Die Einsatzmöglichkeiten einer Cloud reichen von der Gesundheits-IT bis hin zu polizeilicher Forensik. Welchen, teils langfristigen, Herausforderungen Cloud-Entwickler:innen gegenüber stehen, wie es um den Datenschutz steht und welche spannende Projekte er schon bearbeitet hat, erzählt uns Prof. Honekamp von der Hochschule Stralsund im Gespräch.
Prof. Honekamp, das Thema Cloud ist das aktuelle Megathema in der Digitalisierung. Welche Herausforderungen haben Entwickler:innen derzeit zu bewältigen?
Das Cloud-Computing hat sich in den letzten Jahren zum Standard entwickelt und stellte Entwickler:innen vor die Herausforderung, cloud-native Software zu entwickeln, das heißt verteilte Systeme, die für die Vorteile der Cloud – wie schnelle Skalierbarkeit – optimiert sind. Diese verteilten Systeme müssen beobachtbar sein, um auf unterschiedliche Rahmenbedingungen ad hoc reagieren oder schlicht Fehler sowie die pay-per-use-Abrechnung nachvollziehen zu können.
Die Abhängigkeit vom Betrieb der Systeme wird alleine schon dadurch größer, dass es immer mehr zum Wettbewerbsvorteil wird, die Zeit bis zur Auslieferung zu verkürzen. Wird der Prozess dann noch automatisiert, ist er schnell, zuverlässig und kostengünstig. Daher ist der Trend zum Dev-Ops, also die Verknüpfung von Entwicklung und Betrieb eines Softwaresystems nur folgerichtig. Hieraus ergeben sich ganz neue Herausforderungen, die im technischen (Infrastructure as Code) und im Zwischenmenschlichen liegen, beispielsweise alte Rollenmuster aufzugeben und gemeinsam Verantwortung zu tragen. Die Grundlagen von Entwicklung und Betrieb erfahren immer schnellere Änderungen. Entwicklungssprachen, -umgebungen und Frameworks kommen und gehen. Eine große Herausforderung wird es für Entwickler:innen sein, ein ganzes Berufsleben lang mit dieser Entwicklung Schritt halten zu können.
Mit Kubernetes lassen sich viele Prozesse automatisieren, was erst einmal ein glasklarer Vorteil ist. Doch kann es auch einen zu hohen Automatisierungsgrad geben?
In der Industrie kann Über-Automatisierung die Flexibilität in der Fertigung reduzieren. Diese Gefahr sehe ich in der Softwareentwicklung nicht. Delivery-Pipelines sind Softwareprodukte und damit genau wie Infrastructure-as-Code leicht anpassbar. Mit einer angemessenen Strukturierung lässt sich die wachsende Komplexität meiner Meinung nach gut beherrschen.
Wie steht es um den Datenschutz, wenn Cloudanbieter etwa aus privater Sicht im Handy-Umfeld quasi die dritte Partei sind, die sensible Daten erhält?
In der EU haben wir mit der DSGVO eine sinnvolle, praktikable und notwendige Regelung. Die Problematik entsteht aus der bereitwilligen Preisgabe von Daten. Die vor allem deutsche Geiz-ist-geil-Mentalität lässt viele Menschen glauben, im Internet sei alles kostenlos. Die Währung heißt aber Daten. Und die geben wir immer noch bereitwillig preis. Tatsächlich macht man sich selbst gläsern, ohne sich der Konsequenzen bewusst zu werden.
Welche Vorteile könnte beispielsweise eine Forensik-Cloud mit sich bringen?
Die Nutzung von Cloud-Diensten bietet auch für IT-Forensiker eine Vielzahl an Vorteilen. Durch skalierbare Kapazitäten können große Datenmengen gesichert werden, ohne die dafür notwendigen Speichermedien vorhalten zu müssen. Kollaboratives Arbeiten sowie die nahezu spontane Nutzung je nach Anforderung komplett virtualisierten oder containerbasierter Analyse-Tools ermöglichen Auswertungen in einer völlig neuen Effizienz. Vorstellbar wäre hier zum Beispiel eine Zusammenarbeit zwischen externen IT-Forensikern und Polizei beziehungsweise Staatsanwaltschaft bereits während der Analyse. Auch ein Datenaustausch zwischen verschiedenen Behörden würde bei Vorliegen der gesetzlichen Grundlage so vereinfacht werden. In der Praxis gibt es jedoch hohe Anforderungen an die Sicherung und Auswertung beweisrelevanter Daten. Neben datenschutzrechtlichen Anforderungen ist vor allem die Beweismittelkette einzuhalten. Für eine gerichtliche Verwertbarkeit ist es wichtig, dass validiert wird, dass die gesicherten Daten mit den Originaldaten übereinstimmen.
Das Ziel der Arbeit an einer Forensik-Cloud ist die Erfassung notwendiger Anforderungen inklusive Umsetzungsmöglichkeiten, um öffentliche Cloud-Anbieter wie AWS, GCP oder Azure für die Sicherung und Analyse strafrechtlich relevanter Daten zu nutzen. In einem zweiten Schritt soll untersucht werden, ob es in Deutschland bereits Lösungen gibt, die genutzt oder adaptiert werden können.
Projekte in der Praxis haben Sie unter anderem schon mit der Polizei Hamburg realisiert. Steht in diese Richtung demnächst wieder etwas an?
Tatsächlich hatten wir in einem großen Projektantrag eine Zusammenarbeit konzipiert, bei der wir uns mit dem Ausfall von Cloud-Providern befassen wollten. Für die Förderung stehen aber derzeit keine Mittel zur Verfügung. Die Kontakte sind aber weiterhin gut und wenn sich die Gelegenheit ergibt, wird es wieder Projekte mit der Polizei Hamburg geben. Als Mitglied im Advisory Board der Polizei-Informatik sitze ich wöchentlich mit meinen Kollegen zusammen, um neue Entwicklungen und Forschungsmöglichkeiten der Polizei-Informatik zu diskutieren.
Zu Ihren (abgeschlossenen) Projekten gehört auch eines aus dem Cyberumfeld des Hamburger Hafens.
Das Projekt entwickelte sich aus meinen langjährigen Untersuchungen zur Manipulierbarkeit der elektronischen Navigationssysteme von Schiffen. Hier konnten wir auf verheerende Lücken aufmerksam machen, die mittlerweile geschlossen wurden. Ein nachvollziehbarer Schritt war es dann, die Sicherheit im Hafen zu untersuchen. Das Projekt wurde auf meine Initiative initiiert und zusammen mit den Partnern der Hamburger Hafen und Logistik AG, der DAKOSY Datenkommunikationssystem AG und der Universität Hamburg konzipiert und realisiert. Ich habe beispielsweise mit einem Studenten ganz konkret den Datenverkehr einer Containerbrücke analysiert und das Potenzial für eine Anomalieerkennung abgeschätzt. Durch meinen Wechsel nach Stralsund war ich im späteren Verlauf des Projektes nur noch beratend tätig.
Was macht für Sie den Standort Stralsund aus?
Wir legen als Fachhochschule Wert darauf, dass die Studierenden auf ihr Berufsleben optimal vorbereitet werden. Unsere engen Kooperationen mit den lokalen aber auch mit überregionalen Unternehmen legen dafür die Basis. Die Studierenden sammeln bereits frühzeitig Erfahrungen in Unternehmen. Das obligatorische Praktikum unterstützt dieses Bestreben und wird von den Studierenden sehr geschätzt. Mit kleinen Lerngruppen und hervorragend ausgestatteten Laboren sehen wir uns als Lernbegleiter bis zum Studienabschluss. In den Gremien und den mit der Hochschule verbundenen Vereinen arbeiten Studierende und Mitarbeitende Hand in Hand. Hinzu kommt das einmalige räumliche Umfeld, das studieren dort ermöglicht, wo andere Urlaub machen. Mit unserer Studentenwohnungen auf dem Campus direkt am Meer bieten wir auch abseits des Studiums große Lebensqualität.
Über Prof. Wilfried Honekamp
Prof. Dr. Wilfried Honekamp studierte Informatik an der Universität der Bundeswehr München sowie Defence Simulation and Modelling (MSc) am Royal Military College of Science in Shrivenham, Großbritannien. Nach seiner Promotion war er als Lehrbeauftragter zu Themen wie Intelligente Systeme an der Hochschule Bremen tätig. 2010 wechselte er als Professor für Softwaretechnik und Programmierung an die Hochschule Zittau/Görlitz und übernahm 2010 die Professur für Softwaretechnik und Programmierung an der Hochschule Zittau/Görlitz. 2014 wechselte er auf die Professur für Angewandte Informatik an die Hochschule in der Akademie der Polizei Hamburg. 2020 übernahm er die Professur für Cloud-Computing und DevOps an der Hochschule Stralsund.
Wenn du mehr aus dem Karrierenetzwerk Cyber Security erfahren möchtest, folge diesem Link!