Kennen Sie das Gefühl, einen Lehrplan für einen Cybersicherheitskurs zu sehen und sich zu fragen: Was haben die sich dabei gedacht? Warum gibt es so viele Themen, die nichts mit dem eigentlichen Ziel des Kurses zu tun haben? Das ist überraschend häufig. Oft finden Sie einen SOC-Analysten-Kurs vollgestopft mit Python-Programmierung oder dem Schreiben von IDS-Regeln - interessante Fähigkeiten, aber selten das, was ein Junior-Analyst an seinem ersten Tag in einem SOC bewältigen soll.
Das passiert, wenn der Lehrplan erstellt wird, indem alles gesammelt wird, was „gut klingt“ oder sich so „anfühlt“, als gehöre es zur Cybersicherheit, ohne echten Fokus auf die Ziele der Studenten oder die Anforderungen des Jobs. Das Ergebnis ist ein zerstreuter Kurs, der Studenten mit viel unzusammenhängendem Wissen zurücklässt, aber wenig Vertrauen in ihre Fähigkeit, in der Rolle, für die sie ausgebildet wurden, Leistung zu erbringen.
Wie vermeiden wir das also? Die Antwort beginnt mit drei wesentlichen Fragen: Was ist das Ziel, wer sind die Studenten, und wie viel Zeit haben wir wirklich?
Klärung des Ziels
In den meisten Fällen sollte das Ziel eines Cybersicherheitskurses direkt auf eine Rolle oder auf die Erweiterung der „Features“ einer bestehenden Rolle abgebildet werden. Das könnte bedeuten, jemanden zum SOC-Analysten auszubilden, einen Studenten auf eine Position als Incident Responder vorzubereiten oder IT-Mitarbeiter zu befähigen, ihre Fähigkeiten zu erweitern, damit sie die Sicherheitssysteme der Organisation verwalten können - oft SecOps genannt.
Das Problem beginnt oft, wenn das Ziel unter Verwendung bekannter Rahmenwerke wie dem NICE Cybersecurity Workforce Framework oder ENISA-Rollenbeschreibungen definiert wird. Diese Modelle sind nützliche Referenzen, können aber auch unrealistische Erwartungen wecken. Schauen Sie sich die Wissensbereiche an, die für einen Sicherheitsanalysten in NICE aufgeführt sind - glauben Sie wirklich, dass es möglich ist, all das in einem einzigen Kurs abzudecken? Haben Sie jemals einen Analysten getroffen, der wirklich jedes Thema in diesen Rahmenwerken kennt? Ich nicht.
Und genau dort entstehen verschwommene Lehrpläne. Ausbilder versuchen, jedes Kästchen anzukreuzen, „basierend auf ENISA“ oder „ausgerichtet auf NICE“, und stopfen den Kurs am Ende mit lose verbundenen Themen voll. Anstatt zu helfen, schadet dies den Studenten. Sie gehen mit einer oberflächlichen Sicht auf zu viele Bereiche, ohne Tiefe in den Fähigkeiten, die sie tatsächlich benötigen, um den Job zu erledigen.
Ein gut gestalteter Lehrplan konzentriert sich auf das Endziel, nicht darauf, jede Rahmenanforderung abzuhaken.
Verständnis der Zielgruppe
Die zweite Frage betrifft die Studenten selbst. Wer sind sie? Kommen sie ohne Hintergrund, mit wenig Hintergrund oder mit erheblicher technischer Erfahrung? Sogar etwas so Einfaches wie Geografie kann Hinweise geben. Ich habe zum Beispiel Studenten in Regionen unterrichtet, in denen Netzwerke früh in der High School gelehrt werden - sie kommen selbstbewusst mit IP-Adressierung an. An anderen Orten haben Studenten noch nie eine Befehlszeile berührt.
Jede Information über das Publikum ist wertvoll. Wenn Studenten keinen Hintergrund haben, muss der Kurs mit der Schaffung einer „gemeinsamen Sprache“ beginnen, bevor er in die professionellen Themen eintaucht. Sonst sind sie von Anfang an verloren.
Denken Sie darüber nach: Wenn ein Student den Unterschied zwischen Arbeitsspeicher und Speicherplatz nicht versteht, wie könnte er dann Linux-Berechtigungen oder kryptographisches Hashing begreifen? Das können sie nicht. Ein starker Lehrplan stellt sicher, dass alle Studenten das gleiche Fundament teilen, bevor das Niveau angehoben wird.
Arbeiten innerhalb der Zeit
Der dritte Faktor - und einer, der immer wieder auf die Studenten zurückführt - ist die Zeit. Zeit begrenzt, was realistisch erreicht werden kann.
Ich hatte einmal einen Kunden, der nach einem sechzigstündigen Ethical-Hacking-Kurs fragte, der für Studenten ohne Hintergrund konzipiert war. Meine Antwort war einfach: Tut mir leid, das ist unmöglich. Ich könnte ihnen etwas beibringen, ja, aber die Ergebnisse wären schlecht. Ohne vorherige Grundlagen würden diese sechzig Stunden nur damit verbracht, die Studenten auf den Punkt zu bringen, an dem Hacking-Konzepte Sinn ergeben. Die Labore wären entweder zu stark vereinfacht oder überstürzt und würden niemanden zufriedenstellen.
Zeit diktiert Tiefe. Ein zehnstündiger Kurs erlaubt den Studenten vielleicht nur, ein paar kleine Labore durchzuführen, während ein vierzigstündiger Kurs genug Raum für Grundlagen, Werkzeuge und Ermittlungspraxis bietet. Etwas anderes vorzutäuschen, schafft nur Enttäuschung.
Den Lehrplan rückwärts aufbauen
Sobald Sie also das Ziel, das Publikum und den Zeitrahmen kennen, wie bauen Sie den Lehrplan tatsächlich auf? Mein Rat ist einfach: Gehen Sie rückwärts.
Beginnen Sie mit dem Endziel. Stellen Sie sich die Abschlussübung vor - etwas, das einer echten Arbeitsaufgabe so nahe wie möglich kommt. Für einen SOC-Analysten-Kurs könnte das die Analyse eines Datensatzes von Firewall-, Endpunkt- und E-Mail-Logs sein, um einen Vorfall zu erkennen und einen Bericht zu schreiben. Für einen Incident-Responder-Kurs könnte es die Untersuchung eines Disk-Images sein, um eine Angriffszeitleiste zu rekonstruieren.
Brechen Sie von dieser Abschlussübung aus herunter, welche Aufgaben die Studenten erledigen müssen. Identifizieren Sie für jede Aufgabe das erforderliche Wissen und die erforderlichen Fähigkeiten. Dann graben Sie tiefer: Von welchem Hintergrundwissen hängt jede Anforderung selbst ab? Wenn Sie diesen Prozess abgeschlossen haben, haben Sie eine Liste mit allem, was der Kurs lehren sollte.
Passen Sie diese Liste nun in die verfügbare Zeit ein und passen Sie sie an das Vorwissen der Studenten an. Wenn sie Linux bereits kennen, können Sie die Grundlagen überspringen. Wenn nicht, müssen Sie dieses Fundament zuerst bauen. Indem Sie rückwärts arbeiten, stellen Sie sicher, dass jedes Modul einen Zweck hat und direkt zum Endergebnis beiträgt.
Beispiel: Ethical-Hacking-Kurs für IT-Personal
Lassen Sie uns diese Methode mit einem Kurs in die Praxis umsetzen, der sich an IT-Personal richtet, das sich mit Cybersicherheit vertraut machen muss, aber keine professionellen Penetrationstester werden soll.
Definition der Abschlussübung
Die Abschlussübung wird ein kleines Labornetzwerk mit drei verwundbaren Maschinen sein:
- Eine Maschine erfordert einen Exploit, um Zugang zu erhalten.
- Eine andere erfordert einen Brute-Force-Angriff.
- Die letzte hat eine Fehlkonfiguration in SMB, die missbraucht werden kann.
Am Ende des Kurses sollten die Studenten in der Lage sein, diese Hosts zu entdecken, ihre Schwächen zu identifizieren und sie mit der richtigen Technik zu kompromittieren.
Analyse der Anforderungen
Rückwärts arbeiten:
- Ausnutzung erfordert entweder Metasploit oder einen geskripteten Exploit. Beides erfordert Kenntnisse in Linux und Netzwerken.
- Brute Force erfordert Hydra, was wiederum Linux-Komfort und Verständnis dafür erfordert, wie Authentifizierung funktioniert.
- SMB-Fehlkonfiguration erfordert Tools wie
enum4linuxodersmbclient, die sowohl auf Linux-Fähigkeiten als auch auf Netzwerkgrundlagen basieren. - Das Finden der Maschinen erfordert Aufzählung mit Nmap, um Hosts, Ports und Dienste zu entdecken.
Aus dieser Analyse ergibt sich die Mindestliste der Themen:
- Netzwerkgrundlagen (insbesondere TCP/IP, Ports und Dienste).
- Linux-Grundlagen (Befehle, Dateisystem, Berechtigungen).
- Aufzählung mit Nmap.
- SMB-Aufzählung mit
enum4linux/smbclient. - Brute Force mit Hydra.
- Ausnutzung mit Metasploit (oder manuellen Exploit-Skripten).
Berücksichtigung der Zielgruppe
Für IT-Personal ist Networking oft vertraut, aber eingerostet. Linux hingegen ist vielleicht nichts, was sie täglich nutzen. Der Kurs sollte daher eine Netzwerk-Auffrischung und einen soliden Linux-Grundlagenabschnitt enthalten, bevor die Hacking-Tools eingeführt werden. Ohne das wird die Abschlussübung nicht erreichbar sein.
Berücksichtigung der Zeit
Wenn die Zeit begrenzt ist, kann sich der Kurs an die oben genannten wesentlichen Punkte halten. Wenn mehr Zeit zur Verfügung steht, können wir mit ergänzenden Modulen erweitern, wie z.B.:
- Cybersicherheits-Grundlagen (CIA-Triade, Angreifer-Denkweise).
- Abwehrmaßnahmen für jeden Angriff (starke Passwörter, Patching, SMB-Härtung).
- Angreiferperspektive (wie Angreifer sich Netzwerken Schritt für Schritt nähern).
- Zusätzliche Labore (z.B. Analyse von Logs jedes Angriffs oder Simulation von Incident Response).
Warum das funktioniert
Dieser Ansatz hält den Kurs realistisch. Anstatt den Lehrplan mit nicht verwandten Themen wie Wi-Fi-Hacking oder Malware-Analyse aufzublähen, bleibt er auf das spezifische Ziel fokussiert: IT-Mitarbeitern zu helfen, grundlegende offensive Techniken zu verstehen, damit sie Sicherheit aus der Perspektive des Angreifers einschätzen können. Indem alles an das Abschlusslabor gebunden wird, bleibt der Kurs kohärent und praktisch.
Abschließende Gedanken
Einen Lehrplan für einen Cybersicherheitskurs zu schreiben bedeutet nicht, jedes mögliche „Cyber“-Thema in den Mix zu werfen. Es bedeutet, sich auf das Ergebnis zu konzentrieren: Studenten auf eine Rolle vorzubereiten oder ihre Fähigkeiten auf gezielte, jobrelevante Weise zu erweitern.
Indem Sie das Ziel klar definieren, die Studenten verstehen, die verfügbare Zeit respektieren und von der Abschlussübung rückwärts entwerfen, können Sie einen Lehrplan erstellen, der strukturiert, realistisch und wirkungsvoll ist.
Studenten verdienen Kurse, die ihnen Vertrauen für die vor ihnen liegende Arbeit geben, nicht Kurse, die sie mit verstreuter Theorie überwältigen. Der Lehrplan ist der Ort, an dem dieser Unterschied beginnt.
