![[Screenshot]](70-1.jpg)
Beispielseite der Lern-CD
Es kann davon ausgegangen werden, dass – beruhend auf Feststellungen aus Kontakten und Projekten mit Institutionen sowie Marktanalysen (KES-Studie 2000) – das Wissensniveau der Mitarbeiter auf den Sektoren IT-Sicherheit und Datenschutz mit Ausnahme der IT-Sicherheitsspezialisten nicht den Anforderungen entspricht, die aufgrund des Einsatzes der Informations- und Kommunikationstechnologien in Unternehmen und Behörden gestellt werden müssten. Nach wie vor sind die Mitarbeiter die Schwachstelle Nr. 1 bei der Gestaltung sicherer IT-Systeme. Dies ist die Folge unzureichender Ausbildungskonzepte und -maßnahmen und der insbesondere mit dem Frontalunterricht verbundenen Kosten. Des Weiteren wissen die Institutionen in der Regel nicht, wie sie das Problem einer guten Aus- und Weiterbildung auf diesem Sektor anders als beispielsweise durch firmeninterne Seminare und Fortbildungsveranstaltungen lösen sollen.
Ziel sollte es daher sein, ein Medium zu entwickeln, um die Defizite bei Wissen und Ausbildung in IT-Sicherheit in deutschen Unternehmen und Behörden – auch in Teilbereichen (Organisationseinheiten) und Sondergebieten (Notfallmanagement, Katastrophenbewältigung) zu beseitigen, um den Bildungsstand auf ein dem Technologieeinsatz entsprechendes Niveau zu bringen und die Ausbildungsmethoden in Institutionen zu verbessern.
Elektronische Medien haben die Berufswelt und damit die Formen beruflicher Kommunikation verändert – unabhängig davon, dass eine sichere und verlässliche Nutzung der neuen Möglichkeiten nicht selbstverständlich ist, insbesondere wenn es sich um vernetzte Computersysteme handelt. Solange es keine Fortschritte beim Wissensniveau von Führungskräften, Mitarbeitern und bei Auszubildenden gibt, werden Surfen im Internet und der Austausch von E-Mails – ob mit privaten, staatlichen, beruflichen, wirtschaftlichen oder wissenschaftlichen Inhalten – weiterhin Gefahren ausgesetzt sein. Diese bestehen zum Beispiel in Datenmanipulation, Datenverlust, Computerspionage, dem Handeln unerwünschter Dritter oder anderen Bedrohungen.
Ganz allgemein findet berufliches Handeln heute nahezu ausschließlich in der "Computerwelt" statt. Interaktionen werden virtuell, also indirekter, elektronisch-digital vermittelt – wobei immer deutlicher erkennbar und auch bewusster wird, dass sichere und vertrauenswürdige elektronische Kommunikation nicht automatisch von der Eigengesetzlichkeit vernetzter Informations- und Kommunikationstechnik zu erwarten ist.
Grundsätzlich gibt es, soweit erkennbar, bislang nirgendwo ein medienpädagogisch begründetes Konzept, in dem der Wandel des kommunikativen Umfeldes – zumal in der Arbeitswelt – ausdrücklich bezogen wird auf die Entwicklung eines Datenschutz- und IT-Sicherheitsbewusstseins im Umgang mit vernetzten Computersystemen. Die breit geführte Diskussion um "Medienkompetenz" wird eine Konkretisierung in dem Sinne erhalten müssen, damit informationstechnische Sicherheitskompetenz und Sicherheitskultur unabweisbar als kulturell, sozial und beruflich geforderte Basisqualifikation angesehen werden.
Aus diesen Erkenntnissen hat das Bundesministerium für Bildung und Forschung (BMBF) ein Projekt für berufsbildende Schulen aufgesetzt, welches auf die Entwicklung eines Datenschutz- und IT-Sicherheitsbewusstseins sowie entsprechender vertiefter Kenntnisse ausgerichtet ist und von dem richtigen Grundsatz ausgeht, dass bereits Auszubildende an das richtige Denken herangeführt werden sollen. Es geht darum, informationstechnische Sicherheitskompetenz und Sicherheitskultur vor allem als berufliche, aber auch als kulturell-soziale Basisqualifikation zu fördern. Zwei wesentliche Bestandteile darin sind die Entwicklung eines Bewusstseins für Datenschutz und IT-Sicherheit. Die Grundlagen-CD-ROM stellt "multimedial aufbereitete Lehr- und Lerninhalte" über diese Themen zur Verfügung. Es liegt nahe, ein so interessantes und wichtiges Projekt nicht nur auf Auszubildende und Schulen zu begrenzen, sondern – auf diesen Grundlagen aufbauend – Lösungen auch für andere Mitarbeiter im Unternehmen zu entwickeln.
Es ist vielmehr ein intendiertes Ziel, das Lernangebot modular zu gestalten, um es in unterschiedlichen, auch branchen-/wirtschaftszweigspezifischen Lernprozessen einsetzen und mit signifikanten Lernbeispielen anreichern zu können.
Beispielseite der Lern-CD
Das Inhaltskonzept für IT-Sicherheit und Datenschutz beruht auf dem Grundgedanken, dass alle Varianten der CD einen gemeinsamen Nenner haben. Dieser ist in dem allgemeinen Teil der jeweiligen CD ohne Vertiefungen und Spezialisierungen enthalten. Hieraus ergibt sich, dass beide Teile der CD feststehende Basisinhalte und variable ergänzende Inhalte haben.
Der Gegenstand der Vertiefungen und Spezialisierungen ergibt sich aus den besonderen IT-Sicherheits- und Datenschutzproblemen der betreffenden Branche/des Wirtschaftszweiges und der Bedeutung, die bestimmte Probleme entweder dort ausschließlich oder aber zusammen mit anderen Branchen/Wirtschaftszweigen haben.
Die anstehenden Probleme in den Unternehmen/Behörden sind nicht notwendigerweise immer gleichgewichtig; bei einigen überwiegen die IT-Sicherheitsprobleme, bei anderen ist die Datenschutzschulung/-ausbildung notleidend.
Die sich aus dieser Überlegung ergebende Unterteilung ist nicht allgemein gültig. Sie ergibt sich vielmehr aus Überlegungen, die sowohl das Potenzial als auch die typischen Problemstellungen einschließen. So ist zum Beispiel sinnvoll, den Wirtschaftszweig "Industrie" noch stärker branchenorientiert zu unterteilen in zum Beispiel Autoindustrie, Chemie oder Kunststoffverarbeitung.
Auch der allgemeine Dienstleistungssektor hat ein beachtliches Gewicht mit durchaus eigenständigen Problemen, zum Beispiel Rechtsberatung, Steuerberatung/Wirtschaftsprüfung, im finanzwirtschaftlichen Sektor oder bei der Softwareerstellung. Unter dem Aspekt der Differenzierung ergeben sich verschiedene Möglichkeiten, branchen- und/oder wirtschaftszweigspezifische Lösungen vorzusehen.
IT-Sicherheit
IT-Sicherheitsinhalte
IT-Sicherheitszielsetzung
Notfall-, Katastrophen- und Wiederanlaufplanung
Richtlinien und Regelungen zur IT-Sicherheit
Protokolldatenerfassung und -auswertung
IT-Sicherheit verstehen
IT-Sicherheitsbewusstsein entwickeln
IT-Sicherheit erreichen: Bedrohungen wahrnehmen und erkennen
Verfügbarkeit, Integrität, Vertraulichkeit, Verbindlichkeit
Grundfunktionen sicherer IT-Systeme
Ursachen für das IT-Sicherheitsbedürfnis
Gesetzliche Ursachen
Intern-orientierte Ursachen
Extern-orientierte Ursachen
Persönliche Betroffenheit
Themenfeld Verschlüsselung: Kryptographie
Verschlüsselungsverfahren/-techniken
Einsatzfelder der Kryptographie
Kriterien für Anforderungen an Verschlüsselungssysteme
Organisatorische Komponente des Schlüsselmanagements
Die Grundlagen-CD-ROM für besondere Nutzergruppen
IT-Sicherheit in unserem Unternehmen
IT-Sicherheitsstrategie
Entwicklung von Kriterien für eine IT-Sicherheitspolitik
Aufbau und Inhalt von IT-Sicherheitskonzeptionen
Bewertung der bedrohten Objekte
Bestimmung der Häufigkeit von Schäden
Bestimmung und Zusammenstellung der aktuellen Risiken
Auswahl von Maßnahmen
Regeln schaffen und befolgen
Für IT-Sicherheit verantwortlich sein
Bewertung der Maßnahmen
Kosten-Nutzen-/Gesamtkostenbetrachtung
Restrisikoanalyse
Digitale Signatur
Tabelle 1: Inhaltskonzept der Lern-CDs "IT-Sicherheit"
Datenschutz ist ein vielfach wenig geliebtes Thema. Fest steht jedoch, dass die Unternehmen und Behörden zwar kraft Gesetzes zum Datenschutz verpflichtet sind, aber der betriebliche/behördliche Datenschutzbeauftragte häufig nicht die Zeit hat, die Mitarbeiter so gewissenhaft zu schulen, wie es das Gesetz verlangt und er es eigentlich müsste. Die Arbeit eines wertvollen Mitarbeiters – des betrieblichen/behördlichen Datenschutzbeauftragten – zu rationalisieren und einem gesetzlichen Auftrag nachzukommen, ist das Ziel des Datenschutzteiles dieser CD. Die Inhalte zeigt Tabelle 2.
Genereller Datenschutz
Allgemeine und übergeordnete Datenschutzaspekte
Das Recht auf informationelle Selbstbestimmung
Bereiche des Datenschutzes
Datenschutz als nicht personenbezogener Datenschutz
Gesetzliche Basis
Technische und organisatorische Maßnahmen
Einhaltung von Datenvermeidung und Datensparsamkeit
Durchführung von Datenschutzaudits und ihr Zweck
Durchführung von Vorabkontrollen
Datenschutz für besondere Nutzergruppen (Unternehmen, Wirtschaftszweige)
Datenschutzstrategie und Datenschutzpolitik
Realisierung des Datenschutzes
Datenschutzziele/-zielniveau (konkret)
Datenschutzbeauftragter, Bereichsdatenschutzbeauftragte/-koordinatoren
Kooperationspartner des Datenschutzbeauftragten (Revision etc.)
Zu verpflichtende Personen, Verpflichtungserklärung
Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für ihre Pflichten und Rechte
Allgemeine Datenschutzrichtlinien
Datenschutzfragen einer Internet-Nutzungskonzeption
Spezielle Probleme des Arbeitnehmerdatenschutzes
Unterweisung, Schulung und Fortbildung auf dem Datenschutzsektor
Tabelle 2: Inhaltskonzept der Lern-CD "Datenschutz" (Auszug)
Datenschutzfragestellungen sind häufig dadurch gekennzeichnet, dass außer dem Bundesdatenschutzgesetz (BDSG) noch andere Gesetze von konkreter Relevanz sein können. So gibt es zum Beispiel auf dem Gesundheitssektor landesspezifische Gesetze oder für Telekommunikationsunternehmen bestimmte Telekommunikationsgesetze. Dies kann zu recht individuellen spezifischen Lerninhalten führen.
Grundprinzipien der Gestaltung sind im Hinblick auf die Modernität des Mediums und des didaktischen Konzeptes:
Motivation für die Thematik und persönliche Betroffenheit sind als Grundvoraussetzungen für sicherheitsbewusstes Handeln anzusehen. Hier sollen insbesondere die multimediale Form und das Konzept der Darstellung typischer Szenen und Vorfälle aus dem betrieblichen Alltag zu einer hohen Identifikation mit dem Thema führen.
Animiertes Lernen und Wissensvermittlung werden durch die Darstellung der Alltagssituation, mit dem hohen Wiedererkennungswert der eigenen Sachlage sowie durch das Konzept der "Wissensebenen" erreicht. Die konkrete Lösung basiert auf sog. Pfaden, die Szenen aus dem betrieblichen Alltag abbilden und die jeweils ein Problem in seinen verschiedenen Aspekten darstellen. Zu ihrer Lösung wird neben den szenischen Perspektiven ein präzises Angebot an Hintergrundwissen dargeboten, welches der Problemlösung dient und gleichzeitig über verschiedene Pfade vernetzt ist. Hierdurch ist es möglich, unterschiedliche Gesichtswinkel des gleichen oder vergleichbaren Problems wissensmäßig auf eine gemeinsame Basis zurückzuführen, was zu deutlichen Rationalisierungen im Lernprozess führt.
Die Wissensebenen erlauben insbesondere an denjenigen Stellen Vertiefungen, wo der Lernende selbst Defizite feststellt, und das Überspringen von Lerninhalten, wo er sich subjektiv besonders gut vorgebildet fühlt oder wo von seiner subjektiven Interessenlage her eine Vertiefung nicht sinnvoll ist. Die Informationstechnik selbst generiert die Regeln, nach denen das Lernen ablaufen muss.
Eine Wissenskontrolle ergänzt den Lernprozess und ermöglicht es, die individuelle Position innerhalb des Lernstoffes zu bestimmen. Dieser Prozess ist im Prinzip zweigeteilt und erlaubt eine Vorabprüfung des vorhandenen Wissens sowie eine Prüfung nach Durcharbeitung bestimmter Lerninhalte. Die Lernerfolgskontrolle wird von einem "College" aus gesteuert. Von dort aus können auch bestimmte der untenstehenden Gebiete direkt angesprochen werden. Es ist in einer späteren Phase geplant, ein Spiel einzubauen, in dem interaktiv in dem Problemfeld gearbeitet werden kann.
Aufbauend auf den dargestellten konzeptionellen Grundlagen einer Individualisierung der Inhalte ist folgende Struktur der möglichen Produktvariation vorgesehen:
Diese Variationen sind durch das Modulkonzept möglich. Modularisiert sind sowohl die Pfade/Alltagsszenen als auch insbesondere die Wissenshintergründe. Die Tabellen 3 und 4 verdeutlichen dies durch je ein Beispiel. Aufgrund der Modularität und Variabilität des Konzeptes ließe sich zur Anpassung zum Beispiel im Gesundheitswesen ein Pfadmodul "Der neue Patient" mit den Inhalten "Datenschutzaspekte der Patientenaufnahme" denken.
| Pfadmodul | Themeninhalt |
|---|---|
| Der Systemcrash | Organisation der IT-Sicherheit, Notfallmanagement |
| IT-Sicherheit im Wohnzimmer | IT-Sicherheit bei der Telearbeit |
| Der Vortragsreisende | IT-Sicherheit im Umgang mit mobilen Geräten |
| Der unfreiwillige Innentäter | Basissicherheit, Passwortschutz etc. |
| Kollege Datenschützer | Datenschutzlösungen im Unternehmen |
| Der Identitätsräuber | Verletzungen des Datenschutzes im Internet |
Tabelle 3: Das Pfadkonzept zeigt den Zusammenhang zwischen Pfaden und Themeninhalten.
| Wissensgebiet | Wissenshintergrund |
|---|---|
| Kryptographie | Geschichte der Kryptographie |
| Literatur der Kryptographie | |
| Kryptographie für Anfänger | |
| Kryptographie für Fortgeschrittene | |
| Geheimschriften | |
| Steganographie | |
| PGP | |
| Lerntest |
Tabelle 4: Die Wissensgebiete sind in einer "Bibliothek" abgelegt und können von dort aus auch direkt aufgerufen werden ohne den Weg über die Pfade gehen zu müssen.
In der für die Schulen bestimmten CD ist noch ein Sonderpfad mit Wissenshintergrund enthalten, der sich mit dem Problem des Persönlichkeitsschutzes als Grundlage des Datenschutzes befasst. Hier können auch Lerninhalte abgerufen werden, die sich mit Fragen nach der Wahrung der Persönlichkeitsrechte und dem Datenschutz als Selbstschutz des Bürgers befassen. Weiterhin enthält die Schul- CD ein umfangreiches Paket über den Datenschutz in Schulen und die hieraus hervorgehenden Fragen zur Lösung von Vertraulichkeitsproblemen im Schulalltag.
Das Projekt "Sichere IT-Nutzung in Aus- und Weiterbildung" hat zum Ziel, Auszubildende und Mitarbeiter zu mündigen Teilnehmern und Nutzern moderner Medien zu erziehen. Die Verbreitung moderner Medien schreitet unaufhörlich voran, die Nutzer werden immer jünger. Das erfordert eine baldige Befähigung zur Selbstbestimmung in Fragen von Datenschutz und IT-Sicherheit. Die Zielgruppe "Mitarbeiter" wird im beruflichen Alltag "abgeholt".
Um die Zielgruppen möglichst effizient in die Thematik einzuweisen, wird eine interaktive CD-ROM erarbeitet, die dem Zeitgeschmack gerecht wird und zugleich die geltenden rechtlichen Elemente und organisatorischen Lösungen von IT-Sicherheit und Datenschutz vereint. Es wird zudem auf die Entwicklung von ethischer und moralischer Verantwortung abgezielt. Die Auszubildenden und anderen Mitarbeiter sollen die Gründe verstehen, warum Handlungen wie Hacking und Datenklau strafbar sind und sollen aufgrund dieser gewonnenen Einsichten die "richtigen" eigenen Werte entwickeln.
Um die Einsatzfähigkeit der fertiggestellten Grundlagen -CD-ROM sicherzustellen, werden Vorabtests durchgeführt. Die während dieses Tests gewonnenen Erkenntnisse werden entsprechend in die Grundlagen -CD-ROM eingearbeitet.
Die Auftragnehmer dieses BMBF-Projektes sind Dr. Otto Ulrich (Institute for Creative Technology Multimedia@Datenschutz, Bonn), UIMC – Dr. Vossbein GmbH & Co. KG (Wuppertal) und das Unabhängige Landeszentrum für Datenschutz (ULD, Kiel). Sie betreuen das Projekt gemeinsam, wobei Dr. Otto Ulrich die künstlerische Leitung hat, die UIMC für die administrative Leitung, die organisatorische Abwicklung und die fachlichen Probleme der IT-Sicherheit sowie spezielle Datenschutzprobleme zuständig ist und das ULD für die Gebiete Datenschutz (allgemein) sowie Datenschutz in der Schule verantwortlich zeichnet.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2002, Seite 70
