Private FernFachhochschule Darmstadt
Fachbereich Informatik

Anforderungsanalyse und Entwurf eines Computer Based Trainings (CBT)
als Beitrag zur the-menbezogenen Sensibilisierung für die Belange der IT-Sicherheit
in der Deutschen Bundesbank

vorgelegt von: Kristin Philipp

vorgelegt am: 01. Dezember 2004

Inhaltsverzeichnis

1 Notwendigkeit und Motivation 1

2 Theoretische Betrachtungen ... 3
2.1 Die Sensibilisierung für die IT-Sicherheit ... 3
2.1.1 Notwendigkeit von IT-Sicherheitsbewusstsein ... 3
2.1.1.1 Rolle des Mitarbeiters in der IT-Sicherheit ... 3
2.1.1.2 Verhältnis der Mitarbeiter zur IT-Sicherheit ... 4
2.1.2 Vorgehen bei der Sensibilisierung ... 5
2.1.2.1 Aufmerksamkeit ... 6
2.1.2.2 Wissen und Einstellung ... 7
2.1.2.3 Verstärkung ... 7
2.1.2.4 Öffentlichkeit / Kontrolle ... 7
2.1.3 Notwendige Rahmenbedingungen ... 8
2.2 CBT als Form des elektronisch unterstützen Lernens ... 8
2.2.1 Abgrenzung der Begrifflichkeiten ... 9
2.2.2 Dimensionen elektronisch unterstützten Unterrichts ... 10
2.2.2.1 Psychologische Lerntheorien bzw. Lernparadigmen ... 11
2.2.2.2 Klassifikation von Wissen ... 13
2.2.2.3 Typologie didaktischer Strategien ... 14
2.2.3 Rahmenbedingungen für erfolgreiches elektronisch unterstützten Lernen im Unternehmen ... 16
2.2.3.1 Aspekte der Lernkultur ... 16
2.2.3.2 Voraussetzungen der Zielgruppe ... 17
2.2.3.3 Technische Voraussetzungen ... 18
2.2.4 Möglichkeiten und Grenzen des elektronisch unterstützten Lernens ... 19
2.3 Der Entwicklungsprozess von Lernsoftware nach der Methode IntView ... 21
2.3.1 Das Neue der Methode ... 22
2.3.1.1 Interdisziplinärer Ansatz ... 22
2.3.1.2 Durchgängige Qualitätssicherung ... 22
2.3.2 Die Methode im Überblick ... 23
2.3.2.1 Darstellung der einzelnen Phasen ... 24
2.3.2.2 Sicherung der Qualität ... 25

3 Problembeschreibung, Anforderungsspezifikation und Grobkonzept ... 26
3.1 Problembeschreibung ... 26
3.1.1 Bedarf eines CBT zur Schaffung von IT-Sicherheitsbewusstsein in der Bundesbank ... 26
3.1.2 Gegebene Situation für den Einsatz eines CBT in der Bundesbank ... 27
3.1.2.1 Technische Voraussetzungen der Bundesbank-Arbeitsplätze ... 27
3.1.2.2 Vorhandene Arbeits- und Lernsituation in der Bundesbank ... 27
3.1.3 Erste Ideen für eine mögliche Lösung ... 30
3.1.4 Analyse am Markt verfügbarer CBT für IT-Sicherheit ... 31
3.2 Spezifikation der Anforderungen ... 33
3.2.1 Analyse der Zielgruppe der Mitarbeiter ... 33
3.2.1.1 Relevante Merkmale für eine Zielgruppenanalyse ... 33
3.2.1.2 Ausprägungen der Merkmale bei den Mitarbeitern der Bank ... 33
3.2.2 Analyse des bestehenden Lernbedarfs auf dem Gebiet der IT-Sicherheit ... 35
3.2.3 Spezifikation der Anforderungen an die Dimensionen ... 36
3.2.3.1 Themengebiete und Lernziele ... 36
3.2.3.2 Didaktische Strategie ... 37
3.2.3.3 Präsentation der Inhalte ... 38
3.2.3.4 Funktionalitäten innerhalb der Software ... 39
3.2.4 Architekturelle Festlegungen zur Integration in der Bundesbank ... 40
3.2.5 Vorbereitung der Evaluation des CBT ... 41
3.3 Grobkonzept der Lernsoftware ... 42
3.3.1 Entwurf der Dimensionen der Lernsoftware ... 42
3.3.1.1 Module, Lerneinheiten und Lernziele (Inhalt) ... 42
3.3.1.2 Interaktion, Adaptivität und Motivation (Didaktik) ... 44
3.3.1.3 Benutzeroberfläche und Integration aller Elemente (Inhaltspräsentation) 47
3.3.1.4 Ablaufsteuerung und Funktionsvorrat (Funktionalität) 50
3.3.2 Festlegung der Rahmenbedingungen für die Entwicklung 51
3.4 Ausblick auf die weiteren Schritte ... 52

4 Integration des CBT in die Deutschen Bundesbank ... 53

1 Notwendigkeit und Motivation

Die Deutsche Bundesbank bildet als Zentralbank der Bundesrepublik Deutschland einen integralen Bestandteil des Europäischen Systems der Zentralbanken (ESZB). Unter dem vorrangigen Ziel, die Preisstabilität im Europäischen Wirtschafts- und Währungsraum zu gewährleisten, nimmt sie die ihr nach dem Bundesbankgesetz und anderen Rechtsvorschriften zugewiesenen Aufgaben wahr.1 Zu den Kerngeschäftsprozessen zählen im Wesentlichen die Umsetzung der geldpolitischen Entscheidungen, die bankmäßige Abwicklung des nationalen und grenzüberschreitenden Massen- und Großbetragszahlungsverkehrs in stabilen Zahlungs- und Verrechnungssystemen, die Beaufsichtigung der nationalen Kredit- und Finanzdienstleistungsinstitute sowie die Verwaltung der Währungsreserven der Bundesrepublik Deutschland und der Europäischen Zentralbank. In ihrer Leitlinie zur IT-Sicherheit stellt die Deutsche Bundesbank die zentrale Bedeutung sicherer und zuverlässiger Informationssysteme für die reibungslose Abwicklung dieser Geschäftsprozesse heraus. Diese Leitlinie, die sich an den nationalen und internationalen Standards zur IT-Sicherheit (IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), BS ISO / IEC 17799:20002) orientiert, definiert einen iterativen IT-Sicherheitsprozess, der sich aus den folgenden Komponenten zusammensetzt:3

Im Rahmen dieses IT-Sicherheitsprozesses nimmt die Awareness, die Sensibilität aller Mitarbeiter4 für die Belange der IT-Sicherheit, eine zentrale Position ein, die die einzel- nen Phasen des Prozesses auf einer anderen Betrachtungsebene miteinander verbindet. In diesem Zusammenhang wird betont, dass „alle beteiligten Personen [...] durch ein adäquates und sicherheitsbewusstes Verhalten zum Schutz der Informationstechnologie und der bereitgestellten bzw. verarbeiteten Daten beitragen [müssen].“ 5 Hieraus ergibt sich die Notwendigkeit bedarfsorientierter Maßnahmen, die das Ziel verfolgen, das Bewusstsein der Mitarbeiter der Deutschen Bundesbank für ein sicherheitsadäquates Verhalten zu erhöhen. Zu diesen Maßnahmen zählen die gezielte Vermittlung des für ein sicherheitsadäquates Verhalten notwendigen Wissens und die Erhöhung der Handlungskompetenz der Mitarbeiter in den relevanten Situationen. Aufgrund der bundesweiten Verteilung der 13.619 Mitarbeiter6 der Deutschen Bundesbank auf die Zentrale in Frankfurt am Main sowie neun Hauptverwaltungen (HV) und zur Zeit noch 886, zukünftig 45 Filialen im gesamten Bundesgebiet, gestaltet sich die Organisation von traditionellen Schulungsveranstaltungen aufwendig und kostenintensiv. Da nahezu alle Arbeitplätze mit PCs ausgestattet sind, erscheint der Einsatz eines Computer Based Training (CBT) an dieser Stelle als eine sinnvolle Alternative. Hierüber kann der Zielgruppe der Zugang zu den Lerninhalten ermöglicht werden, so dass sich kostenintensive Schulungsveranstaltungen vermeiden lassen. Darüber hinaus ermöglicht ein CBT selbstgesteuertes Lernen, wobei unterschiedliche Wissensstände, Lerntypen und Lernzeiten berücksichtigt werden können.

Ziel der vorliegenden Diplomarbeit ist daher, die im Hause der Deutschen Bundesbank bestehenden Anforderungen an ein CBT zu analysieren, das zur Sensibilisierung von Mitarbeitern eingesetzt werden kann, und ein auf deren spezifischen Belange abgestimmtes Konzept zu erstellen. Im Kapitel 2 werden hierzu die theoretischen Grundlagen zur Schaffung von IT-Sicherheitsbewusstsein, zum elektronisch unterstützten Lernen und zur Entwicklung von Lernsoftware nach einer Methode des Software-Engineering betrachtet. Darauf aufbauend werden im Kapitel 3 die Anforderungen analysiert und die Grobkonzeption erstellt. Kapitel 4 bildet den Abschluss der Arbeit und gibt einen Ausblick auf die nach der Grobkonzeption innerhalb der Bundesbank zu erledigenden Aufgaben.
 

2 Theoretische Betrachtungen

Die Entwicklung eines CBT zur Sensibilisierung von Mitarbeitern für die IT-Sicherheit kombiniert verschiedene Themengebiete aus dem Informations- und Kommunikationsmanagement. Zum einen spielt der Komplex der IT-Sicherheit eine Rolle, wobei es hier weniger um die Etablierung technischer IT-Sicherheitsmaßnahmen zum Schutz der Informationen und Infrastrukturen geht; vielmehr steht die Schaffung von Sicherheitsbewusstsein bei den beteiligten Personen im Vordergrund. Zum anderen muss der Bereich des elektronisch unterstützten Lernens betrachtet werden, bei dem die Informations- und Kommunikationstechnologie zur Vermittlung von Lerninhalten und zur Unterstützung von Lernprozessen genutzt wird. Abschließend sind Aspekte des Software-Engineerings zu berücksichtigen, da dessen Methoden und Modelle für eine gezielte und strukturiert wirtschaftliche Entwicklung auch bei Lernsoftware Anwendung finden. 2.1 Die Sensibilisierung für die IT-Sicherheit

Die in Unternehmen etablierten Maßnahmen zur Sicherstellung der IT-Sicherheit konzentrieren sich zum Großteil auf die Schaffung technischer Infrastrukturen und Verfahren zum Schutz der Informationen und Infrastrukturen. Dies belegt eine Studie der Zeitschrift KES in Zusammenarbeit mit dem Unternehmen Microsoft aus dem Jahr 2004, die die Situation der IT-Sicherheit in Unternehmen deutschsprachiger Länder untersucht hat. Hier wurden auf die Frage nach den realisierten und geplanten Sicherheitsmaßnahmen ausschließlich technische und organisatorische Mittel wie Firewalls, Virenschutz, Authentifizierung und kryptografische Sicherungsverfahren genannt.7 ITSicherheit lässt sich jedoch nicht nur durch bloße Technik gewährleisten, sondern bedarf auch der aktiven Unterstützung der IT-Nutzer.

[...]

1 vgl. § 3 des Bundesbankgesetzes (BBankG) in der Fassung vom 30. April 2002

2 Der Teil I des britischen Standard BS 7799 wurde von der ISO als BS ISO / IEC 17799:2000 übernommen; es handelt sich dabei um eine Sammlung von Empfehlungen für Informationssicherheitsverfahren und –methoden, die sich in der Praxis bewährt haben (Best Practises). Diese Empfehlungen sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte.

3 vgl. Deutsche Bundesbank: Leitlinie zur IT-Sicherheit (IT-Security Policy), Frankfurt am Main, 2004, S. 2 ff.

4 Aus Gründen der sprachlichen Vereinfachung wird im Folgenden ausschließlich die männliche Form verwendet.

5 vgl. Deutsche Bundesbank, Leitlinie zur IT-Sicherheit (IT-Security-Policy), Frankfurt am Main, 2004, S. 9

6 Stand 30. Juni 2004