Der sichere Umgang mit Daten, Informationen und IT-Anwendungen in Unternehmen ist ein sensibles Thema.

Auftretende Probleme in diesen Bereichen können für die Betroffenen und Verantwortlichen verheerende rechtliche sowie existenzielle Folgen nach sich ziehen. Im unternehmensweiten Aus- und Weiterbildungsprozess sollten diese Sicherheitsthemen einen festen Platz einnehmen. Der Einsatz einer geeigneten Qualifizierungsmethode für Mitarbeiter kann präventiv Schäden vermeiden, die aufgrund von Ausbildungsdefiziten entstehen. Mit dem Einsatz oder der Nutzung einer webbasierten Trainings-plattform ist die Schulung von Grundlageninhalten wie Datenschutz und IT-Sicherheit problemlos unternehmensweit durchführbar. Ein wesentlicher Aspekt bezüglich Datenschutzbestimmungen ist die gesetzlich notwendige, meist regelmäßige Ausbildung der Mitarbeiter, um eine entsprech-ende Risikominimierung zu erreichen. Das gilt auch für die grundlegende Einweisung in die IT-Sicherheit. Dabei sind Präsenzschulungen oft zu teuer und zudem mit einem hohen organisatorischen Aufwand verbunden. Vor diesem Hintergrund stellt eine elektronische, webbasierte Ausbildung eine optimale Alternative dar. Es entstehen keine Reise sowie Übernachtungskosten und Arbeitsausfallzeiten. Die Teilnehmer solcher Trainings können ihr Wissen regelmäßig selbst überprüfen und erhalten bei erfolgreichem Abschluss ein persönliches Zertifikat. Selten gibt es Unternehmen, in denen alle Mitarbeiter genau dieselben Lerninhalte benötigen. Deshalb können die Lerninhalte ausge-wählt und um die individuellen Anforderungen ergänzt werden. Das spart Zeit und Kosten. Zudem verfügen die Trainings über einen klaren didaktischen Aufbau und behandeln alle in der Praxis relevanten Themen.
Steht das Thema Sicherheit und IT-Grundschutz im Unternehmen zur Debatte und wie das Maximum hier erreicht werden kann, dann sollte über die Einflussmög-lichkeiten des einzelnen Menschen, der sich als Mitarbeiter in die Unternehmens-struktur eingliedert, nachgedacht werden. Ungeschulte Anwender können Gefahren gar nicht richtig einschätzen. Dazu kommt, dass eine gewisse „Betriebs-blindheit“ das Erkennen von solchen erschwert. Viele verlassen sich auch einfach auf den anderen frei nach dem Motto: Der Administrator ist doch für die Sicherheit zuständig. In diesem Moment wird oft nicht weiter darüber nachgedacht, dass beispielsweise durch die nicht ordnungsgemäße Nutzung von Applikationen bereits ein Risikopotenzial besteht, das noch gar nicht abzuschätzen ist und sich zudem auf die gesamte IT-Infrastruktur auswirken kann. Das Gleiche gilt für den Umgang mit dem Thema Datenschutz. Der Kunde vertraut zu Recht darauf, dass mit seinen Daten ordentlich verfahren wird.

Rechtliche Verpflichtungen

Voraussetzung ist, dass die Grundsätze dem Mitarbeiter auch bekannt sind. Es besteht sogar eine rechtliche Verpflichtung dazu, eine Einweisung vorzunehmen. Die Sensibilisierung sollte zielgruppengerecht für beispielsweise Sachbearbeiter, Administratoren, Führungskräfte, Pförtner etc. vorbereitet und in regelmäßigen Intervallen wie-derholt durchgeführt werden. Mit Einführung einer solchen Maßnahme verfügt das Unternehmen letztendlich über einen gültigen Nachweis, der zu mehr Rechtssicherheit beiträgt. Darüber hinaus können individuelle Lerninhalte integriert werden. Auf diesem Weg kann eine unternehmensweite Schulung zu überschaubaren Kosten erfolgen. Die Lernerfolge werden auf Basis von integrierten Tests, die jeder Absolvent durchlaufen muss, dokumentiert.
Der offizielle Abschluss aller Seminare setzt die Absolvierung einer entsprechend angepassten Online-Prüfung voraus. Um sich Einblick in eine solche Plattform und deren Funktionen zu verschaffen, findet der Interessierte im Internet Informationen. So stellt z.B. der Schulungsspezialist Fast Lane im Rahmen seiner Online University, einer webbasierten Trainingsplattform mit den Grundlagen-inhalten Datenschutz und IT-Sicherheit, einen Schnupperzugang zur Verfügung.

IT-Sicherheit: Grundlagen zur Sensibilisierung

Über 70 % aller Sicherheitsvorfälle sind auf Fehler von Anwendern zurückzu-führen, die über eine mangelhafte Basisausbildung im Bereich der Informati-onstechnologie verfügen oder durch fehlendes Verantwortungsbewusstsein sowie unzureichende unternehmensweite Sensibilisierung für dieses wichtige Thema. Professionell von Spezialisten aufgesetzte webbasierte Seminare sind in der Lage über eine zentrale Informationsplattform leicht verständlich das erforderliche Basis-Know-how näher zu bringen, und richten sich dabei vornehmlich nicht an Experten, sondern an Mitarbeiter ohne spezifisches Fachwissen. Die Inhalte werden von erfahrenen Security-Beratern unter Berücksichtigung der aktuell eingeführten IT-Sicherheitsmanagementprozesse entwickelt und bereitgestellt. Das Training kann zusätzlich auch angrenzende Themen wie z. B. Verhalten am Telefon, Dateiorganisation, Benutzung zentraler Drucker etc. mit einbeziehen. Die Kursschematik beinhaltet in der Regel eine Einleitung, anschauliche Beispiele, den tieferen Einstieg in das Thema und abschließend die Zusammenfassung der Sequenzen mit den entsprechenden Kontrollfragen und einer Nachbesprechung.

Datenschutz: Einweisung ist Verpflichtung

In Deutschland ist die Ausbildung der Mitarbeiter zum Thema Datenschutz gesetzlich vorgeschrieben. In der Praxis erweist sich diese Anforderung oft als schwer umsetzbar. Mit steigender Anzahl der Mitarbeiter und steigendem Grad an örtlicher Verteilung wird eine zentrale Datenschutzunterweisung noch schwieriger. Nicht zuletzt aus diesem Grund setzen immer mehr Unternehmen auf eine webbasierte Unterweisung. Ziel des Datenschutzseminars ist es, den Trainingsteilnehmer an seine Verantwortung im Umgang mit vertraulichen Informationen heranzuführen. Aufgegriffen werden Themenbereiche wie personenbezogene Daten, die Rechte Betroffener und der Umgang mit dem eigenen Datenschutzbeauftragten.

Essenzielle Inhalte einer Sicherheitsschulung

Das Grundlagenprogramm sollte sich darauf konzentrieren zu vermitteln, was IT-Sicherheit eigentlich bedeutet und im nächsten Schritt auf die Gefahren und entsprechenden Gegenmaßnahmen eingehen. Themen wie Computerviren, Würmer, Phishing und das Internet allgemein dürfen hier nicht fehlen. Darüber hinaus sind die Ablage- und Dateienstruktur und das Wiederfinden von Informationen sowie der Umgang mit Passwörtern und dem Kommunikations-medium E-Mail essenzielle Bereiche, die einfließen. Thematisiert werden ferner das Verhalten am Telefon und die Nutzung eines zentral eingerichteten Druckers. Auch Anregungen, worauf beim Verlassen des Arbeitsplatzes geachtet werden sollte, sind für den Einzelnen sehr hilfreich, um sich aktiv am ganzheitlichen Sicherheitskonzept im Unternehmen zu beteiligen. Das Erläutern und die Darstellung der Zusammenhänge rund um die Regelungen wie die übergreifende Sicherheitspolicy und das Datenschutzgesetz sind Punkte, die ein solches Online-Seminar zusätzlich enorm bereichern.

Wichtige Punkte für erfolgreiches Lernen

Bei der Wahl einer geeigneten E-Learning-Plattform für das zeit- und ortsun-abhängige Lernen sollten einige Punkte beachtet werden. Profi-Systeme zeichnen sich durch ihre leichte und intuitive Bedienbarkeit aus, d.h. ein Schulungs-teilnehmer kommt sofort nach dem Einloggen ohne eine aufwendige Einführung zurecht. Unterstützt wird dieses durch einen klaren und übersichtlichen webbasierten Aufbau der Benutzeroberfläche und -führung. Dabei wird das Ganze systemunabhängig betrieben, und es sind keine weiteren Technologien erforderlich. Alle aufbereiteten Themen sind leicht lesbar und übersichtlich strukturiert. Die Lerninhalte sollten didaktisch einwandfrei aufeinander abgestimmt sein, damit der User immer darüber informiert ist, in welchem Lernabschnitt er sich befindet und welche Fortschritte er bereits gemacht hat. Sofort nach Systemstart kann mit dem Trainieren begonnen werden. Da diese Lösung gerade auch für größere Unternehmen interessant ist, wäre eine Limitierung der Teilnehmerzahl nicht sinnvoll.

Die Wahl einer geeigneten Lernplattform

Die Option für ein zielgruppenorientiertes Lernen ist ein weiteres wichtiges Feature. Häufig ist gefordert, dass die Inhalte gezielt auf bestimmte Mitarbeitergruppen aus zusammengehörenden Bereichen angepasst werden müssen. Mit den entsprechend voreingestellten Rechten greifen diese dann auf die spezifisch vorbereiteten Sequenzen zu. Ein professionelles System erfüllt diese Voraussetzungen und macht es u.a. auf der Basis von Templates und Textbausteinen problemlos möglich. Ein zeitgemäßes System lässt darüber hinaus auch zu, dass Lerneinheiten um kundenspezifische Themen erweitert und so auf die individuellen Bedürfnisse abgestimmt werden können.

Aufwand minimieren

Der Einsatz einer E-Learning-Plattform sollte es zudem nicht erforderlich machen, dass auf jedem Rechner extra eine Software vorinstalliert beziehungsweise diese erst heruntergeladen werden muss. Das minimiert den Aufwand für die IT-Verantwortlichen und lässt nicht gleich ein weiteres Sicherheitsrisiko aufkommen. Für den Erfolg beim Lernen ist es nicht unerheblich, dass bei Einführung einer solchen modernen Weiterbildungsmethode den Teilnehmer eine gewohnte Umgebung empfängt.
Ein wichtiger Grundpfeiler für die Akzeptanz ist dabei die Fortsetzung des im Unternehmen einheitlich verwendeten Corporate Design. Dieses sollte ebenfalls problemlos in die gewählte Technologie integrierbar sein.
Der User findet nach dem Login die übliche Farbgebung und Schriftart, das Firmenlogo, Navigation etc. Wichtig ist auch eine integrierte Zertifikatserstellung, die den Lernerfolg für beide Seiten, Teilnehmer und verantwortliches Management dokumentiert.
Für den Mitarbeiter ist es ein Nachweis, dass er alle Lernabschnitte erfolgreich absolviert und die entsprechend zu durchlaufenden Prüfungen erfüllt hat. Die Unternehmensführung kann auf diesem Weg klar nachweisen, dass sie der gesetzlichen Verpflichtung der Risikominimierung nachkommt.
Uwe Stern

Diesen Artikel finden Sie auch in der Ausgabe November/Dezember 2007 des it security.