Informationssicherheitsbeauftragte*r (IHK) - online

Durch die zunehmende Digitalisierung und Globalisierung sind Unternehmen jeder Größe auf eine funktionierende digitale Infrastruktur angewiesen. Doch gerade in der heutigen Zeit sind Unternehmen einer stetig wachsenden Bedrohungslage und immer ausgefeilteren Angriffsszenarien ausgesetzt. Genau aus diesem Grund gewinnt Informationssicherheit immer mehr an Bedeutung: Sie steht nicht nur für die Sicherung sensibler Informationen oder den Schutz vor ständig neuen Bedrohungsszenarien, sondern gilt als existenzieller Wettbewerbsfaktor. Zudem stellt auch der Gesetzgeber hohe Anforderungen an die gesamte Informationssicherheit, die sich in den kommenden Monaten und Jahren weiter verstärken dürften. Ein wichtiger Schritt zum Schutz vor immer neuen Risiken und Gefahren ist die Aus- und Weiterbildung von Informationssicherheitsbeauftragten. Dieser Zertifikatslehrgang vermittelt das notwendige Fachwissen, um die entscheidenden Schutzmaßnahmen zu ergreifen.

Durch den Grundlagenteil wird sichergestellt, dass auch Mitarbeiterinnen und Mitarbeiter, die über keine vertieften IT-Kenntnisse verfügen, in der Lage sind, alle Inhalte des Seminars zu verstehen.

Informationssicherheitsbeauftragte/r und IT-Sicherheitsbeauftragte/r - wo liegt der Unterschied?

Während Informationssicherheitsbeauftragte für die unternehmensweite Informationssicherheit verantwortlich sind, sind IT-Sicherheitsbeauftragte nur für den Teilbereich der technischen Sicherheit der IT-Infrastruktur, -Systeme und -Anwendungen zuständig. Häufig werden beide Funktionen von derselben Person wahrgenommen. Im englischen Sprachgebrauch wird keine Unterscheidung getroffen (Chief Information Security Officer = CISO). In diesem Lehrgang wird das Wissen für angehende Informationssicherheitsbeauftragte vermittelt, welches das notwendige Wissen für IT-Sicherheitsbeauftragte beinhaltet.

Modul 1 - Grundlagen der Informationssicherheit und regulatorische Rahmenbedingungen

• Teil 1: Einführung in die Informationssicherheit
  • Grundlegende Definitionen
  • Aktuelle Fallbeispiele
  • Ziele der Informationssicherheit
  • Informationssicherheitsmanagement
• Teil 2: Aufgabenübersicht
  • Informationssicherheitsbeauftragter
  • IT-Sicherheitsbeauftragter
  • Informationssicherheitsmanagement-Team
• Teil 3: Zuständigkeiten verschiedener Behörden
  • BSI
  • ENISA
  • Datenschutzaufsichtsbehörden
• Teil 4: Gesetzliche Grundlagen
  • Überblick
  • Kernbereiche des IT-Sicherheitsrechts
  • Randbereiche und aktuelle Entwicklungen (u.a. NIS-2, KI und Datenschutz)
• Teil 5: Verwaltungsanweisungen und Standards
• Teil 6: Relevante Vertragsfragen im Bereich IT / Informationssicherheit
  • IT-Outsourcing
  • Penetrationstests
  • Versicherungen
• Teil 7: Rechtsfolgen
  • Haftung von Leitungsebenen
  • Sanktionen

Modul 2 - Rollen und Zuständigkeiten und Informationssicherheitsmanagement

• Teil 1: Sinn und Zweck klarer Rollenverteilung
• Teil 2: Beschreibung verschiedener Rollen und Aufgabengebiete im Kontext der Informationssicherheit
  • Geschäftsleitung
  • Abteilungsleitungen
  • Verschiedene Bereichsbeauftragte (z.B. Informationssicherheitsbeauftragter, Datenschutzbeauftragter)
• Teil 3: Einführung zum Thema Informationssicherheitsmanagement
  • Definition von Managementsystemen
  • Hauptkomponenten eines ISMS
  • Ablauf und Mehrwert einer Zertifizierung
  • Überblick zu verschiedenen ISMS-Standards
• Teil 4: Aufbau und Pflege eines ISMS nach BSI IT-Grundschutz
  • Einführung und relevante Standards
  • Wahl der Vorgehensweise / Absicherungsmethodik
  • Vorgehensweise nach BSI (Standard-Absicherung)
  • Kontinuierliche Verbesserung
  • Musterdokumentation
• Teil 5: Aufbau und Pflege eines ISMS nach ISO/IEC 27001
  • Relevante Standards der ISO 27000er-Reihe
  • Umgang mit der ISO 27001
  • Prozessbeispiele
• Teil 6: Tools und Best-Practices bei der Einführung eines ISMS
  • Unterschiedliche Vorgehensweisen
  • Unterstützung durch ISMS-Tools in der Praxis

Modul 3 - Aktuelle Risiken für die Informationssicherheit und Schutzmaßnahmen

• Teil 1: Risikomanagement nach BSI-Standards 200-3
  • Vorbereitung
  • Überblick über elementare Gefährdungen
  • Vorgehensweise (insbesondere Risikobewertung und -behandlung)
• Teil 2: Business-Continuity-Management (BCMS) nach BSI-Standard 200-4
  • Einführung BCMS und präventive Absicherung
  • BCMS-Stufenmodell
  • Notfallplanung
  • Schulung und Sensibilisierung
  • Sonstige Maßnahmen und Tools für Risikofrüherkennung
  • Reaktion im Ernstfall - Bedeutung von Incident Response Teams

Modul 4 - Rollen und Zuständigkeiten und Informationssicherheitsmanagement

• Teil 1: Aktuelle Bedrohungsszenarien (Fallbeispiele)
  • Ransomware-Angriffe
  • Angriffe auf KRITIS, IT-Dienstleister und Co.
  • Social-Engineering - Der Mensch im Fokus von Angreifern
• Teil 2: Kategorisierung von Risiken
  • Webbasierte Risiken
  • Systembezogene Risiken
  • Anwendungsbezogene Risiken
  • Nutzerbezogene Risiken
• Teil 3: Einführung und Überblick zu Schutzmaßnahmen
  • Was sind Maßnahmen?
  • Dokumentationspflichten
  • Maßnahmenkategorien
• Teil 4: Strukturierte Vorgehensweise zur Umsetzung von Maßnahmen
  • BSI IT-Grundschutz-Methodik
  • Anwendung der Bausteine des IT-Grundschutz-Kompendiums
  • Vergleich zur ISO 27001 (Anhang A)
• Teil 5: Konkrete Beispielmaßnahmen
  • Organisatorische Schutzmaßnahmen
  • Technische Schutzmaßnahmen
  • Menschenbezogene Schutzmaßnahmen
  • Physische Schutzmaßnahmen

Der schriftliche Zertifikatstest findet online statt.