![[Aufmachergrafik: heller, corporate design]](06-3-023-0.jpg)
Wege der Aus- und Weiterbildung Qualifizierung in der IT-Sicherheit zwischen Breitenbildung und internationaler Norm Wege der Aus- und Weiterbildung Qualifizierung in der IT-Sicherheit zwischen Breitenbildung und internationaler NormDie Beschaffung geeigneter Fachkräfte und die Qualifizierung der eigenen Mitarbeiter spielt eine entscheidende Rolle bei der Durchführung von IT-Sicherheitsprojekten. In vielen Fällen sind zur Verfügung stehende Fähigkeiten und Arbeitskraft als begrenzender Faktor anzusehen. Die Schaffung und Erhaltung der benötigten "Human Resources" ist ein ständiger Prozess, der in weiten Teilen nur im Rahmen eines lebenslangen Lernens und damit in der so genannten Erwachsenenqualifizierung zu leisten ist.
Standen in den letzten Jahren mehr oder weniger koordinierte Investitionen in die Maßnahmen zur technischen Absicherung der IT-Infrastruktur im Vordergrund, so stellt sich heute vor allem die Frage, wie Einzelmaßnahmen in ein übergreifendes Sicherheits-Management überführt werden können. Nicht zuletzt wurde die Hinwendung zu einer prozessorientierten Betrachtung der Informationssicherheit einer Organisation durch die veränderten Rahmenbedingungen global verteilter Produktionsprozesse und den sich verschärfenden gesetzlichen Anforderungen bedingt. Eine der zentralen Forderungen in diesem Prozess ist die internationale Vergleichbarkeit der angewendeten Methoden und Normen. Mit der Reorganisation und Erweiterung internationaler Sicherheits-Standards, etwa in der ISO/IEC-27000-Reihe, werden hierfür die normativen Grundlagen geschaffen.
Umso dringender stellt sich nun die Frage nach den erforderlichen Kompetenzen und dem Fachkunde-Nachweis der Akteure, die für die Umsetzung der Standards verantwortlich sind. Auch diese Frage ist, besonders in international ausgerichteten Unternehmen, eng verknüpft mit der Forderung nach der Vergleichbarkeit von Kompetenzen und Abschlüssen. Diese Forderung ist nicht nur für Absolventen und Personalmanagement von Bedeutung: Im Rahmen der sich verschärfenden Gesetze und Marktbedingungen entscheidet ihre Umsetzung auch über Compliance und teilweise sogar über den wirtschaftlichen Erfolg der Unternehmen.
Bei der Entwicklung und Durchführung geeigneter Qualifizierungsmaßnahmen sehen sich Mitarbeiter und verantwortliche Entscheider mit einer kaum zu überblickenden Vielzahl der verschiedensten "Bildungsprodukte" mit dem Themenschwerpunkt IT-Sicherheit konfrontiert. Dabei ist die zunehmende Diversifizierung dieser Produkte durchaus zu begrüßen: stellt sie für die beteiligten Akteure doch ein erweitertes Angebot an Bildungsinhalten dar, deren jeweilige Nutzung auf die speziellen Bedürfnisse der Unternehmen und Mitarbeiter abgestimmt werden kann.
Allerdings geht diese Entwicklung mit dem tendenziellen Verlust der Transparenz von Methoden und Inhalten sowie der Qualität von Angeboten einher – was der generellen Forderung nach einer internationalen Vergleichbarkeit klar widerspricht. Entscheidend ist dabei letztlich gar nicht so sehr die Standardisierung der Inhalte, sondern vielmehr die unabhängige Kontrolle der Bildungs- und Prüfungs-Methoden sowie die Einbindung der Abschlüsse in internationale Anerkennungssysteme.
![[Illustration]](06-3-023-1.jpg)
Abbildung 1: Weiterbildungs- und Akkreditierungssystem am Beispiel von IT-Spezialisten: Als Anknüpfpunkt und Garant für internationale Standards dient die Trägergemeinschaft für Akkreditierung (TGA), in der IT fungiert die dort akkreditierte Cert-IT als Zertifizierungsstelle für 29 IT-Spezialistenprofile [6,7].
Neben den akkreditierten Studiengängen gewinnt daher in der Security-Weiterbildung die Personalzertifizierungsnorm ISO/IEC 17024 an Bedeutung, die allgemeine Anforderungen an Stellen beschreibt, die ihrerseits Personen zertifizieren. Die Norm bindet die Zertifizierungsstellen in das nationale und internationale Akkreditierungssystem ein (vgl. Abb. 1) und enthält vor allem Methoden des Qualitätsmanagements in der Personalzertifizierung. So müssen etwa die Zulassungsvoraussetzungen für Teilnehmer und Prüfer sowie die Inhalte und Prüfungsmethoden eines Bildungsproduktes in einem hohen Reifegrad beschrieben und veröffentlicht werden.
Einen entscheidenden Faktor für die Qualitätssicherung stellt die wirtschaftliche, organisatorische und personelle Unabhängigkeit der beteiligten Organisationen und Akteure dar, kurz gesagt: Wer qualifiziert darf nicht prüfen, wer prüft darf nicht zertifizieren und wer zertifiziert darf nicht akkreditieren. So entsteht ein System der gegenseitigen Kontrolle, das den Einfluss von Interessengruppen auf die Qualität und Schärfe der Prüfung weitestgehend ausschließt. Zudem umfasst das System den Zwang zum nachweisbaren Kompetenzerhalt und zur regelmäßigen Re-Zertifizierung der Teilnehmer.
Hierdurch wird eine internationale Vergleichbarkeit der Qualität eines Bildungsproduktes, der zugehörigen Prüfung und eine objektive Bewertung der Kompetenzen der Teilnehmer sichergestellt. Bildungsprodukte in der IT-Sicherheit, die sich den Qualitätsanforderungen der ISO/IEC 17024 gestellt haben sind beispielsweise der Certified Information Systems Security Professional (CISSP) und der "IT Security Coordinator" als Spezialistenprofil der beruflichen Weiterbildung (s. u.).
![[Illustration]](06-3-023-2.jpg)
Abbildung 2: Akteure der ISO/IEC-17024-Zertifizierung am Beispiel von IT-Spezialisten
In der Europäischen Union befinden sich die akademischen und beruflichen Bildungssysteme derzeit in einem historischen Umbruch. Auch dabei spielt die Forderung nach einer europaweiten und internationalen Vergleichbarkeit beruflicher Kompetenzen und Bildungsabschlüsse eine entscheidende Rolle. Ausgehend von der 1999 erfolgten Bologna-Erklärung der europäischen Bildungsminister zur Schaffung eines europäischen Hochschulraumes, ist die operative Umsetzung in Form der Einführung eines vergleichenden Leistungspunktesystems (European Credit Transfer and Accumulation System – ECTS, vgl. [1]), die Unterteilung des Hochschulstudiums in zwei Hauptzyklen (dem Bachelor- und Master-Studiengang) und die Anerkennung der Studiengänge im Rahmen eines europäischen Akkreditierungssystems bereits weit fortgeschritten.
Unter diesen Rahmenbedingungen empfiehlt der Arbeitskreis der deutschen Gesellschaft für Informatik (GI) zur universitären Bildung die Verankerung eines Basismoduls IT-Sicherheit und das Angebot vertiefender Lehrveranstaltungen. Ziel dieser Aktivitäten ist es, Studenten wie Lehrende für die Themen der IT-Sicherheit zu sensibilisieren. Darüber hinaus dürfen die Ausbildung von Sicherheitsexperten und die Forschung in diesem Gebiet nicht vernachlässigt werden. Eigenständige Bachelor- und Master-Studiengänge im Bereich IT-Sicherheit sollen hier für die notwendige Tiefe sorgen. Entsprechende Studiengänge oder -schwerpunkte befinden sich in der Entwicklung oder wurden bereits eingeführt.
Die deutschen Universitäten etablieren sich aber auch zunehmend auf dem Markt der Erwachsenenqualifizierung im Bereich IT-Sicherheit: So bieten beispielsweise die TU-Darmstadt in Zusammenarbeit mit dem Darmstädter Zentrum für IT-Sicherheit (DZI) und dem CAST e. V. ein Zertifikat "IT-Sicherheit" (![[externer Link]](../../../../images/link.gif)
www.tu-darmstadt.de/weiterbildung/) und die Ruhr-Universität Bochum in Zusammenarbeit mit der gits AG einen Fernstudiengang "Master of Applied IT Security" an ( www.is-its.org).
Analog zum Bologna-Prozess in der akademischen Bildung verfolgen die Bildungsminister der EU sowie die europäischen Sozialpartner im so genannten Kopenhagen-Prozess (auf Basis der Kopenhagener Erklärung von 2002) die Integration der beruflichen Bildung in einem europäischen Bildungsraum. Auch hier soll die Entwicklung eines Leistungspunktesystems (European Credit System for Vocational Education and Trainings – ECVET, vgl. [2]), dessen Umsetzung für das zweite Halbjahr 2006 geplant ist, die entscheidenden Impulse für die Vergleichbarkeit beruflicher Bildungsabschlüsse liefern.
In Deutschland wurden in den letzten Jahren IT-Ausbildungsberufe mit unterschiedlichen Schwerpunkten geschaffen und sehr erfolgreich eingeführt [3]. Die dreijährige Regelausbildung der Fachinformatiker, IT-System-Eletroniker, IT-System-Kaufleuten und Informatikkaufleuten erfolgt parallel in Betrieben und an berufsbildenden Schulen. Die integrierte Prüfung umfasst einen theoretischen Teil sowie die Durchführung, Dokumentation und Präsentation eines betrieblichen Praxisprojekts. Themen der IT-Sicherheit werden vor allem als Querschnittsthemen oder in der konkreten technisch-organisatorischen Umsetzung in den Abschlussprojekten behandelt. Eigenständige Ausbildungsberufe im Bereich IT-Sicherheit existieren bislang nicht. In der beruflichen Weiterbildung wurden jedoch mit dem "IT Security Coordinator" und dem "Security Technician" zwei Spezialisten-Profile geschaffen, die speziell die Informations-Sicherheit adressieren.
In der beruflichen Bildung steht naturgemäß die Aneignung beruflicher Handlungskompetenz in definierten Arbeitsprozessen im Vordergrund. Hierfür wurde von den Sozialpartnern und dem Fraunhofer ISST – im Auftrag des Bundesministerium für Bildung und Forschung (BMBF) – die Methodik der "arbeitsprozessorientierten Qualifizierung" (APO) entwickelt [4]. APO stellt in der beruflichen Weiterbildung einen Paradigmenwechsel von der seminar-orientierten Aneignung von Wissen hin zur praxisorientierten Aneignung von Kompetenzen dar.
Das Kernstück von APO ist eine betriebliche Projektarbeit, die das Arbeiten und Lernen im Unternehmen miteinander verknüpft; reine "Labor"- oder "Schulungsprojekte" sind nicht zulässig. Anhand standardisierter Prozessschritte werden profilspezifische Projekt- und Prozesserfahrungen erworben. Verpflichtend ist hierbei ein Coaching durch fachlich geeignete Dritte. Zugunsten einer flexiblen Anpassung an die realen betrieblichen Projekte wurde auf die Definition eines verbindlichen Rahmenlehrplans weitestgehend verzichtet. Hieraus resultiert eine freie Systemwahl bei der Erschließung von notwendigen Wissensinhalten. Der Vorteil für die Unternehmen liegt in der direkten Wertschöpfung durch den fortgesetzten Arbeitsprozess und dem starken Praxisbezug der Methode.
![[Illustration]](06-3-023-3.jpg)
Abbildung 3: Die Methodik der "arbeitsprozessorientierten Qualifizierung" (APO) setzt auf betriebliche Projektarbeit, die Arbeiten und Lernen miteinander verknüpft.
Umgesetzt wurde die Methodik im dreistufigen IT-Weiterbildungssystem in der anerkannten beruflichen Bildung: Dieses sieht eine Vertiefungs- und Aufstiegsqualifizierung vom IT-Spezialisten über den operativen Professional hin zum strategischen Professional vor. Eine Sonderstellung nehmen hierbei die IT-Spezialisten nach ISO/IEC 17024 ein: Diese sind in 29 IT-Profilen festgelegt, darunter die beiden bereits erwähnten Security-Profile.
IT-Spezialisten sind zwar durch eine Verordnung zum Berufsbildungsgesetz staatlich anerkannt, sie wurden jedoch in der privatwirtschaftlichen Zertifizierung verankert und unterliegen damit nicht dem öffentlich-rechtlichem Einfluss der Industrie und Handelskammern – was zu erheblichen Kontroversen zwischen dem Deutschen Industrie und Handelskammertag (DIHK) und den Sozialpartnern bei der Einführung der IT-Spezialisten geführt hat. Ursprünglich als "Einstieg in den Aufstieg" geplant, haben die IT-Spezialisten seit ihrer Einführung im Jahr 2003 ein gesundes Eigenleben entwickelt. So verfügt heute rund ein Drittel der Absolventen einer Weiterbildung zum IT-Spezialisten nach ISO/IEC 17024 bereits über einen akademischen Abschluss.
Wissen allein genügt nicht – wir benötigen die Fähigkeit der Menschen, dieses Wissen in der Praxis umsetzen zu können. Nur mit dieser Sichtweise kann letztlich die für den Beruf notwendige Handlungskompetenz im Bereich IT-Sicherheit erworben werden. Für Unternehmen und Mitarbeiter wird daher die Verknüpfung von wissensbasierten und arbeitsprozessorientierten Bildungsmethoden immer wichtiger. Durch die starke institutionelle Trennung zwischen beruflicher und akademischer Bildung bleibt jedoch bislang viel Potenzial ungenutzt. Dabei könnte die berufliche Bildung erheblich von den Wissens-Inhalten der Hochschulen profitieren, während die Hochschulen zugleich von der Methodik der arbeitsprozessorientierten Aneignung von beruflicher Handlungskompetenz in der beruflichen Bildung profitieren könnten.
Zudem: Neue Anforderungen erfordern neue, spezialisierte Qualifizierungsprofile. Eine übergreifende Standardisierung von Inhalten ist daher weder wünschenswert noch letztlich durchführbar. Das Qualitätsinstrument zur Herstellung der Vergleichbarkeit ist die unabhängige Kontrolle der beteiligten Organisationen und Akteure, wie sie durch die Akkreditierung von Studiengängen und die Zertifizierung nach ISO/IEC 17024 gegeben ist. In einem internationalisierten Bildungsmarkt werden letzlich die Akteure verlieren, die nicht willens oder in der Lage sind, sich derartigen Qualitätsanforderungen zu stellen.
Hieraus ergeben sich zugleich neue Anforderungen an die Förderung und Finanzierung von Bildung: Die Entwicklung und Markteinführung von Bildungsdienstleistungen muss sich stärker an den Methoden der Produktentwicklung orientieren. An Bedeutung gewinnt die strukturelle Wirtschaftsförderung von "Hochtechnologieprodukten der IT-Sicherheitsbildung – made in Germany", mit dem Ziel der Hinführung an internationale Standards und der Erschließung internationaler Märkte.
Bernd Donabauer ist Certified Examiner under ISO 17024:2003 und freier Berater mit dem Schwerpunkt IT Management and Resources.
www.hrk.de/de/service_fuer_hochschulmitglieder/154.php www.bibb.de/de/wlk18242.htm www.kib-net.de/ausbildung/berufe/index.html www.apo-it.de www.kib-net.de/fix/doc/IT_WB_Flyer.pdf www.cert-it.de www.tga-gmbh.de
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#3, Seite 23
| 