Vor über elf Jahren veröffentlichte die LANline einen Test eines Open-Source-Online-Schulungsprogramms zur Sensibilisierung von Mitarbeitern für Belange der Informationssicherheit: Open Beware. Einen kostenlosen Nachfolger der Software gibt es unter dem Namen BITS. Was bringt das System heute?

Die Lernsoftware „BITS“ dient als Web-basierender Lernkurs für die Beschäftigten der Verwaltungen in Deutschland. Sie soll Mitarbeiter an Computerarbeitsplätzen über IT-Sicherheitsthemen informieren und sie in Hinsicht auf sicherheitsgerechtes Verhalten sensibilisieren. BITS wurde 2006 vom Arbeitskreis Informationstechnologie des Städte- und Gemeindebundes NRW aus der Open-Source-Lernsoftware Open Beware abgeleitet, für die Beschäftigten der Verwaltungen in Deutschland optimiert und seitdem permanent überarbeitet. Derzeit aktuell ist die Version BITS 4. Als Herausgeber fungieren die Kommunalagentur NRW und Lutz Gollan von der Behörde für Inneres und Sport, Hamburg. Die Software steht unter der Schirmherrschaft des Städte- und Gemeindebundes NRW (StGB NRW), Urheber ist neben Lutz Gollan auch Hartmut Honermann von NTT Security (Germany), früher BDG. Der Lernkurs steht auf der Webseite www.bits-training.de in einer Online-Version und als Zip-gepackter Download zur Verfügung. Unter www.bits-portal.eu finden sich für Administratoren aus dem öffentlichen Dienst weitere Ressourcen wie Beta-Versionen, alternative Versionen und ein Diskussionsforum, das unter anderem Themen der individuellen Anpassung des Programms behandelt.

LANline hat das zugrundeliegende Open Beware 2006 als eine „rundum solide Basis für eine kleine Awareness-Kampagne“ bewertet, die die wichtigsten Themen für eine Rundum-Schulung abdeckt (nachzulesen unter www.lanline.de/awareness-tool-als-open-source-html). Aber das ist nun schon über zehn Jahre her – damals steckte das Thema „Awareness“ in vielen Organisationen noch immer in den Kinderschuhen, und die Ansprüche an die mediale Gestaltung von Lernsoftware waren deutlich niedriger als heute. Kann das System heute noch punkten, wurde es tatsächlich hinreichend modernisiert?

Auf jedem Web-Server einsatzfähig

Es kommt darauf an, was man von BITS erwartet. Denn nach wie vor handelt es sich um ein technisch schlichtes, HTML-basierendes Lernsystem, das sich mit seinen Ordnern und Unterordnern einfach auf einen Intranet- oder Sharepoint-Server entpacken lässt und dann entweder sofort (Intranet) oder nach wenigen Anpassungen (Sharepoint) lauffähig ist. Die Flut an Animationen, Videos, Audio-Einspielungen und Interaktionsmöglichkeiten, die moderne kommerzielle Systeme meist bieten, steht hier nicht zur Verfügung – allerdings gibt es am Ende der Lektionen durchaus kleine Quizze, mit denen die Lernenden ihr neues Wissen überprüfen können.

Auf den ersten Blick wirkt die Online-Version, wie sie sich auf der BITS-Website präsentiert, optisch ein wenig altbacken. Der Inhalt allerdings deckt heutige Bedürfnisse durchaus ab. Er behandelt zum Beispiel die Probleme, die mit der Nutzung von Cloud-Diensten verbunden sind. Die Themen im Einzelnen: „Sicherer Umgang mit E-Mails und E-Mail-Verschlüsselung“, „Bedrohung durch Computerviren“, „Passwörter und Social Engineering“, „Surfen im Internet“, „Umgang mit vertraulichen Informationen – Datenschutz“, „Sichere Nutzung von Social-Media-Diensten“, „Cloud-Dienste sicher nutzen“, „Mobile Endgeräte, WLAN und USB-Sticks“. Wie sich an dieser Aufstellung erkennen lässt, ist BITS 4 keineswegs ein Angebot, das nur für Behörden interessant ist, denn es deckt die Basisthemen sicherheitsgerechten Verhaltens an einem PC-Arbeitsplatz allgemeingültig ab.

Eins muss vielleicht noch ausdrücklich herausgestellt werden: Die erwähnte Online-Version des Programms ist nicht als Auftritt gedacht, auf den man Mitarbeiter zur schnellen Schulung kurzerhand verweisen könnte, sondern dient lediglich als Anschauungsmaterial für Interessenten. Mindestens eine individuelle Anpassung nämlich ist sozusagen „Pflicht“ und gehört zu den „Best Practices“ der Awareness-Arbeit: Im Lernprogramm müssen die konkreten Ansprechpartner für Sicherheitsfragen in der jeweiligen Organisation auftauchen. Darüber hinaus kommt eine gewisse Individualisierung dem Schulungserfolg zugute, etwa das Einfügen von Beispielen aus dem Arbeitsumfeld der Zielgruppen.

Fazit

BITS 4 als Nachfolger von Open Beware bekommt ebenfalls das Prädikat einer soliden Basis für eine kleine grundlegende Online-Schulung zur Sensibilisierung von Mitarbeitern für Security-Belange. Nützlich ist so etwas auch für Unternehmen, die primär auf andere Awareness-Medien setzen, die aufgrund von Industriestandards wie PCI-DSS aber zur Nutzung mehrerer medialer Kanäle gezwungen sind oder einfach einmal für Abwechslung sorgen wollen.

Dr. Johannes Wiele ist Security-Spezialist und Autor des LANline Security Awareness Newsletters.