Dieses CAS richtet sich an IT-Fachkräfte, die für den sicheren Betrieb, die Überwachung und die Wiederherstellung von IT-Infrastrukturen verantwortlich sind. Im Fokus stehen praxisnahe Kompetenzen, um Systeme, Netzwerke und Daten gegen aktuelle Bedrohungen abzusichern.

Zur Zielgruppe gehören:

• Systemadministratoren, die für sicherheitskritische Systeme (z.B. Server, Authentifizierung und Backup) verantwortlich sind oder VPNs, VLANs und Firewalls konfigurieren.
• SOC-Analysten, die Angriffe erkennen, analysieren und erste Reaktionen einleiten
• Security Engineers, die Systeme härten, Logging aufbauen und Verteidigungsmechanismen implementieren
• IT-Architekten, die Netzwerke sicher planen und segmentieren
• Cybersecurity Consultants, die Infrastrukturen bewerten und Absicherungsempfehlungen geben

Der Kurs setzt grundlegende Linux- und Netzwerkkenntnisse voraus, jedoch keine tiefgehenden Programmierfähigkeiten. Er eignet sich sowohl für operative Rollen als auch für technische Sicherheitsverantwortliche

Ziel dieses Weiterbildungsprogramms ist es, Teilnehmenden fundierte, praxisnahe Kompetenzen in der technischen Informations- und Cybersicherheit zu vermitteln. Der Fokus liegt auf der Absicherung, Überwachung und Wiederherstellung – vom Netzwerk über Endpunkte bis hin zur Identitäts- und Datenverwaltung.

Die Teilnehmenden werden am Ende des Kurses in der Lage sein:

• Sicherheitslücken in Netzwerken, Protokollen und Systemen zu erkennen und zu analysieren
• Angriffe (z. B. ARP-Spoofing, DNS-Poisoning, DoS) praktisch zu simulieren und abzuwehren
• Verschlüsselungstechnologien (TLS, VPN, E-Mail, Datenträger) korrekt einzusetzen
• Logging, Monitoring und einfache Detection-Rules umzusetzen
• Authentifizierungs- und Zugriffskonzepte (z. B. Kerberos, MFA, RBAC) zu verstehen und zu implementieren
• Backups und automatisierte Wiederherstellungsprozesse für Linux- und Windows-Systeme einzurichten
• Sicherheitsarchitekturen mit Defense-in-Depth-Prinzipien zu planen und zu evaluieren
• Im Ernstfall systematisch auf Sicherheitsvorfälle zu reagieren und forensische Spuren zu sichern

Der Kurs vermittelt nicht nur theoretisches Wissen, sondern legt besonderen Wert auf Hands-on-Erfahrung, Fehlersuche und sicheres Handeln im Betrieb.

Konzepte:

• Grundlagen der Cybersecurity (CIA, Bedrohungsmodelle)
• OSI-Modell, IP-Adressierung, gängige Protokolle
• Grundlagen zu Logging, Nutzung von Wireshark

Angriffe:

• ARP-Spoofing, VLAN-Hopping, IP-Spoofing
• TCP Session Hijacking, DoS (Amplification, Flooding)
• DNS-Poisoning, Rogue DHCP, Rogue Access Point, schwache Authentifizierung

Abwehrmechanismen:

• VLANs, Network-Acess-Control, Stateful/Stateless Firewalls
• Proxy, IDS (Snort), Log-Analyse, NOC / SIEM

Konzepte:

• Symmetrische/Asymmetrische Kryptografie, PKI, Hashing, Zertifikate, PKI
• VPN-Grundlagen, TLS/SSL
• Verschlüsselung von Dateien/E-Mails

Angriffe:

• Falsche Nutzung von Kryptographie-Protokollen, TLS-MITM, Brute Force
• Authentifizierungs-Bypass
• Credential Stealing
• Endpoint-Protection-Evasion, Log-Tampering

Abwehrmechanismen:

• OpenVPN, WireGuard, IPSec-Tunnel
• TLS / PKI (Web), GPG/S-MIME (Mail)
• DPI, SSL Interception
• Datenträgerverschlüsselung (LUKS/BitLocker)

Konzepte:

• Backup-Strategien, Disaster Recovery-Prozesse
• Netzwerksegmentierung, Zero-Trust-Prinzipien
• Incident Response Lifecycle, Forensik-Grundlagen

Angriffe:

• Ransomware, Lateral Movement / Wormable Malware
• Firmware-Manipulation
• Advanced Persistent Threats, Post-Exploitation-Spuren
• Audit, Sysmon, MFA

Abwehrmechanismen:

• Vollständige Backups (Linux/Windows), PXE-Boot
• Konfigurationswiederherstellung für Netzwerkgeräte
• Jump Hosts, Defense-in-Depth
• Speicher- und Log-Forensik, Containment-Massnahmen

Das Weiterbildungsprogramm setzt auf eine praxisorientierte, abwechslungsreiche Didaktik, die unterschiedliche Lernformate sinnvoll kombiniert. Die Vormittage dienen in der Regel der theoretischen Einführung in neue Themenbereiche – durch strukturierte Inputs, Fallbeispiele und gemeinsame Analysen.

Die Nachmittage sind dem praktischen Arbeiten gewidmet. In geführten Hands-On-Labs wenden die Teilnehmenden das zuvor Erlernte direkt an – sei es beim Konfigurieren von Netzwerken, beim Simulieren von Angriffen oder beim Auswerten von Logs und Verkehrsdaten. So wird das theoretische Wissen unmittelbar durch eigenes Handeln vertieft.

Besonderer Wert wird auf eine technologische Vielfalt gelegt, um einen realitätsnahen Blick auf moderne IT-Infrastrukturen zu vermitteln. Aus didaktischen Gründen liegt der Schwerpunkt auf offenen Systemen wie Linux (Debian oder Kali-Linux) sowie BSD (z.B. OPNsense), da diese maximale Transparenz und Anpassbarkeit bieten.

Der Kurs fördert individuelles Ausprobieren der Technologien ebenso wie Teamarbeit, Troubleshooting und den Umgang mit komplexen Systemlandschaften.

Der Unterricht findet berufsbegleitend einmal pro Woche jeweils am Dienstag von 09:00 - 17:00 Uhr (8 Lektionen) statt und umfasst 15 Unterrichtstage (plus ein Reservetag).

Das CAS Applied Network & System Security dauert rund vier Monate.

Den individuellen Stundenplan erhalten die Studierenden spätestens einen Monat vor Studienbeginn. Die schulfreie Zeit richtet sich nach den Schulferien der Stadt Zürich.

• Dr. Stephan Neuhaus
• Dr. Arno Wagner
• Dr. Peter Heinrich

Die Zulassung zum CAS Applied Network & System Security setzt grundsätzlich einen Hochschulabschluss (Fachhochschule, HTL, HWV, Uni, ETH) voraus. Es können aber auch Praktikerinnen und Praktiker mit vergleichbarer beruflicher Kompetenz zugelassen werden, wenn sich die Befähigung zur Teilnahme aus einem anderen Nachweis ergibt.

Grundsätzliche Erfahrung mit der Konfiguration von Endgeräten und Netzwerk-Appliances wird ausdrücklich vorausgesetzt (typische 2nd-Layer-Support / Systemadministration). Darüber hinaus erwarten wir erste Erfahrungen im Umgang mit Linux-Systemen sowie das Arbeiten mit der Kommandozeile (Bash / PowerShell).

Wir führen keine Wartelisten und bieten keine Platzreservationen an.

Sollte bei der vorangehenden Durchführung ein Platz frei werden, berücksichtigen wir die Reihenfolge gemäss Anmeldeeingang.