Anforderungsanalyse und Entwurf eines Computer Based Trainings (CBT) als Beitrag zur themenbezogenen Sensibilisierung für die Belange der IT-Sicherheit in der Deutschen Bundesbank

INHALTSVERZEICHNIS

1  NOTWENDIGKEIT UND MOTIVATION  1

2  THEORETISCHE BETRACHTUNGEN  3

2.1  Die Sensibilisierung für die IT-Sicherheit  3

2.1.1  Notwendigkeit von IT-Sicherheitsbewusstsein  3

2.1.1.1  Rolle des Mitarbeiters in der IT-Sicherheit  3

2.1.1.2  Verhältnis der Mitarbeiter zur IT-Sicherheit  4

2.1.2  Vorgehen bei der Sensibilisierung  5

2.1.2.1  Aufmerksamkeit  6

2.1.2.2  Wissen und Einstellung  7

2.1.2.3  Verstärkung  7

2.1.2.4  Öffentlichkeit / Kontrolle  7

2.1.3  Notwendige Rahmenbedingungen  8

2.2  CBT als Form des elektronisch unterstützen Lernens  8

2.2.1  Abgrenzung der Begrifflichkeiten  9

2.2.2  Dimensionen elektronisch unterstützten Unterrichts  10

2.2.2.1  Psychologische Lerntheorien bzw. Lernparadigmen  11

2.2.2.2  Klassifikation von Wissen  13

2.2.2.3  Typologie didaktischer Strategien  14

2.2.3  Rahmenbedingungen für erfolgreiches elektronisch unterstützten Lernen im Unternehmen  16

2.2.3.1  Aspekte der Lernkultur  16

2.2.3.2  Voraussetzungen der Zielgruppe  17

2.2.3.3  Technische Voraussetzungen  18

2.2.4  Möglichkeiten und Grenzen des elektronisch unterstützten Lernens  19

2.3  Der Entwicklungsprozess von Lernsoftware nach der Methode IntView  21

2.3.1  Das Neue der Methode  22

2.3.1.1  Interdisziplinärer Ansatz  22

2.3.1.2  Durchgängige Qualitätssicherung  22

2.3.2  Die Methode im Überblick  23

2.3.2.1  Darstellung der einzelnen Phasen  24

2.3.2.2  Sicherung der Qualität  25

3  PROBLEMBESCHREIBUNG, ANFORDERUNGSSPEZIFIKATION UND GROBKONZEPT  26

3.1  Problembeschreibung  26

3.1.1  Bedarf eines CBT zur Schaffung von IT-Sicherheitsbewusstsein in der Bundesbank  26

3.1.2  Gegebene Situation für den Einsatz eines CBT in der Bundesbank  27

3.1.2.1  Technische Voraussetzungen der Bundesbank-Arbeitsplätze  27

3.1.2.2  Vorhandene Arbeits- und Lernsituation in der Bundesbank  27

3.1.3  Erste Ideen für eine mögliche Lösung  30

3.1.4  Analyse am Markt verfügbarer CBT für IT-Sicherheit  31

I

INHALTSVERZEICHNIS

3.2  Spezifikation der Anforderungen  33

3.2.1  Analyse der Zielgruppe der Mitarbeiter  33

3.2.1.1  Relevante Merkmale für eine Zielgruppenanalyse  33

3.2.1.2  Ausprägungen der Merkmale bei den Mitarbeitern der Bank  33

3.2.2  Analyse des bestehenden Lernbedarfs auf dem Gebiet der IT-Sicherheit  35

3.2.3  Spezifikation der Anforderungen an die Dimensionen  36

3.2.3.1  Themengebiete und Lernziele  36

3.2.3.2  Didaktische Strategie  37

3.2.3.3  Präsentation der Inhalte  38

3.2.3.4  Funktionalitäten innerhalb der Software  39

3.2.4  Architekturelle Festlegungen zur Integration in der Bundesbank  40

3.2.5  Vorbereitung der Evaluation des CBT  41

3.3  Grobkonzept der Lernsoftware  42

3.3.1  Entwurf der Dimensionen der Lernsoftware  42

3.3.1.1  Module, Lerneinheiten und Lernziele (Inhalt)  42

3.3.1.2  Interaktion, Adaptivität und Motivation (Didaktik)  44

3.3.1.3  Benutzeroberfläche und Integration aller Elemente (Inhaltspräsentation)  47

3.3.1.4  Ablaufsteuerung und Funktionsvorrat (Funktionalität)  50

3.3.2  Festlegung der Rahmenbedingungen für die Entwicklung  51

3.4  Ausblick auf die weiteren Schritte  52

4  INTEGRATION DES CBT IN DIE DEUTSCHEN BUNDESBANK  53

II

ABKÜRZUNGSVERZEICHNIS

BDSG Bundesdatenschutzgesetz BS British Standard BSI Bundesamt für Sicherheit in der Informationstechnik CAI Computer Aided Instruction CAL Computer Aided Learning CUL Computer-Unterstütztes Lernen CUU Computer-Unterstützter Unterricht CBT Computer Based Training HTTPS Hypertext Transfer Protocol over Secure Socket Layer HV Hauptverwaltung ESZB Europäisches System der Zentralbanken EZB Europäische Zentralbank IEC International Electrotechnical Commission IESE Institut Experimentelles Software Engineering ISO International Organization for Standardization LAN Local Area Network QuIT-L Qualitätskriterien für IT-basierte Lernmedien WAN Wide Area Network WBT Web Based Training

III

  ABBILDUNGSVERZEICHNIS  

  ABBILDUNG 1: PROZESS DER IT-SICHERHEIT  

  ABBILDUNG 2: DIE VIER PHASEN EINER SECURITY AWARENESS-KAMPAGNE  

  ABBILDUNG 3: HEURISTISCHES LERNMODELL  

  ABBILDUNG 4: PRODUKTZENTRIERTES LEBENSZYKLUS-MODELL VON INTVIEW  

  ABBILDUNG 5: BILDSCHIRMLAYOUT FÜR DIE EINGANGSSEITE UND DIE MODULÜBERSICHT  

  ABBILDUNG 6: BILDSCHIRMLAYOUT INNERHALB DER MODULE  

IV

1 Notwendigkeit und Motivation

Die Deutsche Bundesbank bildet als Zentralbank der Bundesrepublik Deutschland einen integralen Bestandteil des Europäischen Systems der Zentralbanken (ESZB). Unter dem vorrangigen Ziel, die Preisstabilität im Europäischen Wirtschafts- und Währungsraum zu gewährleisten, nimmt sie die ihr nach dem Bundesbankgesetz und anderen Rechts-vorschriften zugewiesenen Aufgaben wahr. ¹ Zu den Kerngeschäftsprozessen zählen im Wesentlichen die Umsetzung der geldpolitischen Entscheidungen, die bankmäßige Abwicklung des nationalen und grenzüberschreitenden Massen- und Großbetragszahlungsverkehrs in stabilen Zahlungs- und Verrechnungssystemen, die Beaufsichtigung der nationalen Kredit- und Finanzdienstleistungsinstitute sowie die Verwaltung der Währungsreserven der Bundesrepublik Deutschland und der Europäischen Zentralbank.

In ihrer Leitlinie zur IT-Sicherheit stellt die Deutsche Bundesbank die zentrale Bedeutung sicherer und zuverlässiger Informationssysteme für die reibungslose Abwicklung dieser Geschäftsprozesse heraus. Diese Leitlinie, die sich an den nationalen und internationalen Standards zur IT-Sicherheit (IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), BS ISO / IEC 17799:2000 ² ) orientiert, definiert einen iterativen IT-Sicherheitsprozess, der sich aus den folgenden Komponenten zusammensetzt: 3

^{Abbildung 1: Prozess der IT-Sicherheit (Quelle: Deutsche Bundesbank: Leitlinie zur IT-Sicherheit, S. 7)} Im Rahmen dieses IT-Sicherheitsprozesses nimmt die Awareness, die Sensibilität aller Mitarbeiter ⁴ für die Belange der IT-Sicherheit, eine zentrale Position ein, die die einzel-

¹ vgl.§ 3 des Bundesbankgesetzes (BBankG) in der Fassung vom 30. April 2002

² Der Teil I des britischen Standard BS 7799 wurde von der ISO als BS ISO / IEC 17799:2000 übernommen; es handelt sich dabei um eine Sammlung von Empfehlungen für Informationssicherheitsverfahren und –methoden, die sich in der Praxis bewährt haben (Best Practises). Diese Empfehlungen sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte.

³ vgl. Deutsche Bundesbank: Leitlinie zur IT-Sicherheit (IT-Security Policy), Frankfurt am Main, 2004, S. 2 ff.

⁴ Aus Gründen der sprachlichen Vereinfachung wird im Folgenden ausschließlich die männliche Form verwendet.

1

nen Phasen des Prozesses auf einer anderen Betrachtungsebene miteinander verbindet. In diesem Zusammenhang wird betont, dass „alle beteiligten Personen [...] durch ein adäquates und sicherheitsbewusstes Verhalten zum Schutz der Informationstechnologie und der bereitgestellten bzw. verarbeiteten Daten beitragen [müssen].“ 5

Hieraus ergibt sich die Notwendigkeit bedarfsorientierter Maßnahmen, die das Ziel verfolgen, das Bewusstsein der Mitarbeiter der Deutschen Bundesbank für ein sicherheitsadäquates Verhalten zu erhöhen. Zu diesen Maßnahmen zählen die gezielte Vermittlung des für ein sicherheitsadäquates Verhalten notwendigen Wissens und die Erhöhung der Handlungskompetenz der Mitarbeiter in den relevanten Situationen. Auf-grund der bundesweiten Verteilung der 13.619 Mitarbeiter ⁶ der Deutschen Bundesbank auf die Zentrale in Frankfurt am Main sowie neun Hauptverwaltungen (HV) und zur Zeit noch 88 ⁶ , zukünftig 45 Filialen im gesamten Bundesgebiet, gestaltet sich die Organisation von traditionellen Schulungsveranstaltungen aufwendig und kostenintensiv. Da nahezu alle Arbeitplätze mit PCs ausgestattet sind, erscheint der Einsatz eines Computer Based Training (CBT) an dieser Stelle als eine sinnvolle Alternative. Hierüber kann der Zielgruppe der Zugang zu den Lerninhalten ermöglicht werden, so dass sich kostenintensive Schulungsveranstaltungen vermeiden lassen. Darüber hinaus ermöglicht ein CBT selbstgesteuertes Lernen, wobei unterschiedliche Wissensstände, Lerntypen und Lernzeiten berücksichtigt werden können.

Ziel der vorliegenden Diplomarbeit ist daher, die im Hause der Deutschen Bundesbank bestehenden Anforderungen an ein CBT zu analysieren, das zur Sensibilisierung von Mitarbeitern eingesetzt werden kann, und ein auf deren spezifischen Belange abgestimmtes Konzept zu erstellen. Im Kapitel 2 werden hierzu die theoretischen Grundlagen zur Schaffung von IT-Sicherheitsbewusstsein, zum elektronisch unterstützten Lernen und zur Entwicklung von Lernsoftware nach einer Methode des Software-Engineering betrachtet. Darauf aufbauend werden im Kapitel 3 die Anforderungen analysiert und die Grobkonzeption erstellt. Kapitel 4 bildet den Abschluss der Arbeit und gibt einen Ausblick auf die nach der Grobkonzeption innerhalb der Bundesbank zu erledigenden Aufgaben.

⁵ vgl. Deutsche Bundesbank, Leitlinie zur IT-Sicherheit (IT-Security-Policy), Frankfurt am Main, 2004, S. 9

⁶ Stand 30. Juni 2004

2

2 Theoretische Betrachtungen

Die Entwicklung eines CBT zur Sensibilisierung von Mitarbeitern für die IT-Sicherheit kombiniert verschiedene Themengebiete aus dem Informations- und Kommunikationsmanagement. Zum einen spielt der Komplex der IT-Sicherheit eine Rolle, wobei es hier weniger um die Etablierung technischer IT-Sicherheitsmaßnahmen zum Schutz der In-formationen und Infrastrukturen geht; vielmehr steht die Schaffung von Sicherheitsbewusstsein bei den beteiligten Personen im Vordergrund. Zum anderen muss der Bereich des elektronisch unterstützten Lernens betrachtet werden, bei dem die Informations- und Kommunikationstechnologie zur Vermittlung von Lerninhalten und zur Unterstützung von Lernprozessen genutzt wird. Abschließend sind Aspekte des Software-Engineerings zu berücksichtigen, da dessen Methoden und Modelle für eine gezielte und strukturiert wirtschaftliche Entwicklung auch bei Lernsoftware Anwendung finden.

2.1 Die Sensibilisierung für die IT-Sicherheit

Die in Unternehmen etablierten Maßnahmen zur Sicherstellung der IT-Sicherheit konzentrieren sich zum Großteil auf die Schaffung technischer Infrastrukturen und Verfahren zum Schutz der Informationen und Infrastrukturen. Dies belegt eine Studie der Zeitschrift KES in Zusammenarbeit mit dem Unternehmen Microsoft aus dem Jahr 2004, die die Situation der IT-Sicherheit in Unternehmen deutschsprachiger Länder untersucht hat. Hier wurden auf die Frage nach den realisierten und geplanten Sicherheitsmaßnahmen ausschließlich technische und organisatorische Mittel wie Firewalls, Virenschutz, Authentifizierung und kryptografische Sicherungsverfahren genannt. ⁷ IT-Sicherheit lässt sich jedoch nicht nur durch bloße Technik gewährleisten, sondern bedarf auch der aktiven Unterstützung der IT-Nutzer.

2.1.1 Notwendigkeit von IT-Sicherheitsbewusstsein

2.1.1.1 Rolle des Mitarbeiters in der IT-Sicherheit

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) entsteht der Großteil der Sicherheitsvorfälle bei der Nutzung der Informationstechnologie nicht durch organisationsfremde Außentäter, sondern durch unsachgemäßes Verhalten der innerhalb eines Unternehmens oder einer Behörde beschäftigten Mitarbeiter. ⁸ Selten ist hierbei Vorsatz oder kriminelle Energie die Ursache. Vielmehr lassen sich diese Vorfälle auf die Un-

⁷ vgl.o.V.: Lagebericht zur Informations-Sicherheit (2) in: KES – Die Zeitschrift zur Informations-Sicherheit, 20. Jg., 5/2004, S. 6-

13

⁸ vgl. Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch, Auflage Oktober 2003, Bonn, Maßnahmenkatalog M2.198

3

kenntnis oder Missachtung der Sicherheitsvorschriften bzw. die fehlende Übung im Umgang mit den etablierten Sicherheitsmaßnahmen zurückführen. Daneben können sie sich auch aus Bequemlichkeit und der daraus resultierenden Nachlässigkeit ergeben. Durch Sicherheitsvorfälle kann der Schutzbedarf wie die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen gefährdet werden, woraus für ein Unternehmen neben Rufschädigung auch hohe Haftungsansprüche, der Verlust von Marktanteilen oder gar die Insolvenz (s. Auswirkungen des Wurms "Slammer") resultieren können. 9

In der bereits erwähnten Studie der Zeitschrift KES wird deutlich, dass die Befragten Irrtum und Nachlässigkeit der eigenen Mitarbeiter als den bedeutendsten Gefahrenbereich ansehen. Dieser wird damit gefährlicher als schädliche Programme („Malware“) wie Computerviren, Internet-Würmer und Trojanische Pferde eingeschätzt. Darüber hinaus wird mangelndes Bewusstsein für die IT-Sicherheit von 51 % der befragten Unternehmen als Hindernis für die Verbesserung der IT-Sicherheitslage gesehen und steht damit hinter fehlenden finanziellen Ressourcen an zweiter Stelle. ¹⁰ Zu einem vergleichbaren Ergebnis kam bereits die META GROUP Deutschland GmbH in ihrer Studie zur IT-Security im Jahr 2003, die in Zusammenarbeit mit der Firma TechConsult erstellt wurde. Hier stellt das geringe Sicherheitsbewusstsein der Anwender im Unternehmen das größte Hemmnis für die Etablierung der IT-Sicherheit dar. 11

2.1.1.2 Verhältnis der Mitarbeiter zur IT-Sicherheit

KUNZ führt aus, dass mangelnde Sensibilität seitens der Benutzer darauf zurückzuführen ist, dass Sicherheitsmaßnahmen als störend, lästig, zeitraubend und teuer empfunden werden und der direkte Nutzen oftmals nicht unmittelbar einsichtig ist. ¹² FOX greift diesen grundsätzlichen Gedanken auf und beschreibt drei negative Wirkungen von IT-Sicherheitsmaßnahmen auf die Mitarbeiter. ¹³ Demnach sind Schutzmaßnahmen

arbeitsbehindernd: Sie verlängern grundsätzlich die Arbeitsabläufe, die jeder Mitar- ^- beitermöglichst zu optimieren sucht. Beispielsweise wird der Zugriff auf Daten durch mehr Passworte oder deren Verschlüsselung umständlicher und zeitintensiver.

⁹ vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 677

¹⁰ vgl. o.V.: Lagebericht zur Informations-Sicherheit (1) in: KES – Die Zeitschrift zur Informations-Sicherheit, 20. Jg., 4/2004, S. 6-

13

¹¹ vgl. META Group Deutschland GmbH: IT-Security im Jahr 2003 (Deutschland), http://www.metagroup.de, 2003, S. 67

¹² vgl. Kunz, T.: IT-Security – Ausbildung mit einem multimedialen CBT, in: Dittler, U. (Hrsg.): E-Learning: Einsatzkonzepte und Erfolgsfaktoren des Lernens mit interaktiven Medien, 2. Auflage, München, 2003, S. 40

¹³ vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 677

4

überzogen: Die den etablierten Maßnahmen zugrunde liegenden Bedrohungen wer- ^- denals unrealistisch angesehen, daraus resultierende Mindestanforderungen an die Sicherheit werden als überzogen empfunden.

ungeeignet: Die Verantwortung für die Sicherstellung der IT-Sicherheit wird den IT- ^- Fachstellenzugeordnet, die Bedeutung des eigenen Verhaltens wird seitens der Mitarbeiter unterschätzt.

Auf der einen Seite sollten daher IT-Sicherheitsmaßnahmen so konzipiert sein, dass sie genau diesen Eindruck bei den Mitarbeitern nicht erwecken. Sie sollten den Mitarbeiter möglichst von zusätzlichen Arbeitsschritten entlasten und für ihn transparent und angemessen erscheinen. Zum Beispiel wären daher Single-Sign-On-Lösungen der Benutzerauthentifikation in jeder einzelnen Applikation vorzuziehen. Auf der anderen Seite sollte zusätzlich im Rahmen von Sensibilisierungsmaßnahmen im Bereich der IT-Sicherheit an den o. g. Denkweisen angesetzt werden, damit eine langfristige Verhaltens- und Einstellungsänderung erreicht werden kann. Die Mitarbeiter sollen sich ihrer Ver-antwortung, der existierenden Bedrohungen und der Möglichkeiten, die ihr eigenes Verhalten bietet, bewusst sein. Die IT-Sicherheitsmaßnahmen sollen als notwendig erkannt und im täglichen Arbeitsleben beachtet werden, so dass das IT-Sicherheitsniveau eines Unternehmens langfristig erhöht werden kann.

2.1.2 Vorgehen bei der Sensibilisierung

Den Kern der Sensibilisierungsaktivitäten bildet die „Aufklärung“, d. h. die Vermittlung von Kenntnissen über die IT-Sicherheit. Erst wenn die Nutzer über ein fachliches Verständnis für die grundlegenden Prinzipien der Sicherheit der Informationssysteme verfügen, können die erwünschten Verhaltens- und Einstellungsveränderungen stattfinden. Der in seinem jeweiligen Wissensbereich spezialisierte Nutzer sieht sich im Arbeitsleben jedoch vielfältigen Anforderungen gegenüber: Zum einen muss er seine Fachkenntnisse aktuell halten, um den Erfordernissen der modernen Wissensgesellschaft gerecht zu werden, zum anderen muss er sich in einem Unternehmen mit vielen fachfremden Fragestellungen, z.B. der PC-Nutzung an sich oder dem Projektmanagement, auseinandersetzen. 14

Vor diesem Hintergrund erscheint es schwierig, den Mitarbeiter mit Maßnahmen, die die reine Wissensvermittlung zum Ziel haben, z.B. Informationen im Intranet oder Schulungsveranstaltungen, langfristig zu erreichen. Nachhaltigkeit lässt sich an dieser

5

Stelle nur durch ein ganzheitliches Vorgehen analog einer Werbekampagne sichern, bei dem unter einem einheitlichen gestalterischen Auftreten das Produkt „Sicherheitsbewusstes Verhalten“ an alle Mitarbeiter „verkauft“ wird. ¹⁵ FOX schlägt vor, eine „Security-Awareness-Kampagne“ nach den folgenden vier Phasen durchzuführen: 16

Abbildung 2: Die vier Phasen einer Security Awareness-Kampagne (Quelle: Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, S. 678)

2.1.2.1 Aufmerksamkeit

Sobald das Gesamtkonzept für die Kampagne entwickelt ist, startet sie mit der Phase der Aufmerksamkeit. Ziel ist hier, die Aufmerksamkeit der Zielgruppe zu gewinnen und sie für die Teilnahme an den weiteren Aktivitäten, insbesondere für die folgenden Lernprozesse, zu motivieren. Dies gelingt mitunter besser, sofern hierzu die Unterstützung des Managements, beispielsweise durch ein Rundschreiben, signalisiert wird. ¹⁷ Des Weiteren sind an dieser Stelle ein Logo, clevere Slogans oder eine Identifikationsfigur in einer Rahmenhandlung hilfreich. Solche „Eyecatcher“ sollten sich durch die gesamte Kampagne ziehen und können durch ihren Wiedererkennungswert die Aufmerksamkeit auf eine positive Art und Weise für einen längeren Zeitraum sichern. 18

¹⁴ vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 678

¹⁵ vgl. Rudolf, K.; Warshawsky, G.; Numkin, L.: Security Awareness. In: Bosworth, S.; Kabay, M. E.: Computer Security Handbook, 4 ^th Edition, Chapter 29, o.O., http://www.nativeintelligence.com/awareness/cshch29.kr.pdf, 2002,S. 6

¹⁶ vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 678

¹⁷ vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 678

¹⁸ vgl. Rudolf, K.; Warshawsky, G.; Numkin, L.: Security Awareness. In: Bosworth, S.; Kabay, M. E.: Computer Security Handbook, 4 ^th Edition, Chapter 29, o.O., http://www.nativeintelligence.com/awareness/cshch29.kr.pdf, 2002,S. 7

6

2.1.2.2 Wissen und Einstellung

Im Mittelpunkt der zweiten Phase steht die Vermittlung des Wissens, das für das Verständnis von Sicherheitsmaßnahmen notwendig ist. Zentrale Inhalte sind die Informationen über Risiken, Schutzmaßnahmen, Appelle und Aspekte des Regelwerkes, die zielgruppengerecht in verschiedenen Medien (z.B. internen Publikationen wie Mitarbeiterzeitschrift und Intranet, Lernprogramme) aufbereitet und präsentiert werden. Ziel sollte sein, die Einstellung der Mitarbeiter in sicherheitsrelevanten Belangen, insbesondere ihr Verhältnis zu den Sicherheitsmaßnahmen selbst, positiv zu verändern. Dies kann positiv beeinflusst werden, wenn der Mitarbeiter nicht nur im beruflichen Kontext gesehen wird, sondern auch als Privatperson, der in beiden Bereichen ein Interesse am Schutz von Daten und Programmen hat. 19

2.1.2.3 Verstärkung

Im Rahmen der dritten Phase müssen die in der Phase von Wissen und Einstellung erreichten Effekte verstärkt werden. Dies betrifft sowohl die feste Verankerung der Thematik an sich als auch der konkreten Inhalte im Bewusstsein der Mitarbeiter, damit sich langfristig die gewünschte Veränderung von Verhalten und Einstellungen vollzieht. In der Verstärkungsphase ist die Maßnahmendichte am höchsten, denkbar sind hier interne Gewinnspiele oder individuelle Trainings besonders wichtiger Bereiche. 20

2.1.2.4 Öffentlichkeit / Kontrolle

FOX empfiehlt, dass die Durchführung einer Kampagne zur Erhöhung des Sicherheitsbewusstseins in der vierten Phase in der Außendarstellung des Unternehmens, beispielsweise in der Fachpresse, herausgestellt werden sollte. Das darüber vermittelte Image kann das seitens der Kunden und Geschäftspartner entgegen gebrachte Vertrauen in die Zuverlässigkeit und Sicherheit des Unternehmens erhöhen, worüber sich unter Umständen der Unternehmenswert steigern ließe. 21

Wichtiger als eine solche Publizierung einer Security-Awareness-Kampagne erscheint vor dem Hintergrund der Diskussionen auf dem „2. Security Awareness Symposium“ am 29. und 30. Juni 2004 in Karlsruhe ²² in der vierten Phase jedoch ein interner Kon-

¹⁹ vgl.Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 678

²⁰ vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 679

²¹ vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 679

²² Bei dem „Security Awareness Symposium“ handelt es sich um eine bislang jährlich stattfindende Veranstaltung der Fa. SECORVO Security Consulting GmbH, deren Geschäftsführer Dirk Fox ist, bei der sich für Sicherheitsbewusstsein Verantwortliche verschiedener (Groß-)Unternehmen an Vorträgen und Diskussionen beteiligen.

7

trollprozess, der die Entwicklung des Sicherheitsbewusstseins bei den Mitarbeitern nachweist. Hierdurch ließe sich Transparenz darüber herstellen, inwieweit die Ziele der abgeschlossenen Kampagne tatsächlich erreicht worden sind, um z. B. die verausgabten finanziellen Mittel gegenüber dem Management zu rechtfertigen. Problematisch erscheint hier die Tatsache, dass sich Verhaltens- und Einstellungsänderungen nur in wenigen Fällen objektiv messen lassen (z.B. Kennwortgüte, Virenvorfälle durch Öffnen von Mails) und daher oft nur auf das subjektive Empfinden der Verantwortlichen zurückgegriffen werden kann. In der Bereitstellung objektiver Evaluationskriterien für Security-Awareness-Kampagnen liegt die größte Herausforderung, der sich die für das Sicherheitsbewusstsein Verantwortlichen stellen müssen.

2.1.3 Notwendige Rahmenbedingungen

Um die im Rahmen einer Security Awareness Kampagne definierten Ziele erreichen zu können, müssen einige Rahmenbedingungen erfüllt sein. FOX sieht die Unterstützung durch das Top-Management als einen wesentlichen Erfolgsfaktor für eine Erhöhung des Sicherheitsbewusstseins. ²³ Auch das BSI betont in diesem Zusammenhang die Notwendigkeit, „dass alle IT-Sicherheitsverantwortlichen und die Leitungsebene hinsichtlich ihrer eigenen Sensibilisierung und vor allem der konsequenten Umsetzung der Sicherheitsmaßnahmen mit gutem Beispiel vorangehen." ²⁴ Neben dem guten Beispiel sieht RUDOLF das Management auch hinsichtlich der Bereitstellung ausreichender finanzieller Ressourcen und der Priorisierung der Sicherheit im Konfliktfall in der Pflicht.

Darüber hinaus definiert RUDOLF weitere kritische Erfolgsfaktoren. So ist zum einen die Orientierung an vorgegebenen Zielen und – aufgrund der Heterogenität der Zielgruppe der Mitarbeiter – ein bedarfsgerechtes Vorgehen essentiell. Zum anderen sollte eine „Awareness-Policy“, also eine Leitlinie zum Sicherheitsbewusstsein, dessen Bedeutung im Unternehmen, die Teilnahme der Mitarbeiter an entsprechenden Maßnahmen und die Verantwortung für den Prozess der Sensibilisierungsmaßnahmen regeln. 25

2.2 CBT als Form des elektronisch unterstützen Lernens

Im vorangegangenen Kapitel wurde erwähnt, dass zur Sensibilisierung im Bereich der IT-Sicherheit in der Phase der Wissensvermittlung und Einstellungsänderung Lernpro-

²³ vgl.Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 677

²⁴ vgl. Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch, 4. Auflage, Bonn, 2003, Maßnahmenkatalog M2.198

²⁵ vgl. Rudolf, K.; Warshawsky, G.; Numkin, L.: Security Awareness. In: Bosworth, S.; Kabay, M. E.: Computer Security Handbook, 4 ^th Edition, Chapter 29, o.O., http://www.nativeintelligence.com/awareness/cshch29.kr.pdf, 2002,S. 2 ff.

8

gramme eingesetzt werden können. Zu diesen zählen beispielsweise Computer Based Trainings (CBT) oder Web Based Trainings (WBT). Im Folgenden werden einige theoretische Aspekte und Rahmenbedingungen für den Einsatz solcher Lernprogramme dargestellt, die den Stand der Entwicklung auf diesem Gebiet wiedergeben.

2.2.1 Abgrenzung der Begrifflichkeiten

Der Begriff des Computer Based Trainings (CBT) wurde noch vor gut zehn Jahren immer im Zusammenhang mit Begriffen wie z.B. „Lernsoftware“, „Courseware“, „Computer Aided Instruction (CAI)“, „Computer Aided Learning (CAL)“, „Computer-Unterstützter Unterricht (CUU)“ und „Computer-Unterstütztes Lernen (CUL)“ genannt. Diese Termini wurden nicht eindeutig voneinander abgegrenzt und im Wesentlichen als Synonyme gebraucht. ²⁶ Heute beherrscht der Begriff „E-Learning“ die Literatur zu diesem Thema, jedoch sind auch die Definitionen von E-Learning nicht eindeutig.

KÖLLINGER versteht E-Learning als die Nutzung internetbasierter Technologien zur Aus- und Weiterbildung über das Internet, Intranet oder Extranet, wobei die Wiedergabe der Inhalte über einen Browser erfolgt. ²⁷ Diese Ansicht wird von NEUBAUER geteilt, der E-Learning im Kontext zu E-Commerce betrachtet und die Eigenschaft der Netzangebundenheit als wesentlich herausstellt. ²⁸ Am meisten verbreitet ist jedoch die Ansicht, dass es sich bei E-Learning um Lehr- und Informationspakete für die Weiterbildung handelt, die den Lernenden sowohl online über ein Netzwerk als auch offline auf portablen Datenträgern zur Verfügung gestellt werden können. ²⁹ NIEGEMANN stellt für die Begriffsabgrenzung die Rolle des Computers oder des Internets als Lehr- und Lernmedium heraus ³⁰ und auch in der neueren Literatur wird E-Learning als Lernen mit Hilfe elektronischer Medien verstanden, wobei die Spannbreite vom klassischen CBT über ein WBT bis hin zum Online-Lernen in virtuellen Klassenräumen reicht. ³¹ Somit erscheint die Bezeichnung „elektronisch unterstütztes Lernen“ als eine der treffendsten, ³² sie soll daher im Folgenden auch verwendet werden.

²⁶ vgl. Gabele, E., Zürn, B.: Entwicklung interaktiver Lernprogramme, Stuttgart, 1993, S. 3

²⁷ vgl. Köllinger, P.: E-Learning – vom Modethema zur Unternehmenspraxis, in: Köllinger, P. (Hrsg.): Report E-Learning in deutschen Unternehmen: Fallstudien, Konzepte, Implementierung, Düsseldorf, 2002, S. 15

²⁸ vgl. Neubauer, J.: Praxistraining eLearning – Hilfe zur Selbsthilfe, Veröffentlichung der TreasureX, http://www.treasureX.de,

2001, S. 7

²⁹ vgl. Dichanz, H., Ernst, A.: Begriffliche, psychologische und didaktische Überlegungen zum „electronic Learning“, in: Scheffer, U., Hesse, F. (Hrsg.): E-Learning – die Revolution des Lernens gewinnbringend einsetzen, Stuttgart, 2002, S. 46

³⁰ vgl. Niegemann, H.: Neue Lernmedien: konzipieren, entwickeln, einsetzen, Bern, 2001, S. 12

³¹ vgl. Mandl, H., Winkler, K.: eLearning zwischen Euphorie und Ernüchterung in: Roters, G., Turecek, O., Klingler, W. (Hrsg.): eLearning: Trends und Perspektiven, Berlin, 2004, S. 19

³² vgl. Dichanz, H., Ernst, A.: Begriffliche, psychologische und didaktische Überlegungen zum „electronic Learning“, in: Scheffer, U., Hesse, F. (Hrsg.): E-Learning – die Revolution des Lernens gewinnbringend einsetzen, Stuttgart, 2002, S. 48

9