Themenbereiche

Der Trainings-Umfang sollte mindestens die folgenden Themenbereiche umfassen:

  • Arten der Bedrohung
  • Umgang mit vertraulichen Daten
  • Umgang mit personenbezogenen Informationen
  • Informationssicherheit in Büros und am Arbeitsplatz
  • Sichere Passwörter
  • Phishing
  • Spear Phishing
  • CEO Fraud
  • Umgang mit mobilen Datenträgern
  • Umgang mit mobilen Endgeräten
  • Melden von Sicherheitsvorfällen

Lerninhalte

Im Unternehmen bzw. der Behörde können die Mitarbeiter (*) unterschiedlichen Risiken ausgesetzt sein. Die Schulungsinhalte sollten sich darauf abstimmen lassen. Beispiel: Ein Mitarbeiter der Buchhaltung sollte viel intensiver zu CEO Fraud geschult werden als ein Mitarbeiter in der Produktion.

Die Schulungsinhalte sollten sich ebenso auf die unterschiedlichen Vorkenntnisse einzelner Gruppen bzw. Rollen abstimmen lassen. Beispiel: Mitarbeiter von IT-nahen Bereichen können elementare Themen schneller durcharbeiten als die Mitarbeiter anderer Bereiche. Die so gewonnene Zeit könnte genutzt werden, um zusätzliche Inhalte zu schulen.

Abhängig von der Branche oder von gesetzlichen Vorgaben können spezifische Inhalte sinnvoll sein, die das System umfassen sollte.

Pro Thema sollte es mehrere Kurse geben, die aufeinander aufbauen und im Schwierigkeitsgrad wachsen. So werden beispielsweise im ersten Durchlauf zunächst die Grundlagen eines Themas geschult, während beim zweiten Durchlauf ein halbes Jahr später komplexere Inhalte folgen.

Die Inhalte sollten durch den Anbieter regelmäßig an aktuelle Bedrohungen angepasst werden.

Wenn das Unternehmen Niederlassungen im nicht-deutschsprachigen Ausland hat, sollten die Inhalte in den notwendigen Sprachen bereit stehen und an kulturelle, technische und rechtliche Besonderheiten des jeweiligen Landes angepasst sein.

Für kleine und mittlere Unternehmen wird in der Regel der Standard-Inhalt ausreichen. Bei großen Unternehmen kann es jedoch gefordert sein, die Inhalte an unternehmensspezifische Gegebenheiten anzupassen bzw. individuelle Inhalte hinfügen zu können.

Die Mitarbeiter sollten Fragen stellen können, wenn sie etwas nicht verstehen bzw. Rückfragen haben.

Steuerung des Lernvorgangs

Um sicherzustellen, dass jeder Mitarbeiter die ihm zugedachten Schulungen wie vorgesehen wahrnimmt, sollte das System in der Lage sein, das Trainings zu überwachen und zu steuern. Das kann über folgende Funktionalitäten erfolgen:

  • Definition der Benutzergruppe, die eine bestimmte Schulung durchlaufen soll.
  • Definition eines Zeitraums, in dem eine Schulung durchlaufen werden muss
  • Benachrichtigung der Mitarbeiter über anstehende Schulungen, z.B. per Mail.
  • Überwachung des Zeitraums, mit Eskalationsmails an den Mitarbeiter bzw. an den Vorgesetzten
  • Definierter Abschluss einer Lerneinheit, z.B. durch einen Test zur Festigung der Inhalte.
  • Definierter Abschluss einer Schulung, z.B. durch erfolgreichen Abschluss der Tests aller Lerneinheiten.
  • Möglichkeit zur Wiederholung einer Schulung, z.B. zur Auffrischung nach einem Jahr.
  • Übersichten für die Vorgesetzten zum Grad der Erledigung durch seine Mitarbeiter

SaaS / Cloud oder on-premise?

In vielen Fällen wird die Nutzung eines Schulungsangebots über das Internet (Cloud/SaaS) ausreichend sein. In Behörden oder großen Unternehmen kann jedoch die Anforderung bestehen, eine solche Anwendung im eigenen Rechenzentrum (on premise) zu installieren und zu betreiben.

Schnittstellen

Bei Online-Schulungsangeboten wird sich eine Integration häufig auf die Benutzerkonten sowie auf eMail beschränken.

Benutzerkonten:

  • Bei wenigen Nutzern ist eine manuelle Pflege der Benutzerkonten oft der effizientes Weg
  • Bei vielen Benutzern kann eine Anbindung an den Verzeichnisdienst des Unternehmens bzw. der Behörde (z.B. Active Directory) sinnvoll sein. Im Idealfall kombiniert mit Single Sign On (SSO), so dass sich die Anwender nicht nochmal am Schulungssystem anmelden müssen.

eMail:

  • Um Benachrichtigungs- und Eskalationsmails verschicken zu können, ist eine Anbindung an das eMail-System des Unternehmens bzw. der Behörde notwendig.

(*) Wir meinen immer alle Geschlechter.