Zusatzqualifikation „IT-Sicherheit“

5/5 Sterne (1 Stimme)
Die Zusatzqualifikation „IT-Sicherheit“ wurde 2018 eingeführt.
Die Zusatzqualifikation „IT-Sicherheit“ wurde 2018 eingeführt. (Bildquelle: Andrey Suslov/iStock/Getty Images Plus)

Rechtliche Vorgaben zur Zusatzqualifikation „IT-Sicherheit“

Im Zuge der Verknüpfung von Anlagen und Systemen zu interagierenden Netzwerken gewinnt das Thema IT-Sicherheit an enormer Bedeutung. Denn jede drahtlose Kommunikation ist zugleich mit den erheblichen Risiken des unbefugten Zugriffs auf die Daten sowie deren Manipulation konfrontiert. Viele Beispiele aus der jüngeren Vergangenheit zeigen, welche ernsten Schäden aus dem Datendiebstahl erwachsen und wie mit Viren ganze Unternehmen lahmgelegt werden können. Erinnert sei an dieser Stelle an die Firma Pilz GmbH & Co. KG, die im Herbst 2019 Opfer eine Cyberattacke wurde und deren Server in der Folge über vier Wochen lahmgelegt waren. Im Oktober 2020 berichtete die Initiative „Deutschland sicher im Netz“ (DsiN) unter Hinweis auf eine repräsentative Studie, dass 46 % aller Unternehmen in Deutschland von einem in den vergangenen Monaten erfolgten Cyberangriff auf ihr Unternehmen betroffen waren. Bei drei Viertel (74 %) der Betroffenen hätte die Attacke schädliche Auswirkungen gehabt. Bei 4 % der Betriebe seien die Folgen sogar schwerwiegend gewesen.1

Doch das, was sich im ersten Moment wie eine Aufgabe für IT-Sicherheitsexperten liest, ist in der Praxis schon längst auch im Verantwortungsbereich der Elektrofachkräfte (EFKs) angekommen. Sie sind es, die in der täglichen Arbeit die einzelnen Systeme zu Netzwerken verknüpfen, Produktions- und Instandhaltungsdaten in Clouds auslagern oder Sicherheitseinstellungen im Zuge von Wartungsarbeiten ändern. Dementsprechend müssen die Elektrofachkräfte in der Lage sein, Aspekte der IT-Sicherheit in ihrer täglichen Arbeit zu beachten. Das betrifft u.a.:

  • das Konfigurieren und Betreiben einer Firewall
  • den Aufbau einer sicheren Verbindung zwischen zwei Netzwerkknoten
  • den Zugriff interner und externer Spezialisten und Spezialistinnen bzw. Techniker/-innen in einem Netzwerkverbund
  • das Erstellen von Freigabeszenarien im Rechner und in der Firewall
  • oder die Sicherheit von Kooperationsnetzwerken

Aus diesen Gründen wächst die Bedeutung der Kompetenz „IT-Sicherheit“ auch für Facharbeiter der industriellen Elektroberufe erheblich. Die durch den Gesetzgeber vorgesehene Zusatzqualifizierung berücksichtigt das, fördert die Entwicklung von grundlegenden Kenntnissen bezüglich Datensicherheit und Datenschutz und bestätigt das erworbene Können durch eine integrierte Prüfung.

Dafür gliedert sich die Vermittlung der Zusatzqualifikation „IT-Sicherheit“ in drei Phasen:2

  1. Entwickeln von Sicherheitsmaßnahmen
    • Analysieren von Sicherheitsanforderungen und Funktionalitäten von industriellen Kommunikationssystemen und Steuerungen
    • Bewerten des Schutzbedarfs bezüglich Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität
    • Beurteilen von Gefährdungen und Risiken
    • Erarbeiten und Abstimmen von Sicherheitsmaßnahmen
  1. Umsetzen von Sicherheitsmaßnahmen
    • Integrieren technischer Sicherheitsmaßnahmen in Systeme
    • Informieren der IT-Nutzer und IT-Nutzerinnen über Arbeitsabläufe und organisatorische Vorgaben
    • Erstellen einer Dokumentation entsprechend den betrieblichen und rechtlichen Vorgaben
  1. Überwachen der Sicherheitsmaßnahmen
    • Prüfen der Wirksamkeit und Effizienz der umgesetzten Sicherheitsmaßnahmen
    • Einsatz von Werkzeugen zur Systemüberwachung
    • Kontrolle und Auswertung von Protokolldateien, insbesondere zu Zugriffen, Aktionen und Fehlern
    • Melden sicherheitsrelevanter Zwischenfälle

Die für die Zusatzqualifikation vorgesehene Zeit beträgt acht Wochen. Sie wird ausschließlich im Ausbildungsbetrieb vermittelt, kann aber nach regionaler Absprache durch die Berufsschulen unterstützt werden.

Umsetzung der Zusatzqualifikation „IT-Sicherheit“ im Ausbildungsbetrieb

Die aufgeführten Phasen der Zusatzqualifikation „IT-Sicherheit“ sowie die damit verbundenen Fertigkeiten, Kenntnisse und Fähigkeiten stellen Rahmenbedingungen dar. Allerdings verzichtet das deutsche Berufsausbildungssystem explizit darauf, die Inhalte zu konkretisieren. Damit soll zum einen der schnellen Überalterung technolgischer Sicherheitssysteme durch neue Entwicklungen entgegengewirkt werden. Zum anderen sollen die Unternehmen ausreichend Freiraum erhalten, um die Inhalte an ihre Bedarfe anzupassen. Jedes Ausbildungsunternehmen hat damit die Möglichkeit, die gesetzlichen Vorgaben der Ausbildungsordnung an seine tatsächlichen Gegebenheiten zu adaptieren.

Die Umsetzung dieser Gestaltungsfreiheit ist aber gleichermaßen für manche der Ausbildungsbereiche in den Unternehmen entsprechend schwierig. Denn die sehr allgemeinen Vorgaben sind von den Ausbildungsabteilungen auf ihr Unternehmen zu übersetzen. Welche Arbeitsaufgaben sind für die Auszubildenden zum Erwerb der Zusatzqualifikation angemessen? Welche Technologien sind zu berücksichtigen? An welcher Stelle entsteht durch die Arbeit der Auszubildenden für das Unternehmen ein Mehrwert? Wie ist deren Arbeit mit den jeweiligen Fachbereichen im Unternehmen abzustimmen?

Aus diesem Grund unterbreiten wir im Folgenden einige Vorschläge. Dabei folgen wir dem Modell der vollständigen beruflichen Handlung, das sich in folgende Phasen unterteilt:

  • Informieren
  • Planen
  • Entscheiden
  • Durchführen
  • Kontrollieren
  • Bewerten

Zur Umsetzung der zu vermittelnden Fertigkeiten, Kenntnisse und Fähigkeiten sind die gesetzlichen Vorgaben in die betriebliche Praxis zu übersetzen.

Tipp der Redaktion

Elektrosicherheit in der Praxis

Den kompletten Fachartikel sowie weiterführende Informationen zum Thema finden Sie in dem Produkt „Elektrosicherheit in der Praxis”.

Jetzt unverbindlich testen!

Für Ausbilder

Vorschläge zur inhaltlichen Gestaltung der Zusatzqualifizierung „IT-Sicherheit“

Erstellung einer VPN-Verbindung zwischen zwei Unternehmensnetzwerken

Aufgabenstellung

Ein junges Unternehmen zur Herstellung von Zubehör für Smartphones war in den vergangenen Jahren stark gewachsen und hatte daraufhin seine Produktion ausgeweitet. Obwohl die zweite Produktionsstätte im gleichen Technologiepark angesiedelt ist, befinden sich die beiden Fertigungsstätten in einiger Entfernung zueinander. Daraus bedingt entstand für jede der Produktionsstätten ein eigenes Produktions- und Instandhaltungsnetzwerk. Im Zuge einer Prozessoptimierung soll es nun den Instandhaltern der beiden Werksbereiche ermöglicht werden, auf die Daten des jeweilig anderen Fertigungsbereichs zuzugreifen. Dabei werden momentan die Daten über ein nicht vertrauenswürdiges Netzwerk übertragen. Da die Daten weder von Unbefugten mitgelesen werden dürfen noch eine unbemerkte Veränderung möglich sein darf, sollen die Vertraulichkeit und die Integrität über eine Verschlüsselung geschützt werden. Dafür ist das in den Routern implementierte IPsec zu verwenden. Das soll über eine verschlüsselte Verbindung erfolgen, bei der die jeweiligen Endpunkte sich über ein geteiltes Passwort erkennen. Weiterhin soll die Authentifizierung der Gegenstellen über ein digitales Zertifikat erfolgen.

Integration eines Fertigungssystems in das betriebliche Netzwerk und Einschränkung des Zugriffs auf bestimmte IP-Adressen

Aufgabenstellung

Ein neu entwickeltes Fertigungssystem soll in das betriebliche Netzwerk integriert werden. Dafür ist ein Sicherheits-Gateway in das System zu integrieren. Vier interne Ports sind dabei dem internen Fertigungssystem zugewiesen, ein fünfter Port ist für die Kommunikation mit dem Netzwerk vorzusehen. Um einen unberechtigten Zugriff auf die Daten zu verhindern und gezielte Cyberattacken auf Schwachstellen im Netzwerk zu vermeiden, sind externe Zugriffe auf bestimmte IP-Adressen einzuschränken.3

Anlegen einer digitalen Ablage für Ausbildungsinhalte innerhalb eines verteilten Ausbildungssystems

Ein Unternehmen verfügt über eine dezentrale Fertigungsstruktur, die sich über mehrere nationale und internationale Standorte verteilt. Dementsprechend wird auch dezentral ausgebildet. Um nun dennoch auf die gleichen Dokumente zugreifen zu können, soll eine digitale Ablage zum Datenaustausch zwischen den Standorten eingerichtet werden. Auf diese Ablage dürfen nur berechtigte Nutzer zugreifen können. Weiterhin ist ein Berechtigungskonzept einzurichten, bei dem zwischen Administratoren, Führungskräften in der Ausbildung, Ausbildern und Auszubildenden zu unterscheiden ist.4

Bitte betrachten Sie die aufgeführten Aufgabenstellungen als Beispiele. Sie dienen lediglich dem Zweck, Ihnen Ideen und Inspiration für eine eigene betrieblichen Aufgabenstellung anzubieten. Vielleicht folgend Sie diesen, vielleicht entwickeln Sie aber auch eine ganz eigene Aufgabenstellung, die auf ein konkretes Problem Ihrer betrieblichen Realität zugeschnitten ist.

1 www.t-online.de/

2 vgl. Anlage 7 der Ausbildungsordnung der industriellen Elektroberufe

3 www.bibb.de/de/84066.php

4 www.bibb.de/de/84066.php

Autor: Peter Schaffert

Weitere Beiträge zum Thema

Zurück

Kommentare

Einen Kommentar schreiben

Bitte addieren Sie 1 und 3.