Im Frühlingssemester 2026 haben wir unseren neuen Lehrveranstaltungsschwerpunkt «Digital Security: What Everyone Should Know» erstmals durchgeführt. Gefördert im Rahmen der Ausschreibung «Transdisziplinäre Innovation 2024/25», stand der Kurs (und wird dies auch in Zukunft) allen Studierenden der Universität Zürich offen. In diesem Blogbeitrag beleuchten wir die drei Teile des Kurses und – in einem Interview mit der Kursdesignerin Leyla Ciragan – die Idee dahinter. Beginnen wir mit dem «Making of» und einigen Hintergrundinformationen.
Das Ziel
Seit Jahrzehnten wird Cybersicherheit primär als technische Herausforderung betrachtet. Die dominierende Frage lautet: Wie bauen wir stärkere Systeme und bessere Firewalls? Die zugrundeliegende Annahme ist einfach: Wenn die Technologie fortschrittlich genug ist, folgt Sicherheit von selbst. Doch die Erfahrung zeigte wiederholt eine andere Realität. In den meisten Organisationen ist die grösste Schwachstelle selten ein Softwarefehler allein, sondern der menschliche Faktor.
«Es war eine interaktive, lustige Klasse, in der wir durch praktisches Tun gelernt haben.»
Dieses Verständnis bildet die Grundlage von «Digital Security: What Everyone Should Know». Das Ziel ist nicht, Studierende zu Cybersecurity-Ingenieuren oder Penetrationstestern auszubilden. Stattdessen sucht der Kurs, Übersetzer zu kultivieren – Fachleute, die in der Lage sind, technologische Realitäten mit gesellschaftlichen Bedürfnissen zu verbinden.
Eine Historikerin, die die Verwundbarkeiten digitaler Archive versteht, kann das kulturelle Gedächtnis besser bewahren und sensible Daten schützen; eine Soziologin und ein Rechtsexperte, die erkennen, wie Online-Manipulation funktioniert, können zu wirksameren öffentlichen Strategien und Präventionsmassnahmen beitragen. Aber ebenso wichtig: Alle, die Desinformation oder Hacker-Taktiken verstehen, können wirksamere Strategien gegen Online-Manipulation oder Datendiebstahl im persönlichen Leben entwickeln.
Indem der Kurs bewusst disziplinäre Grenzen aufbricht, behandelt er Cybersicherheit als eine gemeinsame gesellschaftliche Verantwortung und nicht als rein technisches Feld.
Kurs Teil I: Menschliche Faktoren
Im ersten Teil gaben Oliver Schmid, CISO der UZH, und die Psychologin Melanie Knieps einen Einblick in die «Hacker-Mentalität» und die Wege, wie man Schwachstellen ausnutzt. Sie verdeutlichten, wie Manipulation funktioniert und wie Angreifer kognitive Verzerrungen und Vertrauen ausnutzen, um menschliche Fehler herbeizuführen. Ein weiteres Ziel des Abschnitts über menschliche Faktoren war es, die Bedeutung der Cybersicherheit im Hinblick auf soziale Dynamiken zu betonen und zu erklären, warum der Schutz sensibler Daten im Alltag und in der Arbeit wichtig ist. So kommentierte ein Student den Kurs: «Es war eine interaktive, lustige Klasse, in der wir durch praktisches Tun gelernt haben.» Die Studierenden schätzten die Entscheidung, mit den menschlichen Faktoren statt mit der Technologie zu beginnen. Wie ein Student formulierte: «Der Einstieg mit diesem Thema half uns, die persönliche Relevanz zu erkennen und es sofort zu verstehen.»
Teil II: Risiken, Kompromisse und Entscheidungsfindung
In Teil II, geleitet von Ethikprofessor Markus Christen und CISO Oliver Schmid, verschob sich der Fokus auf die ethischen Dimensionen der digitalen Sicherheit. Statt Ethik als eine Reihe von Regeln oder eine nachgeordnete Sorge darzustellen, konfrontierte dieser Abschnitt die Studierenden mit der Komplexität ethischer Fragen, indem er herausfordernde Fragen stellte und ethische Dilemmata ansprach. «Die Diskussionen waren sehr produktiv», schrieb ein Student in seinem Feedback. «Als wir gemeinsam über die verschiedenen Themen nachdachten, wurde uns klar, dass Cybersicherheitsbedenken und -herausforderungen oft komplex sind und nicht immer als solche erkannt werden.»
«Ich war mit dem, was wir behandelt haben, zufrieden, und besonders wertvoll fand ich, dass Oli der echte CISO ist.»
Teil III: Kein Code, alles Abenteuer!
Der dritte Teil drehte sich um den technischen Aspekt, beginnend mit Grundlagen, wie das Internet «hinter dem Browser» funktioniert. Aufbauend auf diesem neu erworbenen Wissen zeigte OSINT-Spezialistin Leyla Ciragan den Teilnehmenden, wie verschiedene Angriffsmethoden auf den unterschiedlichen Internet-Schichten funktionieren und warum Verschlüsselung – als Einstieg – hilft. Das Beobachten und Untersuchen von Datenpaketen in Echtzeit machte abstrakte Konzepte greifbar.
Ein weiterer Fokus lag auf dem Thema «Identität und Authentifizierung». Vor Kursbeginn produzierten wir zwei unterhaltsame Videos mit Linguistikprofessor Noah Bubenhofer. In diesen Videos diskutiert er «Identität und Authentifizierung» aus linguistischer und kultureller Perspektive, wobei verschiedene mobile (und nicht-so-mobile) Telefone eine entscheidende Rolle spielen.
Professor für Informatik Burkhard Stiller bot einen grundlegenden Überblick über dieselben Themen, jedoch aus Sicht der Informatik, und später im Kurs teilte Special Guest Antonio De la Torre von OSINT Schweiz seine Erfahrung mit, wie er selbst Opfer eines Betrugsversuchs im Zusammenhang mit Identitätsdiebstahl wurde. Es war faszinierend zu hören, wie er es schaffte, den Betrüger zu «betrügen», die wichtigen und verborgenen Informationen hinter IP-Adressen und einem Foto zu entschlüsseln und schliesslich das Opfer des Diebstahls zu benachrichtigen.
Ausgerüstet mit all diesen Informationen waren die Teilnehmenden bereit für die abschliessende Herausforderung mit der Autorin und Serious-Games-Designerin Jill Wick. Und wow, wie viel Spass kann «ernsthaft» sein!
Interview
Im folgenden Interview diskutiert Leyla Ciragan, Koordinatorin und Konzeptionistin des Projekts, das Feedback der Teilnehmenden und ihre Erfahrungen mit dem «Abenteuer» «Digital Security: What Everyone Should Know».
CYRENZH: Liebe Leyla, seit das Projekt vor fast genau einem Jahr gestartet ist und du deinen Blogbeitrag im Juli 2025 geschrieben hast, wurden viele Trello-Karten erstellt und abgehakt. Bist du erleichtert, dass der Pilotkurs nun abgeschlossen ist? Auch: Ist er überhaupt abgeschhlossen?
Leyla: Ja, ich bin total erleichtert! Aber nein, er ist noch nicht abgeschlossen. Ich evaluieren derzeit das Feedback der Studierenden, die wir gebeten haben, uns ihre ehrlichen Meinungen zu geben. Dieses ganze Feedback wird in die nächste Runde im Frühling 2027 einfliessen.
Ich war total überrascht von der schieren Menge an positivem Feedback. Ich wusste zwar, dass wir auf etwas gestossen waren, aber ich war trotzdem überrascht, wie gut der Pilot von Anfang an lief. Besonders gerührt haben mich die vielen persönlichen E-Mails, die ich von Studierenden erhielt, in denen sie sagten, es sei der beste Kurs, den sie je besucht hätten, und dass sie als technische Laien endlich einen Fuss in die Tür bekamen.
Das bestätigte mir, dass ich es richtig gestaltet habe und die Dozierenden ihre Themen sehr gut vermittelt haben. Auf jeden Fall sind wir auf dem richtigen Weg. Es wird sicher eine formale Umstrukturierung des Kurses geben, weil wir viele Selbstlernmodule produzieren werden, was uns mehr Zeit für praktische Anwendungen während der Unterrichtszeiten geben wird. Aber die Struktur und das Niveau des Kurses sowie seine Interaktivität passen und wir werden in diese Richtung weitermachen.
CYRENZH: Verzeih meine Direktheit, aber das Projekt scheint für ein so kleines Team eine enorme Aufgabe zu sein. Wie ist die Idee für den Kurs eigentlich entstanden?
Leyla: Ja, es ist ein zu grosses Projekt für ein so kleines Team. Aber die Menschen brauchen Hilfe, um die Lücke zu überbrücken, die heute durch die Technologie entstanden ist. Immer weniger Menschen wissen, wo sie bei Datenschutz, Passwörtern und so weiter anfangen sollen.
Deshalb ist dieser Kurs so gestaltet, dass er den Menschen zeigt, dass viele alltäglichen Cybersicherheitsrisiken relativ einfach zu managen sind, sobald man versteht, wie die Dinge funktionieren. Manchmal geht es nur um Psychologie, und technische Risiken lassen sich im Alltag oft mit nur wenigen einfachen Schritten minimieren.
CYRENZH: Wenn wir doch nur wüssten, welche diese drei Schritte sind!
Leyla (lacht): Ja! Viele Menschen nehmen digitale Werkzeuge wie das Internet einfach als selbstverständlich hin – man öffnet einen Browser und geniesst die endlosen Möglichkeiten. Nur sehr wenige wissen, was im Hintergrund passiert. Viele Kursteilnehmende waren beispielsweise beeindruckt, wie einfach es ist, den Echtzeit-Datenverkehr abzufangen und die Informationen, die in den Datenpaketen zu sehen sind. Genau hier kann der Kurs ansetzen und ein paar einfache Schritte demonstrieren.
CYRENZH: Also weniger Angstmache und Fingerzeigen, sondern mehr Empowerment?
Leyla: Genau! Angst hilft hier überhaupt nicht. Wir stehen im Alltag bereits unter genug Druck – es würde uns dazu verleiten, uns zurückzuziehen und eine vermeidende Haltung einzunehmen. Aber wenn wir verstehen, was um uns herum passiert, und uns dann eine vernünftig einfache Lösung angeboten wird, wird der Weg klar. Sobald die ersten Schritte gegangen sind, folgen die nächsten von selbst, und so weiter. Ich hoffe auch darauf, dass die Studierenden das in ihren eigenen Kreisen weiterverbreiten und so die Wirkung vervielfachen.
CYRENZH: «Digital Security: What Everyone Should Know» hat eine interdisziplinäre Struktur. Wie würdest du «interdisziplinär» definieren, und was ist erforderlich, damit Interdisziplinarität funktioniert?
Leyla: Hmm… Wörtlich heisst es nur «zwischen» und «Disziplin». Mit anderen Worten: Es geht um den Austausch zwischen verschiedenen Disziplinen. Wie so oft ist es nicht nur eine Frage der Addition – das heisst, jede Disziplin bringt einfach ihre Perspektive auf das Thema bei – sondern eher eine Multiplikation der Ergebnisse Wenn es gelingt entsteht etwas völlig Neues, sozusagen 1 + 1 = 3.
Wenn es um interdisziplinäre Arbeit geht, haben wir normalerweise ein grosses Kommunikationsproblem zu lösen. Die Fachsprache unserer eigenen Disziplin scheint klar, universell und «natürlich» etabliert zu sein, aber viele Menschen realisieren nicht, dass jede Disziplin im Wesentlichen eine andere Sprache spricht. Folglich reden wir aneinander vorbei. Die «engstirnigen Experten» streiten sich und verzweifeln über das mangelnde Verständnis des anderen. Hier müssen wir eindeutig einen Schritt zurücktreten.
CYRENZH: Zum Beispiel?
Leyla: Nehmen wir das Beispiel der Identität. Was für ein Begriff! In der Psychologie bedeutet es etwas völlig anderes als im Passamt oder bei der Multi-Faktor-Authentifizierung. Wir müssen akzeptieren, dass wir denselben Begriff in sehr unterschiedlichen Kontexten verwenden und dass wir diese Kontexte möglicherweise jedes Mal erklären müssen.
Die Menschen müssen in der Lage sein, sich mit verschiedenen Definitionen desselben Wortes auseinanderzusetzen. Sie müssen akzeptieren, dass verschiedene Methoden sich nicht gegenseitig ausschliessen, sondern Möglichkeiten und Denkweisen multiplizieren. Nur dann können wir einen Dialog zwischen Disziplinen führen und etwas Neues schaffen: neue Denkräume und neue Möglichkeiten.
CYRENZH: Ich stelle mir vor, dieser «Dialog zwischen Disziplinen» muss unter allen Projektteilnehmenden stattfinden, und Projektleiter und Dozierende müssen ebenfalls daran arbeiten, dieses interdisziplinäre Verständnis zu integrieren. Gibt es im universitären Alltag Zeit für einen solchen Dialog?
Leyla: Ja, das ist wahr – dieses Verständnis aufzubauen erfordert viel harte Arbeit. Als Spezialistin kann man manchmal den Überblick verlieren, wie schnell das Verständnis für andere schwindet, weil man zu sehr auf sein eigenes Fachgebiet fokussiert ist. Es kann eine zermürbende Arbeit sein und erfordert oft, dass man eine vermittelnde Rolle innerhalb des Projekts übernimmt, zum Beispiel, wenn jemand in seiner eigenen Disziplin «verloren» geht. Vermittlung ist auch nötig, um Querverweise und Verbindungen herzustellen und diese Studierenden und Lehrenden zu zeigen. Ich habe diese Art von Rolle im vergangenen Jahr mehrfach innegehabt.
Interdisziplinäre Zusammenarbeit, sei es in der Forschung oder im Unterricht, erfordert viel Koordination. Deshalb bin ich unglaublich dankbar für den UZH-Lehrfonds (ULF), der uns zwei Jahre lang Fördermittel zur Verfügung stellt. Ohne ihn wären die Entwicklung des Konzepts und der interdisziplinären Inhalte nicht möglich gewesen.