Der CAS richtet sich an Personen aus Privatwirtschaft und Verwaltung, die sich praxisbezogenes, interdisziplinäres Expertenwissen aneignen wollen, insbesondere an:

• Informationssicherheitsbeauftragte
• Datenschutzverantwortliche
• IT-Verantwortliche und Fachkräfte
• Consultants und Auditor:innen im Bereich Informationssicherheit und Datenschutz
• Kommunikationsbeauftragte
• Compliance- und Personalbeauftragte

Weitere Personen, die an der Schnittstelle Mensch, Organisation und Technik tätig sind und mit Cyberrisken konfrontiert sind.

Organisationen sind zunehmend von Cyberrisiken bedroht, die gravierende ökonomische und personelle Auswirkungen haben können. Um sich vor Cyberangriffen zu schützen, gewinnt ein Verständnis für den „Human Factor“ an Bedeutung. Ein «falscher Klick» auf einen schadhaften E-Mail-Anhang führt im schlimmsten Fall zum Betriebsausfall, dem Verlust von Personendaten und Reputationsschäden. Die Sensibilisierung des Managements, der Fachabteilungen (z.B. IT) und der Angestellten ergänzt daher in der Praxis zunehmend technische und organisatorische Massnahmen und wird explizit erwartet (z.B. bei Audits, für Cyberversicherungen).

Der CAS Cyber Risk Awareness befähigt die Verantwortlichen in den Organisationen und externe Berater:innen:

• Management, Fachabteilungen (z.B. IT) und Angestellte für die Themen Informationssicherheit und Datenschutz zu sensibilisieren.
• gezielte Massnahmen zur Förderung von sicherem Verhalten zu entwickeln, umzusetzen und zu evaluieren.

Der Kurs nutzt dafür etablierte Konzepte der Psychologie (insb. Verhaltensänderung), Kommunikation und Informatik. Diese werden ergänzt um Know-how aus der Praxis.

Detailziele für den Kurs:

• Sie verstehen, welchen Risiken Organisationen im Bereich Informationssicherheit und Datenschutz ausgesetzt sind und welche Rolle der «Faktor Mensch» spielt.
• Sie erwerben ein Verständnis für den Kontext, in dem Organisationen agieren (Regulierung, Zertifizierungen, Policies, Risiko Management).
• Sie erhalten ein Grundverständnis dafür, wie Menschen Risiken wahrnehmen und wie Sie Risiken kommunizieren und sicheres Verhalten fördern können.
• Sie erhalten einen Überblick über praxiserprobte E-Learnings und Tools für den Bereich Cybersecurity und Datenschutz und lernen, wie Sie eigene Lerneinheiten konzipieren können (z.B. Videos).
• Sie lernen, wie Sie Menschen mit Hilfe von Technologie in ihrem sicheren Verhalten unterstützen können (z.B. Usable Security & Privacy).
• Sie können ein Konzept mit Awareness-Massnahmen für eine Organisation entwickeln, um unterschiedliche Stakeholder für Informationssicherheits- und Datenschutz-Risiken zu sensibilisieren.
• Sie können Awareness-Massnahmen priorisieren und ihre Effektivität beurteilen.

In diesem Modul wird thematisiert, warum Awareness in Bezug auf Cybersecurity- und Privacy-Risiken in der Organisation wichtig ist und wie ein Konzept entwickelt werden kann, um die Awareness verschiedener Anspruchsgruppen in der Organisation zu steigern und sicheres Verhalten zu fördern.

• Einführung in das Kursframework
• Cyberrisiken, Risikowahrnehmung und menschliches Verhalten
• Organisationaler und regulatorischer Kontext
• Methoden zur Verhaltensänderung
• Kommunikation im organisationalen Kontext
• Awareness-Tools in der Praxis (z.B. Phishing, Serious Games)
• Schaffung eines Risikobewusstseins bei Management und IT

In diesem Modul lernen die Teilnehmenden, wie sie eine ausgewählte Massnahme zur Verhaltensänderung (z.B. eine Cybersecurity-Lerneinheit) für eine Stakeholder-Gruppe konzipieren und umsetzen können.

• Vertiefung zur Verhaltensänderung und -messung
• Gestaltung von Lerneinheiten (z.B. Videos)
• Kommunikation von Awareness-Massnahmen
• Awareness-Tools in der Praxis (z.B. Live Hacking)
• Förderung von sicherem Verhalten durch Technik

Folgende CAS könnten Sie ebenfalls interessieren:

Der Zertifikatslehrgang basiert auf einem breiten Spektrum von Lehr- und Lernformen:

• Präsenzunterricht und Selbststudium
• Stoffvermittlung anhand von Fallstudien
• Vorlesung mit Diskussion
• Praktische Übungen
• Lektüre

Sie erbringen während des Lehrgangs zwei Leistungsnachweise: je eine Präsentation nach Modul 1 und Modul 2.

Präsenzlektionen jeweils freitags und teilweise samstags (Ausnahmen möglich).
Es besteht eine Präsenzpflicht von 80%.

Dozierende im Lehrgang (Änderungen sind möglich und vorbehalten)

• Benjamin Ambühl, Dr. phil., Postdoc, ZHAW School of Management and Law
• Angela Bearth, Dr. sc. ETH, Co-CEO und Partner HF Partners
• Marcus Beyer, Security Awareness Officer, Swisscom AG
• Katja Dörlemann, Dr. phil, Security Awareness Expert, SWITCH
• Nico Ebert, Prof. Dr. oec. HSG, Dozent für Wirtschaftsinformatik, ZHAW School of Management and Law
• Katja Iseli, Dr. phil., Psychologin, Stabstellenleitung Entwicklung & Lernen, Kernkraftwerk Leibstadt AG
• Julia Maria Kornfeind, Diplom-Pädagogin, Dozentin für digitales Lernen, ZHAW Angewandte Psychologie
• Katharina Krämer, MSc., Dozentin im Bereich Organisationskommunikation & Management, ZHAW Angewandte Linguistik
• Annette Pfizenmayer, MSc., Dozentin für Organisationskommunikation, ZHAW Angewandte Linguistik
• Cornelia Puhze, Security Awareness & Communications Expert, SWITCH
• Tobias Schoch, Chief Security Officer, AXA Schweiz AG

• Voraussetzung für die Teilnahme sind ein Hochschulabschluss sowie zwei Jahre Berufserfahrung.
• Personen ohne Hochschulabschluss können ebenfalls zugelassen werden. Nebst mindestens zwei Jahren Berufserfahrung müssen sie einen Abschluss der höheren Berufsbildung (Tertiär B-Abschluss) nachweisen. In Ausnahmefällen kann die Zulassung auch auf Basis anderer Nachweise erfolgen. Personen ohne Hochschulabschluss müssen ein Zulassungsgespräch erfolgreich absolvieren.

Details können der Studienordnung entnommen werden.

Hinweis: Anmeldungen werden aufgrund diverser Kriterien wie Eingang der Anmeldung, Eingang einer Interessenbekundung vor Eröffnung der Anmeldemöglichkeit etc. berücksichtigt.