In der Dezemberausgabe von Suisse Digital mit dem Fokusthema Cybersicherheit ist ein Interview mit Marc Ruef erschienen. Darin spricht er über seine Erfahrungen, seine Learnings aus den vergangenen Jahren und sein Wirken als Dozent. Im Artikel blickt Ruef zudem in die Zukunft und identifiziert Trends, die sich in der Security-Welt weiterhin manifestieren und verstärken werden. Abschliessend betont Ruef, dass der digitale Wandel Themen wie Komplexität und finanzielle Optimierung weiterhin in den Fokus rücken wird – Faktoren, die jedoch dringend ein Umdenken in Bezug auf Sicherheitsthemen erfordern. Denn ein digitaler Wandel ohne Investition in Cybersicherheit wird weder der Computerindustrie, noch der Gesellschaft zugutekommen.

Herr Ruef, Sie sind in Sachen Cybersecurity ein alter Hase. Welches sind für Sie die markantesten Veränderungen, die Sie seit den 1990er Jahren in diesem Bereich erlebt haben?

Als Kind durfte ich den Computer meines Vaters nutzen. Zeitlich begrenzt natürlich. Ich habe mich selbstverständlich nicht darangehalten, wurde dann aber irgendwann nervös, dass man das an den Zeitangaben der veränderten Dateien erkennen könnte. Also ging ich zur Bücherei, um ein Fachbuch zu finden, das mir erklärt, wie ich Zeitstempel auf dem Dateisystem manipulieren könnte. Dabei bin ich über ein Buch mit dem Titel Computerviren gestolpert und war plötzlich vom Thema Computersicherheit fasziniert. Seitdem hat sich die Hacking-Subkultur stark verändert. Früher war alles familiärer. Man kannte sich, tauschte per Email oder auf IRC seine Ideen aus. Der Antrieb war Neugierde und Anerkennung durch besondere Leistungen. Heute ist alles ein bisschen professioneller und vor allem kommerzieller. Das ist in erster Linie der breiten Akzeptanz von Computersystemen und dem Internet geschuldet, die zum gesellschaftlichen und wirtschaftlichen Wandel im Informationszeitalter beigetragen haben. Manchmal vermisse ich die guten alten Zeiten, in denen die Dinge simpler waren. Es fühlte sich eher an wie ein Spiel. Heute ist es vielerorts zu einem knallharten Business geworden. Mit all seinen Vor- und Nachteilen.

Sie haben mit computec.ch das bekannteste deutschsprachige Portal für Computersicherheit gegründet. Wie hat sich die Rolle von solchen Plattformen verändert?

Nach über 20 Jahren habe ich das Projekt schweren Herzens eingestellt und die Daten archiviert. Webplattformen sind in der schnelllebigen Gegenwart von Social Media und Messenger-Diensten in der breiten Öffentlichkeit aus der Zeit gefallen. Das Darknet kann man als Abbild des normalen Internets verstehen. Dort werden nach wie vor Plattformen, wie ich sie aufgebaut habe, betrieben. Vieles dort wirkt anachronistisch und erinnert dadurch an vergangene Tage. Manche Dinge ändern sich vielleicht also doch nie…

Sie haben im Laufe Ihrer Karriere zahlreiche Bücher und Fachartikel veröffentlicht. Welches Thema in der Cybersecurity ist aktuell Ihres Erachtens unterbeleuchtet – und warum verdient es mehr Aufmerksamkeit?

Ich betätige mich nach wie vor sehr aktiv in der Grundlagenforschung. Das Entdecken und Dokumentieren von Schwachstellen ist ein Grundpfeiler moderner Cybersicherheit. Doch gilt dieses Thema – meines Erachtens unberechtigterweise – als langweilig und staubig. Hier gäbe es noch viel zu tun und alle anderen Bereiche könnten davon nachhaltig profitieren. Neu und sowohl technisch als auch gesellschaftlich spannend ist natürlich die Sicherheit von Künstlicher Intelligenz. Hier tun sich komplett neue Forschungsfelder auf. Zwar kann auch hier auf altbewährte Ansätze zurückgegriffen werden (z.B. Injection-Angriffe). Jedoch müssen diese neu erdacht und nicht selten im gesellschaftlichen Kontext durchgesetzt werden. Diese interdisziplinäre Betrachtungsweise eröffnet einmal mehr eine neue Welt.

In der von Ihnen mitbegründeten Firma scip AG waren Sie lange für den Bereich Offensive Security Testing zuständig. Welche zentralen Learnings konnten Sie aus dieser Zeit / Tätigkeit ziehen?

Ganz viel: Menschen unterschätzen gerne Risiken. Nur weil ein Angriff kompliziert erscheint, heisst es nicht, dass ihn nicht jemand anstreben wird. Probleme werden selten an der Wurzel gepackt. Und viele Manager denken in Quartalszahlen, wodurch langfristige Investitionen – und dadurch Systematik und Nachhaltigkeit – verhindert werden. Das sind alles Dinge, denen eine negative Konnotation anhaftet. Aber es gibt auch Positives, denn Kreativität, Beharrlichkeit und Weitsicht werden meist belohnt. Nur weil jemand behauptet, dass etwas nicht möglich ist, heisst es noch lange nicht, dass man es nicht doch möglich machen kann. Das sind die Erfolge, auf die man hinarbeiten sollte.

Heute leiten Sie bei scip die Forschungsabteilung, die sich auf unorthodoxe Projekte wie Car Hacking und Medizinalgeräte spezialisiert hat. Was fasziniert Sie an solchen Projekten und welche Herausforderungen stellen sich dabei?

Im klassischen Bereich des Security-Testings hat man mit alltäglichen Technologien in handelsüblichem Kontext zu tun: Webapplikationen, Netzwerke, Firewalls, Antiviren-Lösungen, etc. Im Forschungsbereich setzen wir uns mit neuen Problemen auseinander, die so noch nicht bewältigt wurden. Jedes Problem ist eine gänzlich neue Herausforderung, die man nicht mit bewährten und standardisierten Mitteln angehen kann.

Es braucht viel Mut und Kreativität, um sich diesen unbekannten Rätseln stellen zu können. Denn manchmal muss man auch eine Niederlage einstecken können. Doch auch aus einem Scheitern kann man wertvolle Erfahrungen für die Zukunft gewinnen.

Sie haben in Ihrer Forschung immer wieder neue Schwachstellen aufgedeckt. Gibt es einen speziellen Moment oder eine Entdeckung, die für Sie besonders unerwartet war?

Das ist eine sehr spannende Frage. Grundsätzlich komme ich zum Schluss, dass es nicht die technischen Herausforderungen an sich waren, die besonders fasziniert haben, sondern jeweils der Kontext. Computersysteme beeinflussen Menschen in ihrem Alltag und das ist es, was eine Schwachstelle besonders spannend machen kann. Im Deutschen benutzen wir das Wort Sicherheit für verschiedene Aspekte. Doch im Englischen wird konsequent zwischen Security (virtuelle Sicherheit) und Safety (persönliche Unversehrtheit) unterschieden. Letztgenanntes ist mir besonders wichtig, da es das Ziel unserer Arbeit sein muss, dass Menschen nicht zu Schaden kommen. In diesem Zusammenhang naheliegend sind entsprechend Schwachstellen im Medizinalbereich. Aber auch Assistenzssysteme von Fahrzeugen oder Sensorik im Industriebreich gehören dazu. Alles IT-Mechanismen, die in unserem Alltag eher unbewusst als solche genutzt werden.

Sie unterrichten an verschiedenen Universitäten und Fachhochschulen. Wie haben sich die Erwartungen und das Wissen der Studierenden im Bereich Cybersecurity in den letzten Jahren verändert?

Spezialwissen ist viel einfacher zugänglich geworden. Es gibt unzählige Bücher, Webseiten und Youtube-Videos, die einzelne Themen im Detail besprechen. Nicht selten auf einem Niveau, für das man früher zig Jahre hätte investieren müssen, um sich dieses überhaupt zugänglich machen zu können. Entsprechend kann es vorkommen, dass Studenten technisch schon sehr gut vorbereitet sind und dementsprechend noch mehr wissen wollen. Das Verständnis für die eingesetzten Technologien ist unabdingbar, um sich sattelfest bewegen zu können. Die Schönheit entfaltet sich aber erst mit dem Mitbringen von Erfahrung, bei der man das technische Wissen mit dem effektiven Einsatz der Produkte in Einklang bringt. Aus den Büchern lernt man oft die starren Grundlagen. Das können die Studenten auch ohne mich machen. In meinen Vorlesungen versuche ich stattdessen für das Thema zu begeistern, indem ich spannende Geschichten aus meinem Berufsalltag erzähle und so den faden Grundlagen Leben einhauchen kann.

Wie sieht für Sie die Zukunft der Cybersecurity aus, und welche Trends erwarten Sie in den nächsten Jahren?

Um es kurz zu sagen: Höher, schneller, weiter. Die etablierten Trends werden sich fortsetzen. Computersysteme werden günstiger und effizienter, sie werden auch weiterhin ein Mehr an Wichtigkeit in unserem Alltag gewinnen. Dabei wird ihre Komplexität massgeblich zur Fragilität unserer Gesellschaft beitragen. Die digitale Transformation darf ohne Rücksicht auf Cybersecurity nicht angestrebt werden, wird aber aus Gründen der wirtschaftlichen Optimierung gerne vernachlässigt. Die Anzahl der Zwischenfälle, bei denen viele Menschen empfindlich betroffen sind, wird die kommenden Jahre unweigerlich und stetig zunehmen. Ob und inwiefern irgendwann eine Umkehr zur Verbesserung stattfindet, kann ich nicht voraussagen. Zuerst muss ein grundlegendes Umdenken in unserer Gesellschaft allgemein und in der Computerindustrie im speziellen stattfinden. Wir sind alle Teil davon.

Links

• https://issuu.com/smart_media/docs/2411_fuw_nir_cybersecurity?fr=xKAE9_zU1NQ

Tags