BSI IT-Grundschutz-Praktiker – ein Kommentar

Kürz­lich habe ich eine Schu­lung und Prü­fung zum BSI IT-Grund­schutz-Prak­ti­ker erfolg­reich absol­viert. Auch wenn ich die Ein­rich­tung die­ser Schu­lungs­mög­lich­kei­ten grund­sätz­lich begrü­ße ist hier noch eini­ges im Hin­blick auf die Qua­li­tät zu tun. 

Übersicht Schulungen BSI IT-Grundschutz-Praktiker und ‑Berater

Seit Mai die­sen Jah­res gibt es Schu­lungs­an­ge­bo­te zum BSI IT-Grund­schutz mit Per­so­nen­zer­ti­fi­kat. Das Kon­zept ist 2‑stufig aufgebaut:

1. BSI IT-Grund­schutz-Prak­ti­ker und
2. BSI IT-Grun­schutz-Bera­ter

Für die ers­te Stu­fe, als Basis­schu­lung sind 24 Unter­richts-Ein­hei­ten (je 60 Minu­ten) vor­ge­se­hen. Die jewei­li­ge Schu­lungs-Orga­ni­sa­ti­on erstellt dafür Unter­la­gen und Prü­fung. Nach bestan­de­ner Prü­fung kann die Schu­lungs-Orga­ni­sa­ti­on einen Nach­weis aus­stel­len.
Die Auf­bau­schu­lung zum IT-Grund­schutz-Bera­ter sieht 16 Unter­richts-Ein­hei­ten vor. Hier wird nach erfolg­rei­cher Prü­fung auch ein Per­so­nen­zer­ti­fi­kat aus­ge­stellt. Wei­te­re Infor­ma­tio­nen dazu lie­fert das BSI auf sei­ner Web­sei­te: Link.
Um einen hohen Qua­li­täts­stan­dard zu gewähr­leis­ten hat das BSI ein Cur­ri­cu­lum her­aus­ge­bracht. Die­ses ist, durch die Schu­lungs-Orga­ni­sa­tio­nen ver­bind­lich zu nut­zen. Zudem muss eine Selbst­er­klä­rung abge­ge­ben werden.

Das Schulungserlebnis zum BSI IT-Grundschutz-Praktiker

Als in der Fir­ma die Schu­lung orga­ni­siert wur­de gab es ledig­lich 2 Schu­lungs­an­bie­ter für den BSI IT-Grund­schutz-Prak­ti­ker. Mitt­ler­wei­le hat sich zumin­dest die Anzahl der Schu­lungs­or­ga­ni­sa­tio­nen deut­lich erhöht (Link).

Die Schu­lung selbst wur­de, wie heu­te lei­der üblich als Power Point Fron­tal-Vor­trag durch­ge­führt. Die Schu­lungs­un­ter­la­gen waren eine schwarz-weiß aus­ge­druck­te Prä­sen­ta­ti­on und das Grund­schutz-Kom­pen­di­um. Lei­der war die Qua­li­tät der­art schlecht, das die­se kaum zu gebrau­chen waren. Immer­hin hat­te der Trai­ner eini­ges an Erfah­rung in der Anwen­dung des IT-Grund­schut­zes.
Unterm Strich war die Schu­lung und auch die Prü­fung für erfah­re­ne Anwen­der des IT-Grund­schut­zes lei­der nicht ziel­füh­rend. Bei der Mul­ti­ple-Choice-Prü­fung konn­te kei­ne bis alle 4 Ant­wor­ten rich­tig sein. Die­se beinhal­te­te jedoch auch fach­li­che Feh­ler.
Zwar ver­pflich­tet das BSI Schu­lungs-Orga­ni­sa­tio­nen zur Nut­zung des bereit­ge­stell­ten Cur­ri­cul­ums und einer Selbst­er­klä­rung. Die Selbst­er­klä­rung ist jedoch lei­der deut­lich zu schwam­mig. Das Cur­ri­cu­lum zielt dabei nur auf den Umfang und die Lern­in­hal­te ab. Vor­ga­ben zu den Schu­lungs­un­ter­la­gen fin­den sich ver­geb­lich. Bei­de Doku­men­te stel­len eine gute Basis dar, müs­sen aber deut­lich geschärft wer­den, dazu eini­ge Beispiele:

• Ziel­grup­pen­ana­ly­se – unbe­dingt soll­ten Schu­lungs­an­bie­ter ver­pflich­tend die Inhal­te auf die Schu­lungs-Teil­neh­mer abstimmen.
• Modu­la­rer Auf­bau – dar­auf auf­bau­end sind dann Modu­le zu ent­wer­fen und nach Ziel­grup­pe zu schulen.
• Schu­lungs-Unter­la­gen in Skript­form – die Schu­lungs-Unter­la­gen sind in Skript­form als Nach­schla­ge­werk les­bar anzu­le­gen. Gera­de mit gewünsch­tem Selbst­stu­di­um (sie­he Abbil­dung 1) ist das ein Muss.
• Metho­dik – unbe­dingt sind Grup­pen-Arbei­ten in die Schu­lung ein­zu­bau­en. So kann auch das Wis­sen der Schu­lungs-Teil­neh­mer gewinn­brin­gend genutzt werden.

Fazit

Die Ein­füh­rung des Schu­lungs-Kon­zepts für den IT-Grund­schutz ist wich­tig und ziel­füh­rend. Aus mei­ner Sicht soll­te das BSI hier aber schnell wei­te­re Qua­li­täts­si­che­rungs-Mecha­nis­men ein­bau­en. Schu­lungs-Kon­zep­tio­nen der Schu­lungs-Orga­ni­sa­tio­nen sind durch das BSI zu geneh­mi­gen. Eben­so sind die Schu­lungs-Unter­la­gen auf Anwend­bar­keit zu prü­fen und frei­zu­ge­ben . Für Prü­fun­gen ist ein zen­tra­ler Fra­gen-Pool in Ver­ant­wor­tung des BSI zu nutzen.