Montag bis Freitag 18.30 Uhr
Kalender
Juni 2016
Mo
Di
Mi
Do
Fr
Sa
So
30
31
010203
04
05
0607080910
11
12
1314151617
18
19
2021222324
25
26
27
28
29
30
01
02
03
Michael Backes Lupe
Michael Backes' Studenten sollten nicht weglaufen, wenn sie eine Formel sehen
"Oft ist nicht klar, wo die Firewall sein soll"
Cybersicherheits-Dozent Michael Backes
Der Saarbrücker Informatiker Prof. Michael Backes wirbt für seinen Studiengang "Cybersicherheit" - und für mehr Sicherheit im Netz.
Was war ausschlaggebend, den Studiengang "Cybersicherheit" in Saarbrücken ins Leben zu rufen?
Das Feld wird immer wichtiger, der Anspruch immer größer, auch der Bedarf an Fachkräften ist riesig - sowohl für die Wissenschaft, als auch für die Industrie. Es gab vorher einige Programme für Master, sozusagen Weiterbildungen nach dem Bachelor. Es gab aber kein Bachelorprogramm im klassischen akademischen Umfeld, das tief in der Informatik eingebettet ist. Wir hatten das Gefühl, wir sind aufgestellt dafür, und wir haben den Bedarf gesehen.

Der neue Studiengang verquickt Informatik und Cybersicherheit vom ersten Tag an. Zudem haben wir hier an der Saarbrücker Universität ein starkes Umfeld. Wir haben mit dem CISPA (Center for IT-Security, Privacy, and Accountability) eines der großen deutschen Kompetenzzentren, wir haben die Max-Planck-Institute im Hintergrund und das deutsche Forschungszentrum für künstliche Intelligenz. Damit haben die Studenten viele Wahlmöglichkeiten, damit sie sich später entsprechend spezialisieren können.

Waren auch die Enthüllungen eines Edward Snowden mit ausschlaggebend, also eine Art Initialzündung für den Studiengang "Cybersicherheit"?
Eigentlich nicht. Das muss man ehrlich sagen. Sicherheit ist seit vielen Jahren eines der Kernthemen hier in Saarbrücken. Wir hatten den Studiengang schon länger geplant. Natürlich haben die Enthüllungen das öffentliche Bewusstsein noch mehr geschärft. Das Thema kam noch mehr in den Fokus und es kann schon sein, dass dadurch vielleicht auch der ein oder andere Student extra angezogen wurde.

Darf man sagen, Sie bilden "Cyberdetektive" aus?
Sie können sagen, wir bilden "Cyber-Security-Spezialisten" aus. Detektivarbeit ist ein Teil des Themas. Cybersicherheit befasst sich sehr stark mit der Analyse von Systemen. Man will verstehen, was schief geht, wo Fehler herkommen und was sich dadurch abgreifen lässt. Nachdem man das herausgefunden hat, will man auch gerne verstehen, wie man die Fehler löst, dass entsprechende Dinge nicht mehr schief gehen.

Wie ist der Studiengang aufgebaut?Die Inhalte sind am Anfang relativ klassisch informatisch. Es geht um Informatikgrundlagen, um Mathematikgrundlagen. Es gibt aber auch eine elementare Einführung in Cybersicherheit. Es geht auch stark um sichere Softwareentwicklung und Sicherheit in Systemen. Danach wird der Studiengang immer cybersicherheitslastiger. Da reden wir über Viren, Malware, Kryptographie und so weiter.

Laut Studienbeschreibung sollen die Studenten lernen, Angreifer, Verteidiger und Forscher in einer Person zu sein. Wie wird das trainiert? Darf man sich eine Art Simulator für Hackerangriffe vorstellen?
So was gibt es bei uns. Als Universität wollen wir den Leuten beibringen, konzeptionell an dieses Thema ranzugehen. Das bedeutet zu verstehen, wie man sich schützt, aber natürlich auch zu verstehen, wie man angreift: Wir haben sowohl klassische Seminare, Pro-Seminare, Vorlesungen, die relativ angriffslastig sind, wo man Sicherheitslücken finden muss, um sie zu verstehen. Wir haben aber auch eine Mehrzahl von Vorlesungen, wo es konzeptionell darum geht, wie man sichere Systeme und sichere Software baut. Im Endeffekt ist es natürlich das, was sie wollen, nämlich Leute ausbilden, die Sicherheit schaffen können. Dafür müssen sie aber auch verstehen, wo Sicherheitsprobleme herkommen.

Welche Voraussetzungen oder IT-Kenntnisse sollten die Studenten mitbringen?
Sie müssen bereit sein, logisch zu denken, konzeptionell zu denken, Themen zu diskutieren und auch mathematisch zu denken. Ein elementarer Umgang mit Mathematik - klassische Oberstufe in der Schule - ist wichtiger, als das ganze Leben programmiert zu haben. Programmieren können wir den Leuten beibringen, mathematisches Denken nur bedingt, Die Studenten müssen nicht quasi ihr ganzes Leben mit dem Computer verbracht haben, aber sie sollten auch nicht weglaufen, wenn sie eine Formel sehen.

Wie schätzen Sie den Bedarf an IT-Sicherheitsspezialisten in der Zukunft ein? Und wurde der Bedarf in der Vergangenheit oftmals verkannt, das Thema zu stiefmütterlich behandelt?
Stiefmütterlich würde ich nicht sagen. IT-Spezialisten waren schon immer gesucht. Man hat hier eher einen Fachkräftemangel dadurch, dass man nicht genügend ausbilden konnte. Aber IT-Sicherheit selbst war eigentlich nur ein Teil des generellen Anforderungsprofils. Dieser Aspekt ist allerdings inzwischen immer wichtiger geworden. Schauen Sie in die Industrie, dort herrscht immer Angst vor Angriffen, vor Spionage. Das heißt, sie brauchen zumindest Fachkräfte, die ein gewisses Maß an Schutz bieten können. Ob in der Vergangenheit gepennt wurde, sei dahin gestellt. Klar ist, dass es einen riesigen Bedarf gibt, den man decken muss. Das werden wir mit dem Studiengang nicht können. Aber es ist wichtig, dass daraufhin gearbeitet wird, mehr Spezialisten für diesen Bereich wirklich auszubilden.

Worin bestehen die größten Defizite?
Es sind mehrere Dinge: Da ist einerseits die Forschung. Wir haben international aufgeholt, stehen gut da, sind aber bei Weitem nicht führend. Man wird mehr investieren müssen, um in diesem eminent wichtigen Gebiet zu jenen zu gehören, die eine führende Rolle einnehmen.

Andererseits gibt es den industriellen Aspekt. Wir müssen uns überlegen, wo sind unsere Hauptsorgen. In was vertrauen wir noch? Oder anders gesagt: In was vertrauen wir vielleicht auch seit Snowden nicht mehr? Was muss man vielleicht wieder in Europa entwickeln, was man eigentlich schon aufgegeben hat? Allerdings glaube ich persönlich nicht, dass man einfach sagen kann, man baut ein neues Betriebssystem, das besser ist als Windows und Windows kommerziell sogar überflügeln wird. Das halte ich für unrealistisch.

Worin sehen Sie derzeit die größten Gefahren der Cyberkriminalität?
Spionage natürlich. Je mehr digitalisiert wird, umso mehr kann ich abgreifen, weil immer mehr digital zur Verfügung steht. Je mehr über das Internet digital gesteuert wird, umso mehr kann ich Schaden anrichten, wenn ich mir Zugang verschaffe und dann die Steuerung manipuliere. Ganz konkret: Je mehr die Informatik andere Bereiche durchdringt - klassische Produktionsanlagen, digitalisierte Autos -, je mehr Steuerung im Prinzip auch von außen kommen kann, umso größer werden die möglichen Probleme.

Welche Ziele sind für Cyberkriminelle besonders interessant? Industrie, Banken, Infrastruktur?
Zu einem gewissen Teil muss man spekulieren. Aber normalerweise ist für die organisierte Kriminalität all das interessant, was man monetär umsetzen kann. Große Datenmengen von Kunden zu haben, das lässt sich immer in Geld umsetzen. Wirtschaftsspionage ist ein weiteres Feld. Und wenn es darum geht, Schaden anzurichten, muss man sich auch den Bereich Infrastruktur anschauen, sprich die Möglichkeit, ganze Infrastrukturen etwa von Städten für eine gewisse Zeit lahmzulegen.

Und wie schätzen Sie die Risiken für kleine und mittelständische Unternehmen ein?
Meine Sorge bezieht sich fast primär auf kleine und mittelständische Unternehmen. Bei großen Unternehmen ist es meistens so, dass sie entsprechende Abteilungen haben, die sich in der Sache sehr gut auskennen und einen guten Schutz gewähren können. Dort gibt es natürlich auch Zwischenfälle, aber in der Regel weiß man sich zu helfen. Bei kleinen und mittelständischen Betrieben ist es oft anders. Meist bekommen sie die Software von Fremdanbietern und sind dann auf sich gestellt. Dort gibt es meiner Ansicht nach einen großen Bedarf: a. für Lösungen, die einfacher benutzbar sind und zudem sicher, aber b. auch Fachpersonal, das genau das liefern kann.

Verlassen sich immer noch zu viele nur auf Firewalls und Virenprogramme?Firewalls und Virenprogramme haben sich sehr bewährt und sind immer der erste und wichtigste Schutz. Wenn sie diesen Schutz nicht aktuell halten oder sogar abschalten, wird ihnen jede nachgeschaltete Schutzmaßnahme normalerweise auch nicht viel helfen. Allerdings muss man auch sagen, Firewalls und Virenprogramme allein reichen nicht mehr aus. Schwierig wird es vor allem dann, wenn Sie eine große Vernetzung haben, die Sie von außen steuern wollen: Industrie 4.0, vernetzte Produktionsstätten, eingebettete Systeme, mobile Geräte und so weiter. Dann ist oft gar nicht mehr klar, wo die Firewall sein soll.

Stichwort Fehlerquelle Mensch. Sind die Vorschriften vieler Unternehmen für den Umgang mit dem Thema Cybersicherheit zu lax?
Der Mensch ist eine riesige Fehlerquelle. Man hat eigentlich erst vor relativ kurzer Zeit erkannt, dass der Begriff benutzbare Sicherheit, oder auf Englisch usable security das ist, was man weiter erforschen muss. Es geht nicht nur darum, technische Lösungen zu bauen, die funktionieren, sondern es geht um Lösungen, die benutzbar sind. Das ist ein eigener Forschungszweig, wo es noch sehr viel zu tun gibt. Es geht darum, Software zu entwickeln und vorher zu prüfen, ob Menschen damit auch umgehen können oder ob man zu viel von ihnen verlangt. Der zweite große Punkt ist, dass viele Unternehmen besser trainiert werden müssen. Es sollte Weiterbildungen zum Thema Cybersicherheit geben, in denen No-Gos klar benannt werden.

Sind schon Unternehmen auf Sie zugekommen, die Interesse an den zukünftigen Cybersicherheitsexperten geäußert haben?
Eine Vielzahl. Ich kann Ihnen natürlich nicht sagen, ob schon versucht wird, Leute abzuwerben. Das sind Erstsemester, denen muss man ein bisschen Zeit geben. Aber viele Firmen haben bereits gefragt, wie sie teilnehmen können. Wir haben auch ein Modul im Studium, wo es um Praktika in den Unternehmen geht. Zahlreiche Firmen haben bereits suggeriert, dass sie sehr gerne bereit wären, Studenten aufzunehmen.

Studiengang "Cybersicherheit"
Sicher durchs Netz
Die Universität des Saarlandes will Experten ausbilden, die Computer vor Angriffen von Hackern, Spionage-Apps und unerwünschtem Datensammeln schützen.
Cebit 2015
Angriff auf die Infrastruktur
Die weltgrößte Computermesse ist gestartet. Die Cebit 2015 stellt die Digitalisierung der Wirtschaft in den Mittelpunkt.
Zentrale Anlaufstelle
Anonym durchs Netz
Forscher um den Saarbrücker Informatiker Prof. Michael Backes wollen alle persönlichen Daten im Internet anonymisieren - aber nicht um jeden Preis.
Anonym durchs Netz
Sicher surfen
Wer beim Surfen im Internet nicht aufpasst, der gibt schnell mehr Informationen über sich selbst preis, als er will. Oft reichen schon einfache Maßnahmen, um sich zu schützen.
mehr zum Thema