CAS Cyber Risk Awareness – Rückschau nach der ersten Durchführung

Auch in der Schweiz lesen wir fast täglich in der Zeitung von Hackerangriffen auf Firmen und andere Organisationen. Dabei sind oft Daten von Kund:innen oder Angestellten betroffen. Um Angriffe zu verhindern, sind technische Schutzmassnahmen und Prozesse wichtig. Viele Angriffe zielen jedoch auf den Faktor «Mensch» – beispielsweise beim Phishing per E-Mail nach Zugangsdaten von Angestellten. Mittlerweile ist es Konsens, dass bessere Technik, Sicherheitspolicies und andere Massnahmen allein keinen wirksamen Schutz gegen Angriffe bieten können. Stattdessen müssen auch die Angestellten mit ins Boot geholt werden. Genau das ist das Ziel unseres Weiterbildungsbereichs bei CYREN^ZH.

Aber wie macht man das? Grössere Organisationen wie Switch oder die Swisscom beschäftigen sich mit dieser Frage schon lange und bieten zum Beispiel Trainings an. Solche Awareness-Massnahmen sind für immer mehr Organisationen verpflichtend – etwa durch Vorgaben des Regulators oder der Versicherung. In der Forschung ist Awareness für Cybersicherheit und Datenschutz ebenfalls schon seit längerem ein Thema, z. B. im Bereich «Human-Centered Cybersecurity». Aber auch andere Disziplinen wie Psychologie oder die Risiko- und Unfallforschung beschäftigen sich mit der Frage, wie man Menschen hilft, sich sicherer zu verhalten. Grund genug also, ein für alle offenstehendes Weiterbildungsprogramm an einer Hochschule zu starten, das Praxiserfahrung mit wissenschaftlichen Erkenntnissen kombiniert.

Folgenschwerer Milchkaffee

Die Idee für einen neuen CAS Cyber Risk Awareness diskutieren Katja Dörlemann und Fabio Greiner (beide Switch) und ich, Nico Ebert (CYREN^ZH / ZHAW) beim Milchkaffee ich im August 2023. Sie waren sofort an Bord, und bereits Mitte Januar ging es zusammen mit Cornelia Puhze (ebenfalls Switch) an der ZHAW mit dem Brainstorming los. Mangels bestehender Curricula oder etablierter Lehrbücher starteten wir auf der grünen Wiese – das Ergebnis war ein allererstes Grobkonzept für einen Kurs. Uns war klar, dass das zunächst kein «Brot-und-Butter»-Kurs für die breite Masse sein wird. Unsere Zielgruppe – Menschen, die anderen Menschen helfen, «cybersicherer» unterwegs zu sein – ist in der Deutschschweiz noch relativ klein. Auf der anderen Seite: Alles fängt klein an, wir wollten die Ersten sein, wir glauben an das Thema, und es geht auch darum, die eigene Lebenszeit mit dem zu füllen, was Freude macht.

Wir konnten noch weitere Expert:innen und Dozierende aus Praxis und Wissenschaft gewinnen, die die Idee ebenfalls gut fanden, Inhalte entwickelten, Feedback gaben und fleissig Werbung für den Kurs machten. Die Expertise reicht von Risikowahrnehmung, Psychologie, Kommunikation und Pädagogik bis zum Einblick in die Sicherheitskultur im Kernkraftwerk. Seitens ZHAW gab es ebenfalls einen Vertrauensvorschuss und Unterstützung – so wurde der neue CAS im März 2025 mit neun Teilnehmenden erstmalig gestartet.

Fazit nach der ersten Durchführung

Nach der ersten Durchführung lässt sich sagen: die ursprüngliche Idee ist gut und Teilnehmenden sind zufrieden. Wir haben spannende Projekte aus den Organisationen der Teilnehmenden entwickelt und diskutiert, von denen manche Ideen den Sprung in die Realität geschafft haben.

Zum Beispiel wurden in einer Sekundarschule Lehrpersonen dazu gebracht, beim Verlassen des Arbeitsplatzes den Bildschirm zu sperren. In persönlichen Interviews wurde festgestellt, dass das Risikobewusstsein dafür zum Teil gar nicht sonderlich ausgeprägt waren. Manche Lehrpersonen gingen z. B. davon aus, dass die Daten auf ihrem Rechner für Hacker nicht interessant seien. Bei der Vielfalt an Computertypen war auch nicht ganz offensichtlich, wie man bequem den Bildschirm sperrt. Auf Basis einer umfangreichen Analyse im ersten Modul wurde im zweiten Modul eine breite theorie-basierte Intervention mit Schulungen, Stickern, Goodies weiteren Massnahmen entwickelt. Die Lehrpersonen wurden dafür sensibilisiert, dass die Daten auf dem Computer sehr wohl kritisch sind (ein Schüler könnte seine Noten unbemerkt aufbessern), es wurden einfache Wege zur Bildschirmsperre gezeigt, und kleine Sticker und Goodies sorgten dafür, dass das einstudierte, sichere Verhalten tatsächlich auch langfristig zur Gewohnheit wurde. Die Messung in der Schule nach der Intervention zeigte dann tatsächlich eine Verhaltensänderung.

Genauso spannende Projekte bearbeiteten die anderen Gruppen: sichere Vergabe von Admin-Passwörtern durch Netzwerkadmins in einer IT-Firma, Installation von sicherer Software durch IT-Admins auch unter Druck sowie der sichere Umgang mit USB-Sticks waren weitere Themen.

Ich finde den CAS Cyber Risk Awareness – sowohl inhaltlich als auch dank der motivierenden Dozierenden – sehr gelungen und werde diese Weiterbildung sehr gerne weiterempfehlen!

Simone Zemp, Co-Schulleiterin und Informationssicherheitsbeauftrage, Sekundarschule Hausen am Albis

Der CAS hat mich persönlich sehr viel weitergebracht, denn das Erlernte lässt sich nicht nur im IT Security-Umfeld, sondern auch in ganz alltäglichen Situationen anwenden.

Zum Schluss ein herzliches Dankeschön an alle Teilnehmenden, Dozierenden und die Hochschulleitung (Thierry Volery) für ihr Vertrauen. Namentlich Dank an die Dozierenden:

Benjamin Ambühl (CYREN^ZH / ZHAW)
Angela Bearth (HF Partners)
Marcus Beyer (Swisscom)
Katja Iseli (Kernkraftwerk Leibstadt AG)
Melanie Knieps (CYREN^ZH, Universität Zürich)
Julia Maria Kornfeind (ZHAW)
Katharina Krämer (ZHAW)
Annette Pfizenmayer (ZHAW)
Thierry Schaltegger (CYREN^ZH / ZHAW)
Tobias Schoch (AXA Schweiz AG)
Mathias Toth (ZHAW)

Ebenfalls ein riesiges Dankeschön an Switch: ohne euren Einsatz wäre der CAS niemals zu Stande gekommen. Wir freuen uns alle auf die nächste Durchführung im Frühjahr 2026 – erste Anmeldungen sind bereits eingetroffen.

Cornelia Puhze, Katja Dörlemann and Nico Ebert