Im Zusammenspiel von Sensoren, Aktoren und vernetzter Software nimmt die Zahl der privat und industriell genutzten cyber-physischen Systeme stetig zu. Entstehen damit ein neuer Markt für Cyber-Kriminelle und somit neue Aufgaben für alle, die in der Cyber- und IT-Security beruflich Fuß fassen wollen? Wir sprachen mit Prof. Sachar Paulus von der Hochschule Mannheim, seit 2014 dort Professor für IT-Sicherheit und Studiengangleiter für „Cyber Security“.
Cyber Crime gilt als Software as a Service-Geschäft mit klaren Business-Strategien zur Gewinnerzielung. Boomt das Modell jetzt noch stärker, weil die eingesetzte Zahl cyber-physischer Systeme ebenfalls steigt?
Das glaube ich nicht. In Sachen cyber-physische Systeme (CPS) gibt es derzeit zwei Klassen: Das Internet of Things für den eher privaten Gebrauch und die Automatisierungssysteme komplexerer Art, die bei Unternehmen eingesetzt werden. Noch hat sich, meiner Einschätzung nach, bei keinem der beiden ein Markt für den Angriff auf cyberphysische Systeme entwickelt – im Gegenteil. Ein vermehrter Angriff auf cyber-physische Systeme würde zum aktuellen Zeitpunkt die „Fertigungstiefe“ eher verkleinern, dafür sind die Angriffswege und Nutzungszenarien in vielen Fällen nicht gleichartig genug. Speziell ist, dass – anders als bei der Massenverschlüsselung von Daten in Unternehmen und anderen Organisationen – der Einsatzzweck der IoT-Geräte oft kundenspezifisch ist, also einen bestimmten, branchenspezifischen Zweck hat. Es gibt schlicht kaum IoT-Geräte, die in jedem Unternehmen vorkommen, einen ähnlichen Zweck erfüllen und damit kein umfassendes Angriffspotenzial. Es kann natürlich zu einer Standardisierung der Produkte kommen, aber gerade, weil CPS immer eine physische Komponente einbeziehen, ist der Einsatzzweck limitiert und damit die Skalierung unterbunden. Auch dann wären Unternehmen aufgrund der Zahlungsbereitschaft die deutlich interessantere Option als die Privatanwender, sodass Cyber Crime bei CPS keine „reguläre“ Software as a Service-Dienstleistung wird.
cyber-physische Systeme – privat versus industriell
Mit Fokus auf den privaten Bereich – hat hier die fehlende Standardisierung eine Schutzwirkung?
Nein, denn oft ist eine auf mehrere Lieferanten und Softwarehersteller verteilte Landschaft unsicherer – etwa, weil die Geräte sich nur auf ein unsicheres Protokoll einigen können und es schwerer ist, die Komponenten aktuell zu halten oder weil schlicht der Verwaltungsaufwand höher ist. Für den „durchschnittlichen“ Angriff ist allerdings erforderlich, dass die Software veraltet ist und es – zumindest einige wenige – Schwachstellen geben muss, die ein Hacker auch für eine Fernsteuerung übernehmen kann. Staatliche Akteure andererseits bunkern ja geheime Schwachstellen, sogenannte Zero-Day Exploits, und könnten sicher gezielt einen entsprechenden Haushalt übernehmen.
Inwiefern ist auch öffentliche Infrastruktur betroffen?
Wenn man die Liste der Schwachstellen von intelligenten Endgeräten / Sensoren und Aktoren anschaut, dann ist alles betroffen – wirklich alles. Vom Medizingerät über die Kirchturmuhr, das vernetzte Fahrzeug bis zur Kraftwerkssteuerung – also auch öffentliche Infrastruktur. Die Herausforderung im öffentlichen Bereich besteht aus meiner Sicht aus zwei wesentlichen Aspekten: Zum einen ist oft nicht klar, wer für die Sicherheit verantwortlich ist, was oft zu sehr langen Reaktionszeiten führt. Ich meine damit nicht den orchestrierenden Überbau auf Bundes- und Landesebene, sondern die sehr konkrete, operative Verantwortung in den Organisationen. Also welche Person ist letztlich für die Vertraulichkeit der Daten in einem Forschungsprojekt oder in einem Rathaus verantwortlich? Wer kümmert sich darum, dass die Daten auch verschlüsselt werden? Zum anderen werden oft alte Systeme weiterhin eingesetzt, für welche es manchmal keine Security-Patches mehr gibt. So ergeben sich gerade hier oft deutlich höhere Schäden und längere Anlaufzeiten nach einem Angriff. Ausnehmen davon würde ich die Stromversorgung, weil hier der Cyber Security-Part von privaten Unternehmen geleistet wird und in den letzten Jahren die gesetzlichen Vorgaben deutlich höher gelegt wurden.
Cyber-Security-Experten – der Bedarf steigt
Entstehen durch diese Entwicklung mehr Arbeitsplätze und wenn ja, welche Fähigkeiten genau sollten Absolvent:innen von morgen mitbringen?
Es gibt aktuell einen unglaublichen Bedarf an Security-Experten. Das merken wir an der Geschwindigkeit, mit der Cybersecurity-Studierende schon früh im Studium auf Quasi-Experten-Positionen sitzen – oft schon im 4. / 5. Semester – und an den Anfangsgehältern. Sie müssen definitiv recht gute Programmierer sein, denn diese Kompetenz ist entscheidend für das Erkennen und Beheben von Schwachstellen oder auch nur zum Bewerten des Risikos. Natürlich ist ein Security-Studiengang von großem Vorteil, da hier schon viele erforderliche Kompetenzen vermittelt werden. Abgesehen von den Fachinhalten ist eine hohe Anpassbarkeit und Flexibilität von Nutzen, da sich die Einsatzgebiete deutlich und schnell ändern können. Ich denke, der Trend wird erst einmal nicht aufhören, da durch die zunehmende Regulierung, um dem Riesenproblem erfolgreich zu begegnen, viele weitere Experten gesucht werden – ob im Energiesektor, in der Automobilbranche, in der Medizin … eigentlich in jeder kritischen Infrastruktur.
Unterscheidet man angesichts des massiven Bedarfs aktuell noch zwischen den Aufgaben IT- und Cybersicherheit?
Genau genommen betrachtet man ja immer unterschiedliche Perspektiven: Die IT-Sicherheit beinhaltet die Sicherheit von Informationstechnologie, also von Rechnern, Servern, Netzwerken. Hier geht es um die Funktionsfähigkeit und Vertrauenswürdigkeit der Infrastruktur. Daneben gibt es die Informationssicherheit, also die sprichwörtliche Sicherheit von Informationen, mit ihren entsprechenden Schutzzielen Integrität, Verfügbarkeit und Vertraulichkeit. Nummer 3 im Bunde ist die Cybersicherheit, also die Sicherheit und Unversehrtheit der Umwelt von IT-Systemen mit Sensoren und Aktoren. Das eine ist die Theorie, das andere die Praxis, in der Angreifer weder ihre Ziele noch ihre Mittel nach der Theorie auswählen. Als Verteidiger ist man immer damit konfrontiert, dass jemand das größte Loch im Zaun auf dem Weg zum größten Schatz ausnutzen will. Also muss man sich entsprechend für alle Eventualitäten wappnen. Wir von der Hochschule Mannheim verstehen Cybersecurity daher umfassend und unterrichten natürlich alle relevanten Aspekte.
Eine persönliche Frage zum Schluss: Wieso haben Sie sich selbst gerade auf den Bereich Sicherheit fokussiert?
Ich war in meinem Studium der Informatik und Mathematik von Kryptographie begeistert, das hat mich 10 Jahre nicht losgelassen. Mit dieser Erfahrung bin ich zur SAP und habe schnell gelernt, dass Security mehr ist als Verschlüsselung und Authentifizierung. Dabei haben sich zwei Hauptachsen meiner Interessen herausgebildet, die ich bis heute verfolge und inzwischen beforsche und unterrichte: einerseits Informationssicherheit speziell in KMU und Messbarkeit von Sicherheit sowie sichere Software-Entwicklung andererseits.
Zum Interviewpartner: Mehr über Prof. Sachar Paulus findest du auf seiner Profilseite.
Mehr Beiträge mit Themenbezug zu Cyber Security findest du in diesem Karrierenetzwerk!