Anforderungsanalyse und Entwurf eines Computer Based Trainings (CBT) als Beitrag zur themenbezogenen Sensibilisierung für die Belange der IT-Sicherheit in der Deutschen Bundesbank

Inhaltsverzeichnis

1 Notwendigkeit und Motivation

2 Theoretische Betrachtungen
2.1 Die Sensibilisierung für die IT-Sicherheit
2.1.1 Notwendigkeit von IT-Sicherheitsbewusstsein
2.1.1.1 Rolle des Mitarbeiters in der IT-Sicherheit
2.1.1.2 Verhältnis der Mitarbeiter zur IT-Sicherheit
2.1.2 Vorgehen bei der Sensibilisierung
2.1.2.1 Aufmerksamkeit
2.1.2.2 Wissen und Einstellung
2.1.2.3 Verstärkung
2.1.2.4 Öffentlichkeit / Kontrolle
2.1.3 Notwendige Rahmenbedingungen
2.2 CBT als Form des elektronisch unterstützen Lernens
2.2.1 Abgrenzung der Begrifflichkeiten
2.2.2 Dimensionen elektronisch unterstützten Unterrichts
2.2.2.1 Psychologische Lerntheorien bzw. Lernparadigmen
2.2.2.2 Klassifikation von Wissen
2.2.2.3 Typologie didaktischer Strategien
2.2.3 Rahmenbedingungen für erfolgreiches elektronisch unterstützten Lernen im Unternehmen
2.2.3.1 Aspekte der Lernkultur
2.2.3.2 Voraussetzungen der Zielgruppe
2.2.3.3 Technische Voraussetzungen
2.2.4 Möglichkeiten und Grenzen des elektronisch unterstützten Lernens
2.3 Der Entwicklungsprozess von Lernsoftware nach der Methode IntView
2.3.1 Das Neue der Methode
2.3.1.1 Interdisziplinärer Ansatz
2.3.1.2 Durchgängige Qualitätssicherung
2.3.2 Die Methode im Überblick
2.3.2.1 Darstellung der einzelnen Phasen
2.3.2.2 Sicherung der Qualität

3 Problembeschreibung, Anforderungsspezifikation und Grobkonzept
3.1 Problembeschreibung
3.1.1 Bedarf eines CBT zur Schaffung von IT-Sicherheitsbewusstsein in der Bundesbank
3.1.2 Gegebene Situation für den Einsatz eines CBT in der Bundesbank
3.1.2.1 Technische Voraussetzungen der Bundesbank-Arbeitsplätze
3.1.2.2 Vorhandene Arbeits- und Lernsituation in der Bundesbank
3.1.3 Erste Ideen für eine mögliche Lösung
3.1.4 Analyse am Markt verfügbarer CBT für IT-Sicherheit
3.2 Spezifikation der Anforderungen
3.2.1 Analyse der Zielgruppe der Mitarbeiter
3.2.1.1 Relevante Merkmale für eine Zielgruppenanalyse
3.2.1.2 Ausprägungen der Merkmale bei den Mitarbeitern der Bank
3.2.2 Analyse des bestehenden Lernbedarfs auf dem Gebiet der IT-Sicherheit
3.2.3 Spezifikation der Anforderungen an die Dimensionen
3.2.3.1 Themengebiete und Lernziele
3.2.3.2 Didaktische Strategie
3.2.3.3 Präsentation der Inhalte
3.2.3.4 Funktionalitäten innerhalb der Software
3.2.4 Architekturelle Festlegungen zur Integration in der Bundesbank
3.2.5 Vorbereitung der Evaluation des CBT
3.3 Grobkonzept der Lernsoftware
3.3.1 Entwurf der Dimensionen der Lernsoftware
3.3.1.1 Module, Lerneinheiten und Lernziele (Inhalt)
3.3.1.2 Interaktion, Adaptivität und Motivation (Didaktik)
3.3.1.3 Benutzeroberfläche und Integration aller Elemente (Inhaltspräsentation)
3.3.1.4 Ablaufsteuerung und Funktionsvorrat (Funktionalität)
3.3.2 Festlegung der Rahmenbedingungen für die Entwicklung
3.4 Ausblick auf die weiteren Schritte

4 Integration des CBT in die Deutschen Bundesbank

ABKÜRZUNGSVERZEICHNIS

Abbildung 1: Prozess der IT-Sicherheit

Abbildung 2: Die vier Phasen einer Security Awareness-Kampagne

Abbildung 3: Heuristisches Lernmodell

Abbildung 4: Produktzentriertes Lebenszyklus-Modell von IntView

Abbildung 5: Bildschirmlayout für die Eingangsseite und die Modulübersicht

Abbildung 6: Bildschirmlayout innerhalb der Module

1 Notwendigkeit und Motivation

Die Deutsche Bundesbank bildet als Zentralbank der Bundesrepublik Deutsch­land einen integralen Bestandteil des Europäischen Systems der Zentralban­ken (ESZB). Unter dem vorrangigen Ziel, die Preisstabilität im Europäischen Wirt­schafts- und Währungsraum zu gewährleisten, nimmt sie die ihr nach dem Bundesbankgesetz und anderen Rechts­vorschriften zugewiesenen Aufgaben wahr.^[1] Zu den Kerngeschäftsprozessen zählen im Wesentlichen die Umsetzung der geldpolitischen Entscheidungen, die bankmäßige Ab­wicklung des nationa­len und grenzüberschreitenden Massen- und Großbetragszahlungs­verkehrs in stabilen Zahlungs- und Verrechnungssystemen, die Beaufsichtigung der natio­nalen Kredit- und Finanzdienstleistungsinstitute sowie die Verwaltung der Wäh­rungsreserven der Bundesrepublik Deutschland und der Europäischen Zentralbank.

Abbildung in dieser Leseprobe nicht enthalten

In ihrer Leitlinie zur IT-Sicherheit stellt die Deutsche Bundesbank die zentrale Bedeu­tung sicherer und zuverlässiger Informationssysteme für die reibungslose Abwicklung dieser Geschäftsprozesse heraus. Diese Leitlinie, die sich an den nationalen und inter­nationalen Standards zur IT-Sicherheit (IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), BS ISO / IEC 17799:2000^[2] ) orientiert, definiert einen iterativen IT-Sicherheitsprozess, der sich aus den folgenden Komponenten zu­sammensetzt:^[3]

Abbildung 1: Prozess der IT-Sicherheit (Quelle: Deutsche Bundesbank: Leitlinie zur IT-Sicherheit, S. 7)

Im Rahmen dieses IT-Sicherheitsprozesses nimmt die Awareness, die Sensibilität aller Mitarbeiter^[4] für die Belange der IT-Sicherheit, eine zentrale Position ein, die die einzel­nen Phasen des Prozesses auf einer anderen Betrachtungsebene miteinander verbindet. In diesem Zusammenhang wird betont, dass „alle beteiligten Personen [...] durch ein adäquates und sicherheitsbewusstes Verhalten zum Schutz der Informationstechnologie und der bereitgestellten bzw. verarbeiteten Daten beitragen [müssen].“^[5]

Hieraus ergibt sich die Notwendigkeit bedarfsorientierter Maßnahmen, die das Ziel ver­folgen, das Bewusstsein der Mitarbeiter der Deutschen Bundesbank für ein sicher­heitsadäquates Verhalten zu erhöhen. Zu diesen Maßnahmen zählen die gezielte Ver­mittlung des für ein sicherheitsadäquates Verhalten notwendigen Wissens und die Er­höhung der Handlungskompetenz der Mitarbeiter in den relevanten Situationen. Auf­grund der bundesweiten Verteilung der 13.619 Mitarbeiter^[6] der Deutschen Bundesbank auf die Zentrale in Frankfurt am Main sowie neun Hauptverwaltungen (HV) und zur Zeit noch 886, zukünftig 45 Filialen im gesamten Bundesgebiet, gestaltet sich die Orga­nisation von traditionellen Schulungsveranstaltungen aufwendig und kostenintensiv. Da nahezu alle Arbeitplätze mit PCs ausgestattet sind, erscheint der Einsatz eines Computer Based Training (CBT) an dieser Stelle als eine sinnvolle Alternative. Hierüber kann der Zielgruppe der Zugang zu den Lerninhalten ermöglicht werden, so dass sich kostenin­tensive Schulungsveranstaltungen vermeiden lassen. Darüber hinaus ermöglicht ein CBT selbstgesteuertes Lernen, wobei unterschiedliche Wissensstände, Lerntypen und Lernzeiten berücksichtigt werden können.

Ziel der vorliegenden Diplomarbeit ist daher, die im Hause der Deutschen Bundesbank bestehenden Anforderungen an ein CBT zu analysieren, das zur Sensibilisierung von Mitarbeitern eingesetzt werden kann, und ein auf deren spezifischen Belange abge­stimmtes Konzept zu erstellen. Im Kapitel 2 werden hierzu die theoretischen Grundla­gen zur Schaffung von IT-Sicherheitsbewusstsein, zum elektronisch unterstützten Ler­nen und zur Entwicklung von Lernsoftware nach einer Methode des Software-Enginee­ring betrachtet. Darauf aufbauend werden im Kapitel 3 die Anforderungen analysiert und die Grobkonzeption erstellt. Kapitel 4 bildet den Abschluss der Arbeit und gibt ei­nen Ausblick auf die nach der Grobkonzeption innerhalb der Bundesbank zu erledigen­den Aufgaben.

2 Theoretische Betrachtungen

Die Entwicklung eines CBT zur Sensibilisierung von Mitarbeitern für die IT-Sicherheit kombiniert verschiedene Themengebiete aus dem Informations- und Kommunikations­management. Zum einen spielt der Komplex der IT-Sicherheit eine Rolle, wobei es hier weniger um die Etablierung technischer IT-Sicherheitsmaßnahmen zum Schutz der In­formationen und Infrastrukturen geht; vielmehr steht die Schaffung von Sicherheitsbe­wusstsein bei den beteiligten Personen im Vordergrund. Zum anderen muss der Bereich des elektronisch unterstützten Lernens betrachtet werden, bei dem die Informations- und Kommunikationstechnologie zur Vermittlung von Lerninhalten und zur Unterstützung von Lernprozessen genutzt wird. Abschließend sind Aspekte des Software-Engineerings zu berücksichtigen, da dessen Methoden und Modelle für eine gezielte und strukturiert wirtschaftliche Entwicklung auch bei Lernsoftware Anwendung finden.

2.1 Die Sensibilisierung für die IT-Sicherheit

Die in Unternehmen etablierten Maßnahmen zur Sicherstellung der IT-Sicherheit konzentrieren sich zum Großteil auf die Schaffung technischer Infrastrukturen und Ver­fahren zum Schutz der Informationen und Infrastrukturen. Dies belegt eine Studie der Zeitschrift KES in Zusammenarbeit mit dem Unternehmen Microsoft aus dem Jahr 2004, die die Situation der IT-Sicherheit in Unternehmen deutschsprachiger Länder untersucht hat. Hier wurden auf die Frage nach den realisierten und geplanten Sicher­heitsmaßnahmen ausschließlich technische und organisatorische Mittel wie Firewalls, Virenschutz, Authentifizierung und kryptografische Sicherungsverfahren genannt.^[7] IT-Sicherheit lässt sich jedoch nicht nur durch bloße Technik gewährleisten, sondern be­darf auch der aktiven Unterstützung der IT-Nutzer.

2.1.1 Notwendigkeit von IT-Sicherheitsbewusstsein

2.1.1.1 Rolle des Mitarbeiters in der IT-Sicherheit

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) entsteht der Großteil der Sicherheitsvorfälle bei der Nutzung der Informationstechnologie nicht durch organi­sationsfremde Außentäter, sondern durch unsachgemäßes Verhalten der innerhalb eines Unternehmens oder einer Behörde beschäftigten Mitarbeiter.^[8] Selten ist hierbei Vorsatz oder kriminelle Energie die Ursache. Vielmehr lassen sich diese Vorfälle auf die Un­kenntnis oder Missachtung der Sicherheitsvorschriften bzw. die fehlende Übung im Umgang mit den etablierten Sicherheitsmaßnahmen zurückführen. Daneben können sie sich auch aus Bequemlichkeit und der daraus resultierenden Nachlässigkeit ergeben. Durch Sicherheitsvorfälle kann der Schutzbedarf wie die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen gefährdet werden, woraus für ein Unternehmen ne­ben Rufschädigung auch hohe Haftungsansprüche, der Verlust von Marktanteilen oder gar die Insolvenz (s. Auswirkungen des Wurms "Slammer") resultieren können.^[9]

In der bereits erwähnten Studie der Zeitschrift KES wird deutlich, dass die Befragten Irrtum und Nachlässigkeit der eigenen Mitarbeiter als den bedeutendsten Ge­fahrenbe­reich ansehen. Dieser wird damit gefährlicher als schädliche Programme („Malware“) wie Computerviren, Internet-Würmer und Trojanische Pferde eingeschätzt. Darüber hinaus wird mangelndes Bewusstsein für die IT-Sicherheit von 51 % der befragten Un­ternehmen als Hindernis für die Verbesserung der IT-Sicherheitslage gesehen und steht damit hinter fehlenden finanziellen Ressourcen an zweiter Stelle.^[10] Zu einem vergleichba­ren Ergebnis kam bereits die META Group Deutschland GmbH in ihrer Studie zur IT-Security im Jahr 2003, die in Zusammenarbeit mit der Firma TechConsult erstellt wurde. Hier stellt das geringe Sicherheitsbewusstsein der Anwender im Unter­nehmen das größte Hemmnis für die Etablierung der IT-Sicherheit dar.^[11]

2.1.1.2 Verhältnis der Mitarbeiter zur IT-Sicherheit

Kunz führt aus, dass mangelnde Sensibilität seitens der Benutzer darauf zu­rückzuführen ist, dass Sicherheitsmaßnahmen als störend, lästig, zeitraubend und teuer empfunden werden und der direkte Nutzen oftmals nicht unmittelbar einsichtig ist.^[12] Fox greift die­sen grundsätzlichen Gedanken auf und beschreibt drei negative Wirkungen von IT-Si­cherheitsmaßnahmen auf die Mitarbeiter.^[13] Demnach sind Schutzmaßnahmen

- arbeitsbehindernd: Sie verlängern grundsätzlich die Arbeitsabläufe, die jeder Mitar­beiter möglichst zu optimieren sucht. Beispielsweise wird der Zugriff auf Daten durch mehr Passworte oder deren Verschlüsselung umständlicher und zeitintensiver.
-
überzogen: Die den etablierten Maßnahmen zugrunde liegenden Bedrohungen wer­den als unrealistisch angesehen, daraus resultierende Mindestanforderungen an die Sicherheit werden als überzogen empfunden.
- ungeeignet: Die Verantwortung für die Sicherstellung der IT-Sicherheit wird den IT-Fachstellen zugeordnet, die Bedeutung des eigenen Verhaltens wird seitens der Mit­arbeiter unterschätzt.

[...]

^[1] vgl. § 3 des Bundesbankgesetzes (BBankG) in der Fassung vom 30. April 2002

^[2] Der Teil I des britischen Standard BS 7799 wurde von der ISO als BS ISO / IEC 17799:2000 übernommen; es handelt sich dabei um eine Sammlung von Empfehlungen für Informationssicherheitsverfahren und –methoden, die sich in der Praxis bewährt haben (Best Practises). Diese Empfehlungen sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte.

^[3] vgl. Deutsche Bundesbank: Leitlinie zur IT-Sicherheit (IT-Security Policy), Frankfurt am Main, 2004, S. 2 ff.

^[4] Aus Gründen der sprachlichen Vereinfachung wird im Folgenden ausschließlich die männliche Form verwendet.

^[5] vgl. Deutsche Bundesbank, Leitlinie zur IT-Sicherheit (IT-Security-Policy), Frankfurt am Main, 2004, S. 9

^[6] Stand 30. Juni 2004

^[7] vgl. o.V.: Lagebericht zur Informations-Sicherheit (2) in: KES – Die Zeitschrift zur Informations-Sicherheit, 20. Jg., 5/2004, S. 6-13

^[8] vgl. Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch, Auflage Oktober 2003, Bonn, Maßnahmenkatalog M2.198

^[9] vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 677

^[10] vgl. o.V.: Lagebericht zur Informations-Sicherheit (1) in: KES – Die Zeitschrift zur Informations-Sicherheit, 20. Jg., 4/2004, S. 6-13

^[11] vgl. META Group Deutschland GmbH: IT-Security im Jahr 2003 (Deutschland), http://www.metagroup.de, 2003, S. 67

^[12] vgl. Kunz, T.: IT-Security – Ausbildung mit einem multimedialen CBT, in: Dittler, U. (Hrsg.): E-Learning: Einsatzkonzepte und Erfolgsfaktoren des Lernens mit interaktiven Medien, 2. Auflage, München, 2003, S. 40

^[13] vgl. Fox, D.: Security Awareness. Oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: Datenschutz und Datensicherheit, 27/2003, S. 677