Die Security-Spezialistin Prof. Dr. Claudia Eckert im Interview

Prof. Dr. Claudia Eckert, Foto: Fraunhofer AISEC
Prof. Dr. Claudia Eckert, Foto: Fraunhofer AISEC

Die Informatikerin Prof. Dr. Claudia Eckert zählt zu den gefragtesten Sicherheits-Expertinnen Deutschlands. Die Institutsleiterin am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC sowie Leiterin des Lehrstuhls für Sicherheit in der Informatik der TU München wirbt im Interview für mehr unternehmerische Investitionen im Bereich der Cybersecurity. Zudem definiert sie neue Job- Profile und Anforderungen für ambitionierte Nachwuchskräfte. Die Fragen stellte André Boße.

Zur Person

Prof. Dr. Claudia Eckert, Jahrgang 1959, ist Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in Garching und Professorin an der Technischen Universität München, wo sie den Lehrstuhl für Sicherheit in der Informatik an der Fakultät für Informatik innehat. Zu ihren Forschungsschwerpunkten zählen die Entwicklung von Technologien zur Erhöhung der System- und Anwendungssicherheit, die Sicherheit eingebetteter Systeme und die Erforschung neuer Techniken zur Erhöhung der Resilienz und Robustheit von Systemen gegen Angriffe. Als Mitglied verschiedener nationaler und internationaler industrieller Beiräte und wissenschaftlicher Gremien berät sie Unternehmen, Wirtschaftsverbände sowie die öffentliche Hand in allen Fragen der ITSicherheit. In Fachgremien wirkt sie mit an der Gestaltung der technischen und wissenschaftlichen Rahmenbedingungen in Deutschland sowie an der Ausgestaltung von wissenschaftlichen Förderprogrammen auf EU-Ebene.

Frau Prof. Dr. Eckert, warum verlangt der Transformationsprozess hin zur Industrie 4.0 noch deutlich mehr Investitionen und Know-how in Sachen Security?
Die Digitalisierung geht einher mit der Vernetzung und Öffnung vormals abgeschotteter Systeme, zum Beispiel für die Kommunikation über das Internet oder den Zugriff von außen zur Fernwartung. Gleichzeitig wachsen interne Systeme zusammen. Zum Beispiel wird die IT in den Produktionsanlagen direkt mit der Büro-IT verbunden, um zum Beispiel die Auftragsplanung direkt mit der Produktion zu verknüpfen. Das bringt Chancen, unter anderem in Bezug auf Kostenersparnis oder Qualitätssteigerung, es birgt aber auch Gefahren, da digitalisierte Systeme viele Angriffspunkte für Cyberattacken bieten. Zudem wächst mit dem Grad der Vernetzung auch das Schadenspotential, wenn sich Schadsoftware im Netz verbreitet. Diese Risiken müssen Unternehmen einschätzen können, sie müssen wissen, welche technologischen, aber auch organisatorischen Schutzmaßnahmen geeignet sind, um die Restrisiken akzeptieren zu können. Dies erfordert sowohl viel Know-how im Themenfeld Cybersecurity als auch die Bereitschaft, in erforderliche Technologien zu investieren, um die digitalisierten Systeme vor Angriffen nachhaltig zu schützen. Das gilt im Übrigen für alle Domänen, nicht nur für die Industrie 4.0.

Wie bewerten sie aktuell die Sicherheits- Lage in den deutschen Unternehmen?
Aktuelle Studien zeigen, dass 70 bis 80 Prozent der Unternehmen bereits erfolgreich angegriffen wurden. Das führt zu jährlichen Schäden in zweistelliger Milliardenhöhe. Der Sicherheitsstatus ist also alles andere als zufriedenstellend. Ransomware, die Verschlüsselung oder der Diebstahl von Daten mit einer darauffolgenden Lösegeld- Erpressung, ist aktuell das populärste Angriffsszenario. Aber man muss genauer hinsehen: Große Konzerne haben mehr Kapazitäten, um eigenes Security-Know-how im Haus aufzubauen. Betreiber kritischer Infrastrukturen, wie zum Beispiel Energieversorger, unterliegen gesetzlichen Vorgaben und Regulierungen in Bezug auf die Risiko und Cybersicherheitsvorsorge. Dies hat in der Regel einen besseren Sicherheitsstatus zur Folge, als er insbesondere im Mittelstand anzutreffen ist. Hier muss deutlich mehr gemacht werden, um die Resilienz der Unternehmen gegen Cyberattacken zu verbessern.

Es wird gefordert, Unternehmen müssten in Zukunftstechnologien wie die Künstliche Intelligenz investieren.
In KI-Lösungen fließt deutlich mehr Geld, weil man sich davon positive Effekte für das eigene Geschäft erhofft, beispielsweise durch das Anbieten von neuen Dienstleistungen für die Kunden. Auch wenn die Budgets der Cybersecurity in den letzten Jahren stetig angestiegen sind – nicht zuletzt, weil die Geschäftsführung durch die aktuelle Gesetzeslage bei Cybervorfällen haftbar gemacht werden kann, wenn sie ihrer Sorgfaltspflicht in Bezug auf die Cybersicherheit nicht nachgekommen ist – so reichen die Anstrengungen noch lange nicht aus. Noch haben viele Bereiche nicht ausreichend erkannt, wie kritisch mangelhafte Cybersecurity für die eigene Geschäftsentwicklung ist.

Übergeordnetes Ziel muss es sein, eine Sicherheitskultur im gesamten Unternehmen auszubilden, die auch gelebt wird.

Wie lässt sich eine bessere IT-Security in Unternehmen umsetzen, technisch und personell?
Technisch ist das konsequente Umsetzen des Zero-Trust-Prinzips wichtig. Zero Trust bedeutet: Es gibt kein grundsätzliches Vertrauen, jeder Zugriff muss überprüft werden. Denn durch Vernetzung und Homeoffice gibt es kein „Innen“ und „Außen“ mehr. Um das zu kontrollieren, müssen geeignete Prozesse und Cybersecurity-Technologien eingeführt werden. Dazu gehört zum Beispiel ein tragfähiges Identitäts- und Zugriffsmanagement. Die Bereitstellung von Informationen muss auf das Need-to-know-Prinzip beschränkt werden, also reduziert werden auf das, was zur Aufgabenerfüllung erforderlich ist. Basis aller Aktivitäten muss eine umfassende IT-Sicherheitsanalyse sein, um die eigenen Bedarfe zu verstehen und Handlungsnotwendigkeiten daraus ableiten zu können.

Cybersecurity muss dabei als kontinuierlicher Prozess verstanden werden, der nicht mit einem einmaligen Audit abgeschlossen ist. Nicht jeder kann sich eine eigene Cybersecurity-Abteilung leisten. Aber man kann seine Mitarbeitenden für das Thema sensibilisieren und schulen. Dabei muss klar werden, welchen wichtigen Beitrag jeder zur Aufrechterhaltung der IT-Sicherheit im Unternehmen leisten kann und welche Schwachstellen es bei jedem von uns gibt, zum Beispiel das leichtfertige Klicken auf Links in E-Mails. Übergeordnetes Ziel muss es sein, eine Sicherheitskultur im gesamten Unternehmen auszubilden, die auch gelebt wird.

Gibt es dabei neue Job-Profile für IT-Expert* innen, die auf diesem Weg entstehen?
Beim Thema Usability gibt es neue Bedarfe. Der Begriff steht für ein Jobprofil, das die wichtige Aufgabe übernimmt, die Akzeptanz von Cybersecurity- Technologien bei den Nutzer*innen zu erhöhen. Dafür schauen sich die Expert*innen die Bedürfnisse und das Verhalten der Nutzer*innen genau an und transformieren die Technologie entsprechend. Immer mit dem Ziel, IT-Sicherheit so nutzbar wie möglich zu machen.

Cybersecurity-Expert*innen müssen die Weltmodelle und auch Begriffswelten, in denen ihre Nutzer*innen agieren, verstehen – und damit auch verstehen, wie diese mit IT-Technologien umgehen.

Welche Skills – abseits des IT-Knowhows – sind nötig, um als Nachwuchskraft in der Security gut unterwegs zu sein?
Abseits des erforderlichen, fundierten IT-Know-hows sind heute vor allem Soft-Skills gefragt: Die Fähigkeit zur Teamarbeit oder auch zur zielgruppenspezifischen Kommunikation sind Beispiele. Cybersecurity-Expert*innen müssen die Weltmodelle und auch Begriffswelten, in denen ihre Nutzer*innen agieren, verstehen – und damit auch verstehen, wie diese mit IT-Technologien umgehen. Daraus ergibt sich, wie man IT gestalten muss, damit sie akzeptiert und genutzt wird. Heute ist alles sehr schnelllebig. Das verlangt eine große Agilität. Neue Entwicklungen müssen schnell erfasst, analysiert und umgesetzt werden, bei gleichbleibend hoher Qualität. Nur wer bereit ist, seine Komfortzone zu verlassen, wer interdisziplinär denkt und über Fachgrenzen hinweg zusammenarbeitet, wer offen und aufgeschlossen bleibt, wird heute und in Zukunft Erfolg haben.

Der nächste Schritt im IT-Bereich könnte das Quanten Computing sein. Droht uns das Sicherheits-Thema endgültig um die Ohren zu fliegen, weil die Komplexität dieser Technologie noch größer ist oder kann Quanten Computing sein Versprechen für mehr Sicherheit einlösen?
In der aktuellen Forschung werden Technologien entwickelt, die ich gerne wie folgt charakterisiere: Es geht um die Gestaltung der Cybersicherheit „trotz, mit und für“ Quanten Computing. Die Forderung nach Sicherheit „trotz“ ist von hoher Aktualität, da Quanten-Computer, wenn sie denn in einigen Jahren ausgereift genug sind, eine Bedrohung für alle jetzigen Sicherheitsmechanismen darstellen, weil die Verschlüsselungsverfahren leichter gebrochen werden können. Denn diese basieren größtenteils auf mathematischen Hürden, die zwar nicht von einem klassischen Rechner, aber eben von einem Quantenrechner genommen werden können. Aus diesem Grund müssen wir uns mit Post- Quanten-Kryptografie beschäftigen. Also mit Verfahren, die auch dann noch sicher sind, wenn Angriffe unter Verwendung von Quanten-Computern gegen sie gerichtet sind. Quanten Computing kann aber auch helfen, das IT-Sicherheits-Niveau anzuheben.

Damit sind wir beim Thema „mit“.
Genau, man kann zum Beispiel mit Quantum-Machine-Learning-Verfahren frühzeitig Anomalien, die auf Angriffsversuche hindeuten, oder Betrugsabsichten erkennen. Wenn wir damit auf Angriffe besser vorbereitet sind oder schneller auf sie reagieren können, kann die Resilienz erhöht und der Schaden begrenzt werden. Sicherheit „für“ QC bedeutet schließlich, dass wir bereits bei der Entwicklung der Quanten-Hardware und -Software die Sicherheit der Verarbeitung berücksichtigen.

Fraunhofer CCIT

Seit 1.1.2018 ist Claudia Eckert Sprecherin des Fraunhofer Clusters of Excellence Cognitive Internet Technologies CCIT, mit dem die Fraunhofer-Gesellschaft an Schlüsseltechnologien für das kognitive, industrielle Internet arbeitet. Ziel ist die Einrichtung einer tragfähigen Infrastruktur für eine agile, flexible und digitalisierte Industrie. Der Fraunhofer CCIT vereint über 20 Fraunhofer Institute aus der Mikroelektronik, der Informations- und Kommunikationstechnik und der Produktion. Die gemeinsamen Forschungs- und Entwicklungsarbeiten konzentrieren sich auf die Technologiefelder IoT-Kommunikation, vertrauenswürdige Datenräume und Maschinelles Lernen.