JUSTUS-LIEBIG-UNIVERSITÄT GIESSEN
PROFESSUR BWL – WIRTSCHAFTSINFORMATIK
UNIV.-PROF. DR. AXEL C. SCHWICKERT
Hertel, Sven; Schulze, Kristin; Odermatt, Sven; Schwickert,
Axel C.
Zielgruppenspezifisches E-Learning im
Rahmen von Schulungs- und Sensibilisie-
rungsmaßnahmen zur IT Sicherheit
ARBEITSPAPIERE WIRTSCHAFTSINFORMATIK
Nr. 1 / 2010
ISSN 1613-6667
Arbeitspapiere WI Nr. 1 / 2010
Autoren: Hertel, Sven; Schulze, Kristin; Odermatt, Sven; Schwickert, Axel C.
Titel: Zielgruppenspezifisches E-Learning im Rahmen von Schulungs-
und Sensibilisierungsmaßnahmen zur IT Sicherheit
Zitation: Hertel, Sven; Schulze, Kristin; Odermatt, Sven; Schwickert, Axel C.:
Zielgruppenspezifisches E-Learning im Rahmen von Schulungs-
und Sensibilisierungsmaßnahmen zur IT Sicherheit, in: Arbeitspa-
piere WI, Nr. 1/2010, Hrsg.: Professur BWL – Wirtschaftsinformatik,
Justus-Liebig-Universität Gießen 2010, 117 Seiten, ISSN 1613-6667.
Kurzfassung: Die weitläufige elektronische Nutzung von Informations- und Kom-
munikationssystemen (IKS) zur Unterstützung von Geschäftspro-
zessen innerhalb eines Unternehmens eröffnet eine Verbesserung
der Wettbewerbsfähigkeit, die Erschließung neuer Märkte sowie ein
flexibleres und schnelleres Reagieren auf diverse Anforderungen in
einem dynamischen Umfeld. Den Steigerungen der Geschäftspro-
zesseffizienz, -transparenz und -kontrolle, stehen jedoch immer
komplexere IKS gegenüber, begleitet von einem immanenten Ri-
siko: Massive wirtschaftliche Schäden in Folge der (selbst induzier-
ten) Abhängigkeit von störungsfreien IKS. Die Wahrung der IT-Si-
cherheit im Lichte von sich permanent ändernden Schadensszena-
rien ist somit von überragender Bedeutung für die Erreichung der
Unternehmensziele. Dabei ist im Rahmen der Analyse bzw. Hand-
habung von IT-Risiken aus Sicht der Unternehmen eine Fokusver-
schiebung weg von technischen Aspekten hin zu menschlichen
Faktoren zu beobachten. Die Bedeutung dieser personenzentrier-
ten Maßnahmen reflektieren neuere internationale Standards, die
die Sensibilisierung und Schulung von Mitarbeitern, Vertragspart-
nern und Dritten als integralen Bestandteil zur Etablierung eines ef-
fektiven und effizienten Sicherheitsmanagements benennen. Ziel
dieser Arbeit ist es daher, einen Beitrag zur Entwicklung eines all-
gemeinen, unternehmensunabhängigen Vorgehensmodells im Be-
reich E-Learning zur IT-Sicherheit zu leisten, nach dem Schulungs-
und Sensibilisierungsmaßnahmen konzipiert, implementiert und
evaluiert werden können.
Schlüsselwörter: Zielgruppenspezifisches E-Learning, IT-Sicherheit, Schulungs- und
Sensibilisierungsmaßnahmen, Informations- und Kommunikations-
systeme, IKS, IT-Risiken, Sicherheitsmanagement, Sicherheitskul-
tur, Lernebenen, Formen der Lehrvermittlung, Web-Based-Trai-
nings, WBT
Inhaltsverzeichnis I
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Inhaltsverzeichnis Seite
Inhaltsverzeichnis ...................................................................................................... I
Abbildungsverzeichnis ........................................................................................... III
Tabellenverzeichnis ................................................................................................ IV
Abkürzungsverzeichnis ............................................................................................ V
1 Einleitung ................................................................................................................ 1
1.1 Motivation, Problemstellung und Ziele ............................................................ 1
1.2 Gang der Arbeit ................................................................................................ 3
2 Aufbau einer IT-Sicherheitskultur ....................................................................... 5
2.1 Grundlagen und Definitionen ........................................................................... 5
2.1.1 IT-Sicherheit ........................................................................................ 5
2.1.2 IT-Sicherheitsmanagement .................................................................. 7
2.1.3 IT-Sicherheitskultur ............................................................................. 9
2.2 Konzeption und Implementierung der IT-Sicherheitskultur .......................... 13
2.2.1 Das PDCA-Modell ............................................................................. 13
2.2.1.1 Plan .................................................................................... 14
2.2.1.2 Do ...................................................................................... 16
2.2.1.3 Check ................................................................................. 20
2.2.1.4 Act...................................................................................... 20
2.2.2 IT-Sicherheitskultur als Wettbewerbsfaktor ...................................... 21
3 Lernebenen und Formen der Lehrvermittlung ................................................. 24
3.1 Überblick ........................................................................................................ 24
3.2 Das Learning-Kontinuum ............................................................................... 25
3.2.1 Sensibilisierung .................................................................................. 25
3.2.2 Schulung ............................................................................................. 28
3.2.3 Ausbildung ......................................................................................... 29
3.3 Formen der Lehrvermittlung .......................................................................... 29
3.3.1 Die Präsenzveranstaltung als traditioneller Ansatz ............................ 29
3.3.2 E-Learning .......................................................................................... 30
3.3.3 Blended Learning ............................................................................... 32
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern ................... 34
4.1 Zur Eignung von Standard-Vorgehensmodellen in komplexen Lernfeldern . 34
4.2 Konzeptionelle Vorarbeiten ............................................................................ 35
4.2.1 Zielgruppenanalyse ............................................................................ 35
4.2.2 Strukturierung der Lerninhalte in einer Lernzielhierarchie ............... 37
Inhaltsverzeichnis II
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
4.2.3 Unternehmensunabhängige Zielgruppenanalyse und komplexe
Lernfelder ........................................................................................... 39
4.3 Lernpsychologischer Ansatz .......................................................................... 42
4.3.1 Wahl der Lehrstrategie ....................................................................... 42
4.3.2 Aufgabenkonstruktion und Lernerfolgskontrolle ............................... 43
4.4 Medienrealisation ........................................................................................... 44
4.5 Visuelles Konzept ........................................................................................... 46
4.6 Das Learning Management System als organisatorischer Rahmen ............... 49
5 IT-Sicherheit als komplexes Lernfeld ................................................................. 50
5.1 Zur Komplexität des Lernfelds „IT-Sicherheit“ ............................................. 50
5.2 Zielgruppen..................................................................................................... 51
5.2.1 Anforderungen an Zielgruppen .......................................................... 51
5.2.2 IT-orientiertes Rollenverständnis ....................................................... 52
5.2.3 Management-orientiertes Rollenverständnis ...................................... 55
5.2.4 Auswahl relevanter Zielgruppen ........................................................ 57
5.3 Lernmodule..................................................................................................... 59
5.3.1 Anforderungen an Lernmodule .......................................................... 59
5.3.2 IT-orientierte Lernmodule .................................................................. 59
5.3.3 Management-orientierte Lernmodule ................................................. 61
5.3.4 Auswahl relevanter Lernmodule ........................................................ 62
5.4 Zwischenfazit: Ableitung des „Learning-Cube“ ............................................ 64
6 Prototypische Konzeption von WBTs zur IT-Sicherheit .................................. 66
6.1 Fallbeispiel ABC AG ..................................................................................... 66
6.1.1 Das Unternehmen ............................................................................... 66
6.1.2 Auswahl relevanter WBTs für die ABC AG ...................................... 67
6.2 Konzeption und Umsetzung der WBTs .......................................................... 68
6.2.1 Ableitung der Lernzielhierarchien ..................................................... 68
6.2.1.1 Lernzielhierarchie für alle Zielgruppen ............................. 69
6.2.1.2 Lernzielhierarchie für Mitarbeiter ..................................... 70
6.2.1.3 Lernzielhierarchie für das Management ............................ 72
6.2.2 Lernpsychologischer Ansatz .............................................................. 73
6.2.3 Visuelles Konzept .............................................................................. 75
6.2.4 Medienrealisation ............................................................................... 77
6.2.5 Technische Realisation ....................................................................... 80
7 Zusammenfassung und Ausblick ........................................................................ 81
Anhang ................................................................................................................... VI
Literaturverzeichnis .......................................................................................... XXVI
Abbildungsverzeichnis III
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abbildungsverzeichnis
Seite
Abb. 1: Gang der Arbeit ................................................................................................. 4
Abb. 2: Die duale Sicht der IT-Sicherheit ...................................................................... 6
Abb. 3: Die drei Ebenen der Organisationskultur ........................................................ 10
Abb. 4: Der Kreislauf des PDCA-Modells ................................................................... 14
Abb. 5: Maßnahmenkatalog der IT-Sicherheitskultur .................................................. 17
Abb. 6: Die angepasste Wertkette von Porter............................................................... 22
Abb. 7: Das Learning-Kontinuum ................................................................................ 25
Abb. 8: Die Phasen einer Sensibilisierungs-Kampagne ............................................... 27
Abb. 9: Der Einsatz von Blended Learning im Rahmen einer Sensibilisierungs-
Kampagne ........................................................................................................ 33
Abb. 10: Standard-Vorgehensmodell zur Konzeption eines WBTs ............................... 35
Abb. 11: Auszug einer Mind Map zum Thema „Sensibilisierung der Mitarbeiter“ ....... 38
Abb. 12: Angepasstes Vorgehensmodell für komplexe Lernfelder im
unternehmensunabhängigen Kontext .............................................................. 41
Abb. 13: Der Learning-Cube zum Thema „IT-Sicherheit“ ............................................ 65
Abb. 14: Zielgruppen-spezifisches E-Learning durch Profile ........................................ 73
Abb. 15: Visuelles Konzept der realisierten WBTs ....................................................... 75
Abb. 16: Corporate Design der ABC AG im WBT ........................................................ 77
Abb. 17: Poster einer Sensibilisierungs-Kampagne für die ABC AG ............................ 79
Abb. 18: Mind Map Modul 1 nach IT-Grundschutz-Kataloge des BSI ...................... XVI
Abb. 19: Mind Map Modul 2 nach IT-Grundschutz-Kataloge des BSI ..................... XVII
Abb. 20: Mind Map Modul 3 nach IT-Grundschutz-Kataloge des BSI .................... XVIII
Abb. 21: Flyer Seite 1 der Sensibilisierungs-Kampagne ............................................ XXV
Abb. 22: Flyer Seite 2 der Sensibilisierungs-Kampagne ............................................ XXV
Tabellenverzeichnis IV
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Tabellenverzeichnis
Seite
Tab. 1: Prinzipien der IT-Sicherheitskultur nach OECD ............................................. 12
Tab. 2: Methoden und Ansatzpunkte für die Analyse der IT-Sicherheitskultur .......... 16
Tab. 3: Rollen nach NIST 800-16 ................................................................................ 54
Tab. 4: Vergleich der identifizierten Zielgruppen ....................................................... 58
Tab. 5: IT-Security Training Matrix ............................................................................ 61
Tab. 6: Lernmodule nach IT-Grundschutz-Kataloge ................................................... 62
Tab. 7: Lernmodule des NIST und der IT-Grundschutz-Kataloge im Vergleich ........ 63
Tab. 9: Lernzielhierarchie 1 „Grundlagen der IT-Sicherheit“ ..................................... 69
Tab. 10: Lernzielhierarchie 2 „IT-Sicherheit am Arbeitsplatz“..................................... 71
Tab. 11: Lernzielhierarchie 3 „Gesetze und Regularien“ .............................................. 72
Tab. 12: Anwendungen zur Produktion von WBTs ...................................................... 81
Tab. 13: Fragenkatalog zur Erhebung der IT-Sicherheitskultur .................................. VIII
Tab. 14: Mitglieder von Rollen nach NIST 800-12 ....................................................... IX
Tab. 15: Rollenverständnis der IT-Grundschutz-Kataloge ......................................... XIV
Tab. 16: Trainingsmatrix des NIST für den User ....................................................... XIV
Tab. 17: Trainingsmatrix des NIST für den Chief Information Officer ....................... XV
Tab. 18: IT-Sicherheitsrichtlinie für den Finanzsektor ............................................ XXIV
Abkürzungsverzeichnis V
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abkürzungsverzeichnis
BDSG ............... Bundesdatenschutzgesetz
BSI .................... Bundesamt für Sicherheit in der Informationstechnik
CBT .................. Computer Based Training
COBIT .............. Control Objectives for Information and Related Technology
ENISA .............. European Network and Information Security Agency
IEC .................... International Electrotechnical Commission
IKS .................... Informations- und Kommunikationssysteme
ISF .................... International Security Forum
ISMS ................. Information Security Management System
ISO .................... International Organization for Standardization
ITGI .................. IT Governance Institute
KMU ................. Kleine und mittelständische Unternehmen
KonTraG ........... Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
LMS .................. Learning Management System
NIST ................. National Institute of Standards and Technology
OECD ............... Organisation for Economic Co-Operation and Development
PR ..................... Public Relations
SOX .................. Sarbanes-Oxley-Act
WBT ................. Web Based Training
1 Einleitung 1
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
1 Einleitung
1.1 Motivation, Problemstellung und Ziele
Die weitläufige elektronische Nutzung von Informations- und Kommunikationssystemen
(IKS) zur Unterstützung von Geschäftsprozessen innerhalb eines Unternehmens, als auch
die somit ermöglichte Kollaboration mit Kunden oder angebundenen Unternehmen,1 er-
öffnet eine Verbesserung der Wettbewerbsfähigkeit, die Erschließung neuer Märkte,
sowie ein flexibleres und schnelleres Reagieren auf diverse Anforderungen in einem dy-
namischen Umfeld.2
Den Steigerungen in punkto Effizienz, Transparenz und Kontrolle der Geschäftsprozesse
stehen jedoch immer komplexere IKS gegenüber, begleitet von einem immanenten
Risiko: Massive wirtschaftliche Schäden in Folge der (selbst induzierten) Abhängigkeit
von störungsfreien IKS. Die Wahrung der IT-Sicherheit im Lichte von sich permanent
ändernden Schadensszenarien ist somit von überragender Bedeutung für die Erreichung
der Unternehmensziele. Die Gesetzgeber forcieren diese Erkenntnis mit entsprechenden
Veröffentlichungen wie dem Gesetz zur Kontrolle und Transparenz im Unternehmens-
bereich (KonTraG) oder dem Sarbanes-Oxley-Act (SOX).3
Dabei ist im Rahmen der Analyse bzw. Handhabung von IT-Risiken aus Sicht der Un-
ternehmen eine Fokusverschiebung weg von technischen Aspekten hin zu menschlichen
Faktoren zu beobachten. Bei einer Umfrage zur IT-Sicherheit von Ernst & Young im Jahr
2003 benannten 83 % aller Befragten die Technologie als die am höchsten budgetierte
Maßnahme zur IT-Sicherheit.4 Ein Jahr später hatte sich aber die Erkenntnis durchgesetzt,
dass modernste Technologien nicht greifen, wenn die Mitarbeiter nicht konsequent für
den Umgang mit der IT-Sicherheit sensibilisiert und geschult werden.5 Dies gilt sowohl
im unternehmensinternen Kontext, als auch unternehmensübergreifend für alle am Ge-
schäftsprozess beteiligten Personen.6 Als größte Bedrohung für eine „sichere“ IT wird
1 Laut Statistischem Bundesamt nutzen 84% aller deutschen Unternehmen Computer in ihrem
Geschäftsablauf, 43% setzen E-Business ein. Vgl. Statistisches Bundesamt (Hrsg.):
Informationstechnologie in Unternehmen und Haushalten 2005, Online im Internet:
http://www.destatis.de/download/d/veroe/Pressebroschuere_IKT2005.pdf, 12.08.2007, S. 6.
2 Vgl. Kompetenzzentrum Electronic Commerce Bonn/Rhein-Sieg (Hrsg.): Ganzheitliche Sicherheit
für elektronisch gestützte Geschäftsprozesse - Eine Praxishilfe für kleine und mittlere Unternehmen
(KMU), Bonn, Rhein-Sieg: 2003, S. 1.
3 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2004, EYG No. FF0231, 2004,
S. 9.
4 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2003, EYG No. FF0224, 2003,
S. 8.
5 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2004, a. a. O., S. 19.
6 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2006, EYG No. AU0022, 2006,
S. 20.
1 Einleitung 2
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
konsequenterweise ein beabsichtigtes oder auch unbeabsichtigtes menschliches Fehl-
verhalten angesehen. Die in den Medien viel beschriebenen Trojaner und Würmer ran-
gieren nur auf Platz zwei der gefürchtetsten Bedrohungen für die IT-Sicherheit.7
Die Bedeutung dieser personenzentrierten Maßnahmen reflektieren neuere internationale
Standards,8 die die Sensibilisierung und Schulung von Mitarbeitern, Vertragspartnern
und Dritten als integralen Bestandteil zur Etablierung eines effektiven und effizienten
Sicherheitsmanagements benennen.9
Die unternehmerische Praxis zeigt Probleme bei der konkreten Ergreifung von Gegen-
maßnahmen. Mangelnde Rückendeckung durch das Management10, nicht ausreichende
Budgets, Fehlverhalten der Mitarbeiter trotz Schulung und fehlendes Know-how11 bilden
nur einige der Hindernisse auf dem Weg zu einer unternehmensweiten IT-Sicherheits-
kultur.
Die Anforderungen bzw. Voraussetzungen zur Planung und Umsetzung einer Sensibili-
sierungs- und Schulungskampagne zur IT-Sicherheit sind vielfältig. E-Learning als eine
mögliche Methode erfordert bspw. eine genaue Analyse der typischerweise heterogenen
Zielgruppen. Ebenso differenziert und flexibel zeigt sich die Gestaltung der Lerninhalte,
deren Vermittlung messbar und kontrollierbar sein soll.
Ziel dieser Arbeit ist es daher, einen Beitrag zur Entwicklung eines allgemeinen, unter-
nehmensunabhängigen Vorgehensmodells im Bereich E-Learning zur IT-Sicherheit zu
leisten, nach dem Schulungs- und Sensibilisierungsmaßnahmen konzipiert, implementiert
und evaluiert werden können. Hierzu werden in einem ersten Schritt Mitarbeiterrollen
identifiziert, beschrieben und abgegrenzt, um sie im Anschluss zu Zielgruppen zusammen
zu fassen. Im zweiten Schritt werden Lernmodule verschiedener Standards, Richtlinien
7 Vgl. o. V.: <kes> Microsoft Sicherheitsstudie - Lagebericht zur Informations-Sicherheit
(Sonderdruck für Microsoft), in: <kes> Die Zeitschrift für Informations-Sicherheit, Sonderdruck für
Microsoft 2006, S. 3.
8 Vgl. OECD (Hrsg.): OECD Guidelines for the Security of Information Systems and Networks:
Towards a Culture of Security, Online im Internet: http://webdomino1.oecd.org/COMNET/
STI/IccpSecu.nsf?OpenDatabase, 12.08.2007, S. 10.
9 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC 27001:2005, Information
Technology – Security techniques – Information security management systems – Requirements,
Online im Internet (kostenpflichtig): www.iso.org, 24.07.2007, S. 6 und S. 9 und International
Organization for Standardization (Hrsg.): ISO/IEC 17799:2005, Information Technology – Security
techniques – Code of practice for information security management, Online im Internet
(kostenpflichtig): www.iso.org, 24.07.2007, S. 25 f.
10 Vgl. Capgemini (Hrsg.): Studie IT-Trends 2005 – Paradigmenwechsel in Sicht, Online im Internet:
http://www.de.capgemini.com/m/de/tl/IT-Trends_2005.pdf, 12.08.2007, S. 11.
11 Vgl. Silicon.de (Hrsg.): IT-Sicherheit 2005 - Ringen mit dem steigenden Aufwand - Auszüge aus
der aktuellen silicon.de-Studie IT-Sicherheit 2005, Online im Internet: http://www.sicherheits
forum-bw.de/x_loads/siliconDEStudie_IT_Sicherheit2005.pdf, 12.08.2007, S. 10.
1 Einleitung 3
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
und Best Practices mit dem Ziel gegenüber gestellt, eine unternehmensunabhängige Aus-
wahl zu treffen.
Die hierauf aufbauende prototypische Realisierung von Schulungs- und Sensibilisie-
rungsmaßnahmen zur IT-Sicherheit bei einem modellhaften mittelständischen Finanz-
dienstleister wird die Angemessenheit und Wirksamkeit des Vorgehensmodells in der
Realität validieren.
1.2 Gang der Arbeit
Die Sensibilisierung und Schulung von Mitarbeitern für die IT-Sicherheit ist eine wich-
tige Maßnahme auf dem Weg zur Etablierung einer IT-Sicherheitskultur. In diesem Zu-
sammenhang werden im folgenden Kapitel 2 zunächst grundlegende Begriffe erläutert.
Hierauf aufbauend dient die Hervorhebung des menschlichen/personellen Aspekts des
IT-Sicherheitsmanagements durch die Etablierung einer IT-Sicherheitskultur als fach-
lich-inhaltliche Abgrenzung dieser Arbeit. Ein mögliches Vorgehensmodell zur Imple-
mentierung einer IT-Sicherheitskultur ist das PDCA-Modell, das mit einem geschlosse-
nen Handlungssystem vorgestellt wird. Besonderer Wert wird hierbei insbesondere auf
kritische Erfolgsfaktoren für eine Sensibilisierungs-Kampagne gelegt, die u. a. die Er-
stellung einer IT-Sicherheitsrichtlinie und die Konzeption eines „Learning-Kontinuums“
im Sinne des zielgruppen-spezifischen Lernens vorsehen.
Kapitel 3 stellt dieses Learning-Kontinuum als ein Modell vor, das die verschiedenen
Ebenen „Sensibilisierung, Schulung und Ausbildung“ systematisiert. Die anschließende
Untersuchung verschiedener Medien zur Lerninhaltsvermittlung auf Eignung für das
Learning-Kontinuum mündet in der Auswahl von E-Learning als eine geeignete Methode
zur Unterstützung aller Lernstufen. Das Vorgehen zur spezifischen Konzeption von Web
Based Trainings (WBTs) veranschaulicht Kapitel 4. Dort wird ein Standard-Vor-
gehensmodell speziell an die Anforderungen von Schulungs- und Sensibilisierungs-
maßnahmen zur IT-Sicherheit als komplexes Lernfeld angepasst.
Kapitel 5 kombiniert dieses Vorgehensmodell mit dem Learning-Kontinuum. Ausgehend
von existierenden Standards werden zunächst Mitarbeiterrollen identifiziert, beschrieben
und abgegrenzt. Eine Zusammenfassung der Rollen in Zielgruppen dient der Komplexi-
tätsreduktion. Der zweite Schritt beginnt mit der Erläuterung potentieller Lernmodule aus
relevanten Standards, Richtlinien und Best Practices und endet in der Auswahl
potentieller Lernmodule. Ergebnis ist ein dreidimensionales Modell, das als Grundlage
für die praktische, unternehmensindividuelle Auswahl von WBTs zur IT-Sicherheit im
konkreten Anwendungsfall dient. In Kapitel 6 folgt die Dokumentation der proto-
typischen Realisierung. Dabei wird die inhaltliche Umsetzung beschrieben, sowie auf die
1 Einleitung 4
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Auswahl der verwendeten Medien und die technische Umsetzung der WBTs einge-
gangen. Kapitel 7 fasst die wichtigsten Aussagen der Arbeit zusammen und gibt einen
Ausblick.
Die folgende Grafik veranschaulicht die grundlegenden Zusammenhänge und Inhalte der
einzelnen Kapitel.
Abb. 1: Gang der Arbeit
Demnach bilden die drei Abschnitte 2, 3 und 4 die theoretischen Säulen, deren Inhalte im
praktischen Teil dieser Arbeit (Abschnitte 5 und 6; in der Abb. 1 blau hinterlegt) Be-
rücksichtigung finden werden.
1. Einleitung
Motivation, Problemstellung und Ziele der Arbeit
Gang der Arbeit
1. Einleitung
Motivation, Problemstellung und Ziele der Arbeit
Gang der Arbeit
7. Zusammenfassung und Ausblick7. Zusammenfassung und Ausblick
2. Aufbau einer
IT-Sicherheitskultur
Aspekte einer
IT-Sicherheitskultur
und deren
Implementierung
anhand des PDCA-
Modells
2. Aufbau einer
IT-Sicherheitskultur
Aspekte einer
IT-Sicherheitskultur
und deren
Implementierung
anhand des PDCA-
Modells
5. IT-Sicherheit als komplexes
Lernfeld
Identifizierung, Beschreibung und
Abgrenzung von Rollen
Erläuterung der Lernmodule
6. Prototypische Realisierung
Konzeption und Implementierung
von WBTs bei einem konkreten
Finanzdienstleister
3. Learning-
Kontinuum und
Lehrformen
Blended Learning als
geeigneter Ansatz zur
Unterstützung des
Learning-Kontinuums
3. Learning-
Kontinuum und
Lehrformen
Blended Learning als
geeigneter Ansatz zur
Unterstützung des
Learning-Kontinuums
4. E-Learning in
komplexen
Lernfeldern
Allgemeines
Vorgehen bei der
Konzeption und
Umsetzung von
WBTs; Anpassung an
komplexe Lernfelder
4. E-Learning in
komplexen
Lernfeldern
Allgemeines
Vorgehen bei der
Konzeption und
Umsetzung von
WBTs; Anpassung an
komplexe Lernfelder
1. Einleitung
Motivation, Problemstellung und Ziele der Arbeit
Gang der Arbeit
1. Einleitung
Motivation, Problemstellung und Ziele der Arbeit
Gang der Arbeit
7. Zusammenfassung und Ausblick7. Zusammenfassung und Ausblick
2. Aufbau einer
IT-Sicherheitskultur
Aspekte einer
IT-Sicherheitskultur
und deren
Implementierung
anhand des PDCA-
Modells
2. Aufbau einer
IT-Sicherheitskultur
Aspekte einer
IT-Sicherheitskultur
und deren
Implementierung
anhand des PDCA-
Modells
5. IT-Sicherheit als komplexes
Lernfeld
Identifizierung, Beschreibung und
Abgrenzung von Rollen
Erläuterung der Lernmodule
6. Prototypische Realisierung
Konzeption und Implementierung
von WBTs bei einem konkreten
Finanzdienstleister
3. Learning-
Kontinuum und
Lehrformen
Blended Learning als
geeigneter Ansatz zur
Unterstützung des
Learning-Kontinuums
3. Learning-
Kontinuum und
Lehrformen
Blended Learning als
geeigneter Ansatz zur
Unterstützung des
Learning-Kontinuums
4. E-Learning in
komplexen
Lernfeldern
Allgemeines
Vorgehen bei der
Konzeption und
Umsetzung von
WBTs; Anpassung an
komplexe Lernfelder
4. E-Learning in
komplexen
Lernfeldern
Allgemeines
Vorgehen bei der
Konzeption und
Umsetzung von
WBTs; Anpassung an
komplexe Lernfelder
2 Aufbau einer IT-Sicherheitskultur 5
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
2 Aufbau einer IT-Sicherheitskultur
2.1 Grundlagen und Definitionen
2.1.1 IT-Sicherheit
Der Begriff „IT-Sicherheit“ hat seit seiner erstmaligen Verwendung vielerlei Definitio-
nen erfahren. Allein die Abkürzung „IT“ wird in der Literatur unterschiedlich mit „In-
formationstechnik“, „Informations- und Kommunikationstechnik“ und „Informations-
und Telekommunikationstechnik“ gedeutet.12 Die “International Organization for Stan-
dardization (ISO)” definiert den weiter gefassten Begriff „Informationssicherheit“ als
„[...]the preservation of confidentiality, integrity and availability of information; in
addition, other properties, such as authenticity, accountability, non-repudiation, and
reliability can also be involved.”13
Diese Definition veranschaulicht, dass der Begriff der Informationssicherheit mehrere
Dimensionen umfasst und flexibel erweitert werden kann.14 Da in der deutschsprachigen
Literatur der teilweise synonym verwendete Begriff „IT-Sicherheit“ gebräuchlicher ist,
wird dieser auch in der vorliegenden Arbeit verwendet. Eine Systematisierung dieser
Dimensionen erfolgt durch Dierstein mit dem dualen Konzept der IT-Sicherheit.15
Die Zweiteilung trägt dem Umstand Rechnung, dass IKS sozio-technische Systeme sind,
die aus Mensch und Maschine bestehen. Abb. 2 verdeutlicht, dass sich diese Sichten
gegenseitig ergänzen und somit zueinander komplementär sind.
12 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard 100-1
Managementsysteme für Informationssicherheit - Version 1.0, Online im Internet:
http://www.bsi.de/literat/bsi_standard/standard_1001.pdf, 12.08.2007, S. 8.
13 International Organization for Standardization (Hrsg.): ISO/IEC 17799:2005, Information
Technology – Security techniques – Code of practice for information security management, a. a. O.,
S. 1.
14 Vgl. Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit, in:
Informatik Spektrum, Band 27, Heft 4, S. 352.
15 Vgl. Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit, a. a. O.,
S. 346.
2 Aufbau einer IT-Sicherheitskultur 6
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 2: Die duale Sicht der IT-Sicherheit16
Der Verlässlichkeit der Technik stehen drei Grundbedrohungen gegenüber, aus denen
Dierstein die ersten drei Dimensionen der IT-Sicherheit ableitet:17
Unbefugter Informationsgewinn: Beeinträchtigung oder Verlust der Vertraulich-
keit von Ergebnissen oder Funktionen (liegt bspw. vor, wenn ein Notebook mit
vertraulichen Daten gestohlen wurde, die nicht verschlüsselt sind);
Unbefugte Modifikation: Beeinträchtigung oder Verlust der Integrität von Ergeb-
nissen oder Funktionen (liegt bspw. vor, wenn sich ein Hacker Zugriff zu ver-
traulichen Daten des Unternehmens verschafft und diese ändert);
Unbefugte Veränderung der Verfügbarkeit: Beeinträchtigung oder Verlust der
Verfügbarkeit des Funktionsablaufs oder der Ergebnisse (liegt bspw. vor, wenn
IKS auf Grund eines Virenbefalls ihren Dienst verweigern).
Die Verlässlichkeit aus dem dualen Konzept der IT-Sicherheit korreliert dabei mit den
drei Grundwerten der IT-Sicherheit des BSI,18 dessen Werk zum IT-Grundschutz auch
international Beachtung findet.19
Die Nutzung des Internets für elektronischen Datenaustausch, Bankverkehr und Handel
bedingt die zweite Sicht der IT-Sicherheit. Die Abwicklung von Rechtsgeschäften über
das Internet verlangt nach einer Methode zur eindeutigen Authentifikation der Nutzer.
16 Eigene Darstellung in Anlehnung an Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der
Begriff IT-Sicherheit, a. a. O., S. 346.
17 Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit, a. a. O.,
S. 347.
18 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard 100-1
Managementsysteme für Informationssicherheit - Version 1.0, a. a. O., S. 8.
19 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, Online im Internet: http://www.bsi.bund.de/gshb/deutsch/download/it-grundschutz-
kataloge_2006_de.pdf, 12.08.2007, S. 13.
Technische Sicht:
Verlässlichkeit
(dependability)
• Zurechenbarkeit
• Revisionsfähigkeit
• Vertraulichkeit
• Verfügbarkeit
• Integrität
Menschliche Sicht:
Beherrschbarkeit
(controllability)
Die duale Sicht der IT-Sicherheit
Technische Sicht:
Verlässlichkeit
(dependability)
• Zurechenbarkeit
• Revisionsfähigkeit
• Vertraulichkeit
• Verfügbarkeit
• Integrität
Menschliche Sicht:
Beherrschbarkeit
(controllability)
Die duale Sicht der IT-Sicherheit
2 Aufbau einer IT-Sicherheitskultur 7
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Nur so können durchgeführte Transaktionen einem konkreten Nutzer zugeordnet werden
(Zurechenbarkeit) und mit Hilfe Dritter überprüft und durchgesetzt werden (Revisi-
onsfähigkeit). In dieser Sicht der IT-Sicherheit steht nicht mehr das System im Vorder-
grund, sondern der Mensch, der vor diesem geschützt werden soll.20
Die vorgenannten Dimensionen sind konstituierend für den Begriff „IT-Sicherheit“ und
stellen zudem dessen übergreifende Ziele dar. Ergänzende Elemente können zusätzlich
aufgenommen werden,21 wie die zitierte Definition der International Organization for
Standardardization beispielhaft veranschaulicht.
Für die Erreichung der Ziele der IT-Sicherheit ist das IT-Sicherheitsmanagement zu-
ständig, dessen Aufgaben im Spannungsfeld von Technik, Organisation und Mensch im
folgenden Abschnitt dargestellt werden.
2.1.2 IT-Sicherheitsmanagement
ISO/IEC TR 13335-1 definiert IT-Sicherheitsmanagement analog zur Definition der
IT-Sicherheit wie folgt:
„IT security management is a process used to achieve and maintain appropriate levels of
confidentiality, integrity, availability, accountability, authenticity and reliability.”22
IT-Sicherheitsmanagement ist also ein kontinuierlicher Prozess, dessen Strategien und
Konzepte fortwährend auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und
bei Bedarf anzupassen sind.23 Wesentliche Schritte dieses Prozesses sind der Aufbau
einer IT-Sicherheitsorganisation, die Etablierung einer IT-Sicherheitsrichtlinie, die
Identifizierung und Bewertung von IT-Risiken (Risikomanagement) sowie die Ergrei-
fung von geeigneten Maßnahmen zur Abwehr dieser Risiken.24 Der Prozess ist als Zyklus
anzusetzen, da die betrachteten Risiken und Maßnahmen einer dynamischen Umwelt
ständigen Änderungen unterliegen. Von Solms identifiziert in diesem Zusammenhang
20 Vgl. Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit, a. a. O.,
S. 349.
21 Vgl. Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit, a. a. O.,
S. 352.
22 International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-1:1996(E) – Information
Technology – Guidelines for the management of IT Security – Part 1: Concepts and models for IT
Security, Online im Internet (kostenpflichtig): www.iso.org, 24.07.2007, S. 3.
23 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard 100-2
IT-Grundschutz-Vorgehensweise - Version 1.0, Online im Internet: http://www.bsi.de/literat/bsi_
standard/standard_1002.pdf, 12.08.2007, S. 8.
24 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-1:1996(E) –
Information Technology – Guidelines for the management of IT Security – Part 1: Concepts and
models for IT Security, a. a. O., S. 3 und Bundesamt für Sicherheit in der Informationstechnik, BSI
Standard 100-2 IT-Grundschutz-Vorgehensweise - Version 1.0, a. a. O., S. 10.
2 Aufbau einer IT-Sicherheitskultur 8
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
drei „Wellen“ des IT-Sicherheitsmanagements, die analog zur Entwicklung des Begriffs
der IT-Sicherheit am Ende auch den Menschen ins Zentrum der Betrachtung rücken.25
Die erste Welle in den frühen achtziger Jahren konzentrierte Sicherheitsmaßnahmen auf
der technischen Ebene. Vor dem Hintergrund einer monolithischen Mainframe-Organi-
sation in den Unternehmen sind Zugangskontrollen oder die Vergabe von User-IDs und
Passwörtern typische Maßnahmen zur Sicherung der IT-Sicherheit gewesen.26 Menschen
als Benutzer der IT-Systeme wurden primär als „Feinde des Systems“ verstanden.
Die zweite Welle ist entstanden, nachdem zusehends erkannt wurde, dass Informati-
onstechnik neue Absatzwege schafft (z. B. E-Business) und die Ressource „Information“
einen zentralen Wettbewerbsfaktor darstellt (Verbreitung des Internet). Ein reibungsloses
Funktionieren der IT-Sicherheit ist somit kritisch für den Geschäftsfortgang geworden –
und IT-Sicherheit hielt Einzug in die Büros des Top-Managements. IT-Sicherheitsricht-
linien als Formulierung einer Sicherheitsstrategie und regelmäßige Berichterstattungen
zur Umsetzung dieser durch neue Organisationsstrukturen sind sichtbare Merkmale der
Managementwelle.
Die fortschreitende Vernetzung der Unternehmen untereinander führte schließlich zur
dritten, „institutionellen“ Welle. Jede Institution ist nur so sicher wie das schwächste
Glied in der Kette. Best Practices und Standardisierungen, inklusive der Option zur
Zertifizierung, ermöglichen die öffentliche Demonstration der eigenen IT-Sicherheit. Die
Einführung von Metriken zur IT-Sicherheit offeriert zudem eine weitere Möglichkeit zum
Benchmarking mit vergleichbaren Unternehmen einer Branche. Kapitel 2.1.2 diskutiert
diesen Aspekt des IT-Sicherheitsmanagements ausführlich.
Parallel zur Entwicklung der technischen und organisatorischen Dimension rückte der
Mensch zunehmend ins Zentrum der Betrachtung. Die Unternehmen mussten einsehen:
Kostspielige technische Lösungen alleine können nicht flexibel auf neuartige Bedro-
hungen reagieren. Ebenso funktioniert eine gut eingerichtete Sicherheitsorganisation
inklusive IT-Sicherheitsrichtlinie nicht, wenn diese „am Mitarbeiter vorbei geregelt“
wurde.27 Überprüfungen zeigen bspw., dass Mitarbeiter trotz besseren Wissens keine
starken Passwörter wählen. Diese psychologischen Faktoren wurden in einer Studie
untersucht, die eine „sachliche Verschließung“ gegenüber formalen Sicherheitsstandards
feststellt.28
25 Vgl. von Solms, Basie: Information Security – The Third Wave, in: Computers & Security, 19/2000,
S. 615.
26 Vgl. von Solms, Basie: Information Security – The Third Wave, a. a. O., S. 615.
27 Vgl. von Solms, Basie: Information Security – The Third Wave, a. a. O., S. 618.
28 Vgl. o. V.: Entsicherung am Arbeitsplatz, in <kes> Die Zeitschrift für Informations-Sicherheit,
6/2006, S. 61.
2 Aufbau einer IT-Sicherheitskultur 9
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Fazit: Technik, Organisation und Mensch stehen zueinander in einem Spannungsver-
hältnis. Jede Dimension für sich kann IT-Sicherheit nicht angemessen sicherstellen,
zusammen bedürfen sie einer integrierenden Regelung, die das effiziente Zusammenspiel
aller Faktoren unterstützen kann.29 Einen großen Beitrag hierzu leistet die IT-Sicher-
heitskultur. Der folgende Abschnitt wird darlegen, dass eine IT-Sicherheitskultur durch
die gezielte Beeinflussung unbewusster Verhaltensweisen eines jeden Mitarbeiters koor-
dinierend und kontrollierend tätig sein kann.
2.1.3 IT-Sicherheitskultur
Die IT-Sicherheitskultur ist eine Subkultur der Organisationskultur (Unternehmenskul-
tur).30 Die Verwandtschaft beider Begriffe erlaubt die Verwendung einer einheitlichen
Definition. Demnach ist die Organisationskultur/IT-Sicherheitskultur definiert als
„[…]die Gesamtheit der tradierten, wandelbaren, zeitbedingten und (teilweise) beein-
flussbaren kollektiven Werte, Normen und Wissensbestände in einer Unternehmung,
welche mit emotionalem Engagement gehalten werden und sich in vielfältigen Artefakten
äussern, und die das Verhalten der Betriebsangehörigen und damit letztlich das Be-
triebsgeschehen (Erfolg) sowie das Erscheinungsbild nach aussen beeinflussen.“31
Die Definition lässt erahnen, dass das Konzept der IT-Sicherheitskultur Ansatzpunkte zur
Beeinflussung der Mitglieder einer Organisation bereithält. Hier kann das zielgruppen-
spezifische E-Learning mit der Sensibilisierung und Schulung von Mitarbeitern ansetzen,
um letztlich deren Verhalten oder Einstellungen im Alltag zu verändern. Jedoch erlaubt
die abstrakte Definition keine direkte Ableitung von Regeln zur Konzeption von
Sensibilisierungs-Kampagnen oder Schulungen.
Schein liefert ein Modell zur Operationalisierung der Organisationskultur, das, übertra-
gen auf die IT-Sicherheitskultur, konkrete Ansatzpunkte für die Planung und Implemen-
tierung von Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit aufzeigt,
indem die zu beeinflussenden Ebenen sichtbar gemacht werden. Abb. 3 zeigt die Syste-
matisierung der Organisationskultur nach Schein in drei Schichten:
29 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, Fribourg: iimt
University Press: 2006, S. 33.
30 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 43.
31 Rühli, E.: Unternehmungskultur – Konzepte und Methoden, in: Rühli, E.; Keller, A. (Hrsg.):
Kulturmangement in schweizerischen Industrieunternehmungen, Bern, Stuttgart: Paul Haupt Verlag
1991, S. 15.
2 Aufbau einer IT-Sicherheitskultur 10
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 3: Die drei Ebenen der Organisationskultur32
Jede Organisation basiert auf impliziten Basis-Annahmen, die meist unbewusst von ihren
Mitgliedern gelebt werden. Sie schwingen bei vielen Entscheidungen im alltäglichen
Leben mit, ohne dass dies sichtbar wäre. Zur Verbreitung und Konkretisierung dieser
Annahmen werden Normen und Standards geschrieben, die gerade Neueinsteigern die
Anpassung an die Organisationskultur vereinfachen. Diese sind für alle Mitglieder ein-
sehbar. Nicht formulierte Ideologien oder Maximen hingegen sind nicht immer
festgeschrieben und sichtbar. Die Anwendung dieser geteilten Basis-Annahmen ma-
nifestiert sich in der Sprache der Organisationsmitglieder oder anderen sichtbaren Sym-
bolen der Organisation. Werden diese Symbole von außen betrachtet, so sind sie nicht
immer eindeutig und bedürfen der Interpretation. Ein strikter Business-Dress-Code bspw.
steht in der Unternehmung A für Professionalität und Qualität der Arbeit, denen die
Annahme zugrunde liegt, dass die Mitarbeiter dieses Unternehmens gründlich arbeiten.
Dies bedeutet jedoch nicht, dass der legerere Kleidungsstil des Unternehmens B für
mangelnde Gründlichkeit steht. Diesem können wiederum andere Annahmen zugrunde
liegen, die konstituierend für diese Unternehmenskultur sind.33
32 In Anlehnung an Schein, Edgar H.: Coming to a New Awareness of Organizational Culture, in: Sloan
Management Review, 25. Jg., 2/1984, S. 4.
33 Vgl. Schein, Edgar H.: Coming to a New Awareness of Organizational Culture, a. a. O., S. 3 f.
Basis- AnnahmenUnsichtbar,
meist unbewusstUmweltbezug
Wahrheit
Wesen des Menschen
Wesen menschlicher Handlungen
Wesen menschlicher Beziehungen
Normen und StandardsTeils sichtbar,
teils unbewusstMaximen, „Ideologien“,
Verhaltensrichtlinien, Verbote
SymbolsystemeSichtbar, aber
interpretationsbedürftigSprache, Rituale, Kleidung,
Umgangsformen
Basis- AnnahmenUnsichtbar,
meist unbewusstUmweltbezug
Wahrheit
Wesen des Menschen
Wesen menschlicher Handlungen
Wesen menschlicher Beziehungen
Normen und StandardsTeils sichtbar,
teils unbewusstMaximen, „Ideologien“,
Verhaltensrichtlinien, Verbote
SymbolsystemeSichtbar, aber
interpretationsbedürftigSprache, Rituale, Kleidung,
Umgangsformen
2 Aufbau einer IT-Sicherheitskultur 11
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Zur Bildung einer IT-Sicherheitskultur bedarf es daher (von der Unternehmensführung
gewollter) Basis-Annahmen, die in den Köpfen der Mitarbeiter verankert werden sol-
len.34 Diese werden in einer IT-Sicherheitsrichtlinie niedergeschrieben und durch den
Vorstand verabschiedet. Sie erlangen somit Verbindlichkeit für alle Mitarbeiter. Die
„Organisation for Economic Co-Operation and Development (OECD)” veröffentlichte
einen Leitfaden mit neun konstituierenden Prinzipien einer IT-Sicherheitskultur, die in
Tab. 1 zusammenfassend dargestellt werden.
Prinzip Hauptaussage
1 Sensibilisierung
(awareness)
Allen Anwendern müssen die möglichen Sicherheitsrisiken
und die grundsätzlichen Schwachstellen sowie die Mög-
lichkeiten der Verbesserung der Sicherheit bewusst ge-
macht werden.
2 Verantwortlichkeit
(responsibility)
Anwender tragen die Verantwortung für die Sicherheit ihrer
Informationssysteme und können für die davon ausgehen-
den Gefahren haftbar sein.
3 Reaktion
(response)
Alle Beteiligten sollen rechtzeitig und kooperativ Schwach-
stellen und Sicherheitsverletzungen vorbeugen und ent-
deckte Schwachstellen unverzüglich beheben und veröf-
fentlichen.
4 Ethik
(ethics)
Die berechtigten Interessen anderer Anwender müssen
respektiert werden.
5 Demokratie
(democracy)
Sicherheitsmaßnahmen dürfen die Werte demokratischer
Gesellschaften nicht verletzen.
6 Risikomanagement
(risk assessment)
Anwender sind zur Risikobewertung und zum Risikomana-
gement verpflichtet.
7 Konzeption und
Implementierung
(security design and
implementation)
Anwender und Hersteller müssen Informationssicherheit
als grundlegendes Element der Informations- und Kom-
munikationssysteme verstehen.
8 Sicherheitsmanagement
(security management)
Die Teilnehmer müssen ein angemessenes Informations-
sicherheitsmanagement betreiben.
34 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 87.
2 Aufbau einer IT-Sicherheitskultur 12
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Prinzip Hauptaussage
9 Ständige Überprüfung
(reassessment)
Alle Beteiligten müssen die Sicherheit der Systeme ständig
überprüfen und den aktuellen Erfordernissen anpassen.
Tab. 1: Prinzipien der IT-Sicherheitskultur nach OECD35
Die ersten drei Prinzipien „Sensibilisierung“, „Verantwortlichkeit“ und „Reaktion“ (siehe
Tab. 1) betreffen jeden Mitarbeiter in alltäglichen Situationen und eignen sich daher
besonders für eine durchgängige Adressierung. Aus ihnen kann folgendes Wertesystem
abgeleitet werden:36
Fragende Grundhaltung
Gründliches und vorsichtiges Vorgehen
Eigenverantwortung
Kommunikation
Aufgabe der Schulungs- und Sensibilisierungsmaßnahmen ist die Vermittlung dieses
Wertesystems als Resultat eines Lernprozesses im Umgang mit der externen und internen
Umwelt. Ziel ist die Bildung einer „starken“ IT-Sicherheitskultur.37
Ist eine Kultur stark ausgeprägt, bedarf die Organisation nur einer geringen formalen
Regelungsdichte. Dieser entscheidende Vorteil resultiert aus den geteilten Normen und
Werten, die automatisch zu einer schnellen Entscheidungsfindung und –umsetzung durch
die Mitarbeiter führen. Motivation und Teamgeist werden durch gemeinsame Leit-
gedanken gestärkt, indem die Mitarbeiter gegenseitig durch die einheitliche Anwendung
von gewissen Verhaltensmustern bestätigt werden.38 Dies birgt wesentliche Erleich-
terungen für die Kontrolle eines sicherheitskonformen Verhaltens der Mitarbeiter durch
die Implementierung einer IT-Sicherheitskultur. Die flächendeckende Überprüfung der
Einhaltung von Sicherheitsstandards ist eine nicht zu bewältigende Aufgabe, die auch
rechtliche Einschränkungen erfährt. So können z. B. private Telefongespräche nicht
abgehört werden, um herauszufinden, ob sensitive Informationen weiter gegeben werden.
Ist das Bewusstsein für das eigenverantwortliche Handeln bei dem Mitarbeiter jedoch
stark genug ausgeprägt, wird er von sich aus keine vertraulichen Informationen weiter-
35 Vgl. OECD (Hrsg.): OECD Guidelines for the Security of Information Systems and Networks:
Towards a Culture of Security, a. a. O., S. 10 f.
36 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 51.
37 Vgl. Schreyögg, Georg: Organisationskultur, in: Frese, Erich (Hrsg.): Handwörterbuch der
Organisation, 3. völlig neu gestaltete Auflage, Stuttgart: Schäffer-Poeschel 1992, S. 1526.
38 Vgl. Mayrhofer, Wolfgang; Meyer, Michael: Organisationskultur, in: Schreyögg, Georg; v. Werder,
Axel (Hrsg.): Handwörterbuch Unternehmensführung und Organisation, 4. völlig neu überarbeitete
Auflage, Stuttgart: Schäffer-Poeschel 2004, S. 1029.
2 Aufbau einer IT-Sicherheitskultur 13
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
leiten. Der „sachlichen Verschließung“ gegenüber Sicherheitsstandards wird mit Sensi-
bilisierungsmaßnahmen auf menschlicher Ebene entgegengewirkt. Die bildliche
Darstellung von Viren kann durch Emotionalisierung der IT-Sicherheit den Willen zum
Schutz (= Verantwortung übernehmen) wecken. Bezogen auf die Benutzung von Pass-
wörtern würde dies bspw. bedeuten, dass ein sicheres Passwort dann unwirksam wird,
wenn der Mitarbeiter dem Social Engineering erliegt. Ein sensibilisierter Arbeiter aber
würde sein Passwort nicht an Dritte weitergeben. Kontrollen in den durch die Kultur
geregelten Bereichen können somit reduziert werden.
Fazit: Die IT-Sicherheitskultur leistet einen Beitrag zur Koordination von Organisation,
Mensch und Technik. Sensibilisierungsmaßnahmen schulen das Auge des IT-Benutzers,
der Sicherheitsvorfälle einschätzen lernt und diese an die zuständige Stelle berichtet.
Schulungen und eine fundierte Ausbildung vermitteln Administratoren das nötige Wis-
sen, um IT-Systeme vor sich permanent ändernden Schadensszenarien zu schützen.
Unterstützt werden diese Maßnahmen von einer angemessenen Sicherheitsorganisation.
Ergebnis soll eine gelebte IT-Sicherheitskultur sein, die in den Alltag eines jeden Mitar-
beiters eingebunden ist. Die Sicherheitsstrategie findet in der IT-Sicherheitskultur einen
guten Nährboden für ihre Umsetzung und die kongruente Ausrichtung des Handlungs-
systems.39
2.2 Konzeption und Implementierung der IT-Sicherheitskultur
2.2.1 Das PDCA-Modell
Der Name des PDCA-Modells ist aus den englischen Phasen des Lebenszyklus-Modells
nach Deming abgeleitet: Plan – Do – Check – Act. Dieses ist prinzipiell auf alle Prozesse
innerhalb des IT-Sicherheitsmanagements anwendbar. Es verdeutlicht, dass die prak-
tische Umsetzung von IT-Sicherheit ein kontinuierlicher Prozess ist, der auch mit dem
temporären Erreichen eines akzeptierten Sicherheitsniveaus nicht abgeschlossen ist.40
Abb. 4 zeigt den Management-Prozess im Sinne eines Kreislaufs, der die Aufrecht-
erhaltung und kontinuierliche Anpassung der IT-Sicherheit zum Ziel hat.41
39 Vgl. Schreyögg, Georg: Organisationskultur, a. a. O., S. 1526.
40 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard 100-1
Managementsysteme für Informationssicherheit - Version 1.0, a. a. O., S. 15.
41 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard 100-1
Managementsysteme für Informationssicherheit - Version 1.0, a. a. O., S. 13.
2 Aufbau einer IT-Sicherheitskultur 14
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 4: Der Kreislauf des PDCA-Modells42
ISO/IEC 27001 beschreibt die Anwendung des PDCA-Modells bezogen auf die Etablie-
rung eines „Information Security Management Systems (ISMS)“. Hierzu zählt ISO/IEC
17799 verschiedene Arbeitsschritte auf, die bei der Umsetzung zu beachten sind. Dabei
wird, auch unter direktem Bezug zu den Prinzipien einer IT-Sicherheitskultur nach
OECD,43 explizit die Einführung eines Schulungs- und Sensibilisierungsprogramms als
Bestandteil der Implementierung eines ISMS genannt.44 Auf Grund der umfassenden
Anwendbarkeit zeigen die folgenden Abschnitte auf, wie eine IT-Sicherheitskultur an-
hand des PDCA-Modells implementiert und fortgeführt werden kann.
2.2.1.1 Plan
Die Planungsphase dient der Erarbeitung und Priorisierung von Maßnahmen, die unter-
nehmensindividuell für die Implementierung einer IT-Sicherheitskultur geeignet sind.
Zur Feststellung der jeweiligen Ausgangssituation muss zunächst im Rahmen einer GAP-
Analyse der Ist-Zustand erhoben und mit dem Soll-Zustand verglichen werden.45 Aus
dem Ergebnis können in einem zweiten Schritt Maßnahmen abgeleitet werden, die die
aktuellen Stärken stützen und die Lücken in der IT-Sicherheitskultur schließen. Speziell
42 Eigene Darstellung in Anlehnung an Bundesamt für Sicherheit in der Informationstechnik (Hrsg.):
BSI Standard 100-1 Managementsysteme für Informationssicherheit - Version 1.0, a. a. O., S. 14.
43 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC 27001:2005, Information
Technology – Security techniques – Information security management systems – Requirements,
a. a. O., S. 30.
44 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC 17799:2005, Information
Technology – Security techniques – Code of practice for information security management, a. a. O.,
S. 6.
45 Vgl. Sackmann, Sonja A.: Unternehmenskultur – Erkennen – Entwickeln – Verändern, Neuwied et
al.: Luchterhand 2002, S. 147.
Erfolgskontrolle und
Übwerwachung
Erfolgskontrolle und
Übwerwachung
Planung und
Konzeption
Planung und
Konzeption
Implementierung
und Pflege
Implementierung
und PflegeOptimierung und
Verbesserung
Optimierung und
Verbesserung
Plan
Do
Check
Act
Erfolgskontrolle und
Übwerwachung
Erfolgskontrolle und
Übwerwachung
Planung und
Konzeption
Planung und
Konzeption
Implementierung
und Pflege
Implementierung
und PflegeOptimierung und
Verbesserung
Optimierung und
Verbesserung
Plan
Do
Check
Act
2 Aufbau einer IT-Sicherheitskultur 15
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
bei der erstmaligen Implementierung ist eine Situationsanalyse entscheidend.46 Hierfür
sind konzeptionelle Vorarbeiten zur Identifizierung eines Analyserahmens notwendig.
Dieser umfasst zwei Dimensionen. Zum einen muss festgelegt werden, wo eine
Situationsanalyse der schwer greifbaren IT-Sicherheitskultur ansetzen kann. Zum ande-
ren müssen Instrumente identifiziert werden, die geeignet sind, Ausprägungen der ver-
schiedenen Ansatzpunkte zu erfassen. Hierbei ist gesondert zu beachten, dass Außen-
stehende nicht oder nur schwer in einem abgegrenzten Zeitraum dieselben Einsichten in
die Kultur eines Unternehmens gewinnen können, wie dies Interne haben. Interne un-
terliegen jedoch häufig der Betriebsblindheit und können nicht objektiv werten.47 Im
Folgenden wird ein Rahmen vorgestellt, der beide Sichten miteinander vereint.
Die sichtbaren Ebenen des Modells von Schein (Werte und Artefakte), welches im vo-
rangegangenen Abschnitt erläutert wurde, bieten konkrete Ansatzpunkte zur Erhebung
der Ist-IT-Sicherheitskultur.48 Nach außen gezeigte Werte müssen jedoch nicht den wah-
ren Werten entsprechen. Deswegen erfolgt als weitere Systematisierung für die
Ansatzpunkte eine Unterteilung in „wahre“ und „offizielle“ Werte nebst den offiziellen
Artefakten.49 Instrumente zur Analyse der IT-Sicherheitskultur sind geeignet, die externe
und interne Sicht zu integrieren; sie unterscheiden sich aber in Hinblick auf die erreichte
Bandbreite der Ansatzpunkte. Tab. 2 zeigt eine mögliche Kombination von Ansatz-
punkten und Instrumenten zur Analyse einer IT-Sicherheitskultur. Die markierten Felder
repräsentieren dabei jeweils realistische Kombinationen beider Dimensionen. Eine
Dokumentenanalyse bspw. kann von Externen vorgenommen werden, jedoch werden ihm
dabei die wahren Werte mit hoher Wahrscheinlichkeit verschlossen bleiben.
46 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 65.
47 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 69.
48 Vgl. Sackmann, Sonja A.: Unternehmenskultur – Erkennen – Entwickeln – Verändern, a. a. O.,
S. 27.
49 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 68.
2 Aufbau einer IT-Sicherheitskultur 16
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Artefakte Offizielle Werte
und Wissen
Wahre Werte
und Wissen
Dokumentenanalyse x x
Fragebogen x x
Gruppensitzung/Workshop x x x
Interview x x x
Beobachtung x
Tab. 2: Methoden und Ansatzpunkte für die Analyse der IT-Sicherheits-
kultur50
Ein standardisiertes Vorgehen beginnt mit dem Sicherheitsverantwortlichen in einer
Vorbereitungssitzung, um den zeitlichen Rahmen und die Ziele der Analyse zu planen.
Die Dokumentenanalyse, also die Sichtung der IT-Sicherheitsrichtlinie, des IT-Sicher-
heitskonzepts u. ä., gibt einen ersten Überblick über die Soll-Sicherheitskultur. Ein In-
terview mit dem Sicherheitsverantwortlichen hilft, die gewonnenen Eindrücke zu inter-
pretieren.51 Auf diese Phase folgt eine Befragung der Mitarbeiter mit erneuter Interpreta-
tion der Eindrücke. Diese können ihren Einstellungen in einem Fragebogen Ausdruck
verleihen, der in verschiedenen Kategorien Skalen von „stimme stark zu“ bis „lehne stark
ab“ beinhaltet. Im Anhang befindet sich ein Beispiel zu den verschiedenen Bewertungs-
kategorien. Die Befragung kann mit einer Erhebung der Vorkenntnisse zum Thema IT-
Sicherheit gekoppelt werden. Kapitel 4.2.1 wird die Bedeutung der Vorkenntnisse im
Rahmen der Konzeption von WBTs noch näher erläutern. Abschließend dient ein
Workshop der Besprechung der Resultate. Parallel hierzu werden Maßnahmen geplant,
die im folgenden Abschnitt näher betrachtet werden.52
2.2.1.2 Do
In der Durchführungsphase werden die in der Planungsphase als geeignet identifizierten
Maßnahmen umgesetzt. Hierzu bedarf es der Unterstützung anderer Funktionsbereiche
wie der Kommunikations-, Public Relations (PR)- oder Marketingabteilung. Nur die effi-
ziente Zusammenarbeit und ein durchgehender Wissenstransfer dieser Bereiche kann die
50 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 73.
51 Vgl. Schein, Edgar H.: Coming to a New Awareness of Organizational Culture, a. a. O., S. 3.
52 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 73.
2 Aufbau einer IT-Sicherheitskultur 17
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
erfolgreiche Implementierung einer IT-Sicherheitskultur garantieren. Abb. 5 zeigt den
dabei anzuwendenden Maßnahmenkatalog an. Die Anlehnung an die grafische
Darstellung der Porter‘schen Wertkette verdeutlicht die Unterscheidung in primäre und
unterstützende Maßnahmen.53 Primäre Maßnahmen wirken sich direkt auf die IT-Sicher-
heitskultur aus, wohingegen die quer verlaufenden Maßnahmen lediglich unterstützenden
Charakter aufweisen. Sie dienen der Entfaltung der Wirkung der primären Maßnahmen
und sind somit auch als kritische Erfolgsfaktoren für eine Sensibilisierungs-Kampagne
zu verstehen.54 Im Folgenden werden diese kurz vorgestellt.
Abb. 5: Maßnahmenkatalog der IT-Sicherheitskultur55
Der Maßnahmenkatalog ist in unterstützende und primäre Maßnahmen unterteilt. Die
unterstützenden Maßnahmen ziehen sich durch die gesamte Implementierungsphase; sie
ermöglichen die volle Entfaltung der Wirkungen der primären Maßnahmen. Verant-
wortung ist eine solche unterstützende Maßnahme. Ihre Bedeutung wurde bereits im
Rahmen der Prinzipien einer IT-Sicherheitskultur hervorgehoben. Die Mitarbeiter sollen
sich der gesetzlichen Regularien bewußt sein, die sie zur Verantwortung für ihr Handeln
verpflichten. Hierzu zählt bspw. das Datenschutzgesetz. Kann einem Mitarbeiter nach-
gewiesen werden, dass er Kundendaten an Externe weitergeleitet hat, ist eine gesetzliche
53 Normalerweise wird die Portersche Wertkette in Bezug auf Wertschöpfung zur Generierung von
Wettbewerbsvorteilen in einer Unternehmung verwendet. In diesem Zusammenhang soll der
wertschöpfende Charakter der IT-Sicherheitskultur an sich herausgestellt werden. Vgl. hierzu auch
die Ausführungen zu Wettbewerbsaspekten der IT-Sicherheitskultur in Abschnitt 2.2.2.
54 Vgl. Fox, Dirk; Kaun, Sven: Security-Awareness-Kampagnen, 9. Deutscher IT-Sicherheitskongress
des BSI, Online im Internet: http://www.secorvo.de/publikationen/ awareness-kampagnen-fox-
kaun-2005.pdf, 12.08.2007, S. 333.
55 Eigene Darstellung in Anlehnung an Schlienger, Thomas: Informationssicherheitskultur in Theorie
und Praxis – Analyse und Förderung soziokultureller Faktoren der Informationssicherheit in
Organisationen, a. a. O., S. 97.
Dokument-
system
Verantwortung
Internes Marketing und Kommunikation
Interkulturelle Aspekte
Management-
Commitment
Learning-
Kontinuum
Verpflichtung
und
Überwachung
Unterstützende
Maßnahmen
Primäre Maßnahmen
IT-Sicherheitskultur
IT-Sicherheitskultur
Dokument-
system
Verantwortung
Internes Marketing und Kommunikation
Interkulturelle Aspekte
Management-
Commitment
Learning-
Kontinuum
Verpflichtung
und
Überwachung
Unterstützende
Maßnahmen
Primäre Maßnahmen
IT-Sicherheitskultur
IT-Sicherheitskultur
2 Aufbau einer IT-Sicherheitskultur 18
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Strafverfolgung möglich.56 Der Vorstand übernimmt die Gesamtverantwortung für ein
funktionierendes Risikomanagement nach KonTraG. Durch eine geeignete Sicher-
heitsorganisation kann er Aufgaben an den Sicherheitsbeauftragten delegieren. Wo je-
doch Regulierungslücken bestehen, ist ein ethisch korrektes Verhalten der Mitarbeiter
gefragt, wie zuvor bereits diskutiert wurde.57
Um gewisse Werte und Normen in den Köpfen der Mitarbeiter zu verankern, bedarf es
einer internen Marketingstrategie. Ebenso wie in der kommerziellen Werbung verlangt
die Implementierung einer IT-Sicherheitskultur nach einem einprägsamen Slogan. Es gilt
die IT-Sicherheit, die für viele Mitarbeiter eine Einschränkung ihrer Freiheit bedeutet,
„schmackhaft“ zu machen. Ein Eckpfeiler des Marketing-Mix ist die Kommuni-
kationspolitik. Zur Umsetzung einer IT-Sicherheitskultur muss entschieden werden,
welche Medien zur Übermittlung von Informationen geeignet und wirkungsvoll sind.
Primäre Medien nutzen Sprache, Mimik und Gestik als eine persönliche Form der
Kommunikation. Sekundäre Medien wie Flugblatt, Plakat und Zeitung können unter-
stützend und breitflächig eingesetzt werden. Das tertiäre Medium (Fernsehen, Internet
etc.) ist die modernste Form der Kommunikation. Die Eignung dieser für Schulungs- und
Sensibilisierungsmaßnahmen wird auf Grund ihrer hohen Bedeutung für diese Arbeit
separat in Kapitel 3.3 untersucht.58
Interkulturelle Aspekte schließlich sind von enormer Bedeutung für multinational ope-
rierende Unternehmen. Kulturverändernde Maßnahmen treffen in unterschiedlichen
Ländern auf verschiedene Nährböden. Anpassungen sind unumgänglich. Der Daten-
schutz bspw. kann gesetzlich unterschiedlich geregelt sein, Unternehmungen unterliegen
ggf. unterschiedlichen Risiken und Chancen. Höfliche Verhaltensweisen eines Landes
brüskieren die Gemüter der Kollegen eines anderen Landes. Dies sind nur einige
Beispiele zur Verdeutlichung der Bedeutung dieser unterstützenden Maßnahme.59
Die primären Maßnahmen sind mit initialem Aufwand aufzubauen und in den operativen
Ablauf des Unternehmens zu integrieren. Ein Dokumentensystem besteht aus zentralen
Policies, Standards und Prozessbeschreibungen. Sie sind die sichtbaren Artefakte eines
Unternehmens, die, umklammert von einer Strategie, das gewünschte Zielverhalten der
Mitarbeiter festschreiben. Die IT-Sicherheitsrichtlinie bildet das hierarchisch höchste
56 Vgl. Kurzlechner, Werner: IT-Sicherheit: Firmen haften für ihre Mitarbeiter, Online im Internet:
http://www.cio.de/_misc/article/printoverview/index.cfm?pid=185&pk=834373&op=pdf,
12.08.2007, S. 1 f.
57 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 98 ff.
58 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 102.
59 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 105 f.
2 Aufbau einer IT-Sicherheitskultur 19
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Dokument, das kurz und prägnant die wichtigsten Eckpfeiler der IT-Sicherheitsstrategie
umreißt.60 Ein IT-Sicherheitskonzept auf der hierarchisch nachgelagerten Ebene
konkretisiert die Eckpfeiler mit konkreten Angaben zu Aufgaben und Verant-
wortlichkeiten.61 Prozessbeschreibungen dokumentieren schließlich, wie die Aufgaben
ausgeführt werden sollen. Es entsteht ein geschlossenes System von Dokumenten, das
alle Mitglieder einer Organisation über grundlegende Annahmen und Prozesse der IT-
Sicherheit in der Unternehmung informiert.62
Um diese Aufgaben durchzusetzen, bedarf es der Unterstützung des Managements. Die-
ses muss, als Teil ihrer Gesamtverantwortung, die benötigten Ressourcen bereitstellen
und den Fortschritt der einzelnen Aufgaben überwachen. Nicht weniger wichtig ist, dass
das Management eine Vorbildfunktion übernimmt und somit die Mitarbeiter zusätzlich
zur Befolgung der Sicherheitsstandards ermutigt.63
Damit das Prinzip der Verantwortung sinnvoll praktiziert werden kann, müssen die Mit-
arbeiter angemessen über die Risiken und geeignete Möglichkeiten zum Schutz infor-
miert sein. Das komplexe Lernfeld der IT-Sicherheit64 verlangt nach einem mehrstufigen
Konzept der Wissensvermittlung, welches vom „National Institute of Standards and
Technology (NIST)“ mit dem Learning-Kontinuum eingeführt wurde. Diese primäre
Maßnahme zur Implementierung einer IT-Sicherheitskultur ist eng mit der unterstützen-
den Funktion „Kommunikation und internes Marketing“ verzahnt, so dass diese Themen
in angemessenem Umfang gemeinschaftlich in Kapitel 3 behandelt werden.
Die Schulung und Sensibilisierung der Mitarbeiter für die IT-Sicherheit ermöglicht
letztendlich die weitergehende Verpflichtung der Mitarbeiter über gesetzliche Regularien
hinaus. Klauseln im Arbeitsvertrag können die Mitarbeiter zur Befolgung der internen
IT-Sicherheitsrichtlinie verpflichten. Dies gilt insbesondere auch für den Umgang mit
vertraulichen Informationen nach Ausscheiden aus der Firma. Bei Neueinstellung sollten
Mitarbeiter direkt auf Schulungs- und Sensibilisierungsmaterialien aufmerksam gemacht
und informiert werden. Nach der Kenntnisnahme bestätigt der Mitarbeiter mit seiner
Unterschrift, dass er die IT-Sicherheitsrichtlinie gelesen und verstanden hat. Eine
60 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 106.
61 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 45.
62 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard 100-1
Managementsysteme für Informationssicherheit - Version 1.0, a. a. O., S. 17.
63 Vgl. Sackmann, Sonja A.: Erfolgsfaktor Unternehmenskultur – Mit kulturbewusstem Management
Unternehmensziele erreichen und Identifikation schaffen – 6 Best Practice-Beispiele, Wiesbaden:
Gabler Verlag 2004, S. 194.
64 Zur Komplexität des Lernfelds der IT-Sicherheit vgl. Abschnitt 5.1.
2 Aufbau einer IT-Sicherheitskultur 20
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
anschließende Überwachung des Mitarbeiters muss, wie in der OECD Richtlinie gefor-
dert, den Grundsätzen der Demokratie entsprechen und bedarf nach deutschem Recht der
Zustimmung des Betriebsrats. Das Abhören von Telefongesprächen ist bspw. als kritisch
anzusehen, da dies grundlegende Menschenrechte verletzen würde.65
Die in der Planung festgelegten Maßnahmen sind im Sinne des Projektmanagements nach
einem bestimmten Zeit-, Kosten- und Organisationsplan umzusetzen, um Kontrollen und
eventuelle Anpassungen der IT-Sicherheitskultur zu ermöglichen.
2.2.1.3 Check
In Hinblick auf die sich ständig ändernden Bedrohungen im Bereich der IT-Sicherheit ist
eine Überprüfung der durchgeführten Maßnahmen zur Gewährleistung des nachhaltigen
Erfolgs der IT-Sicherheitskultur unerlässlich. Eine Anpassung der Soll-IT-Sicherheits-
kultur nach einem ersten Durchlauf des PDCA-Modells würde zu einer kompletten
Anpassung der durchzuführenden Maßnahmen führen. Eine solche Anpassung resultiert
unter anderem aus unvollständigen Informationen bei der Planung der Maßnahmen. Das
Vorgehen hierzu entspricht dem der Situationsanalyse, daher wird an dieser Stelle nicht
näher hierauf eingegangen.66
2.2.1.4 Act
Basierend auf den Erkenntnissen der „Check“-Phase werden in der „Act“-Phase geeig-
nete Korrekturmaßnahmen implementiert. Diese gezielten Verbesserungen können un-
terschiedlicher Natur sein. Im Sinne des inkrementell-iterativen Charakters dieses Vor-
gehens werden die eingesetzten Maßnahmen an sich weiter verfeinert und verbessert, um
die festgelegte Soll-IT-Sicherheitskultur besser zu erfüllen. Umgekehrt kann bei der
Überprüfung festgestellt werden, dass die Soll-Sicherheitskultur angepasst werden muss.
Die darauf neu abgestimmten Maßnahmen führten infolge dessen zu einer Beeinflussung
der zu Grunde gelegten Normen und Werte. Speziell im zweiten Fall, der Veränderung
der Kultur, ist eine Kommunikation dieser Erkenntnisse an die Mitarbeiter unerlässlich.
Die Partizipation der Mitarbeiter am Entwicklungsprozess der IT-Sicherheitskultur kann
ein weiterer Erfolgsfaktor zur Implementierung dieser sein. Die ständige Verbesserung
und die gezogenen Konsequenzen aus Fehlentwicklungen tragen zum organisationalen
65 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 115 f.
66 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 122.
2 Aufbau einer IT-Sicherheitskultur 21
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Lernen bei, auf das später in Kapitel 4 näher eingegangen wird.67 Als Abschluss-
betrachtung dieses Kapitels wird jedoch zunächst der Nutzen einer IT-Sicherheitskultur
nach internen und externen Gesichtspunkten untersucht.
2.2.2 IT-Sicherheitskultur als Wettbewerbsfaktor
Die Etablierung einer IT-Sicherheitskultur ist integraler Bestandteil des ISO/IEC
27001,68 nach dem Unternehmen zertifiziert werden können. IT-Compliance, also die
Befolgung von anerkannten Standards, Richtlinien oder Gesetzen, ist zu einem wesent-
lichen Faktor im Rahmen der Corporate Governance geworden. Zertifizierungen geben
Anlass zur gezielten internen Revision relevanter Geschäftsprozesse. Ergebnis ist eine
Erhöhung der Transparenz, einhergehend mit neuen Optimierungs- und Harmonisie-
rungsmöglichkeiten, die letztendlich Kosten reduzieren helfen.69 Ein erlangtes Zertifikat
dokumentiert die Sicherheit und Qualität der IT-Systeme und ist, in Hinblick auf die
wachsende Abhängigkeit von IKS, nicht zuletzt ein wichtiges Instrument des Kontinui-
tätsmanagements.70 Dies ist gerade für Finanzdienstleister relevant, die sich im Lichte
von Basel II wachsenden Anforderungen an ihr Risikomanagementsystem gegenüber
sehen.71 In den vergangenen Jahren ist das Interesse an der IT-Sicherheitskultur als
effektivem Kontrollinstrument gewachsen. Die Etablierung von Schulungs- und Sensi-
bilisierungsmaßnahmen führt zu einem erhöhten Verständnis der unternehmensinternen
Regelungen und rollenspezifischen Verantwortlichkeiten. Der organisationale Lernfort-
schritt integriert die IT-Sicherheit in die Unternehmenskultur – und schafft somit einen
internen Mehrwert für alle Mitarbeiter.72
Die Wertkette von Porter visualisiert wertsteigernde, primäre Funktionen, die durch zu
ihnen quer verlaufende Funktionen unterstützt werden.73 Aus der internen Perspektive
betrachtet stünde das IT-Sicherheitsmanagement für eine solche unterstützende Funktion,
die der Sicherstellung des Geschäftsfortgangs durch störungsfreie IKS dient. Abb. 6
67 Vgl. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und
Förderung soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 127.
68 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC 27001:2005, Information
Technology – Security techniques – Information security management systems – Requirements,
a. a. O., S. 30.
69 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2006, a. a. O., S. 19.
70 Vgl. o. V.: Zertifizierung gemäß ISO 27001, Online im Internet, http://www.tuv.com/de/
zertifizierung_ gemaess_iso_27001.html#2, 12.08.2007.
71 Vgl. Hirschmann, Stefan; Romeike, Frank: IT-Sicherheit als Rating-Faktor, in: RATINGaktuell,
01/2004, S. 13.
72 Vgl. Ernst & Young (Hrsg.): Global Information Security Survey 2006, a. a. O., S. 12.
73 Vgl. Porter, Michael E.: Competitive Advantage – Creating and Sustaining Superior Performance,
London, New York: Collier Macmillan Publishers 1985, S. 36.
2 Aufbau einer IT-Sicherheitskultur 22
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
unterteilt das IT-Sicherheitsmanagement zur Verdeutlichung der Stellung der
IT-Sicherheitskultur in seine Kernaufgaben, die bereits in Abschnitt 2.1.2 erwähnt wur-
den.
Abb. 6: Die angepasste Wertkette von Porter74
Doch welche Wirkung hat eine Zertifizierung nach außen? Mit der wachsenden Ver-
breitung des E-Business, und damit einhergehend neuer Betrugsformen, wächst das Be-
dürfnis der Kunden nach dem Schutz ihrer Identität inklusive privater Daten. Ein Unter-
nehmen, das ein durchgängiges IT-Sicherheitsmanagement von der Beschaffung bis zum
Vertrieb betreibt, kann mit sicheren Infrastrukturen und Transaktionen einen besseren
Service leisten als seine Wettbewerber. Mit dem gewonnenen Kundenvertrauen erlangt
der zertifizierte Anbieter einen Wettbewerbsvorteil gegenüber anderen Anbietern, die
ihre IT-Sicherheit nicht belegen können.75 Insbesondere für Finanzdienstleister ist es
derzeit eine kritische Aufgabe des IT-Sicherheitsmanagements, dem Identitätsdiebstahl
74 Eigene Darstellung in Anlehnung an Porter, Michael E.: Competitive Advantage – Creating and
Sustaining Superior Performance, a. a. O., S. 37.
75 Vgl. Wirtschafts- und sozialpolitisches Forschungs- und Beratungszentrum der Friedrich-Ebert-
Stiftung Abt. Wirtschaftspolitik (Hrsg.): (Un–)Sicherheit im Internet - Wege zu einem besseren
Schutz für Unternehmen und private Nutzer, Online im Internet, http://library.fes.de/pdf-files/fo-
wirtschaft/03014.pdf, 12.08.2007, Vorwort.
Eingangs-
logistik
Unternehmensinfrastruktur
Technologieentwicklung
Beschaffung
Operationen Ausgangs-
logistik
Marketing &
Vertrieb
Un
ters
tütz
end
e
Aktivitäte
n
Primäre Aktivitäten
Personalwirtschaft
Kunden-
dienst
Gew
innsp
anne
Gew
innsp
anne
Sicherheits-
organisation
Sicherheits-
richtlinie
Risiko-
management
Maßnahmen
(Sicherheits-
kultur)
Eingangs-
logistik
Unternehmensinfrastruktur
Technologieentwicklung
Beschaffung
Operationen Ausgangs-
logistik
Marketing &
Vertrieb
Un
ters
tütz
end
e
Aktivitäte
n
Primäre Aktivitäten
Personalwirtschaft
Kunden-
dienst
Gew
innsp
anne
Gew
innsp
anne
Sicherheits-
organisation
Sicherheits-
richtlinie
Risiko-
management
Maßnahmen
(Sicherheits-
kultur)
2 Aufbau einer IT-Sicherheitskultur 23
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
mit präventiven Maßnahmen zu begegnen. IT-Sicherheit dient hier der Erhaltung der
Reputation und somit des Erfolgs.76 Ein anderes Beispiel liefert die Globalisierung mit
dem einhergehenden Katalysator „Outsourcing“, bzw. „Offshoring“, das das Phänomen
einer rasant wachsenden Auslagerung von Geschäftsbereichen zur Realisierung von
Kosten- oder Qualitätsvorteilen in Entwicklungsländern wie Indien beschreibt. Eine
derart enge Kooperation von Unternehmen verlangt als Basis der Zusammenarbeit ein
identisches Verständnis für IT-Sicherheit. Dieses lässt sich jedoch vor Vertragsabschluss
schwer prüfen.77 Das Beispiel unterstreicht die Bedeutung von international bzw. welt-
weit anerkannten Standards zum Abbau von Informationsasymmetrien auf dem Gebiet
der IT-Sicherheit.78
Die aufgeführten Beispiele verdeutlichen eine Tendenz der letzten Jahre: In vielen Bran-
chen oder Unternehmen, in denen der Informationsfunktion eine hohe Bedeutung zu-
kommt, ist das IT-Sicherheitsmanagement nicht nur eine unterstützende, sondern eine
gleichgestellte primäre Funktion in der Wertkette Porters. Dies bedeutet de facto den
Aufstieg des IT-Sicherheitsmanagements zu einer wertsteigernden Funktion innerhalb
des Unternehmens.
Bei allen Vorteilen werden auch Kritiker laut. Sie warnen vor einer Überreglementierung,
die die Flexibilität gefährdet. Zudem sehen manche Hacker die Demonstration von
„zertifizierter Sicherheit“ als eine willkommene Herausforderung das Gegenteil zu
beweisen.79 Die Schaffung einer IT-Sicherheitskultur als Teil der Zertifizierung hat
jedoch einen höheren Anspruch. In einer zunehmend vernetzten Welt ist nicht nur der
Unternehmenserfolg von störungsfreien IKS abhängig. Privatpersonen und Staaten auf
der ganzen Welt sehen sich dieser Entwicklung ausgesetzt. Ein Bewusstsein für die Be-
drohungen der IT-Sicherheit zu schaffen, wie es auch die Richtlinie der OECD vorsieht,
ist eine entscheidende Maßnahme zur Vermeidung von negativen externen Effekten.
Denn: Die Umsetzung von Standards bleibt unwirksam, insofern sich nur ein Glied in der
Kette nicht konform verhält. Wettbewerb bspw. wird beschränkt, wenn ein Unternehmen
für die Schäden bezahlen muss, die ein anderer (sei es eine Privatperson oder ein anderes
76 Vgl. Deloitte (Hrsg.): 2006 Global Security Survey, Online im Internet:
http://www.deloitte.com/dtt/cda/doc/content/dtt_fsi_2006%20Global%20Security%20Survey_
2006-06-13.pdf, 12.08.2007, S. 13 und S. 16.
77 Vgl. Price Waterhouse Coopers (Hrsg.): The Global State of Information Security, Online im
Internet: http://www.pwchk.com/webmedia/doc/632949485891990448_info_security_sep2006.
pdf, 12.08.2007, S. 6.
78 Vgl. Bundesamt für die Sicherheit der Informationstechnik (Hrsg.): Vorteile und Stellenwert, Online
im Internet: http://www.bsi.de/gshb/zert/vorteile_und_stellenwert.htm, 12.08.2007.
79 Vgl. Wirtschafts- und sozialpolitisches Forschungs- und Beratungszentrum der Friedrich-Ebert-
Stiftung Abt. Wirtschaftspolitik (Hrsg.): (Un–)Sicherheit im Internet - Wege zu einem besseren
Schutz für Unternehmen und private Nutzer, a. a. O., Vorwort.
3 Lernebenen und Formen der Lehrvermittlung 24
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Unternehmen)80 ungewollt oder intentional verursacht hat.81 Die derzeit am größten
eingeschätzte Bedrohung ist der Mensch selbst. Eigenverantwortliches Handeln beginnt
mit der Sensibilisierung (und somit der Basis zur Verpflichtung) von allen Nutzern von
IKS.82 Die folgenden Abschnitte zeigen einen pragmatischen Weg auf, wie dies realisiert
werden kann.
3 Lernebenen und Formen der Lehrvermittlung
3.1 Überblick
Im vorangegangenen Kapitel wurde der organisatorische Rahmen zur Implementierung
einer IT-Sicherheitskultur vorgestellt. Der folgende Abschnitt betrachtet mit dem Lear-
ning-Kontinuum ein Rahmenwerk, das einen ersten Anhaltspunkt zur inhaltlichen Sys-
tematisierung eines Lernthemas liefert. Im Zuge dessen werden die in Abb. 7 dargestell-
ten verschiedenen Lernebenen „Sensibilisierung“, „Schulung“ und „Ausbildung“ aus-
führlich erläutert und voneinander abgegrenzt.
80 Alle Nutzer von IKS sind betroffen, vgl. OECD (Hrsg.): Implementation Plan for the OECD
Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security,
Online im Internet: http://www.oecd.org/dataoecd/23/11/31670189.pdf, 12.08.2007, S. 2.
81 Vgl. Andersson, Ross; Moore, Tyler: The Economics of Information Security: A Survey and Open
Questions, Online im Internet: http://www.cl.cam.ac.uk/~rja14/Papers/toulouse-summary.pdf,
12.08.2007, S. 5.
82 Vgl. o. V.: <kes> Microsoft Sicherheitsstudie - Lagebericht zur Informations-Sicherheit
(Sonderdruck für Microsoft), a. a. O., S. 3.
3 Lernebenen und Formen der Lehrvermittlung 25
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 7: Das Learning-Kontinuum83
Der dritte Abschnitt dieses Kapitels untersucht die gängigen Formen der Lehrvermittlung
„Präsenzlehre“, „E-Learning“ und „Blended Learning“ auf ihre Eignung zur Unter-
stützung des Learning-Kontinuums.
3.2 Das Learning-Kontinuum
3.2.1 Sensibilisierung
Sensibilisierung bildet die Grundlage für alle folgenden Stufen des Learning-Konti-
nuums. In Zusammenhang mit dem Datenschutz kann Sensibilisierung als „die Fähigkeit
einer Person, die Chancen und Risiken bei der elektronischen Erfassung, Speicherung
83 In Anlehnung an National Institute of Standards and Technology (Hrsg.): NIST Special Publication
800-16 – Information Technology Security Training Requirements: A Role- and Performance-Based
Model 1998, Online im Internet: http://csrc.nist.gov/publications/nistpubs/800-16/ 800-16.pdf,
12.08.2007, S. 15.
Sensibilisierung für
IT-Sicherheit
Alle Mitarbeiter
Se
nsib
ilisie
run
gS
ch
ulu
ng
Au
sb
ildu
ng
Verständnis und Grundlagen der
IT-Sicherheit
Alle Nutzer von IT-Systemen
Ausbildung und Erfahrung
IT-Sicherheits-Spezialisten
Manage-
ment
Adminis-
tratoren
Mitarbeiter mit Arbeitsplatz
mobil stationär
Rollen- und funktionsorientiert
AF
E
FA
E
A = Anfänger
F = Fortgeschritten
E = Experte
Sensibilisierung für
IT-Sicherheit
Alle Mitarbeiter
Se
nsib
ilisie
run
gS
ch
ulu
ng
Au
sb
ildu
ng
Verständnis und Grundlagen der
IT-Sicherheit
Alle Nutzer von IT-Systemen
Ausbildung und Erfahrung
IT-Sicherheits-Spezialisten
Manage-
ment
Adminis-
tratoren
Mitarbeiter mit Arbeitsplatz
mobil stationär
Rollen- und funktionsorientiert
AF
E
FA
E
A = Anfänger
F = Fortgeschritten
E = Experte
3 Lernebenen und Formen der Lehrvermittlung 26
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
und Verarbeitung personenbezogener Daten zu erkennen, zu bewerten und angemessen
darauf zu reagieren“84 verstanden werden.
Ziel ist die nachhaltige und kontinuierliche Sensibilisierung aller Mitarbeiter für Ge-
fährdungen der IT-Sicherheit.85 Somit wird der Grundstein für eine effektive Verhaltens-
änderung gelegt, die letztlich die Schaffung einer IT-Sicherheitskultur ermöglicht.86
Zentrale Voraussetzung hierfür ist die Gewinnung und Aufrechterhaltung des Interesses
der Mitarbeiter.87
Ein geeignetes Mittel zur Umsetzung der ersten Stufe des Learning-Kontinuums ist die
Sensibilisierungs-Kampagne. Diese ist langfristig angelegt und unterteilt sich in vier
Phasen, dargestellt durch Abb. 8.88
84 Dimler, Simone; Federrath, Hannes; Nowey, Thomas; Plößl, Klaus: Awareness für IT-Sicherheit
und Datenschutz in der Hochschulausbildung – Eine empirische Untersuchung, in: Sicherheit 2006.
Beiträge der 3. Jahrestagung des GI-Fachbereichs Sicherheit, Lecture Notes in Informatics (P-77),
Hrsg.: Dittmann, Jana, Bonn: Köllen-Verlag 2006, S. 19.
85 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 94.
86 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 15.
87 Vgl. Fox, Dirk: Security Awareness - Oder: Die Wiederentdeckung des Menschen in der
IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 678.
88 Vgl. Fox, Dirk; Kaun, Sven: Security-Awareness-Kampagnen, 9. Deutscher IT-Sicherheitskongress
des BSI, a. a. O., S. 333 und National Institute of Standards and Technology (Hrsg.): NIST Special
Publication 800-50 - Building an Information Technology Security Awareness and Training
Program 2003, Online im Internet: http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-
50.pdf, 12.08.2007, S. 32 f und Siponen, Mikko T.: A conceptual foundation for organizational
information security awareness, in: Information Management & Computer Security, 8 (1)/2000,
S. 35.
3 Lernebenen und Formen der Lehrvermittlung 27
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 8: Die Phasen einer Sensibilisierungs-Kampagne89
Aufmerksamkeit gewinnen durch den gezielten Einsatz von Anzeigen, Flyern und
Schreiben des Vorstands
Wissen vermitteln und Einstellungen verändern anhand von WBTs, Intranetsei-
ten, Informationsveranstaltungen, Videos und individueller Beratung, Präsenz-
veranstaltung
Verstärkung der Wirkung mittels Newsletter, Intranet-Artikel, Broschüren, Mitar-
beiteranzeigen und Preisverleihungen
Öffentlichkeitsarbeit (optional) durch Kundenzeitschriften, Fachzeitschriften und
Kundenmailing
Zur Verdeutlichung der Ziele der einzelnen Phasen wird im Folgenden das Beispiel
„Virenschutz“ verwendet. Um die Aufmerksamkeit des Mitarbeiters in Phase eins zu
gewinnen, kann ein Plakat mit einer Karikatur eines Virus veröffentlicht werden, der
einen Arbeitsplatz-Rechner anbeißt. In Phase zwei, der bedeutendsten, können anhand
eines WBTs Informationen über die Verbreitung von Viren übermittelt und somit ein
grundlegendes Verständnis für das Thema erreicht werden. Übergeordnetes Ziel bildet
hierbei die aktive Veränderung der Einstellung (bzw. des Verhaltens) der Mitarbeiter. Die
nachhaltige Wirkung dieser Maßnahmen wird in Phase drei mittels regelmäßiger
Newsletter oder Broschüren erreicht. Hat ein Unternehmen eine Sensibilisierungs-Kam-
pagne erfolgreich implementiert, kann es diese Erfahrungen mit Geschäftspartnern oder
89 In Anlehnung an Fox, Dirk: Security Awareness - Oder: Die Wiederentdeckung des Menschen in
der IT-Sicherheit, a. a. O., S. 678.
Phase 1 Phase 2 Phase 3 Phase 4
Schreiben des
Vorstands
Flyer
Anzeigen
Individuelle Beratung
Videos
Informations-
veranstaltungen
Intranet-Seiten
WBTs
Preisverleihung
Mitarbeiter-
anzeigen
Broschüren
Intranet-Artikel
Newsletter
Kundenzeitschrift
Fachzeitschrift
Kundenmailing
Sicherheits-
bewußtsein
Aufmerksamkeit Wissen & Einstellung Verstärkung Öffentlichkeit
Phase 1 Phase 2 Phase 3 Phase 4
Schreiben des
Vorstands
Flyer
Anzeigen
Individuelle Beratung
Videos
Informations-
veranstaltungen
Intranet-Seiten
WBTs
Preisverleihung
Mitarbeiter-
anzeigen
Broschüren
Intranet-Artikel
Newsletter
Kundenzeitschrift
Fachzeitschrift
Kundenmailing
Sicherheits-
bewußtsein
Aufmerksamkeit Wissen & Einstellung Verstärkung Öffentlichkeit
3 Lernebenen und Formen der Lehrvermittlung 28
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Kunden teilen, da, wie bereits in Abschnitt 2.2.2 dargelegt wurde, jeder für IT-Sicherheit
mit verantwortlich ist (Phase 4).90
Die hier erwähnten Mittel haben lediglich informierenden Charakter, eine aktive Ausei-
nandersetzung mit dem Thema „IT-Sicherheit“ findet erst auf der nächsten Ebene des
Learning-Kontinuums, der Schulung, statt. Als Schnittstelle zwischen beiden Ebenen
fungiert das einheitliche Begriffsverständnis innerhalb der IT-Sicherheit als Konsequenz
der breit angelegten Sensibilisierungs-Kampagne.91
3.2.2 Schulung
Ziel der Schulung ist die Vermittlung wichtiger, grundlegender und ständig benötigter
Fähigkeiten und Kompetenzen.92 Während die erste Stufe des Learning-Kontinuums die
Lernenden für ein Thema sensibilisiert, erlangt der Lernende nun durch Übungen
Fähigkeiten, die die Ausübung spezieller Funktionen erlauben.93 Die einzelnen Schu-
lungseinheiten sind, im Gegensatz zur Sensibilisierung, nicht mehr für alle Mitarbeiter
verbindlich, sondern werden individuell auf die Funktionen im Unternehmen (sog.
Rollenbedürfnisse94) angepasst.95 Der Lernende nimmt aktiv am Lernprozess teil. Für
die Entwicklung der Schulungsmaterialien kann auf Ausbildungsunterlagen von Uni-
versitäten oder Berufsschulen zurückgegriffen werden, wenngleich die Schulung nicht
mit einem anerkannten Bildungsabschluss endet. Beispielhaft für die Schulung ist ein IT-
Sicherheitskurs für Systemadministratoren. In diesem sollten ausgewählte Themen wie
z. B. operative oder technische Kontrollen enthalten sein.96
90 Vgl. Fox, Dirk: Security Awareness - Oder: Die Wiederentdeckung des Menschen in der
IT-Sicherheit, a. a. O., S. 678 f.
91 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 25 f.
92 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 15.
93 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 9.
94 Abschnitt 5.2 gibt einen umfassenden Überblick über die verschiedenen Rollen in einem
Unternehmen, daher soll an dieser Stelle keine differenzierte Darstellung erfolgen.
95 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 1747.
96 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-50 -
Building an Information Technology Security Awareness and Training Program 2003, a. a. O., S. 9.
3 Lernebenen und Formen der Lehrvermittlung 29
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
3.2.3 Ausbildung
Die oberste Stufe des Learning-Kontinuums bildet die Ausbildung. Diese setzt auf die
beiden vorhergehenden Stufen „Sensibilisierung“ und „Schulung“ auf.97 Ziel der klassi-
schen Ausbildung ist es, alle Fähigkeiten und Kompetenzen zum Thema IT-Sicherheit
zusammenzufassen und mit verschiedenen Studien über technologische und soziale
Themen zu verknüpfen. Dadurch soll der Auszubildende zu einem IT-Sicherheits-
spezialisten mit professionellen Fähigkeiten und fundiertem Wissen über proaktives
Handeln ausgebildet werden.98 Bspw. ist eine Ausbildung zum IT-Sicherheitsexperten
nach europäischem Sicherheitszertifikat möglich. Diese Ausbildung führt zu einem
anerkannten Abschluss einer unabhängigen Einrichtung.99
In den folgenden Abschnitten stellt sich die Frage, welche Formen der Lehrvermittlung
geeignet sind, um die in diesem Kapitel voneinander abgegrenzten Stufen des Learning-
Kontinuums zu unterstützen. Hierzu werden die Formen „Traditionelle Präsenzlehre“,
„E-Learning“ und „Blended Learning“ vorgestellt und auf ihre Eignung für das Lear-
ning-Kontinuum hin untersucht.
3.3 Formen der Lehrvermittlung
3.3.1 Die Präsenzveranstaltung als traditioneller Ansatz
Die Präsenzlehre, die auch heute noch breitflächig praktiziert wird, ist die älteste Form
der Wissensvermittlung. Kennzeichnend ist die direkte Interaktion und synchrone
Kommunikation zwischen den teilnehmenden Akteuren in einer hauptsächlich durch den
Lehrenden dominierten Umgebung.100 Die inhaltliche Zusammenstellung sowie die
Abfolge der Bearbeitung der Lerninhalte sind weitestgehend festgelegt. Eigene Einflüsse
der Kursteilnehmer auf die Lehrinhalte sind nur bedingt möglich. Ohne Nachbearbeitung
ist kein nachhaltiger Lernerfolg zu erwarten.101
97 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-50,
a. a. O., S. 8.
98 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 9.
99 Vgl. ITSecCity (Hrsg.): Secorvo bieten neuen Kurs zum IT-Sicherheitsexperten, Online im Internet:
http://www.itseccity.de/?url=/content/markt/nachrichten/061116_mar_nac_teletrust.html,
12.08.2007.
100 Vgl. Bonk, Curtis J.; Graham, Charles R.: The Handbook of Blended Learning – global perspectives,
local designs, San Francisco: Pfeiffer 2006, S. 5.
101 Vgl. Görlich, Sascha: Fundierung und Integration von E-Learning Komponenten in die Präsenzlehre,
Online im Internet: http://geb.uni-giessen.de/geb/volltexte/2007/4535/index.html, 12.08.2007, S. 1.
3 Lernebenen und Formen der Lehrvermittlung 30
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Die Präsenzlehre kann in reinen Frontalunterricht und Workshops unterteilt werden.
Teilnehmer eines Frontalunterrichts verhalten sich in der Regel passiv; das Wissen wird
durch den Dozenten vermittelt. In einem Workshop hingegen wandelt sich die Rolle des
Dozenten vom Wissensvermittler zum Moderator. Zuvor bearbeitete Präsentationen
werden kommentiert, problemorientierte Aufgaben können gemeinsam bearbeitet wer-
den.102
Unbestrittener Vorteil dieser Form der Lehrvermittlung ist die persönliche Betreuung
durch den Lehrenden und die Möglichkeit des direkten, sozialen Austauschs auch zwi-
schen den Kursteilnehmern.103 Werden jedoch zeitliche und örtliche Koordinierungs-
probleme in die Betrachtung einbezogen, stößt die Präsenzlehre schnell an ihre Grenzen.
Insbesondere multinationale Unternehmen haben Probleme, Mitarbeiter aus aller Welt zu
einem gegebenen Zeitpunkt an einem vorgegebenen Ort zu versammeln. Die Kosten
hierfür sind enorm.104 Zudem verliert die Präsenzlehre schnell ihren persönlichen
Charakter, wenn die Teilnehmerzahl eine gewisse Größe übersteigt. Das Eingehen auf
persönliche Fragen und Probleme jedes einzelnen Teilnehmers ist in dem gegebenen
Zeitrahmen nicht mehr zu bewältigen.
Für Ausbildungen im Sinne des Learning-Kontinuums sind Präsenzveranstaltungen
bspw. insbesondere für Administratoren geeignet, deren komplexe, technische Ausbil-
dung die unmittelbare Möglichkeit zu differenziertem Feedback erfordert.105
3.3.2 E-Learning
Die vielschichtigen Diskussionen des Begriffs „E-Learning“ haben bisher zu keiner
einheitlichen Definition geführt.106 Im Rahmen dieser Arbeit wird der Umfang des
E-Learnings in eine weite Definition gefasst.107 Demnach werden unter E-Learning alle
102 Vgl. Sauter, Werner; Sauter, Anette M.; Bender, Harald: Blended Learning – Effiziente Integration
von E-Learning und Präsenztraining, 2. erweiterte und überarbeitet Auflage, Neuwied et al.:
Luchterhand 2004, S. 146.
103 Vgl. Schmidt, Inna: Blended E-Learning – Strategie, Konzeption, Praxis, Saarbrücken: VDM Verlag
2005, S. 16.
104 Vgl. Bauer, Robert; Phillippi, Tillmann: Einstieg ins E-Learning – Die Zukunftschance für
beruflichen und privaten Erfolg, Nürnberg: Bildung und Wissen Verlag 2001, S. 73.
105 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 18.
106 Vgl. Schwickert, Axel C.; Hildmann, Jochen; Voß, Christoph: Blended Learning in der Universität
– Eine Fallstudie zur Vorbereitung und Durchführung, in: Arbeitspapiere WI, Nr. 9/2005, Hrsg.:
Professur BWL – Wirtschaftsinformatik, Justus-Liebig-Universität Gießen 2005, 36 Seiten, ISSN
1613-6667, S. 10 ff.
107 Vgl. Baumgartner, Peter; Häfele, Hartmut; Maier-Häfele, Kornelia: E-Learning Praxishandbuch:
Auswahl von Lernplattformen; Marktübersicht – Funktionen – Fachbegriffe, Innsbruck:
Studienverlag 2002, S. 14.
3 Lernebenen und Formen der Lehrvermittlung 31
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Arten der medienunterstützten Wissensvermittlung verstanden. Hierzu gehört sowohl das
Lernen von CD-Rom mittels Computer Based Trainings (CBT) als auch das netzan-
gebundene Lernen über das Internet anhand von Web Based Trainings (WBT).108 Das
CBT ist die ältere Form des E-Learning. Der Nutzer installiert eine Lernsoftware von
einer zuvor verteilten CD-ROM auf seinem PC. Der Austausch mit anderen Kursteil-
nehmern oder dem Dozenten wird durch ein CBT nicht unterstützt bzw. gefördert, die
asynchrone Kommunikation ist vorherrschendes Merkmal dieser Lernform.109 Kurzfris-
tige Änderungen der Lerninhalte können entweder gar nicht oder nur unter zusätzlichen
Kosten an den Nutzer herangetragen werden. WBTs hingegen garantieren die Aktualität
der online abgerufenen Lerninhalte, ohne zusätzliche Kosten zu verursachen. Zusätzlich
besteht für Kursteilnehmer und deren Dozenten die Möglichkeit zur Online-Kollabora-
tion, bspw. in virtuellen Klassenräumen. Es findet somit eine dezentrale, aber synchrone
Kommunikation statt, ermöglicht durch technische Innovationen.110 Kapitel 4.6 nennt im
Rahmen des Learning Management Systems (LMS) weitere Beispiele.
Beiden Formen liegt das Konzept des selbstgesteuerten Lernens zugrunde, welches im
Vergleich mit der traditionellen Präsenzveranstaltung neue Möglichkeiten des Lernens
eröffnet. Der Nutzer eines WBTs kann selbst entscheiden, wann, wo, wie lange und ggf.
in welcher Reihenfolge er Lerninhalte absolvieren möchte.111 Seitens der Schulungsan-
bieter ist der Einsparungsaspekt durch den Einsatz von E-Learning ein vorherrschendes
Argument. Die Lerninhalte können einem breiten Publikum zugänglich gemacht werden,
ohne zusätzliche Kosten zu verursachen. Im Gegenteil: Während eine Präsenzver-
anstaltung mit jeder zusätzlich angebotenen Einheit zusätzliche Kosten verursacht (Per-
sonalkosten, Raumkosten, etc.), kann ein WBT nach den Initialaufwendungen einem
beliebig breiten Publikum ohne Verursachung zusätzlicher Kosten angeboten werden.
Fazit: E-Learning ermöglicht (mit Hilfe der elektronischen Medien) Wissen und Schu-
lungen einem größeren Publikum schneller, aktueller und kostengünstiger zugänglich zu
machen, als die traditionellen Lehrmethoden.112 Dieser Aspekt ist gerade im Bereich von
Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit relevant, da dieses
108 Vgl. Baumgartner, Peter; Häfele, Hartmut; Maier-Häfele, Kornelia: E-Learning Praxishandbuch:
Auswahl von Lernplattformen; Marktübersicht – Funktionen – Fachbegriffe, a. a. O., S. 14.
109 Vgl. Stickel, Eberhard; Groffmann, Hans-Dieter; Rau, Karls-Heinz: Wirtschaftsinformatiklexikon,
Wiesbaden: Gabler 1997, S. 131.
110 Vgl. Schmidt, Inna: Blended E-Learning – Strategie, Konzeption, Praxis, a. a. O., S. 15.
111 Vgl. Dietrich, Stephan; Fuchs-Brüninghof, Elisabeth, u. a.: Selbstgesteuertes Lernen – Auf dem Weg
zu einer neuen Lernkultur, Online im Internet:
http://www.die-bonn.de/esprid/dokumente/doc-1999/dietrich99_01.pdf, 08.04.2007, S. 15.
112 Vgl. Staub, Timo; Friesendorf, Christoph Isler; Kurian, Matthai; Reimann, Michael: The
International Relations and Security Network’s e-Learning Project, Online im Internet:
http://www.isn.ethz.ch/edu/el_about/_doc/project_description_en.pdf, 12.08.2007, S. 4.
3 Lernebenen und Formen der Lehrvermittlung 32
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Thema jeden Mitarbeiter betrifft. Die Kosten für eine Umsetzung dieser Maßnahme im
Rahmen von reinen Präsenzveranstaltungen würden den erwarteten Nutzen übersteigen.
Darüber hinaus wäre dies unter budget- und koordinierungstechnischen Gesichtspunkten
kaum realisierbar, wie die Ausführungen dieses Kapitels veranschaulicht haben.113
Bei den genannten Vorteilen bleibt jedoch zu beachten, dass der Nutzer eines WBTs den
direkten Kontakt mit anderen Kursteilnehmern und Dozenten durch isoliertes Lernen am
PC einbüßt. Die Freiheit des selbstgesteuerten Lernens erfordert umgekehrt ein ungleich
höheres Maß an Selbstdisziplin.114 Diese Bedenken haben u. a. zum Konzept des
„Blended Learning“ geführt, das Gegenstand des nächsten Abschnitts ist.
3.3.3 Blended Learning
Unter Blended Learning wird die „Kombination von Präsenzlehre mit telemedialen
Lehrangeboten, die eine komplette methodisch-didaktische Neuorganisation der Inhalte,
neue Qualifikationen des Dozenten und einschlägige technologische Grundlagen zur
Voraussetzung hat“115, verstanden. Die Neuerung besteht somit in der Kombination der
Vorteile der Präsenzveranstaltung mit denen des E-Learnings. „Alten Wein in neuen
Schläuchen“ zu verkaufen genügt jedoch dem Anspruch des Blended Learning nicht.
Lerninhalte und deren Vermittlung müssen an die neuen methodischen und didaktischen
Möglichkeiten im Sinne des Wissensmanagements angepasst werden. Wissensmanage-
ment bezeichnet dabei „die Menge der in einem Unternehmen entwickelten Prozesse, um
Wissen zu erzeugen, zu sammeln, zu speichern, weiterzugeben und anzuwenden“116. Zu
diesem Zwecke wird ein allgemeiner Lernprozess etabliert, der drei Phasen vorsieht:117
Vorbereitungsphase
Aneignungsphase
Nachbereitungsphase
Ziel der Vorbereitungsphase ist die Homogenisierung der Vorkenntnisse der Kursteil-
nehmer. Über ein Portal können den Kursteilnehmern vorab Informationen, z. B. in Form
von kurzen WBTs, zur Verfügung gestellt werden. Chaträume bieten die Möglichkeit
113 Vgl. Dittler, U.: E-Learning Einsatzkonzepte und Erfolgsfaktoren des Lernens mit interaktiven
Medien, S. 39.
114 Vgl. Dietrich, Stephan; Fuchs-Brüninghof, Elisabeth, u. a.: Selbstgesteuertes Lernen – Auf dem Weg
zu einer neuen Lernkultur, a. a. O., S. 7.
115 Kleimann, Bernd; Wannmacher, Klaus: E-Learning an deutschen Hochschulen – Von der
Projektentwicklung zur nachhaltigen Implementierung, Hannover: HIS 2004, S. 5.
116 Laudon, Kenneth C.; Laudon, Jane P.; Schoder, Detlef: Wirtschaftsinformatik – Eine Einführung,
München et al.: Pearson Studium 2006, S. 453.
117 Vgl. Schmidt, Inna: Blended E-Learning – Strategie, Konzeption, Praxis, a. a. O., S. 17.
3 Lernebenen und Formen der Lehrvermittlung 33
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
eines ersten Austauschs über die Lerninhalte zwischen den Teilnehmern. Der Dozent
erhält somit erste Anhaltspunkte über den Wissensstand und mögliche Probleme, die der
geplante Lerninhalt verursachen könnte.118
Die Aneignungsphase baut auf die Vorbereitungsphase auf und ist in der Regel als Prä-
senzveranstaltung ausgerichtet. Das Verständnis für die seitens der Teilnehmer vorbe-
reiteten Lerninhalte wird vertieft. Elektronisch schwer darstellbare Sachverhalte ver-
mittelt der Dozent persönlich; Rückfragen durch die Teilnehmer können jederzeit gestellt
werden. Schwerpunktmäßig ist diese Präsenzphase als Workshop auszurichten, in dem
Handlungskompetenzen vermittelt werden. Der persönliche Kontakt dient der Lenkung
und Motivation des Kursteilnehmers.119
In der Nachbereitungsphase werden die behandelten Lerninhalte reflektiert und auf pra-
xisnahe Fälle transferiert. Der Erfahrungsaustausch zwischen den Teilnehmern spielt eine
gewichtige Rolle. Durch die Wiederholung des Lerninhalts, z. B. in Diskussionen von
Online-Foren, wird dieser nachhaltig gefestigt.120
Abb. 9: Der Einsatz von Blended Learning im Rahmen einer Sensibilisierungs-
Kampagne
118 Vgl. Baumbach, Janet; Kornmayer, Evert; Volkmer, Ralf; Winter, Heike: Blended Learning in der
Praxis – Konzepte, Erfahrungen & Überlegungen von Aus- und Weiterbildungsexperten, Dreieich:
Imselbst-Verlag 2004, S. 24.
119 Vgl. Schmidt, Inna: Blended E-Learning – Strategie, Konzeption, Praxis, a. a. O., S. 17.
120 Vgl. Baumbach, Janet; Kornmayer, Evert; Volkmer, Ralf; Winter, Heike: Blended Learning in der
Praxis – Konzepte, Erfahrungen & Überlegungen von Aus- und Weiterbildungsexperten, a. a. O.,
S. 24.
VorbereitungVorbereitung AneignungAneignung NachbereitungNachbereitung
Wirkung
verstärken
WBT,
Gruppen-
diskussion
Wissen
vermitteln
WBT,
Präsenzlehre
Aufmerk-
samkeit
gewinnen
Poster,
Flyer
VorbereitungVorbereitung AneignungAneignung NachbereitungNachbereitung
Wirkung
verstärken
WBT,
Gruppen-
diskussion
Wissen
vermitteln
WBT,
Präsenzlehre
Aufmerk-
samkeit
gewinnen
Poster,
Flyer
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 34
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 9 zeigt die Phasen des allgemeinen Lernprozesses. Dieser kann, wie das Wasserfall-
modell verdeutlicht, beliebig oft wiederholt werden. Ausgestaltet werden die einzelnen
Phasen mit einem systematischen Mix aus traditioneller Präsenzlehre und elektronischen
Elementen. Beispielhaft wurde das Thema der zuvor beschriebenen Sensibilisierungs-
Kampagne aufgegriffen. Der Text in den Blockpfeilen zählt mögliche Medien zur
Erreichung des jeweiligen Phasen-Ziels an. WBTs können einen breiten Teil der
Sensibilisierungs-Kampagne abdecken. Das ergänzende Angebot von Präsenzveranstal-
tungen kann flexibel in der Aneignungsphase oder der Nachbereitungsphase erfolgen.
Äquivalent ist das Blended Learning-Konzept für Schulungen anwendbar. Für
Ausbildungen im Sinne des Learning-Kontinuums können WBTs lediglich eine unter-
stützende Funktion einnehmen, da zur Erlangung eines Zertifikats Tests einer unabhän-
gigen Institution erforderlich sind.
Die Ausführungen dieses Kapitels haben gezeigt, dass WBTs einen zentralen Baustein
zur Vermittlung von Grundwissen in Bezug auf die Stufen „Sensibilisierung“ und
„Schulung“ des Learning-Kontinuums bilden.121 Daher werden im Rahmen dieser Arbeit
WBTs als eine geeignete Methode zur Realisierung von Schulungs- und Sensibili-
sierungsmaßnahmen zur IT-Sicherheit identifiziert. Das folgende Kapitel 4 erläutert die
verschiedenen Aspekte, die zur Konzeption eines WBTs erforderlich sind.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern
4.1 Zur Eignung von Standard-Vorgehensmodellen in komplexen Lernfeldern
Die Erstellung eines WBTs erfordert mehr als die Auswahl eines lernpsychologischen
Ansatzes. Design im Sinne eines ansprechenden visuellen Konzepts und die Ausgewo-
genheit des Medieneinsatzes tragen maßgeblich zum Erfolg eines Lernkonzepts im
Rahmen des E-Learning bei. Hierfür steht ein Set von Bausteinen zur Verfügung, über
die die Abschnitte 4.3, 4.4 und 4.5 einen kurzen Überblick geben. Die dort beschriebenen
Komponenten werden abhängig von den Bedürfnissen und Anforderungen der jeweiligen
Zielgruppe, bzw. des Lernthemas, aufeinander abgestimmt und zu einem adäquaten
Konzept vereint.
121 Vgl. Fox, Dirk: Security Awareness - Oder: Die Wiederentdeckung des Menschen in der
IT-Sicherheit, a. a. O., S. 679.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 35
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 10: Standard-Vorgehensmodell zur Konzeption eines WBT122
Doch wie wirken sich komplexe Lernthemen und die Forderung nach Unternehmens-
unabhängigkeit auf die vorgeschaltete Zielgruppenanalyse und die Systematisierung des
Lernthemas aus? Können diese entscheidenden Vorarbeiten nach Standard-Kriterien oder
einem Standard-Vorgehen abgehandelt werden?
Ausgehend von diesen zentralen Fragen wird in den folgenden Abschnitten zunächst das
in Abb. 10 dargestellte Standard-Vorgehen erläutert. Es folgt die kritische Würdigung
dessen mit einem Vorschlag zur Anpassung des Vorgehensmodells zur Konzeption von
WBTs. Im Ergebnis wird dieses für einfache und komplexe Themenfelder im unter-
nehmensunabhängigen Kontext gleichermaßen geeignet sein. Eine erschöpfende Be-
handlung aller existierenden Strukturelemente eines WBTs ist hingegen nicht beab-
sichtigt, dies würde den Rahmen dieser Arbeit sprengen.
4.2 Konzeptionelle Vorarbeiten
4.2.1 Zielgruppenanalyse
Standardmäßig sieht die Zielgruppenanalyse die Sammlung von Informationen über den
Nutzer in den folgenden Schwerpunkten vor:123
122 Eigene Darstellung in Anlehnung an Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren,
entwickeln, gestalten, München, Wien: Carl Hanser Verlag 2003, S. 106.
123 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und
Planer, 3. vollständig überarbeitete Auflage, Berlin et al.: Springer Verlag 2002, S. 204 f.
Inhalte
Richtziel
Programmstruktur
Lernpsycho-
logischer
Ansatz
Multimediale
Umsetzung
Visuelles
Konzept
Grobziel
Feinziel
Lernthema
Themenfeld 2
Themenfeld 3
Lernmodul
Lerneinheit
Lernschritt
Themenfeld 1
Zielgruppenanalyse: Rahmenbedingungen
• Soziographisches Profil
• Lernort• Medienkompetenz
• Vorkenntnisse • Lernzeit
• Lernsituation
Lernzielhierarchie und Lernmodul
Inhalte
Richtziel
Programmstruktur
Lernpsycho-
logischer
Ansatz
Multimediale
Umsetzung
Visuelles
Konzept
Grobziel
Feinziel
Lernthema
Themenfeld 2
Themenfeld 3
Lernmodul
Lerneinheit
Lernschritt
Themenfeld 1
Zielgruppenanalyse: Rahmenbedingungen
• Soziographisches Profil
• Lernort• Medienkompetenz
• Vorkenntnisse • Lernzeit
• Lernsituation
Lernzielhierarchie und Lernmodul
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 36
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Soziographisches Profil
Medienkompetenz
Angaben zu Lernort, -zeit und -situation
Generelle Motivation
Vorwissen in Bezug auf den Lernstoff
Die Konsequenzen dieser Aspekte für die Konzeption von WBTs sind leicht einsehbar:
Nachweislich haben Alters- und Bildungsstrukturen Einfluss auf die Medienkompetenz
und damit einhergehend auch auf die Motivation, mit WBTs zu lernen.124 Diese spezifi-
schen Umstände finden u. a. im visuellen Konzept Berücksichtigung: Klassisches,
funktionales Design für Altersgruppen ab ca. 25 Jahre; Kreativität und Abwechslung für
die jüngere Lerngruppe. Ein Ausgleich mangelnder Medienkompetenz kann durch er-
weiterte Hilfefunktionen erfolgen.125
Lernort und –zeit schränken ggf. die Aufnahmemöglichkeiten der Lernenden ein. Wird
bspw. am Arbeitsplatz gelernt, sollten die Lerneinheiten möglichst kurz gehalten werden.
Sprechertexte könnten gänzlich entfallen auf Grund mangelnder Ausstattung mit
Audioausgabegeräten. Hilfefunktionen brauchen hingegen nicht verstärkt angeboten
werden, wenn die Lernsituation ein einführendes Präsenzseminar zur Bedienung der
Anwendung vorsieht.126
Die Berücksichtigung von Vorkenntnissen in heterogen ausgebildeten Zielgruppen ist nur
mit speziell programmierten Lösungen umzusetzen, insofern nur ein gemeinsames WBT
für die gesamte Nutzergruppe erstellt werden soll. Durch Anlage eines Eingangstests
kann der aktuelle Wissensstand des Nutzers abgefragt werden. Abhängig vom Test-
ergebnis werden Lernmodule zusammengestellt, die ausschließlich diejenigen Lernin-
halte vermitteln, deren Fragen der Nutzer nicht korrekt beantwortet hat.127
Die Untersuchung der Rahmenbedingungen ist eine effektive Methode zur Sammlung
von Grundlageninformationen für die Konzeption eines WBTs. Losgelöst hiervon sieht
das Standard-Vorgehen die Strukturierung der Lerninhalte in einer Lernzielhierarchie
vor, deren Konstruktion Thema des folgenden Abschnitts ist.
124 Vgl. Statistisches Bundesamt (Hrsg.): Informationstechnologie in Unternehmen und Haushalten
2005, a. a. O., S. 49 f.
125 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 94 f.
126 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 96.
127 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 95.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 37
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
4.2.2 Strukturierung der Lerninhalte in einer Lernzielhierarchie
Lernziele und –inhalte können nicht gelöst voneinander erarbeitet werden; vielmehr
ergänzen und bedingen sich beide Perspektiven, um anschließend bei der Erstellung von
Lernmodulen zusammen geführt zu werden. Das Vorgehen zur Erstellung einer Lern-
zielhierarchie umfasst standardmäßig zwei Schritte:
Sammlung und Strukturierung der Inhalte
Erstellung einer Lernzielhierarchie
Themenfelder können sehr vielseitig sein und durch eine unüberschaubare Masse an
Quellen dargeboten werden. Daher ist es wichtig, die Lerninhalte zunächst auf ihre Eig-
nung zur Lehrvermittlung zu untersuchen, zu sammeln und in einer geeigneten Form zu
strukturieren. Ein Instrument zur Unterstützung dieser Phase ist die Mind Map. Sie fun-
giert als Schnittstelle zwischen Themenstrukturierung und einer ersten Formulierung von
möglichen Lernzielen.128 Abb. 11 zeigt beispielhaft einen Auszug einer Mind Map zum
Thema „Sensibilisierung Mitarbeiter“. Abgehend vom Hauptthema wurden Unterzweige
angelegt, die jeweils ein assoziiertes Unterthema repräsentieren. Nach dem Prinzip der
hierarchischen Dekomposition folgen weitere Unterzweige, die das Thema bis zur
kleinsten Einheit in einer Hierarchie systematisieren. Die Erstellung einer solchen Mind
Map erfolgt idealerweise im Rahmen eines Brainstorming, bei dem ein Teilnehmer für
die simultane Erweiterung der Mind Map verantwortlich ist.
128 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 101.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 38
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 11: Auszug einer Mind Map zum Thema „Sensibilisierung der
Mitarbeiter“
Die Lernzielhierarchie entsteht schließlich Top-Down mit dem Richtziel. Dieses drückt
ein gewünschtes Zielverhalten des Nutzers bezogen auf das allgemeine Lernthema
aus.129 Dieses lässt sich aus der IT-Sicherheitsrichtlinie als dem zentralen Dokument
innerhalb des IT-Sicherheitsmanagements ableiten.130 Im oben eingeführten Beispiel
könnte dies „Sensibilisierung der Mitarbeiter für die IT-Sicherheit“ lauten. Logisch ver-
knüpft mit diesem Beispiel wären u. a. die Einheiten „Korrekter Umgang mit Passwör-
tern“ und „Sicheres Surfen im Internet“. Diese Ziele sind weniger abstrakt, sie befinden
sich in der Mind Map (und damit der Lernzielhierarchie) eine Ebene tiefer und werden
„Grobziele“ genannt. Aus Ihnen können konkrete Lernmodule entwickelt werden. Eine
weitere Aufspaltung in „Feinziele“ erlaubt die Ableitung von umsetzungsnahen Lernein-
heiten. Dies wäre im Kontext des Grobziels „Korrekter Umgang mit Passwörtern“ die
Ableitung der einzelnen Lerneinheiten „Sichere Passwörter bilden“ oder „Passwörter
richtig aufbewahren“. Einzelne Lernschritte erfolgen bspw. durch eine Darstellung
alltäglicher Situationen, in denen Mitarbeiter den Umgang mit Passwörtern lernen
können.
Fazit: Im Standardfall werden Lernmodule ausschließlich aus der Lernzielhierarchie,
genauer aus den Grobzielen, abgeleitet. Die Effektivität dieses Standard-Vorgehens in
129 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und
Planer, a. a. O., S. 28.
130 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 95.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 39
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Kombination mit der eingangs vorgestellten Zielgruppenanalyse wird im folgenden Ab-
schnitt näher untersucht.
4.2.3 Unternehmensunabhängige Zielgruppenanalyse und komplexe
Lernfelder
Die Forderung nach einem Vorgehensmodell, das unternehmensunabhängig einsetzbar
ist, lässt den Sinn einer Zielgruppenanalyse nach Standardkriterien nur bedingt sinnvoll
erscheinen. Informationen etwa über das soziographische Profil können nicht repräsen-
tativ eingeholt werden. Studien über die Nutzung von Internet (bzw. Intranet) am Ar-
beitsplatz liefern zumindest erste Anhaltspunkte für die Medienkompetenz der Ziel-
gruppe. Demnach setzen 84% aller deutschen Unternehmen Computer im Arbeitsablauf
ein, 78% davon nutzen das Internet.131 Im Finanzdienstleistungsbereich setzen sogar
62% das Intranet als Informationsinstrument ein, 37% nutzen diese Medien für webba-
sierte Schulungen.132 Diese Zahlen, Tendenz steigend, verdeutlichen, dass aus Sicht der
Medienkompetenz keine Abstriche in Bezug auf ein WBT-Angebot vorgenommen wer-
den müssen.
Lernort ist annahmegemäß der Arbeitsplatz; Sprechertexte sind somit durch ein paralleles
Textangebot zu ergänzen, um den ggf. fehlenden Audio-Ausgabegeräten vorzubeugen.
Das simultane Angebot von Sprechertext und Textblasen kann jedoch zu einer
Beeinträchtigung des Lernerfolgs führen (Redundanzprinzip).133 Wird der Fließtext nicht
als Ersatz für den Sprechertext benötigt, kann die Redundanz durch das Schließen des
Fensters durch den Nutzer beseitigt werden.
Die Lernzeit ist am Arbeitsplatz ebenso eingeschränkt. Auf eine effektive Modularisie-
rung der Inhalte muss verstärkt geachtet werden.134 „Sensibilisierungs“-Module bspw.
können kurz gehalten werden (maximal 20 Minuten), um die gewünschte Wirkung zu
erzielen. Schulungs-Module hingegen sollten einen Zeitrahmen von etwa 60 Minuten
umfassen.135
131 Vgl. Statistisches Bundesamt (Hrsg.): Informationstechnologie in Unternehmen und Haushalten
2005, a. a. O., S. 28 f.
132 Vgl. Statistisches Bundesamt (Hrsg.): Informationstechnologie in Unternehmen und Haushalten
2005, a. a. O., S. 33.
133 Vgl. Niegemann, Helmut M.: Besonderheiten einer Didaktik des E-Learning, in: Grundlagen der
Berufs- und Erwachsenenbildung, Band 48, eLearning-Didaktik, Hrsg.: Arnold, Rolf; Lermen,
Markus, Baltmannsweiler: Schneider Verlag 2006, S. 70.
134 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und
Planer, a. a. O., S. 227 f.
135 Vgl. Kunz, Thomas: IT-Security – Ausbildung mit einem multimedialen CBT, in: E-Learning –
Einsatzkonzepte und Erfolgsfaktoren des Lernens mit interaktiven Medien, Hrsg.: Dittler, U., 2.
Auflage, München; Wien: Oldenbourg Verlag 2003, S. 43.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 40
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Die spezifische Lernsituation, also inwiefern ein Blended Learning-Konzept genutzt
wird, soll nicht ausschlaggebend für die Konzeption des WBTs sein. Die Lernziele sollen
auch ohne Präsenzveranstaltung erreichbar sein, ergänzende Angebote diesbezüglich
könnten jedoch optional von dem jeweiligen Unternehmen als Verstärkung angeboten
werden. In Zusammenhang mit dem Thema der IT-Sicherheit gilt diese Annahme bspw.
für die Ebenen „Sensibilisierung“ und „Schulung“. Für die tiefergehende Ausbildung sind
Präsenzveranstaltungen unumgänglich, wie bereits in Kapitel 3 dargelegt wurde.
Nach wie vor ist die Berücksichtigung von Vorkenntnissen von Bedeutung. Eine Unter-
forderung für einen Teil der Zielgruppe wirkt demotivierend und kann somit zur Lern-
zielverfehlung führen. Der entsprechende Lösungsansatz für dieses Problem wurde mit
dem Eingangstest und der entsprechenden Auswahl von Lerninhalten bereits aufgezeigt.
Jedoch ist die Zielgruppenanalyse im Falle von komplexen Lernfeldern mit den Stan-
dardkriterien nicht abgeschlossen. Vielmehr muss eine „Bedürfnisanalyse“ durchgeführt
werden, da der Mitarbeiter das Themengebiet nicht richtig einschätzen kann. Die
Vorgesetzten stehen vor der Herausforderung, nur diejenigen Kurse für ihre Mitarbeiter
auszuwählen, die deren spezifischen Tätigkeitsfeldern am förderlichsten sind. Die Lücke
zwischen Soll- und Ist-Qualifikation erfordert die Erarbeitung eines effektiven
Schulungskonzepts, das strikt an den Bedürfnissen der Nutzer ausgerichtet ist.136 Die
Erkenntnisse aus dieser Analyse dienen dazu, die Lernmodule rollengerecht „zuzu-
schneiden“. Die Verzahnung beider Aspekte - Zielgruppe als auch Lernthema - kann
soweit gehen, dass die Mitarbeiter- oder Rollenbedürfnisse schon in die Systematisierung
des Lernthemas anhand einer Mind Map einfließen. In diesem Fall kann eine Mind Map
pro Zielgruppe und Unterthema angefertigt werden. Der Vorteil dieses Vorgehens liegt
in der nahtlosen Verwendung von modularisierten Lerninhalten aus der Mind Map der
„Zielgruppe A“ in die Mind Map der „Zielgruppe B“. Bspw. kann das Thema „Haftung“
sowohl in der Mind Map „Sensibilisierung von Mitarbeitern“ als auch in der Mind Map
„Sensibilisierung von Managern“ verwendet werden. Unter Berücksichtigung der sich
ändernden Bedürfnisse der Zielgruppen im Zeitablauf und von Unternehmen zu
Unternehmen liegt die Erleichterung und Verringerung des Konzipierungsaufwands auf
der Hand.
Die genannten Überlegungen führen zu einem angepassten Vorgehensmodell, das in Abb.
12 gezeigt wird. Die farblichen Markierungen verdeutlichen den Zusammenhang
zwischen Zielgruppenanalyse und Lernzielhierarchie einerseits und der Bildung von
zielgruppengerechten Lernmodulen andererseits.
136 Vgl. Sauter, Annette M.; Sauter, Werner; Bender, Harald: Blended Learning – Effiziente Integration
von E-Learning und Präsenztraining, a. a. O., S. 17.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 41
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 12: Angepasstes Vorgehensmodell für komplexe Lernfelder im
unternehmensunabhängigen Kontext
Die Grundlagen zur Bildung der Programmstruktur (lernpsychologischer Ansatz, visu-
elles Konzept und multimediale Umsetzung) bleiben im angepassten Vorgehensmodell
standardisiert. Die universell kombinierbaren Elemente der einzelnen Dimensionen
werden in den folgenden Abschnitten kurz vorgestellt. Das Learning Management Sys-
tem als mögliche Form der Organisation der WBTs bildet den Abschluss dieses Kapitels.
Lernmodul I
Lerneinheit 2
Lerneinheit 1
Zielgruppen-spezifisches E-Learning im Rahmen von
Schulungs- und Sensibilisierungsmaßnahmen zur
IT-Sicherheit
Zielgruppen-spezifisches E-Learning im Rahmen von
Schulungs- und Sensibilisierungsmaßnahmen zur
IT-Sicherheit
LernzielhierarchieZielgruppe
Rahmenbedingungen
Grobziele
Richtziel
Feinziele
Lernschritt 1
Lernschritt 2
Lernmodul II
Lerneinheit 2
Lerneinheit 1
Lernschritt 1
Lernschritt 2
Lernmodul n
Lerneinheit 2
Lerneinheit 1
Lernschritt 1
Lernschritt 2
Zielgruppengerechte Lernmodule
Programmstruktur
Lernpsycho-
logischer
Ansatz
Multimediale
Umsetzung
Visuelles
Konzept
WBT I
Rollenbedürfnisse
Learning Management System
WBT II WBT n
Lernmodul I
Lerneinheit 2
Lerneinheit 1
Zielgruppen-spezifisches E-Learning im Rahmen von
Schulungs- und Sensibilisierungsmaßnahmen zur
IT-Sicherheit
Zielgruppen-spezifisches E-Learning im Rahmen von
Schulungs- und Sensibilisierungsmaßnahmen zur
IT-Sicherheit
LernzielhierarchieZielgruppe
Rahmenbedingungen
Grobziele
Richtziel
Feinziele
Lernschritt 1
Lernschritt 2
Lernmodul II
Lerneinheit 2
Lerneinheit 1
Lernschritt 1
Lernschritt 2
Lernmodul n
Lerneinheit 2
Lerneinheit 1
Lernschritt 1
Lernschritt 2
Zielgruppengerechte Lernmodule
Programmstruktur
Lernpsycho-
logischer
Ansatz
Multimediale
Umsetzung
Visuelles
Konzept
WBT I
Rollenbedürfnisse
Learning Management System
WBT II WBT n
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 42
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
4.3 Lernpsychologischer Ansatz
4.3.1 Wahl der Lehrstrategie
Die Wahl der Lehrstrategie hängt, wie eingangs bereits erwähnt, in hohem Maße von der
Zielgruppe und den Lerninhalten ab. Liegen diese Informationen erst einmal vor, kann
aus einem gegebenen Set die optimale Strategie gewählt werden. Äquivalent zu dem in
Kapitel 3.3.3 präsentierten Prozess des Blended Learning kann zunächst zwischen drei
Grundphasen der Lehrstrategie unterschieden werden: 137
Vorbereitung
Aneignung und
Nachbereitung
Die Vorbereitungsphase dient der Erläuterung des Kursverlaufs und der Aktivierung der
Vorkenntnisse. Anschließend folgt die strukturierte Vermittlung von Lerninhalten in der
Aneignungsphase. Diese kann durch verschiedene Lehrstrategien ausgestaltet werden, die
im Folgenden kurz charakterisiert werden. Die Nachbereitungsphase dient der Festigung
des zuvor präsentierten Lerninhalts mittels Tests und Feedback, deren Formen im
Abschnitt 4.3.2 behandelt werden.
Zu den Strategien der Aneignungsphase zählen die Ausbildung von
Faktenwissen
intellektuellen Fähigkeiten
Verhaltensweisen und
praktischen Fähigkeiten
Ist das gewünschte Zielverhalten hauptsächlich auf die Vermittlung von Faktenwissen
ausgerichtet, eignet sich u. a. ein tutorielles System zur Führung des Nutzers durch die
einzelnen Lernschritte. Innerhalb dieser Lernschritte kann der Nutzer jedoch frei zwi-
schen den verschiedenen Sequenzen „springen“; es steht ein begrenzt offener Lernweg
zur Verfügung.138
Ziel der Ausbildung von intellektuellen Fähigkeiten ist das Entwickeln einer kontext-
übergreifenden Problemlösungskompetenz. Erreicht wird dies durch praxisnahe Fallbei-
spiele, an die der Nutzer mit gleich ausgerichteten Lernwegen aus verschiedenen Pers-
pektiven (Wissenspräsentation und Test) herangeführt wird. Nach Bearbeitung jeder
137 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und
Planer, a. a. O., S. 33.
138 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 107.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 43
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Teilaufgabe erhält der Nutzer ein differenziertes Feedback und wird somit in die Lage
versetzt, vernetzt zu denken und Probleme konstruktiv zu lösen.139
Ähnlich ist das Vorgehen bei der Ausbildung von Verhaltensweisen. Der Nutzer wird mit
einem Verhalten in einer realen Situation konfrontiert, das entweder richtig oder falsch
ist. Auf eine Demonstration falschen Verhaltens folgt die unmittelbare Richtigstellung.
Ein Abschlusstest kann die jeweiligen Situationen erneut aufgreifen und eine Beurteilung
dieser fordern. Diese Strategie eignet sich besonders zur Sensibilisierung von Nutzern in
Hinblick auf ein gewünschtes Zielverhalten.140
Praktische Fähigkeiten können adäquat über Simulationen oder Mikrowelten trainiert
werden, die dem Nutzer ein unmittelbares Feedback für Interaktionen mit dem Lern-
system liefern. Diese Art der Strategie erreicht den höchsten Komplexitätsgrad und er-
fordert Zeit für die technische Umsetzung.141
Allen Ansätzen ist die Überprüfung des Zielverhaltens durch Tests gemein. Daher werden
im nächsten Abschnitt verschiedene Aufgabentypen erläutert, die sich zur Lerner-
folgskontrolle eignen.
4.3.2 Aufgabenkonstruktion und Lernerfolgskontrolle
Zur Überprüfung des in der Lernzielhierarchie festgelegten Zielverhaltens eignen sich je
nach Lerninhalt bestimmte Aufgaben, nach deren Bearbeitung ein Feedback konstruiert
wird. In ihren Grundformen werden folgende Aufgabentypen unterschieden:142
Ja/Nein-Aufgaben,
Auswahlaufgaben
Markierungsaufgaben
Reihenfolgenaufgaben
Zuordnungsaufgaben und
Textaufgaben
Bei Ja/Nein-Aufgaben kann der Nutzer mit einer 50-prozentigen Wahrscheinlichkeit die
richtige Antwort erraten. Dieser Umstand erfordert das Stellen von komplexeren Fragen,
139 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 108.
140 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 110.
141 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 111.
142 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 145 und Lau, Christoph: eLearning – Lernprozess und Lernfortschrittskontrolle, Hamburg:
Diplomica GmbH 2003, S. 91ff.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 44
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
wie bspw. das Prüfen einer Liste auf Vollständigkeit. Auswahlaufgaben sind in ihrer
Ausgestaltung ähnlich. Der Nutzer muss entweder eine, keine oder mehrere richtige
Antworten ankreuzen. Richtige Lösungen können auch hier ggf. leicht erraten werden,
jedoch besteht die Möglichkeit der Erschwerung des Ratens, indem themenverwandte
Antworten vorgegeben werden, die nicht richtig sind. Positiv hervorzuheben bei beiden
Aufgabentypen ist die leichte Gestaltung von Fragen und Feedback.143
Praktischer orientiert sind Markierungsaufgaben, bei denen der Nutzer gefragte Teile
eines Bildes markiert. Bspw. wird dem Nutzer das Bild einer typischen Bürosituation
vorgelegt, anhand dessen dieser markieren soll, an welchen Stellen Gefährdungen der IT-
Sicherheit versteckt sind. Erleichterungen können gegeben werden, indem die relevanten
Stellen durch das einfache Überfahren mit der Mouse markiert werden (Mouse-Over-
Effekt). Reihenfolgenaufgaben hingegen fordern den Nutzer auf, eine Zahl von
Elementen in einer bestimmten Reihenfolge anzuordnen. Eine Schulung für einen
IT-Sicherheitsmanager könnte diesen bspw. auffordern, die Phasen des Lebenszyk-
lus-Modells richtig anzuordnen. Bei Zuordnungsaufgaben aber handelt es sich um die
generelle Zuordnung von Teilen zu einem vorgefertigten Bild. Bspw. könnten vorgefer-
tigte Textbausteine per Drag&Drop als Beschriftung von Teilen eines Servers angeboten
werden. Feedback wird in den drei Fällen über das Anzeigen der richtigen Lösung oder
durch Anzeigen der richtig markierten/platzierten Elemente gegeben.144
Die Abfrage von komplexem Wissen erfolgt durch Texteingabe-Aufgaben. Dies ist in
Form von Freitext oder Lückentext realisierbar. Beide Formen sind nicht oder nur sehr
schwer durch hohen Programmieraufwand zu kontrollieren – ein Feedback kann nicht
ohne weiteres gegeben werden.145
Daher sollte die Auswahl von Aufgabentypen mit Bedacht geschehen. Nur so wird si-
chergestellt, dass das gewünschte Zielverhalten richtig gefestigt und kontrolliert wird.
4.4 Medienrealisation
Der Einsatz von Multimedia zur Lehrvermittlung beeinflusst entscheidend die Behal-
tensleistung des Lernenden. Durch Adressierung des Sprach- und Bildgedächtnisses in
geschickten Variationen können komplexe Lerninhalte anschaulich dargestellt und ver-
143 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 145 ff.
144 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 148 f.
145 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 151.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 45
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
mittelt werden. So kann die Behaltensleistung von 20 % (alleinige Aufnahme von akus-
tischen Signalen über das Sprachgedächtnis, wie z. B. bei Präsentationen oder Vorle-
sungen) auf beachtliche 90 % (gleichzeitige Adressierung von Sprach- und Bildge-
dächtnis in Verbindung mit direkter Anwendung des Lerninhalts) gesteigert werden.146
Die Verwendung von Multimedia erfolgt daher standardmäßig über die Formen
Text
Grafiken
Ton
Digitalvideo und
Animation.
Der Fantasie sind keine Grenzen gesetzt, insofern jedes eingesetzte Medium zur Ver-
mittlung eines Lerninhalts verwendet wird und nicht zum bloßen Selbstzweck. Andern-
falls würde allein die Konzentrationsfähigkeit des Lernenden auf die Probe gestellt, nicht
aber sein Zielverhalten positiv beeinflusst. Im Folgenden werden die einzelnen Medien
kurz in ihrer Wirkung dargestellt.
Text ist das beständigste Medium zur Verdeutlichung von Zusammenhängen. Er kann
beliebig oft gelesen werden, was jedoch auch seinen größten Nachteil widerspiegelt:
Lesen am Bildschirm ermüdet die Augen. Daher sollte beim Einfügen von Text auf kurze
Textpassagen geringer Zeilenlänge geachtet werden. Abschnitte, Aufzählungen und
Überschriften strukturieren zusätzlich und erleichtern das Lesen.147
Alternativ oder ergänzend zum Text können Grafiken verwendet werden. 81% aller
Informationen werden vom Auge aufgenommen.148 Grafiken bieten dabei eine geeignete
Variante zur Darstellung komplexer Sachverhalte auf einen Blick. Im Kontext von
Sensibilisierungsmaßnahmen kommt ihnen eine hervorgehobene Bedeutung zu: Reali-
tätsnahe Bilder können emotionale Reize verursachen, die Informationen stärker ins
Bewusstsein vordringen lassen als reiner Text. Die Aufmerksamkeit des Lernenden kann
somit auch über einen längeren Zeitraum gehalten werden.149
146 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 187.
147 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 189.
148 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 188.
149 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 190 f.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 46
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Töne können in verschiedener Art und Weise das Sprachgedächtnis ansprechen. Spre-
chertexte eignen sich zur Einführung in verschiedene Kapitel ebenso wie zur abwechs-
lungsreichen Wissensvermittlung. Musik oder eine Geräuschkulisse dienen hingegen der
Erzeugung von authentischen Stimmungen oder Situationen, mit denen sich der Lernende
identifizieren kann. Feedback, bspw. für richtige oder falsche Antworten, wird über
Signale vermittelt. Diese Arten von Tönen können zu einem positiven Lerneffekt
beitragen – aber auch störend für den Lernenden sein. Die Möglichkeit zur Abschaltung
des Tons oder zur Lautstärkenregulierung sollte daher immer vorhanden sein. Wichtige
Sprechertexte sollten schlagwortartig in ihren wichtigsten Aussagen per Fließtext
angeboten werden. Die Möglichkeit zur Wiederholung einer Sprechersequenz ist für den
Lernenden jedoch nur dann sinnvoll, wenn der gesprochene Text angemessen
modularisiert ist. Langes Suchen nach einzelnen Textpassagen verleitet den Lernenden
eher zur Übergehung – und somit zur nur flüchtigen Aufnahme des Mediums „Ton“- als
zum aktiven Lernen.150
Soll ein bestimmtes Verhalten trainiert werden, sind Digitalvideos ein geeignetes Me-
dium. Sie können Demonstrationen des gewünschten Zielverhaltens abspielen und im
Anschluss den Lernenden die Aktionen wiederholen lassen. Ebenso können lebensnahe
Probleme dargestellt werden, zu denen der Lernende (durch Interaktion mit dem Lern-
system) Lösungsvorschläge direkt anwenden kann. Einsatzmöglichkeiten sind in jeder
Art denkbar und variierbar. Die bewegten Bilder gehören jedoch auch den „flüchtigen“
Medien an, so dass die Möglichkeit einer Wiederholung über entsprechende Bedien-
elemente gegeben sein muss.151
Werden diese Elemente im Sinne der Multimedialität miteinander kombiniert, ist eine
Konstruktionsregel sinnvoll: Erst erscheint der Ton, dann das Bild und erst zum Schluss
der Text. So werden Sprachgedächtnis und Bildgedächtnis nacheinander angesprochen,
der Text kann zum Abschluss beliebig oft gelesen werden, um das zuvor Gehörte und
Gesehene zu verinnerlichen.152
4.5 Visuelles Konzept
Die Herausforderung bei der Erarbeitung eines visuellen Konzepts liegt in der Gestaltung
einer intuitiven, funktionalen Benutzeroberfläche, die zugleich ästhetischen und
150 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 192 ff.
151 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 196 ff.
152 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 199 f.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 47
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
lernpsychologischen Ansprüchen genügen soll. Während Navigationskonzepte und
Prinzipien zur Raumaufteilung kognitive Metastrukturen beim Nutzer hinterlassen, die
ihm helfen sich im Lernprogramm zurecht zu finden, dient das grafische Design der
Lenkung der Aufmerksamkeit durch emotionale Reize und somit der Verbesserung der
Behaltensleistung.153
Wie bereits in Abschnitt 3.3 erläutert, basiert ein WBT u. a. auf dem Konzept des
selbstgesteuerten Lernens. Dieses Konzept funktioniert jedoch nur, wenn die Navigati-
onshilfen im WBT den Lernenden maximal beim Management der Lerninhalte
unterstützen.154 Unverzichtbar ist daher das Hauptmenü (eine Art Inhaltsverzeichnis in
typischer Baumstruktur) das zu jedem Zeitpunkt einsehbar ist. Es zeigt dem Lernenden
auf, in welchem Kapitel er sich befindet und welchen Grad sein Lernfortschritt erreicht
hat.
Das Navigieren zwischen den einzelnen Kapiteln kann in verschiedenen Strukturen er-
folgen. Sind wenige oder keine Grundkenntnisse vorhanden, ist eine lineare Navigation
empfehlenswert, die im Sinne des tutoriellen Prinzips eine sequentielle Führung durch
die einzelnen Lerneinheiten unterstützt. Nutzern mit Vorkenntnissen entspricht unter
Umständen eher eine hierarchische Navigation. Sie können von einem zentralen Menü
aus die einzelnen Lerneinheiten in beliebiger Reihenfolge ansteuern und den Lernweg
selbst bestimmen. Vernetzte Navigationsstrukturen verzichten fast gänzlich auf eine
externe Steuerung des Lernweges. Hyperlinks führen den Lernenden an die gewünschten
Stellen im WBT. Diese Art von Strukturierung verlangt allerdings ein gewisses Maß an
Erfahrung von den Nutzern, da immer die Gefahr der Verfehlung des Lernziels besteht,
wenn nicht alle Lerneinheiten im Sinnzusammenhang absolviert wurden.155
Eine übersichtliche und einfache Darstellung der Navigationselemente erhöht die
Transparenz und ermöglicht eine durchgängige Orientierung im WBT zu jeder Zeit.
Realisiert wird dies typischerweise in einem Master-Template, das Kopf- und/oder Fuß-
zeile eines WBTs definiert und farblich vom Gestaltungsbereich abgrenzt.156 Das Auge
wandert nach wahrnehmungspsychologischen Erkenntnissen von der oberen linken Ecke
einer Seite zu deren unteren rechten Ecke. Daher ist es sinnvoll, in die obere linke Ecke
der Kopfzeile ein Logo zu platzieren, wie z. B. das Firmenlogo. Direkt im Anschluss
153 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 226 f.
154 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und
Planer, a. a. O., S. 73.
155 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 203 ff.
156 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und
Planer, a. a. O., S. 67.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 48
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
sollten im Sinne der Orientierung Informationen über das Lernmodul, die Lektion, die
Lerneinheit und den Lernschritt, in denen sich der Lernende derzeit befindet, eingefügt
werden.157
Während die Kopfzeile zur reinen Orientierung gedacht ist, können in der Fußzeile
konkrete Navigationselemente verwendet werden. Das Hauptmenü mit Hyperlinks zu den
einzelnen Lektionen oder Lernschritten ist ebenso wichtig wie ein Glossar, über das
zentrale Begriffe des WBTs angesteuert werden können. Metaphern als verlinkte Grafi-
ken vereinfachen den Gebrauch dieser Hilfen für den Nutzer. Z. B. kann für das An-
steuern eines Glossars ein Buch verwendet werden, das in der Fußzeile jeder Seite stets
an der gleichen Stelle zu finden ist.158 Zur Navigation in Lernsequenzen sind Pfeile
unabdingbar, die den Lernenden von einem Lernschritt zum nächsten führen. Die je-
weiligen Ausgestaltungen können demnach je nach angewandter Lehrstrategie variieren.
Wenig erfahrene Nutzer benötigen u. U. kontextbezogene Hilfesysteme. Die Zahl der
Möglichkeiten scheint unbegrenzt, jedoch sollte unter Raumaufteilungsaspekten beachtet
werden, dass der Lernbereich das dominierende Element darstellt. Aktions- und
Informationsfelder sollten auf maximal drei im sichtbaren Bereich beschränkt werden.
Darüber hinausgehendes Angebot kann bspw. hinter Hyperlinks verborgen werden. Die
Grundregel der „Einfachheit und Effizienz“ gilt hier vorrangig.159
Bei der grafischen Gestaltung ist auf die harmonische Verwendung von Farben, Formen
und Grafiken im Sinne eines Corporate Designs zu achten.160 Für Lernumgebungen hat
sich eine unaufdringliche Schlichtheit bewährt, die die Aufmerksamkeit des Nutzers nicht
vom Lerninhalt ablenkt.161 Durch Verwendung gleicher Schriftformate und Farbge-
bungen nach Standard des jeweiligen Unternehmens kann ein E-Learning-Konzept
nahtlos in die Arbeitsumgebung (z. B. Intranet) integriert werden. Diese soll eine
Lernatmosphäre vermitteln, die der Nutzer als professionell und angenehm empfindet.
Beispiele zum Screendesign werden in Kapitel 6 näher erläutert, das die konkrete prak-
tische Gestaltung von WBTs für einen Finanzdienstleister dokumentiert.
157 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 213 f.
158 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und
Planer, a. a. O., S. 68.
159 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 225 f.
160 Vgl. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der Entscheider und
Planer, a. a. O., S. 65.
161 Vgl. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestalten, a. a. O.,
S. 230.
4 Vorgehen zur Konzeption von WBTs in komplexen Lernfeldern 49
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
4.6 Das Learning Management System als organisatorischer Rahmen
Im vorangegangenen Abschnitt wurde bereits das Thema der Integration von WBTs in
die Arbeitsumgebung angesprochen. Das Wissensmanagement bietet den Rahmen für
organisationales Lernen. Die Speicherung von Wissen ermöglicht die Integration dessen
in Unternehmensprozesse und speziell in die Unternehmenskultur.162 Ein Learning Ma-
nagement System stellt dazu relevante Werkzeuge für die Verwaltung, Bereitstellung,
Nachverfolgung und Bewertung verschiedener Lernformen von Unternehmensmitar-
beitern bereit.163 Konstituierende Merkmale eines LMS werden in der Literatur wie folgt
enumeriert:164
Benutzerverwaltung (Anmeldung mit Verschlüsselung)
Kursverwaltung (Kurse, Verwaltung der Inhalte, Dateiverwaltung)
Rollen- und Rechtevergabe mit differenzierten Rechten
Kommunikationsmethoden (Chat, Foren) und Werkzeuge für das Lernen (White-
board, Notizbuch, Annotationen, Kalender, etc.)
Darstellung der Kursinhalte, Lernobjekte und Medien in einem netzwerkfähigen
Browser
Die Benutzerverwaltung ermöglicht u. a. eine Lernerfolgskontrolle durch eine Historie
der bereits abgeschlossenen Kurse inklusive der erworbenen Punktzahl. Dies ist zum
einen eine effiziente Möglichkeit zur Prüfung der Effektivität des Online-Lehrangebots.
Zum anderen ermöglicht es den Nutzern ihren Leistungsstand einzusehen und dement-
sprechend ihr Lernmanagement auszurichten.
Eine Anmeldung mit Benutzernamen ermöglicht nur diejenigen Kursinhalte anzuzeigen,
die für die jeweilige Person relevant sind. Diese Funktion ist von entscheidender Be-
deutung für das Lernfeld der IT-Sicherheit, wie das folgende Kapitel anschaulich darle-
gen wird.
162 Vgl. Laudon, Kenneth C.; Laudon, Jane P.; Schoder, Detlef: Wirtschaftsinformatik – Eine
Einführung, a. a. O., S. 453.
163 Vgl. Laudon, Kenneth C.; Laudon, Jane P.Schoder, Detlef: Wirtschaftsinformatik – Eine
Einführung, a. a. O., S. 469.
164 Vgl. Schulmeister, R: Lernplattformen für das virtuelle Lernen – Evaluation und Didaktik, 2.
Auflage, München, Wien: Oldenbourg Verlag 2005, S. 10.
5 IT-Sicherheit als komplexes Lernfeld 50
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
5 IT-Sicherheit als komplexes Lernfeld
5.1 Zur Komplexität des Lernfelds „IT-Sicherheit“
Das in Kapitel 4 vorgestellte generelle Vorgehensmodell zur Konzeption von WBTs
behandelt schwerpunktmäßig konzeptionelle Vorarbeiten, die abhängig vom Lernfeld
unterschiedlich umfangreich ausfallen können. Die Zielgruppenanalyse (inklusive rol-
lenspezifischer Bedürfnisanalyse) und die Systematisierung des Lernfelds in verschie-
dene Lernmodule anhand einer Lernzielhierarchie bilden die Kernbestandteile des Vor-
gehensmodells. Diese Komponenten werden in den folgenden Abschnitten spezifisch auf
das Lernfeld der IT-Sicherheit hin entwickelt und konkretisiert. Die Komplexität dieses
Anwendungsfalls zeigt sich in zwei Aspekten: Zum einen sind potentiell alle Mitarbeiter
eines jeden Unternehmens von Schulungs- und Sensibilisierungsmaßnahmen zur IT-
Sicherheit betroffen; die Zielgruppe kann demnach sehr heterogen bezüglich der in
Abschnitt 5.2 vorgestellten Zielgruppen-Kategorie -Analyse ausfallen. Zum anderen
eröffnet das Lernfeld der IT-Sicherheit eine Vielzahl unterschiedlicher Lernmodule, die
nicht für jeden Mitarbeiter gleichermaßen relevant sind. Die spezifischen Rollen der
Mitarbeiter bedingen ein heterogenes Lernbedürfnis.165
Die geforderte Unternehmensunabhängigkeit gebietet ein pragmatisches Vorgehen bei
der Identifizierung von Zielgruppen, sowie bei der Abgrenzung der diesen Zielgruppen
zuzuordnenden Lernmodule. Standards, Richtlinien und Best Practices zur IT-Sicherheit
helfen diese konzeptionellen Vorarbeiten zu harmonisieren. Als Basis für die Untersu-
chungen in diesem Kapitel dienen die folgenden Publikationen:166
ISO/IEC 27001:2005, Information technology – Security techniques – Informa-
tion security management systems – Requirements und ISO/IEC 17799:2005,
Information technology – Security techniques – Code of practice for information
security management
IT-Grundschutz-Kataloge: Stand 2006 des Bundesamts für Sicherheit in der In-
formationstechnik (BSI)
“The Standard of Good Practice for Information Security” des International Secu-
rity Forum (ISF)
“A user’s guide: How to raise Information Security Awareness” der European
Network and Information Security Agency (ENISA)
165 Zur Notwendigkeit der Berücksichtigung von heterogenen Lernbedürfnissen vgl. die Abschnitte
3.2.2 und 4.2.1.
166 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-4:2000, Information
Technology – Guidelines for the management of IT-Security – Part 4: Selection of safeguards,
Online im Internet (kostenpflichtig): www.iso.org, 24.07.2007, S. 16.
5 IT-Sicherheit als komplexes Lernfeld 51
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
ISO/IEC TR 13335-3:1998 – Information technology - Guidelines for the man-
agement of IT Security - Part 3: Techniques for the management of IT Security
und ISO/IEC TR 13335-4:2000, Information technology – Guidelines for the
management of IT-Security – Part 4: Selection of safeguards
National Institute of Standards and Technology (NIST) 800-12, 800-16 und
800-50
Andere wesentliche Richtlinien wie die „Guidelines for the Security of Information
Systems and Networks: Towards a Culture of Security“ der OECD oder die „Control
Objectives for Information and Related Technology“ (COBIT) des IT Governance In-
stitute (ITGI) werden an dieser Stelle nicht näher betrachtet, da sie zwar auch auf die
Notwendigkeit von Schulungs- und Sensibilisierungsmaßnahmen hinweisen, jedoch
keinerlei Hinweise zur praktischen Ausgestaltung liefern.167 Die in diesen Standards,
Richtlinien und Best Practices erwähnten Zielgruppen und Lernmodule werden im Fol-
genden vergleichend gegenübergestellt. Hierzu werden im nächsten Abschnitt generelle
Anforderungen an eine Zielgruppenbildung definiert. Anschließend erfolgt die Untersu-
chung der aufgelisteten Standards in Hinblick auf diese Anforderungen.
5.2 Zielgruppen
5.2.1 Anforderungen an Zielgruppen
Die Aufbauorganisation mit definierten Aufgaben, Stellen, Kompetenzen und Verant-
wortlichkeiten ist unternehmensindividuell verschieden. Aus Effizienzgründen ist es
nicht erstrebenswert, die Schulungs- und Sensibilisierungsmaßnahmen an einzelnen
Stellen oder Aufgaben festzumachen. Vielmehr sollte eine Orientierung an – gemessen
an den Erfordernissen der Schulungs- und Sensibilisierungsmaßnahmen – möglichst
homogenen, gleichartigen Gruppierungen, sog. Rollen, erfolgen. Diese Mitarbeiter-
Rollen können dann wiederum als Zielgruppen der Schulungs- und Sensibilisierungs-
maßnahmen betrachtet werden. Die in diesem Abschnitt zu identifizierenden Zielgruppen
müssen daher zwei Hauptanforderungen erfüllen: Zum einen soll eine möglichst große
Anzahl von Rollen in einem Unternehmen zu den aggregierten Zielgruppen zugeordnet
werden können (Standardisierung der Zielgruppenbildung). Zum anderen sollen diese
jedoch flexibel erweiterbar sein, um sich den speziellen Gegebenheiten eines Un-
ternehmens anpassen zu können. Wird der Wille des betrachteten Unternehmens vor-
ausgesetzt, eine kurz- bis mittelfristige Zertifizierung nach ISO/IEC 27001 anzustreben,
167 Vgl. OECD (Hrsg.): The Promotion of a Culture of Security for Information Systems and Networks
in OECD Countries, Online im Internet: http://www.oecd.org/dataoecd/16/27/ 35884541.pdf,
12.08.2007, S. 9.
5 IT-Sicherheit als komplexes Lernfeld 52
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
sollten die dort geforderten Präliminarien beachtet werden. Die dort genannten Ziel-
gruppen sind im Einzelnen:168
Management
Mitarbeiter
Vertragspartner
Dritte
Zusätzlich erfolgt der Hinweis auf die Notwendigkeit einer rollenspezifischen Anpassung
der Lerninhalte. Die in den folgenden zwei Abschnitten erläuterten Zielgruppen-
einteilungen aus den oben genannten Publikationen behandeln diese Notwendigkeit mit
unterschiedlicher Tiefe, wie ein zusammenfassender Vergleich zeigt. Zur besseren
Übersicht werden die Publikationen nach ihrer Ausrichtung unterteilt. Während ISO/IEC
TR 13335 und die NIST-Standards das Thema der Schulung und Sensibilisierung
hauptsächlich aus IT- und damit einer eher technisch orientierten Perspektive betrachten,
folgen die restlichen Publikationen einem Management-orientierten Ansatz.
5.2.2 IT-orientiertes Rollenverständnis
ISO/IEC TR 13335-3 schlägt gemäß seiner technischen Prägung eine Einteilung der
Zielgruppen in Hinblick auf ihren Bezug zur IT vor:169
Personal verantwortlich für die Entwicklung und das Design von IT-Systemen
Personal verantwortlich für den Betrieb der IT-Systeme
Unternehmensleitung, IT-Projektleiter, Sicherheitsbeauftragte
Personal verantwortlich für die Administration der IT-Sicherheit.
NIST 800-12 gibt zusätzlich den Hinweis, dass zwar alle Mitarbeiter für IT-Sicherheit
verantwortlich sind, sich aber unterschiedliche Verantwortungen und Pflichten aus den
folgenden Rollen ergeben:170
Senior Management
Program/Functional Manager/Application Owner
Computer Security Management
168 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC 17799:2005, Information
Technology – Security techniques – Code of practice for information security management, a. a. O.,
S. 26.
169 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-3 1998, Information
Technology – Guidelines for the management of IT-security – Part 3: Techniques for the
management of IT-Security, Online im Internet (kostenpflichtig): www.iso.org, 24.07.2007 S. 26.
170 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-12,
Online im Internet: http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf, 12.08.2007,
S. 15.
5 IT-Sicherheit als komplexes Lernfeld 53
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Technology Provider
Supporting Organizations
User
Der Standard liefert zu jeder dieser Rollen eine kurze Beschreibung über die Aufgaben
der Mitglieder.171 Die vorgeschlagenen Rollen sollen dem Leser jedoch nur als Hilfestel-
lung bei der Identifizierung von Rollen im eigenen Unternehmen dienen. Nicht jede dieser
Rollen existiert in jedem Unternehmen. Dem Anwender wird daher empfohlen, eine
Anpassung der Rollen an das eigene Unternehmen vorzunehmen.172 Zusammen mit den
Grundschutz-Katalogen des BSI ist NIST 800-16 der einzige Standard, der nicht nur
aggregierte Zielgruppen nennt, sondern gleichzeitig detaillierte Rollenbeschreibungen
anbietet. Er identifiziert 26 Rollen für Schulungs- und Sensibilisierungsmaßnahmen zur
IT-Sicherheit in Unternehmungen, die Tab. 3 auflistet. Diese Differenzierung ist als
Vorschlag des Instituts zu verstehen und beinhaltet nur diejenigen Rollen eines
Unternehmens, die für IT-Sicherheit relevant sind.173 Die Rollenaufteilung spiegelt dabei
das klassische Zentralrechner-Konzept der 1980er Jahre wider;174 die nachfolgende
Tabelle listet diese Rollen auf.
Rolle Beschreibung
1 IT Security Officer/Manager
2 System Owner
3 Information Resources Manager
4 Program Manager
5 Auditor, Internal
6 Network Administrator
7 System Administrator
8 System Designer/Developer
9 Auditor, External
171 Eine ausführliche Rollenbeschreibung befindet sich im Anhang, Tab. 13.
172 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-12,
a. a. O., S. 15.
173 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 46.
174 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-50,
a. a. O., S. 26.
5 IT-Sicherheit als komplexes Lernfeld 54
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Rolle Beschreibung
10 Contracting Officer’s Technical Representative (COTR)
11 Programmer/System Analyst
12 Systems Operations Personal
13 Information Resources Management Official, Senior
14 Chief Information Officer
15 Database Administrator
16 Data Center Manager
17 Certification Reviewer
18 Contracting Officer
19 User
20 Designated Approving Authority (DAA)
21 Technical Support Personnel
22 Records Management Official
23 Source Selection Board Member
24 Freedom of Information Act Official
25 Privacy Act Official
26 Telecommunications Specialist
Tab. 3: Rollen nach NIST 800-16175
Um die anschließende Zuordnung zu Lernmodulen zu vereinfachen, wurden die folgen-
den sechs Funktionen im Umgang mit der IT aus der Aggregation der Rollen herausge-
stellt:176
Verwalten
Erwerb
Aufbau und Entwicklung
175 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 47.
176 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-50,
a. a. O., S. 27 f.
5 IT-Sicherheit als komplexes Lernfeld 55
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Implementierung und Betrieb
Nachprüfung und Evaluierung
Benutzung
Jede der 26 Rollen kann eine oder mehrere dieser Funktionen betreffen. Um zukünftige
Entwicklungen innerhalb der IT in diesem Modell abbilden zu können, existiert in allen
Funktionen der Platzhalter „Weitere“. Entstehen durch neue Entwicklungen in der IT
weitere Funktionen, so können diese an der Stelle des Platzhalters eingefügt werden.
5.2.3 Management-orientiertes Rollenverständnis
Das ISF nimmt in seiner Publikation “The Standard of Good Practice for Information
Security” eine eindeutige Identifizierung von Zielgruppen vor. Hierzu flossen vielseitige
praktische Erfahrungen und internationale Standards in die Ausarbeitung mit ein.177 Die
Identifizierung von Zielgruppen wird im Thema Security Management betrachtet und ist
somit nicht technisch ausgerichtet. Hierbei werden vier Zielgruppen aufgelistet:178
Top Management
Business Manager / User
IT Staff
External Personnel
Die IT-Grundschutz-Kataloge des BSI beschäftigen sich in ihrem 3. Kapitel mit der
Identifizierung von Rollen in Unternehmen. Es werden insgesamt 45 Rollen identifiziert.
Da die Verwendung der Rollenbezeichnungen nicht in jedem Unternehmen einheitlich
ist, wurde zusätzlich eine Rollenbeschreibung veröffentlicht. Jeder Mitarbeiter kann auf
diese Weise (mehr oder weniger eindeutig) einer oder mehreren Rollen zugeordnet
werden.179 Eine Auflistung sämtlicher Rollen inklusive Beschreibung befindet sich im
Anhang in Tab. 14. Da diese Vielzahl an Rollen für die Einführung von zielgrup-
penspezifischen Schulungs- und Sensibilisierungsmaßnahmen auf Grund ihrer
Komplexität ungeeignet scheint, identifiziert Maßnahme 2.312 „Konzeption eines
Schulungs- und Sensibilisierungsprogramms zur IT-Sicherheit“ aggregierte Zielgruppen.
Für die Analyse der Zielgruppen in Unternehmen wird eine enge Orientierung an den
177 Vgl. International Security Forum (Hrsg.): ISF best practices 2004, Online im Internet:
http://www.isfsecuritystandard.com/index_ns.htm, 12.08.2007, S. 8.
178 Vgl. International Security Forum (Hrsg.): ISF best practices, a. a. O., S. 78.
179 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 35.
5 IT-Sicherheit als komplexes Lernfeld 56
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Bedürfnissen und Vorkenntnissen der IT-Benutzer empfohlen. Das BSI listet als
Beispielergebnis einer solchen Analyse folgende Zielgruppen auf:180
Management
Mitarbeiter
Administratoren
Externe Mitarbeiter
Diese Zielgruppen bilden jedoch nur die oberste Aggregationsebene und setzen sich daher
zum Teil aus weiteren Zielgruppen zusammen. So besteht z. B. die Zielgruppe der
Mitarbeiter u. a. aus Mitarbeitern in der Softwareentwicklung und der Personalabteilung.
Da die Kenntnisse zur IT-Sicherheit innerhalb der Untergruppen voneinander abweichen
und abhängig von der jeweiligen Rolle auch die Bedürfnisse unterschiedlich ausgeprägt
sind,181 schlagen die IT-Grundschutz-Kataloge in der Maßnahme 3.45 „Planung von
Schulungsinhalten zur IT-Sicherheit“ die Berücksichtigung weiterer Parameter zur
Ermittlung der relevanten Zielgruppen vor. Entscheidend für die Einteilung der
Mitarbeiter in Zielgruppen sind demnach deren Ausbildungsabschlüsse, die Berufs-
erfahrung, sowie die Aufgabe und die Rolle der Mitarbeiter.182 Auf diese Weise lassen
sich anstatt der zu Beginn ermittelten vier Zielgruppen die folgenden sechs Zielgruppen
identifizieren:183
Vorgesetzte
IT-Sicherheitsmanagement
Datenschutzbeauftragter
Infrastrukturverantwortlicher
Benutzer
Administratoren
Werden die vorherigen Zielgruppen mit den als entscheidend erachteten Zielgruppen
verglichen, so fallen einige Unterschiede auf. Die ehemals eigenständige Zielgruppe
„Externe Mitarbeiter“ verschwindet und geht in der allgemeinen Zielgruppe „Benutzer“
auf. Zusätzlich werden die Rollen „Datenschutzbeauftragter“ und
„IT-Sicherheitsmanagement“ auf Grund Ihrer Bedeutung für die IT-Sicherheit als eigen-
180 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 1747 f.
181 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 1748.
182 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 2127.
183 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 2128.
5 IT-Sicherheit als komplexes Lernfeld 57
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
ständige Zielgruppen identifiziert. Es handelt sich hierbei um keine abschließende Auf-
zählung von Zielgruppen. Die IT-Grundschutz-Kataloge weisen darauf hin, dass in ei-
nigen Unternehmen auch weitere zusätzliche Zielgruppen existieren können. Die Auf-
zählung muss in diesem Fall entsprechend ergänzt werden.184
Die Zielgruppen-Einteilung der ENISA orientiert sich im Wesentlichen an denen des
ISO/IEC 17799 (Geschäftsleitung, IT-Management, Business Management und Mitar-
beiter), vernachlässigt jedoch Dritte oder externe Mitarbeiter gänzlich.185 Positiv hervor-
zuheben sind die praktischen Anhaltspunkte zur Identifikation konkreter Rollen in einem
Unternehmen anhand folgender Fragen:186
Wen soll die Sensibilisierungs-Kampagne erreichen?
Gibt es Gruppen mit identischen oder differierenden Informationsbedürfnissen?
Wie soll einer Gruppe der Inhalt einer Sensibilisierungs-Kampagne vermittelt
werden?
Haben alle Zielgruppen dieselben, bzw. vergleichbare Vorkenntnisse?
Der folgende Abschnitt stellt nun die IT- und Management-orientierten Zielgruppen
vergleichend gegenüber, um eine geeignete Auswahl treffen zu können.
5.2.4 Auswahl relevanter Zielgruppen
Durch die Ausführungen in den vorherigen Abschnitten wird ersichtlich, dass kein ein-
heitliches Verständnis über die Zielgruppen existiert. Die Unterschiede ergeben sich
sowohl aus der Benennung der Zielgruppen, als auch aus deren Anzahl und deren Aus-
gestaltung. Auffällig ist die Tatsache, dass NIST 800-16 keine Zusammenfassung von
einzelnen Rollen zu Zielgruppen vornimmt, sondern in einem zweiten Schritt eine Zu-
ordnung von Lerninhalten zu den jeweiligen Rollen vorsieht. Darüber hinaus ist eine
technische Sicht auf die Zielgruppenanalyse nicht sinnvoll. Die Schulungs- und Sensi-
bilisierungsmaßnahmen werden typischerweise von der Personalabteilung gesteuert und
überwacht. Der geforderte Pragmatismus bei der Zielgruppeneinteilung wird von den
technischen Standards auf Grund ihrer Orientierung an der IT und der damit einherge-
henden Komplexität nicht erfüllt. Die Gegenüberstellung der Zielgruppen in Tab. 4 be-
inhaltet daher nur die Management-orientierten Lösungen.
184 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 2128.
185 Vgl. European Network and Information Security Agency (Hrsg.): A User’s Guide: How to raise
Information Security Awareness 2002, Online im Internet: http://www.cepis.org/files/cepis/docs/
20070323115452_enisa_a_users_guide_how_to_rai.pdf, 12.08.2007, S. 9 f.
186 Vgl. European Network and Information Security Agency (Hrsg.): A User’s Guide: How to raise
Information Security Awareness 2002, a. a. O., S. 23.
5 IT-Sicherheit als komplexes Lernfeld 58
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Zielgruppen ISO/IEC
17799
IT-Grundschutz-
Kataloge
ENISA
Handbuch
ISF Best
Practices
Management X X X X
Mitarbeiter X X X X
Administratoren X X
Dritte X X X
Geschäftsführer X X
IT-
Sicherheitsmanagement
X
Datenschutzbeauftragter X
Tab. 4: Vergleich der identifizierten Zielgruppen
Bei der Betrachtung der Matrix fällt auf, dass die Zielgruppen „Management“ und
„Mitarbeiter“ von allen Standards als relevant angesehen werden. Die Zielgruppe „Ad-
ministratoren“ wird (mit Ausnahme des ISF „Best practices“ und ISO/IEC 17799) als
eigenständige Kategorie benannt, ebenso wie die der „Dritten“187 im weiteren Sinne
(außer ENISA). Zu diesen Zielgruppen lässt sich ein Großteil der Rollen eines Unter-
nehmens zuordnen. Dies ist wichtig, da, wie bereits in Kapitel 2 gezeigt wurde, die
IT-Sicherheit nur dann gewährleistet werden kann, wenn sie von allen Beteiligten glei-
chermaßen respektiert wird.
Im Ergebnis wurden somit die vier Zielgruppen
Management
Mitarbeiter
Administratoren
Dritte
identifiziert, die unternehmensunabhängig verwendet werden und bei Bedarf angepasst
werden können. Für die in diesem Kapitel ermittelten vier Zielgruppen werden im Fol-
genden relevante Lernmodule identifiziert.
187 Die Zielgruppe “Dritte” umfasst externe Mitarbeiter und Vertragspartner.
5 IT-Sicherheit als komplexes Lernfeld 59
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
5.3 Lernmodule
5.3.1 Anforderungen an Lernmodule
Lernmodule dienen vor allem der Zerlegung des komplexen Themas der IT-Sicherheit in
einzelne, überschaubare Lerneinheiten, die in WBTs umgesetzt werden können. Diese
sind an den Bedürfnissen der einzelnen Zielgruppen auszurichten und ermöglichen so die
Versorgung jeder Zielgruppe mit den für sie relevanten Informationen. Daher ergeben
sich als Hauptanforderungen an Lernmodule die Relevanz für die zuvor identifizierten
Zielgruppen sowie deren flexible Anpassungsmöglichkeiten. Wie auch bei der Auswahl
der Zielgruppen sollen mindestens die von ISO/IEC 27001 (bzw. ISO/IEC 17799)
geforderten Lernmodule adressiert werden, um einer potentiellen Zertifizierung zu
genügen. Diese sind im Einzelnen:188
Sicherheitsanforderungen
IT-Compliance und deren Kontrollprozesse
Korrekte Behandlung von informationsverarbeitenden Medien
Die nachfolgenden Abschnitte unterteilen die betrachteten Standards erneut in IT- und
Management-orientierte Publikationen, wobei die Anzahl der betrachteten Publikationen
geringer ausfällt. Dies liegt daran, dass die fehlenden Publikationen keine verwertbaren
Aussagen zu den Inhalten der Schulungs- und Sensibilisierungsmaßnahmen treffen.
5.3.2 IT-orientierte Lernmodule
ISO/IEC TR 13335-3 weist darauf hin, dass jedes Unternehmen ein Schulungsprogramm
entwickeln sollte. Als Themen werden insgesamt fünf Module vorgeschlagen:189
Was ist IT-Sicherheit?
Der IT-Sicherheitsprozess
Schutzmaßnahmen
Rollen und Verantwortungen
IT-Sicherheitsrichtlinie
Weitaus komplexer sind die Inhalte der Lernmodule nach NIST 800-16. Zur Identifizie-
rung möglicher Lernmodule bietet das NIST mehrere Matrizen. In den Spalten werden
188 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC 17799:2005, Information
Technology – Security techniques – Code of practice for information security management, a. a. O.,
S. 26.
189 Vgl. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-3: 1998,
Information Technology – Guidelines for the management of IT-security – Part 3: Techniques for
the management of IT-Security, a. a. O., S. 26.
5 IT-Sicherheit als komplexes Lernfeld 60
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
die im vorangegangenen Abschnitt vorgestellten Rollen zum Lebenszyklus der IT abge-
bildet. Die Zeilen spiegeln die Lerninhalte wieder. Der erste Lerninhalt umfasst Gesetze
und Regularien. Die Planung und Verwaltung von IT-Sicherheitsprogrammen bilden die
zweite Einheit. Abschießend folgt der Lebenszyklus der IT mit den folgenden Subkate-
gorien:190
Initiierung
Entwicklung
Test und Evaluierung
Implementierung
Betrieb
Vernichtung
Die Kombination beider Dimensionen führt zu insgesamt 54 Zellen (siehe Tab. 5). Die
Zeile „Other“ stellt – analog zu Spalte G „Other“ – den bereits erläuterten Platzhalter dar.
Bei Bedarf können weitere sinnvolle Funktionen oder Schulungsgebiete eingesetzt
werden. In der folgenden Abbildung wurden acht Zellen geschwärzt, die keine sinnvollen
Lerninhalte ergeben. Z. B. ist es ineffektiv, einen Mitarbeiter, der mit der Beschaffung
neuer IT beauftragt ist, über Lerneinheit 3.6 „Termination“ und somit über die Ver-
nichtung der IT am Ende des Lebenszyklus zu schulen. Dies wäre sinnvoller für einen
Mitarbeiter, der an der Implementierung und Bedienung von IT beteiligt ist. Für die 46
restlichen Zellen sind Lerneinheiten konzeptionierbar. Die Training-Matrix kann für alle
26 Rollen im Unternehmen definiert werden. An dieser Stelle sind dann nicht mehr die
Rollen nach dem Lebenszyklus der IT maßgeblich, sondern die in Tab. 3 aufgelisteten,
typischen Zielgruppen.191 Eine inhaltliche Beschreibung der einzelnen Lerneinheiten
findet nicht statt. Zu beachten ist, dass es sich bei den vorgestellten Lernmodulen um
reine Schulungsinhalte handelt. Zur Konzeption einer Sensibilisierungs-Kampagne sind
diese daher nicht geeignet.
190 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 9.
191 Beispiele für eine Matrix der Rolle „User“ und der Rolle „Chief Information Officer“ finden sich im
Anhang in Tab. 15, bzw. Tab. 16.
5 IT-Sicherheit als komplexes Lernfeld 61
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Training Matrix Functional Specialties
Training Areas
A
Manage
B
Acquire
C
Design
and
Develop
D
Implement
and
Operate
E
Review
And
Evaluate
F
Use
G
Other
1. Laws and
Regulation
(LaR)
1. LaR
2. Security
Program
2.1 Planning
2.2 Management
3. System Life
Cycle Security
3.1 Initiation
3.2 Development
3.3 Test and
Evaluation
3.4 Implementation
3.5 Operations
3.6 Termination
4. Other
Tab. 5: IT-Security Training Matrix192
5.3.3 Management-orientierte Lernmodule
Im Vergleich zu den Ausführungen des NIST ist die Identifizierung von Lerninhalten und
deren Zuweisung zu Rollen nach Maßnahme 2.134 der IT-Grundschutz-Kataloge weitaus
weniger komplex. In der Maßnahme „Planung von Schulungsinhalten zur IT-Sicherheit“
benennen die IT-Grundschutz-Kataloge die in Tab. 6 aufgeführten 13 Module. Für jedes
dieser Module bietet das BSI eine Auflistung der zu behandelnden Unterthemen.193 So
wird z. B. aufgeführt, dass im Modul 1 Themen wie die „Grundprinzipien der IT-
Sicherheit“ oder wesentliche „Sicherheitsregeln für Mitarbeiter“ behandelt werden
sollen.194
192 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-50,
a. a. O., S. 27.
193 Im Anhang befinden sich drei exemplarische Mind Maps mit den von den IT-Grundschutz-
Katalogen vorgeschlagenen Lerninhalten (Module 1-3).
194 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 2129.
5 IT-Sicherheit als komplexes Lernfeld 62
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Modul Bezeichnung
1 Grundlagen der IT-Sicherheit
2 IT-Sicherheit am Arbeitsplatz
3 Gesetze und Regularien
4 IT-Sicherheitskonzept der Organisation
5 Risikomanagement
6 IT-Sicherheitsmanagement
7 IT-Systeme
8 Operativer Bereich
9 Technische Realisierung von Sicherheitsmaßnahmen
10 Notfallvorsorge/Notfallplanung
11 Neue Entwicklungen im IT-Bereich
12 Betriebswirtschaftliche Seite der IT-Sicherheit
13 Infrastruktur-Sicherheit
Tab. 6: Lernmodule nach IT-Grundschutz-Kataloge195
5.3.4 Auswahl relevanter Lernmodule
Die Training-Matrix des NIST bietet die umfangreichste Einteilung an Lernmodulen,
wohingegen die IT-Grundschutz-Kataloge die Auswahl auf 13 beschränken. Inhaltlich
weisen die Lernmodule des NIST eine technische Prägung durch die Orientierung am
Lebenszyklus der IT auf. Die IT-Grundschutz-Kataloge hingegen heben den Aspekt des
IT-Managements hervor, indem sie bspw. durch das 12. Modul auch betriebswirtschaft-
liche Aspekte der IT-Sicherheit berücksichtigen. Tab. 7 stellt die Ausprägungen der
Lernmodule nach NIST und der IT-Grundschutz-Kataloge in Bezug auf die eingangs
genannten Anforderungen vergleichend gegenüber.
195 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 2127 f.
5 IT-Sicherheit als komplexes Lernfeld 63
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Kriterium NIST IT-Grundschutz-Kataloge
Umfang 46 Module 13 Module
Inhalt IT-orientiert Management-orientiert
Relevant für ausgewählte
Zielgruppen? Nur teilweise Ja
Flexibel anpassbar? Ja Ja
Konform mit ISO/IEC 17799? Ja Ja
Tab. 7: Lernmodule des NIST und der IT-Grundschutz-Kataloge im Vergleich
Der Umfang der Lernmodule nach NIST ist auf den ersten Blick nur schwer ersichtlich.
Die technische Ausrichtung anhand des Lebenszyklus der IT lässt eine Komplexität
entstehen, die für fachfremde Beteiligte nicht intuitiv fassbar ist. Pro Zielgruppe muss
eine gesonderte Matrix betrachtet werden. Somit ist das System des NIST zwar anpas-
sungsfähig, dies jedoch mit erhöhtem Aufwand. Die IT-Grundschutz-Kataloge hingegen
haben an dieser Stelle einen entscheidenden Vorteil: Die Einteilung in 13 Module anhand
einer Matrix, die Zielgruppen und Lernmodule gleichermaßen integriert, ist übersichtlich
und leicht verständlich. Daher eignen sich diese besonders gut für die initiale Einführung
von Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit. Änderungen können
jederzeit ohne großen Aufwand vorgenommen werden. Ein Vergleich der Lernmodule
der IT-Grundschutz-Kataloge mit den Vorgaben der International Organization for
Standardization zeigt, dass sich beide Standards decken, bzw. dass die IT-Grundschutz-
Kataloge noch weitere Vorschläge für Lernmodule aufzeigen. Wird darüber hinaus die
Relevanz der Lernmodule für die zuvor ausgewählten Zielgruppen in die Betrachtung mit
einbezogen, sind die IT-Grundschutz-Kataloge im Vorteil, da Zielgruppen als auch
Lernmodule Management-orientiert sind. Die IT-orientierten Lernmodule des NIST
eignen sich nur teilweise für die identifizierten Zielgruppen. Aus diesen Gründen werden
im Folgenden die Lernmodule der IT-Grundschutz-Kataloge für das weitere Vorgehen
ausgewählt.
Der folgende Abschnitt integriert die bisher gewonnenen Erkenntnisse zur Zielgruppen-
und Lerninhalts-Spezifizierung unter Einbezug des Learning-Kontinuums in ein dreidi-
mensionales Modell.
5 IT-Sicherheit als komplexes Lernfeld 64
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
5.4 Zwischenfazit: Ableitung des „Learning-Cube“
Die oben angeführten Standards haben gezeigt, dass das Thema der IT-Sicherheit ein
komplexes Lernfeld ist, im Zuge dessen einer Vielzahl von heterogenen Zielgruppen breit
gefächerte Lerninhalte vermittelt werden müssen. Nach eingehender Betrachtung wurden
Zielgruppen und Lernmodule identifiziert. Diese zweidimensionale Sicht wird im
Folgenden durch das in Kapitel 3 vorgestellte Learning-Kontinuum erweitert, da zur
sukzessiven Steigerung der IT-Sicherheit durch Implementierung einer IT-Sicherheits-
kultur ein stufenartiges Vorgehen notwendig ist.196 Die Kombination dieser drei Haupt-
perspektiven führt zu einem dreidimensionalen Modell in Form eines Würfels (vgl. Abb.
13), der im Folgenden als „Learning-Cube“ bezeichnet wird. Die Lernmodule wurden
hier aus darstellungstechnischen Gründen auf drei beschränkt.
Jeder Schnittpunkt der drei Dimensionen führt zu kleineren Teilwürfeln, die einzelne
Lernmodule repräsentieren. Hier wird die Kompatibilität des Learning-Cubes zum in
Kapitel 4 vorgestellten angepassten Vorgehensmodell deutlich. Dieses forderte, die Ziel-
gruppenanalyse sowie die Lernziele zur IT-Sicherheit miteinander zu verbinden, um
zielgruppengerechte Lernmodule zu bilden.197 Diese dienen als Basis für die spätere
Konzeption und Abgrenzung von WBTs. Die Lernmodule des Learning-Cubes stellen
solche zielgruppengerechte Lernmodule dar. Daher eignet sich der Learning-Cube
besonders, um unternehmensunabhängig als eine „Auswahlliste“ im Sinne einer visuellen
Checkliste eingesetzt zu werden: Jeder Teilwürfel steht für ein potentielles Lernmodul,
das innerhalb eines WBTs oder auch anderer Instrumente der Wissensvermittlung
umgesetzt werden kann. Die Berücksichtigung von Vorkenntnissen erfolgt durch die
Einteilung der Zielgruppen in Anfänger (A), Fortgeschrittene (F) und Experten (E). Ka-
pitel 4 erläuterte bereits, dass diese Unterschiede z. B. durch Eingangstests zu Beginn
eines WBTs abgefangen werden können.
196 Vgl. zum stufenartigen Vorgehen die Ausführungen des Abschnitts 3.2: Learning-Kontinuum.
197 Vgl. Abb. 12.
5 IT-Sicherheit als komplexes Lernfeld 65
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 13: Der Learning-Cube zum Thema „IT-Sicherheit“
Um dieses Konzept in die Praxis umsetzen zu können, müssen jedoch unternehmensin-
dividuelle Modifikationen vorgenommen werden. In einem ersten Schritt ist mit den
Verantwortlichen zu klären, welche Zielgruppen, bzw. Lernmodule, für das jeweilige
Unternehmen relevant sind. Bspw. kann es vorkommen, dass das Unternehmen keine
externen Mitarbeiter beschäftigt. Nicht benötigte Teilwürfel können somit geschwärzt
werden. Dies ist vergleichbar mit der Darstellung der Lernmodule im NIST 800-16, bei
der ebenfalls leere Felder identifiziert wurden.198
In einem zweiten Schritt muss geprüft werden, welche Lernmodule ggf. durch schon
existierende Schulungen abgedeckt sind. Die verbleibenden Lernmodule repräsentieren
198 Vgl. zum Schwärzen von Feldern die Ausführungen zu Trainings-Matrizen des NIST in Abschnitt
5.3.2.
Gesetze und
Regularien
Zie
lgru
ppen
A
F
E
F
A
E
E
F
A
F
A
E
Grundlagen der
IT-Sicherheit
IT-Sicherheit am
Arbeitsplatz
Lernmodule
Managementebene
Dritte
Mitarbeiterebene
Administratorenebene
Lear
ning
-Kon
tinuu
m
Schulung
Sensibilisierung
Ausbildung
Schulung
Gesetze und
Regularien
Zie
lgru
ppen
A
F
E
F
A
E
E
F
A
F
A
E
Grundlagen der
IT-Sicherheit
IT-Sicherheit am
Arbeitsplatz
Lernmodule
Managementebene
Dritte
Mitarbeiterebene
Administratorenebene
Lear
ning
-Kon
tinuu
m
Schulung
Sensibilisierung
Ausbildung
Schulung
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 66
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
jeweils ein potentiell umzusetzendes WBT. Zur Reduktion der Komplexität kann wei-
terhin entschieden werden, gewisse Lernmodule miteinander zu verbinden. So ist z. B.
die Vereinigung von Sensibilisierungs-Modulen zu den Themen „IT-Sicherheit am Ar-
beitsplatz“ und „Gesetze und Regularien“ denkbar. Das somit entstehende WBT käme
einem Wissenspool gleich, auf den nicht nur „Mitarbeiter“ oder nur das „Management“
zugreifen könnten, sondern beide Zielgruppen simultan. Unterschiedlich angelegte
Lernpfade können dennoch die zielgruppenspezifische Ausgestaltung des E-Learnings
realisieren. Ist bspw. ein Mitarbeiter mit der Fülle des Angebots überfordert, kann für
diesen ein Link angeboten werden, der ihn nur durch die für ihn relevanten Lerninhalte
führt. Ein vielseitig interessierter Mitarbeiter hat gleichzeitig die Möglichkeit, alle an-
gebotenen Lerninhalte anzusehen.
Steht die Anzahl der zu erstellenden WBTs fest, ist in einem letzten Schritt eine
Make-or-Buy-Analyse durchzuführen.199 Der Learning-Cube unterstützt auch diesen
Entscheidungsprozess im Sinne einer Anforderungsanalyse. Die Inhalte der externen
Schulungsangebote können mit den inhaltlichen Anforderungen eines Lernmoduls ver-
glichen werden. Mit der eindeutigen inhaltlichen Beschreibung der Lerninhalte durch
Lernzielhierarchien kann gleichzeitig innerhalb des Unternehmens überprüft werden, ob
ausreichende Kompetenzen zur Erstellung eines eigenen WBTs vorhanden sind und
welche Kosten mit der Erstellung verbunden wären. Hierbei ist zu bedenken, dass nicht
nur das technische Know-How zur Realisierung vorhanden sein muss, es müssen darüber
hinaus auch die nötigen didaktischen und fachlichen Fähigkeiten eingebracht werden.
Eine Entscheidung zu Gunsten einer Eigenproduktion ist demnach gerade in KMU nicht
zu erwarten. Das dargestellte Vorgehensmodell zur Erstellung von WBTs ermöglicht die
Produktion eines standardisierten WBT-Angebots, das günstiger auf dem Markt
angeboten werden kann. Das folgende Kapitel dokumentiert die prototypische Produktion
solch standardisierter WBTs.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit
6.1 Fallbeispiel ABC AG
6.1.1 Das Unternehmen
Die ABC AG wurde 1930 gegründet und ist heute eine der großen privaten Bausparkas-
sen in Deutschland. Ihre Kernkompetenz liegt im kombinierten Angebot von Bauspar-
und Finanzierungsprodukten in Verbindung mit einem eigenen Hausprogramm. Das
199 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 2142.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 67
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Produktportfolio konzentriert sich auf die Bereiche Bauen, Immobilien und Vorsorge. Im
Firmensitz Musterstadt sind über 300 Mitarbeiter tätig; bundesweit beschäftigt die ABC
AG 350 haupt- und nebenberufliche Mitarbeiter im Außendienst.
6.1.2 Auswahl relevanter WBTs für die ABC AG
In einem Kick-Off-Meeting stellten die Verfasser einigen Mitarbeitern aus der DV-Ab-
teilung der ABC AG den in Abschnitt 5.4 abgebildeten Learning-Cube vor. In einer
Präsentation wurden diejenigen Teilwürfel farblich markiert, die jeweils ein potentiell
relevantes WBT für die ABC AG repräsentieren und deren Realisierung im vorgegebenen
Zeitrahmen realistisch umgesetzt werden kann. Diese waren im Einzelnen:
Sensibilisierung für alle Zielgruppen bezüglich der Grundlagen der
IT-Sicherheit
Schulung für Mitarbeiter bezüglich der IT-Sicherheit am Arbeitsplatz
Schulung für das Management bezüglich relevanter Gesetze und Regularien
Gegenstand der WBTs sind demnach die Module 1-3 nach den IT-Grundschutz-Katalo-
gen. Diese behandeln im Wesentlichen grundlegende Verhaltensregeln für Mitarbeiter
und Basiswissen in Bezug auf Gesetze und Regularien für das Management.200 Ziel der
Implementierung von Schulungs- und Sensibilisierungsmaßnahmen zu diesen Themen
bei der ABC AG ist die Schaffung einer IT-Sicherheitskultur. Die Auswahl erfolgte in
diesem Fall ohne die vorherige Erhebung der Ist-IT-Sicherheitskultur.201 Grund für
dieses Vorgehen sind die bereits festgestellten Mängel der ABC AG im Bereich des
IT-Sicherheitsmanagements. Ein zuvor durchgeführter Soll-Ist-Vergleich der nach den
IT-Grundschutz-Katalogen umzusetzenden Maßnahmen (die mit den Vorgaben des
ISO/IEC 27001 kompatibel sind)202 ergab u. a., dass Mitarbeiter bisher nicht für
IT-Sicherheit geschult wurden. Darüber hinaus fehlen wichtige Dokumente wie eine
IT-Sicherheitsrichtlinie oder ein IT-Sicherheitskonzept. Diese sind jedoch aus zwei
Gründen für Schulungs- und Sensibilisierungsmaßnahmen grundlegend. Zum einen als
Instrument zur Implementierung einer IT-Sicherheitskultur, um den Mitarbeitern eine
Orientierungshilfe im Bereich der IT-Sicherheit zu liefern. Zum anderen, um Lernziele
für WBTs ableiten zu können.203 Schließlich ist die IT-Sicherheitsorganisation der ABC
200 Vgl. die Mind Maps zu den Lernmodulen nach den IT-Grundschutz-Katalogen im Anhang in Abb.
18, Abb. 19 und Abb. 20.
201 Normalerweise sollte die Ist-IT-Sicherheitskultur erhoben werden, um die Lernbedürfnisse der
Mitarbeiter zu identifizieren und die Lerninhalte hieran anpassen zu können, vgl. Abschnitt 2.2.1.1.
202 Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Zuordnungstabelle – ISO 27001
sowie ISO 17799 und IT-Grundschutz, Online im Internet: http://www.bsi.de/gshb/deutsch/hilfmi/
Vergleich_ISO17799_GS.pdf, 12.08.2007, S. 1.
203 Vgl. zur Relevanz von IT-Sicherheitsrichtlinien die Abschnitte 2.2.1.2 und 4.2.2.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 68
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
AG noch nicht ausgereift. So fehlt bspw. ein IT-Sicherheitsbeauftragter, an den
Sicherheitsvorfälle gemeldet werden können. Der Fokus muss demnach auf Schulungs-
und Sensibilisierungsmaßnahmen in diesen grundlegenden Bereichen des IT-Sicherheits-
managements liegen. Eine Unterteilung der Zielgruppen in Anfänger, Fortgeschrittene
und Experten erfolgt konsequenterweise nicht. Ist eine Grundlage im Sinne des Learning-
Kontinuums geschaffen, kann das WBT-Angebot um Schulungen zu weitergehenden
Themen der IT-Sicherheit vergrößert werden.
Auf Grund der hohen Bedeutung einer IT-Sicherheitsrichtlinie für den Erfolg von
Schulungs- und Sensibilisierungsmaßnahmen enthält Tab. 17 im Anhang einen mit der
ABC AG abgestimmten Vorschlag für eine solche Organisationsrichtlinie in Anlehnung
an eine Veröffentlichung des BSI. Die folgenden Abschnitte dokumentieren die Kon-
zeption und Produktion der ausgewählten WBTs auf Basis dieser IT-Sicherheits-
richtlinie.204 Der Schwerpunkt liegt hierbei auf der Erläuterung der Lernzielhierarchien,
die zielgruppenspezifisch ausgestaltet sind.
6.2 Konzeption und Umsetzung der WBTs
6.2.1 Ableitung der Lernzielhierarchien
Das angepasste Vorgehensmodell zur Konzeption von WBTs liefert hilfreiche Ansatz-
punkte für die Konzeption von WBTs. Demnach sind zunächst die relevanten Zielgrup-
pen zu identifizieren, aus deren Lernbedürfnissen (bezogen auf die jeweiligen Rollen) die
Lernzielhierarchien abgeleitet werden können. Dieses Vorgehen wurde weitestgehend
mit dem Learning-Cube standardisiert.205 Eine Anpassung der Zielgruppen, die der
Learning-Cube vorsieht, muss im Falle der ABC AG nicht vorgenommen werden, da sich
alle Mitarbeiter den verschiedenen Gruppen zuordnen lassen. Die Lernmodule hingegen
müssen auf Relevanz für die ABC AG untersucht und angepasst werden.206 Zu diesem
Zwecke werden in den folgenden Abschnitten die Lernzielhierarchien getrennt nach allen
Zielgruppen, Mitarbeitern und Management betrachtet und systematisch abgeleitet.
Ausgangspunkt hierfür bildet jeweils der Learning-Cube mit den markierten Teilwürfeln.
Aus den jeweiligen Achsen sind die Zielgruppe, das Lernmodul und die jeweilige Stufe
204 Die ausgewählten Lernmodule aus den IT-Grundschutz-Katalogen (vgl. Abschnitt 5.3.3) sind mit
der zu Grunde liegenden IT-Sicherheitsrichtlinie kompatibel.
205 Unterschiede in der Aufbauorganisation und heterogene Herauforderungen für die IT-Sicherheit in
verschiedenen Branchen bedingen u. a. die Notwendigkeit einer Anpassung des standardisierten
Vorgehensmodells. Vgl. Abschnitt 5.4.
206 Die angegebenen Themen stellen lediglich eine Auswahl dar, die unternehmensspezifisch angepasst
werden müssen. Vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-
Kataloge: Stand 2006, a. a. O., S. 2130.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 69
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
des Learning-Kontinuums ablesbar. Ergebnis sind entsprechend der Forderung aus
Abschnitt 4.2.3 zielgruppen-spezifische Lernzielhierarchien.
6.2.1.1 Lernzielhierarchie für alle Zielgruppen
Zunächst sollen alle Zielgruppen für die IT-Sicherheit sensibilisiert werden (erste Stufe
des Learning-Kontinuums). In Verbindung mit dem ersten Modul der
IT-Grundschutz-Kataloge (siehe Abb. 18 im Anhang) entsteht die Lernzielhierarchie in
Tab. 8.
Sensibilisierung aller Zielgruppen für Grundlagen der IT-Sicherheit Inhalt von WBT 1
Motivation Kapitel 1
Für die Gefährdungen der IT-Sicherheit interessiert sein durch
Fallbeispiele und Statistiken
Grundprinzipien der IT-Sicherheit Kapitel 2
Grundbegriffe der IT-Sicherheit wie „Vertraulichkeit, Verfügbarkeit
und Integrität“ kennen und verstehen
IT-Sicherheitsstrukturen Kapitel 3
Die Bedeutung des flächendeckenden Einsatzes von IT verstehen
Wesentliche Verhaltensregeln und die IT-Sicherheitsrichtlinie kennen
Tab. 8: Lernzielhierarchie 1 „Grundlagen der IT-Sicherheit“
Mit der Sensibilisierung aller Zielgruppen für die IT-Sicherheit soll im Sinne des Lear-
ning-Kontinuums ein einheitliches Begriffsverständnis als Übergang zur Schulung ge-
bildet werden.207 Diese Intention ist auch mit der Ableitung der Lernziele aus der
IT-Sicherheitsrichtlinie erklärbar. Die IT-spezifischen Begriffe in der IT-Sicherheits-
richtlinie (z. B. Vertraulichkeit, Verfügbarkeit und Integrität) müssen zunächst erklärt
werden, damit der Mitarbeiter diese verstehen und - als Konsequenz – analog verant-
wortlich gemacht werden kann.208
Das Thema „Gründe für Angriffe“ wird in diesem Fall nicht in die Lernzielhierarchie
aufgenommen, da die ABC AG laut Aussage der Unternehmensmitarbeiter von
207 Vgl. zu den Zielen der Sensibilisierung Abschnitt 3.2.1.
208 Die Eigenverantwortung der Mitarbeiter ist wesentlicher Bestandteil des Wertesystems einer
IT-Sicherheitskultur. Vgl. Abschnitt 2.1.3.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 70
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
„Wirtschaftsspionage“ oder „Staatlichen Ermittlungen“ nicht betroffen ist. Des Weiteren
wurden die Themen „Wesentliche Regeln für Mitarbeiter“ und „IT-Sicherheitsstrukturen
der Organisation“ zusammengefasst, da diese Lerninhalte erneut in dem WBT „Schulung
Mitarbeiter für IT-Sicherheit am Arbeitsplatz“ aufgenommen werden. Zudem ist, wie
bereits erwähnt, die IT-Sicherheitsorganisation in der ABC AG nicht genügend
ausgereift, um ein komplettes Kapitel in einem WBT hiermit belegen zu können.
Aufbauend auf diesen Grundlagen können Schulungen für die jeweiligen Zielgruppen
konzipiert werden.
6.2.1.2 Lernzielhierarchie für Mitarbeiter
Der Teilwürfel in der Achse „Mitarbeiter, Schulung, Grundlagen der IT-Sicherheit“ führt
unter Verwendung des zweiten Moduls der IT-Grundschutz-Kataloge (siehe Abb. 19 im
Anhang) und einigen Modifikationen zur Lernzielhierarchie in Tab. 9.
Schulung Mitarbeiter für IT-Sicherheit am Arbeitsplatz Inhalt von WBT 2
IT-Sicherheitsrichtlinie Kapitel 1
Den Sinn einer IT-Sicherheitsrichtlinie kennen
Die IT-Sicherheitsrichtlinie und ihre Bestandteile kennen
Sich der eigenen Verantwortung für die IT-Sicherheit und der sich
daraus ergebenden Konsequenzen bewusst sein
Passwörter Kapitel 2
Den Sinn von Passwörtern verstehen
Gute Passwörter bilden können
Passwörter ändern und Arbeitsplatz sperren können
Internet und E-Mail Kapitel 3
Gute und schlechte Internetseiten unterscheiden können
Sich der Gefährdungen im Internet bewusst sein
Sich der Gefährdungen bei der Nutzung von E-Mail bewusst sein und
angemessen reagieren können
Datenschutz und Social Engineering Kapitel 4
Daten richtig behandeln und aufbewahren können
Social Engineering kennen und darauf reagieren können
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 71
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Mobile Sicherheit Kapitel 5
Sich der Gefährdungen in der Öffentlichkeit bewusst sein
Mobile Endgeräte gegen Diebstahl sichern können
Vorfälle melden Kapitel 6
Vorfälle der IT-Sicherheit erkennen können
Wissen, an wen Vorfälle gemeldet werden sollen
Tab. 9: Lernzielhierarchie 2 „IT-Sicherheit am Arbeitsplatz“
Eine Schulung ist nicht nur dadurch gekennzeichnet, dass Gefährdungen der
IT-Sicherheit bewusst gemacht, sondern dass zusätzliche Hintergrundinformationen
vermittelt und geeignete Reaktionen oder Vorsichtsmaßnahmen aufgezeigt werden. Da-
her greift die zweite Lernzielhierarchie „Schulung Mitarbeiter für IT-Sicherheit am Ar-
beitsplatz“ die wesentlichen Verhaltensregeln aus der ersten Lernzielhierarchie auf und
vertieft diese in jeweils separaten Kapiteln. Der Übergang von Sensibilisierung und
Schulung ist hier fließend.
Das BSI verwendet das Konzept des Learning-Kontinuums nicht. Daher ist im zweiten
Modul „IT-Sicherheit am Arbeitsplatz“ ein Thema die „Sensibilisierung von Benutzern“.
In dieser Arbeit werden Sensibilisierung und Schulung jedoch getrennt behandelt. So
wurde das Grobziel „Sensibilisierung von Nutzern“ in eine Sensibilisierungs-Kampagane
ausgelagert.209 Dies ermöglicht die Realisierung des in Abschnitt 3.3.3 beschriebenen
Blended Learning-Konzepts. Demnach soll in der Vorbereitungsphase das Interesse der
Mitarbeiter durch Poster und Flyer geweckt werden210. In der Aneignungsphase erfolgt
die Vermittlung der Lerninhalte der Schulung durch ein WBT, das auf der konkreten
Lernzielhierarchie basiert. Die Nachbereitungsphase kann durch einen Abschlusstest oder
Gruppendiskussionen (bspw. in Online-Foren211) ausgestaltet werden. Dieses Beispiel
verdeutlicht den vorbereitenden Charakter der Sensibilisierung, auf der die Schulung im
Learning-Kontinuum aufbaut.212 Zur besseren Übersicht - auch in Hinblick auf die
Sensibilisierungs-Kampagne - wurden sechs Grobziele identifiziert, unter denen die
Themen aus dem zweiten Modul des BSI aufgeteilt werden. Die Themen „IT-Sicher-
209 Die praktische Ausgestaltung der Sensibilisierungs-Kampagne wird in Abschnitt 6.2.4 erläutert.
210 Vgl. zur Gewinnung von Aufmerksamkeit auch die Phasen der Sensibilisierungs-Kampagne in
Abschnitt 3.2.1.
211 Zu den Möglichkeiten der Online-Kollaboration vgl. auch die Ausführungen zum LMS in Abschnitt
4.6.
212 Vgl. die Ausführungen zum Learning-Kontinuum in Kapitel 3.2.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 72
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
heitsrichtlinie“ und „Vorfälle melden“213 erhalten jeweils ein eigenes Kapitel, da diese
Maßnahmen gänzlich neue Strukturen für die ABC AG darstellen und somit einer
gesonderten Darstellung bedürfen.
Das Thema „Rechtliche Aspekte“ geht nur teilweise in dem Grobziel „Die IT-Sicher-
heitsrichtlinie verstehen“ auf, indem das Feinziel „Die eigene Verantwortung für die
IT-Sicherheit und die sich daraus ergebenden Konsequenzen kennen“ aufgenommen
wurde. Interessierte Mitarbeiter, die mehr über Gesetze und Regularien im Bereich der
IT-Sicherheit erfahren möchten, können das WBT für das Management absolvieren.
Hierzu sind sie aber nicht verpflichtet.
6.2.1.3 Lernzielhierarchie für das Management
Die Lernzielhierarchie zur Schulung des Managements orientiert sich originalgetreu an
den Vorgaben der IT-Grundschutz-Kataloge (vgl. Abb. 20). Die in Tab. 10 dargestellte
Lernzielhierarchie enthält daher nur Beispiele aus den vorgeschlagenen Themen.
Schulung Management für Gesetze und Regularien Inhalt von WBT 3
Datenschutz im Unternehmen Kapitel 1
Details aus dem Bundesdatenschutzgesetz (BDSG) kennen
Wirtschaftsrecht Kapitel 2
Lizenz- und Urheberrechte bei Software kennen
Folgen bei Verstößen gegen die IT-Sicherheit Kapitel 3
Haftungsverhältnisse kennen
Umsetzung von IT-Sicherheitsmaßnahmen Kapitel 4
Strafrechtliche Konsequenz rechtswidriger Überwachung kennen
Viren Kapitel 5
Haftungsverhältnisse in Bezug auf Viren kennen
Hacker Kapitel 6
Definition und strafrechtliche Verfolgung von Hackern kennen
Tab. 10: Lernzielhierarchie 3 „Gesetze und Regularien“
213 Die Kommunikation von Sicherheitsvorfällen ist wesentlicher Bestandteil des Wertesystems einer
IT-Sicherheitskultur. Vgl Abschnitt 2.1.3.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 73
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
6.2.2 Lernpsychologischer Ansatz
Schulungs- und Sensibilisierungsmaßnahmen haben prinzipiell zwei Ziele. Zum einen
vermitteln sie dem Lernenden das Faktenwissen zur Erzeugung eines grundlegenden
Verständnisses für Themengebiete der IT-Sicherheit. Zum anderen wird auf das Ver-
halten des Mitarbeiters im Sinne der IT-Sicherheitsrichtlinie Einfluss genommen.214
Zur Ausbildung von Faktenwissen ist das tutorielle System geeignet.215 Bevor der
Lernende das WBT startet, meldet er sich mit seinem persönlichen Benutzernamen und
Passwort an. Bei erstmaliger Anmeldung wählt er ein Profil (=Zielgruppe), das seiner
jeweiligen Rolle entspricht. Hierzu erscheint ein einfaches Auswahlfenster, das in Abb.
14 dargestellt ist. Zu den vier Standard-Zielgruppen wurde ein weiteres Profil angelegt,
das alle zur Verfügung stehenden Lernmodule zum Thema IT-Sicherheit enthält.
Abb. 14: Zielgruppen-spezifisches E-Learning durch Profile
Interessierte Lernende haben so die Möglichkeit, auch über ihre Rolle hinaus wertvolles
Wissen aufzubauen. Nach Wahl eines Profils werden nur diejenigen Lerninhalte zu-
sammengestellt, die der Mitarbeiter für seine Rolle benötigt. Dies ermöglicht die indivi-
duelle Anlage eines festen Lernwegs. Die Navigationsleiste auf der linken Seite des
Bildschirms zeigt eine Übersicht der selektierten WBTs. Jedes WBT steht für ein Richt-
ziel, das in der jeweiligen Lernzielhierarchie definiert wurde. Unter diesen befinden sich
gemäß einer Baumstruktur einzelne Kapitel, die analog zu den Grobzielen angelegt sind.
214 Vgl. Abschnitt 2.1.3 in Bezug auf die Beeinflussungsmöglichkeiten des Mitarbeiters.
215 Vgl. Abschnitt 4.3.1 zu den verschiedenen Lehrstrategien.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 74
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Die unterste Hierarchie bilden die konkreten Lerninhalte. Einzelne Lernsequenzen
vermitteln dem Lernenden die Feinziele. Zwischen diesen kann durch Links in der
Kursstruktur beliebig gewechselt werden.
Die Lernsequenzen entsprechen weitestgehend einem einheitlichen Muster. Der Einstieg
über Fallstudien oder praktische Beispiele stimmt den Lernenden auf die Lernsequenzen
ein. Im Anschluss hieran folgen Erklärungen über den Sinn von verschiedenen
Maßnahmen und Definitionen zum Thema. Ein Abschlusstest dient der Festigung und
Überprüfung des Gelernten.216
Jedoch stößt das tutorielle System an seine Grenzen, wenn über die Wissensvermittlung
hinaus auch Verhaltensweisen geändert werden sollen. Abschnitt 2.1.3 legt dar, dass
Verhaltensweisen über Emotionalisierung, z. B. durch Identifizierung, beeinflusst werden
können.217 Eine reine Wissensvermittlung nach dem tutoriellen Prinzip kann dies nicht
leisten. Aus diesem Grunde bilden Videos von authentischen Situationen in den
Büroräumen der ABC AG einen integralen Bestandteil der WBTs. Die Verwendung der
gewohnten Umgebung des Lernenden ermöglicht eine schnelle Identifizierung. Die Prä-
sentation von falschen Verhaltensweisen fordert den Lernenden zum kritischen Hinter-
fragen bestimmter Verhaltensmuster auf.218 Im Anschluss an das Video erfolgt die
Richtigstellung und somit der Lerneffekt.219
Das Erreichen der in den Hierarchien definierten Ziele testet ein großer Abschlusstest am
Ende eines jeden WBTs. Hierfür wurden lediglich Ja/Nein- und Mehrfach-Antworten als
Aufgabentypen ausgewählt, um das Feedback so einfach wie möglich zu gestalten.220
Zum Bestehen des Abschlusstests müssen mindestens 50 Prozent der Fragen richtig
beantwortet werden.
Zusammenfassend besteht die gewählte Lehrstrategie aus dem tutoriellen System ge-
mischt mit multimedialen Elementen zur Beeinflussung von Verhaltensweisen. Der
Lernende hat gemäß dem Prinzip des selbstgesteuerten Lernens221 die Freiheit, nur für
ihn relevante WBTs zu absolvieren, oder alternativ zusätzliches Wissen aufzubauen.
Darüber hinaus steht dem Lernenden zur Verfolgung seiner Interessen das Verlassen des
216 Vgl. die Unterteilung in die Phasen „Vorbereitung“, „Aneignung“ und „Nachbereitung“ in Abschnitt
4.3.1.
217 Vgl. die Ausführungen zur IT-Sicherheitskultur und den in diesem Zusammenhang angeführten
sachlichen Verschließen gegenüber Sicherheitsstandards in Abschnitt 2.1.3.
218 Eine fragende Grundhaltung ist wesentlicher Bestandteil des Wertesystems einer
IT-Sicherheitskultur. Vgl. Abschnitt 2.1.3.
219 Vgl. zur Ausbildung von Verhaltensweisen Abschnitt 4.3.1
220 Zu den verschiedenen Aufgabentypen und der damit verbundenen Problematik der Konstruktion von
Feedback vgl. Abschnitt 4.3.2.
221 Vgl. zum selbstgesteuerten Lernen Abschnitt 3.3.2.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 75
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Lernwegs nach Wahl eines Profils jederzeit offen. Insbesondere im Zusammenhang mit
sensibilisierenden Lerninhalten ist es nicht sinnvoll, den Lernenden auf einen Lernpfad
zu „zwingen“. Ziel der Schulungs- und Sensibilisierungsmaßnahmen ist es dennoch, ein
sichtbares Ergebnis zu erzielen. Nach erfolgreicher Absolvierung des Abschlusstests ist
der Lernende berechtigt, ein Zertifikat über die erbrachte Leistung auszudrucken. Bei
maximaler Freiheit in Bezug auf den Lernweg muss das WBT also auch sicherstellen,
dass der Lernende keine Lerninhalte überspringt. Der folgende Abschnitt beschreibt,
inwiefern die Funktionalitäten des WBTs den Lernenden beim Management der
Lerninhalte unterstützen.
6.2.3 Visuelles Konzept
Die Bildschirmfläche des WBTs ist in mehrere Frames unterteilt, die verschiedene
Funktionen erfüllen. Abb. 15 grenzt drei Hauptbereiche voneinander ab. Der linke Frame
beinhaltet die Kursstruktur, die, wie bereits erwähnt, in verschiedene Kapitel und
Lernsequenzen aufklappbar ist. Der Lernende kann zu jedem Zeitpunkt die noch vor ihm
liegenden Lerneinheiten einsehen und zwischen diesen wechseln. Gewährte Freiheiten
beim Absolvieren des WBTs bergen jedoch die Gefahr des unstrukturierten Lernens in
sich. Um dies zu verhindern, markiert eine grüne Kugel vor dem jeweiligen Titel die
bereits absolvierten Seiten. Nicht absolvierte Seiten sind blau markiert (siehe Abb. 15).
Die farbliche Gestaltung stellt sicher, dass keine Lerninhalte übersehen werden.222
Abb. 15: Visuelles Konzept der realisierten WBTs
222 Vgl. zu der Notwendigkeit der Unterstützung des selbstgesteuerten Lernens Abschnitt 4.5.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 76
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Die Kursstruktur kann zur Vergrößerung des Lernbereichs durch einen Klick auf das
Buch versteckt werden.223 Der Lernstand inklusive der Ergebnisse von bereits ab-
solvierten Tests ist weiterhin über den Link „Lernstatus“ in der Menüleiste im rechten
oberen Frame einsehbar. Für Lernprogramme im Unternehmen sind diese Funktionen
entscheidend, da der Lernende am Arbeitsplatz während der Absolvierung des WBTs
unterbrochen werden könnte. Will er zu einem späteren Zeitpunkt an der gleichen Stelle
fortfahren, so meldet er sich unter seinem Benutzernamen an und wird automatisch an die
zuletzt angesehene Seite weitergeleitet.224 Ist eine Stelle besonders relevant, kann ein
Lesezeichen durch einen Klick in der Menüleiste auf den entsprechenden Link gesetzt
werden. Zusätzlich bietet die Menüleiste eine Druckfunktion, über die wesentliche Seiten
ausgedruckt werden können. Auf diesem Wege hat jeder Lernende die Möglichkeit zur
Zusammenstellung einer individuellen Lernmappe. Hilfreich hierfür ist auch das
Lexikon, welches über den Reiter unter dem Buch zugänglich ist. Es enthält relevante
Begriffe und deren Erklärung zum Thema IT-Sicherheit.
Möchte der Lernende trotz der angebotenen Möglichkeiten die einzelnen Lerneinheiten
streng sequentiell absolvieren, kann er mit den Pfeilen in der Menüleiste von einer Seite
zur nächsten wechseln. Darüber hinaus hat er unter dem Link „Optionen“ die Wahl, nur
diejenigen Seiten in der Kursstruktur zu selektieren, die für den Abschlusstest relevant
sind. Weiterhin kann unter „Optionen“ das Profil gewechselt werden, insofern der Ler-
nende seine Rolle wechselt oder aus Interesse alle WBTs zum Thema „IT-Sicherheit“
ansehen möchte.
Abschnitt 4.2.1 verweist auf die Problematik heterogener Vorkenntnisse in Bezug auf das
Lernen mit WBTs. Auch wenn die Menüleiste eine kleine Hilfe für die Funktionen des
WBTs bietet, wurde zusätzlich ein umfassendes Digitalvideo angefertigt. Dieses kann vor
Lernbeginn angesehen werden und soll optimale Voraussetzungen für das Lernen mit
dem WBT schaffen. Ein weiterer wichtiger Motivator für das Lernen am PC ist das
Design des WBTs an sich. Eine Anpassung an das Corporate Design der ABC AG ist
unumgänglich. Zwar kann durch die komplexe Struktur der Frames ein Masterdesign
nicht ohne Probleme definiert werden. Jedoch kann durch die Eigenschaften des Kurses
ein Hintergrundbild festgelegt werden, das auf jeder Seite des WBTs erscheint.
223 Abschnitt 4.5 verwies bereits auf die Notwendigkeit, dass die Bildschirmfläche nicht mit
Funktionalitäten überladen werden sollte. Die Möglichkeit zum Verstecken der Kursstruktur ist
somit sehr hilfreich.
224 Vgl. hierzu auch die Ausführungen zum Lernort in Abschnitt 4.2.1.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 77
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Im Falle der ABC AG wurde ein roter Balken mit Logo eingefügt. Auf dem roten Balken
ist der Titel der jeweiligen Lernsequenz eingetragen, so dass der Lernende eine zu-
sätzliche Orientierungshilfe vorfindet. Das Aussehen eine Seite für die ABC AG ist in
der folgenden Abb. 16 dargestellt.
Abb. 16: Corporate Design der ABC AG im WBT
Die Verwendung des Corporate Designs aus den Mitarbeitern bekannten Unternehmens-
Präsentationen schafft einen positiven Wiedererkennungseffekt und eine professionelle
Lernatmosphäre. Die multimediale Umsetzung der einzelnen WBTs unterstützt diesen
Effekt zusätzlich. Die hierfür verwendeten Grundkonzeptionen stellt der folgende
Abschnitt dar.
6.2.4 Medienrealisation
Die prototypisch produzierten WBTs enthalten die in Abschnitt 4.4 beschriebenen Ele-
mente zur Umsetzung einer multimedialen Lernumgebung.
Abb. 16 zeigt beispielhaft die Verwendung von Grafik und Text. Der Bildschirm ist
hierfür in zwei Seiten unterteilt. Auf der linken Hälfte befindet sich eine oder mehrere
Grafiken, auf der Rechten der erklärende Text. Die Textfelder sind auf eine bestimmte
Zeilenlänge eingestellt, die das Lesen am Bildschirm erleichtert. Ab einer bestimmten
Zeilenlänge würde der Text schwer lesbar und das Lernen am PC anstrengend. Daher
konzentrieren sich die aufgelisteten Bullets nur auf die wichtigsten Sachverhalte.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 78
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Eine reine Auflistung von Regeln und Verboten würde jedoch wahrscheinlich nicht den
gewünschten Lernerfolg erzeugen.225 Aus diesem Grunde wurden jegliche Texte aus den
WBTs vertont. Ein Sprecher führt im Sinne des tutoriellen Systems durch die einzelnen
Lernsequenzen. Dabei werden nicht nur die aufgeführten Bullets auf dem Bildschirm
vorgelesen, sondern auch weitere Hintergrundinformationen gegeben, die die Auflistung
lebendiger erscheinen lassen. Hat der Lernende an seinem Arbeitsplatz keine Gelegenheit
die Tonsequenzen anzuhören, kann er über die Optionen Zusatztexte anzeigen lassen, die
den Text des Sprechers enthalten.226 Die integrierte Zeitsteuerung im Autorentool
ermöglicht die strukturierte, zeitlich versetzte Einblendung von verschiedenen Texten
und den korrespondierenden Grafiken. Auf diese Weise wird die Aufmerksamkeit des
Lernenden immer auf genau einen Sachverhalt gelenkt. Hierbei wurde weitestgehend auf
die Reihenfolge „Ton, Grafik, Text“ bei der zeitlich verrückten Einblendung von Medien
im WBT geachtet.227 Würden alle Medien zur gleichen Zeit erscheinen, würde die
Aufmerksamkeit des Lernenden ggf. auf einer Grafik verweilen. Zum Schluss soll jedoch
die Information aus dem Medium „Text“ im Gedächtnis verankert bleiben. Die Bilder
dienen lediglich der leichteren Aufnahme der Informationen. Der Hamster als
Maskottchen der ABC AG bspw. wird nur eingesetzt, insofern positive Verhaltensweisen
oder –regeln aufgezählt werden. Typische Fehler hingegen werden von verschiedenen
Grafiken begleitet, die die Fehler illustrieren.
Parallel zu dieser Variante der multimedialen Umsetzung von Lerninhalten, die das tu-
torielle System widerspiegelt, werden Digitalvideos angeboten. Diese setzen die Lehr-
strategie zur Vermittlung von Verhaltensweisen um. Die Digitalvideos spielen, wie be-
reits erwähnt, Situationen aus dem Arbeitsalltag nach, in denen typische Fehler enthalten
sind. Im Anschluss erfolgt die Richtigstellung über die Wissensvermittlung mittels des
tutoriellen Systems.
Eine besondere Bedeutung ist dem Digitalvideo im Kapitel „IT-Sicherheitsrichtlinie“
beizumessen. In diesem hält der Vorstand der ABC AG eine Rede zur Bedeutung der IT-
Sicherheit und kündigt die neue IT-Sicherheitsrichtlinie in Verbindung mit dem
Schulungsprogramm im Intranet an. Das Video wird im Rahmen der Schulung für Mit-
arbeiter eingesetzt und spiegelt die Unterstützung des Managements für die dort ein-
gebettete Sensibilisierungs-Kampagne wider.228
225 Vgl. die Ausführungen zum „sachlichen Verschließen“ gegenüber Sicherheitsstandards in Abschnitt
2.1.3.
226 Vgl. die spezifischen Umstände in Bezug auf den Lernort in Abschnitt 4.2.1.
227 Vgl. Abschnitt 4.4 zur Konstruktionsregel von multimedialen Inhalten.
228 Die Vorbildfunktion und Unterstützung des Managements sind kritische Erfolgsfaktoren für die
Sensibilisierungs-Kampagne. Vgl. hierzu Abschnitt 2.2.1.2.
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 79
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Die Rede kann auch in Form einer offenen E-Mail zur Einführung der Sensibilisierungs-
Kampagne als „Schreiben des Vorstands“ an alle Mitarbeiter versendet werden. Gemäß
den in Abschnitt 3.2.1 vorgestellten Phasen einer Sensibilisierungs-Kampagne sind
Poster und Flyer integraler Bestandteil einer umfassenden Sensibilisierungsmaßnahme.
Die multimediale Umsetzung geht somit über den Rahmen der WBTs hinaus. Abb. 17
illustriert einen Ausschnitt aus einem Poster im Corporate Design der ABC AG, welches
das Interesse der Mitarbeiter für das Thema der IT-Sicherheit wecken und gleichzeitig
auf die WBT-Serie im Intranet aufmerksam machen soll. Der Hamster erscheint hier in
einer vergleichbaren positiven Funktion wie in den WBTs und sorgt für einen positiven
Wiedererkennungseffekt bereits im Vorfeld der WBT-Absolvierung. Der Slogan „Mach
mit! – Aber SICHER!“ erscheint auf allen Medien in Verbindung mit der
Sensibilisierungs-Kampagne.
Abb. 17: Poster einer Sensibilisierungs-Kampagne für die ABC AG
6 Prototypische Konzeption von WBTs zur IT-Sicherheit 80
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Poster als auch Flyer229 adressieren die sechs Grobziele der Lernzielhierarchie in Tab. 9,
so dass die Lernenden bei Absolvierung des WBTs auf bereits bekannte Strukturen treffen
und diese vertiefen können. Die so ermöglichte Modularisierung der Sensibilisierungs-
Kampagne über mehrere Wochen verstärkt den Lerneffekt.230 Der Mitarbeiter kann die
Absolvierung der Kapitel zeitlich analog zur Veröffentlichung der jeweiligen Poster
strecken, was die Konzentration auf ein Thema und somit die Behaltensleistung fördert.
Fazit: Bei der Planung von Maßnahmen zum Aufbau einer IT-Sicherheitskultur müssen
alle kritischen Erfolgsfaktoren berücksichtigt werden. Die multimediale Umsetzung der
Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit geht demnach über die
Grenzen des WBTs hinaus. Mit einer IT-Sicherheitsrichtlinie als Basis, einer zielgruppen-
spezifischen WBT-Serie gemäß dem Learning-Cube, einer Sensibilisierungs-Kampagne
nach den Regeln der Unternehmenskommunikation und der Unterstützung des Manage-
ments verfügt die ABC AG über alle Voraussetzungen für den erfolgreichen Start in eine
neue IT-Sicherheitskultur.
6.2.5 Technische Realisation
Die technische Umsetzung der WBTs erfolgte hauptsächlich mit dem Autorenwerkzeug
Dynamic Power Trainer 3.0, einer speziellen Software zur Erstellung von interaktiven
und multimedialen Lerneinheiten. Zentrales Element ist die Zeitsteuerung von multime-
dialen Inhalten über eine Zeitleiste. Nach der Erstellung der Lerninhalte und Verknüpfung
der multimedialen Dateien über die Benutzeroberfläche des Programms wird eine
HTML-Ausgabe des gesamten Kurses erzeugt. Tab. 11 stellt die verwendeten Werkzeuge
mit ihren Funktionalitäten gegenüber.
Die erstellten WBTs können ohne großen technischen Aufwand in das Intranet der ABC
AG eingebunden werden. Die Testergebnisse der einzelnen WBTs können lokal auf der
jeweiligen Festplatte des Nutzers gespeichert werden. Alternativ ist das Versenden der
Ergebnisse per verschlüsselter E-Mail an ein zentrales Auswertungsprogramm möglich.
Darüber hinaus können die WBTs in ein LMS integriert werden. Obwohl dies sicherlich
die sinnvollste Variante wäre, ist eine entsprechende Implementierung zum jetzigen
Zeitpunkt nicht möglich, da die ABC AG noch kein LMS im Einsatz hat.
229 Ein beispielhafter Flyer für die ABC AG befindet sich im Anhang in Abb. 21 und Abb. 22.
230 Vgl. in Bezug auf die Modularisierung Abschnitt 4.2.3.
7 Zusammenfassung und Ausblick 81
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Anwendung Funktionsbeschreibung
Dynamic Power Trainer
Version 3.0
E-Learning Kurse erstellen, editieren und erweitern
Tests und Prüfungen erstellen, editieren und erweitern
Präsentationen erstellen und editieren
auf Basis der Standards AICC und SCORM
Lerninhalte in LMS integrieren.
Macromedia Captivate
Version 1.01
Softwaresimulationen erstellen, editieren und
erweitern
Interaktive Fragenfolien, Schaltflächen, Klickflächen
und Texteingabefelder editieren
Auf Basis der Standards AICC und SCORM
Lerninhalte in LMS integrieren
SnagIt Version 7.2.1 Bildschirmabgriffe erstellen und editieren
Tab. 11: Anwendungen zur Produktion von WBTs
7 Zusammenfassung und Ausblick
Die Gewährleistung der IT-Sicherheit, sowohl aus der Perspektive der Verlässlichkeit als
auch aus Sicht der Beherrschbarkeit von IT-Systemen, ist in den letzten Jahren, nicht
zuletzt durch entsprechende rechtliche Anforderungen in den Fokus von Unternehmen
und öffentlicher Verwaltung gerückt. Im Unterschied zu traditionellen, eher technisch
orientierten Verfahren zur Gewährleistung der IT-Sicherheit betonen IT-Sicherheitsma-
nagement-Standards in ihren aktuellen Fassungen die Rolle aller Mitarbeiter bei der
konkreten Umsetzung der IT-Sicherheit im betrieblichen Alltag.
Die Einbeziehung aller Mitarbeiter in die Verantwortung für die Gewährleistung der IT-
Sicherheit erfordert dabei zunächst eine Sensibilisierung der betroffenen Personen für
dieses Thema: Oftmals sind sich Mitarbeiter nicht bewusst, dass bzw. in welchem Um-
fang sie IT-Sicherheits-relevante Aufgaben erledigen, IT-Sicherheits-Risiken bewusst
eingehen oder sich einer IT-Sicherheits-Gefährdung aussetzen. Ist diese Sensibilisierung
im erforderlichen Ausmaß bei allen (relevanten) Mitarbeitern gelungen, so bedarf es
gezielter Schulungsmaßnahmen, um diese Mitarbeiter auf einen Wissensstand zu heben,
der die unternehmensweite Gewährleistung der IT-Sicherheit optimal unterstützt.
Eine der zentralen Aufgaben innerhalb des IT-Sicherheitsmanagements ist es also, Sen-
sibilisierungs- und Schulungsmaßnahmen - angepasst auf die spezifischen Rahmenbe-
dingungen des jeweiligen Unternehmens - zu konzipieren, umzusetzen und hinsichtlich
ihrer Effektivität bzw. Effizienz zu beurteilen. Eine Methode zur Umsetzung dieser
7 Zusammenfassung und Ausblick 82
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Schulungs- und Sensibilisierungsmaßnahmen zur IT-Sicherheit kann E-Learning sein.
Hierbei muss jedoch beachtet werden, dass es nicht ein (1) Set von relevanten Lernin-
halten gibt, das für alle Mitarbeiter gleichermaßen relevant ist. Vielmehr deuten schon
grundsätzliche Überlegungen zu diesem Thema an, dass eine Zielgruppen-Analyse hin-
sichtlich der anzustrebenden Lernziele und damit auch der Lerninhalte unerlässlich ist:
Es ist offensichtlich, dass ein Sachbearbeiter einer Personal-Fachabteilung oder ein
Außendienstmitarbeiter ein anderes Maß an Sensibilisierung benötigt, als z. B. ein
Mitarbeiter der IT-Abteilung des Unternehmens. Gleiches gilt für den entsprechenden
Schulungsbedarf.
Ziel dieser Arbeit war es, einen Beitrag zur Entwicklung eines allgemeinen, unterneh-
mensunabhängigen Vorgehensmodells im Bereich E-Learning zur IT-Sicherheit zu
leisten, nach dem Schulungs- und Sensibilisierungsmaßnahmen konzipiert, implementiert
und evaluiert werden können.
Als Ausgangspunkt zur Erreichung dieser Zielsetzung wird in der vorliegenden Arbeit
die IT-Sicherheitskultur als vertrauensbildende Maßnahme im unternehmensinternen als
auch –externen Rahmen vorgestellt. Eine von allen Mitarbeitern eines Unternehmens
„gelebte“ IT-Sicherheitskultur verfolgt die Absicht, die Einstellungen bzw. Verhaltens-
weisen der Mitarbeiter bezüglich der IT-Sicherheit positiv zu beeinflussen. Eine Mög-
lichkeit, die angestrebten kulturellen Wirkungen zu erreichen, liegen in der Ergreifung
von entsprechenden Schulungs- und Sensibilisierungsmaßnahmen, wobei in dieser Arbeit
der Schwerpunkt auf das E-Learning- bzw. Blended Learning-Instrumentarium gelegt
wurde.
Die Konzeption von WBTs zur IT-Sicherheit als komplexes Lernfeld integriert die drei
Dimensionen „Zielgruppe“, „Lernmodul“ und „Learning-Kontinuum“. Heterogene
Zielgruppen haben unterschiedliche Lernbedürfnisse in Bezug auf ihre jeweiligen Rollen,
die durch spezifische Lernmodule strukturiert werden. Ergänzend bietet das Learning-
Kontinuum drei Lernebenen mit unterschiedlicher Reichweite. Sensibilisierung, rollen-
spezifische Schulungen und anerkannte Ausbildungen schaffen einen in sich ge-
schlossenen Kreis, der die IT-Sicherheitskultur langfristig durch die gezielte Beeinflus-
sung der Mitarbeiter implementiert. Ergebnis ist der Learning-Cube, der unternehmens-
unabhängig zur Konzeption von WBTs eingesetzt werden kann. Die realisierten WBTs
sind unternehmensindividuell mit Präsenzveranstaltungen oder Sensibilisierungs-Kam-
pagnen im Rahmen eines Blended Learning-Konzepts zu ergänzen.
Der Aufbau eines Learning-Kontinuums bildet jedoch nur eine primäre Maßnahme zur
Etablierung einer IT-Sicherheitskultur. Kritische Erfolgsfaktoren sind u. a. die Unters-
tützung des Managements als Vorbild, ein Dokumentensystem inklusive
IT-Sicherheitsrichtlinie, eine emotional ansprechende Sensibilisierungs-Kampagne mit
7 Zusammenfassung und Ausblick 83
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
durchgängig verwendeten Protagonisten und die aktive Unterstützung durch andere
Unternehmensbereiche wie dem Marketing und der Unternehmenskommunikation. Die
Perspektive „Mensch“ als aktuell größte Gefährdung für die IT-Sicherheit verlangt zur
erfolgreichen Umsetzung von Schulungs- und Sensibilisierungsmaßnahmen die Berück-
sichtigung von psychologischen Faktoren.
Die prototypische Realisierung von WBTs für die ABC AG allein würde der Etablierung
einer IT-Sicherheitskultur nicht genügen. Daher wurde zunächst ein Vorschlag für eine
IT-Sicherheitsrichtlinie abgestimmt. Auf Basis dieser setzt die Sensibilisierungs-
Kampagne mit sechs Hauptbereichen auf. Zur Kommunikation der Themen wurden
Poster und ein Flyer entworfen, die auf die produzierten WBTs verweisen. Die WBTs
sind in das Intranet der ABC AG integrierbar und gemäß der Zielgruppenzugehörigkeit
abrufbar. Sie legen somit einen Grundstein für das organisationale Lernen im Bereich der
IT-Sicherheit, das sukzessive erweitert und aktualisiert werden kann. Die integrierten
Abschlusstests mit Zertifikatsausgabe bieten eine Möglichkeit zur Messung und
Dokumentation des Fortschritts der IT-Sicherheitskultur. Vorgaben des ISO/IEC 27001
im Bereich der Sensibilisierung und Schulung von Mitarbeitern zur Etablierung eines
ISMS wären somit erfüllt. Die ABC AG setzt mit dem Aufbau einer IT-Sicherheitskultur
einen weiteren Schritt Richtung Zertifizierung nach ISO/IEC 27001 und schafft somit
nicht nur unternehmensintern, sondern auch für seine Kunden einen Mehrwert.
Maßnahmen zur Integration der IT-Sicherheit in die Unternehmenskultur entsprechen auf
Grund ihrer hohen Bedeutung einem anhaltenden Trend. Zwar sind in den vergangenen
Jahren weltweit bereits wesentliche Fortschritte in Bezug auf die Sensibilisierung und
Schulung von Mitarbeitern zu verzeichnen. Dennoch bieten die Bereiche „Datenschutz“
und „Mobile Sicherheit“ auch weiterhin auf Grund sich weiter entwickelnder Regularien
und Technologien Potential für fortlaufende Maßnahmen. Der Bedarf an standardisierten
WBTs, insbesondere für KMU, ist demnach langfristig zu erwarten. Denn auch über
Unternehmensgrenzen hinweg sind IUK in einer vernetzten Welt nur so sicher wie ihr
schwächstes Glied.
Anhang VI
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Anhang
Personalangaben
Position:
Funktion:
Nationalität:
Fragenkatalog
Organisation Arbeits- und Technologiegestaltung
O1 Wir haben schriftliche Hilfsmittel und Anweisungen bzgl. Informationssicher-
heit.
O2 Bei uns ist geregelt, wie Verletzungen der Informationssicherheit gemeldet
werden müssen.
O3 Wir haben eine Informationssicherheitspolitik.
O4 Vertrauliche Daten sind bei uns klassifiziert. Die Klassifizierung ist auf dem
Datenträger ersichtlich.
O5 Bei uns wird kontrolliert, ob keine vertraulichen Daten unbeaufsichtigt herum-
liegen.
Human Resource Management
O6 Neue Mitarbeitende werden über Sicherheitsvorschriften informiert.
O7 Ich werde in den Sicherheitsanwendungen und –prozeduren geschult, die ich
für meine Arbeit brauche.
Organisationskultur
O8 Mein Vorgesetzter involviert mich in Entscheidungen, die mich betreffen.
O9 Ich muss mit Konsequenzen rechnen, wenn ich mich nicht an unsere Sicher-
heitsvorschriften halte.
O10 Fehler werden bei uns toleriert.
O11 Betriebliche Probleme werden in unserer Firma offen angesprochen.
Anhang VII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
O12 Meine Firma reagiert schnell auf externe Ereignisse.
O13 Probleme werden bei uns immer an deren Ursache bekämpft.
O14 Die Erreichung der Ziele in meinem Ressort/ Bereich wird stets gemessen
und kontrolliert.
Organisationsstruktur
O15 Ich habe eine Anlaufstelle für Sicherheitsfragen.
Gruppe Kommunikation
G1 Der Informationsfluss in unserem Ressort/ Bereich ist gut.
G2 Ich werde immer wieder durch E-Mails, Referate oder Aufrufe anderer Art
auf Sicherheitsaspekte aufmerksam gemacht.
Leadership
G3 Mein Vorgesetzter unterstützt die Umsetzung der Informationssicherheit in
seinem Bereich.
G4 Mein Vorgesetzter kennt den Inhalt der Informationssicherheitspolitik.
Problemmanagement
G5 Informationssicherheitsprobleme werden bei uns immer analysiert.
Individuum Einstellung
I1 Unbekannte Personen dürfen sich nicht alleine in unseren Geschäftsräum-
lichkeiten bewegen.
I2 Es gibt keine begründeten Ausnahmen, in denen ich ein Passwort weiterge-
ben kann.
I3 Informationssicherheit ist eine geschäftsrelevante und nicht eine technische
Aufgabe.
I4 Ausgaben für die Informationssicherheit sind eine Investition in die Zukunft.
Motivation
I5 Veränderungen, die von der Informationssicherheit herrühren, wie z. B. Clear
Desk Policy, Verschlüsselung von vertraulichen Daten, usw. werden bei uns
positiv aufgenommen.
I6 Die Sicherheitsrichtlinien werden bei uns eingehalten.
I7 Ich verhalte mich gemäß der Informationssicherheitspolitik.
Anhang VIII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Wahrnehmung
I8 Die Sicherheitsverantwortung wird von den dafür verantwortlichen Personen
wahrgenommen.
I9 Bei uns wird für die Informationssicherheit genug getan.
I10 Informationssicherheit ist für unsere Informatikabteilung ein wichtiges
Thema.
I11 Die Informationssicherheitspolitik wird bei uns umgesetzt.
Werte
I12 Die Arbeit, die ich hier tue, ist Teil des geistigen Eigentums meines Arbeitge-
bers.
I13 Jede/r Einzelne ist für die Informationssicherheit verantwortlich.
I14 Ich finde Informationssicherheit wichtig.
Wissen/ Sensibilisierung
I15 Ich weiss, wer bei uns für die Informationssicherheit zuständig ist.
I16 Wenn Dritte zuhören können, spreche ich nicht über vertrauliche Dinge.
I17 Am Abend verlasse ich meinen Arbeitsplatz stets aufgeräumt.
I18 Ich behandle E-Mails von unbekannten Absendern vorsichtig, v. a. wenn sie
noch angehängte Dateien enthalten.
I19 Meine Passwörter umfassen immer mindestens 8 Zeichen und enthalten
mindestens 2 nicht alphanumerische Zeichen.
I20 Beim Verlassen des Arbeitsplatzes sperre ich meinen Rechner immer mit
einem Passwort.
I21 Ich verschlüssle immer Nachrichten mit vertraulichem Inhalt, die per E-Mail
oder anderen Internetanwendungen verschickt werden können.
I22 Ich kenne den Inhalt der Informationssicherheitspolitik.
Antwort Stimme stark zu stimme zu unentschieden lehne ab lehne stark
ab
Tab. 12: Fragenkatalog zur Erhebung der IT-Sicherheitskultur231
231 Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis – Analyse und Förderung
soziokultureller Faktoren der Informationssicherheit in Organisationen, a. a. O., S. 174.
Anhang IX
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Verantwortlicher Rollenbeschreibung
Senior Management Die Unternehmensleitung ist für die IT-Sicherheit im Unter-
nehmen verantwortlich.
Computer Security
Management
Verantwortlich für die tägliche Organisation der IT-
Security.
Program and Functional
Managers/Application Owners
Verantwortlich für ein Programm oder eine Funktion ein-
schließlich der Betreuung der Computersysteme.
Technology Providers Mitarbeiter, die sich mit Themen der
Systemadministration,
Kommunikation/Telekommunikation, Help Desk usw.
befassen.
Supporting Functions Abteilungen mit unterstützender Tätigkeit im Rahmen von
IT-Sicherheit, wie z. B. Personal, Beschaffung, physische
Sicherheit, usw..
Users Bei den Nutzern wird zwischen den Nutzern von Systemen
und den Nutzern von Informationen unterschieden.
Tab. 13: Mitglieder von Rollen nach NIST 800-12232
Verantwortlicher Rollenbeschreibung
Administrator Ein Administrator ist zuständig für Einrichtung, Betrieb, Über-
wachung und Wartung eines IT-Systems.
Anwendungsentwickler Ein Anwendungsentwickler ist ein mit Planung, Entwicklung,
Test oder Pflege von Programmen betrauter Experte.
Archivverwalter Der Archivverwalter ist verantwortlich für Einrichtung, Betrieb,
Überwachung und Wartung eines Archivsystems auf fachlicher
Ebene.
Bauausführende Firma Dies sind Firmen, die Bauleistungen aller Art im Auftrag der IT-
betreibenden Organisation oder der dazu Beauftragten
ausführen. Dies können klassische Baugewerke aber auch die
Errichtung von Einrichtungen der Gefahrenmeldetechnik
(Errichterfirma) sein.
232 Vgl. National Institute of Standards and Technology (Hrsg.): NIST Special Publication 800-16,
a. a. O., S. 15 ff.
Anhang X
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Verantwortlicher Rollenbeschreibung
Bauleiter Ein Bauleiter ist für die Umsetzung von Baumaßnahmen ver-
antwortlich.
Behörden-
/Unternehmensleitung
Dies bezeichnet die Leitungsebene der Institution bzw. der
betrachteten Organisationseinheit.
Benutzer Ein Benutzer ist ein Mitarbeiter des Unternehmens bzw. der
Behörde, der informationstechnische Systeme im Rahmen der
Erledigung seiner Aufgaben benutzt.
IT-Benutzer und Benutzer sind hierbei als Synonyme zu be-
trachten, da heutzutage nahezu jeder Mitarbeiter eines Unter-
nehmens bzw. einer Behörde informationstechnische Systeme
während der Erledigung seiner Aufgaben benutzt.
Beschaffer Dies bezeichnet einen Mitarbeiter der Beschaffungsstelle, der
verantwortlich ist für die Beschaffung von Betriebsmitteln oder
IT-Systemen.
Beschaffungsstelle Die Beschaffungsstelle initiiert und überwacht Beschaffungen.
Öffentliche Einrichtungen wickeln ihre Beschaffungen nach
vorgeschriebenen Verfahren ab.
Brandschutzbeauftragter Ein Brandschutzbeauftragter ist Ansprechpartner und Verant-
wortlicher in allen Fragen des Brandschutzes. Er ist u. a. zu-
ständig für die Erstellung von Brandrisikoanalysen, Aus- und
Fortbildung der Beschäftigten, teilweise auch Wartung und
Instandhaltung der Brandschutzeinrichtungen.
Datenschutzbeauftragter Ein Datenschutzbeauftragter ist eine von der Behörde- bzw.
Unternehmensleitung bestellte Person, die für den daten-
schutzrechtlich korrekten bzw. gesetzeskonformen Umgang
mit personenbezogenen Daten im Unternehmen bzw. in der
Behörde verantwortlich ist.
Entwickler Mit Entwickler wird im Kontext des IT-Grundschutzes eine Per-
son bezeichnet, die Software, Hardware oder ganze Systeme
entwirft, die aus mehreren Software- und Hardware-Kompo-
nenten bestehen können.
In der Software-Entwicklung erfolgt durch in typischerweise
das Design und die Programmierung, dabei wird eine
Programmiersprache eingesetzt. In der Hardware-Entwicklung
erfolgt durch den Entwickler das Design; die Herstellung der
Hardware wird in der Regel durch einen Hardware-Hersteller
geleistet.
Anhang XI
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Verantwortlicher Rollenbeschreibung
Errichterfirma Es handelt sich hierbei um ein Unternehmen, das Gewerke
oder aber auch Gebäude erstellt.
Fachabteilung Eine Fachabteilung ist ein Teil einer Behörde bzw. eines Un-
ternehmens, welche fachspezifische Aufgaben zu erledigen
hat. Bei Bundes- und Landesbehörden ist eine Abteilung die
übergeordnete Organisationsform mehrerer Referate, die in-
haltlich zusammengehören.
Fachverantwortliche Der Fachverantwortliche ist inhaltlich für ein oder mehrere
IT-Verfahren verantwortlich (so ist z. B. der Leiter des Referats
„Vertrieb“ der Fachverantwortliche für die Anwendung „auto-
matisierter Vertrieb“).
Fax-Verantwortlicher Der Fax-Verantwortliche ist für alle organisatorischen und
technischen Regelungen verantwortlich, die die Fax-Nutzung
innerhalb einer Organisationseinheit betreffen.
Haustechnik Haustechnik bezeichnet die Organisationseinheit, die für die
Einrichtungen der Infrastruktur in einem Gebäude oder in einer
Liegenschaft verantwortlich ist. Betreute Gewerke können da-
bei z. B. sein: Elektrotechnik, Melde- und Steuerungstechnik,
Sicherungstechnik, IT-Netze (Physikalischer Teil), Heizungs-
und Sanitärtechnik, Aufzüge, etc.
Innerer Dienst Der Innere Dienst ist eine Organisationseinheit, die alle
zentralen Dienste für die Mitarbeiter koordiniert, z. B. Post-
stelle, Kopierer, Fahrdienst, Botendienst, Beseitigung techni-
scher Störungen, Gebäudereinigung, Bereitstellung von Be-
triebsmitteln, etc.
IT-Betreuer Zu den Aufgaben von IT-Betreuern zählen u. a. die Entgegen-
nahme und Bearbeitung von Benutzeranfragen zu Problemen
rund um die IT-Ausstattung.
IT-Sicherheitsbeauftragter Ein IT-Sicherheitsbeauftragter ist eine von der Behörde- bzw.
Unternehmensleitung ernannte Person, die im Auftrag der Lei-
tungsebene die Aufgabe der IT-Sicherheit koordiniert und in-
nerhalb der Behörde bzw. des Unternehmens vorantreibt.
IT-Sicherheitsmanagement IT-Sicherheitsmanagement ist die Leitungs- und Koordinie-
rungsaufgabe, die für eine angemessene IT-Sicherheit im Un-
ternehmen bzw. in der Behörde sorgt. Dieser Begriff wird je-
doch häufig auch für Personen verwendet, die diese Leitungs-
aufgabe wahrnehmen.
Anhang XII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Verantwortlicher Rollenbeschreibung
IT-Sicherheitsmanagement-
Team
Das IT-Sicherheitsmanagement-Team unterstützt den IT-Si-
cherheitsbeauftragten, indem es übergreifende Maßnahmen in
der Gesamtorganisation koordiniert, Informationen zusammen-
trägt und Kontrollaufgaben durchführt.
IT-Verfahrens-
verantwortlicher
Ein IT-Verfahrensverantwortlicher ist für den korrekten Ablauf
eines oder mehrerer spezieller IT-Verfahren verantwortlich,
z. B. für die elektrische Lagerhaltung etc.
Leiter Beschaffung Hiermit ist der Leiter der Beschaffungsstelle oder der Organi-
sationseinheit gemeint, die für die Beschaffung zuständig ist.
Leiter Entwicklung Dies bezeichnet den Leiter einer Entwicklungsabteilung für
Hard- bzw. Software oder den Projektleiter eines Entwickler-
teams.
Leiter Fachabteilung Dies bezeichnet den Leiter einer Fachabteilung.
Leiter Haustechnik Hiermit ist der Verantwortliche für die Haustechnik gemeint.
Leiter Innerer Dienst Dies bezeichnet den Leiter des Inneren Dienstes bzw. den
Verantwortlichen für die Bereitstellung zentraler Dienste.
Leiter IT Hiermit ist der Leiter der IT-Abteilung bzw. das für die Informa-
tionstechnik zuständige Management gemeint.
Leiter Organisation Dies bezeichnet den Leiter der Organisationseinheit, die u. a.
für Regelung und Überwachung des allgemeinen Betriebs so-
wie für Planung, Organisation und Durchführung aller Verwal-
tungsdienstleistungen verantwortlich ist.
Leiter Personal Hiermit ist der Leiter der Personalabteilung bzw. der für Perso-
nalfragen zuständigen Organisationseinheit gemeint.
Mitarbeiter Ein Mitarbeiter ist ein Mitglied einer Fachabteilung, einer Be-
hörde oder eines Unternehmens.
Notfall-Verantwortlicher Der Notfall-Verantwortliche ist von der Behörden- bzw. Unter-
nehmensleitung authorisiert darüber zu entscheiden, ob es
sich bei einer bestimmten Situation um einen Notfall handelt.
Weiterhin ist er für die Einleitung der erforderlichen
Notfallmaßnahmen verantwortlich.
Anhang XIII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Verantwortlicher Rollenbeschreibung
Personalabteilung Die Personalabteilung ist unter anderem für folgende
Aufgaben zuständig:
Personalwirtschaftliche Grundfragen
Personalbedarfsplanung
Personalangelegenheiten der Mitarbeiter
Allgemeine Zusammenarbeit mit der Personalvertretung.
Personalrat/Betriebsrat Der Personal- bzw. Betriebsrat (Personalvertretung) ist für die
Interessensvertretung der Mitarbeiter gegenüber der Behörde
bzw. Unternehmensleitung zuständig.
Planer Mit dem allgemeinen Begriff „Planer“ werden die Rollen wie
„Netzplaner“ und „Bauplaner“ zusammengefasst. Gemeint sind
also Personen, die verantwortlich sind für die Planung und
Konzeption bestimmter Aufgaben.
Poststelle Die Poststelle ist die Sammelstelle einer Behörde oder eines
Unternehmens für ankommende und ausgehende Post. Zu
den Aufgabengebieten können auch Fax- und E-Mail-
Dienstleistungen sowie das Scannen eingehender Dokumente
im Rahmen eines elektronischen Workflows gehören.
Pressestelle Die Pressestelle ist zuständig für alle ein- und ausgehenden
Kontakte zu Presse und Medien. In vielen Fällen werden dort
auch Anfragen von Privatpersonen und Firmen bearbeitet.
Revisor Ein Revisor kontrolliert, ob die geplanten Maßnahmen adäquat
umgesetzt wurden.
Telearbeiter Ein Telearbeiter nimmt seine Tätigkeiten außerhalb der Büro-
räume des Unternehmens bzw. der Behörde wahr und verfügt
über eine kommunikationstechnische Anbindung an die IT des
Arbeit- bzw. Auftraggebers.
Tester Tester sind Personen, die gemäß eines Testplans nach vorher
festgelegten Verfahren und Kriterien eine neue oder
veränderte Software bzw. Hardware testen und die
Testergebnisse mit den erwarteten Ergebnissen vergleichen.
TK-Anlagen-Verantwortli-
cher
Der TK-Anlagen-Verantwortliche ist für den ordnungsgemäßen
Betrieb der Telekommunikationsanlagen und für entspre-
chende Regelungen verantwortlich.
Anhang XIV
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Verantwortlicher Rollenbeschreibung
Verantwortlicher der einzel-
nen IT-Anwendungen
Der Verantwortliche für die einzelne IT-Anwendung ist nicht
nur für den reibungslosen Betrieb der IT-Anwendung
zuständig, sondern auch für die Initiierung und Umsetzung von
IT-Sicherheitsmaßnahmen für diese Anwendung.
Verantwortlicher für die
Datensicherung
Der Verantwortliche für die Datensicherung ist zuständig für
die Erstellung, Pflege, regelmäßige Aktualisierung und
Umsetzung eines Datensicherungskonzeptes.
Vorgesetzte Als Vorgesetzte werden die Mitarbeiter einer Institution be-
zeichnet, die gegenüber anderen, ihnen zugeordneten Mitar-
beitern weisungsbefugt sind.
Tab. 14: Rollenverständnis der IT-Grundschutz-Kataloge233
Training Matrix Functional Specialties
Training Areas
A
Manage
B
Acquire
C
Design
and
Develop
D
Implement
and
Operate
E
Review
And
Evaluate
F
Use
G
Other
1. Laws and
Regulation
(LaR)
1. LaR 1F
2. Security
Program
2.1 Planning
2.2 Management
3. System Life
Cycle Security
3.1 Initiation 3.1F
3.2 Development 3.2F
3.3 Test and
Evaluation 3.3F
3.4 Implementation 3.4F
3.5 Operations 3.5F
3.6 Termination
4. Other
Tab. 15: Trainingsmatrix des NIST für den User234
233 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge: Stand
2006, a. a. O., S. 35 ff.
234 National Institute of Standards and Technology (Hrsg.): Appendix E – Information Technology
Security Training Requirements: 1998, Online im Internet: http://csrc.nist.gov/publications/
nistpubs/800-16/Appendix_E.pdf, 13.0.4.2007, S. E-15.
Anhang XV
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Training Matrix Functional Specialties
Training Areas
A
Manage
B
Acquire
C
Design
and
Develop
D
Implement
and
Operate
E
Review
And
Evaluate
F
Use
G
Other
1. Laws and
Regulation
(LaR)
1. LaR 1A
2. Security
Program
2.1 Planning 2.1C 2.1D 2.1E
2.2 Management 2.2A 2.2C
3. System Life
Cycle Security
3.1 Initiation
3.2 Development
3.3 Test and
Evaluation
3.4 Implementation 3.4E
3.5 Operations
3.6 Termination
4. Other
Tab. 16: Trainingsmatrix des NIST für den Chief Information Officer235
235 National Institute of Standards and Technology (Hrsg.): Appendix E – Information Technology
Security Training Requirements: 1998, a. A. O., S. E-4.
Anhang XVI
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 18: Mind Map Modul 1 nach IT-Grundschutz-Kataloge des BSI
Anhang XVII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 19: Mind Map Modul 2 nach IT-Grundschutz-Kataloge des BSI
Anhang XVIII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 20: Mind Map Modul 3 nach IT-Grundschutz-Kataloge des BSI
Anhang XIX
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Vorwort Organisationsrichtlinie „IT-Sicherheit“ für den Finanzsektor
Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des
Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren bzw. den
beim Unternehmen eingesetzten IT-Systemen.
Die hier vorliegende Organisationsrichtlinie ”IT-Sicherheit” ist Bestandteil des
Risikomanagements des Unternehmens. Sie verfolgt dabei die folgenden Ziele:
Festlegung des erforderlichen Sicherheitsniveaus der IT-Systeme des
Unternehmens
Definition der sich daraus abgeleiteten Schutzziele und Schutzmaßnahmen
Ableitung des daraus resultierenden Handlungsbedarfs für die unterschiedlichen
Rollen im IT-Sicherheitskreislauf
Definition von einheitlichen und nachvollziehbaren Prüfkriterien beim Betrieb von IT-
Systemen innerhalb des Unternehmens
Beitrag zur Vereinheitlichung des Risikomanagements im Konzern bezüglich der
Beurteilung des IT-Betriebsrisikos
Förderung des IT-Sicherheitsbewusstseins im Unternehmen
Bestandteil der umfassenden Dokumentation des Risikomanagements für interne
und externe Stellen (Wirtschaftsprüfer, BAKred, Ratingagenturen) insbesondere im
Zusammenhang mit KonTraG und "Basel II"
Die Geschäftsführung hat in seiner Sitzung am [Datum XX.XX.XXXX] beschlossen, als
Basis für die Implementierung des IT-Sicherheitskreislaufs eine IT-Sicherheitsrichtlinie (IT-
Security Policy) erstellen zu lassen, welche die bisherigen Regelungen einzelner Bereiche
des Unternehmens zum sicheren Betrieb von IT-Verfahren und IT-Systemen
zusammenfasst und vereinheitlicht.
Weiterhin bleiben für den IT-Bereich die Vorgaben aus dem Grundschutzhandbuch (GSHB)
des Bundesamtes für Sicherheit in der Informationstechnik (BSI) immer dann verbindlich,
sofern keine unternehmensspezifischen Regelungen für das zu betrachtende IT-Verfahren
existieren.
Anhang XX
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
IT-Sicherheitsrichtlinien
Schutzziele
Alle sensiblen Informationen, Daten, IT-Systeme und IT-Ressourcen sind gemäß ihrem
definierten Schutzniveau so geschützt, dass nur
erlaubte Zugriffe und erlaubte Veröffentlichungen (Schutzziel: Vertraulichkeit),
erlaubte Änderungen (Schutzziel: Integrität) und
erlaubte Löschungen bzw. Unterbrechungen (Schutzziel: Verfügbarkeit) möglich
sind.
Außerdem werden bei geschäftskritischen Verfahren alle sicherheitsrelevanten Vorgänge im
erforderlichen Umfang protokolliert und ausgewertet (Schutzziel: Nachvollziehbarkeit).
Angemessenheit
Jeder Informationseigentümer - bzw. jeder von diesem Beauftragte - sorgt dafür, dass bei
allen Maßnahmen zum Schutz von sensiblen Informationen, Daten, IT-Systemen und IT-
Ressourcen das Wirtschaftlichkeitsprinzip angewendet wird. Dabei sind die Auswirkungen
auf das Betriebsrisiko, d.h. den IT-Betriebskreislauf einerseits und dem IT-
Sicherheitskreislauf andererseits (z.B. unerlaubte Zugriffe, unerlaubte Veröffentlichung,
unerlaubte Änderung oder Zerstörung von sensiblen Informationen, Daten, IT-Systemen
und IT-Ressourcen) zu bewerten.
Der Aufwand zum Schutz der Informationen steht in einem wirtschaftlich vertretbaren
Verhältnis zum Wert der Information für das Unternehmen.
Zugriffsregelung
Jeder Zugriff auf sensible Informationen, Daten, IT-Systeme und IT-Ressourcen des
Unternehmens wird genehmigt, kontrolliert und protokolliert.
Der Zugriff begründet sich ausschließlich aus den betrieblichen Erfordernissen der
je¬weiligen Funktion innerhalb des Unternehmens.
Die Beantragung und Vergabe von Benutzerkennungen erfolgt über eine zentrale
Berechtigungsverwaltung und wird in einer eigenen Richtlinie beschrieben.
Akzeptanz und Verpflichtung
Alle natürlichen Personen, die Zugriff auf Informationen, Daten, IT-Systeme und IT-
Ressourcen des Unternehmens erhalten sollen, akzeptieren formal die Notwendigkeit, die
Informationen, Daten, IT-Systeme und IT- Ressourcen des Unternehmens zu schützen.
Alle MitarbeiterInnen, Auftragnehmer und andere Dritte sind individuell verpflichtet, diese
Anforderung im Rahmen ihrer jeweiligen Funktion aktiv zu unterstützen.
Anhang XXI
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Sensibilisierung
Die Führungskräfte des Unternehmens schaffen die erforderlichen Rahmenbedingungen,
damit alle betroffenen MitarbeiterInnen, Auftragnehmer und andere Dritte die IT-
Sicherheitsrichtlinie des Unternehmens kennen, verstehen und befolgen.
Gesetze und Auflagen
Die Maßnahmen zum Schutz von sensiblen Informationen, Daten, IT-Systemen und IT-
Ressourcen entsprechen den jeweils gültigen gesetzlichen Auflagen und Verordnungen.
IT-Sicherheitsvorgaben
Umgang mit vertraulichen Informationen
Vertrauliche Informationen, Daten und IT-Ressourcen werden so erfasst, verarbeitet und
gespeichert, dass ein unerlaubter Zugriff oder Missbrauch ausgeschlossen ist.
Die Erfassung, Verarbeitung und Speicherung von personenbezogenen Daten werden im
Unternehmen in einer eigenen Richtlinie geregelt.
Integrität der Geschäftsdaten
Die Integrität der zu verarbeitenden, geschäftskritischen Daten und Informationen ist durch
geeignete technische und organisatorische Maßnahmen während der
Verarbeitung,
Speicherung und
Übertragung
zu gewährleisten.
Dies ist z.B. dann der Fall, wenn nach Abschluss eines Verarbeitungsschrittes die Daten zu
einem Dritten übertragen, an ein anderes Verfahren übergeben oder auf ein anderes
Medium gespeichert werden (z.B.: Backup/Archivierung).
Die Prüfung der fachlichen Korrektheit und Zulässigkeit der
Dateneingabe,
Verarbeitung dieser Informationen und
der daraus resultierenden Ergebnisse
sind in den jeweiligen Verfahrensbeschreibungen festgelegt und nicht Bestandteil dieser
Organisationsrichtline.
Anhang XXII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Verantwortung des Informationseigentümers
Jede Information, jede Datei, jedes Verfahren, jedes IT-System und jede IT-Ressource hat
einen eindeutig zugeordneten Informationseigentümer.
Dieser ist für die Einstufung des Schutzbedarfs und die Vergabe der Zugriffsberechtigungen
verantwortlich.
Zugriff entsprechend der Funktion
Für die Vergabe von Zugriffsrechten gibt es unternehmensweit einheitliche Regelungen. Der
Zugriff auf sensible Informationen, Daten, IT-Systeme und IT-Ressourcen wird
entsprechend der jeweiligen Funktion innerhalb des Unternehmens vergeben.
Unterweisung und Sensibilisierung
Das erforderliche Wissen zur Anwendung der IT-Sicherheitsrichtlinie im Unternehmen wird
den verschiedenen Zielgruppen (Nutzer, Betreuer, Führungskräfte usw.) in Art und Umfang
angemessen zur Verfügung gestellt.
Alle MitarbeiterInnen, Auftragnehmer und andere Dritte, die Zugriff auf sensible
Informationen, Daten, IT-Systeme und IT-Ressourcen des Unternehmens haben, sind
darüber informiert, wie sie IT-Sicherheitsvorfälle erkennen und diese entsprechend
eskalieren.
Integrität des IT-Betriebs- und IT-Sicherheitskreislaufs
Alle relevanten Teile des IT-Betriebskreislaufs und des IT-Sicherheitskreislaufs im
Unternehmen werden nach einem geregelten und prüfbaren Verfahren entwickelt oder
beschafft, getestet, eingeführt, betrieben, geändert und abgebaut.
Erkennen von IT-Sicherheitsverletzungen
Für alle geschäftskritischen Informationen, Daten, Verfahren, IT-Systeme und IT-
Ressourcen im Unternehmen sind Mechanismen und Prozesse implementiert, die
unberechtigte Zugriffe bzw. unberechtigte Zugriffsversuche zeitnah erkennen.
Urheberschaft
Es werden bei den Verfahren und IT-Systemen des Unternehmens nur solche
Authentifizierungsmethoden eingesetzt, die eine juristisch eindeutige Zuordnung zu einer
Person oder zu einem Dienst gewährleisten.
Anmelde-/Abmeldeprozess
Vor und nach dem erfolgreichen Zugriff auf sensible Informationen, Daten, Verfahren, IT-
Systeme und IT-Ressourcen wird jeweils ein standardisierter Anmelde- und
Abmeldeprozess durchlaufen.
Anhang XXIII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Netzwerksicherheit
Für jedes - als vertrauenswürdig eingestuftes - Netzwerksegment des Unternehmens sind
Sicherheitsmechanismen implementiert, die den Zugriff in und von nichtvertrauenswürdigen
Netzwerksegmenten überwachen und/oder verhindern.
Virenschutz
"Schädliche/schadhafte" Softwarekomponenten (z.B. Viren) werden auf den IT-Systemen
des Unternehmens erkannt und unverzüglich entfernt.
Protokollierung
Alle IT-sicherheitsrelevanten Vorgänge werden protokolliert.
Integrität der Protokolldateien
Alle Protokolldateien, die IT-sicherheitsrelevante Vorgänge enthalten, werden so erstellt, im
laufenden Betrieb gepflegt und gespeichert, dass unerlaubte Zugriffe, Veränderungen,
Löschungen oder Zerstörungen verhindert werden.
Reaktion auf IT-Sicherheitsvorfälle
Alle Vorfälle, die Auswirkungen auf die Schutzziele der IT-Sicherheitsrichtlinie haben,
werden dokumentiert, berichtet und in angemessener Art und Weise behandelt.
Schwachstellen
Alle geschäftskritischen Verfahren, IT-Systeme und IT-Ressourcen werden regelmäßig auf
Sicherheitsschwachstellen untersucht.
Einhaltung der IT-Sicherheitsrichtlinie
Alle Vorgaben der IT-Sicherheitsrichtlinie werden regelmäßig überprüft, um sicherzustellen,
dass diese - wie vorgesehen - funktionieren und zum Zeitpunkt der Prüfung noch
ausreichend sind, um die aktuellen Anforderungen zum Schutz der betroffenen sensiblen
Informationen, Daten, IT-Systeme und IT-Ressourcen zu erfüllen.
IT-Sicherheitsberichtswesen
Die automatisiert erstellten Protokolle der IT-sicherheitsrelevanten Vorgänge werden
regelmäßig und bei Verdacht bzw. einem erkannten Sicherheitsvorfall ausgewertet. Die
Ergebnisse der Auswertung werden im Rahmen eines definierten und abgestimmten
Prozesses intern berichtet.
Alle anderen IT-sicherheitsrelevanten Vorfälle, werden manuell erfasst, dokumentiert,
kontrolliert und ausgewertet und im Rahmen eines definierten und abgestimmten Prozesses
intern berichtet.
Anhang XXIV
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Notfallplanung
Für die geschäftskritischen IT-Systeme und Verfahren des Unternehmens sind die
erforderlichen Vorkehrungen getroffen, um das IT-Betriebsrisiko zu minimieren.
Ausnahmen
Aufgrund technischer oder organisatorischer Gegebenheiten gibt es bei den IT-Systemen
und Verfahren des Unternehmens Ausnahmen zu den IT-Sicherheits-vorgaben und IT-
Sicherheitsumsetzungsanforderungen.
Diese Ausnahmen werden in einem geregelten Prozess entschieden und genehmigt,
dokumentiert und nachverfolgt.
IT-Sicherheitsmanagementanforderungen
Die weitere Detaillierung der IT-Sicherheitsvorgaben findet in den IT-
Sicherheitsumsetzungsanforderungen statt.
Tab. 17: IT-Sicherheitsrichtlinie für den Finanzsektor236
236 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Sicherheitsrichtlinie, Online im
Internet: http://www.bsi.de/gshb/deutsch/hilfmi/extern/sicherheitsleitlinie.pdf, 12.08.2007.
Anhang XXV
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Abb. 21: Flyer Seite 1 der Sensibilisierungs-Kampagne
Abb. 22: Flyer Seite 2 der Sensibilisierungs-Kampagne
Literaturverzeichnis XXVI
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
Literaturverzeichnis
1. Andersson, Ross; Moore, Tyler: The Economics of Information Security: A
Survey and Open Questions, Online im Internet: http://www.cl.cam.ac.uk/ ~rja14/
Papers/ toulouse- summary.pdf, 12.08.2007.
2. Bauer, Robert; Phillippi, Tillmann: Einstieg ins E-Learning – Die Zukunfts-
chance für beruflichen und privaten Erfolg, Nürnberg: Bildung und Wissen
Verlag 2001.
3. Baumbach, Janet; Kornmayer, Evert; Volkmer, Ralf; Winter, Heike: Blen-
ded Learning in der Praxis – Konzepte, Erfahrungen & Überlegungen von Aus-
und Weiterbildungsexperten, Dreieich: Imselbst-Verlag 2004.
4. Baumgartner, Peter; Häfele, Hartmut; Maier-Häfele, Kornelia: E-Learning
Praxishandbuch: Auswahl von Lernplattformen - Marktübersicht – Funktionen –
Fachbegriffe, Innsbruck: Studienverlag 2002.
5. Bonk, Curtis J.; Graham, Charles R.: The Handbook of Blended Learning –
global perspectives, local designs, San Francisco: Pfeiffer 2006.
6. Bruns, Beate; Gajewski, Petra: Multimediales Lernen im Netz – Leitfaden der
Entscheider und Planer, 3. vollständig überarbeitete Auflage, Berlin et al.:
Springer Verlag 2002.
7. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard
100-1 Managementsysteme für Informationssicherheit - Version 1.0, Online im
Internet: http://www.bsi.de/literat/bsi_standard/standard_1001.pdf, 12.08.2007.
8. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Standard
100-2 IT-Grundschutz-Vorgehensweise - Version 1.0, Online im Internet:
http://www.bsi.de/literat/bsi_standard/standard_1002.pdf, 12.08.2007.
9. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grund-
schutz-Kataloge: Stand 2006, Online im Internet: http://www.bsi.bund.de/gshb/
deutsch/download/it-grundschutz-kataloge_2006_de.pdf, 12.08.2007.
10. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.):
IT-Sicherheitsrichtlinie: Online im Internet: http://www.bsi.de/gshb/deutsch/
hilfmi/extern/sicherheitsleitlinie.pdf, 12.08.2007.
11. Bundesamt für die Sicherheit der Informationstechnik (Hrsg.): Vorteile und
Stellenwert, Online im Internet: http://www.bsi.de/gshb/zert/vorteile_und_
stellenwert.htm, 12.08.2007.
12. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.):
Zuordnungstabelle – ISO 27001 sowie ISO 17799 und IT-Grundschutz, Online
im Internet: http://www.bsi.de/gshb/deutsch/hilfmi/Vergleich_ISO17799_GS.
pdf, 12.08.2007.
Literaturverzeichnis XXVII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
13. Capgemini (Hrsg.): Studie IT-Trends 2005 – Paradigmenwechsel in Sicht, On-
line im Internet: http://www.de.capgemini.com/m/de/tl/IT-Trends_2005.pdf,
12.08.2007.
14. Deloitte (Hrsg.): 2006 Global Security Survey, Online im Internet:
http://www.deloitte.com/dtt/cda/doc/content/dtt_fsi_2006%20Global%20Securit
y%20Survey_2006-06-13.pdf, 12.08.2007.
15. Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff
IT-Sicherheit, in: Informatik Spektrum, Band 27, Heft 4, S. 343-353.
16. Dietrich, Stephan; Fuchs-Brüninghof, Elisabeth, u. a.: Selbstgesteuertes Ler-
nen – Auf dem Weg zu einer neuen Lernkultur, Online im Internet:
http://www.die-bonn.de/esprid/dokumente/doc-1999/dietrich99_01.pdf,
08.04.2007.
17. Dimler, Simone; Federrath, Hannes; Nowey, Thomas; Plößl, Klaus: Aware-
ness für IT-Sicherheit und Datenschutz in der Hochschulausbildung – Eine em-
pirische Untersuchung, in: Sicherheit 2006. Beiträge der 3. Jahrestagung des
GI-Fachbereichs Sicherheit, Lecture Notes in Informatics (P-77), Dittmann, Jana,
Bonn: Köllen-Verlag 2006.
18. Dittler, U.: E-Learning Einsatzkonzepte und Erfolgsfaktoren des Lernens mit
interaktiven Medien.
19. Ernst & Young (Hrsg.): Global Information Security Survey 2003, EYG No.
FF0224, 2003.
20. Ernst & Young (Hrsg.): Global Information Security Survey 2004, EYG No.
FF0231, 2004.
21. Ernst & Young (Hrsg.): Global Information Security Survey 2006, EYG No.
AU0022, 03.06.2007.
22. European Network and Information Security Agency (Hrsg.): A User’s
Guide: How to raise Information Security Awareness 2002, Online im Internet:
http://www.cepis.org/files/cepis/docs/20070323115452_enisa_a_users_guide_h
ow_to_rai.pdf, 12.08.2007.
23. Fox, Dirk: Security Awareness - Oder: Die Wiederentdeckung des Menschen in
der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 676-680.
24. Fox, Dirk; Kaun, Sven: Security-Awareness-Kampagnen, 9. Deutscher IT-Si-
cherheitskongress des BSI, Online im Internet:
http://www.secorvo.de/publikationen/awareness-kampagnen-fox-kaun-2005.pdf,
12.08.2007.
25. Görlich, Sascha: Fundierung und Integration von E-Learning Komponenten in
die Präsenzlehre, Online im Internet: http://geb.uni-giessen.de/geb/volltexte/
2007/4535/index.html, 12.08.2007.
Literaturverzeichnis XXVIII
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
26. Hirschmann, Stefan; Romeike, Frank: IT-Sicherheit als Rating-Faktor, in:
RATINGaktuell, 01/2004, S. 12-18.
27. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-
1:1996(E) – Information technology – Guidelines for the management of IT Se-
curity – Part 1: Concepts and models for IT Security, Online im Internet (kos-
tenpflichtig): www.iso.org, 12.08.2007.
28. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-
3:1998 – Information technology - Guidelines for the management of IT Security
- Part 3: Techniques for the management of IT Security, Online im Internet
(kostenpflichtig): www.iso.org, 12.08.2007.
29. International Organization for Standardization (Hrsg.): ISO/IEC TR 13335-
4:2000 – Information technology - Guidelines for the management of IT Security
- Part 4: Selection of safeguards, Online im Internet (kostenpflichtig):
www.iso.org, 12.08.2007.
30. International Organization for Standardization (Hrsg.): ISO/IEC
17799:2005, Information technology – Security techniques – Code of practice for
information security management, Online im Internet (kostenpflichtig):
www.iso.org, 12.08.2007.
31. International Organization for Standardization (Hrsg.): ISO/IEC
27001:2005, Information technology – Security techniques – Information security
management systems – Requirements, Online im Internet (kostenpflichtig):
www.iso.org, 12.08.2007.
32. International Security Forum (Hrsg.): ISF best practices 2004, Online im
Internet: http://www.isfsecuritystandard.com/index_ns.htm, 12.08.2007.
33. ITSecCity (Hrsg.): Secorvo bieten neuen Kurs zum IT-Sicherheitsexperten,
Online im Internet: http://www.itseccity.de/?url=/content/markt/nachrichten/
061116_mar_nac_teletrust.html, 12.08.2007.
34. Kleimann, Bernd; Wannemacher, Klaus: E-Learning an deutschen Hochschu-
len – Von der Projektentwicklung zur nachhaltigen Implementierung, Hannover:
HIS 2004.
35. Kompetenzzentrum Electronic Commerce Bonn/Rhein-Sieg (Hrsg.): Ganz-
heitliche Sichterheit für elektronisch gestützte Geschäftsprozesse - Eine Praxis-
hilfe für kleine und mittlere Unternehmen (KMU), Bonn, Rhein-Sieg, 2003.
36. Kunz, Thomas: IT-Security – Ausbildung mit einem multimedialen CBT, in: E-
Learning – Einsatzkonzepte und Erfolgsfaktoren des Lernens mit interaktiven
Medien, Hrsg.: Dittler, U., 2. Auflage, München; Wien: Oldenbourg Verlag 2003.
Literaturverzeichnis XXIX
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
37. Kurzlechner, Werner: IT-Sicherheit: Firmen haften für ihre Mitarbeiter, Online
im Internet: http://www.cio.de/_misc/article/printoverview/index.cfm?
pid=185&pk=834373&op=pdf, 12.08.2007.
38. Lau, Christoph: eLearning – Lernprozess und Lernfortschrittskontrolle, Ham-
burg: Diplomica GmbH 2003.
39. Laudon, Kenneth C.; Laudon, Jane P.; Schoder, Detlef: Wirtschaftsinformatik
– Eine Einführung, München et al.: Pearson Studium 2006.
40. Mayrhofer, Wolfgang; Meyer, Michael: Organisationskultur, in: Schreyögg,
Georg; v. Werder, Axel (Hrsg.): Handwörterbuch Unternehmensführung und
Organisation, 4. völlig neu überarbeitete Auflage, Stuttgart: Schäffer-Poeschel
2004, S. 1025- 1033.
41. National Institute of Standards and Technology (Hrsg.): NIST Special
Publication 800-12, Online im Internet: http://csrc.nist.gov/publications/
nistpubs/800-12/handbook.pdf, 12.08.2007.
42. National Institute of Standards and Technology (Hrsg.): NIST Special
Publication 800-16 – Information Technology Security Training Requirements: A
Role- and Performance-Based Model 1998, Online im Internet:
http://csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf, 12.08.2007.
43. National Institute of Standards and Technology (Hrsg.): NIST Special
Publication 800-50 - Building an Information Technology Security Awareness
and Training Program 2003, Online im Internet: http://csrc.nist.gov/
publications/nistpubs/800-50/NIST-SP800-50.pdf, 12.08.2007.
44. Niegemann, Helmut M.: Besonderheiten einer Didaktik des E-Learning, in:
Grundlagen der Berufs- und Erwachsenenbildung, Band 48, eLearning-Didaktik,
Hrsg.: Arnold, Rolf; Lermen, Markus, Baltmannsweiler: Schneider Verlag 2006.
45. OECD (Hrsg.): OECD Guidelines for the Security of Information Systems and
Networks: Towards a Culture of Security, Online im Internet:
http://webdomino1.oecd.org/COMNET/STI/IccpSecu.nsf?OpenDatabase,
12.08.2007.
46. OECD (Hrsg.): Implementation Plan For The OECD Guidelines for the security
of information systems and networks: towards a culture of security, Online im
Internet: http://www.oecd.org/dataoecd/23/11/31670189.pdf, 12.08.2007.
47. OECD (Hrsg.): The Promotion of a Culture of Security for Information Systems
and Networks in OECD Countries, Online im Internet:
http://www.oecd.org/dataoecd/16/27/35884541.pdf, 12.08.2007.
48. o. V.: <kes> Microsoft Sicherheitsstudie - Lagebericht zur Informations-Sicher-
heit (Sonderdruck für Microsoft), in: <kes> Die Zeitschrift für Informations-Si-
cherheit, Sonderdruck für Microsoft 2006.
Literaturverzeichnis XXX
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
49. o. V.: Entsicherung am Arbeitsplatz, in <kes> Die Zeitschrift für Informations-
Sicherheit, 6/2006, S. 61-62.
50. o. V.: Zertifizierung gemäß ISO 27001, Online im Internet,
http://www.tuv.com/de/zertifizierung_gemaess_iso_27001.html#2, 12.08.2007.
51. Porter, Michael E.: Competitive Advantage – Creating and Sustaining Superior
Performance, London, New York: Collier Macmillan Publishers 1985.
52. Price Waterhouse Coopers (Hrsg.): The Global State of Information Security,
Online im Internet: http://www.pwchk.com/webmedia/doc/6329494858
91990448_info_security_sep2006.pdf, 12.08.2007.
53. Rühli, E.: Unternehmungskultur – Konzepte und Methoden, in: Rühli, E.; Keller,
A. (Hrsg.): Kulturmangement in schweizerischen Industrieunternehmungen,
Bern, Stuttgart: Paul Haupt Verlag 1991, S. 11- 49.
54. Sackmann, Sonja A.: Unternehmenskultur – Erkennen – Entwickeln – Verän-
dern, Neuwied et al.: Luchterhand 2002.
55. Sackmann, Sonja A.: Erfolgsfaktor Unternehmenskultur – Mit kulturbewusstem
Management Unternehmensziele erreichen und Identifikation schaffen – 6 best
Practice-Beispiele, 1. Auflage, Wiesbaden, Gabler Verlag 2004.
56. Sauter, Annette M.; Sauter, Werner; Bender, Harald: Blended Learning –
Effiziente Integration von E-Learning und Präsenztraining, 2., erweiterte und
überarbeitete Auflage, Neuwied et al.: Luchterhand 2004.
57. Schein, Edgar H.: Coming to a New Awareness of Organizational Culture, in:
Sloan Management Review, 25. Jg., 2/1984, S. 3- 16.
58. Schlienger, Thomas: Informationssicherheitskultur in Theorie und Praxis –
Analyse und Förderung soziokultureller Faktoren der Informationssicherheit in
Organisationen, Fribourg: iimt University Press: 2006.
59. Schmidt, Inna: Blended E-Learning – Strategie, Konzeption, Praxis, Saarbrü-
cken: VDM Verlag 2005.
60. Schreyögg, Georg: Organisationskultur, in: Frese, Erich (Hrsg.): Handwörter-
buch der Organisation, 3. völlig neu gestaltete Auflage, Stuttgart: Schäffer-Poe-
schel 1992, S. 1525- 1537.
61. Schulmeister, R: Lernplattformen für das virtuelle Lernen – Evaluation und
Didaktik, 2. Auflage, München, Wien: Oldenbourg Verlag 2005.
62. Schwickert, Axel C.; Hildmann, Jochen; Voß, Christoph: Blended Learning
in der Universität – Eine Fallstudie zur Vorbereitung und Durchführung, in: Ar-
beitspapiere WI, Nr. 9/2005, Hrsg.: Professur BWL – Wirtschaftsinformatik,
Justus-Liebig-Universität Gießen 2005, 36 Seiten, ISSN 1613-6667.
Literaturverzeichnis XXXI
Arbeitspapiere Wirtschaftsinformatik – Nr. 1/2010
63. Silicon.de (Hrsg.): IT-Sicherheit 2005 - Ringen mit dem steigenden Aufwand -
Auszüge aus der aktuellen silicon.de-Studie 'IT-Sicherheit 2005, Online im In-
ternet: http://www.sicherheitsforum-bw.de/x_loads/siliconDEStudie_IT_
Sicherheit2005.pdf, 12.08.2007.
64. Siponen, Mikko T.: A conceptual foundation for organizational information
security awareness, in: Information Management & Computer Security, 8
(1)/2000, S. 31-41.
65. Statistisches Bundesamt (Hrsg.): Informationstechnologie in Unternehmen und
Haushalten 2005, Online im Internet: http://www.destatis.de/
download/d/veroe/Pressebroschuere_IKT2005.pdf, 12.08.2007.
66. Staub, Timo; Friesendorf, Christoph Isler; Kurian, Matthai; Reimann, Mi-
chael: The International Relations and Security Network’s e-Learning Project,
Online im Internet: http://www.isn.ethz.ch/edu/el_about/ _doc/project_
description_en.pdf, 12.08.2007.
67. Stickel, Eberhard; Groffmann, Hans-Dieter; Rau, Karls-Heinz:
Wirtschaftsinformatiklexikon, Wiesbaden: Gabler 1997.
68. von Solms, Basie: Information Security – The Third Wave, in: Computers &
Security, 19/2000, S. 615- 620.
69. Wendt, Matthias: Praxisbuch CBT und WBT – konzipieren, entwickeln, gestal-
ten, München, Wien: Carl Hanser Verlag 2003.
70. Wirtschafts- und sozialpolitisches Forschungs- und Beratungszentrum der
Friedrich-Ebert-Stiftung Abt. Wirtschaftspolitik (Hrsg.): (Un–) Sicherheit im
Internet - Wege zu einem besseren Schutz für Unternehmen und private Nutzer,
Online im Internet, http://library.fes.de/pdf-files/fo-wirtschaft/ 03014.pdf,
12.08.2007.
Impressum
Reihe: Arbeitspapiere Wirtschaftsinformatik (ISSN 1613-6667) Bezug: http://wiwi.uni-giessen.de/home/Schwickert/arbeitspapiere/ Herausgeber: Prof. Dr. Axel C. Schwickert
Prof. Dr. Bernhard Ostheimer
c/o Professur BWL – Wirtschaftsinformatik
Justus-Liebig-Universität Gießen
Fachbereich Wirtschaftswissenschaften
Licher Straße 70
D – 35394 Gießen
Telefon (0 64 1) 99-22611
Telefax (0 64 1) 99-22619
eMail: [email protected]
http://wi.uni-giessen.de Ziele: Die Arbeitspapiere dieser Reihe sollen konsistente Überblicke zu den
Grundlagen der Wirtschaftsinformatik geben und sich mit speziellen
Themenbereichen tiefergehend befassen. Ziel ist die verständliche
Vermittlung theoretischer Grundlagen und deren Transfer in praxisori-
entiertes Wissen. Zielgruppen: Als Zielgruppen sehen wir Forschende, Lehrende und Lernende in der
Disziplin Wirtschaftsinformatik sowie das IT-Management und Praktiker
in Unternehmen. Quellen: Die Arbeitspapiere entstehen aus Forschungsarbeiten, Abschluss-,
Studien- und Projektarbeiten sowie Begleitmaterialien zu Lehr- und
Vortragsveranstaltungen der Professur BWL – Wirtschaftsinformatik,
Univ. Prof. Dr. Axel C. Schwickert, Justus-Liebig-Universität Gießen
sowie der Professur für Wirtschaftsinformatik, insbes. medienorientierte
Wirtschaftsinformatik, Fachbereich Wirtschaft, Hochschule Mainz. Hinweise: Wir nehmen Ihre Anregungen und Kritik zu den Arbeitspapieren auf-
merksam zur Kenntnis und werden uns auf Wunsch mit Ihnen in Verbin-
dung setzen. Falls Sie selbst ein Arbeitspapier in der Reihe veröffentlichen möchten,
nehmen Sie bitte mit dem Herausgeber unter obiger Adresse Kontakt
auf. Informationen über die bisher erschienenen Arbeitspapiere dieser Rei-
he erhalten Sie unter der Adresse http://wi.uni-giessen.de.
Alle Arbeitspapiere der Reihe „Arbeitspapiere WI“ sind einschließlich aller Abbildungen urheberrechtlich geschützt. Jede
Verwertung außerhalb der Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Herausgebers unzulässig. Dies
gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung, Be- und Verarbeitung
in elektronischen Systemen. Copyright Professur BWL – Wirtschaftsinformatik