Magdeburger Journal zur Sicherheitsforschung

Gegründet 2011 | ISSN: 2192-4260Herausgegeben von Stefan Schumacher und Jörg SamblebenErschienen im Magdeburger Institut für Sicherheitsforschung

Das IT-Weiterbildungssystem und IT-Sicherheit

Stefan Schumacher

Seit 1997 existieren die neuen/neugeordneten IT-Ausbildungsberufe (Fachinformatiker, IT-Systemelektronikeretc.) welche berufliche Handlungskompetenzen im IT-Umfeld vermitteln sollen.Der Artikel stellt geeignete Weiterbildungsmaßnahmen und Aufstiegsfortbildungen im Rahmen des soge-nannten IT-Weiterbildungssystems vor. Dieses beinhaltet unter anderem auch die Möglichkeit, sich als Spe-cialist zum IT Security Coordinator weiterbilden zu lassen.

Zitationsvorschlag: Schumacher, S. (2014). Das IT-Weiterbildungssystem und IT-Sicherheit. Magdeburger Jour-nal zur Sicherheitsforschung, 1, 456–467. Zugriff am 12. März 2014, unter http://www.sicherheitsforschung-magdeburg.de/publikationen.html Version 2014/06/27 15:31

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 457

1 Einleitung

Im Zuge der informationstechnologischen Revoluti-on der letzten 40 Jahre hielten und halten Compu-ter in verschiedensten Formen Einzug in nahezu al-le Lebensbereiche. Angefangen hat diese Entwicklungmit den ersten größeren Einsätzen im Militär (Enig-ma und Turing-Bombe) zu Beginn des Zweiten Welt-krieges und dem Einzug in die zuerst militärischeForschung (ENIAC und Arpanet) des darauffolgen-den Kalten Krieges. In den 1950er bis 1970er Jahrenverbeiteten sich die Großrechner auch in der zivilenForschung und über die Betriebswirtschaftslehre undspäter Wirtschaftsinformatik in großen Unternehmen.Im Zuge der Entwicklung der Integrierten Schaltkrei-se (Integrated Circuit, IC) wurden Computer immerleistungsfähiger und immer kleiner, bis sie in Gestaltdes 1981 vorgestellten IBM PCs auch auf die Schreib-tische und später die Wohn- und Kinderzimmer ge-langten. Ein weiterer Meilenstein war die Ausbrei-tung des Internets in Deutschland ab Mitte der 1990erJahre und anschließend die Entwicklung des von Wil-liam Gibson bereits in den 1980er prophezeiten Cy-berspace als »computermedial erzeugte[m] Sinnhori-zont«1.Mit dem Ende der ersten Dekade des 21 Jahrhundertstraten leistungsfähige Smartphones ihren Siegeszugan und führten in Verbindung mit sozialen Netzwer-ken zur ersten Generation von sog. Digital Natives2,also Kindern und Jugendlichen die mit und im Netzaufgewachsen sind.Weder aus den Unternehmen noch aus den Haushal-ten sind Computer und Internet wegzudenken. Sonutzen nach einer Statistik3 des BranchenverbandesBITKOM bereits mehr als drei Viertel aller deutschenHaushalte einen Internetzugang, wobei zwei Drit-tel aller Haushalte Breitbandinternet und jeder vier-te Deutsche mobile Internetzugänge via Laptop oderHandy nutzen. Ebenso nutzen in Deutschland 61% al-ler Beschäftigten einen Computer am Arbeitsplatz. Esist also heute schon fast unnormal geworden keinenComputer zu benutzen, zumindest wenn man zu denJugendlichen oder Erwerbstätigen gehört.Im Rahmen der Verbreitung von Computern, IT undInternetzugängen wurden und werden immer mehrTätigkeiten und Angebote via Internet angeboten.Seien es soziale Netzwerke wie Facebook, StudiVZoder Xing, die ohne PCs und Internet gar nichtmöglich wären oder Business-2-Comsumer-Angebote(B2C) wie Internetbanking oder Handelsplattformenà la Ebay und Amazon. Auch in der Wirtschaftsweltsind viele Dienste nur noch via Internet verfügbar,zum Beispiel die sogenannten Business-2-Business-Dienste (B2B) wie die weltweite Kooperation vonSoftwareentwicklern oder der Datenaustausch zwi-

1 http://de.wikipedia.org/w/index.php?title=Cyberspace&oldid=85161862 r. 2014-03-11

2 http://www.sueddeutsche.de/kultur/born-digital-nicht-ohne-mein-offline-selbst-1.531588 r. 2014-03-11

3 http://www.bitkom.org/de/markt_statistik/64003.aspx r.2014-03-11

schen Automobilherstellern und Zulieferern, der fastausnahmslos virtuell stattfindet. Auch Produktions-anlagen4 und Geräte kommunizieren inzwischen im-mer mehr über das Internet miteinander, so sollenbeispielsweise nach dem Willen der EU sogenannteSmart Meter5, also »intelligente« Stromzähler einge-führt werden, die den Verbrauch der Haushalte di-rekt und in Echtzeit an die Stadtwerke und Kraft-werke melden. Die Stromerzeuger sind auch inter-essiert daran, den Jahresverbrauch online auszulesenum die Kosten für menschliche Ableser einzusparen.Außerdem sollen aus Kostengründen die Smart Meterper Remote-Zugang abschaltbar sein, damit im Fal-le des Zahlungsverzugs oder Auszugs eines Kundender Stromzugang sofort und bequem gekappt werdenkann.All diese Szenarien birgen jedoch ein entscheidendesProblem – dass der Sicherheit.Neben »einfachen« Sicherheitsproblemen, wie denverbreiteten Viren, Würmern und Trojanern sowieSpam- und Phishing-Mails, gibt es tagtäglich wenigelaborierte aber automatisierbare Angriffe gegen In-ternetbanking, die zwar eine geringe Erfolgsquote ha-ben, in der Masse aber zu erklecklichen Gewinnenbzw. Schäden führen. Abbildung 1 zeigt die beimCERT Coordination Center der Carnegie Mellon Uni-versity katalogisierten Sicherheitslücken in Softwa-re. Sie stiegen von 171 im Jahre 1995 auf 7236 imJahre 2007. Abbildung 2 zeigt anhand einer Zeitta-fel die steigende Raffinesse von Angriffen auf IT-Sicherheitssysteme. Waren die ersten Angriffsmetho-den wie Passwörter erraten in den 1980ern noch rechtsimpel, sind diese in den 2000ern wesentlich komple-xer geworden. Dafür sanken die Fertigkeiten der An-greifer, da viele technische Angriffe inzwischen mit-tels vorhandener Software (»Skript«) von sogenann-ten Skript-Kiddies ausgeführt, die sich lediglich diefertigen Skripte verschaffen, um sie einzusetzen. Da-durch steigt die Zahl der Angriffe und Sicherheits-vorfälle von Jahr zu Jahr an, während gleichzeitigdie technischen Voraussetzungen und intellektuellenFähigkeiten auf Angreiferseite immer niedriger wer-den.Ein weiterer zur Zeit heiß diskutierter Punkt ist derdes Datenschutzes im Netz, die sogenannte Privacy-Debatte. So stellen beispielsweise viele Jugendlichesorglos Informationen und unvorteilhafte Fotos in so-zialen Netzwerken ein, ohne sich bewusst zu sein,dass diese automatisiert analysiert werden und imspäteren Leben durchaus problematisch sein kön-nen.In der Wirtschaft spielt die IT-Sicherheit inzwischenauch eine große Rolle. Seien es Vorgänge wie Wirt-

4 http://www.heise.de/security/meldung/Stuxnet-Wurm-kann-Industrieanlagen-steuern-1080584.html r. 2014-03-11

5 http://www.heise.de/security/meldung/Intelligente-Stromzaehler-Entwurf-fuer-Schutzprofil-zur-Diskussion-gestellt-1180901.html r. 2014-03-11

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 458

Taus

end

Vorf

älle

1

2

3

4

5

6

7

8

Anzahl katalogisierter Sicherheitslücken in 1.000

0.171

1995

0.345

1996

0.311

1997

0.262

1998

0.417

1999

1.09

2000

2.437

2001

4.129

2002

3.784

2003

3.78

2004

5.99

2005

8.064

2006

7.236

2007

Abbildung 1: Beim CERT/CC katalogisierte Sicherheitslücken

Abbildung 2: Angriffs-Komplexität und AngreiferfertigkeitenQuelle: Allen u. a. (2000, Seite 43)

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 459

schaftsspionage6 oder Sabotage durch verärgerte Mit-arbeiter. Auch Sicherheitsfehler in technischen Anla-gen können zum Beispiel in Kernkraftwerken, Flug-zeugen oder in der Raumfahrt7 zu massiven, mituntertödlichen, Konsequenzen führen.Waren Computer vor einigen Jahrzehnten noch sogroß wie eine Schrankwand und nur von entspre-chend ausgebildeten Elektrotechnikern oder Fachar-beitern für elektronische Datenverarbeitung zu be-dienen, haben in den letzten Jahren nahezu alleUnternehmen Informationstechnik eingeführt. Sei esum die elektronische Steuererklärung/elektronischeUmsatzsteuervoranmeldung durchzuführen, eine ei-gene Webseite zu betreiben oder per Mail mitden Kunden in Kontakt zu bleiben. Gerade klei-nere und mittlere Unternehmen (KMU) profitie-ren vom Einsatz der EDV, verfügen oftmals abernicht über ausgebildetes Fachpersonal. Üblicher-weise wird die Systemadministration von Netz-werken und Rechnern von studierten Informati-kern oder Universitäts-/Fachhochschulabsolventenaus benachbarten MINT-Gebieten übernommen undentsprechend vergütet. KMU sind in der Regel nichtin der Lage einen Diplom-Informatiker entsprechendzu vergüten, außerdem erscheint es eher unwahr-scheinlich dass ein Handwerksbetrieb mit einemMeister an der Spitze einen Diplom-Informatiker alsAngestellten einstellt.Um auch eine formale Ausbildungsmöglichkeitauf Facharbeiter-Niveau zu ermöglichen, wurde1997 die Ausbildungsberufe Fachinformatiker,Informatikkaufmann, IT-Systemkaufmann und IT-Systemelektroniker in der Verordnung über dieBerufsausbildung im Bereich der Informations- undTelekommunikationstechnik8 neu geregelt.

2 Die Ausbildung zumFachinformatiker

Das deutsche Berufsbildungssystem verfügt mit derdualen Berufsausbildung und den darauf aufbau-enden Weiterbildungen zum Meister, Fachwirt oderTechniker über eine stark formalisierte Regelung.Ordnungspolitisch wird dies durch das Berufsbil-dungsgesetz (BBiG) und das Gesetz zur Ordnung desHandwerks (kurz Handwerksordnung bzw. HwO)bzw. darauf aufbauend die Ausbildungsordnungen(AO) erreicht. Einhergehend mit der starken Forma-lisierung und Regularisierung haben formale Zertifi-kate (»Abschlüsse«) eine hohe Bedeutung, so gibt esbspw. noch in einigen Gewerken den Großen Befähi-

6 http://www.heise.de/newsticker/meldung/Verfassungsschutz-registriert-zunehmende-Wirtschaftsspionage-uebers-Internet-219591.html r. 2014-03-11

7 http://en.wikipedia.org/w/index.php?title=Death_by_PowerPoint&oldid=415751189 r. 2014-03-11

8 Verordnung über die Berufsausbildung im Bereich derInformations- und Telekommunikationstechnik vom 10. Juli1997 (BGBl. I S. 1741)

gungsnachweis (auch Meisterzwang genannt)9.

2.1 Berufsbildung, Lernfelder,Handlungskompetenz

Ziel der Berufsschule ist es, eine berufliche Grund-und Fachbildung durchzuführen und die zuvor er-worbene Allgemeinbildung zu erweitern. Damit sollsie zur Erfüllung der Aufgaben im Beruf sowie zurMitgestaltung der Arbeitswelt und Gesellschaft insozialer und ökologischer Verantwortung befähigen(vgl. BiBB 1997).Spätestens seit der Umstellung der Rahmenlehrplä-ne der berufsbildenden Schulen auf das Kompetenz-modell und damit dem Lernfeld-Konzept sind Kom-petenzen bzw. das Kompetenzmodell weit verbreitet(Sekretariat der Kultusministerkonferenz 2007). DasKompetenzmodell setzt sich in der Arbeitspsycho-logie sowie in der Berufspädagogik als Grundlageder Didaktik und der Lehr-/Lernmodelle immer wei-ter durch. Nicht nur die Ausbildung innerhalb derberufsbildenden Schulen in Dualen System erfolgtin der Regel auf der Grundlage des Kompetenzmo-dells. Auch Hochschulen entwerfen ihre Curricula10

auf der Basis von Kompetenzmodellen, ebenso immermehr inner- und außerbetriebliche Fort- und Weiter-bildungsmaßnahmen.Sekretariat der Kultusministerkonferenz (2007, S. 10ff)beschreibt als Grundlage des Lernfeldkonzeptes unddes handlungsorientierten11 Unterrichts das Kompe-tenzmodell. Die berufsbildende Schule habe Hand-lungskompetenz zu entwickeln, dies ist die »Bereit-schaft und Befähigung des Einzelnen, sich in be-ruflichen, gesellschaftlichen und privaten Situationensachgerecht durchdacht sowie individuell und sozi-al verantwortlich zu verhalten«. Handlungskompe-tenz entfalte sich in den Dimensionen Fachkompe-tenz, Humankompetenz und Sozialkompetenz:

Fachkompetenz bezeichnet die Bereitschaftund Befähigung, auf der Grundlage fachli-chen Wissens und Könnens Aufgaben undProbleme zielorientiert, sachgerecht, metho-dengeleitet und selbstständig zu lösen unddas Ergebnis zu beurteilen.Humankompetenz bezeichnet die Bereit-schaft und Befähigung, als individuelle Per-sönlichkeit die Entwicklungschancen, An-forderungen und Einschränkungen in Fami-lie, Beruf und öffentlichem Leben zu klä-ren, zu durchdenken und zu beurteilen, ei-gene Begabungen zu entfalten sowie Le-benspläne zu fassen und fortzuentwickeln.Sie umfasst Eigenschaften wie Selbststän-digkeit, Kritikfähigkeit, Selbstvertrauen, Zu-verlässigkeit, Verantwortungs- und Pflicht-bewusstsein. Zu ihr gehören insbesondere

9 §1 Abs. 1 in Verbindung mit §7 HwO

10 http://www.steinbeis-hochschule.de/hochschule/projekt-kompetenz-konzept.html r. 2014-03-11

11 Hervorhebung durch mich. [SS]

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 460

auch die Entwicklung durchdachter Wert-vorstellungen und die selbstbestimmte Bin-dung an Werte.Sozialkompetenz bezeichnet die Bereitschaftund Befähigung, soziale Beziehungen zu le-ben und zu gestalten, Zuwendungen undSpannungen zu erfassen und zu verstehensowie sich mit Anderen rational und ver-antwortungsbewusst auseinander zu setzenund zu verständigen. Hierzu gehört insbe-sondere auch die Entwicklung sozialer Ver-antwortung und Solidarität.Methodenkompetenz bezeichnet die Bereit-schaft und Befähigung zu zielgerichtetem,planmäßigem Vorgehen bei der Bearbeitungvon Aufgaben und Problemen (zum Beispielbei der Planung der Arbeitsschritte).Kommunikative Kompetenz meint die Be-reitschaft und Befähigung, kommunikativeSituationen zu verstehen und zu gestalten.Hierzu gehört es, eigene Absichten und Be-dürfnisse sowie die der Partner wahrzuneh-men, zu verstehen und darzustellen.Lernkompetenz ist die Bereitschaft und Be-fähigung, Informationen über Sachverhalteund Zusammenhänge selbstständig und ge-meinsam mit Anderen zu verstehen, auszu-werten und in gedankliche Strukturen ein-zuordnen. Zur Lernkompetenz gehört insbe-sondere auch die Fähigkeit und Bereitschaft,im Beruf und über den Berufsbereich hinausLerntechniken und Lernstrategien zu entwi-ckeln und diese für lebenslanges Lernen zunutzen.

Kompetenz als die »Fähigkeit, situationsadäquat zuhandeln. Kompetenz beschreibt die Relation zwi-schen den an eine Person oder Gruppe herangetra-genen oder selbst gestalteten Anforderungen und ih-ren Fähigkeiten bzw. Potenzialen, diesen Anforderun-gen gerecht zu werden. [. . . ] Kompetenzen konkre-tisieren sich immer erst im Moment der praktischenWissensanwendung in einem konkreten Handlungs-bezug und werden am erzielten Ergebnis der Hand-lungen messbar« North und Reinhardt (2005, S. 29)Es zeigt sich also, das Kompetenzen Selbstorganisati-onsdispositionen sind, das heißt, sie ermöglichen kom-petente Handlungen, sind also nur ein Potenzial, dasses zu nutzen gilt. Weiterhin ist es notwendig, Kompe-tenzen und formale Qualifikation zu unterscheiden.Formale Qualifikationen, also Abschlüsse oder Zer-tifikate wie das Abitur, der Gesellen- oder Meister-brief oder ein Master of Arts sind nicht unbedingt di-rekt mit Kompetenzen gleichzusetzen, da bei der Er-langung eines Zertifikats oder ähnlichem nicht zwin-gend kompetenz- und handlungsorientiert unterrich-tet wird und oft auch nicht handlungsorientiert ge-prüft wird.Am sprichwörtlichen Meisterstück, das früher voneinem Gesellen auf Antrag angefertigt wurde, zeig-te der Geselle seine Fähigkeit, ein handwerklich an-

spruchsvolles Stück zu fertigen und es in einer theore-tischen Prüfung zu verteidigen. Die Meister-Prüfungist somit in der Regel stark handlungs- und damitkompetenzorientiert. Reine Wissenstests, beispiels-weise als Multiple-Choice-Test, sind nicht kompeten-zorientiert, da Wissen nur eine Vorstufe der Kompe-tenz darstellt.Abb. 3 zeigt die Wissentreppe12 von North (2002), inder die Stufen einer kompetenten Handlung gezeigtwerden. Die ersten 4 Stufen (Zeichen, Daten, Infor-mationen, Wissen) stellen die Grundlagen der kom-petenten Handlung dar, also Fähigkeiten, Fertigkeitenund Kenntnisse. Diese Fähigkeiten, Fertigkeiten undKenntnisse müssen vom Individuum in einen An-wendungsbezug gesetzt werden. Zusammen mit die-sem Anwendungsbezug ergibt sich das Können, alsodas Potenzial etwas zu tun. Das Potenzial muss danndurch Wollen, also Motivation, in eine Handlung um-gesetzt werden. Die Handlung ist der Akt, in dem sichdie vorhergehenden Stufen, also das Potenzial, zeigtund messbar wird. War die Handlung richtig, kön-nen wir von einer kompetenten Handlung sprechen.Kompetenz ist also nur in der konkreten Handlungmessbar, und dann auch nur ex post.

2.2 Rahmenlehrplan Fachinformatiker

Der Rahmenlehrplan für Fachinformatiker definiert11 Lernfelder mit insgesamt 880 Unterrichtsstunden.Es existieren die zwei Fachrichtungen Anwendungs-entwicklung sowie Systemintegration, die sich nurim Zeitumfang einiger Lernfelder unterscheiden. DieLernfelder sind im einzelnen in Tab. 1 dargestellt.Der Rahmenlehrplan gibt in den Lernfeldern die Ziel-formulierung vor. Die Lernfelder selbst entstehen ausden beruflichen Handlungsfeldern. Dabei handelt essich um berufliche Aufgabenstellungen, die ein Fach-arbeiter beherrschen soll. Diese sind in der Regelprozess- oder auftragsorientiert entwickelt. Ein typi-sches Handlungsfeld für einen Fachinformatiker wä-re beispielsweise die Datensicherung in vernetztenSystemen. Abb. 4 illustriert diesen Sachverhalt.Der oder die Lehrer entwickeln in den Lernfel-dern konkrete Lehr-/Lernarrangements in sogenann-ten Lernsituationen. Lernsituationen sind die kleins-ten curricularen Einheiten der Berufsbildung. Insbe-sondere die Handreichung Bader (2003) führt kon-krete Schritte auf, um vom beruflichen Handlungs-feld zur Lernsituation zu kommen. Da die Lernfel-der im Rahmenlehrplan bereits vorgegeben sind, ist»nur« noch der Schritt vom Lernfeld zur Lernsitua-tion zu machen. Dabei existiert zwar kein konkretesLernfeld zur IT-Sicherheit (Datenschutz und Datensi-cherheit), das Thema ist aber in den Lernfeldern 4, 7,9 und 10 integriert. Da die Lernfelder keine konkretenAngaben zu den Lehrinhalten machen (beispielswei-se Verschlüsselung von Dateien mit einem bestimm-ten Programm oder Algorithmus), bleibt es den Be-

12 Ich habe die Punkte zum organisationalen Wissensmanage-ment und zum Unternehmenserfolg entfernt, da diese hier inder Diskussion persönlicher Kompetenzen keine Rolle spielen.

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 461

Abbildung 3: Wissenstreppe nach North (2002); selbsterstellte, gekürzte Darstellung

1 Der Betrieb und sein Umfeld2 Geschäftsprozesse und betriebliche Organisation3 Informationsquellen und Arbeitsmethoden4 Einfache IT-Systeme5 Fachliches Englisch6 Entwickeln und Bereitstellen von Anwendungssystemen7 Vernetzte IT-Systeme8 Markt und Kundenbeziehungen9 Öffentliche Netze und Dienste10 Betreuung von IT-Systemen11 Rechnungswesen und Controlling

Tabelle 1: Lernfelder im Ausbildungsberuf Fachinformatiker

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 462

Anders ausgedrückt: Er oder sie muss gedanklich rekon-struieren, warum ein Handlungsfeld so ist, wie es ist, undwarum es als Handlungsfeld beschrieben und festgelegtworden ist.

Hieraus folgt, dass die hier vorzulegende Handreichungzum Konstruieren von Lernfeldern bereits beim Aufsu-chen, Beschreiben und Bewerten von Handlungsfeldernansetzen muss.

Auf der Ebene der Schulen, der Mesoebene didaktischerPlanung, erfolgt die Umsetzung der Rahmenlehrpläne inunterschiedlichen Organisationsformen. Gegenüber derherkömmlichen Fachkonferenz scheint sich seit einigenJahren die Organisationsform der Bildungsgangkonfe-renz stärker zu etablieren, weil von dieser Form erwartetwird, zu Isolationen neigende Fachperspektiven zu Guns-ten der Perspektive auf Ziele und Inhalte eines bestimm-ten Bildungsgangs zu überwinden oder zumindest stärkerzu integrieren. Im Folgenden gehe ich von der Organisa-tion einer Bildungsgangkonferenz aus ohne zu verkennen,dass Fachkonferenzen gleichwohl ihren Sinn behaltenkönnen.

Den Mitgliedern einer Bildungsgangkonferenz obliegt es,die Rahmenlehrpläne unter den Bedingungen der Schuleorganisatorisch zu rahmen und durch „Lernsituationen“(zum Begriff vgl. Kap. 3.2) zu konkretisieren. Hierbei ste-hen die Mitglieder der Bildungsgangkonferenzen vor ei-ner vergleichbaren Forderung wie der an die Mitgliederder Rahmenlehrplanausschüsse: Sie müssen den curricu-laren Prozess vom Handlungsfeld zum Lernfeld verstehenund beurteilen können, wenn sie Lernfelder curricularuntersetzen wollen. Anders ausgedrückt: Er oder sie mussgedanklich rekonstruieren, warum ein Lernfeld so ist, wiees ist, und warum es als Lernfeld beschrieben und festge-legt worden ist.

Für die hier vorzulegende Handreichung folgt hieraus,dass sie als ein Ganzes sowohl für Rahmenlehrplanaus-schüsse als auch für Bildungsgangkonferenzen anzulegenist. Hierbei hoffe ich, dass die nachfolgende Ablaufstruk-tur zum Konstruieren von Lernfeldern und zum Ent-wickeln von Lernsituationen für beide Planungsgruppenhinreichend konkret ausfällt und dass jede Gruppe denTeil, für den sie nur einen „Durchblick“, nicht jedoch De-tails benötigt, in eigener Kompetenz zu reduzieren bereitist.

Themen

Die berufsbildende Schule (BbSch) 55 (2003) 7-8 213

Zusammenhang zwischen Handlungsfeldern, Lernfeldern und Lernsituationen

Handlungsfelder sind zusammengehörige Aufgabenkomplexe mit beruflichen sowie lebens- undgesellschaftsbedeutsamen Handlungssituationen, zu deren Bewältigung befähigt werden soll.Handlungsfelder sind immer mehrdimensional, indem sie stets berufliche, gesellschaftliche undindividuelle Problemstellungen miteinander verknüpfen. Die Gewichtung der einzelnen Dimensionenkann dabei variieren. Eine Trennung der drei Dimensionen hat nur analytischen Charakter.

Lernfelder sind didaktisch begründete, schulisch aufbereitete Handlungs-felder. Sie fassen komplexe Aufgabenstellungen zusammen, deren unterrichtlicheBearbeitung in handlungsorientierten Lernsituationen erfolgt. Lernfelder sinddurch Zielformulierungen im Sinne von Kompetenzbeschreibungen und durchInhaltsangaben ausgelegt.

Lernsituationen konkretisieren die Lernfelder. Dies geschieht in Bildungsgangkonferenzendurch eine didaktische Reflexion der beruflichen sowie lebens- und gesellschaftsbedeutsamenHandlungssituationen.

Abbildung 4: Quelle: Bader (2003, S. 213)

rufsschullehrern überlassen notwendige Handlungs-kompetenzen auszuwählen und diese zu vermitteln.Dies ermöglicht zwar eine im dualen Berufsbildungs-system notwendige Flexibilität und Anpassung an diejeweiligen Auszubildenden und deren Ausbildungs-betriebe, verhindert damit aber auch eine vergleichba-re Grundausbildung mit IT-Sicherheitsthemen für je-den auszubildenden Fachinformatiker, wie diese bei-spielsweise für die Elektrofachkräfte13 existiert.Da die Ausbildung zum Fachinformatiker im dualenSystem durchgeführt wird, verbringt der Auszubil-dende seine Lehrzeit nicht nur in der BerufsbildendenSchule, sondern auch im Ausbildungsbetrieb. Dortkönnen die jeweiligen Auszubildenden in den ent-sprechen notwendigen Fähigkeiten, Fertigkeiten undKenntnissen bzw. Handlungskompetenzen ausgebil-det werden, sofern diese eine notwendige beruflicheHandlungsfähigkeit14 darstellen. Es steht dem Aus-bildungsbetrieb damit relativ frei, Handlungsfelderder IT-Sicherheit zu vermitteln und selbst zu über-prüfen. Über das (qualifizierte) Zeugnis des Ausbil-dungsbetriebes für den Auszubildenden erfolgt kei-ne weitere formale, anerkannte Zeritfizierung der imAusbildungsbetrieb vermittelten Handlungsfähigkeithinaus.

13 DIN VDE 1000-10 (VDE 1000-10):2009-01 (Anforderungen andie im Bereich der Elektrotechnik tätigen Personen); Berufsge-nossenschaftliche Vorschrift für Sicherheit und Gesundheit beider Arbeit in der Nachdruckfassung von Januar 2005; Unfall-verhütungsvorschrift Elektrische Anlagen und Betriebsmittelvom 1. April 1979 in der Fassung vom 1. Januar 1997

14 § 14 Abs. 1 BBiG

3 Das IT-Weiterbildungssystem

Im Jahre 2002 wurde die IT-Fortbildungsverordnung15 erlassen, welche dasneue IT-Weiterbildungssystem einführte.Ziel des IT-Weiterbildungssystemes ist es, demIT-Fachkräftemangel zu begegnen und den IT-Fachkräften neue Karrieremöglichkeiten über einFort- und Weiterbildungssystem zu ermöglichen (Bal-schun und Vock 2006, S. 3). Dazu werden die aus demHandwerk bekannten Hierarchieebenen der Auf-stiegsfortbildung (Meister16) abgebildet.Das IT-Weiterbildungssystem besteht aus 3 aufeinan-der aufbauende Qualifizierungsebenen (siehe Abb. 5)auf. Auf der untersten Ebene 0 befinden sich die Fach-arbeiter der Informations- und Telekommunikations-technik, wie Fachinformatiker oder IT-Kaufleute oderauch Quereinsteiger.Die Qualifikation selbst erfolgt dabei im Arbeitspro-zess, das heißt berufsbegleitend »on-the-Job«. DerLernende wird dabei im Selbstlernprozess von einemLerncoach begleitet.Auf Ebene 1 werden sogenannte Specialists (Spezia-listen) zertifiziert. Die einzelnen Spezialistenprofileorientieren sich an den Arbeitsprozessen aus der Be-rufspraxis.Ebene 2 zertifiziert die sogenannten operativen Pro-fessionals, Ebene 3 die strategischen Professionals.

15 Verordnung über die berufliche Fortbildung im Bereichder Informations- und Telekommunikationstechnik (IT-Fortbildungsverordnung) vom 3. Mai 2002; geändert durch diedritte Verordnung zur Änderung der Fortbildungsordnungenvom 23. Juli 2010 (BGBl. 2010 Teil I Nr. 39 S. 1010)

16 § 51 HwO

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 463

Abbildung 5: graphische Darstellung des IT-Weiterbildungssystems

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 464

3.1 Ebene 1: Specialist

Als Zulassungsvoraussetzung17 zur Ebene 1 (Specia-list) zählen:

• eine berufsqualifizierender Bildungsabschluss ineinem Beruf des IT-Bereichs, oder ein Bachelor-oder Master-Abschluss aus dem IT-Bereich

• ersatzweise einen berufsqualifizierenden Bil-dungsabschluss in einem sonstigen Beruf unddanach eine mindestens einjährige Berufspraxisim IT-Bereich,

• oder ersatzweise eine mindestens vierjährige Be-rufspraxis im IT-Bereich,

• oder ersatzweise durch Zeugnisse oder auf ande-re Weise glaubhaft gemachte Qualifikationen, diedie Zulassung zur Zertifizierung rechtfertigen.

Die zu zertifizierende Person kann sich in einemder folgenden 29 Spezialistenprofile zertifizieren las-sen:

• Softwareentwickler (Software Developer)– IT Systems Analyst– IT Systems Developer– Software Developer– Database Developer– User Interface Developer– Multimedia Developer

• Techniker (Technician)– Component Technician– Industrial IT Systems Technician– Security Technician

• Lösungsbetreuer (Administrator)– Network Administrator– IT Systems Administrator– Database Administrator– Web Administrator– Business Systems Administrator

• Produkt- und Kundenbetreuer (Advisor)– Service Advisor– IT Trainer– IT Product Coordinator– IT Sales Advisor

• Entwicklungsbetreuer (Coordinator)– IT Project Coordinator– IT Configuration Coordinator– IT Quality Management Coordinator– IT Test Coordinator– IT Technical Writer

• Lösungsentwickler (Solutions Developer)– Business Systems Advisor– E-Marketing Developer– E-Logistic Developer

17 IT-Sektorkomitee: Zertifizierung von IT- Spezialisten, Normati-ves Dokument, Version 2.0 vom 31. Juli 2003

– Knowledge Management Systems Devel-oper

– IT Security Coordinator– Network Developer

Mit dem Antrag zur Zertifizierung legt der Prüflingebenfalls eine Projektskizze für das zu bearbeitendeProjekt vor. Das Projekt soll dem betrieblichen Ar-beitszusammenhang entsprechen und in das jeweili-ge Profil passen und muss von der zertifizierendenStelle als fachlich geeignet eingestuft werden.Für die Betreuung des Prüflings ist mindestens einFachberater und ein Lernprozessbegleiter zu benen-nen. Der Fachberater sollte aus dem betrieblichenUmfeld (Kollege, Vorgesetzter) stammen, der Lern-prozessbegleiter kann sowohl aus dem Umfeld stam-men oder als externer Berater engagiert werden. DerLernprozessbegleiter führt mindestens 4 mal jährlichein Reflektionsgespräch mit dem Prüfling durch. Da-bei soll insbesondere die eigene Kompetenzentwick-lung reflektiert und auch in der Dokumentation be-schrieben werden. Nach Abgabe der Dokumentationwird diese durch die zertifizierende Stelle begutachtetund der Prüfling zu einer Präsentation seines Projek-tes sowie einem Fachgespräch geladen. Absolviert erdie Aufgabenstellung erfolgreich, erhält er sein unbe-notetes Zertifikat als IT-Specialist im jeweiligen Pro-fil.Die Zertifizierung endet hiermit aber nicht, der IT-Specialist hat nun sicherzustellen, dass er weiter-hin qualifiziert ist. Dazu hat er 18 - 24 Monatenach der Zertifizierung berufliche Tätigkeiten, Pro-jekte und Weiterbildungen im Profil durch Projekt-skizzen nachzuweisen. Nach 5 Jahren erfolgt eine Re-Zertifizierung durch ein 60-minütiges Fachgesprächüber erneut eingereichte Projektblätter.Die Zertifizierungsstellen sind privatwirtschaftlichorganisiert und müssen sich im Rahmen der TGA(Trägergemeinschaft für Akkreditierung) akkreditie-ren lassen.

3.2 Ebene 2 und 3: operative undstrategische Professionals

Ebene 2 zertifiziert sogenannte operative Professio-nals in den 4 Profilen Geprüfter Entwickler, Geprüf-ter IT-Projektleiter, Geprüfter IT-Berater und Geprüf-ter IT-Ökonom.Ebene 3 zertifziert strategische Professionals in den 2Profilen Geprüfter Informatiker und Geprüfter Wirt-schaftsinformatiker.Die Prüfungen erfolgen wieder berufsbegleitend imArbeitsprozess, die Zertifizierung selbst ist staat-lich geregelt und wird von IHKn abgenommen. Da-bei müssen operative Professionals ein betrieblichesIT-Projekt durchführen und dokumentieren sowiezusätzlich zu den Fachkenntnissen Kenntnisse ausdem Bereich Mitarbeiterführung und Personalmana-gement nachweisen. Zugelassen zur Prüfung wird,wer die jeweils darunterliegende Qualifikationsstufe

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 465

erreicht hat.Strategische Professionals bearbeiten einen strategi-schen IT-Prozess als Fallstudie sowie Projekt- und Ge-schäftsbeziehungen im schriftlichen Test.Ebene 2 entspricht dabei dem Hochschulniveau desBachelors, Ebene 3 der des Masters. Entsprechendwerden die Abschlüsse im Niveau des ECVET DQRauf 6 bzw. 7 eingeordnet und erlauben daher den di-rekten Zugang zu einem Studium gemäß den jeweili-gen Hochschulgesetzen der Bundesländer:5 IT-Professional6 operative Professional7 strategic Professional(Der Europäische Qualifikationsrahmen fur lebenslangesLernen (EQR) 2008).

4 Zertifizierungen außerhalb desBerufsbildungssystems

Auch außerhalb des formalen Berufsbildungssystemswerden Weiterbildungsmöglichkeiten im Bereich IT-Sicherheit angeboten und in der Regel durch den An-bieter zertifiziert. Diese Zertifikate sind zwar nichtstaatlich anerkannt und enthalten damit keinen for-malen Tauschwert als Zugangsberechtigung zu Hoch-schulen o. ä., erhöhen aber in der Regel die Chancenbei der Arbeitsplatzsuche und zertifizieren produkt-oder herstellerabhängige Fachkenntnisse. Die Zerti-fizierungen haben ihren Ursprung in den USA, wodas IT-Unternehmen Novell 1989 den CNE - Certi-fied Netware Engineer einführte. Der Hintergrund fürdie Einführung einer derartigen Zertifizierung liegtim amerikanischen Berufsbildungssystem. Da es kei-ne starke Formalisierung und in der Regel auch kei-ne unabhängige und vergleichbare Prüfung von Aus-bildungsinhalten gibt, sollte dieses Zertifikat einheit-lich sicherstellen dass der Prüfling die vom Herstel-ler Novell ausgewählten Prüfungsinhalte beherrscht.Damit wurde eine Vergleichbarkeit von Fachkräftenbzw. Bewerbern geschaffen, die im deutschen Berufs-bildungssystem durch die Abschlussprüfungen derAusbildungen sichergestellt wird.Problematisch ist bei diesen Zertifizierungen diestarke Fokussierung auf einen bestimmten Herstel-ler oder ein Produkt, was aber auch ein besonde-res Kennzeichen dieser Zertifikate ist. Ein Microsoft-oder Apple-Zertifikat ist eben nur für Microsoft-oder Apple-Produkte gedacht und soll keine allge-meine berufliche Handlungsfähigkeit vermitteln, wiedas die deutsche Berufsausbildung tut. Daraus re-sultierend ergibt sich ein weiteres Problem. In denUSA sind standardisierte Tests wie die Hochschul-zugangsstests SAT oder ACT weit verbreitet undanerkannt(vgl. Adam und Schumacher 2012), wassich auch auf die Akzeptanz weiterer standardisier-ter Tests auswirkt. Die erste Generation der Microsoft-Zertifikat bestand lediglich aus einem Katalog vonMultiple-Choice-Fragen, von denen einige zufälligausgewählt und abgefragt wurden. Der vollständige

Fragenkatalog war als Buch verfügbar und mehrerePrüflinge lernten den Katalog auswendig. Sie bestan-den damit die Prüfung und erhielten das Zertifikat,waren aber im beruflichen Umfeld nur bedingt hand-lungsfähig.In Deutschland sind die entsprechenden Zertifikateweniger stark verbreitet als in den USA, sie werdenauch nicht formal anerkannt, etwa bei der Beantra-gung einer EU-Blue-Card für Einwanderer oder beider Zulassung zu einem Studienplatz.

5 InnerbetrieblicheFortbildungsmaßnahmen undZertifizierungen sowieDurchlässigkeit

In den letzten Jahren ist insbesondere mit der Diskus-sion um die Kompetenzentwicklung und Lebenslan-ges Lernen das nicht-formale Lernen in den Fokus derForschung geraten. Derartige Initiativen untersuchen,wie Lernerfolge aus non-formalen oder informellenKontexten anerkannt werden können.BMBF (2008, S. 10) definiert dabei bezugnehmend aufdie OECD nicht-formales Lernen als Lernen, wel-ches außerhalb der Hauptsysteme der allgemeinenund beruflichen Bildung‹ stattfände und dabei nichtunbedingt zum Erwerb eines formalen Abschlussesführe. Nicht-formales Lernen könne am Arbeitsplatzund im Rahmen von Aktivitäten der Organisatio-nen und Gruppierungen der Zivilgesellschaft statt-finden. Informelles Lernen hingegen sei die »natürli-che Begleiterscheinung des täglichen Lebens. Andersals beim formalen und nicht-formalen Lernen handeltes sich beim informellen Lernen nicht notwendiger-weise um ein intentionales Lernen, weshalb es auchvon den Lernenden selbst unter Umständen gar nichtals Erweiterung ihres Wissens und ihrer Fähigkeitenwahrgenommen wird«.Im Rahmen von Weiterbildungsmaßnahmen könnendaher explizite und implizite Lernprozesse zertifi-ziert werden. So ist es in der Wirtschaft üblich, for-male Lernsettings zu schaffen (Lehrgänge, Trainings,Workshops o. ä.) und die Maßnahme durch ein Zerti-fikat zu bescheinigen, egal ob die Maßnahme didak-tisch fundiert ist und ihr Erfolg evaluiert wird oder obder Trainer/Dozent irgendeine formale Qualifikationund überhaupt ein Konzept hat.Daher ist die Anerkennung derartiger Zertifikate äu-ßerst problematisch, wenn sie nicht staatlich regu-liert (IHK, HWK o.ä.) und damit geschützt sind oderder Anbieter selbst sich einen entsprechenden Rufüber die Qualität der Zertifizierungen erworben hat(bspw. Microsoft oder Cisco bei den in Kap 4 vor-gestellten Zertifikaten. Anrechenbar auf eine regulä-re Aufstiegsfortbildung sind derartige Zertifikate inder Regel nicht, es sei denn die zertifizierende Stelle(IHK o.ä.) gestattet dies im Rahmen einer Einzelfall-prüfung.

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 466

Bei der Konzeption von innerbetrieblichen Weiter-bildungen ist daher davon auszugehen, dass diesebei den regulären Aufstiegsfortbildungen im Rahmendes IT-Weiterbildungssystems nicht anerkannt wer-den. Eine Kooperation mit der zuständigen IHK imVorfeld ist zwar möglich, allerdings nur schwer imgegebenen Rahmen umzusetzen. Die Zertifizierun-gen erfolgen grundsätzlich im Arbeitsprozess, der zu-künftige IT-Specialist (Ebene 1) hat dazu ein Projektzu bearbeiten und zu dokumentieren sowie in einemFachgespräch das Ergebnis vorzustellen und zu ver-teidigen. Das zu bearbeitende Projekt wird vom an-gehenden Specialist vorgeschlagen und von der zer-tifizierenden Stelle angenommen und nach Abgabeüberprüft. Da das Projekt im Arbeitsprozess durch-geführt und bearbeitet wird, wird es automatisch indie Prozesse des Unternehmens integriert. Eine expli-zite formale Schulung ist im IT-Weiterbildungssystemnicht vorgesehen und wird daher weder verlangtnoch formal anerkannt.Möchte ein Unternehmen Weiterbildungen durchfüh-ren, die eine formale Aufstiegsfortbildung darstellen,ist dies nur im Rahmen des IT-Weiterbildungssystemsmöglich. Die jeweiligen Zertifikate sind durch die ent-sprechend akkreditierte zertifizierende Stelle auszu-stellen und werden nur so formal anerkannt. Es istnatürlich weiterhin möglich eigene Weiterbildungs-maßnahmen durchzuführen und das zu bearbeitendeProjekt des Prüflings dort zu integrieren, interne bzw.private Zertifikate werden aber in der Regel nicht an-erkannt.Die Durchlässigkeit des IT-Weiterbildungssystems istsowohl in der horizontalen als auch vertikalen Ebeneals hoch einzustufen. Die horizontale Durchlässigkeitbezeichnet hierbei die Anerkennung der formalenQualifikation in den einzelnen Bundesländern bzw.im Ausland. Da es sich bei den Zertifikaten des IT-Weiterbildungssystems um staatlich anerkannte Zer-tifikate und entsprechend regulierte und akkreditierteProzesse handelt, sind die Zertifikate geschützt undwerden bundesweit einheitlich anerkannt. Es ist al-so egal an welcher IHK man eine Zertifizierung zumOperative Specialist erworben hat, jede andere IHKwird dieses Zertifikat bei der Zulassung zum Strate-gic Specialist anerkennen.Die vertikale Durchlässigkeit bezeichnet hier dieÜbergänge zwischen den Qualifizierungsstufen(Schule - Ausbildung - Hochschule etc.) und ist imIT-Weiterbildungssystem formal geregelt und damitsowohl rechtssicher als auch als hoch anzusehen.Die 3 definierten Ebenen bauen aufeinander auf undermöglichen so den weiteren formalen Aufstieg.Der Zugang zur 1. Ebene (Specialist) wird entwederdurch eine Berufsausbildung ermöglicht oder alsQuereinsteiger mit entsprechender Berufserfahrung.Damit ist formal der Zugang auch für Menschenohne abgeschlossene Berufsausbildung möglich.Weiterhin ist auch der Wechsel an eine Hochschulemöglich, da die Ebene 2 und 3 im Niveau 6 und 7 desDQR eingeordnet wurden. Allerdings ist der Zugangzu Hochschulen formal nicht einheitlich sondern in

den Hochschulgesetzen der Länder geregelt. Diesewiederum übertragen in der Regel Teile der Zulas-sungskompetenz an die aufnehmende Hochschule,so dass sich die Zulassungsregeln von Land zu Landund von Hochschule zu Hochschule unterscheidenkönnen.Durch die Umsetzung des EQF und Einordnung derZertifizierungen in den DQR ist auch die horizontaleund vertikale Durchlässigkeit in der EU gewährleis-tet, sofern der EQF im Zielland entsprechend umge-setzt wird.

6 Glossar

AEVO AusbildereignungsverordnungAO AusbildungsordnungAPO ArbeitsprozessBBiG BerufsbildungssgesetzBIBB Bundesinstitut für BerufsbildungDIE Deutsches Institut für ErwachsenenbildungDQR Deutscher QualifikationsrahmenECVET European Credit System for Vocational Euca-

tion and TrainingEQF European Qualifications FrameworkHWK HandwerkskammerHwO HandwerksordnungIHK Industrie- und HandelskammerIKT Informations- und KommunikationstechnikITWS IT-WeiterbildungssystemKMK KultusministerkonferenzLHG LandeshochschulgesetzNQR Nationales QualifikationsrahmenOECD Organisation for Economic Co-operation and

DevelopmentTGA Trägergemeinschaft für Akkreditierung

Literaturverzeichnis

Adam, D. & Schumacher, S. (2012). Culturalund Racial Bias in Studierfaehigkeitstests inden USA. Ausarbeitung im HauptseminarBerufs- und Wirtschaftspaedagogik. Otto-von-Guericke-Universitaet Magdeburg.

Allen, J., Christie, A. & McHugh, J. (2000 September).Defending Yourself: The Role of Intrusion De-tection Systems. Zugriff am 4. Januar 2005, un-ter http://www.cert.org/archive/pdf/IEEE_IDS.pdf

Bader, R. (2003). Lernfelder konstruieren Lernsitua-tionen entwickeln: Eine Handreichung zur Er-arbeitung didaktischer Jahresplanungen fur dieBerufsschule. Die Berufsbildende Schule, 55, 210–217.

Magdeburger Journal zur Sicherheitsforschung // Ausgabe 7, Jahrgang 4, Band 1 (2014) 467

Balschun, B. & Vock, R. (2006). Potenziale und Be-darfe zur Nutzung des IT-Weiterbildungssystems:Eine empirische Studie zur Entwicklung des IT-Weiterbildungssystems aus Sicht von Betrieben undIT-Fachkraften. Wissenschaftliche Diskussions-papiere. Bonn: Bundesinstitut für Berufsbil-dung.

Der Europäische Qualifikationsrahmen fur lebenslangesLernen (EQR). (2008). Luxemburg: Amt fur amt-liche Veroffentlichungen der Europäischen Ge-meinschaften.

Rahmenlehrplan für den Ausbildungsberuf Fachin-formatiker. (1997). Beschluss der Kultusminis-terkonferenz vom 25. April 1997.

Stand der Anerkennung non-formalen und informel-len Lernens in Deutschland. (2008). Im Rah-men der OECD Aktivitat Recognition of non-formal and informal Learning. Zugriff am 13.Januar 2013, unter http : / / www . bmbf . de /pub/non-formales_u_informelles_lernen_ind_deutschland.pdf

North, K. (2002). Wissensorientierte Unternehmensfüh-rung: Wertschöpfung durch Wissen (2., aktualisier-te und erw. Aufl.). Wiesbaden: Gabler.

North, K. & Reinhardt, K. (2005). Kompetenzma-nagement in der Praxis – Mitarbeiterkompetenzensystematisch identifizieren, nutzen und entwickeln(1. Auflage). Wiesbaden: Gabler.

Schumacher, S. (2014). Das IT-Weiterbildungssystemund IT-Sicherheit. Magdeburger Journal zurSicherheitsforschung, 1, 456–467. Zugriffam 12. März 2014, unter http : / / www .sicherheitsforschung - magdeburg . de /publikationen.html

Handreichung für die Erarbeitung von Rahmenlehr-plänen der Kultusministerkonferenz für den be-rufsbezogenen Unterricht in der Berufsschuleund ihre Abstimmung mit Ausbildungsordnun-gen des Bundes für anerkannte Ausbildungs-berufe. (2007). Zugriff am 22. April 2009,unter http : / / www . kmk . org / fileadmin /veroeffentlichungen_beschluesse/2007/2007_09_01-Handreich-Rlpl-Berufsschule.pdf