Informationssicherheitsbeauftragte: Aufgaben, notwendige Qualifizierung und Sensibilisierung praxisnah erklärt

Die Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern, Bau und Hei-mat (BAköV) führt im Zusammenwirken mit dem Bundesamt für Sicherheit in der Informations-technik (BSI) seit 2007 die Fortbildung und Zertifizierung von IT-Sicherheitsbeauftragten (IT-SiBe) der öffentlichen Verwaltung durch. Dieses erfolgreiche Konzept wurde bisher von wenigen Hoch-schulen im Rahmen der Ausbildung und Fortbildung übernommen. Hintergrund dürfte sein, dass das Konzept und die Zertifizierung sich auf die öffentliche Verwaltung, insbesondere auf die Bun-desverwaltung, bezieht. Die Technische Hochschule (TH) Wildau, an der seit 1997 auch Verwal-tungsstudiengänge etabliert sind, hat sich unter meiner Federführung seit 2010 frühzeitig der Übernahme dieses Konzeptes mit Zertifizierung gekümmert und einer erfolgreichen, adäquaten Umsetzung gewidmet. Ziel war es von Beginn an, einen wichtigen Beitrag zur Qualität der Informa-tionssicherheit in der Region Brandenburg und darüber hinaus zu leisten. Mit der Anerkennung als BAköV-Qualifizierungsstelle habe ich seitdem diese zusätzliche Fortbildung sowohl für Studierende unterschiedlichster Studiengänge als auch für Externe ausgebaut und kontinuierlich inhaltlich sowie methodisch aktualisiert. Mit der Integration von Wissen im Bereich der Informationssicherheit in die unterschiedlichen Studiengänge, vor allem auch in die nicht-technischen, ist die TH Wildau da-mit zweifellos führend. Die Zertifizierung von Studierenden an der TH Wil¬dau wurde von der Horst Görtz Stiftung (HGS) im Zeitraum 2018 bis 2020 gefördert.
Die TH Wildau ist mit knapp 3.700 Studierenden die größte (Fach-)Hochschule des Landes Branden-burg. Ihr attraktives Studienangebot umfasst derzeit 41 Bachelor- und Masterstudiengänge sowohl in naturwissenschaftlichen und ingenieurtechnischen als auch in Wirtschafts-, Verwaltungs- und juristischen Disziplinen. Ein besonderes Kennzeichen ist zudem ihre Internationalität. Knapp 25 Prozent der Studierenden kommen aus mehr als 60 Ländern. Kooperationsverträge sowie Studen-ten- und Dozentenaustausche verbinden die TH Wildau weltweit mit über 140 akademischen Bil-dungseinrichtungen. Die Hochschule belegt in der angewandten Forschung seit Jahren bundesweit einen Spitzenplatz und besitzt einen anerkannten Ruf als Kompetenzzentrum für wichtige Wissen-schaftsdisziplinen. Es freut uns, dass auch weiterhin im Bereich der Aus- und Fortbildung für mehr Informationssicherheit und zur Erhöhung eines entsprechenden Bewusstseins eine ausgesprochen produktive Zusammenarbeit mit der BAköV und dem BSI stattfindet.
Basis unseres Fortbildungsangebots und der abschließenden Zertifizierung ist ein Handbuch, das von der BAköV und dem BSI in Zusammenarbeit mit dem Fraunhofer-Institut für Sichere Informati-onstechnologie (SIT) erstellt wurde und aktuell in einer überarbeiteten Version 6.2 vorliegt [1]. Dieses Handbuch ist nicht öffentlich und nur im Rahmen der BAköV-/BSI-Fortbildung zu beziehen. Die Inhalte des Handbuchs dürfen ausschließlich in Absprache mit der BAköV verwendet werden. Mit unserer Idee zu dieser Publikation haben wir keineswegs vor, dieses Handbuch zu wiederho-len. Vielmehr wollen wir unsere vielfältigen Erfahrungen in der Durchführung von Fortbildungen im Bereich Informationssicherheit, die auf dem Anspruch basieren, Theorie und Praxis gut zu verzah-nen, einem Publikum näherbringen, das von Verantwortlichen und Beteiligten des Sicherheitsma-nagements bis zu den ernannten Informationssicherheitsbeauftragten reicht, die in ihrer Funktion auch selbst Qualifizierungsmaßnahmen initiieren müssen. Dabei beziehen wir uns im Wesentlichen auf öffentlich zugängliche Quellen, insbesondere auf die internationale Normfamilie ISO/IEC 2700x, die nationalen BSI-Standards 200-x und das IT-Grundschutz-Kompendium. Zur Gewährleistung ei-nes stabilen Sicherheitsniveaus wächst die Bedeutung einer guten und umfassenden Qualifikation der Informationssicherheitsbeauftragten (ISB) und aller, die für Informationssicherheit verantwort-lich sind. Es ist daher erforderlich, dass dieser Personenkreis über ein definiertes und solides Fach-wissen verfügt, ein fundiertes Fortbildungsangebot und eine entsprechende Zertifizierungsmög-lichkeit erhält.
Darin eingeschlossen sind Überlegungen, wie in einer Fortbildung abstrakte, theoretische Inhalte der Informationssicherheit den teilnehmenden Menschen anschaulich und begreifbar näherge-bracht werden können. Zum einen wird die Qualität unserer Fortbildung mit Zertifizierung durch aktuelle, praxisorientierte Wissensvermittlung mit interaktiven und partizipativen Lehr-/Lernmethoden und zum anderen durch eine begrenzte Anzahl der Teilnehmerinnen und Teil-nehmer auf maximal 8 Personen gesichert. Gerade Letzteres beinhaltet die Möglichkeit der indivi-duellen Gestaltung, abhängig vom konkreten Bedarf an Fortbildung der Teilnehmenden. Damit ist die Gestaltung der Fortbildung flexibel und berücksichtigt individuelle Vorkenntnisse, Berufserfah-rungen und Aufgabenfelder der Zielgruppe. Vor allem wird ein notwendiger Austausch zwischen den Teilnehmenden über die bisherigen eigenen Erfahrungen zur Lösung von Herausforderungen ermöglicht. Das ist nach psychologisch basierten Forschungsergebnissen im Bereich der jungen Disziplin der betrieblichen Informationssicherheit ein entscheidendes Element, um eine nachhalti-ge Sensibilisierung zu erzielen [2].
Insofern sind für dieses Buch alle Aktivitäten meiner Forschungsgruppe „Information Security Awa-reness“ bei der Entwicklung und Anwendung von Methoden und Werkzeugen zur Sensibilisierung und Schulung in der Informationssicherheit von Bedeutung, die seit Jahren in die Lehre und Fortbil-dung einfließen. Es zeigten sich beispielsweise beim Treffen der Qualifizierungsstellen an der TH Wildau im Jahr 2017 die Teilnehmenden beeindruckt von den umfangreichen Ergebnissen meiner Forschungsgruppe – insbesondere darüber, auf welche Weise erlebnisorientierte analoge und digi-tale Lernszenarien zu aktuellen Gefährdungslagen wie Phishing, Password Hacking oder Social Engi-neering in den Lehrbetrieb und in die Fortbildung integriert werden. Sowohl solche Beispiele aus unseren Forschungsprojekten mit unterschiedlichen Zielgruppen als auch Ideen aus studentischen Projekten sollen hier ebenfalls als Anregung für ISB zur Sensibilisierung von Kolleginnen und Kolle-gen skizziert werden. Innerhalb von Fortbildungslehrgängen können solche erlebnisorientierten und spielebasierten Lernszenarien als effektives Auflockerungsinstrument mit seriösem Hinter-grund genutzt werden und dienen gleichzeitig einer Wissensfestigung.
Zur Gewährleistung eines hohen Sicherheitsniveaus in allen Institutionen, ob öffentlich oder privat, bedarf es einer umfassenden Qualifikation der ISB und aller Personen, die Verantwortung für In-formationssicherheit tragen. Ernst-Peter Ehrlich begleitet mich als Laboringenieur meines „Labors für medienintegrierende Verwaltungsinformatik“ an der TH Wildau seit 2015 und unterstützt mich aktiv in der Durchführung der Fortbildungslehrgänge mit Zertifizierung. Er spezialisierte sich dabei auf die technischen Übungen und liefert dafür auch in diesem Buch einen wertvollen Input für alle Leserinnen und Leser, insbesondere, wenn sie als ISB aktiv tätig werden (wollen/sollen/müssen).
Mit diesem Buch ist die Hoffnung verbunden, die Methodik von Fortbildung in Informationssicher-heit durch unsere erlebnisorientierten Szenarien und unseren Unterricht in diskursiver Didaktik, die auf eine kommunikative Beteiligung der Teilnehmenden zielt und zu argumentativem Handeln führen soll, zu bereichern.