der damit einherge-

henden Komplexität nicht erfüllt. Die Gegenüberstellung der Zielgruppen in Tab. 4 be-

inhaltet daher nur die Management-orientierten Lösungen.


2006, a. a. O., S. 2128.

185 Vgl. European Network and Information Security Agency (Hrsg.): A User’s Guide: How to raise

Information Security Awareness 2002, Online im Internet: http://www.cepis.org/files/cepis/docs/

20070323115452_enisa_a_users_guide_how_to_rai.pdf, 12.08.2007, S. 9 f.

186 Vgl. European Network and Information Security Agency (Hrsg.): A User’s Guide: How to raise

Information Security Awareness 2002, a. a. O., S. 23.



Zielgruppen ISO/IEC

17799

IT-Grundschutz-

Kataloge

ENISA

Handbuch

ISF Best

Practices

Management X X X X

Mitarbeiter X X X X

Administratoren X X

Dritte X X X

Geschäftsführer X X

IT-

Sicherheitsmanagement

X

Datenschutzbeauftragter X

Tab. 4: Vergleich der identifizierten Zielgruppen

Bei der Betrachtung der Matrix fällt auf, dass die Zielgruppen „Management“ und

„Mitarbeiter“ von allen Standards als relevant angesehen werden. Die Zielgruppe „Ad-

ministratoren“ wird (mit Ausnahme des ISF „Best practices“ und ISO/IEC 17799) als

eigenständige Kategorie benannt, ebenso wie die der „Dritten“187 im weiteren Sinne

(außer ENISA). Zu diesen Zielgruppen lässt sich ein Großteil der Rollen eines Unter-

nehmens zuordnen. Dies ist wichtig, da, wie bereits in Kapitel 2 gezeigt wurde, die

IT-Sicherheit nur dann gewährleistet werden kann, wenn sie von allen Beteiligten glei-

chermaßen respektiert wird.

Im Ergebnis wurden somit die vier Zielgruppen

Management

Mitarbeiter

Administratoren

Dritte

identifiziert, die unternehmensunabhängig verwendet werden und bei Bedarf angepasst

werden können. Für die in diesem Kapitel ermittelten vier Zielgruppen werden im Fol-

genden relevante Lernmodule identifiziert.

187 Die Zielgruppe “Dritte” umfasst externe Mitarbeiter und Vertragspartner.



5.3 Lernmodule

5.3.1 Anforderungen an Lernmodule

Lernmodule dienen vor allem der Zerlegung des komplexen Themas der IT-Sicherheit in

einzelne, überschaubare Lerneinheiten, die in WBTs umgesetzt werden können. Diese

sind an den Bedürfnissen der einzelnen Zielgruppen auszurichten und ermöglichen so die

Versorgung jeder Zielgruppe mit den für sie relevanten Informationen. Daher ergeben

sich als Hauptanforderungen an Lernmodule die Relevanz für die zuvor identifizierten

Zielgruppen sowie deren flexible Anpassungsmöglichkeiten. Wie auch bei der Auswahl

der Zielgruppen sollen mindestens die von ISO/IEC 27001 (bzw. ISO/IEC 17799)

geforderten Lernmodule adressiert werden, um einer potentiellen Zertifizierung zu

genügen. Diese sind im Einzelnen:188

Sicherheitsanforderungen

IT-Compliance und deren Kontrollprozesse

Korrekte Behandlung von informationsverarbeitenden Medien

Die nachfolgenden Abschnitte unterteilen die betrachteten Standards erneut in IT- und

Management-orientierte Publikationen, wobei die Anzahl der betrachteten Publikationen

geringer ausfällt. Dies liegt daran, dass die fehlenden Publikationen keine verwertbaren

Aussagen zu den Inhalten der Schulungs- und Sensibilisierungsmaßnahmen treffen.

5.3.2 IT-orientierte Lernmodule

ISO/IEC TR 13335-3 weist darauf hin, dass jedes Unternehmen ein Schulungsprogramm

entwickeln sollte. Als Themen werden insgesamt fünf Module vorgeschlagen:189

Was ist IT-Sicherheit?

Der IT-Sicherheitsprozess

Schutzmaßnahmen

Rollen und Verantwortungen

IT-Sicherheitsrichtlinie

Weitaus komplexer sind die Inhalte der Lernmodule nach NIST 800-16. Zur Identifizie-

rung möglicher Lernmodule bietet das NIST mehrere Matrizen. In den Spalten werden



S. 26.

189 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-3: 1998,

Information Technology – Guidelines for the management of IT-security – Part 3: Techniques for

the management of IT-Security, a. a. O., S. 26.



die im vorangegangenen Abschnitt vorgestellten Rollen zum Lebenszyklus der IT abge-

bildet. Die Zeilen spiegeln die Lerninhalte wieder. Der erste Lerninhalt umfasst Gesetze

und Regularien. Die Planung und Verwaltung von IT-Sicherheitsprogrammen bilden die

zweite Einheit. Abschießend folgt der Lebenszyklus der IT mit den folgenden Subkate-

gorien:190

Initiierung

Entwicklung

Test und Evaluierung

Implementierung

Betrieb

Vernichtung

Die Kombination beider Dimensionen führt zu insgesamt 54 Zellen (siehe Tab. 5). Die

Zeile „Other“ stellt – analog zu Spalte G „Other“ – den bereits erläuterten Platzhalter dar.

Bei Bedarf können weitere sinnvolle Funktionen oder Schulungsgebiete eingesetzt

werden. In der folgenden Abbildung wurden acht Zellen geschwärzt, die keine sinnvollen

Lerninhalte ergeben. Z. B. ist es ineffektiv, einen Mitarbeiter, der mit der Beschaffung

neuer IT beauftragt ist, über Lerneinheit 3.6 „Termination“ und somit über die Ver-

nichtung der IT am Ende des Lebenszyklus zu schulen. Dies wäre sinnvoller für einen

Mitarbeiter, der an der Implementierung und Bedienung von IT beteiligt ist. Für die 46

restlichen Zellen sind Lerneinheiten konzeptionierbar. Die Training-Matrix kann für alle

26 Rollen im Unternehmen definiert werden. An dieser Stelle sind dann nicht mehr die

Rollen nach dem Lebenszyklus der IT maßgeblich, sondern die in Tab. 3 aufgelisteten,

typischen Zielgruppen.191 Eine inhaltliche Beschreibung der einzelnen Lerneinheiten

findet nicht statt. Zu beachten ist, dass es sich bei den vorgestellten Lernmodulen um

reine Schulungsinhalte handelt. Zur Konzeption einer Sensibilisierungs-Kampagne sind

diese daher nicht geeignet.


a. a. O., S. 9.

191 Beispiele für eine Matrix der Rolle „User“ und der Rolle „Chief Information Officer“ finden sich im

Anhang in Tab. 15, bzw. Tab. 16.



Training Matrix Functional Specialties

Training Areas

A

Manage

B

Acquire

C

Design

and

Develop

D

Implement

and

Operate

E

Review

And

Evaluate

F

Use

G

Other

1. Laws and

Regulation

(LaR)

1. LaR

2. Security

Program

2.1 Planning

2.2 Management

3. System Life

Cycle Security

3.1 Initiation

3.2 Development

3.3 Test and

Evaluation

3.4 Implementation

3.5 Operations

3.6 Termination

4. Other

Tab. 5: IT-Security Training Matrix192

5.3.3 Management-orientierte Lernmodule

Im Vergleich zu den Ausführungen des NIST ist die Identifizierung von Lerninhalten und

deren Zuweisung zu Rollen nach Maßnahme 2.134 der IT-Grundschutz-Kataloge weitaus

weniger komplex. In der Maßnahme „Planung von Schulungsinhalten zur IT-Sicherheit“

benennen die IT-Grundschutz-Kataloge die in Tab. 6 aufgeführten 13 Module. Für jedes

dieser Module bietet das BSI eine Auflistung der zu behandelnden Unterthemen.193 So

wird z. B. aufgeführt, dass im Modul 1 Themen wie die „Grundprinzipien der IT-

Sicherheit“ oder wesentliche „Sicherheitsregeln für Mitarbeiter“ behandelt werden

sollen.194


a. a. O., S. 27.

193 Im Anhang befinden sich drei exemplarische Mind Maps mit den von den IT-Grundschutz-

Katalogen vorgeschlagenen Lerninhalten (Module 1-3).


2006, a. a. O., S. 2129.



Modul Bezeichnung

1 Grundlagen der IT-Sicherheit

2 IT-Sicherheit am Arbeitsplatz

3 Gesetze und Regularien

4 IT-Sicherheitskonzept der Organisation

5 Risikomanagement

6 IT-Sicherheitsmanagement

7 IT-Systeme

8 Operativer Bereich

9 Technische Realisierung von Sicherheitsmaßnahmen

10 Notfallvorsorge/Notfallplanung

11 Neue Entwicklungen im IT-Bereich

12 Betriebswirtschaftliche Seite der IT-Sicherheit

13 Infrastruktur-Sicherheit

Tab. 6: Lernmodule nach IT-Grundschutz-Kataloge195

5.3.4 Auswahl relevanter Lernmodule

Die Training-Matrix des NIST bietet die umfangreichste Einteilung an Lernmodulen,

wohingegen die IT-Grundschutz-Kataloge die Auswahl auf 13 beschränken. Inhaltlich

weisen die Lernmodule des NIST eine technische Prägung durch die Orientierung am

Lebenszyklus der IT auf. Die IT-Grundschutz-Kataloge hingegen heben den Aspekt des

IT-Managements hervor, indem sie bspw. durch das 12. Modul auch betriebswirtschaft-

liche Aspekte der IT-Sicherheit berücksichtigen. Tab. 7 stellt die Ausprägungen der

Lernmodule nach NIST und der IT-Grundschutz-Kataloge in Bezug auf die eingangs

genannten Anforderungen vergleichend gegenüber.


2006, a. a. O., S. 2127 f.



Kriterium NIST IT-Grundschutz-Kataloge

Umfang 46 Module 13 Module

Inhalt IT-orientiert Management-orientiert

Relevant für ausgewählte

Zielgruppen? Nur teilweise Ja

Flexibel anpassbar? Ja Ja

Konform mit ISO/IEC 17799? Ja Ja

Tab. 7: Lernmodule des NIST und der IT-Grundschutz-Kataloge im Vergleich

Der Umfang der Lernmodule nach NIST ist auf den ersten Blick nur schwer ersichtlich.

Die technische Ausrichtung anhand des Lebenszyklus der IT lässt eine Komplexität

entstehen, die für fachfremde Beteiligte nicht intuitiv fassbar ist. Pro Zielgruppe muss

eine gesonderte Matrix betrachtet werden. Somit ist das System des NIST zwar anpas-

sungsfähig, dies jedoch mit erhöhtem Aufwand. Die IT-Grundschutz-Kataloge hingegen

haben an dieser Stelle einen entscheidenden Vorteil: Die Einteilung in 13 Module anhand

einer Matrix, die Zielgruppen und Lernmodule gleichermaßen integriert, ist übersichtlich

und leicht verständlich. Daher eignen sich diese besonders gut für die initiale Einführung

von Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit. Änderungen können

jederzeit ohne großen Aufwand vorgenommen werden. Ein Vergleich der Lernmodule

der IT-Grundschutz-Kataloge mit den Vorgaben der International Organization for

Standardization zeigt, dass sich beide Standards decken, bzw. dass die IT-Grundschutz-

Kataloge noch weitere Vorschläge für Lernmodule aufzeigen. Wird darüber hinaus die

Relevanz der Lernmodule für die zuvor ausgewählten Zielgruppen in die Betrachtung mit

einbezogen, sind die IT-Grundschutz-Kataloge im Vorteil, da Zielgruppen als auch

Lernmodule Management-orientiert sind. Die IT-orientierten Lernmodule des NIST

eignen sich nur teilweise für die identifizierten Zielgruppen. Aus diesen Gründen werden

im Folgenden die Lernmodule der IT-Grundschutz-Kataloge für das weitere Vorgehen

ausgewählt.

Der folgende Abschnitt integriert die bisher gewonnenen Erkenntnisse zur Zielgruppen-

und Lerninhalts-Spezifizierung unter Einbezug des Learning-Kontinuums in ein dreidi-

mensionales Modell.



5.4 Zwischenfazit: Ableitung des „Learning-Cube“

Die oben angeführten Standards haben gezeigt, dass das Thema der IT-Sicherheit ein

komplexes Lernfeld ist, im Zuge dessen einer Vielzahl von heterogenen Zielgruppen breit

gefächerte Lerninhalte vermittelt werden müssen. Nach eingehender Betrachtung wurden

Zielgruppen und Lernmodule identifiziert. Diese zweidimensionale Sicht wird im

Folgenden durch das in Kapitel 3 vorgestellte Learning-Kontinuum erweitert, da zur

sukzessiven Steigerung der IT-Sicherheit durch Implementierung einer IT-Sicherheits-

kultur ein stufenartiges Vorgehen notwendig ist.196 Die Kombination dieser drei Haupt-

perspektiven führt zu einem dreidimensionalen Modell in Form eines Würfels (vgl. Abb.

13), der im Folgenden als „Learning-Cube“ bezeichnet wird. Die Lernmodule wurden

hier aus darstellungstechnischen Gründen auf drei beschränkt.

Jeder Schnittpunkt der drei Dimensionen führt zu kleineren Teilwürfeln, die einzelne

Lernmodule repräsentieren. Hier wird die Kompatibilität des Learning-Cubes zum in

Kapitel 4 vorgestellten angepassten Vorgehensmodell deutlich. Dieses forderte, die Ziel-

gruppenanalyse sowie die Lernziele zur IT-Sicherheit miteinander zu verbinden, um

zielgruppengerechte Lernmodule zu bilden.197 Diese dienen als Basis für die spätere

Konzeption und Abgrenzung von WBTs. Die Lernmodule des Learning-Cubes stellen

solche zielgruppengerechte Lernmodule dar. Daher eignet sich der Learning-Cube

besonders, um unternehmensunabhängig als eine „Auswahlliste“ im Sinne einer visuellen

Checkliste eingesetzt zu werden: Jeder Teilwürfel steht für ein potentielles Lernmodul,

das innerhalb eines WBTs oder auch anderer Instrumente der Wissensvermittlung

umgesetzt werden kann. Die Berücksichtigung von Vorkenntnissen erfolgt durch die

Einteilung der Zielgruppen in Anfänger (A), Fortgeschrittene (F) und Experten (E). Ka-

pitel 4 erläuterte bereits, dass diese Unterschiede z. B. durch Eingangstests zu Beginn

eines WBTs abgefangen werden können.

196 Vgl. zum stufenartigen Vorgehen die Ausführungen des Abschnitts 3.2: Learning-Kontinuum.

197 Vgl. Abb. 12.



Abb. 13: Der Learning-Cube zum Thema „IT-Sicherheit“

Um dieses Konzept in die Praxis umsetzen zu können, müssen jedoch unternehmensin-

dividuelle Modifikationen vorgenommen werden. In einem ersten Schritt ist mit den

Verantwortlichen zu klären, welche Zielgruppen, bzw. Lernmodule, für das jeweilige

Unternehmen relevant sind. Bspw. kann es vorkommen, dass das Unternehmen keine

externen Mitarbeiter beschäftigt. Nicht benötigte Teilwürfel können somit geschwärzt

werden. Dies ist vergleichbar mit der Darstellung der Lernmodule im NIST 800-16, bei

der ebenfalls leere Felder identifiziert wurden.198

In einem zweiten Schritt muss geprüft werden, welche Lernmodule ggf. durch schon

existierende Schulungen abgedeckt sind. Die verbleibenden Lernmodule repräsentieren

198 Vgl. zum Schwärzen von Feldern die Ausführungen zu Trainings-Matrizen des NIST in Abschnitt

5.3.2.

Gesetze und

Regularien

Zie

lgru

ppen

A

F

E

F

A

E

E

F

A

F

A

E

Grundlagen der

IT-Sicherheit

IT-Sicherheit am

Arbeitsplatz

Lernmodule

Managementebene

Dritte

Mitarbeiterebene

Administratorenebene

Lear

ning

-Kon

tinuu

m

Schulung

Sensibilisierung

Ausbildung

Schulung

Gesetze und

Regularien

Zie

lgru

ppen

A

F

E

F

A

E

E

F

A

F

A

E

Grundlagen der

IT-Sicherheit

IT-Sicherheit am

Arbeitsplatz

Lernmodule

Managementebene

Dritte

Mitarbeiterebene

Administratorenebene

Lear

ning

-Kon

tinuu

m

Schulung

Sensibilisierung

Ausbildung

Schulung

6 Prototypische Konzeption von WBTs zur IT-Sicherheit 66


jeweils ein potentiell umzusetzendes WBT. Zur Reduktion der Komplexität kann wei-

terhin entschieden werden, gewisse Lernmodule miteinander zu verbinden. So ist z. B.

die Vereinigung von Sensibilisierungs-Modulen zu den Themen „IT-Sicherheit am Ar-

beitsplatz“ und „Gesetze und Regularien“ denkbar. Das somit entstehende WBT käme

einem Wissenspool gleich, auf den nicht nur „Mitarbeiter“ oder nur das „Management“

zugreifen könnten, sondern beide Zielgruppen simultan. Unterschiedlich angelegte

Lernpfade können dennoch die zielgruppenspezifische Ausgestaltung des E-Learnings

realisieren. Ist bspw. ein Mitarbeiter mit der Fülle des Angebots überfordert, kann für

diesen ein Link angeboten werden, der ihn nur durch die für ihn relevanten Lerninhalte

führt. Ein vielseitig interessierter Mitarbeiter hat gleichzeitig die Möglichkeit, alle an-

gebotenen Lerninhalte anzusehen.

Steht die Anzahl der zu erstellenden WBTs fest, ist in einem letzten Schritt eine

Make-or-Buy-Analyse durchzuführen.199 Der Learning-Cube unterstützt auch diesen

Entscheidungsprozess im Sinne einer Anforderungsanalyse. Die Inhalte der externen

Schulungsangebote können mit den inhaltlichen Anforderungen eines Lernmoduls ver-

glichen werden. Mit der eindeutigen inhaltlichen Beschreibung der Lerninhalte durch

Lernzielhierarchien kann gleichzeitig innerhalb des Unternehmens überprüft werden, ob

ausreichende Kompetenzen zur Erstellung eines eigenen WBTs vorhanden sind und

welche Kosten mit der Erstellung verbunden wären. Hierbei ist zu bedenken, dass nicht

nur das technische Know-How zur Realisierung vorhanden sein muss, es müssen darüber

hinaus auch die nötigen didaktischen und fachlichen Fähigkeiten eingebracht werden.

Eine Entscheidung zu Gunsten einer Eigenproduktion ist demnach gerade in KMU nicht

zu erwarten. Das dargestellte Vorgehensmodell zur Erstellung von WBTs ermöglicht die

Produktion eines standardisierten WBT-Angebots, das günstiger auf dem Markt

angeboten werden kann. Das folgende Kapitel dokumentiert die prototypische Produktion

solch standardisierter WBTs.

6 Prototypische Konzeption von WBTs zur IT-Sicherheit

6.1 Fallbeispiel ABC AG

6.1.1 Das Unternehmen

Die ABC AG wurde 1930 gegründet und ist heute eine der großen privaten Bausparkas-

sen in Deutschland. Ihre Kernkompetenz liegt im kombinierten Angebot von Bauspar-

und Finanzierungsprodukten in Verbindung mit einem eigenen Hausprogramm. Das


2006, a. a. O., S. 2142.



Produktportfolio konzentriert sich auf die Bereiche Bauen, Immobilien und Vorsorge. Im

Firmensitz Musterstadt sind über 300 Mitarbeiter tätig; bundesweit beschäftigt die ABC

AG 350 haupt- und nebenberufliche Mitarbeiter im Außendienst.

6.1.2 Auswahl relevanter WBTs für die ABC AG

In einem Kick-Off-Meeting stellten die Verfasser einigen Mitarbeitern aus der DV-Ab-

teilung der ABC AG den in Abschnitt 5.4 abgebildeten Learning-Cube vor. In einer

Präsentation wurden diejenigen Teilwürfel farblich markiert, die jeweils ein potentiell

relevantes WBT für die ABC AG repräsentieren und deren Realisierung im vorgegebenen

Zeitrahmen realistisch umgesetzt werden kann. Diese waren im Einzelnen:

Sensibilisierung für alle Zielgruppen bezüglich der Grundlagen der

IT-Sicherheit

Schulung für Mitarbeiter bezüglich der IT-Sicherheit am Arbeitsplatz

Schulung für das Management bezüglich relevanter Gesetze und Regularien

Gegenstand der WBTs sind demnach die Module 1-3 nach den IT-Grundschutz-Katalo-

gen. Diese behandeln im Wesentlichen grundlegende Verhaltensregeln für Mitarbeiter

und Basiswissen in Bezug auf Gesetze und Regularien für das Management.200 Ziel der

Implementierung von Schulungs- und Sensibilisierungsmaßnahmen zu diesen Themen

bei der ABC AG ist die Schaffung einer IT-Sicherheitskultur. Die Auswahl erfolgte in

diesem Fall ohne die vorherige Erhebung der Ist-IT-Sicherheitskultur.201 Grund für

dieses Vorgehen sind die bereits festgestellten Mängel der ABC AG im Bereich des

IT-Sicherheitsmanagements. Ein zuvor durchgeführter Soll-Ist-Vergleich der nach den

IT-Grundschutz-Katalogen umzusetzenden Maßnahmen (die mit den Vorgaben des

ISO/IEC 27001 kompatibel sind)202 ergab u. a., dass Mitarbeiter bisher nicht für

IT-Sicherheit geschult wurden. Darüber hinaus fehlen wichtige Dokumente wie eine

IT-Sicherheitsrichtlinie oder ein IT-Sicherheitskonzept. Diese sind jedoch aus zwei

Gründen für Schulungs- und Sensibilisierungsmaßnahmen grundlegend. Zum einen als

Instrument zur Implementierung einer IT-Sicherheitskultur, um den Mitarbeitern eine

Orientierungshilfe im Bereich der IT-Sicherheit zu liefern. Zum anderen, um Lernziele

für WBTs ableiten zu können.203 Schließlich ist die IT-Sicherheitsorganisation der ABC

200 Vgl. die Mind Maps zu den Lernmodulen nach den IT-Grundschutz-Katalogen im Anhang in Abb.

18, Abb. 19 und Abb. 20.

201 Normalerweise sollte die Ist-IT-Sicherheitskultur erhoben werden, um die Lernbedürfnisse der

Mitarbeiter zu identifizieren und die Lerninhalte hieran anpassen zu können, vgl. Abschnitt 2.2.1.1.

202 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Zuordnungstabelle – ISO 27001

sowie ISO 17799 und IT-Grundschutz, Online im Internet: http://www.bsi.de/gshb/deutsch/hilfmi/

Vergleich_ISO17799_GS.pdf, 12.08.2007, S. 1.

203 Vgl. zur Relevanz von IT-Sicherheitsrichtlinien die Abschnitte 2.2.1.2 und 4.2.2.



AG noch nicht ausgereift. So fehlt bspw. ein IT-Sicherheitsbeauftragter, an den

Sicherheitsvorfälle gemeldet werden können. Der Fokus muss demnach auf Schulungs-

und Sensibilisierungsmaßnahmen in diesen grundlegenden Bereichen des IT-Sicherheits-

managements liegen. Eine Unterteilung der Zielgruppen in Anfänger, Fortgeschrittene

und Experten erfolgt konsequenterweise nicht. Ist eine Grundlage im Sinne des Learning-

Kontinuums geschaffen, kann das WBT-Angebot um Schulungen zu weitergehenden

Themen der IT-Sicherheit vergrößert werden.

Auf Grund der hohen Bedeutung einer IT-Sicherheitsrichtlinie für den Erfolg von

Schulungs- und Sensibilisierungsmaßnahmen enthält Tab. 17 im Anhang einen mit der

ABC AG abgestimmten Vorschlag für eine solche Organisationsrichtlinie in Anlehnung

an eine Veröffentlichung des BSI. Die folgenden Abschnitte dokumentieren die Kon-

zeption und Produktion der ausgewählten WBTs auf Basis dieser IT-Sicherheits-

richtlinie.204 Der Schwerpunkt liegt hierbei auf der Erläuterung der Lernzielhierarchien,

die zielgruppenspezifisch ausgestaltet sind.

6.2 Konzeption und Umsetzung der WBTs

6.2.1 Ableitung der Lernzielhierarchien

Das angepasste Vorgehensmodell zur Konzeption von WBTs liefert hilfreiche Ansatz-

punkte für die Konzeption von WBTs. Demnach sind zunächst die relevanten Zielgrup-

pen zu identifizieren, aus deren Lernbedürfnissen (bezogen auf die jeweiligen Rollen) die

Lernzielhierarchien abgeleitet werden können. Dieses Vorgehen wurde weitestgehend

mit dem Learning-Cube standardisiert.205 Eine Anpassung der Zielgruppen, die der

Learning-Cube vorsieht, muss im Falle der ABC AG nicht vorgenommen werden, da sich

alle Mitarbeiter den verschiedenen Gruppen zuordnen lassen. Die Lernmodule hingegen

müssen auf Relevanz für die ABC AG untersucht und angepasst werden.206 Zu diesem

Zwecke werden in den folgenden Abschnitten die Lernzielhierarchien getrennt nach allen

Zielgruppen, Mitarbeitern und Management betrachtet und systematisch abgeleitet.

Ausgangspunkt hierfür bildet jeweils der Learning-Cube mit den markierten Teilwürfeln.

Aus den jeweiligen Achsen sind die Zielgruppe, das Lernmodul und die jeweilige Stufe

204 Die ausgewählten Lernmodule aus den IT-Grundschutz-Katalogen (vgl. Abschnitt 5.3.3) sind mit

der zu Grunde liegenden IT-Sicherheitsrichtlinie kompatibel.

205 Unterschiede in der Aufbauorganisation und heterogene Herauforderungen für die IT-Sicherheit in

verschiedenen Branchen bedingen u. a. die Notwendigkeit einer Anpassung des standardisierten

Vorgehensmodells. Vgl. Abschnitt 5.4.

206 Die angegebenen Themen stellen lediglich eine Auswahl dar, die unternehmensspezifisch angepasst

werden müssen. Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-

Kataloge: Stand 2006, a. a. O., S. 2130.



des Learning-Kontinuums ablesbar. Ergebnis sind entsprechend der Forderung aus

Abschnitt 4.2.3 zielgruppen-spezifische Lernzielhierarchien.

6.2.1.1 Lernzielhierarchie für alle Zielgruppen

Zunächst sollen alle Zielgruppen für die IT-Sicherheit sensibilisiert werden (erste Stufe

des Learning-Kontinuums). In Verbindung mit dem ersten Modul der

IT-Grundschutz-Kataloge (siehe Abb. 18 im Anhang) entsteht die Lernzielhierarchie in

Tab. 8.

Sensibilisierung aller Zielgruppen für Grundlagen der IT-Sicherheit Inhalt von WBT 1

Motivation Kapitel 1

Für die Gefährdungen der IT-Sicherheit interessiert sein durch

Fallbeispiele und Statistiken

Grundprinzipien der IT-Sicherheit Kapitel 2

Grundbegriffe der IT-Sicherheit wie „Vertraulichkeit, Verfügbarkeit

und Integrität“ kennen und verstehen

IT-Sicherheitsstrukturen Kapitel 3

Die Bedeutung des flächendeckenden Einsatzes von IT verstehen

Wesentliche Verhaltensregeln und die IT-Sicherheitsrichtlinie kennen

Tab. 8: Lernzielhierarchie 1 „Grundlagen der IT-Sicherheit“

Mit der Sensibilisierung aller Zielgruppen für die IT-Sicherheit soll im Sinne des Lear-

ning-Kontinuums ein einheitliches Begriffsverständnis als Übergang zur Schulung ge-

bildet werden.207 Diese Intention ist auch mit der Ableitung der Lernziele aus der

IT-Sicherheitsrichtlinie erklärbar. Die IT-spezifischen Begriffe in der IT-Sicherheits-

richtlinie (z. B. Vertraulichkeit, Verfügbarkeit und Integrität) müssen zunächst erklärt

werden, damit der Mitarbeiter diese verstehen und - als Konsequenz – analog verant-

wortlich gemacht werden kann.208

Das Thema „Gründe für Angriffe“ wird in diesem Fall nicht in die Lernzielhierarchie

aufgenommen, da die ABC AG laut Aussage der Unternehmensmitarbeiter von

207 Vgl. zu den Zielen der Sensibilisierung Abschnitt 3.2.1.

208 Die Eigenverantwortung der Mitarbeiter ist wesentlicher Bestandteil des Wertesystems einer

IT-Sicherheitskultur. Vgl. Abschnitt 2.1.3.



„Wirtschaftsspionage“ oder „Staatlichen Ermittlungen“ nicht betroffen ist. Des Weiteren

wurden die Themen „Wesentliche Regeln für Mitarbeiter“ und „IT-Sicherheitsstrukturen

der Organisation“ zusammengefasst, da diese Lerninhalte erneut in dem WBT „Schulung

Mitarbeiter für IT-Sicherheit am Arbeitsplatz“ aufgenommen werden. Zudem ist, wie

bereits erwähnt, die IT-Sicherheitsorganisation in der ABC AG nicht genügend

ausgereift, um ein komplettes Kapitel in einem WBT hiermit belegen zu können.

Aufbauend auf diesen Grundlagen können Schulungen für die jeweiligen Zielgruppen

konzipiert werden.

6.2.1.2 Lernzielhierarchie für Mitarbeiter

Der Teilwürfel in der Achse „Mitarbeiter, Schulung, Grundlagen der IT-Sicherheit“ führt

unter Verwendung des zweiten Moduls der IT-Grundschutz-Kataloge (siehe Abb. 19 im

Anhang) und einigen Modifikationen zur Lernzielhierarchie in Tab. 9.

Schulung Mitarbeiter für IT-Sicherheit am Arbeitsplatz Inhalt von WBT 2

IT-Sicherheitsrichtlinie Kapitel 1

Den Sinn einer IT-Sicherheitsrichtlinie kennen

Die IT-Sicherheitsrichtlinie und ihre Bestandteile kennen

Sich der eigenen Verantwortung für die IT-Sicherheit und der sich

daraus ergebenden Konsequenzen bewusst sein

Passwörter Kapitel 2

Den Sinn von Passwörtern verstehen

Gute Passwörter bilden können

Passwörter ändern und Arbeitsplatz sperren können

Internet und E-Mail Kapitel 3

Gute und schlechte Internetseiten unterscheiden können

Sich der Gefährdungen im Internet bewusst sein

Sich der Gefährdungen bei der Nutzung von E-Mail bewusst sein und

angemessen reagieren können

Datenschutz und Social Engineering Kapitel 4

Daten richtig behandeln und aufbewahren können

Social Engineering kennen und darauf reagieren können



Mobile Sicherheit Kapitel 5

Sich der Gefährdungen in der Öffentlichkeit bewusst sein

Mobile Endgeräte gegen Diebstahl sichern können

Vorfälle melden Kapitel 6

Vorfälle der IT-Sicherheit erkennen können

Wissen, an wen Vorfälle gemeldet werden sollen

Tab. 9: Lernzielhierarchie 2 „IT-Sicherheit am Arbeitsplatz“

Eine Schulung ist nicht nur dadurch gekennzeichnet, dass Gefährdungen der

IT-Sicherheit bewusst gemacht, sondern dass zusätzliche Hintergrundinformationen

vermittelt und geeignete Reaktionen oder Vorsichtsmaßnahmen aufgezeigt werden. Da-

her greift die zweite Lernzielhierarchie „Schulung Mitarbeiter für IT-Sicherheit am Ar-

beitsplatz“ die wesentlichen Verhaltensregeln aus der ersten Lernzielhierarchie auf und

vertieft diese in jeweils separaten Kapiteln. Der Übergang von Sensibilisierung und

Schulung ist hier fließend.

Das BSI verwendet das Konzept des Learning-Kontinuums nicht. Daher ist im zweiten

Modul „IT-Sicherheit am Arbeitsplatz“ ein Thema die „Sensibilisierung von Benutzern“.

In dieser Arbeit werden Sensibilisierung und Schulung jedoch getrennt behandelt. So

wurde das Grobziel „Sensibilisierung von Nutzern“ in eine Sensibilisierungs-Kampagane

ausgelagert.209 Dies ermöglicht die Realisierung des in Abschnitt 3.3.3 beschriebenen

Blended Learning-Konzepts. Demnach soll in der Vorbereitungsphase das Interesse der

Mitarbeiter durch Poster und Flyer geweckt werden210. In der Aneignungsphase erfolgt

die Vermittlung der Lerninhalte der Schulung durch ein WBT, das auf der konkreten

Lernzielhierarchie basiert. Die Nachbereitungsphase kann durch einen Abschlusstest oder

Gruppendiskussionen (bspw. in Online-Foren211) ausgestaltet werden. Dieses Beispiel

verdeutlicht den vorbereitenden Charakter der Sensibilisierung, auf der die Schulung im

Learning-Kontinuum aufbaut.212 Zur besseren Übersicht - auch in Hinblick auf die

Sensibilisierungs-Kampagne - wurden sechs Grobziele identifiziert, unter denen die

Themen aus dem zweiten Modul des BSI aufgeteilt werden. Die Themen „IT-Sicher-

209 Die praktische Ausgestaltung der Sensibilisierungs-Kampagne wird in Abschnitt 6.2.4 erläutert.

210 Vgl. zur Gewinnung von Aufmerksamkeit auch die Phasen der Sensibilisierungs-Kampagne in

Abschnitt 3.2.1.

211 Zu den Möglichkeiten der Online-Kollaboration vgl. auch die Ausführungen zum LMS in Abschnitt

4.6.

212 Vgl. die Ausführungen zum Learning-Kontinuum in Kapitel 3.2.



heitsrichtlinie“ und „Vorfälle melden“213 erhalten jeweils ein eigenes Kapitel, da diese

Maßnahmen gänzlich neue Strukturen für die ABC AG darstellen und somit einer

gesonderten Darstellung bedürfen.

Das Thema „Rechtliche Aspekte“ geht nur teilweise in dem Grobziel „Die IT-Sicher-

heitsrichtlinie verstehen“ auf, indem das Feinziel „Die eigene Verantwortung für die

IT-Sicherheit und die sich daraus ergebenden Konsequenzen kennen“ aufgenommen

wurde. Interessierte Mitarbeiter, die mehr über Gesetze und Regularien im Bereich der

IT-Sicherheit erfahren möchten, können das WBT für das Management absolvieren.

Hierzu sind sie aber nicht verpflichtet.

6.2.1.3 Lernzielhierarchie für das Management

Die Lernzielhierarchie zur Schulung des Managements orientiert sich originalgetreu an

den Vorgaben der IT-Grundschutz-Kataloge (vgl. Abb. 20). Die in Tab. 10 dargestellte

Lernzielhierarchie enthält daher nur Beispiele aus den vorgeschlagenen Themen.

Schulung Management für Gesetze und Regularien Inhalt von WBT 3

Datenschutz im Unternehmen Kapitel 1

Details aus dem Bundesdatenschutzgesetz (BDSG) kennen

Wirtschaftsrecht Kapitel 2

Lizenz- und Urheberrechte bei Software kennen

Folgen bei Verstößen gegen die IT-Sicherheit Kapitel 3

Haftungsverhältnisse kennen

Umsetzung von IT-Sicherheitsmaßnahmen Kapitel 4

Strafrechtliche Konsequenz rechtswidriger Überwachung kennen

Viren Kapitel 5

Haftungsverhältnisse in Bezug auf Viren kennen

Hacker Kapitel 6

Definition und strafrechtliche Verfolgung von Hackern kennen

Tab. 10: Lernzielhierarchie 3 „Gesetze und Regularien“

213 Die Kommunikation von Sicherheitsvorfällen ist wesentlicher Bestandteil des Wertesystems einer

IT-Sicherheitskultur. Vgl Abschnitt 2.1.3.



6.2.2 Lernpsychologischer Ansatz

Schulungs- und Sensibilisierungsmaßnahmen haben prinzipiell zwei Ziele. Zum einen

vermitteln sie dem Lernenden das Faktenwissen zur Erzeugung eines grundlegenden

Verständnisses für Themengebiete der IT-Sicherheit. Zum anderen wird auf das Ver-

halten des Mitarbeiters im Sinne der IT-Sicherheitsrichtlinie Einfluss genommen.214

Zur Ausbildung von Faktenwissen ist das tutorielle System geeignet.215 Bevor der

Lernende das WBT startet, meldet er sich mit seinem persönlichen Benutzernamen und

Passwort an. Bei erstmaliger Anmeldung wählt er ein Profil (=Zielgruppe), das seiner

jeweiligen Rolle entspricht. Hierzu erscheint ein einfaches Auswahlfenster, das in Abb.

14 dargestellt ist. Zu den vier Standard-Zielgruppen wurde ein weiteres Profil angelegt,

das alle zur Verfügung stehenden Lernmodule zum Thema IT-Sicherheit enthält.

Abb. 14: Zielgruppen-spezifisches E-Learning durch Profile

Interessierte Lernende haben so die Möglichkeit, auch über ihre Rolle hinaus wertvolles

Wissen aufzubauen. Nach Wahl eines Profils werden nur diejenigen Lerninhalte zu-

sammengestellt, die der Mitarbeiter für seine Rolle benötigt. Dies ermöglicht die indivi-

duelle Anlage eines festen Lernwegs. Die Navigationsleiste auf der linken Seite des

Bildschirms zeigt eine Übersicht der selektierten WBTs. Jedes WBT steht für ein Richt-

ziel, das in der jeweiligen Lernzielhierarchie definiert wurde. Unter diesen befinden sich

gemäß einer Baumstruktur einzelne Kapitel, die analog zu den Grobzielen angelegt sind.

214 Vgl. Abschnitt 2.1.3 in Bezug auf die Beeinflussungsmöglichkeiten des Mitarbeiters.

215 Vgl. Abschnitt 4.3.1 zu den verschiedenen Lehrstrategien.



Die unterste Hierarchie bilden die konkreten Lerninhalte. Einzelne Lernsequenzen

vermitteln dem Lernenden die Feinziele. Zwischen diesen kann durch Links in der

Kursstruktur beliebig gewechselt werden.

Die Lernsequenzen entsprechen weitestgehend einem einheitlichen Muster. Der Einstieg

über Fallstudien oder praktische Beispiele stimmt den Lernenden auf die Lernsequenzen

ein. Im Anschluss hieran folgen Erklärungen über den Sinn von verschiedenen

Maßnahmen und Definitionen zum Thema. Ein Abschlusstest dient der Festigung und

Überprüfung des Gelernten.216

Jedoch stößt das tutorielle System an seine Grenzen, wenn über die Wissensvermittlung

hinaus auch Verhaltensweisen geändert werden sollen. Abschnitt 2.1.3 legt dar, dass

Verhaltensweisen über Emotionalisierung, z. B. durch Identifizierung, beeinflusst werden

können.217 Eine reine Wissensvermittlung nach dem tutoriellen Prinzip kann dies nicht

leisten. Aus diesem Grunde bilden Videos von authentischen Situationen in den

Büroräumen der ABC AG einen integralen Bestandteil der WBTs. Die Verwendung der

gewohnten Umgebung des Lernenden ermöglicht eine schnelle Identifizierung. Die Prä-

sentation von falschen Verhaltensweisen fordert den Lernenden zum kritischen Hinter-

fragen bestimmter Verhaltensmuster auf.218 Im Anschluss an das Video erfolgt die

Richtigstellung und somit der Lerneffekt.219

Das Erreichen der in den Hierarchien definierten Ziele testet ein großer Abschlusstest am

Ende eines jeden WBTs. Hierfür wurden lediglich Ja/Nein- und Mehrfach-Antworten als

Aufgabentypen ausgewählt, um das Feedback so einfach wie möglich zu gestalten.220

Zum Bestehen des Abschlusstests müssen mindestens 50 Prozent der Fragen richtig

beantwortet werden.

Zusammenfassend besteht die gewählte Lehrstrategie aus dem tutoriellen System ge-

mischt mit multimedialen Elementen zur Beeinflussung von Verhaltensweisen. Der

Lernende hat gemäß dem Prinzip des selbstgesteuerten Lernens221 die Freiheit, nur für

ihn relevante WBTs zu absolvieren, oder alternativ zusätzliches Wissen aufzubauen.

Darüber hinaus steht dem Lernenden zur Verfolgung seiner Interessen das Verlassen des

216 Vgl. die Unterteilung in die Phasen „Vorbereitung“, „Aneignung“ und „Nachbereitung“ in Abschnitt

4.3.1.

217 Vgl. die Ausführungen zur IT-Sicherheitskultur und den in diesem Zusammenhang angeführten

sachlichen Verschließen gegenüber Sicherheitsstandards in Abschnitt 2.1.3.

218 Eine fragende Grundhaltung ist wesentlicher Bestandteil des Wertesystems einer

IT-Sicherheitskultur. Vgl. Abschnitt 2.1.3.

219 Vgl. zur Ausbildung von Verhaltensweisen Abschnitt 4.3.1

220 Zu den verschiedenen Aufgabentypen und der damit verbundenen Problematik der Konstruktion von

Feedback vgl. Abschnitt 4.3.2.

221 Vgl. zum selbstgesteuerten Lernen Abschnitt 3.3.2.



Lernwegs nach Wahl eines Profils jederzeit offen. Insbesondere im Zusammenhang mit

sensibilisierenden Lerninhalten ist es nicht sinnvoll, den Lernenden auf einen Lernpfad

zu „zwingen“. Ziel der Schulungs- und Sensibilisierungsmaßnahmen ist es dennoch, ein

sichtbares Ergebnis zu erzielen. Nach erfolgreicher Absolvierung des Abschlusstests ist

der Lernende berechtigt, ein Zertifikat über die erbrachte Leistung auszudrucken. Bei

maximaler Freiheit in Bezug auf den Lernweg muss das WBT also auch sicherstellen,

dass der Lernende keine Lerninhalte überspringt. Der folgende Abschnitt beschreibt,

inwiefern die Funktionalitäten des WBTs den Lernenden beim Management der

Lerninhalte unterstützen.

6.2.3 Visuelles Konzept

Die Bildschirmfläche des WBTs ist in mehrere Frames unterteilt, die verschiedene

Funktionen erfüllen. Abb. 15 grenzt drei Hauptbereiche voneinander ab. Der linke Frame

beinhaltet die Kursstruktur, die, wie bereits erwähnt, in verschiedene Kapitel und

Lernsequenzen aufklappbar ist. Der Lernende kann zu jedem Zeitpunkt die noch vor ihm

liegenden Lerneinheiten einsehen und zwischen diesen wechseln. Gewährte Freiheiten

beim Absolvieren des WBTs bergen jedoch die Gefahr des unstrukturierten Lernens in

sich. Um dies zu verhindern, markiert eine grüne Kugel vor dem jeweiligen Titel die

bereits absolvierten Seiten. Nicht absolvierte Seiten sind blau markiert (siehe Abb. 15).

Die farbliche Gestaltung stellt sicher, dass keine Lerninhalte übersehen werden.222

Abb. 15: Visuelles Konzept der realisierten WBTs

222 Vgl. zu der Notwendigkeit der Unterstützung des selbstgesteuerten Lernens Abschnitt 4.5.



Die Kursstruktur kann zur Vergrößerung des Lernbereichs durch einen Klick auf das

Buch versteckt werden.223 Der Lernstand inklusive der Ergebnisse von bereits ab-

solvierten Tests ist weiterhin über den Link „Lernstatus“ in der Menüleiste im rechten

oberen Frame einsehbar. Für Lernprogramme im Unternehmen sind diese Funktionen

entscheidend, da der Lernende am Arbeitsplatz während der Absolvierung des WBTs

unterbrochen werden könnte. Will er zu einem späteren Zeitpunkt an der gleichen Stelle

fortfahren, so meldet er sich unter seinem Benutzernamen an und wird automatisch an die

zuletzt angesehene Seite weitergeleitet.224 Ist eine Stelle besonders relevant, kann ein

Lesezeichen durch einen Klick in der Menüleiste auf den entsprechenden Link gesetzt

werden. Zusätzlich bietet die Menüleiste eine Druckfunktion, über die wesentliche Seiten

ausgedruckt werden können. Auf diesem Wege hat jeder Lernende die Möglichkeit zur

Zusammenstellung einer individuellen Lernmappe. Hilfreich hierfür ist auch das

Lexikon, welches über den Reiter unter dem Buch zugänglich ist. Es enthält relevante

Begriffe und deren Erklärung zum Thema IT-Sicherheit.

Möchte der Lernende trotz der angebotenen Möglichkeiten die einzelnen Lerneinheiten

streng sequentiell absolvieren, kann er mit den Pfeilen in der Menüleiste von einer Seite

zur nächsten wechseln. Darüber hinaus hat er unter dem Link „Optionen“ die Wahl, nur

diejenigen Seiten in der Kursstruktur zu selektieren, die für den Abschlusstest relevant

sind. Weiterhin kann unter „Optionen“ das Profil gewechselt werden, insofern der Ler-

nende seine Rolle wechselt oder aus Interesse alle WBTs zum Thema „IT-Sicherheit“

ansehen möchte.

Abschnitt 4.2.1 verweist auf die Problematik heterogener Vorkenntnisse in Bezug auf das

Lernen mit WBTs. Auch wenn die Menüleiste eine kleine Hilfe für die Funktionen des

WBTs bietet, wurde zusätzlich ein umfassendes Digitalvideo angefertigt. Dieses kann vor

Lernbeginn angesehen werden und soll optimale Voraussetzungen für das Lernen mit

dem WBT schaffen. Ein weiterer wichtiger Motivator für das Lernen am PC ist das

Design des WBTs an sich. Eine Anpassung an das Corporate Design der ABC AG ist

unumgänglich. Zwar kann durch die komplexe Struktur der Frames ein Masterdesign

nicht ohne Probleme definiert werden. Jedoch kann durch die Eigenschaften des Kurses

ein Hintergrundbild festgelegt werden, das auf jeder Seite des WBTs erscheint.

223 Abschnitt 4.5 verwies bereits auf die Notwendigkeit, dass die Bildschirmfläche nicht mit

Funktionalitäten überladen werden sollte. Die Möglichkeit zum Verstecken der Kursstruktur ist

somit sehr hilfreich.

224 Vgl. hierzu auch die Ausführungen zum Lernort in Abschnitt 4.2.1.



Im Falle der ABC AG wurde ein roter Balken mit Logo eingefügt. Auf dem roten Balken

ist der Titel der jeweiligen Lernsequenz eingetragen, so dass der Lernende eine zu-

sätzliche Orientierungshilfe vorfindet. Das Aussehen eine Seite für die ABC AG ist in

der folgenden Abb. 16 dargestellt.

Abb. 16: Corporate Design der ABC AG im WBT

Die Verwendung des Corporate Designs aus den Mitarbeitern bekannten Unternehmens-

Präsentationen schafft einen positiven Wiedererkennungseffekt und eine professionelle

Lernatmosphäre. Die multimediale Umsetzung der einzelnen WBTs unterstützt diesen

Effekt zusätzlich. Die hierfür verwendeten Grundkonzeptionen stellt der folgende

Abschnitt dar.

6.2.4 Medienrealisation

Die prototypisch produzierten WBTs enthalten die in Abschnitt 4.4 beschriebenen Ele-

mente zur Umsetzung einer multimedialen Lernumgebung.

Abb. 16 zeigt beispielhaft die Verwendung von Grafik und Text. Der Bildschirm ist

hierfür in zwei Seiten unterteilt. Auf der linken Hälfte befindet sich eine oder mehrere

Grafiken, auf der Rechten der erklärende Text. Die Textfelder sind auf eine bestimmte

Zeilenlänge eingestellt, die das Lesen am Bildschirm erleichtert. Ab einer bestimmten

Zeilenlänge würde der Text schwer lesbar und das Lernen am PC anstrengend. Daher

konzentrieren sich die aufgelisteten Bullets nur auf die wichtigsten Sachverhalte.



Eine reine Auflistung von Regeln und Verboten würde jedoch wahrscheinlich nicht den

gewünschten Lernerfolg erzeugen.225 Aus diesem Grunde wurden jegliche Texte aus den

WBTs vertont. Ein Sprecher führt im Sinne des tutoriellen Systems durch die einzelnen

Lernsequenzen. Dabei werden nicht nur die aufgeführten Bullets auf dem Bildschirm

vorgelesen, sondern auch weitere Hintergrundinformationen gegeben, die die Auflistung

lebendiger erscheinen lassen. Hat der Lernende an seinem Arbeitsplatz keine Gelegenheit

die Tonsequenzen anzuhören, kann er über die Optionen Zusatztexte anzeigen lassen, die

den Text des Sprechers enthalten.226 Die integrierte Zeitsteuerung im Autorentool

ermöglicht die strukturierte, zeitlich versetzte Einblendung von verschiedenen Texten

und den korrespondierenden Grafiken. Auf diese Weise wird die Aufmerksamkeit des

Lernenden immer auf genau einen Sachverhalt gelenkt. Hierbei wurde weitestgehend auf

die Reihenfolge „Ton, Grafik, Text“ bei der zeitlich verrückten Einblendung von Medien

im WBT geachtet.227 Würden alle Medien zur gleichen Zeit erscheinen, würde die

Aufmerksamkeit des Lernenden ggf. auf einer Grafik verweilen. Zum Schluss soll jedoch

die Information aus dem Medium „Text“ im Gedächtnis verankert bleiben. Die Bilder

dienen lediglich der leichteren Aufnahme der Informationen. Der Hamster als

Maskottchen der ABC AG bspw. wird nur eingesetzt, insofern positive Verhaltensweisen

oder –regeln aufgezählt werden. Typische Fehler hingegen werden von verschiedenen

Grafiken begleitet, die die Fehler illustrieren.

Parallel zu dieser Variante der multimedialen Umsetzung von Lerninhalten, die das tu-

torielle System widerspiegelt, werden Digitalvideos angeboten. Diese setzen die Lehr-

strategie zur Vermittlung von Verhaltensweisen um. Die Digitalvideos spielen, wie be-

reits erwähnt, Situationen aus dem Arbeitsalltag nach, in denen typische Fehler enthalten

sind. Im Anschluss erfolgt die Richtigstellung über die Wissensvermittlung mittels des

tutoriellen Systems.

Eine besondere Bedeutung ist dem Digitalvideo im Kapitel „IT-Sicherheitsrichtlinie“

beizumessen. In diesem hält der Vorstand der ABC AG eine Rede zur Bedeutung der IT-

Sicherheit und kündigt die neue IT-Sicherheitsrichtlinie in Verbindung mit dem

Schulungsprogramm im Intranet an. Das Video wird im Rahmen der Schulung für Mit-

arbeiter eingesetzt und spiegelt die Unterstützung des Managements für die dort ein-

gebettete Sensibilisierungs-Kampagne wider.228

225 Vgl. die Ausführungen zum „sachlichen Verschließen“ gegenüber Sicherheitsstandards in Abschnitt

2.1.3.

226 Vgl. die spezifischen Umstände in Bezug auf den Lernort in Abschnitt 4.2.1.

227 Vgl. Abschnitt 4.4 zur Konstruktionsregel von multimedialen Inhalten.

228 Die Vorbildfunktion und Unterstützung des Managements sind kritische Erfolgsfaktoren für die

Sensibilisierungs-Kampagne. Vgl. hierzu Abschnitt 2.2.1.2.



Die Rede kann auch in Form einer offenen E-Mail zur Einführung der Sensibilisierungs-

Kampagne als „Schreiben des Vorstands“ an alle Mitarbeiter versendet werden. Gemäß

den in Abschnitt 3.2.1 vorgestellten Phasen einer Sensibilisierungs-Kampagne sind

Poster und Flyer integraler Bestandteil einer umfassenden Sensibilisierungsmaßnahme.

Die multimediale Umsetzung geht somit über den Rahmen der WBTs hinaus. Abb. 17

illustriert einen Ausschnitt aus einem Poster im Corporate Design der ABC AG, welches

das Interesse der Mitarbeiter für das Thema der IT-Sicherheit wecken und gleichzeitig

auf die WBT-Serie im Intranet aufmerksam machen soll. Der Hamster erscheint hier in

einer vergleichbaren positiven Funktion wie in den WBTs und sorgt für einen positiven

Wiedererkennungseffekt bereits im Vorfeld der WBT-Absolvierung. Der Slogan „Mach

mit! – Aber SICHER!“ erscheint auf allen Medien in Verbindung mit der

Sensibilisierungs-Kampagne.

Abb. 17: Poster einer Sensibilisierungs-Kampagne für die ABC AG



Poster als auch Flyer229 adressieren die sechs Grobziele der Lernzielhierarchie in Tab. 9,

so dass die Lernenden bei Absolvierung des WBTs auf bereits bekannte Strukturen treffen

und diese vertiefen können. Die so ermöglichte Modularisierung der Sensibilisierungs-

Kampagne über mehrere Wochen verstärkt den Lerneffekt.230 Der Mitarbeiter kann die

Absolvierung der Kapitel zeitlich analog zur Veröffentlichung der jeweiligen Poster

strecken, was die Konzentration auf ein Thema und somit die Behaltensleistung fördert.

Fazit: Bei der Planung von Maßnahmen zum Aufbau einer IT-Sicherheitskultur müssen

alle kritischen Erfolgsfaktoren berücksichtigt werden. Die multimediale Umsetzung der

Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit geht demnach über die

Grenzen des WBTs hinaus. Mit einer IT-Sicherheitsrichtlinie als Basis, einer zielgruppen-

spezifischen WBT-Serie gemäß dem Learning-Cube, einer Sensibilisierungs-Kampagne

nach den Regeln der Unternehmenskommunikation und der Unterstützung des Manage-

ments verfügt die ABC AG über alle Voraussetzungen für den erfolgreichen Start in eine

neue IT-Sicherheitskultur.

6.2.5 Technische Realisation

Die technische Umsetzung der WBTs erfolgte hauptsächlich mit dem Autorenwerkzeug

Dynamic Power Trainer 3.0, einer speziellen Software zur Erstellung von interaktiven

und multimedialen Lerneinheiten. Zentrales Element ist die Zeitsteuerung von multime-

dialen Inhalten über eine Zeitleiste. Nach der Erstellung der Lerninhalte und Verknüpfung

der multimedialen Dateien über die Benutzeroberfläche des Programms wird eine

HTML-Ausgabe des gesamten Kurses erzeugt. Tab. 11 stellt die verwendeten Werkzeuge

mit ihren Funktionalitäten gegenüber.

Die erstellten WBTs können ohne großen technischen Aufwand in das Intranet der ABC

AG eingebunden werden. Die Testergebnisse der einzelnen WBTs können lokal auf der

jeweiligen Festplatte des Nutzers gespeichert werden. Alternativ ist das Versenden der

Ergebnisse per verschlüsselter E-Mail an ein zentrales Auswertungsprogramm möglich.

Darüber hinaus können die WBTs in ein LMS integriert werden. Obwohl dies sicherlich

die sinnvollste Variante wäre, ist eine entsprechende Implementierung zum jetzigen

Zeitpunkt nicht möglich, da die ABC AG noch kein LMS im Einsatz hat.

229 Ein beispielhafter Flyer für die ABC AG befindet sich im Anhang in Abb. 21 und Abb. 22.

230 Vgl. in Bezug auf die Modularisierung Abschnitt 4.2.3.

7 Zusammenfassung und Ausblick 81


Anwendung Funktionsbeschreibung

Dynamic Power Trainer

Version 3.0

E-Learning Kurse erstellen, editieren und erweitern

Tests und Prüfungen erstellen, editieren und erweitern

Präsentationen erstellen und editieren

auf Basis der Standards AICC und SCORM

Lerninhalte in LMS integrieren.

Macromedia Captivate

Version 1.01

Softwaresimulationen erstellen, editieren und

erweitern

Interaktive Fragenfolien, Schaltflächen, Klickflächen

und Texteingabefelder editieren

Auf Basis der Standards AICC und SCORM

Lerninhalte in LMS integrieren

SnagIt Version 7.2.1 Bildschirmabgriffe erstellen und editieren

Tab. 11: Anwendungen zur Produktion von WBTs

7 Zusammenfassung und Ausblick

Die Gewährleistung der IT-Sicherheit, sowohl aus der Perspektive der Verlässlichkeit als

auch aus Sicht der Beherrschbarkeit von IT-Systemen, ist in den letzten Jahren, nicht

zuletzt durch entsprechende rechtliche Anforderungen in den Fokus von Unternehmen

und öffentlicher Verwaltung gerückt. Im Unterschied zu traditionellen, eher technisch

orientierten Verfahren zur Gewährleistung der IT-Sicherheit betonen IT-Sicherheitsma-

nagement-Standards in ihren aktuellen Fassungen die Rolle aller Mitarbeiter bei der

konkreten Umsetzung der IT-Sicherheit im betrieblichen Alltag.

Die Einbeziehung aller Mitarbeiter in die Verantwortung für die Gewährleistung der IT-

Sicherheit erfordert dabei zunächst eine Sensibilisierung der betroffenen Personen für

dieses Thema: Oftmals sind sich Mitarbeiter nicht bewusst, dass bzw. in welchem Um-

fang sie IT-Sicherheits-relevante Aufgaben erledigen, IT-Sicherheits-Risiken bewusst

eingehen oder sich einer IT-Sicherheits-Gefährdung aussetzen. Ist diese Sensibilisierung

im erforderlichen Ausmaß bei allen (relevanten) Mitarbeitern gelungen, so bedarf es

gezielter Schulungsmaßnahmen, um diese Mitarbeiter auf einen Wissensstand zu heben,

der die unternehmensweite Gewährleistung der IT-Sicherheit optimal unterstützt.

Eine der zentralen Aufgaben innerhalb des IT-Sicherheitsmanagements ist es also, Sen-

sibilisierungs- und Schulungsmaßnahmen - angepasst auf die spezifischen Rahmenbe-

dingungen des jeweiligen Unternehmens - zu konzipieren, umzusetzen und hinsichtlich

ihrer Effektivität bzw. Effizienz zu beurteilen. Eine Methode zur Umsetzung dieser



Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit kann E-Learning sein.

Hierbei muss jedoch beachtet werden, dass es nicht ein (1) Set von relevanten Lernin-

halten gibt, das für alle Mitarbeiter gleichermaßen relevant ist. Vielmehr deuten schon

grundsätzliche Überlegungen zu diesem Thema an, dass eine Zielgruppen-Analyse hin-

sichtlich der anzustrebenden Lernziele und damit auch der Lerninhalte unerlässlich ist:

Es ist offensichtlich, dass ein Sachbearbeiter einer Personal-Fachabteilung oder ein

Außendienstmitarbeiter ein anderes Maß an Sensibilisierung benötigt, als z. B. ein

Mitarbeiter der IT-Abteilung des Unternehmens. Gleiches gilt für den entsprechenden

Schulungsbedarf.

Ziel dieser Arbeit war es, einen Beitrag zur Entwicklung eines allgemeinen, unterneh-

mensunabhängigen Vorgehensmodells im Bereich E-Learning zur IT-Sicherheit zu

leisten, nach dem Schulungs- und Sensibilisierungsmaßnahmen konzipiert, implementiert

und evaluiert werden können.

Als Ausgangspunkt zur Erreichung dieser Zielsetzung wird in der vorliegenden Arbeit

die IT-Sicherheitskultur als vertrauensbildende Maßnahme im unternehmensinternen als

auch –externen Rahmen vorgestellt. Eine von allen Mitarbeitern eines Unternehmens

„gelebte“ IT-Sicherheitskultur verfolgt die Absicht, die Einstellungen bzw. Verhaltens-

weisen der Mitarbeiter bezüglich der IT-Sicherheit positiv zu beeinflussen. Eine Mög-

lichkeit, die angestrebten kulturellen Wirkungen zu erreichen, liegen in der Ergreifung

von entsprechenden Schulungs- und Sensibilisierungsmaßnahmen, wobei in dieser Arbeit

der Schwerpunkt auf das E-Learning- bzw. Blended Learning-Instrumentarium gelegt

wurde.

Die Konzeption von WBTs zur IT-Sicherheit als komplexes Lernfeld integriert die drei

Dimensionen „Zielgruppe“, „Lernmodul“ und „Learning-Kontinuum“. Heterogene

Zielgruppen haben unterschiedliche Lernbedürfnisse in Bezug auf ihre jeweiligen Rollen,

die durch spezifische Lernmodule strukturiert werden. Ergänzend bietet das Learning-

Kontinuum drei Lernebenen mit unterschiedlicher Reichweite. Sensibilisierung, rollen-

spezifische Schulungen und anerkannte Ausbildungen schaffen einen in sich ge-

schlossenen Kreis, der die IT-Sicherheitskultur langfristig durch die gezielte Beeinflus-

sung der Mitarbeiter implementiert. Ergebnis ist der Learning-Cube, der unternehmens-

unabhängig zur Konzeption von WBTs eingesetzt werden kann. Die realisierten WBTs

sind unternehmensindividuell mit Präsenzveranstaltungen oder Sensibilisierungs-Kam-

pagnen im Rahmen eines Blended Learning-Konzepts zu ergänzen.

Der Aufbau eines Learning-Kontinuums bildet jedoch nur eine primäre Maßnahme zur

Etablierung einer IT-Sicherheitskultur. Kritische Erfolgsfaktoren sind u. a. die Unters-

tützung des Managements als Vorbild, ein Dokumentensystem inklusive

IT-Sicherheitsrichtlinie, eine emotional ansprechende Sensibilisierungs-Kampagne mit



durchgängig verwendeten Protagonisten und die aktive Unterstützung durch andere

Unternehmensbereiche wie dem Marketing und der Unternehmenskommunikation. Die

Perspektive „Mensch“ als aktuell größte Gefährdung für die IT-Sicherheit verlangt zur

erfolgreichen Umsetzung von Schulungs- und Sensibilisierungsmaßnahmen die Berück-

sichtigung von psychologischen Faktoren.

Die prototypische Realisierung von WBTs für die ABC AG allein würde der Etablierung

einer IT-Sicherheitskultur nicht genügen. Daher wurde zunächst ein Vorschlag für eine

IT-Sicherheitsrichtlinie abgestimmt. Auf Basis dieser setzt die Sensibilisierungs-

Kampagne mit sechs Hauptbereichen auf. Zur Kommunikation der Themen wurden

Poster und ein Flyer entworfen, die auf die produzierten WBTs verweisen. Die WBTs

sind in das Intranet der ABC AG integrierbar und gemäß der Zielgruppenzugehörigkeit

abrufbar. Sie legen somit einen Grundstein für das organisationale Lernen im Bereich der

IT-Sicherheit, das sukzessive erweitert und aktualisiert werden kann. Die integrierten

Abschlusstests mit Zertifikatsausgabe bieten eine Möglichkeit zur Messung und

Dokumentation des Fortschritts der IT-Sicherheitskultur. Vorgaben des ISO/IEC 27001

im Bereich der Sensibilisierung und Schulung von Mitarbeitern zur Etablierung eines

ISMS wären somit erfüllt. Die ABC AG setzt mit dem Aufbau einer IT-Sicherheitskultur

einen weiteren Schritt Richtung Zertifizierung nach ISO/IEC 27001 und schafft somit

nicht nur unternehmensintern, sondern auch für seine Kunden einen Mehrwert.

Maßnahmen zur Integration der IT-Sicherheit in die Unternehmenskultur entsprechen auf

Grund ihrer hohen Bedeutung einem anhaltenden Trend. Zwar sind in den vergangenen

Jahren weltweit bereits wesentliche Fortschritte in Bezug auf die Sensibilisierung und

Schulung von Mitarbeitern zu verzeichnen. Dennoch bieten die Bereiche „Datenschutz“

und „Mobile Sicherheit“ auch weiterhin auf Grund sich weiter entwickelnder Regularien

und Technologien Potential für fortlaufende Maßnahmen. Der Bedarf an standardisierten

WBTs, insbesondere für KMU, ist demnach langfristig zu erwarten. Denn auch über

Unternehmensgrenzen hinweg sind IUK in einer vernetzten Welt nur so sicher wie ihr

schwächstes Glied.

Anhang VI


Anhang

Personalangaben

Position:

Funktion:

Nationalität:

Fragenkatalog

Organisation Arbeits- und Technologiegestaltung

O1 Wir haben schriftliche Hilfsmittel und Anweisungen bzgl. Informationssicher-

heit.

O2 Bei uns ist geregelt, wie Verletzungen der Informationssicherheit gemeldet

werden müssen.

O3 Wir haben eine Informationssicherheitspolitik.

O4 Vertrauliche Daten sind bei uns klassifiziert. Die Klassifizierung ist auf dem

Datenträger ersichtlich.

O5 Bei uns wird kontrolliert, ob keine vertraulichen Daten unbeaufsichtigt herum-

liegen.

Human Resource Management

O6 Neue Mitarbeitende werden über Sicherheitsvorschriften informiert.

O7 Ich werde in den Sicherheitsanwendungen und –prozeduren geschult, die ich

für meine Arbeit brauche.

Organisationskultur

O8 Mein Vorgesetzter involviert mich in Entscheidungen, die mich betreffen.

O9 Ich muss mit Konsequenzen rechnen, wenn ich mich nicht an unsere Sicher-

heitsvorschriften halte.

O10 Fehler werden bei uns toleriert.

O11 Betriebliche Probleme werden in unserer Firma offen angesprochen.

Anhang VII


O12 Meine Firma reagiert schnell auf externe Ereignisse.

O13 Probleme werden bei uns immer an deren Ursache bekämpft.

O14 Die Erreichung der Ziele in meinem Ressort/ Bereich wird stets gemessen

und kontrolliert.

Organisationsstruktur

O15 Ich habe eine Anlaufstelle für Sicherheitsfragen.

Gruppe Kommunikation

G1 Der Informationsfluss in unserem Ressort/ Bereich ist gut.

G2 Ich werde immer wieder durch E-Mails, Referate oder Aufrufe anderer Art

auf Sicherheitsaspekte aufmerksam gemacht.

Leadership

G3 Mein Vorgesetzter unterstützt die Umsetzung der Informationssicherheit in

seinem Bereich.

G4 Mein Vorgesetzter kennt den Inhalt der Informationssicherheitspolitik.

Problemmanagement

G5 Informationssicherheitsprobleme werden bei uns immer analysiert.

Individuum Einstellung

I1 Unbekannte Personen dürfen sich nicht alleine in unseren Geschäftsräum-

lichkeiten bewegen.

I2 Es gibt keine begründeten Ausnahmen, in denen ich ein Passwort weiterge-

ben kann.

I3 Informationssicherheit ist eine geschäftsrelevante und nicht eine technische

Aufgabe.

I4 Ausgaben für die Informationssicherheit sind eine Investition in die Zukunft.

Motivation

I5 Veränderungen, die von der Informationssicherheit herrühren, wie z. B. Clear

Desk Policy, Verschlüsselung von vertraulichen Daten, usw. werden bei uns

positiv aufgenommen.

I6 Die Sicherheitsrichtlinien werden bei uns eingehalten.

I7 Ich verhalte mich gemäß der Informationssicherheitspolitik.

Anhang VIII


Wahrnehmung

I8 Die Sicherheitsverantwortung wird von den dafür verantwortlichen Personen

wahrgenommen.

I9 Bei uns wird für die Informationssicherheit genug getan.

I10 Informationssicherheit ist für unsere Informatikabteilung ein wichtiges

Thema.

I11 Die Informationssicherheitspolitik wird bei uns umgesetzt.

Werte

I12 Die Arbeit, die ich hier tue, ist Teil des geistigen Eigentums meines Arbeitge-

bers.

I13 Jede/r Einzelne ist für die Informationssicherheit verantwortlich.

I14 Ich finde Informationssicherheit wichtig.

Wissen/ Sensibilisierung

I15 Ich weiss, wer bei uns für die Informationssicherheit zuständig ist.

I16 Wenn Dritte zuhören können, spreche ich nicht über vertrauliche Dinge.

I17 Am Abend verlasse ich meinen Arbeitsplatz stets aufgeräumt.

I18 Ich behandle E-Mails von unbekannten Absendern vorsichtig, v. a. wenn sie

noch angehängte Dateien enthalten.

I19 Meine Passwörter umfassen immer mindestens 8 Zeichen und enthalten

mindestens 2 nicht alphanumerische Zeichen.

I20 Beim Verlassen des Arbeitsplatzes sperre ich meinen Rechner immer mit

einem Passwort.

I21 Ich verschlüssle immer Nachrichten mit vertraulichem Inhalt, die per E-Mail

oder anderen Internetanwendungen verschickt werden können.

I22 Ich kenne den Inhalt der Informationssicherheitspolitik.

Antwort Stimme stark zu stimme zu unentschieden lehne ab lehne stark

ab

Tab. 12: Fragenkatalog zur Erhebung der IT-Sicherheitskultur231

231 Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und Förderung

soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 174.

Anhang IX


Verantwortlicher Rollenbeschreibung

Senior Management Die Unternehmensleitung ist für die IT-Sicherheit im Unter-

nehmen verantwortlich.

Computer Security

Management

Verantwortlich für die tägliche Organisation der IT-

Security.

Program and Functional

Managers/Application Owners

Verantwortlich für ein Programm oder eine Funktion ein-

schließlich der Betreuung der Computersysteme.

Technology Providers Mitarbeiter, die sich mit Themen der

Systemadministration,

Kommunikation/Telekommunikation, Help Desk usw.

befassen.

Supporting Functions Abteilungen mit unterstützender Tätigkeit im Rahmen von

IT-Sicherheit, wie z. B. Personal, Beschaffung, physische

Sicherheit, usw..

Users Bei den Nutzern wird zwischen den Nutzern von Systemen

und den Nutzern von Informationen unterschieden.

Tab. 13: Mitglieder von Rollen nach NIST 800-12232


Administrator Ein Administrator ist zuständig für Einrichtung, Betrieb, Über-

wachung und Wartung eines IT-Systems.

Anwendungsentwickler Ein Anwendungsentwickler ist ein mit Planung, Entwicklung,

Test oder Pflege von Programmen betrauter Experte.

Archivverwalter Der Archivverwalter ist verantwortlich für Einrichtung, Betrieb,

Überwachung und Wartung eines Archivsystems auf fachlicher

Ebene.

Bauausführende Firma Dies sind Firmen, die Bauleistungen aller Art im Auftrag der IT-

betreibenden Organisation oder der dazu Beauftragten

ausführen. Dies können klassische Baugewerke aber auch die

Errichtung von Einrichtungen der Gefahrenmeldetechnik

(Errichterfirma) sein.


a. a. O., S. 15 ff.

Anhang X



Bauleiter Ein Bauleiter ist für die Umsetzung von Baumaßnahmen ver-

antwortlich.

Behörden-

/Unternehmensleitung

Dies bezeichnet die Leitungsebene der Institution bzw. der

betrachteten Organisationseinheit.

Benutzer Ein Benutzer ist ein Mitarbeiter des Unternehmens bzw. der

Behörde, der informationstechnische Systeme im Rahmen der

Erledigung seiner Aufgaben benutzt.

IT-Benutzer und Benutzer sind hierbei als Synonyme zu be-

trachten, da heutzutage nahezu jeder Mitarbeiter eines Unter-

nehmens bzw. einer Behörde informationstechnische Systeme

während der Erledigung seiner Aufgaben benutzt.

Beschaffer Dies bezeichnet einen Mitarbeiter der Beschaffungsstelle, der

verantwortlich ist für die Beschaffung von Betriebsmitteln oder

IT-Systemen.

Beschaffungsstelle Die Beschaffungsstelle initiiert und überwacht Beschaffungen.

Öffentliche Einrichtungen wickeln ihre Beschaffungen nach

vorgeschriebenen Verfahren ab.

Brandschutzbeauftragter Ein Brandschutzbeauftragter ist Ansprechpartner und Verant-

wortlicher in allen Fragen des Brandschutzes. Er ist u. a. zu-

ständig für die Erstellung von Brandrisikoanalysen, Aus- und

Fortbildung der Beschäftigten, teilweise auch Wartung und

Instandhaltung der Brandschutzeinrichtungen.

Datenschutzbeauftragter Ein Datenschutzbeauftragter ist eine von der Behörde- bzw.

Unternehmensleitung bestellte Person, die für den daten-

schutzrechtlich korrekten bzw. gesetzeskonformen Umgang

mit personenbezogenen Daten im Unternehmen bzw. in der

Behörde verantwortlich ist.

Entwickler Mit Entwickler wird im Kontext des IT-Grundschutzes eine Per-

son bezeichnet, die Software, Hardware oder ganze Systeme

entwirft, die aus mehreren Software- und Hardware-Kompo-

nenten bestehen können.

In der Software-Entwicklung erfolgt durch in typischerweise

das Design und die Programmierung, dabei wird eine

Programmiersprache eingesetzt. In der Hardware-Entwicklung

erfolgt durch den Entwickler das Design; die Herstellung der

Hardware wird in der Regel durch einen Hardware-Hersteller

geleistet.

Anhang XI



Errichterfirma Es handelt sich hierbei um ein Unternehmen, das Gewerke

oder aber auch Gebäude erstellt.

Fachabteilung Eine Fachabteilung ist ein Teil einer Behörde bzw. eines Un-

ternehmens, welche fachspezifische Aufgaben zu erledigen

hat. Bei Bundes- und Landesbehörden ist eine Abteilung die

übergeordnete Organisationsform mehrerer Referate, die in-

haltlich zusammengehören.

Fachverantwortliche Der Fachverantwortliche ist inhaltlich für ein oder mehrere

IT-Verfahren verantwortlich (so ist z. B. der Leiter des Referats

„Vertrieb“ der Fachverantwortliche für die Anwendung „auto-

matisierter Vertrieb“).

Fax-Verantwortlicher Der Fax-Verantwortliche ist für alle organisatorischen und

technischen Regelungen verantwortlich, die die Fax-Nutzung

innerhalb einer Organisationseinheit betreffen.

Haustechnik Haustechnik bezeichnet die Organisationseinheit, die für die

Einrichtungen der Infrastruktur in einem Gebäude oder in einer

Liegenschaft verantwortlich ist. Betreute Gewerke können da-

bei z. B. sein: Elektrotechnik, Melde- und Steuerungstechnik,

Sicherungstechnik, IT-Netze (Physikalischer Teil), Heizungs-

und Sanitärtechnik, Aufzüge, etc.

Innerer Dienst Der Innere Dienst ist eine Organisationseinheit, die alle

zentralen Dienste für die Mitarbeiter koordiniert, z. B. Post-

stelle, Kopierer, Fahrdienst, Botendienst, Beseitigung techni-

scher Störungen, Gebäudereinigung, Bereitstellung von Be-

triebsmitteln, etc.

IT-Betreuer Zu den Aufgaben von IT-Betreuern zählen u. a. die Entgegen-

nahme und Bearbeitung von Benutzeranfragen zu Problemen

rund um die IT-Ausstattung.

IT-Sicherheitsbeauftragter Ein IT-Sicherheitsbeauftragter ist eine von der Behörde- bzw.

Unternehmensleitung ernannte Person, die im Auftrag der Lei-

tungsebene die Aufgabe der IT-Sicherheit koordiniert und in-

nerhalb der Behörde bzw. des Unternehmens vorantreibt.

IT-Sicherheitsmanagement IT-Sicherheitsmanagement ist die Leitungs- und Koordinie-

rungsaufgabe, die für eine angemessene IT-Sicherheit im Un-

ternehmen bzw. in der Behörde sorgt. Dieser Begriff wird je-

doch häufig auch für Personen verwendet, die diese Leitungs-

aufgabe wahrnehmen.

Anhang XII



IT-Sicherheitsmanagement-

Team

Das IT-Sicherheitsmanagement-Team unterstützt den IT-Si-

cherheitsbeauftragten, indem es übergreifende Maßnahmen in

der Gesamtorganisation koordiniert, Informationen zusammen-

trägt und Kontrollaufgaben durchführt.

IT-Verfahrens-

verantwortlicher

Ein IT-Verfahrensverantwortlicher ist für den korrekten Ablauf

eines oder mehrerer spezieller IT-Verfahren verantwortlich,

z. B. für die elektrische Lagerhaltung etc.

Leiter Beschaffung Hiermit ist der Leiter der Beschaffungsstelle oder der Organi-

sationseinheit gemeint, die für die Beschaffung zuständig ist.

Leiter Entwicklung Dies bezeichnet den Leiter einer Entwicklungsabteilung für

Hard- bzw. Software oder den Projektleiter eines Entwickler-

teams.

Leiter Fachabteilung Dies bezeichnet den Leiter einer Fachabteilung.

Leiter Haustechnik Hiermit ist der Verantwortliche für die Haustechnik gemeint.

Leiter Innerer Dienst Dies bezeichnet den Leiter des Inneren Dienstes bzw. den

Verantwortlichen für die Bereitstellung zentraler Dienste.

Leiter IT Hiermit ist der Leiter der IT-Abteilung bzw. das für die Informa-

tionstechnik zuständige Management gemeint.

Leiter Organisation Dies bezeichnet den Leiter der Organisationseinheit, die u. a.

für Regelung und Überwachung des allgemeinen Betriebs so-

wie für Planung, Organisation und Durchführung aller Verwal-

tungsdienstleistungen verantwortlich ist.

Leiter Personal Hiermit ist der Leiter der Personalabteilung bzw. der für Perso-

nalfragen zuständigen Organisationseinheit gemeint.

Mitarbeiter Ein Mitarbeiter ist ein Mitglied einer Fachabteilung, einer Be-

hörde oder eines Unternehmens.

Notfall-Verantwortlicher Der Notfall-Verantwortliche ist von der Behörden- bzw. Unter-

nehmensleitung authorisiert darüber zu entscheiden, ob es

sich bei einer bestimmten Situation um einen Notfall handelt.

Weiterhin ist er für die Einleitung der erforderlichen

Notfallmaßnahmen verantwortlich.

Anhang XIII



Personalabteilung Die Personalabteilung ist unter anderem für folgende

Aufgaben zuständig:

Personalwirtschaftliche Grundfragen

Personalbedarfsplanung

Personalangelegenheiten der Mitarbeiter

Allgemeine Zusammenarbeit mit der Personalvertretung.

Personalrat/Betriebsrat Der Personal- bzw. Betriebsrat (Personalvertretung) ist für die

Interessensvertretung der Mitarbeiter gegenüber der Behörde

bzw. Unternehmensleitung zuständig.

Planer Mit dem allgemeinen Begriff „Planer“ werden die Rollen wie

„Netzplaner“ und „Bauplaner“ zusammengefasst. Gemeint sind

also Personen, die verantwortlich sind für die Planung und

Konzeption bestimmter Aufgaben.

Poststelle Die Poststelle ist die Sammelstelle einer Behörde oder eines

Unternehmens für ankommende und ausgehende Post. Zu

den Aufgabengebieten können auch Fax- und E-Mail-

Dienstleistungen sowie das Scannen eingehender Dokumente

im Rahmen eines elektronischen Workflows gehören.

Pressestelle Die Pressestelle ist zuständig für alle ein- und ausgehenden

Kontakte zu Presse und Medien. In vielen Fällen werden dort

auch Anfragen von Privatpersonen und Firmen bearbeitet.

Revisor Ein Revisor kontrolliert, ob die geplanten Maßnahmen adäquat

umgesetzt wurden.

Telearbeiter Ein Telearbeiter nimmt seine Tätigkeiten außerhalb der Büro-

räume des Unternehmens bzw. der Behörde wahr und verfügt

über eine kommunikationstechnische Anbindung an die IT des

Arbeit- bzw. Auftraggebers.

Tester Tester sind Personen, die gemäß eines Testplans nach vorher

festgelegten Verfahren und Kriterien eine neue oder

veränderte Software bzw. Hardware testen und die

Testergebnisse mit den erwarteten Ergebnissen vergleichen.

TK-Anlagen-Verantwortli-

cher

Der TK-Anlagen-Verantwortliche ist für den ordnungsgemäßen

Betrieb der Telekommunikationsanlagen und für entspre-

chende Regelungen verantwortlich.

Anhang XIV



Verantwortlicher der einzel-

nen IT-Anwendungen

Der Verantwortliche für die einzelne IT-Anwendung ist nicht

nur für den reibungslosen Betrieb der IT-Anwendung

zuständig, sondern auch für die Initiierung und Umsetzung von

IT-Sicherheitsmaßnahmen für diese Anwendung.

Verantwortlicher für die

Datensicherung

Der Verantwortliche für die Datensicherung ist zuständig für

die Erstellung, Pflege, regelmäßige Aktualisierung und

Umsetzung eines Datensicherungskonzeptes.

Vorgesetzte Als Vorgesetzte werden die Mitarbeiter einer Institution be-

zeichnet, die gegenüber anderen, ihnen zugeordneten Mitar-

beitern weisungsbefugt sind.

Tab. 14: Rollenverständnis der IT-Grundschutz-Kataloge233


Training Areas

A

Manage

B

Acquire

C

Design

and

Develop

D

Implement

and

Operate

E

Review

And

Evaluate

F

Use

G

Other

1. Laws and

Regulation

(LaR)

1. LaR 1F

2. Security

Program

2.1 Planning

2.2 Management

3. System Life

Cycle Security

3.1 Initiation 3.1F

3.2 Development 3.2F

3.3 Test and

Evaluation 3.3F

3.4 Implementation 3.4F

3.5 Operations 3.5F

3.6 Termination

4. Other

Tab. 15: Trainingsmatrix des NIST für den User234

233 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand

2006, a. a. O., S. 35 ff.

234 National Institute of Standards and Technology (Hrsg.): Appendix E – Information Technology

Security Training Requirements: 1998, Online im Internet: http://csrc.nist.gov/publications/

nistpubs/800-16/Appendix_E.pdf, 13.0.4.2007, S. E-15.

Anhang XV



Training Areas

A

Manage

B

Acquire

C

Design

and

Develop

D

Implement

and

Operate

E

Review

And

Evaluate

F

Use

G

Other

1. Laws and

Regulation

(LaR)

1. LaR 1A

2. Security

Program

2.1 Planning 2.1C 2.1D 2.1E

2.2 Management 2.2A 2.2C

3. System Life

Cycle Security

3.1 Initiation

3.2 Development

3.3 Test and

Evaluation

3.4 Implementation 3.4E

3.5 Operations

3.6 Termination

4. Other

Tab. 16: Trainingsmatrix des NIST für den Chief Information Officer235

235 National Institute of Standards and Technology (Hrsg.): Appendix E – Information Technology

Security Training Requirements: 1998, a. A. O., S. E-4.

Anhang XVI


Abb. 18: Mind Map Modul 1 nach IT-Grundschutz-Kataloge des BSI

Anhang XVII



Anhang XVIII



Anhang XIX


Vorwort Organisationsrichtlinie „IT-Sicherheit“ für den Finanzsektor

Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des

Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren bzw. den

beim Unternehmen eingesetzten IT-Systemen.

Die hier vorliegende Organisationsrichtlinie ”IT-Sicherheit” ist Bestandteil des

Risikomanagements des Unternehmens. Sie verfolgt dabei die folgenden Ziele:

Festlegung des erforderlichen Sicherheitsniveaus der IT-Systeme des

Unternehmens

Definition der sich daraus abgeleiteten Schutzziele und Schutzmaßnahmen

Ableitung des daraus resultierenden Handlungsbedarfs für die unterschiedlichen

Rollen im IT-Sicherheitskreislauf

Definition von einheitlichen und nachvollziehbaren Prüfkriterien beim Betrieb von IT-

Systemen innerhalb des Unternehmens

Beitrag zur Vereinheitlichung des Risikomanagements im Konzern bezüglich der

Beurteilung des IT-Betriebsrisikos

Förderung des IT-Sicherheitsbewusstseins im Unternehmen

Bestandteil der umfassenden Dokumentation des Risikomanagements für interne

und externe Stellen (Wirtschaftsprüfer, BAKred, Ratingagenturen) insbesondere im

Zusammenhang mit KonTraG und "Basel II"

Die Geschäftsführung hat in seiner Sitzung am [Datum XX.XX.XXXX] beschlossen, als

Basis für die Implementierung des IT-Sicherheitskreislaufs eine IT-Sicherheitsrichtlinie (IT-

Security Policy) erstellen zu lassen, welche die bisherigen Regelungen einzelner Bereiche

des Unternehmens zum sicheren Betrieb von IT-Verfahren und IT-Systemen

zusammenfasst und vereinheitlicht.

Weiterhin bleiben für den IT-Bereich die Vorgaben aus dem Grundschutzhandbuch (GSHB)

des Bundesamtes für Sicherheit in der Informationstechnik (BSI) immer dann verbindlich,

sofern keine unternehmensspezifischen Regelungen für das zu betrachtende IT-Verfahren

existieren.

Anhang XX


IT-Sicherheitsrichtlinien

Schutzziele

Alle sensiblen Informationen, Daten, IT-Systeme und IT-Ressourcen sind gemäß ihrem

definierten Schutzniveau so geschützt, dass nur

erlaubte Zugriffe und erlaubte Veröffentlichungen (Schutzziel: Vertraulichkeit),

erlaubte Änderungen (Schutzziel: Integrität) und

erlaubte Löschungen bzw. Unterbrechungen (Schutzziel: Verfügbarkeit) möglich

sind.

Außerdem werden bei geschäftskritischen Verfahren alle sicherheitsrelevanten Vorgänge im

erforderlichen Umfang protokolliert und ausgewertet (Schutzziel: Nachvollziehbarkeit).

Angemessenheit

Jeder Informationseigentümer - bzw. jeder von diesem Beauftragte - sorgt dafür, dass bei

allen Maßnahmen zum Schutz von sensiblen Informationen, Daten, IT-Systemen und IT-

Ressourcen das Wirtschaftlichkeitsprinzip angewendet wird. Dabei sind die Auswirkungen

auf das Betriebsrisiko, d.h. den IT-Betriebskreislauf einerseits und dem IT-

Sicherheitskreislauf andererseits (z.B. unerlaubte Zugriffe, unerlaubte Veröffentlichung,

unerlaubte Änderung oder Zerstörung von sensiblen Informationen, Daten, IT-Systemen

und IT-Ressourcen) zu bewerten.

Der Aufwand zum Schutz der Informationen steht in einem wirtschaftlich vertretbaren

Verhältnis zum Wert der Information für das Unternehmen.

Zugriffsregelung

Jeder Zugriff auf sensible Informationen, Daten, IT-Systeme und IT-Ressourcen des

Unternehmens wird genehmigt, kontrolliert und protokolliert.

Der Zugriff begründet sich ausschließlich aus den betrieblichen Erfordernissen der

je¬weiligen Funktion innerhalb des Unternehmens.

Die Beantragung und Vergabe von Benutzerkennungen erfolgt über eine zentrale

Berechtigungsverwaltung und wird in einer eigenen Richtlinie beschrieben.

Akzeptanz und Verpflichtung

Alle natürlichen Personen, die Zugriff auf Informationen, Daten, IT-Systeme und IT-

Ressourcen des Unternehmens erhalten sollen, akzeptieren formal die Notwendigkeit, die

Informationen, Daten, IT-Systeme und IT- Ressourcen des Unternehmens zu schützen.

Alle MitarbeiterInnen, Auftragnehmer und andere Dritte sind individuell verpflichtet, diese

Anforderung im Rahmen ihrer jeweiligen Funktion aktiv zu unterstützen.

Anhang XXI


Sensibilisierung

Die Führungskräfte des Unternehmens schaffen die erforderlichen Rahmenbedingungen,

damit alle betroffenen MitarbeiterInnen, Auftragnehmer und andere Dritte die IT-

Sicherheitsrichtlinie des Unternehmens kennen, verstehen und befolgen.

Gesetze und Auflagen

Die Maßnahmen zum Schutz von sensiblen Informationen, Daten, IT-Systemen und IT-

Ressourcen entsprechen den jeweils gültigen gesetzlichen Auflagen und Verordnungen.

IT-Sicherheitsvorgaben

Umgang mit vertraulichen Informationen

Vertrauliche Informationen, Daten und IT-Ressourcen werden so erfasst, verarbeitet und

gespeichert, dass ein unerlaubter Zugriff oder Missbrauch ausgeschlossen ist.

Die Erfassung, Verarbeitung und Speicherung von personenbezogenen Daten werden im

Unternehmen in einer eigenen Richtlinie geregelt.

Integrität der Geschäftsdaten

Die Integrität der zu verarbeitenden, geschäftskritischen Daten und Informationen ist durch

geeignete technische und organisatorische Maßnahmen während der

Verarbeitung,

Speicherung und

Übertragung

zu gewährleisten.

Dies ist z.B. dann der Fall, wenn nach Abschluss eines Verarbeitungsschrittes die Daten zu

einem Dritten übertragen, an ein anderes Verfahren übergeben oder auf ein anderes

Medium gespeichert werden (z.B.: Backup/Archivierung).

Die Prüfung der fachlichen Korrektheit und Zulässigkeit der

Dateneingabe,

Verarbeitung dieser Informationen und

der daraus resultierenden Ergebnisse

sind in den jeweiligen Verfahrensbeschreibungen festgelegt und nicht Bestandteil dieser

Organisationsrichtline.

Anhang XXII


Verantwortung des Informationseigentümers

Jede Information, jede Datei, jedes Verfahren, jedes IT-System und jede IT-Ressource hat

einen eindeutig zugeordneten Informationseigentümer.

Dieser ist für die Einstufung des Schutzbedarfs und die Vergabe der Zugriffsberechtigungen

verantwortlich.

Zugriff entsprechend der Funktion

Für die Vergabe von Zugriffsrechten gibt es unternehmensweit einheitliche Regelungen. Der

Zugriff auf sensible Informationen, Daten, IT-Systeme und IT-Ressourcen wird

entsprechend der jeweiligen Funktion innerhalb des Unternehmens vergeben.

Unterweisung und Sensibilisierung

Das erforderliche Wissen zur Anwendung der IT-Sicherheitsrichtlinie im Unternehmen wird

den verschiedenen Zielgruppen (Nutzer, Betreuer, Führungskräfte usw.) in Art und Umfang

angemessen zur Verfügung gestellt.

Alle MitarbeiterInnen, Auftragnehmer und andere Dritte, die Zugriff auf sensible

Informationen, Daten, IT-Systeme und IT-Ressourcen des Unternehmens haben, sind

darüber informiert, wie sie IT-Sicherheitsvorfälle erkennen und diese entsprechend

eskalieren.

Integrität des IT-Betriebs- und IT-Sicherheitskreislaufs

Alle relevanten Teile des IT-Betriebskreislaufs und des IT-Sicherheitskreislaufs im

Unternehmen werden nach einem geregelten und prüfbaren Verfahren entwickelt oder

beschafft, getestet, eingeführt, betrieben, geändert und abgebaut.

Erkennen von IT-Sicherheitsverletzungen

Für alle geschäftskritischen Informationen, Daten, Verfahren, IT-Systeme und IT-

Ressourcen im Unternehmen sind Mechanismen und Prozesse implementiert, die

unberechtigte Zugriffe bzw. unberechtigte Zugriffsversuche zeitnah erkennen.

Urheberschaft

Es werden bei den Verfahren und IT-Systemen des Unternehmens nur solche

Authentifizierungsmethoden eingesetzt, die eine juristisch eindeutige Zuordnung zu einer

Person oder zu einem Dienst gewährleisten.

Anmelde-/Abmeldeprozess

Vor und nach dem erfolgreichen Zugriff auf sensible Informationen, Daten, Verfahren, IT-

Systeme und IT-Ressourcen wird jeweils ein standardisierter Anmelde- und

Abmeldeprozess durchlaufen.

Anhang XXIII


Netzwerksicherheit

Für jedes - als vertrauenswürdig eingestuftes - Netzwerksegment des Unternehmens sind

Sicherheitsmechanismen implementiert, die den Zugriff in und von nichtvertrauenswürdigen

Netzwerksegmenten überwachen und/oder verhindern.

Virenschutz

"Schädliche/schadhafte" Softwarekomponenten (z.B. Viren) werden auf den IT-Systemen

des Unternehmens erkannt und unverzüglich entfernt.

Protokollierung

Alle IT-sicherheitsrelevanten Vorgänge werden protokolliert.

Integrität der Protokolldateien

Alle Protokolldateien, die IT-sicherheitsrelevante Vorgänge enthalten, werden so erstellt, im

laufenden Betrieb gepflegt und gespeichert, dass unerlaubte Zugriffe, Veränderungen,

Löschungen oder Zerstörungen verhindert werden.

Reaktion auf IT-Sicherheitsvorfälle

Alle Vorfälle, die Auswirkungen auf die Schutzziele der IT-Sicherheitsrichtlinie haben,

werden dokumentiert, berichtet und in angemessener Art und Weise behandelt.

Schwachstellen

Alle geschäftskritischen Verfahren, IT-Systeme und IT-Ressourcen werden regelmäßig auf

Sicherheitsschwachstellen untersucht.

Einhaltung der IT-Sicherheitsrichtlinie

Alle Vorgaben der IT-Sicherheitsrichtlinie werden regelmäßig überprüft, um sicherzustellen,

dass diese - wie vorgesehen - funktionieren und zum Zeitpunkt der Prüfung noch

ausreichend sind, um die aktuellen Anforderungen zum Schutz der betroffenen sensiblen

Informationen, Daten, IT-Systeme und IT-Ressourcen zu erfüllen.

IT-Sicherheitsberichtswesen

Die automatisiert erstellten Protokolle der IT-sicherheitsrelevanten Vorgänge werden

regelmäßig und bei Verdacht bzw. einem erkannten Sicherheitsvorfall ausgewertet. Die

Ergebnisse der Auswertung werden im Rahmen eines definierten und abgestimmten

Prozesses intern berichtet.

Alle anderen IT-sicherheitsrelevanten Vorfälle, werden manuell erfasst, dokumentiert,

kontrolliert und ausgewertet und im Rahmen eines definierten und abgestimmten Prozesses

intern berichtet.

Anhang XXIV


Notfallplanung

Für die geschäftskritischen IT-Systeme und Verfahren des Unternehmens sind die

erforderlichen Vorkehrungen getroffen, um das IT-Betriebsrisiko zu minimieren.

Ausnahmen

Aufgrund technischer oder organisatorischer Gegebenheiten gibt es bei den IT-Systemen

und Verfahren des Unternehmens Ausnahmen zu den IT-Sicherheits-vorgaben und IT-

Sicherheitsumsetzungsanforderungen.

Diese Ausnahmen werden in einem geregelten Prozess entschieden und genehmigt,

dokumentiert und nachverfolgt.

IT-Sicherheitsmanagementanforderungen

Die weitere Detaillierung der IT-Sicherheitsvorgaben findet in den IT-

Sicherheitsumsetzungsanforderungen statt.

Tab. 17: IT-Sicherheitsrichtlinie für den Finanzsektor236

236 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Sicherheitsrichtlinie, Online im

Internet: http://www.bsi.de/gshb/deutsch/hilfmi/extern/sicherheitsleitlinie.pdf, 12.08.2007.

Anhang XXV


Abb. 21: Flyer Seite 1 der Sensibilisierungs-Kampagne

Abb. 22: Flyer Seite 2 der Sensibilisierungs-Kampagne

Literaturverzeichnis XXVI


Literaturverzeichnis

1. Andersson, Ross; Moore, Tyler: The Economics of Information Security: A

Survey and Open Questions, Online im Internet: http://www.cl.cam.ac.uk/ ~rja14/

Papers/ toulouse- summary.pdf, 12.08.2007.

2. Bauer, Robert; Phillippi, Tillmann: Einstieg ins E-Learning – Die Zukunfts-

chance für beruflichen und privaten Erfolg, Nürnberg: Bildung und Wissen

Verlag 2001.

3. Baumbach, Janet; Kornmayer, Evert; Volkmer, Ralf; Winter, Heike: Blen-

ded Learning in der Praxis – Konzepte, Erfahrungen & Überlegungen von Aus-

und Weiterbildungsexperten, Dreieich: Imselbst-Verlag 2004.

4. Baumgartner, Peter; Häfele, Hartmut; Maier-Häfele, Kornelia: E-Learning

Praxishandbuch: Auswahl von Lernplattformen - Marktübersicht – Funktionen –

Fachbegriffe, Innsbruck: Studienverlag 2002.

5. Bonk, Curtis J.; Graham, Charles R.: The Handbook of Blended Learning –

global perspectives, local designs, San Francisco: Pfeiffer 2006.

6. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der

Entscheider und Planer, 3. vollständig überarbeitete Auflage, Berlin et al.:

Springer Verlag 2002.

7. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard

100-1 Managementsysteme für Informationssicherheit - Version 1.0, Online im

Internet: http://www.bsi.de/literat/bsi_standard/standard_1001.pdf, 12.08.2007.

8. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard

100-2 IT-Grundschutz-Vorgehensweise - Version 1.0, Online im Internet:

http://www.bsi.de/literat/bsi_standard/standard_1002.pdf, 12.08.2007.

9. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grund-

schutz-Kataloge: Stand 2006, Online im Internet: http://www.bsi.bund.de/gshb/

deutsch/download/it-grundschutz-kataloge_2006_de.pdf, 12.08.2007.

10. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.):

IT-Sicherheitsrichtlinie: Online im Internet: http://www.bsi.de/gshb/deutsch/

hilfmi/extern/sicherheitsleitlinie.pdf, 12.08.2007.

11. Bundesamt für die Sicherheit der Informationstechnik (Hrsg.): Vorteile und

Stellenwert, Online im Internet: http://www.bsi.de/gshb/zert/vorteile_und_

stellenwert.htm, 12.08.2007.

12. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.):

Zuordnungstabelle – ISO 27001 sowie ISO 17799 und IT-Grundschutz, Online

im Internet: http://www.bsi.de/gshb/deutsch/hilfmi/Vergleich_ISO17799_GS.

pdf, 12.08.2007.

Literaturverzeichnis XXVII


13. Capgemini (Hrsg.): Studie IT-Trends 2005 – Paradigmenwechsel in Sicht, On-

line im Internet: http://www.de.capgemini.com/m/de/tl/IT-Trends_2005.pdf,

12.08.2007.

14. Deloitte (Hrsg.): 2006 Global Security Survey, Online im Internet:

http://www.deloitte.com/dtt/cda/doc/content/dtt_fsi_2006%20Global%20Securit

y%20Survey_2006-06-13.pdf, 12.08.2007.

15. Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff

IT-Sicherheit, in: Informatik Spektrum, Band 27, Heft 4, S. 343-353.

16. Dietrich, Stephan; Fuchs-Brüninghof, Elisabeth, u. a.: Selbstgesteuertes Ler-

nen – Auf dem Weg zu einer neuen Lernkultur, Online im Internet:

http://www.die-bonn.de/esprid/dokumente/doc-1999/dietrich99_01.pdf,

08.04.2007.

17. Dimler, Simone; Federrath, Hannes; Nowey, Thomas; Plößl, Klaus: Aware-

ness für IT-Sicherheit und Datenschutz in der Hochschulausbildung – Eine em-

pirische Untersuchung, in: Sicherheit 2006. Beiträge der 3. Jahrestagung des

GI-Fachbereichs Sicherheit, Lecture Notes in Informatics (P-77), Dittmann, Jana,

Bonn: Köllen-Verlag 2006.

18. Dittler, U.: E-Learning Einsatzkonzepte und Erfolgsfaktoren des Lernens mit

interaktiven Medien.

19. Ernst & Young (Hrsg.): Global Information Security Survey 2003, EYG No.

FF0224, 2003.


FF0231, 2004.


AU0022, 03.06.2007.

22. European Network and Information Security Agency (Hrsg.): A User’s

Guide: How to raise Information Security Awareness 2002, Online im Internet:

http://www.cepis.org/files/cepis/docs/20070323115452_enisa_a_users_guide_h

ow_to_rai.pdf, 12.08.2007.

23. Fox, Dirk: Security Awareness - Oder: Die Wiederentdeckung des Menschen in

der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 676-680.

24. Fox, Dirk; Kaun, Sven: Security-Awareness-Kampagnen, 9. Deutscher IT-Si-

cherheitskongress des BSI, Online im Internet:

http://www.secorvo.de/publikationen/awareness-kampagnen-fox-kaun-2005.pdf,

12.08.2007.

25. Görlich, Sascha: Fundierung und Integration von E-Learning Komponenten in

die Präsenzlehre, Online im Internet: http://geb.uni-giessen.de/geb/volltexte/

2007/4535/index.html, 12.08.2007.

Literaturverzeichnis XXVIII


26. Hirschmann, Stefan; Romeike, Frank: IT-Sicherheit als Rating-Faktor, in:

RATINGaktuell, 01/2004, S. 12-18.

27. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-

1:1996(E) – Information technology – Guidelines for the management of IT Se-

curity – Part 1: Concepts and models for IT Security, Online im Internet (kos-

tenpflichtig): www.iso.org, 12.08.2007.


3:1998 – Information technology - Guidelines for the management of IT Security

- Part 3: Techniques for the management of IT Security, Online im Internet

(kostenpflichtig): www.iso.org, 12.08.2007.


4:2000 – Information technology - Guidelines for the management of IT Security

- Part 4: Selection of safeguards, Online im Internet (kostenpflichtig):

www.iso.org, 12.08.2007.

30. International Organization for Standardization (Hrsg.): ISO/IEC

17799:2005, Information technology – Security techniques – Code of practice for

information security management, Online im Internet (kostenpflichtig):

www.iso.org, 12.08.2007.

31. International Organization for Standardization (Hrsg.): ISO/IEC

27001:2005, Information technology – Security techniques – Information security

management systems – Requirements, Online im Internet (kostenpflichtig):

www.iso.org, 12.08.2007.

32. International Security Forum (Hrsg.): ISF best practices 2004, Online im

Internet: http://www.isfsecuritystandard.com/index_ns.htm, 12.08.2007.

33. ITSecCity (Hrsg.): Secorvo bieten neuen Kurs zum IT-Sicherheitsexperten,

Online im Internet: http://www.itseccity.de/?url=/content/markt/nachrichten/

061116_mar_nac_teletrust.html, 12.08.2007.

34. Kleimann, Bernd; Wannemacher, Klaus: E-Learning an deutschen Hochschu-

len – Von der Projektentwicklung zur nachhaltigen Implementierung, Hannover:

HIS 2004.

35. Kompetenzzentrum Electronic Commerce Bonn/Rhein-Sieg (Hrsg.): Ganz-

heitliche Sichterheit für elektronisch gestützte Geschäftsprozesse - Eine Praxis-

hilfe für kleine und mittlere Unternehmen (KMU), Bonn, Rhein-Sieg, 2003.

36. Kunz, Thomas: IT-Security – Ausbildung mit einem multimedialen CBT, in: E-

Learning – Einsatzkonzepte und Erfolgsfaktoren des Lernens mit interaktiven

Medien, Hrsg.: Dittler, U., 2. Auflage, München; Wien: Oldenbourg Verlag 2003.

Literaturverzeichnis XXIX


37. Kurzlechner, Werner: IT-Sicherheit: Firmen haften für ihre Mitarbeiter, Online

im Internet: http://www.cio.de/_misc/article/printoverview/index.cfm?

pid=185&pk=834373&op=pdf, 12.08.2007.

38. Lau, Christoph: eLearning – Lernprozess und Lernfortschrittskontrolle, Ham-

burg: Diplomica GmbH 2003.

39. Laudon, Kenneth C.; Laudon, Jane P.; Schoder, Detlef: Wirtschaftsinformatik

– Eine Einführung, München et al.: Pearson Studium 2006.

40. Mayrhofer, Wolfgang; Meyer, Michael: Organisationskultur, in: Schreyögg,

Georg; v. Werder, Axel (Hrsg.): Handwörterbuch Unternehmensführung und

Organisation, 4. völlig neu überarbeitete Auflage, Stuttgart: Schäffer-Poeschel

2004, S. 1025- 1033.

41. National Institute of Standards and Technology (Hrsg.): NIST Special

Publication 800-12, Online im Internet: http://csrc.nist.gov/publications/

nistpubs/800-12/handbook.pdf, 12.08.2007.


Publication 800-16 – Information Technology Security Training Requirements: A

Role- and Performance-Based Model 1998, Online im Internet:

http://csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf, 12.08.2007.


Publication 800-50 - Building an Information Technology Security Awareness

and Training Program 2003, Online im Internet: http://csrc.nist.gov/

publications/nistpubs/800-50/NIST-SP800-50.pdf, 12.08.2007.

44. Niegemann, Helmut M.: Besonderheiten einer Didaktik des E-Learning, in:

Grundlagen der Berufs- und Erwachsenenbildung, Band 48, eLearning-Didaktik,

Hrsg.: Arnold, Rolf; Lermen, Markus, Baltmannsweiler: Schneider Verlag 2006.

45. OECD (Hrsg.): OECD Guidelines for the Security of Information Systems and

Networks: Towards a Culture of Security, Online im Internet:

http://webdomino1.oecd.org/COMNET/STI/IccpSecu.nsf?OpenDatabase,

12.08.2007.

46. OECD (Hrsg.): Implementation Plan For The OECD Guidelines for the security

of information systems and networks: towards a culture of security, Online im

Internet: http://www.oecd.org/dataoecd/23/11/31670189.pdf, 12.08.2007.

47. OECD (Hrsg.): The Promotion of a Culture of Security for Information Systems

and Networks in OECD Countries, Online im Internet:

http://www.oecd.org/dataoecd/16/27/35884541.pdf, 12.08.2007.

48. o. V.: <kes> Microsoft Sicherheitsstudie - Lagebericht zur Informations-Sicher-

heit (Sonderdruck für Microsoft), in: <kes> Die Zeitschrift für Informations-Si-

cherheit, Sonderdruck für Microsoft 2006.

Literaturverzeichnis XXX


49. o. V.: Entsicherung am Arbeitsplatz, in <kes> Die Zeitschrift für Informations-

Sicherheit, 6/2006, S. 61-62.

50. o. V.: Zertifizierung gemäß ISO 27001, Online im Internet,

http://www.tuv.com/de/zertifizierung_gemaess_iso_27001.html#2, 12.08.2007.

51. Porter, Michael E.: Competitive Advantage – Creating and Sustaining Superior

Performance, London, New York: Collier Macmillan Publishers 1985.

52. Price Waterhouse Coopers (Hrsg.): The Global State of Information Security,

Online im Internet: http://www.pwchk.com/webmedia/doc/6329494858

91990448_info_security_sep2006.pdf, 12.08.2007.

53. Rühli, E.: Unternehmungskultur – Konzepte und Methoden, in: Rühli, E.; Keller,

A. (Hrsg.): Kulturmangement in schweizerischen Industrieunternehmungen,

Bern, Stuttgart: Paul Haupt Verlag 1991, S. 11- 49.

54. Sackmann, Sonja A.: Unternehmenskultur – Erkennen – Entwickeln – Verän-

dern, Neuwied et al.: Luchterhand 2002.

55. Sackmann, Sonja A.: Erfolgsfaktor Unternehmenskultur – Mit kulturbewusstem

Management Unternehmensziele erreichen und Identifikation schaffen – 6 best

Practice-Beispiele, 1. Auflage, Wiesbaden, Gabler Verlag 2004.

56. Sauter, Annette M.; Sauter, Werner; Bender, Harald: Blended Learning –

Effiziente Integration von E-Learning und Präsenztraining, 2., erweiterte und

überarbeitete Auflage, Neuwied et al.: Luchterhand 2004.

57. Schein, Edgar H.: Coming to a New Awareness of Organizational Culture, in:

Sloan Management Review, 25. Jg., 2/1984, S. 3- 16.

58. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis –

Analyse und Förderung soziokultureller Faktoren der Informationssicherheit in

Organisationen, Fribourg: iimt University Press: 2006.

59. Schmidt, Inna: Blended E-Learning – Strategie, Konzeption, Praxis, Saarbrü-

cken: VDM Verlag 2005.

60. Schreyögg, Georg: Organisationskultur, in: Frese, Erich (Hrsg.): Handwörter-

buch der Organisation, 3. völlig neu gestaltete Auflage, Stuttgart: Schäffer-Poe-

schel 1992, S. 1525- 1537.

61. Schulmeister, R: Lernplattformen für das virtuelle Lernen – Evaluation und

Didaktik, 2. Auflage, München, Wien: Oldenbourg Verlag 2005.

62. Schwickert, Axel C.; Hildmann, Jochen; Voß, Christoph: Blended Learning

in der Universität – Eine Fallstudie zur Vorbereitung und Durchführung, in: Ar-

beitspapiere WI, Nr. 9/2005, Hrsg.: Professur BWL – Wirtschaftsinformatik,

Justus-Liebig-Universität Gießen 2005, 36 Seiten, ISSN 1613-6667.

Literaturverzeichnis XXXI


63. Silicon.de (Hrsg.): IT-Sicherheit 2005 - Ringen mit dem steigenden Aufwand -

Auszüge aus der aktuellen silicon.de-Studie 'IT-Sicherheit 2005, Online im In-

ternet: http://www.sicherheitsforum-bw.de/x_loads/siliconDEStudie_IT_

Sicherheit2005.pdf, 12.08.2007.

64. Siponen, Mikko T.: A conceptual foundation for organizational information

security awareness, in: Information Management & Computer Security, 8

(1)/2000, S. 31-41.

65. Statistisches Bundesamt (Hrsg.): Informationstechnologie in Unternehmen und

Haushalten 2005, Online im Internet: http://www.destatis.de/

download/d/veroe/Pressebroschuere_IKT2005.pdf, 12.08.2007.

66. Staub, Timo; Friesendorf, Christoph Isler; Kurian, Matthai; Reimann, Mi-

chael: The International Relations and Security Network’s e-Learning Project,

Online im Internet: http://www.isn.ethz.ch/edu/el_about/ _doc/project_

description_en.pdf, 12.08.2007.

67. Stickel, Eberhard; Groffmann, Hans-Dieter; Rau, Karls-Heinz:

Wirtschaftsinformatiklexikon, Wiesbaden: Gabler 1997.

68. von Solms, Basie: Information Security – The Third Wave, in: Computers &

Security, 19/2000, S. 615- 620.

69. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestal-

ten, München, Wien: Carl Hanser Verlag 2003.

70. Wirtschafts- und sozialpolitisches Forschungs- und Beratungszentrum der

Friedrich-Ebert-Stiftung Abt. Wirtschaftspolitik (Hrsg.): (Un–) Sicherheit im

Internet - Wege zu einem besseren Schutz für Unternehmen und private Nutzer,

Online im Internet, http://library.fes.de/pdf-files/fo-wirtschaft/ 03014.pdf,

12.08.2007.

Impressum

Reihe: Arbeitspapiere Wirtschaftsinformatik (ISSN 1613-6667) Bezug: http://wiwi.uni-giessen.de/home/Schwickert/arbeitspapiere/ Herausgeber: Prof. Dr. Axel C. Schwickert

Prof. Dr. Bernhard Ostheimer

c/o Professur BWL – Wirtschaftsinformatik

Justus-Liebig-Universität Gießen

Fachbereich Wirtschaftswissenschaften

Licher Straße 70

D – 35394 Gießen

Telefon (0 64 1) 99-22611

Telefax (0 64 1) 99-22619

eMail: [email protected]

http://wi.uni-giessen.de Ziele: Die Arbeitspapiere dieser Reihe sollen konsistente Überblicke zu den

Grundlagen der Wirtschaftsinformatik geben und sich mit speziellen

Themenbereichen tiefergehend befassen. Ziel ist die verständliche

Vermittlung theoretischer Grundlagen und deren Transfer in praxisori-

entiertes Wissen. Zielgruppen: Als Zielgruppen sehen wir Forschende, Lehrende und Lernende in der

Disziplin Wirtschaftsinformatik sowie das IT-Management und Praktiker

in Unternehmen. Quellen: Die Arbeitspapiere entstehen aus Forschungsarbeiten, Abschluss-,

Studien- und Projektarbeiten sowie Begleitmaterialien zu Lehr- und

Vortragsveranstaltungen der Professur BWL – Wirtschaftsinformatik,

Univ. Prof. Dr. Axel C. Schwickert, Justus-Liebig-Universität Gießen

sowie der Professur für Wirtschaftsinformatik, insbes. medienorientierte

Wirtschaftsinformatik, Fachbereich Wirtschaft, Hochschule Mainz. Hinweise: Wir nehmen Ihre Anregungen und Kritik zu den Arbeitspapieren auf-

merksam zur Kenntnis und werden uns auf Wunsch mit Ihnen in Verbin-

dung setzen. Falls Sie selbst ein Arbeitspapier in der Reihe veröffentlichen möchten,

nehmen Sie bitte mit dem Herausgeber unter obiger Adresse Kontakt

auf. Informationen über die bisher erschienenen Arbeitspapiere dieser Rei-

he erhalten Sie unter der Adresse http://wi.uni-giessen.de.

Alle Arbeitspapiere der Reihe „Arbeitspapiere WI“ sind einschließlich aller Abbildungen urheberrechtlich geschützt. Jede

Verwertung außerhalb der Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Herausgebers unzulässig. Dies

gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung, Be- und Verarbeitung

in elektronischen Systemen. Copyright Professur BWL – Wirtschaftsinformatik

Zielgruppenspezifisches E-Learning im Rahmen von Schulungs- … · JUSTUS-LIEBIG-UNIVERSITÄT...

Documents

Transcript of Zielgruppenspezifisches E-Learning im Rahmen von Schulungs- … · JUSTUS-LIEBIG-UNIVERSITÄT...