Informationssicherheit, Datenschutz und Faktor Mensch: Dieser CAS vermittelt Konzepte und Praxis aus Psychologie, Kommunikation und Informatik, um relevante Stakeholder für Cyberrisiken zu sensibilisieren und die Sicherheitskultur einer Organisation positiv zu beeinflussen.

Organisationen sind zunehmend von Cyberrisiken bedroht, die gravierende ökonomische und personelle Auswirkungen haben können. Um sich vor Cyberangriffen zu schützen, gewinnt ein Verständnis für den ?Human Factor? an Bedeutung. Ein «falscher Klick» auf einen schadhaften E-Mail-Anhang führt im schlimmsten Fall zum Betriebsausfall, dem Verlust von Personendaten und Reputationsschäden. Die Sensibilisierung des Managements, der Fachabteilungen (z.B. IT) und der Angestellten ergänzt daher in der Praxis zunehmend technische und organisatorische Massnahmen und wird explizit erwartet (z.B. bei Audits, für Cyberversicherungen).

Der CAS Cyber Risk Awareness befähigt die Verantwortlichen in den Organisationen und externe Berater:innen:

• Management, Fachabteilungen (z.B. IT) und Angestellte für die Themen Informationssicherheit und Datenschutz zu sensibilisieren.
• gezielte Massnahmen zur Förderung von sicherem Verhalten zu entwickeln, umzusetzen und zu evaluieren.

Der Kurs nutzt dafür etablierte Konzepte der Psychologie (insb. Verhaltensänderung), Kommunikation und Informatik. Diese werden ergänzt um Know-how aus der Praxis.

Detailziele für den Kurs:

• Sie verstehen, welchen Risiken Organisationen im Bereich Informationssicherheit und Datenschutz ausgesetzt sind und welche Rolle der «Faktor Mensch» spielt.
• Sie erwerben ein Verständnis für den Kontext, in dem Organisationen agieren (Regulierung, Zertifizierungen, Policies, Risiko Management).
• Sie erhalten ein Grundverständnis dafür, wie Menschen Risiken wahrnehmen und wie Sie Risiken kommunizieren und sicheres Verhalten fördern können.
• Sie erhalten einen Überblick über praxiserprobte E-Learnings und Tools für den Bereich Cybersecurity und Datenschutz und lernen, wie Sie eigene Lerneinheiten konzipieren können (z.B. Videos).
• Sie lernen, wie Sie Menschen mit Hilfe von Technologie in ihrem sicheren Verhalten unterstützen können (z.B. Usable Security & Privacy).
• Sie können ein Konzept mit Awareness-Massnahmen für eine Organisation entwickeln, um unterschiedliche Stakeholder für Informationssicherheits- und Datenschutz-Risiken zu sensibilisieren.
• Sie können Awareness-Massnahmen priorisieren und ihre Effektivität beurteilen.

Modul 1: Konzeption von Awareness-Massnahmen

In diesem Modul wird thematisiert, warum Awareness in Bezug auf Cybersecurity- und Privacy-Risiken in der Organisation wichtig ist und wie ein Konzept entwickelt werden kann, um die Awareness verschiedener Anspruchsgruppen in der Organisation zu steigern und sicheres Verhalten zu fördern.

• Einführung in das Kursframework
• Cyberrisiken, Risikowahrnehmung und menschliches Verhalten
• Organisationaler und regulatorischer Kontext
• Methoden zur Verhaltensänderung
• Kommunikation im organisationalen Kontext
• Awareness-Tools in der Praxis (z.B. Phishing, Serious Games)
• Schaffung eines Risikobewusstseins bei Management und IT

Modul 2: Umsetzung von Awareness-Massnahmen

In diesem Modul lernen die Teilnehmenden, wie sie eine ausgewählte Massnahme zur Verhaltensänderung (z.B. eine Cybersecurity-Lerneinheit) für eine Stakeholder-Gruppe konzipieren und umsetzen können.

• Vertiefung zur Verhaltensänderung und -messung
• Gestaltung von Lerneinheiten (z.B. Videos)
• Kommunikation von Awareness-Massnahmen
• Awareness-Tools in der Praxis (z.B. Live Hacking)
• Förderung von sicherem Verhalten durch Technik

• Voraussetzung für die Teilnahme sind ein Hochschulabschluss sowie zwei Jahre Berufserfahrung.
• Personen ohne Hochschulabschluss können ebenfalls zugelassen werden. Nebst mindestens zwei Jahren Berufserfahrung müssen sie einen Abschluss der höheren Berufsbildung (Tertiär B-Abschluss) nachweisen. In Ausnahmefällen kann die Zulassung auch auf Basis anderer Nachweise erfolgen. Personen ohne Hochschulabschluss müssen ein Zulassungsgespräch erfolgreich absolvieren.

Details können der Studienordnung entnommen werden.

Der CAS richtet sich an Personen aus Privatwirtschaft und Verwaltung, die sich praxisbezogenes, interdisziplinäres Expertenwissen aneignen wollen, insbesondere an:

• Informationssicherheitsbeauftragte
• Datenschutzverantwortliche
• IT-Verantwortliche und Fachkräfte
• Consultants und Auditor:innen im Bereich Informationssicherheit und Datenschutz
• Kommunikationsbeauftragte
• Compliance- und Personalbeauftragte

Weitere Personen, die an der Schnittstelle Mensch, Organisation und Technik tätig sind und mit Cyberrisken konfrontiert sind.

Die Studiengebühren sind vor Studienbeginn zu begleichen. In den Studiengebühren sind die Einschreibe- und Prüfungsgebühren sowie sämtliche kursrelevanten Unterlagen enthalten. Im Übrigen gelten die allgemeinen Teilnahmebedingungen für Weiterbildungsveranstaltungen an der ZHAW School of Management and Law.

Kursprogramm