Ein Year-13-Schüler aus dem Vereinigten Königreich schreibt öffentlich, was viele nur denken: Der Cybersecurity-Unterricht an Schulen wirkt oft wie ein Kurs über Warnschilder, nicht über echte Abwehr. Das ist hart formuliert, aber genau darin liegt der Punkt. Wer später Systeme schützen soll, lernt zu oft zuerst Vokabeln statt Werkzeuge.
Der konkrete Anlass ist wichtig, weil er nicht aus einem Ministerium, einem Konzern oder einer Sicherheitskonferenz kommt, sondern aus dem Alltag eines Schülers kurz vor dem Abschluss. Year 13 ist in England das letzte Schuljahr vor der Hochschule oder Ausbildung. Gerade dort stellt sich die Frage: Bereitet Schule auf digitale Realität vor oder nur auf Prüfungslogik? Bei Cybersecurity ist das ein spürbarer Unterschied. Wer nur Begriffe auswendig kann, erkennt noch keinen Phishing-Versuch, härtet kein Passwort-Setup und versteht auch kein sicheres Grunddesign.
Das eigentliche Missverständnis ist alt, aber im Cyber-Bereich besonders teuer: Viele Schulen behandeln Sicherheit als Zusatzthema. Ein paar Folien zu Passwörtern, ein Hinweis auf Zwei-Faktor-Authentifizierung, vielleicht noch die Warnung vor Links aus unbekannten Mails. Das ist nicht falsch. Es ist nur viel zu wenig. Cybersecurity ist kein Randkapitel, sondern eine Grundkompetenz wie Schreiben oder Rechnen. Nur eben mit dem kleinen Unterschied, dass ein Fehler nicht bloß eine schlechte Note, sondern einen Datenabfluss auslösen kann.
Der junge Kritiker trifft damit einen Nerv, der über das Klassenzimmer hinausgeht. In vielen Organisationen sieht es ähnlich aus: Schulung wird mit Sicherheit verwechselt. Ein kurzer Online-Kurs ersetzt keine Übung, ein Zertifikat keine Routine. Das ist die digitale Version von Ersthelferwissen ohne Verbandskasten. Nett gemeint, aber im Ernstfall dünn.
Fairerweise gibt es auch eine Gegenposition. Schulen haben begrenzte Zeit, knappe Budgets und Lehrkräfte, die nicht alle tief in IT-Sicherheit stecken. Außerdem wäre es unrealistisch, von jeder Schule ein Mini-SOC zu verlangen. Der Einwand ist berechtigt. Nur darf er nicht als Ausrede dienen. Cybersecurity muss nicht sofort hochkomplex werden, um wirksam zu sein. Ein kleines, sauberes Grundsetup reicht oft weiter als ein überladener Lehrplan.
Genau hier liegt der praktische Hebel. Wer Cybersecurity für Schüler ernst nimmt, sollte mit drei einfachen Bausteinen starten: erstens reale Beispiele aus dem Alltag, etwa gefälschte Login-Seiten oder manipulierte Anhänge; zweitens kurze Übungen statt langer Theorieblöcke; drittens klare Routinen, die sofort nutzbar sind, zum Beispiel Passwortmanager, Zwei-Faktor-Login und das Prüfen von Absendern. Das ist kein Luxusprogramm, sondern Minimalstandard.
Die vielleicht irritierendste Einsicht: Gute Cybersecurity-Ausbildung beginnt nicht mit Hacking-Faszination, sondern mit Langeweile. Ja, wirklich. Wer sichere Systeme bauen will, muss zuerst die unspektakulären Dinge beherrschen: Updates, Rechteverwaltung, Backups, saubere Kommunikation. Das klingt weniger glamourös als Ethical Hacking, ist aber im Alltag viel wirksamer. Der Year-13-Schüler, der den Unterricht kritisiert, zeigt damit mehr als Schulfrust. Er legt offen, dass viele Bildungspläne das Spannende überbetonen und das Nötige unterschätzen.
Am Ende geht es nicht darum, aus jedem Schüler einen Hacker zu machen. Es geht darum, digitale Mündigkeit zu lehren. Wer Cybersecurity nur als Spezialthema behandelt, produziert Abhängigkeit von wenigen Fachleuten. Wer sie als Grundkompetenz vermittelt, macht aus Nutzern mit Glück echte Mitdenker. Und genau das ist die deutlich unbequemere, aber vernünftigere Richtung.
Der Fall des Year-13-Schülers ist deshalb mehr als eine persönliche Meinung: Er ist ein Test für Schulen, die gern von digitaler Bildung sprechen. Solange Cybersecurity im Unterricht wie ein Wahlfach am Rand behandelt wird, bleibt die nächste Generation gut informiert und schlecht vorbereitet. Das ist höflich formuliert ein Fehler, und in der Praxis oft einfach teuer.
Kommentare