Inhalte des Fachs

Grundelemente der Informationssicherheit und des Informationsschutzes:

• Stellenwert von Informationssicherheit und -schutz für Unternehmen und andere Organisationen
• Grundbegriffe der IT- und Informationssicherheit
• Informationsstellenwert und Informationswesen
• allgemeine Bedrohungen und Bedrohungen im IT-Umfeld
• Sicherheitsfunktionen im Unternehmen
• Stellenwert von Unternehmenskultur und -politik für Informationssicherheit und -schutz

Managementsysteme der Informationssicherheit:

• Sicherheitsstandards
• ISO 27001 auf Basis des IT-Grundschutzes gemäß BSI mit den BSI Standards 200-1/2/3/4 sowie des IT-Grundschutz-Kompendiums (modernisierter IT-Grundschutz)
• ISO/IEC 27001 mit dem Aufbau und den Anforderungen der Norm sowie weitere Standards der ISO 27001-Familie
• Auswahl und Einsatz von ISMS-Tools

Strategische, taktische und operative Dokumente der Informationssicherheit:

• IT-Richtlinien, Konzepte und Handbücher
• Sicherheitskonzepte gemäß IT-Grundschutz und ISO
• Zuständigkeiten in der IT-Organisation einschließlich Einordnung der betrieblichen Sicherheitsmaßnahmen:
• Organisationsmodelle in Unternehmen
• Zuständigkeiten im IT-Betrieb (z.B. Prozessverantwortung, Helpdesk/IT-Support, Datenbank-Administration etc.)
• Zuständigkeiten und Verantwortliche in der Sicherheitsorganisation (z.B. CIO, Informationssicherheitsbeauftragte*r)
• Zuständigkeiten und Verantwortliche im erweiterten Sicherheitsmanagement (z.B. Risiko-Manager*innen, Datenschutzbeauftragte*r, IS-Revisor*innen etc.)

IT-Systeme und Systemsicherheit:

• Aufbau und Funktion von stationären und mobilen Clients sowie Netzwerken
• Netzwerkmanagement und -sicherheit und Auswahl geeigneter Netzwerktools für die Systemsicherheit
• Einführung in die Kryptographie (asymmetrischen und symmetrische Verschlüsselung sowie Hashfunktionen)
• Authentifizierung und Biometrie mit Hinblick auf Berechtigungskonzepte und Passwortsicherheit
• digitale Signaturen, SSL und zertifikatsbasierte Verschlüsselungen
• Angriffsmethoden und deren Abwehr

Security Awareness

• Sensibilisierung für Informationsschutz und -sicherheit
• Awareness-Transfers (Erfordernis und Erfolgskriterien)
• Awareness-Kampagnen (Voraussetzungen, Umsetzung)

Rechtliche Rahmenbedingungen der Informationssicherheit und des Informationsschutzes:

• Compliance und einschlägige Vorschriften
• Branchenunabhängige Rechtsvorschriften (z.B. AktG, GmbH-Gesetz, StGB, ITSiG, BDSG, GoB/GoBS, BilMoG, SGB, TKG, KonTraG etc.)

Qualifikationsziele des Fachs

Zielsetzung des Moduls
Die Informationstechnologie hat in nahezu allen Wirtschafts- und Lebensbereichen eine so zentrale Bedeutung erlangt, dass man von einer Abhängigkeit sprechen kann. Dadurch sind wichtige Infrastrukturen wie Energie, Gesundheit, Wasserversorgung, Logistik und Finanzen in hohem Maße verletzbar geworden. Sie können durch unterschiedliche Angriffsvektoren manipuliert, beeinträchtigt und beschädigt werden. Angriffe können sogar zu einem vollständigen Ausfall führen. Vor diesem Hintergrund hat der Schutz personenbezogener Daten, die Absicherung von elektronisch gesteuerten Prozessen oder der Schutz von Information und Know-how eine herausragende Bedeutung gewonnen. Informationsschutz und Informationssicherheit tragen mit einer Vielzahl von Maßnahmen und Konzepten wesentlich zum Schutz dieser wichtigen Werte (Assets) von Unternehmen, Behörden und Organisationen bei. Entsprechende Ansätze sind komplex. So können die zentralen Schutzziele der Informationssicherheit - Vertraulichkeit, Verfügbarkeit und Integrität – nur durch

• das Zusammenspiel von technischen und organisatorischen Maßnahmen unter Beachtung von gesetzlichen Vorgaben und Standards sowie
• das Zusammenwirken von Spezialisten und der „breiten“ Mitarbeiterschaft etwa zur Stärkung der allgemeinen Security-Awareness

erreicht werden.

Die Studierende sollen im Rahmen des Moduls potentielle Bedrohungen für System-, Netzwerk- und Anwendungssicherheit erkennen und deren Auswirkungen auf die Sicherheitsbelange von Unternehmen abschätzen können. Sie befassen sich zunächst mit den wesentlichen technischen, rechtlichen und organisatorischen Voraussetzungen der Informationssicherheit und des Informationsschutzes. Im Rahmen der Übung erfolgen Vertiefungen und Spezialisierungen sowie die systemische Integration einzelner Maßnahmen (Sicherheitsorganisation und -konzeption. Security Awareness usw.). Die Studierenden erwerben die für die Aufgaben des Sicherheitsmanagements erforderliche fachliche und methodische Expertise in den Feldern Informationsschutz und -sicherheit. Im Hinblick auf die Entwicklung und Implementierung komplexer Sicherheitskonzepte stärken sie ihre Kooperationsfähigkeit mit Informationstechnikern und anderen Spezialistinnen und Spezialisten.

Kompetenzziele

Fachkompetenz

Die Studierenden kennen und verstehen

• die Bedeutung des Informationsschutzes und der Informationssicherheit,
• die Anforderungen an Informationsschutz und -sicherheit,
• die entsprechenden Normen und Standards,
• die einschlägigen Schutzmaßnahmen und -konzepte.

Die Studierenden sind mit dem Vorgehen bei der Erstellung eines Schutzkonzepts vertraut.

Methodenkompetenz
Die Studierenden sind in der Lage,

• die einschlägigen fachlichen Anforderungen aus den geltenden Normen und Standards abzuleiten,
• den Schutz der Unternehmenswerte im Hinblick auf die Anforderungen in der Informationssicherheit und im Informationsschutz zu reflektieren,
• Maßnahmen entsprechend zu gestalten,
• die Methoden zum Erstellen eines Sicherheitskonzeptes anzuwenden.

Sozialkompetenz
Die Studierenden können

• Aufgaben des Informationsschutzes und der Informationssicherheit kommunikativ und kooperativ lösen,
• eigene Interessen und Ideen so in den Arbeitsprozess einbringen, dass die Vorstellungen anderer Berücksichtigung finden,
• eigene Arbeitsergebnisse und im Team erreichte Ergebnisse angemessen und abgestimmt schriftlich und mündlich vorstellen.

Selbstkompetenz
Die Studierenden erkennen

• die persönlichen Anforderungen des Informationsschutzes und der Informationssicherheit in Unternehmen und anderen Organisationen und können diesen entsprechen,
• den hohen Stellenwert des Schutzes und der Sicherheit von Informationen für das Sicherheitsmanagement und übernehmen dies in ihr berufliches Selbstverständnis.

Die Studierenden sind in der Lage, konzentriert und diszipliniert zu einschlägigen Themen zu arbeiten sowie die Verantwortung für sich und ihr Team zu übernehmen.

Art der Prüfung/ Voraussetzung für die Vergabe von Leistungspunkten

Klausur
Die Studierenden weisen durch eine modulabschließende Klausur nach, dass sie die vorgesehenen Kompetenzen erreicht haben. Die Länge der Klausur und die Modalitäten der Prüfungsleistung legt die verantwortliche Lehrkraft unter Beachtung von § 6 Stud-/PrüfO SiMa fest. Dar-über informiert sie die Studierenden mit Beginn der Lehrveranstaltungen in geeigneter Weise.

Lehr- und Lernformen

Präsenzlehre

• Lehrgespräch
• Übungen
• Rollenspiele
• Gruppenarbeit
• Präsentation und Diskussion von Arbeitsergebnissen

Selbststudium

• Nach- und Vorbereitung der Lehrveranstaltungen unter Nutzung der auf der Lernplattform eingestellten digitalen Medien
• Bearbeitung von Übungsaufgaben