Kaishakunin.com

• Inhaltsverzeichnis
  
• Aufbau einer Security-Awareness-Kampagne
• Vorbesprechung
• Penetration-Testing und Organisationsanalyse
• Qualifikationsanforderungen und Kompetenzprofile
• Intervention, Kompetenzentwicklung und Lerntransfer
• Wissensmanagement
• Evaluation
• Schulungen für Systemadministratoren und Sicherheitsverantwortliche

Aufbau einer Security-Awareness-Kampagne ⇑

Eine Kampagne besteht in der Regel immer aus verschiedenen Modulen. Diese müssen an die jeweilige Situation und Organisation angepasst werden. Auf dieser Seite möchte ich die Module kurz vorstellen.

Vorbesprechung ⇑

Die Vorbesprechung dient dazu, den organisatorischen Rahmen der Kampagne abzustecken. Gemeinsam mit den Verantwortlichen der Organisation legen wir den Zeit- und Interventionsrahmen fest.

Penetration-Testing und Organisationsanalyse ⇑

Unter Penetration-Testing versteht man einen Einbruchsversuch in ein Netzwerk. Dabei versucht der Sicherheitsanalyst mit den Mitteln eines Einbrechers in ein Netzwerk einzudringen. Dies dient zum Einen dazu, das Netzwerk und damit auch die Organisationsstruktur aufzuklären. Zum Anderen wird versucht, der technische Stand der Organisation aufzuklären.

Die Organisationsanalyse ist eine systematische und wissenschaftlich fundierte Beschreibung und Erklärung des Verhaltens von Organisationsmitgliedern. Ziel ist es, herauszufinden welche Wechselwirkungen (Ursache/Wirkung) zwischen der Organisation und Mitgliedern bestehen. Dabei konzentriere ich mich nicht auf Organigramme oder eine offizielle Struktur. Jede Organisation verfügt über eine inoffizielle Hierarchie, die in den seltensten Fällen der offiziellen entspricht. Versteht man eine Organisation als Kultur, bekommt Kommunikation eine zentrale Bedeutung. Daher ist es notwendig, die Kommunikationsregeln und -strukturen zu verstehen. ^{tlw. nach}

Qualifikationsanforderungen und Kompetenzprofile ⇑

Jedes Mitglied einer Organisation sollte bestimmte Fähigkeiten, Fertigkeiten und Kenntnisse bzw. Kompetenzen besitzen. Durch eine Security-Awareness-Kampagne wird die die Unternehmenskultur und das Kompetenzprofil verändert. Daher ist es notwendig, die neuen bzw. veränderten Anforderungen und Kompetenzen zu identifizieren und passende Personalentwicklungsmaßnahmen durchzuführen.

Intervention, Kompetenzentwicklung und Lerntransfer ⇑

Anhand der Organisationanalyse und der Kompetenzprofile werden verschiedene Weiterbildungsmaßnahmen durchgeführt, in denen die Handlungskompetenzen der Mitarbeiter weiterentwickelt werden. Dies stellt den eigentlichen Kern der Security-Awareness-Kampagne dar und ist für jede Kampagne bzw. Organisation neu zu entwickeln.

Wissensmanagement ⇑

Wissensmanagement ist ein zentraler Bestandteil einer Security-Awareness-Kampagne. Es dient dazu, die Veränderung der Organisationskultur zu tragen Es dient dazu, die Veränderung der Organisationskultur zu tragen. Dazu müssen notwendige Daten und Informationen den Organisationsangehörigen zugänglich gemacht werden. Dazu müssen notwendige Daten und Informationen den Organisationsangehörigen zugänglich gemacht werden. Sollen beispielsweise die Computernutzer sichere Passwörter verwenden, muss ihnen eklärt werden, was denn ein sicheres Passwort überhaupt ist und wie das Passwort im Betriebssystem geändert werden kann.

Dazu gibt es verschiedene Ansätze und Methoden, vom Plakat über Wikis hin zu Podcasts/Videocasts. Jeder Ansatz hat seine Vor- und Nachteile und muss in die entsprechende Situation eingepasst werden. Dazu setze ich verschiedene Werkzeuge und Methoden aus der Pädagogischen Psychologie und dem Wissensmanagement ein.

Weiterhin befasst sich das Wissensmanagement auch damit, neues Wissen zu generieren. Dies ist insbesondere für Sicherheitsverantwortliche notwendig, die so spezielle Bedrohungsszenarien entwickeln können. Daher gehört zur Security-Awareness-Kampagne der Bereich Idea Engineering.

Evaluation ⇑

»Evaluation meint: das methodische Erfassen und das begründete Bewerten von Prozessen und Ergebnissen zum besseren Verstehen und Gestalten einer Praxis-Maßnahme im Bildungsbereich durch Wirkungskontrolle, Steuerung und Reflexion. ^Quelle«

Die Evaluation der Personalentwicklungsmaßnahmen dient dazu, ihren Erfolg zu überprüfen. Eine Security-Awareness-Kampagne kann nur dann sinnvoll sein, wenn ihre Ergebnisse überprüft und bewertet werden. Darauf aufbauend, können weitere Problembereiche und entsprechende Gegenmaßnahmen identifiziert werden.

Aufgabe der Evaluation ist es, den erreichten Ist-Zustand in der Organisation mit dem gewünschten Soll-Zustand zu vergleichen. Dazu ist ein Maßstab notwendig, der den Soll-Zustand explizit und genau beschreibt. Der Ist-Zustand wird über eine erneute Organisationsanalyse erhoben und analysiert.

Schulungen für Systemadministratoren und Sicherheitsverantwortliche ⇑

Ziel meiner Beratung ist es nicht nur ein Problem zu lösen, also bspw. eine Security-Awareness-Kampagne umzusetzen. Vielmehr gehört zu der Kampagne auch die Schulung der Sicherheitsverantwortlichen und Systemadministratoren. Diese müssen in der Lage sein, die Kampagne weiterzuführen und die (neue) Sicherheitskultur auszubauen und zu pflegen. Die Kampagne umfasst daher auch eine »Meta-Ebene«, in der pädagogische und psychologische Themen behandelt werden.

---

• ⇑ Jost Reischmann (2002): Weiterbildungs-Evaluation: Lernerfolge messbar machen (S. 18)
• ⇑ Karlheinz Sonntag (Hg.) (2006): Personalentwicklung in Organisationen (Teil III)