Zuweisungen
Weisen Sie bestimmte Schulungsmodule einzelnen Benutzern, Teams oder Ihrer gesamten Organisation zu. Verfolgen Sie den Abschluss, legen Sie Fristen fest und erzwingen Sie obligatorische Schulungen.
Eine Zuweisung erstellen
Um eine neue Zuweisung zu erstellen, navigieren Sie zu Zuweisungen in der Administrator-Seitenleiste und klicken Sie auf "Neue Zuweisung". Folgen Sie diesen Schritten:
1. Inhaltsbereich
Wählen Sie Übung (Code-Review-Challenges), Lernen (interaktive Angriffsszenarien) oder Benutzerdefiniert (ein benutzerdefinierter Kurs, den Sie erstellt haben). Wenn Sie Benutzerdefiniert wählen, aber Ihre Organisation noch keine benutzerdefinierten Kurse erstellt hat, zeigt das Formular eine Inline-Warnung an, und der Picker bleibt leer, bis mindestens ein Kurs existiert.
2. Ziel
Wählen Sie aus, was Sie zuweisen möchten. Die Zielhierarchie hängt vom Inhaltsbereich ab:
- Übung: Kategorie → Modul → Thema (z.B. "OWASP Web Top 10 > A03 Injection > SQL Injection"). Die Auswahl nur der Kategorie erstellt eine Zuweisung auf Kategorieebene, die automatisch jedes Thema darunter abdeckt.
- Lernen: Kurs → Szenario. Die Auswahl nur des Kurses deckt jedes Szenario darunter ab.
- Benutzerdefiniert: Wählen Sie einen der benutzerdefinierten Kurse Ihrer Organisation. Die Elemente des Kurses bestimmen, welche Übungsthemen und Lernszenarien für den Abschluss verfolgt werden. Siehe Benutzerdefinierte Kurse.
3. Empfänger
Wählen Sie aus, wer die Zuweisung erhält: ein Einzelner Benutzer, ein Team oder die Gesamte Organisation. Unter dem Picker zeigt das Formular eine Live-Vorschau ("Werden N Challenges an {Empfänger} zuweisen"), sodass Sie den Umfang vor dem Absenden überprüfen können.
4. Frist
Legen Sie ein Fälligkeitsdatum fest. Benutzer sehen überfällige Zuweisungen in ihrem Dashboard hervorgehoben.
5. Pflicht
Markieren Sie die Zuweisung als erforderlich oder optional. Das Flag ist standardmäßig an — obligatorische Zuweisungen erscheinen prominent in der Schulungs-Warteschlange des Benutzers und tragen zu Compliance-Berichten bei; optionale Zuweisungen werden verfolgt, blockieren aber keine Compliance-Metriken.
6. Notiz
Fügen Sie eine optionale Beschreibung oder einen Kontext für die Zuweisung hinzu (z.B. "Vor dem Q2-Sicherheitsaudit abschließen"). Die Notiz wird kursiv unter dem Titel auf der Zuweisungs-Detailseite und in der Ansicht "Meine Zuweisungen" des Empfängers angezeigt.
Zuweisung erstellen Formular
So sieht das Formular zur Zuweisungserstellung aus:
Zuweisungsziele
Sie können Schulungen auf verschiedenen Granularitätsebenen zuweisen:
| Inhaltsbereich | Zielebene | Beispiel |
|---|---|---|
| Übung | Kategorie | Alle OWASP Web Top 10 Challenges |
| Übung | Modul | Alle A03 Injection Challenges |
| Übung | Thema | Nur SQL Injection Challenges |
| Lernen | Kurs | Alle Web-Sicherheits-Szenarien |
| Lernen | Szenario | Nur IDOR-Szenario |
| Benutzerdefiniert | Benutzerdefinierter Kurs | Der "Q2 Onboarding"-Kurs, den Sie unter Benutzerdefinierte Kurse erstellt haben |
Fortschritt verfolgen
Klicken Sie auf eine beliebige Zuweisung, um deren Detailseite anzuzeigen, die Folgendes zeigt:
- Gesamtabschlussrate — Prozentsatz zugewiesener Benutzer, die abgeschlossen haben
- Fortschrittsbalken pro Benutzer — individueller Fortschritt für jeden Empfänger
- Überfälligkeitsstatus — hervorgehoben, wenn nach der Frist
- Individuelle Punkte — Challenge-Punkte pro Benutzer
Zuweisungsdetail
So sieht eine Zuweisungs-Detailseite aus:
Bearbeiten und Deaktivieren
Sie können Frist, Notiz, Pflicht-Flag und den aktiven Status einer Zuweisung jederzeit bearbeiten. Änderungen werden sofort auf alle Empfänger angewendet.
Die Aktion Löschen setzt isActive=false — sie löscht die Zeile nicht. Die Zuweisung erscheint nicht mehr in den "Meine Zuweisungen"-Ansichten der Empfänger und trägt nicht mehr zu Compliance-Metriken bei, aber ihr Fortschritt pro Benutzer wird beibehalten, sodass historische Berichte weiterhin aufgelöst werden. Das Reaktivieren einer deaktivierten Zuweisung ist heute in der Administrator-UI nicht verfügbar; es ist über die öffentliche API möglich, indem {"isActive": true} gegen PATCH /api/public/v1/assignments/{id} gesendet wird.
Die Zuweisungs-Listenseite bietet auch einen CSV exportieren-Button, der jede Zuweisung mit Ziel, Empfänger, Frist, Pflicht-Flag und aggregiertem Fortschritt herunterlädt — nützlich für Audit-Pakete.
Den richtigen Umfang für eine Zuweisung wählen
Derselbe Schulungsinhalt kann auf einem einzelnen Thema, einem Modul verwandter Themen oder einer ganzen Kategorie zugewiesen werden. Die Wahl der richtigen Granularitätsstufe ist der Unterschied zwischen einer Zuweisung, die Ihr Team in einer Woche beendet, und einer, die sich über ein Quartal hinzieht, während sich alle halb engagieren. Als Faustregel: Weisen Sie nach Thema zu, wenn Sie auf einen bestimmten Vorfall oder Pen-Test-Befund reagieren, weisen Sie nach Modul zu, wenn Sie einen neuen Mitarbeiter onboarden, und weisen Sie nach vollständiger Kategorie nur zu, wenn Sie eine gemessene Laufbahn von Wochen und einen klaren Compliance-Grund haben.
Einzelthema- vs. Vollständige-Strecke-Zuweisungen
Eine Einzelthema-Zuweisung ist das richtige Werkzeug, wenn ein kürzlich durchgeführter Pen-Test eine SQL Injection in Ihrer Codebasis aufgedeckt hat, wenn eine CVE in einer Bibliothek, von der Sie abhängen, eine Schwachstellenklasse verwendet, die Ihr Team nicht gesehen hat, oder wenn ein Engineer einen gezielten Refresher benötigt. Der Umfang ist klein, die Verbindung zum echten Risiko ist direkt, und Engineers schließen in einer oder zwei Sitzungen ab. Abschlussraten bei Zuweisungen auf Themenebene sind typischerweise viel höher als bei solchen auf Kategorieebene, weil das Ziel konkret ist.
Eine vollständige Strecke-Zuweisung — sagen wir die gesamte OWASP Web Top 10 Kategorie — funktioniert für Onboarding-Kohorten und jährliche obligatorische Schulungszyklen, aber sie benötigt eine realistische Frist. Planen Sie sechs bis zehn Wochen für eine Strecke auf Kategorieebene bei einem nachhaltigen Tempo von zwei bis drei Stunden Schulungszeit pro Woche ein. Kürzere Fristen treiben Engineers dazu, durch Inhalte zu klicken, ohne sie aufzunehmen, was den Zweck zunichte macht und ein sauberes Dashboard mit schwacher Aufbewahrung dahinter produziert.
Zeitbegrenzung und Compliance-Nachweise
Setzen Sie für jede Zuweisung eine Frist, auch für die optionalen. Eine Frist rahmt die Zuweisung als Verpflichtung statt als Backlog-Element neu, und der Überfälligkeitsindikator im Benutzer-Dashboard wird zu einem nützlichen Anstoß für Vorgesetzte während Einzelgesprächen. Für obligatorische Schulungen setzen Sie die Frist dreißig Tage vor dem Compliance-Nachweis-Cutoff, damit Sie Puffer haben, um Nachzügler zu verfolgen.
Für Organisationen, die PCI DSS 6.2.2 unterliegen — das verlangt, dass Entwickler mindestens jährlich rollenbezogene Secure-Coding-Schulungen erhalten — dienen Zuweisungen als primäres Nachweis-Artefakt. Die Empfängerliste zeigt den Umfang, die Abschlusszeitstempel zeigen, wann die Schulung stattgefunden hat, und die individuellen Punkte zeigen, ob sich Lernende mit dem Material auseinandergesetzt haben. Dieselben Artefakte erfüllen die Anforderungen von ISO 27001 Annex A.14 für Secure-Development-Schulungen. Behalten Sie deaktivierte Zuweisungen im System statt sie zu löschen, da das Audit-Fenster für beide Standards bis in frühere Jahre zurückreicht.