Hallo Herr Priester! Wenn moderne Unternehmen eines nicht brauchen, dann sind es qualifizierte Hacker, die in immer besser geschützte Systeme einbrechen. Am Lernlabor Cybersicherheit aber bilden Sie genau solche Leute aus.

Wir sollten wissen, vor wem wir uns schützen müssen und wie Hacker angreifen. Nur wenn sie sich mit Denkmodellen, Herangehensweisen und Angriffstechniken von kriminellen Hackern vertraut machen, können Unternehmen ihre Sicherheitsmaßnahmen verbessern. Außerdem sind »Hacker-Kompetenzen« nur ein Teil einer umfassenden Schulung, die wir anbieten.

Bisweilen hat man das Gefühl, dass sich das Hacken sogar zu einem »Breitensport« entwickeln könnte.

Auf der diesjährigen CeBIT hatten wir ein kleines Hacking-Labor eingerichtet. Es ging darum eine Webseite zu knacken und unterschiedliche Schwierigkeitsstufen zu absolvieren. Der Stand war die ganze Zeit besetzt mit Menschen, die sich – größtenteils erfolgreich – am Hacking versucht haben. Das Problem liegt an anderer Stelle: Es beginnt mit Menschen, die kriminelle Energie ausbilden und diese mit dem Wissen um Schwachstellen von IT-Systemen verbinden.

Hier setzt das Lernlabor Cybersicherheit an, das Sie koordinieren und mitbetreuen.

Bei der Gesamtausbildung im Lernlabor geht es um die Vermittlung von drei zentralen Gesichtspunkten: Der erste Aspekt ist das Verhindern von Angriffen und das Bauen von Sicherheitsarchitekturen. Die Teilnehmer lernen also, ihrem Unternehmen möglichst viel Sicherheit zu verschaffen. Und das auf unterschiedlichen Ebenen. Bei der Datensicherheit ebenso wie beispielsweise bei der Sicherheit von Maschinenanlagen, die über Software gesteuert werden. Der zweite Aspekt ist die Detektion, also die Kompetenz, Angriffe oder Bedrohungslagen zu identifizieren. Und drittens geht es darum, wie ich im Falle eines Angriffs reagiere, um möglichen Schaden effektiv zu vermeiden.

Den Startschuss für das Lernlabor Cybersicherheit in Berlin-Brandenburg gaben: (v.l.n.r.): Prof. Klaus Semlinger, Präsident der Hochschule für Technik und Wirtschaft Berlin, Prof. Dr. Reimund Neugebauer, Präsident der Fraunhofer-Gesellschaft, Staatssekretär Thomas Rachel, Prof. Burghilde Wieneke-Toutaoui, Präsidentin der Technischen Hochschule Brandenburg und Prof. Ina Schieferdecker, Institutsleiterin des Fraunhofer FOKUS. Bild: Fraunhofer FOKUS | Tim Maelsa

Das Lernlabor Cybersicherheit ist kein einzelnes Schulungszentrum, sondern ein Angebot von verschiedensten Fraunhofer-Instituten und Hochschulen mit mittlerweile mehr als einem halben Dutzend einzelnen Lernlaboratorien, die über Deutschland verteilt sind.

Derzeit können wir Schulungen in Berlin, Bonn, Brandenburg, Darmstadt, Garching bei München, Görlitz, Ilmenau, Karlsruhe, Lemgo, Mittweida und Nürnberg anbieten. Anfang des Jahres wurde beispielsweise das Lernlabor in Weiden in der Oberpfalz eröffnet, im Mai haben wir das Lernlabor »Hochsicherheit und Emergency Response« auf dem Campus Sankt Augustin bei Bonn eingeweiht und im Juni das Lernlabor in Berlin. Im September eröffnen wir dann das Labor in Mittweida. Allerdings wollen wir deutschlandweit nicht einfach überall identischen Labore aufbauen, um damit ein gutes Konzept lediglich zu vervielfältigen. Vielmehr setzen wir lokale Schwerpunkte, so dass wir bestimmte Anwendungsfelder und damit auch bestimmte Zielgruppen adressieren können. In Weiden beispielsweise arbeiten wir mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC zusammen. Hier sind wir stark fokussiert auf das Thema eingebettete Systeme, Mobile Security und IOT-Anwendungen. In Großraum Berlin mit dem Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS steht das Thema Softwarequalität und Produktzertifizierung im Vordergrund. Am Standort des Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Institutsteil Systemtechnik Ilmenau haben wir eine Kooperation mit der Hochschule Görlitz. Dort geht es um kritische Infrastrukturen mit dem Schwerpunkt auf Energie- und Wasser. Bei unserer Kooperation mit dem Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt zusammen mit der Hochschule Mittweida steht das Thema Internetsicherheit und IT-Forensik im Vordergrund. Am Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung  IOSB mit den Standorten Karlsruhe und Lemgo arbeiten wir mit der Hochschule Ostwestfalen Lippe zusammen. Hier steht ein Labor zum Thema industrielle Produktion und Industrie 4.0. Und das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE arbeitet gemeinsam mit der Hochschule Bonn-Rhein-Sieg am Thema Hochsicherheit und Emergency Response. Koordiniert werden die einzelnen Labore von der Fraunhofer Academy, die als eine Art Plattform agiert. Hier erhalten Interessierte auch am schnellsten einen Überblick über die Angebote.

Ein wesentlicher Bestandteil der Forschungsarbeit in Sankt Augustin und Bonn ist die Automatisierung der Schadsoftware-Analyse - etwa mit dem Codescanner, der Codeähnlichkeiten von Schadprogrammen visualisiert. Bild: Fraunhofer FKIE | Hans-Jürgen Vollrath

Die jeweils angebotenen Kurse an den einzelnen Laboren werden permanent aktualisiert und erweitert?

Natürlich. Wir entwickeln dafür spezielle Lernpfade. Dabei geht es vor allem darum, bestimmte Rollen im Unternehmen zu identifizieren, für die wir passgenaue Qualifizierungsreihen anbieten und die dann auch zu einem zertifizierten Abschluss führen sollen. Unser Ziel bis Ende 2018 sind etwa 80 einzelne Schulungs-Module, die in der Regel jeweils bis zu drei Tage dauern.

Sie adressieren mit Ihren Schulungen aber nicht ausschließlich Unternehmen?

Nein, wie schulen unterschiedliche Zielgruppen und gehen natürlich auf deren unterschiedliche Bedürfnisse ein. Bei Ermittlungsbehörden beispielsweise liegt der Schwerpunkt natürlicherweise eher auf dem Thema Detektion und Forensik. Bei Unternehmen vielleicht eher darauf, einen Krisenplan für den Fall des Falles vorzubereiten.

Wer kommt in Ihre Veranstaltungen? Eher die Programmierer? Oder Abteilungsleiter im Bereich IT oder sogar die Geschäftsführung?

Wir und vor allem die teilnehmenden Unternehmen und Institutionen wären schlecht beraten, wenn Sicherheitsüberlegungen nur auf einer einzelnen Hierarchieebene angesiedelt wären. Cybersicherheit muss ganzheitlich gesehen werden. Entsprechend breit sind unsere Schulungen, so dass wir verschiedene Ebenen je nach deren individuellen Bedarf weiterbilden können. Das beginnt bei der obersten Entscheiderebene und dem mittleren Management, die sich darüber im Klaren werden muss, wie die Bedrohungsszenarien für ihr jeweiliges Unternehmen aussehen. Führungskräfte müssen wissen, was schützenswerte Werte im Unternehmen sind, wo das Unternehmen verwundbar ist und wie Organisationsabläufe eingerichtet werden müssen, um Sicherheit zu gewährleisten. Auf der Ebene der Fachkräfte sind die Schulungen dann meist spezifischer. Für Softwareentwickler beginnen wir beispielsweise mit der Frage: Wie gestalte ich Software so, dass sie von Anfang an Anforderungen an Sicherheitsmanagement berücksichtigt? Klassische Anwender sensibilisieren wir beispielsweise für Sicherheitsfragen im Bereich Passwortschutz oder Mail-Korrespondenz.

Am Lernlabor Cybersicherheit in Weiden können sich Mitarbeiter von Unternehmen praktische sowie analytische Kompetenzen aneignen, um eigenständig das Sicherheitsniveau ihres Betriebs beurteilen zu können. Bild: Fraunhofer Academy

Laut einer Studie der Bitkom beläuft sich der in Deutschland gemeldeten Schaden durch IT-Einbrüche auf 22 Milliarden Euro jährlich. Nur die Hälfte aller Industrieunternehmen in Deutschland verfügt über einen Notfallplan im Falle eines digitalen Einbruchs. Eigentlich müssten Ihnen die Teilnehmer mit ihren Anmeldungen die »Bude« einrennen.

Ja und Nein. Natürlich sind sich Unternehmen der Bedrohungssituation bewusst. Andererseits ist vielen noch nicht klar, wo sie ansetzen sollen. Sie wissen also auch nicht genau, wen sie wie schulen lassen sollten. Wir haben in den vergangenen Monaten eine Vielzahl von Stellenanzeigen im Umfeld der IT-Sicherheit analysiert und festgestellt, dass es so etwas wie ausdifferenzierte Rollenkonzepte noch gar nicht gibt. Gesucht wird oft der breit aufgestellte Spezialist, der »was machen« soll. Er soll im Idealfall also nicht nur das gesamte Sicherheitskonzept verantworten, sondern möglichst auch selbst noch als Data-Scientist tätig sein und IT-forensische Arbeiten übernehmen.

Das heißt, eines der Hauptmankos bei der IT-Sicherheit ist im Moment vor allem die fehlende Umsetzungskompetenz?

Die Umsetzungskompetenz und das Know-how, in die richtige Qualifizierung zu investieren. Unternehmen, die beispielsweise eine Großzahl an Softwareentwicklern beschäftigen, müssen besser darüber Bescheid wissen, wie deren Security-Qualifizierungsprofile aussehen sollen. Deshalb entwickeln wir zusätzlich Empfehlungen für Qualifizierungsvorgaben.

Das Lab Cybersecurity des Fraunhofer Anwendungszentrums IOSB-INA am Standort Lemgo wurde im März 2017 offiziell eröffnet. Seitdem wird die moderne Laborinfrastruktur genutzt, um Verfahren der IT-Sicherheit im Industrieumfeld zu erforschen und zugleich Komponenten und Software für den Schutz von Produktionsanlagen zu entwickeln. Bild: Fraunhofer IOSB

Im Moment sprießen die Angebote an Sicherheitsberatungen und Sicherheitsschulungen aus dem Boden. Was sind die Besonderheiten der Lernlabore?

Bei uns stehen zwei Dinge im Vordergrund: Über die vielfältigen Forschungsaktivitäten der Fraunhofer Institute und der Hochschulen zum Bereich Cybersecurity können wir sicherstellen, dass wir auf dem aktuellsten Stand der Wissenschaft sind. Unsere Trainer und Referenten sind Forscher, das vermittelte Know-how kommt also aus erster Hand und ist hochaktuell. Und zweitens ist die die Idee der Labore mit den dahinter stehenden Konzepten für eine praktische Qualifizierung im Bereich der IT-Sicherheit meiner Ansicht nach konkurrenzlos. Ein Beispiel ist das Labor in Karlsruhe. Hier liegt der Schwerpunkt auf dem Bereich der Produktion. Die Teilnehmer arbeiten und lernen hier in einer reellen Produktionsumgebung und erhalten damit ein ausgesprochen praxisbezogenes Verständnis von Angriffen und Verteidigungsszenarien. Sie haben die Möglichkeit, sich mit der Attacke auf ein System zu identifizieren und können anhand dieser Erfahrung Sicherheitskonzepte entwickeln. Das ist eine komplett andere Erfahrung als der Besuch eines klassischen Seminars.

Bei den Laboratorien steht für Fraunhofer nicht der wirtschaftliche Erfolg im Vordergrund. Ihnen geht es vor allem um Aufklärung und den Aufbau von Kompetenzen.

Ich würde sogar einen Schritt weitergehen und von einer breiten Qualifizierung im Bereich Cybersecurity sprechen. Unsere Aufgabe ist es, Personen mit Berufserfahrung im Umfeld der Informations- und Kommunikationstechnologie grundlegend fit zu machen in Fragen der aktuellen und künftigen IT-Sicherheit.

Fraunhofer-Institute und Fachhochschulen in ganz Deutschland forschen und schulen im Lernlabor Cybersicherheit. Bild: Fraunhofer Academy

(aku)