Den Ausdruck KRITIS kennt man mittlerweile, wenn man sich auch nur grundlegend mit Cyber Sicherheit in Deutschland beschäftigt. Je mehr die Gesellschaft sich aber digitalisiert, umso mehr miteinander vernetzte Geräte benötigen Sicherheit – Auftritt PHYSEC, die daraus ein Geschäftsmodell für das Jungunternehmen entwickelt haben. Wir sprachen mit Dr. Christian Zenger, einem der Gründer von PHYSEC.
Dr. Zenger, mit welcher Ambition haben Sie PHYSEC gegründet?
Ich hatte das große Glück, an der Ruhr Uni Bochum im Bereich Cyber-Physical-Security zu promovieren. Die RUB hat über 40 Professoren für IT-Sicherheit, Datenschutz, Kryptographie sowie weitere und besitzt weltweit eine der besten Reputationen in dem Gebiet. Seit meiner Promotion arbeite ich mit den weltweit besten Hackern zusammen. So habe ich schnell erkannt, dass sich die Wissensgesellschaft durch die umfassende Digitalisierung des Alltags eine sehr große Herausforderung entwickelt. Denn es darf nicht sein, dass Geräte und Systeme – die für nicht IT-affine Menschen in erster Instanz nicht als Computer wahrgenommen werden – einfach und im großen Stil kompromittiert werden können. Um dies zu verhindern, beziehungsweise um eine fundierte Security Basis für die Wissensgesellschaft zu schaffen, haben Heiko Koepke und ich PHYSEC gegründet.
Zur Gründung kann es aber auch, weil mein Doktorvater Prof. Dr. Christof Paar, der Direktor des Max Plack Instituts für Cybersecurity, bereits ein erfahrener Gründer ist. Er sah das Potenzial der Technologie, die aus meiner Forschung entsprungen ist und hat mich immer unterstützt. Zudem konnten wir uns immer auf die Menschen der Ruhr Uni verlassen und haben Support auf allen Ebenen erfahren.
Der Clou: Die Verbindung zwischen physischen Aspekten und Cyber Security
„PHYSEC“ bedeutet sicherlich etwas wie „physical security“.
PHYSEC steht für „Physical Layer Security“. Der Begriff stammt aus der wissenschaftlichen Disziplin Cyber-Security mit physischer Sicherheit zu konvergieren oder physische Aspekte für Security- und Privacy-Anwendungen zu nutzen. Die Konvergenz beider Bereiche ist noch neu, wird aber mit Paradigmen wie Operational Technology (OT), dem Internet der Dinge, Smart City, Service Roboter, eHealth und vielen mehr immer relevanter. PHYSEC ist somit einer der wenigen Player, die Cyber, Physik sowie menschliche Aspekte im Security-Design holistisch betrachten.
Die Kunden bei PHYSEC entstammen vornehmlich den KRITIS. Stellt der holistische Ansatz dabei eine Herausforderung dar?
Die technischen Herausforderungen sind oft gewaltig. Ob Prozesse, gewachsene IT/OT, neue IoT – überall ist Handlungsbedarf. Beispielsweise stellen Cyber- und physische Assets zusammen ein erhebliches Risiko für die ganzheitliche Sicherheit dar. Jedes Asset kann separat oder gleichzeitig angegriffen werden und führt zu kompromittierten Systemen. Dennoch werden die Abteilungen für physische Sicherheit und Cybersicherheit oft immer noch als getrennte Einheiten behandelt. Wenn Sicherheitsverantwortliche in diesen Silos operieren, fehlt ihnen eine ganzheitliche Sicht auf Sicherheitsbedrohungen, die auf ihr Unternehmen abzielen. Infolgedessen treten Angriffe mit größerer Wahrscheinlichkeit auf und können zu Auswirkungen wie der Offenlegung sensibler oder geschützter Informationen, wirtschaftlichen Schäden, Verlust von Menschenleben und Unterbrechung von kritischen Funktionen führen.
Die Herausforderung, die wir aus meiner Sicht exzellent meistern, ist, die großen Giganten mit eignen CISO, CSO, ISMS, ISB und anderen Security-relevanten Rollen fundamental zu unterstützen. Aber ebenso unterstützen wir auch kleinere Versorger mit teilweise unter 50 Mitarbeitern, ohne CISO oder ISB. Zudem lernen auch wir täglich. Wir sind zwar fachlich top ausgebildet und ‚continuously moving the edge‘, aber: Anforderungen aus den Betrieben verstehen und Lösungen schaffen, die dann auch bedienbar sind, schaffen wir nur gemeinsam.
Kürzlich wurde Kritik geäußert, dass viele wesentliche Versorger noch gar nicht unter die offizielle KRITIS-Definition fallen und so wesentliche Sicherheitsvorgaben nicht umgesetzt werden. Wie sehen Sie diese Einschätzung?
Ich denke, das ändert sich nun mit der NIS2 und RCE. http://openkritis.de/ ist hierzu sehr lesenswert.
PHYSEC als Arbeitgeber: Fachliche Experimente und Mentalität
Unter dem Aspekt/der Abteilung „Research“ wird auf Ihrer Website erwähnt, dass PHYSEC eigene Experimente durchführt. Könnten Sie hiervon ein beispielhaftes skizzieren?
Ein Beispiel ist die empirische Evaluierung von LoRaWAN-Netzen für KRITIS. Wie skalieren diese? Wie resilient sind diese Systeme, egal ob sie von Hackern angegriffen wurden, Gateways vom Blitz getroffen wurden oder tausende von Geräten gleichzeitig funken. Hierfür haben wir über 15.000 LoRaWAN Systeme unter Beobachtung. Wie werden Angriffe auf Schwachstellen erkannt? Wie werden Schwachstellen behoben? Hierfür analysieren wir im Auftrag der Kunden auch Systeme, um sie dann zu verbessern. Ein anderes Beispiel ist der physische Schutz. Wie schnell kann eine physische Kompromittierung einer SPS in einem Umspannwerk erkannt werden und wie schnell können dann effektive Gegenmaßnahmen umgesetzt werden, beispielsweise Port-down?
Welche Rolle können junge Hochschulabsolvent:innen bei PHYSEC füllen?
Junge Absolventen, beziehungsweise jeder Mitarbeitende findet bei uns eine Kultur vor, die durch Unterstützung, Feedback, unserer ambitionierten Vision und dem Drang nach Impact und Wandel geprägt ist. Wer darauf steht, kann in jedem Bereich starten – im Idealfall schaffen wir sogar neue Stellen für Talente.
Mehr Infos zu PHYSEC gibt’s auf deren Website und mehr Beiträge rund um spannende Start-ups findest du hier!