| Lernfeld | 4 | Lernfeld Titel | Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen |
|---|---|
| Lernfeld Stunden | 36 |
| Kernkompetenz | Die Schülerinnen und Schüler verfügen über die Kompetenz, mit Hilfe einer bestehenden Sicherheitsleitlinie eine Schutzbedarfsanalyse zur Ermittlung der Informationssicherheit auf Grundschutzniveau in ihrem Arbeitsbereich durchzuführen. |
| Erwartete Handlungskompetenz am Ende der Berufsausbildung in Anlehnung an ausgewählte Berufsbildpositionsbeschreibungen | Die Schülerinnen und Schüler beraten Kundinnen und Kunden im Hinblick auf Anforderungen an die IT-Sicherheit und an den Datenschutz. Sie analysieren Sicherheitsanforderungen von IT-Systemen und leiten Maßnahmen zur IT-Sicherheit ab, stimmen diese ab, setzen sie um und evaluieren sie. Sie erkennen Bedrohungsszenarien und Schadenspotenziale und schätzen sie unter Berücksichtigung wirtschaftlicher und technischer Kriterien ein. Die Schülerinnen und Schüler fertigen Dokumentationen zielgruppengerecht und barrierefrei an, stellen diese bereit und pflegen technische Dokumentationen, System- sowie Benutzerdokumentationen. Sie beurteilen Wirksamkeit und Effizienz der umgesetzten Maßnahmen zur IT-Sicherheit und zum Datenschutz. Sie reflektieren die eigene Vorgehensweise sowie die Aufgabendurchführung im Team und wirken bei der Verbesserung der Arbeitsprozesse mit. |
| Zielformulierung/Kompetenzen aus Handlungsfeld | 1 Die Schülerinnen und Schüler informieren sich über Informationssicherheit (Schutzziele) und rechtliche Regelungen sowie die Einhaltung von betrieblichen Vorgaben zur Bestimmung des Schutzniveaus für den eigenen Arbeitsbereich. |
| 2 Sie planen eine Schutzbedarfsanalyse, indem sie gemäß der IT-Sicherheitsleitlinie des Unternehmens Schutzziele des Grundschutzes (Vertraulichkeit, Integrität, Verfügbarkeit) in ihrem Arbeitsbereich ermitteln und eine Klassifikation von Schadensszenarien vornehmen. | |
| 3 Sie entscheiden über die Gewichtung möglicher Bedrohungen unter Berücksichtigung der Schadenszenarien. | |
| 4 Dazu führen sie eine Schutzbedarfsanalyse in ihrem Arbeitsbereich durch, nehmen Bedrohungsfaktoren auf und dokumentieren diese. | |
| 5 Die Schülerinnen und Schüler bewerten die Ergebnisse der Schutzbedarfsanalyse und gleichen diese mit der ITSicherheitsleitlinie des Unternehmens ab. Sie empfehlen Maßnahmen und setzen diese im eigenen Verantwortungsbereich um. | |
| 6 Sie reflektieren den Arbeitsablauf und übernehmen Verantwortung im IT-Sicherheitsprozess. | |
| Exemplarische Lernsituation zu Kompetenzen | Die Firma GANTT AG wurde von der Malware Emotet befallen. Um das Risiko zukünftiger Schäden zu reduzieren, soll Ihre Azubi-Gruppe Plakate und Wandzeitungen erstellen, damit die Mitarbeiterinnen und Mitarbeiter des Betriebs sich über die IT-Sicherheit informieren können und dadurch das Sicherheitsbewusstsein im Betrieb erhöht wird. |
| Mögliche Handlungsprodukte | Plakate und Wandzeitungen zu ITSicherheit und Security Awareness |
| Exemplarische Lernsituation zu Kompetenzen | Aufgrund der aktuellen Vorkommnisse beschließt die Firma GANTT AG, ein Managementsystem für die Informationssicherheit nach BSI-Standards aufzubauen. Als Mitarbeiterin bzw. Mitarbeiter der TopSecure GmbH sollen Sie die Firmenleitung über die dazu nötigen Schritte informieren. |
| Mögliche Handlungsprodukte | Präsentation und Hand-out |
| Inhaltliche Orientierung | Grundlagen Begriffe: Informationssicherheit, IT-Sicherheit, Datensicherheit, Cybersecurity, Datenschutz Schutzziele: Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität Rechtliche Regelungen zum Datenschutz: DSGVO, BDSG Bedrohungen und Schutzmaßnahmen Bedrohungen der Informationssicherheit: Verletzung der Schutzziele, Katastrophen, Systemfehler, interne und externe Angriffe, z.B. Hacker, Malware, Advanced Persistent Threat (APT), Phishing, Social Engineering Organisatorische Schutzmaßnahmen: Informationssicherheitsprozess, Managementsystem für Informationssicherheit (ISMS), Informationssicherheitsbeauftragter (ISB), Datenschutzbeauftragter (DSB), IT-Notfallteam (CERT) Technische Schutzmaßnahmen: Brandschutz, Zutrittskontrolle, USV, VLAN, Firewall, VPN, Malwareschutz, Datensicherung, Verschlüsselung, Updatemanagement, Berechtigungskonzept Kryptografie: Symmetrische und asymmetrische Verschlüsselungsverfahren, Hybride Verschlüsselungsverfahren, Hash-Verfahren, AES, RSA, SHA Informationssicherheitsprozess IT-Sicherheitsmanagement: BSI-Standards, ISO27001, ISB, ISMS, BSI IT-GrundschutzKompendium, Informationssicherheits-Leitlinie Sicherheitskonzept erstellen: Informationsverbund, Strukturanalyse, Basis-, Standard- und KernAbsicherung, Schutzbedarfsfeststellung, Schutzbedarfskategorien, Modellierung, ITGrundschutz-Bausteine, IT-Grundschutz-Schichtenmodell, IT-Grundschutz-Check Elementare Gefährdungen und Risikoanalyse, Notfallmanagement |