![[externer Link]](../../../../images/link.gif)
www.bakoev.bund.de/IT-Sicherheitsbeauftragte jedem Interessierten zur Verfügung.IT-Sicherheitsbeauftragte benötigen für ihre Tätigkeit solides Fachwissen der Informationssicherheit, aber auch der Informationstechnik, detaillierte Kenntnisse der Strukturen und Abläufe in der Organisation sowie ausgeprägte kommunikative Fähigkeiten. Von ihrer Professionalität hängt viel ab. Die BAköV und das BSI haben den neuen Fortbildungsgang für IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung entwickelt und werden auch zukünftig gemeinsam für die Umsetzung und Aktualisierung Sorge tragen. Verantwortliche des IT-Sicherheitsmanagements sowie IT-Sicherheitsbeauftragte sollen für ihre Tätigkeit befähigt, zertifiziert und dauerhaft fortgebildet werden.
Im April dieses Jahres wurden die ersten sieben Zertifikate "IT-Sicherheitsbeauftragte/r in der öffentlichen Verwaltung – Basis" überreicht. Die Teilnehmenden haben nach erfolgreichem Abschluss des Wissenstests und dem Vortrag ihrer Projektarbeit in einem Workshop auf unterschiedlichen Wegen, ihren individuellen Voraussetzungen entsprechend, den neuen Fortbildungsgang absolviert. In der Evaluation ist neben wichtigen Hinweisen die volle Zustimmung der Teilnehmenden nachzulesen. Damit hat der Fortbildungsgang seine erste Feuerprobe bestanden. Die Kurse dieses Jahres sind schon besetzt und die Angebote für Länder und Kommunen finden großes Interesse.
Damit die Gestaltung der Fortbildung für den Einzelnen flexibel ist und den individuellen Vorkenntnissen, Berufserfahrungen und Aufgabenfeldern Rechnung tragen kann, wurde der Fortbildungsgang modular und in Stufen aufgebaut. Der (potenzielle) IT-Sicherheitsbeauftragte kann so bedarfsgerecht seinen individuellen Lernpfad zusammenstellen (Festlegung der zu besuchenden Seminare).
Um die Entscheidung über den individuellen Lernpfad leichter treffen zu können, wird die Möglichkeit angeboten, einen Selbsteinschätzungstest durchzuführen. Der Selbsteinschätzungstest unterstützt die Teilnehmenden, den individuellen Fortbildungsbedarf zu ermitteln und zu entscheiden, an welchen Seminaren sie teilnehmen sollten. Der Test sowie weitere Informationen stehen online unter www.bakoev.bund.de/IT-Sicherheitsbeauftragte jedem Interessierten zur Verfügung.
Manchmal sind neu ernannte IT-Sicherheitsbeauftragte mit der Informationstechnik noch nicht ausreichend vertraut. Deshalb wird das Seminar "Grundlagen in der Informationstechnik und Informationssicherheit" angeboten. Eine Gesamtübersicht über Inhalte und Wege sind im Leitfaden IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung nachzulesen. Die Abschnitte des Aufbauseminars zum Erwerb der Stufe 2 ergänzen zu ausgewählten Schwerpunkten den Basiskurs [1].
![[Tabelle]](07-3-038-1.jpg)
Tabelle 1: Gesamtübersicht Inhalte und Stufen
Um das Basiswissen "IT-Sicherheitsbeauftragte/r in der öffentlichen Verwaltung" zu erwerben (vgl. Tab. 1), werden unterschiedliche Wege angeboten: der Besuch einzelner oder aller Module des Basiskurses "IT-Sicherheitsbeauftragte – Basis" oder aber der entsprechende Kompaktkurs. Der Kompaktkurs ist für IT-Sicherheitsexperten gedacht, die eine Aktualisierung ihres Fachwissens im Bereich IT-Grundschutz auffrischen wollen. Es ist jedem Teilnehmenden freigestellt, welchen Weg er zur Vorbereitung des Abschlusstests wählt.
Die Zertifizierung erfordert neben dem Abschlusstest (120 Multiple-Choice-Fragen) einen praktischen Teil. Mit der Unterstützung der fachlichen Beratung (aus dem BSI oder der delegierenden Behörde) wird ein Projekt innerhalb der Behörde beziehungsweise dem Aufgabenbereich erarbeitet. Die Ergebnisse des Projekts sind im Rahmen eines Workshops zu präsentieren.
Die Abschnitte des Aufbauseminars zum Erwerb der Stufe 2 ergänzen zu ausgewählten Schwerpunkten den Basiskurs. Die erworbenen Zertifikate der Stufen 1 und 2 sind jeweils fünf Jahre gültig. Die Verlängerung der Zertifikate ist über eine vorgegebene zu erreichende Punktzahl möglich. Hierfür werden mit dem Blick auf einen Kompetenzerhalt und eine weitere Qualifizierung Seminare und Veranstaltungen mit Erfahrungsaustausch von der BAköV angeboten.
![[Illustration]](07-3-038-2.jpg)
Abbildung 1: Der Weg zum Zertifikat
Der Basiskurs umfasst das grundlegende Wissen (Basiskompetenzen) für die Tätigkeit eines IT-Sicherheitsbeauftragten. Dieses wird in den im Folgenden aufgelisteten Seminaren des Basiskurses vermittelt und ist in kompakter Form in einem Handbuch zusammengefasst. Dieses soll den Teilnehmenden sowohl als Lerngrundlage dienen, aber auch als Nachschlagewerk für die spätere Arbeit. Grundlage bilden aktuelle Entwicklungen in der Informationssicherheit, die BSI-Standards 100-1 und 100-2 inklusive der IT-Grundschutz-Kataloge und weitere Publikationen des BSI.
Die Notwendigkeit von IT-Sicherheit durch Darstellung typischer Gefährdungen und Trends der Bedrohungen der Informationstechnik sowie wichtige Begriffe und Anforderungen an ganzheitliche IT-Sicherheit werden behandelt.
Neben den aktuellen Entwicklungen zur IT-Strategie des Bundes und zur Umsetzung des Nationalen Plans zum Schutz der Informationsinfrastrukturen (NPSI) [2] werden die Sicherheitsanforderungen an Behördennetze und E-Government-Anwendungen betrachtet. Relevante gesetzliche Regelungen und die Verantwortung beziehungsweise Haftung der Zuständigen für IT-Sicherheit werden hier ebenfalls vermittelt.
Die Kenntnis wesentlicher infrastruktureller, technischer, organisatorischer und personeller Sicherheitsmaßnahmen bildet die Grundlage einer Vielzahl von Tätigkeiten des IT-Sicherheitsbeauftragten, welche unter anderem die Entwicklung des Sicherheitskonzepts, des Notfall(vorsorge)- und Krisenmanagementkonzepts, des Datensicherungskonzepts oder des Virenschutzkonzepts umfassen.
Maßnahmen zur Sensibilisierung und die Entwicklung von Schulungsprogrammen, die Erstellung von Dienstanweisungen, Kenntnisse über den Zugangs- und Zugriffschutz am Arbeitsplatz, die besonderen Anforderungen bei Telearbeitsplätzen und die Nutzung von mobilen Geräten, bilden unter den Bedingungen der wachsenden Bedeutung der Anwenderinnen und Anwender für die IT-Sicherheit ein wesentliches Moment.
Für die Auswahl und den Einsatz von Verschlüsselungsverfahren und elektronische Signaturen beziehungsweise von entsprechenden Kryptoprodukten ist Wissen über Grundlagen der Kryptographie, Anwendungsmöglichkeiten sowie organisatorische und rechtliche Rahmenbedingungen erforderlich.
Nationale und internationale Standards zur IT-Sicherheit und zum IT-Sicherheitsmanagement mit ihren Vorgaben für den Aufbau von IT-Sicherheitsmanagementsystemen und den dazugehörigen Aufgaben ergänzen das Basiswissen für grundlegende Aktivitäten.
Auf der Grundlage der IT-Grundschutz-Vorgehensweise und des BSI-Standards 100-2 wird die Erstellung eines IT-Sicherheitskonzeptes vorgestellt, und sowohl das theoretische wie auch das praktische Wissen vermittelt. Die Einführung in die Vorgehensweise, von der Infrastrukturanalyse über die Schutzbedarfsfeststellung, den Basis-Sicherheitscheck bis hin zur Durchführung einer Risikoanalyse und der Realisierungsplanung werden betrachtet.
Ergänzt wird das Angebot zur Fortbildung für IT-Sicherheitsbeauftragte durch die "Jahrestagung für IT-Sicherheitsbeauftragte". Diese bietet Möglichkeiten der fachlichen Diskussion sowie des offenen Informations- und Erfahrungsaustausches. Der Besuch dieser Veranstaltung kann auch dazu genutzt werden, um Punkte für die Aufrechterhaltung des Zertifikats zu erwerben.
Mit der Fortbildung "IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung" mit Zertifikat wurde erstmalig ein Qualitätsstandard für die theoretische wie auch praktische Ausbildung im Bereich IT-Sicherheit in der öffentlichen Verwaltung gesetzt.
Die Entwicklung eines Anforderungsprofils der Beauftragten für IT-Sicherheit in der öffentlichen Verwaltung sollte konkret und individuell an die behördenspezifischen Gegebenheiten angepasst werden können. Für die Bewältigung der Aufgaben sind sowohl fachliche als auch persönliche Anforderungen zu bewältigen. Dem entsprechend wird eine thematisch breite Fortbildung angeboten werden, die zum Erwerb von Basiskompetenzen, Aufbau- und ergänzenden Kompetenzen dienen.
Zur Unterstützung der Antragstellung und Begleitung der Umsetzung des individuellen Fortbildungsplanes steht von Seiten der Bundesakademie eine Lernprozessbegleitung zur Verfügung. Anfragen bezüglich der Konzeption der Fortbildung, der individuellen Planung, die Bearbeitung der Anträge bis hin zur Koordination des Projektes werden von dieser Stelle erledigt.
Der fachliche Berater begleitet das Projekt. Die fachliche Beratung wird von Seiten des BSI gestellt und unterstützt bei der Festlegung der Projektaufgabe, begleitet beratend den Prozess, die Dokumentation und die Präsentation des Projektes.
So wie auch IT-Sicherheit und IT-Sicherheitsmanagement gelebt und den immer neuen Herausforderungen angepasst werden müssen, so muss auch eine kontinuierliche Aktualisierung und Anpassungen der Lehrinhalte an die jeweils neuen Gegebenheiten der IT-Landschaften und die Anforderungen an einen IT-Sicherheitsbeauftragten erfolgen. Nach der Evaluation in diesem Jahr werden 2008 eine Aktualisierung der Inhalte und die Einarbeitung der Evaluations-Ergebnisse erfolgen.
Weitere Informationen sind in dem vollständigen Beitrag zum 10. IT-Sicherheitskongress enthalten [3]. Die Autorin ist unter kaethe.friedrich@bakoev.bund.de per E-Mail zu erreichen.
www.bakoev.bund.de/nn_26888/SharedDocs/Downloads/LG__5/Leitfaden__SiBoeV,templateId=raw,property=publicationFile.pdf/Leitfaden_SiBoeV.pdf www.bmi.bund.de/cln_028/Internet/Content/Common/Anlagen/Themen/Informationsgesellschaft/Nationaler__Plan__Schutz__Informationsinfrastrukturen,templateId=raw,property=publicationFile.pdf/Nationaler_Plan_Schutz_Informationsinfrastrukturen.pdf
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#3, Seite 38
tag:kes.info,2007:art:2007-3-038
| 