SICHERHEIT - Athene Center
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SICHERHEIT
für
DIGITALE SOUVERÄNITÄT
Agil Vorausschauend Forschungsstark
„Wir sind in der Lage, über Nacht „Aus Darmstadt Richtung „Im Dienste der digitalen
auf Cyberangriffe zu reagieren.“ Zukunft“ – Schritt halten mit Souveränität“ – Zehn ausgewählte
Im Gespräch mit Michael Waidner, technologischem und Forschungsbereiche für mehr
CEO von ATHENE. gesellschaftlichem Wandel. Cybersicherheit.
INTERVIEW
„Wir sind in der Lage,
über Nacht auf Cyber-
angriffe zu reagieren.“
Michael Waidner ist der Direktor des Nationalen Forschungszentrums
für angewandte Cybersicherheit ATHENE. Darüber hinaus ist er
Professor für Informatik an der Technischen Universität Darmstadt
und Institutsleiter des Fraunhofer-Instituts für Sichere Informations-
technologie SIT in Darmstadt. Der Wissenschaftler setzt sich seit
vielen Jahren für eine stärkere Verknüpfung der Forschung mit
praktischer Anwendung und für digitale Souveränität auf nationaler
und europäischer Ebene ein.
gen, in einer Organisation. Wir haben Projekte,
innerhalb derer Mitarbeiterinnen und Mitarbeiter
aus beiden Bereichen intensiv zusammenarbeiten.
Wir haben mit ATHENE eine in der Forschung
einzigartige Organisations- und Förderstruktur auf-
gebaut. Das hat es so bisher nicht gegeben.
Welche Vorteile ergeben sich daraus?
Das Interessante daran ist die gegenseitige Be-
fruchtung. So widmet sich die TU Darmstadt
überwiegend der Grundlagenforschung, während
bei Fraunhofer mehr die Forschung mit unmittel-
barem Praxisbezug und mit direkten Kontakten in
Wirtschaft, Gesellschaft und Politik im Vorder-
grund steht. Mit dieser Struktur stellen wir einen
direkten Technologietransfer und die schnellere
Anwendung innovativer Lösungen sicher.
Vielleicht auch mit dem Vorteil, dass man
schneller auf veränderte Bedrohungslagen reagie-
ren kann?
Ja. Wir können so deutlich schneller und agiler
reagieren als in einer klassischen, auf Projektför-
err Professor Waidner, ATHENE nimmt für sich in derung ausgerichteten Forschungsstruktur. Wenn
Anspruch, eine in Deutschland bislang einzigarti- sich irgendwo ein Sicherheitsleck auftut, muss
ge organisatorische Struktur anzubieten. Könnten man normalerweise erst einmal einen Antrag
Sie das näher erläutern? stellen. Dann bekommt man vielleicht nach sechs,
Wir kombinieren das Beste aus den beiden Welten neun oder zwölf Monaten einen Bescheid. Das
des deutschen Wissenschaftssystems, nämlich Sicherheitsleck kann aber sofort für Angriffe aus-
Hochschulen und außeruniversitäre Einrichtun- genutzt werden, was nach unserer Erfahrung in
2 ATHENE SICHERHEIT FÜR DIGITALE SOUVERÄNITÄT
den meisten Fällen auch geschieht. Das heißt Welchen Beitrag leistet ATHENE, um das Bewusst-
konkret, dass man den Cyberkriminellen ein sein der Öffentlichkeit für Probleme der Cyber-
Jahr Zeit gibt, bevor man ihnen die Tür vor der sicherheit zu stärken?
Nase zuschlägt. Wir sind dagegen in der Lage, Als Spitzenforschungszentrum sind wir ein
praktisch über Nacht zu reagieren. Das haben wir wichtiger Multiplikator. Wir sprechen mit ande-
etwa Ende 2019 getan, als die Universität Gießen ren Expertinnen und Experten, mit den Medien,
Ziel einer Cyberattacke war, die die gesamte IT bieten Fachveranstaltungen und Seminare an,
dort lahmgelegt hat. Oder im Falle der Corona- richten wissenschaftliche Sicherheitskonferenzen
App, wo wir auf Bitten der Bundesregierung SAP aus und veröffentlichen selbst zahlreiche Publi-
und Telekom dabei geholfen haben, die Sicherheit kationen und Artikel. Wir unterstützen insbeson-
der App parallel zur Entwicklung zu überprüfen, dere auch Start-ups dabei, innovative Lösungen
sodass unsere Rückmeldungen bei der Einführung in den Markt zu bringen oder arbeiten strategisch
der App bereits berücksichtigt waren. mit Unternehmen zusammen. Wir stoßen auch
Initiativen an, bei denen Expertinnen und Exper-
Wie stellen Sie denn sicher, dass Sie im Ernstfall ten sich austauschen können, wie etwa unsere
angemessen schnell reagieren können? Reihe „Women in Cybersecurity“, die seit Herbst
Wir haben ein festes Budget, von dem wir einen 2020 läuft.
„Die digitale
gewissen Prozentsatz als sogenannte Agilitäts- Transforma-
reserve bereitstellen. Wenn es nötig ist, können Gibt es da denn Nachholbedarf? tion braucht
wir in einem internen Abstimmungsprozess sehr Es gibt einen massiven Nachholbedarf! Frauen eine solide
schnell entscheiden, ob und wo wir tätig werden. sind in der Cybersecurity weltweit dramatisch Sicherheitsin-
Zudem sind wir mit unseren rund 550 Mitarbeite- unterrepräsentiert. Dabei weisen Studien immer frastruktur.“
rinnen und Mitarbeitern in der Lage, blitzschnell wieder darauf hin, dass sich diese Schieflage
entsprechend qualifizierte Leute bereitzustellen. negativ auf die Belastbarkeit von Forschungs-
Nirgendwo arbeiten in Europa mehr Forscherin- ergebnissen auswirkt, ganz besonders, wenn es
nen und Forscher gemeinsam an gesellschaftlich, um Sicherheitsfragen geht. Trotzdem entscheiden
politisch und wirtschaftlich relevanten Frage- sich nur wenige Frauen für eine technologieorien-
stellungen der Cybersicherheit und des Privat- tierte wissenschaftliche Laufbahn. Wir hoffen,
sphärenschutzes. dass wir auch hier zu konstruktiver Veränderung
beitragen können.
Sie sprachen von direkten Schnittstellen zu
Wirtschaft und Politik. Wie sehen die genau aus? Handlungsbedarf besteht Ihnen zufolge auch im
Wir haben einen Grad an Bekanntheit erreicht, Bereich der digitalen Souveränität. Was verstehen
aufgrund dessen man bei Fragen der Cybersicher- Sie darunter?
heit praktisch automatisch auf uns zukommt. Die Beurteilungskompetenz für sicherheitskri-
Wir bieten zudem eine ganze Reihe von Formaten tische Fragen muss in unseren eigenen Händen
und Veranstaltungen für Firmen und politische liegen. Und mit „wir“ meine ich uns als Land
Entscheidungsträger an, um über unsere Arbeit zu und als Europäische Union. Wir brauchen
informieren. Es kommt auch vor, dass wir durch eigene Testlabore und Zertifizierungsstellen, wir
unsere Forschungsarbeit auf sicherheitsrelevante müssen die Kompetenz haben, große Systeme
Dinge aufmerksam werden und von uns aus an zu integrieren. Man hört immer: „Der Zug ist
die betroffenen Firmen oder Institutionen heran- abgefahren, das Silicon Valley liegt uneinholbar
treten. vorn.“ Das ist Unsinn! Technische Innovation
findet in einem Fünfjahresrhythmus statt, und
Und wie ist die Resonanz darauf? es gibt eine ganze Reihe von Bereichen, in denen
Zum überwiegenden Teil sehr positiv. Wir haben wir viel erreichen können: Sicherheit in der
uns im Laufe der Jahre eine solide Vertrauens- Fertigungstechnik, Verschlüsselungstechnologie,
basis geschaffen. Das ist gerade im Sicherheits- Ende-zu-Ende-Sicherheit, Datenschutz und
bereich von allergrößter Bedeutung. Wir erleben viele weitere. Tatsächlich sind wir in Deutschland
zudem derzeit einen immensen Digitalisierungs- bereits weltweit führend auf vielen Gebieten
schub mit neuen Formen der Zusammenarbeit, der Forschung und der Herstellung. Das Ent-
Breitbandinternet und 5G, um nur einige Stich- scheidende ist, dass wir am Ball bleiben und auf
worte zu nennen. Wenn die digitale Transforma- diesem Weg selbstbewusst weiter voranschrei-
tion erfolgreich sein soll, brauchen wir eine solide ten. Selbstverständlich brauchen wir aber auch
Sicherheitsinfrastruktur. Für Deutschland wie vertrauenswürdige Partner. Souveränität heißt
auch die EU stellt eine solche Basis einen nicht ja nicht, dass man alles alleine macht, sondern
hoch genug einzuschätzenden Wettbewerbsvor- dass man es autonom und informiert steuern
teil dar. Den allermeisten Akteuren ist das sehr und entscheiden kann. x
bewusst, und entsprechend handeln sie auch.
SICHERHEIT FÜR DIGITALE SOUVERÄNITÄT ATHENE 3
ATHENE – Zentrum eines
einzigartigen Ökosystems
Das Ökosystem ergibt sich aus dem Zusammenspiel zwischen ATHENE und
Akteuren am Standort Darmstadt, der Rhein-Main-Region, im Bund und inter-
national in Bezug auf Unternehmen, wissenschaftliche Organisationen, der
Bürgerschaft und der öffentlichen Verwaltung. Die Bedingungen am Standort
sind hierfür hervorragend. Das enge Zusammenwirken von Unternehmen und
Wissenschaft in Netzwerken und Clustern unterstützt die Verwertung von
Forschungs- und Entwicklungsergebnissen.
Darmstadt
41.000
1. Platz
Studierende
Zukunftsindex
in Darmstadt
50% des welt- Wissenschaftsstadt
weiten Umsatzes Darmstadt
der 100 größten
europäischen
Softwareanbieter
in der Region
Europäisches Tor
zum Weltraum
Europas größtes Zentrum für
Digitalstadt angewandte Cybersicherheit
Darmstadt
Teil der Metropolregion
Frankfurt/Rhein-Main
Gründerregion mit
aktiver Start-up-Szene
Internationaler
Verkehrsknoten
Eine der wirtschaftlich
stärksten Regionen in
Europa
Internationale
Kooperationen mit
Forschungs-
Spitzenforschung in
einrichtungen
Schlüsseltechnologien
Mehr zu ATHENE:
www.athene-center.de
Aus Darmstadt
Richtung Zukunft
ATHENE, das größte Forschungszentrum für Cybersicherheit und
Privatsphärenschutz in Europa, setzt sich aktiv für die digitalisierte
Welt von morgen und den Wettbewerbsvorteil Cybersicherheit ein.
eutschland, Europa und die ganze Welt kämpfen leisten, um akut auftretenden Problemen zu
gegen das Coronavirus SARS-CoV-2, die wirt- begegnen? Dabei geht uns auch darum, dass Er-
schaftlichen und sozialen Folgen der globalen gebnisse der exzellenzgeleiteten Forschung und
Pandemie sind noch lange nicht abzusehen. Die Entwicklung in ATHENE von der Wissenschaft
Krise hat gezeigt, wie wichtig es ist, auf Ernstfälle aufgegriffen werden. Gemeinsam tragen wir dazu
vorbereitet zu sein, und dass jede und jeder Ein- bei, die digitale Welt von morgen sicherer zu
zelne große Verantwortung für die Allgemeinheit machen.
trägt. Erkenntnisse, die sich eins zu eins auf die Wie gut dieses neue Modell funktioniert,
digitale Welt übertragen lassen. Digitale Technik zeigt sich darin, dass wir nicht nur präventiv tätig
bestimmt unseren Alltag und unsere Kommu- sind, sondern auch agil auf aktuelle Bedrohungs-
nikation. Sie ist Grundlage der Versorgung mit lagen reagieren können. Unser Handeln im öf-
Verbrauchsgütern aller Art, mit Nahrungsmitteln fentlichen Interesse zeigt sich überall da, wo wir
und Energie. Ein digitaler Shutdown hätte sehr mit unserer Expertise unterstützend eingreifen
weitreichende Folgen in allen Lebensbereichen. können. Etwa wenn Kliniken oder andere Organi-
Angesichts der Weiterentwicklung von Techno- sationen angegriffen wurden und vorübergehend
logien und ihrer steigenden Anwendung wird ihren Betrieb einstellen mussten. In solchen
deutlich, dass dem Thema Cybersicherheit künf- Fällen ist schnelles, agiles Eingreifen gefordert.
tig eine noch weit größere Bedeutung zukommt. Auch mit unseren Sicherheitsanalysen, die wir
Bei den Bemühungen für mehr digitale Si- parallel zur Entwicklung der Corona-Warn-App
cherheit sind alle gefordert, um Schritt zu halten durchgeführt haben, konnten wir zeigen, wie die
mit dem Tempo der gesellschaftlichen und techni- Öffentlichkeit von unserer Arbeit profitiert.
schen Umbrüche. Wir als Wissenschaftler*innen Die Beispiele verdeutlichen in besonderer
auf dem Gebiet der Cybersicherheit nehmen Weise die gesellschaftliche Relevanz von Fragen
diese Herausforderung als Notwendigkeit wahr, der Cybersicherheit. Diese ist jedoch nicht nur
unsere Arbeit stark anwendungsorientiert und auf für kritische Abläufe im Alltag von essentieller
aktuelle Bedarfe hin auszurichten – zum Nutzen Bedeutung, sondern auch für die Wettbewerbs-
von Zivilgesellschaft, Wirtschaft und öffentlicher fähigkeit von Unternehmen. ATHENE steht
Verwaltung. regelmäßig in engem Austausch mit Vertretern
Mit der Förderung von ATHENE setzen das unterschiedlichster Gesellschaftsgruppen, um
Bundesforschungsministerium (BMBF) und das sie an den Ergebnissen unserer Forschung und
hessische Wissenschaftsministerium (HMWK) ein Entwicklung teilhaben zu lassen. So unterstützen
neues Fördermodell um, das Modellcharakter wir sie auf ihrem Kurs Richtung Digitalisierung.
hat. ATHENE ist eine Einrichtung der Fraunhofer- In verschiedenen Forschungsfeldern der Cyber-
Gesellschaft, an der mehr als 550 Wissenschaft- sicherheit werden Fragestellungen behandelt, die
ler*innen der beiden Fraunhofer-Institute Fraun- für die digitale Transformation im Hinblick auf
hofer SIT und Fraunhofer IGD, der Technischen das Zusammenleben in unserer Gesellschaft, die
Universität Darmstadt und der Hochschule Darm- Zukunft der Arbeit, Wirtschaft, Gesundheit, Mo-
stadt tätig sind und an vielfältigen Projekten bilität und viele weitere Lebensbereiche relevant
mitwirken. Darüber hinaus kooperiert ATHENE sind – vom Schutz der Privatsphäre hin zu einem
mit weiteren Spitzenforschern auf der ganzen sicheren Internet als Rückgrat der digitalen Trans-
Welt. Drei prinzipielle Gedanken und Fragestel- formation. Auf den nachfolgenden Seiten wird
lungen sind für unsere Arbeit maßgeblich: Wie dies anhand von ausgewählten Themen illustriert.
dient unsere Forschung der Gesellschaft, der Die fortschreitende Digitalisierung ist un-
Wirtschaft und dem Staat? Wie kann sie konkret umkehrbar. Sie sicherer zu machen, ist die Ver-
Markus Schneider verwertet werden? Welche Beiträge können wir antwortung von uns allen. x
SICHERHEIT FÜR DIGITALE SOUVERÄNITÄT ATHENE 5Im Dienst der digitalen
Selbstbestimmung
Es ist die zentrale Mission von ATHENE, Was uns alle eint, ist das Bewusstsein für
im Zuge der digitalen Transformation zur die gesellschaftliche Tragweite unserer
Verbesserung von Cybersicherheit und Arbeit. Denn weltweit auf vielen Gebieten
Privatsphärenschutz in allen Lebensberei- der Forschung und Entwicklung rund
chen beizutragen. Mit dem Fokus auf an- um Cybersicherheit führend zu sein, ist
wendungsorientierte Forschung arbeiten das eine. Das andere ist, Ergebnisse
wir an neuen Erkenntnissen und Ergebnis- und Know-how zu vermitteln, damit mehr
sen wie neuen Technologien, Methoden Menschen die Kompetenz erlangen,
oder Konzepten. Dabei decken wir eine Informationstechnologie selbstbestimmt
große thematische Bandbreite ab, wie die zu nutzen. Beides sind wichtige Schritte
nachfolgenden Ausführungen zeigen. in Richtung digitaler Souveränität und
informationeller Selbstbestimmung, deren
Voraussetzung das Vertrauen der Bür-
ger*innen in die Technologien und Anwen-
dungen der digitalen Transformation ist.
6 ATHENE SICHERHEIT FÜR DIGITALE SOUVERÄNITÄTErkenntnisse und Ergebnisse wurden „Mit unserer Arbeit machen
übernommen, sodass unsere Arbeit wir das Internet als Infra-
schließlich dazu beitragen konnte, das struktur sicherer.“
Internet substanziell sicherer zu machen.
Zur Unterstützung von Netzbetrei-
HAYA SHULMAN bern haben wir unter anderem einen
DIGITALE WEGELAGERER automatisierten Dienst entwickelt, der
Netze auf Verwundbarkeiten im Domain Ausprägung des maschinellen Lernens.
Spionageangriff, versuchter Datendieb- Name System hin überprüft, sowie ein Während gefälschte Bilder und Texte
stahl oder Zufall? Wenn im Internet das Verfahren, mit dessen Hilfe verhindert im Zeitalter von Fake News an der
Routing manipuliert wird, also der Weg, werden kann, dass sich die Kontrollen Tagesordnung sind, galten Videos noch
auf dem Informationen vom Absender der Zertifizierungsstellen durch Mani- bis vor einigen Jahren als vertrauens-
zum Empfänger transportiert werden, pulationen am Domain Name System würdig. Inzwischen aber ist Misstrauen
kann es passieren, was bereits 2019 austricksen lassen. angebracht: Ende 2019 warnte die
geschah: Damals wurden für kurze Zeit Die größte Herausforderung in der Bundesregierung vor potenzieller
große Teile des europäischen Mobil- Forschung rund um die Sicherheit des Manipulation der öffentlichen Meinung
funkverkehrs auf einmal über China Internets besteht allerdings in dessen und vor politischer Einflussnahme
umgeleitet. Und im letzten Frühjahr Größe, Heterogenität und Komplexität. durch Deepfakes. Zu einer ähnlichen
führte plötzlich der Datenverkehr Denn neue Sicherheitslösungen müssen Einschätzung kamen einige Bundes-
einflussreicher US-Tech-Unternehmen Erwartungen unterschiedlicher Art staaten sowie die Plattformen TikTok,
eine Stunde lang über Russland. Jedes gerecht werden: Zum einen gilt es, mit YouTube, Twitter und Facebook in den
Jahr werden weltweit Tausende solcher einem technisch schlüssigen Konzept zu USA: Sie verboten die Verbreitung ge-
Hijacks gemeldet, also widerrechtliche überzeugen, zum anderen sollte dieses fälschter Videos während des gesamten
Übernahmen von IP-Adressen. 2018 auch für die einzelnen Netzbetreiber letzten Wahlkampfs.
konnten Kriminelle auf diesem Weg finanzierbar und im hochgradig dezen- Manipulierte Bewegtbilder fielen
im großen Umfang Geld in der Krypto- tral organisierten Web praktikabel sein. erstmals in Pornofilmen auf, deren Dar-
währung Ethereum erbeuten. Ebenso Daher ist die Weiterentwicklung der stellerinnen die Gesichtszüge weiblicher
anfällig für Manipulation ist das Domain Internetsicherheit nicht nur im höchsten Hollywood-Stars erhielten, die sich des
Name System. Vergleichbar mit einer Maße praxisrelevant, sondern zählt Rufmords erwehren mussten. Später er-
Art Internet-Telefonbuch soll es dafür auch wissenschaftlich betrachtet zu den reichten sie die sozialen Netzwerke, auf
sorgen, dass Daten per Zuweisung einer spannendsten Forschungsgebieten im denen Apps wie Face- oder PetSwap und
korrekten IP-Nummer beim richtigen Bereich der Cybersicherheit. x Snapchat millionenfach für satirische
Adressaten landen und nicht etwa bei Montagen mit Prominenten genutzt
Cyberkriminellen, was im Fall von werden. Um Deepfakes handelt es sich
Passwörtern oder vertraulichen Daten allerdings nur, wenn KI-basierte Technik
katastrophale Folgen haben kann. im Spiel ist: Lernsysteme, die anhand
Mögliche Angriffsfelder im Routing von Fotos der Person, deren Präsenz
sowie im Domain Name System waren vorgetäuscht werden soll, durch Errech-
Gegenstand zahlreicher wissenschaft- nen der Lippen- und Blinzelbewegungen
licher Versuchsreihen in ATHENE. In den situativ passgenauen Ausdruck er-
Kooperation mit Internetanbietern und MARTIN STEINEBACH kennen und damit das ursprünglich ge-
anderen Akteuren im Web konnten wir TÜRÖFFNER FÜR POLITI- zeigte Gesicht täuschend echt ersetzen
den Nachweis erbringen, dass mehr SCHE DESINFORMATION können. Da durch immer realistischer
als 90 Prozent aller Netze derart leicht wirkende Deepfakes in der Gesellschaft
manipulierbar sind, dass sich Anfragen Wahrheit oder Fälschung? Barack Obama die Gefahr wächst, Opfer gezielter
von dort aus beliebig umlenken lassen. tituliert in einer Video-Ansprache, Desinformation zu werden, wird es umso
Welche dramatischen Sicherheitslücken die augenscheinlich im Weißen Haus wichtiger, manipulierte Aufnahmen
dadurch entstehen, illustrierten wir 2018 gedreht wurde, Donald Trump unver- verlässlich detektieren zu können. Bei
mit einem Experiment. Es gelang uns blümt als „kompletten Vollidioten“. der Frage, wie sich der Einsatz verfäl-
damals, ohne Berechtigung Server-Zerti- Dass diese Worte tatsächlich nicht vom schender Algorithmen wissenschaftlich
fikate auf eine beliebige Domain zu erhal- Ex-US-Präsidenten selbst stammen, son- nachweisen lässt, setzen wir in unse-
ten. Dadurch wäre es möglich gewesen, dern ihm lediglich durch den Komiker rer Forschung primär auf sogenannte
unter anderem Webseiten von Banken Jordan Peele in den Mund gelegt wur- signalbezogene Verfahren: Weil sich in
nachzubauen, die die Sicherheitsüber- den, zeigt die Auflösung des YouTube- Deepfakes das ursprüngliche Bewegt-
prüfung jedes Web-Browsers als gültig Clips. Denn obwohl Gesicht und Mimik bild und der nachträglich inszenierte
bewertet hätte. Und die Verschlüsselung täuschend echt wirken, handelt es sich Bildausschnitt in ihren Signaleigenschaf-
mit SSL/TLS – dem wichtigsten Sicher- hier um ein Deepfake: Eine audiovisuel- ten unterscheiden, etwa in Hinblick
heitsstandard im Internet – wäre dadurch le Manipulation, die auf Verfahren des auf die Komprimierung der Pixel oder
vollständig wirkungslos gewesen. Unsere Deep Learnings beruht, einer speziellen der Beleuchtung und Schärfe, lassen
SICHERHEIT FÜR DIGITALE SOUVERÄNITÄT ATHENE 7sich aus dieser Analyse entscheidende „Wir entwickeln neue Einige Ergebnisse aus unserer Forschung
Rückschlüsse auf die Echtheit ziehen. Methoden zur Sicherheits- und Entwicklung in ATHENE stehen
Darüber hinaus überprüfen maschinelle analyse, um automatisiert als Open-Source-Projekte für andere
Verfahren die Aufnahmen auf Ähnlich- Schwachstellen in Software Wissenschaftler*innen frei zur Verfü-
keiten im Zentrum des Gesichts. Denn es erkennen zu können.“ gung. Weitere Resultate aus unserem
ist ausschließlich diese Region zwischen Forschungsbereich, wie der Schwach-
Augen und Mund, die bei Deepfakes stellenscanner VUSC, können lizenziert
ausgetauscht wird, während die Stirn werden und tragen damit aktiv zur
der Protagonisten aus dem Originalvideo Stärkung des Wirtschaftsstandorts
erhalten bleibt. Qualitätskontrolle in Bezug auf Sicher- Deutschland bei, und zwar für alle
Die Weiterentwicklung von Ver- heitsfragen gar nicht mehr umsetzbar Branchen, in denen Software entwickelt
fahren zur Enttarnung von Deepfakes ist ist. Mit diesem Dilemma der Software- und eingesetzt wird. Davon profitieren
nicht zuletzt deshalb relevant, weil sich entwicklung sind wir auch als Anwender am Ende wir alle! x
mit der Fälschung von Stimme und Ge- konfrontiert, wenn wir beispielsweise
sicht authentifizierende Merkmale ma- Browser, Betriebssysteme oder Software
nipulieren lassen. Und damit steht nicht regelmäßig aktualisieren, wodurch im-
nur die Wahrung von Persönlichkeits- mer auch Sicherheitslücken geschlossen
rechten in Unterhaltungsformaten auf werden.
dem Spiel, sondern auch das Vertrauen Wie kann man also Sicherheitsan-
in die Sicherheit von Kommunikations- forderungen dennoch gerecht werden?
kanälen wie den heute so wichtigen Indem die Prüfung auf Sicherheitslücken
Videokonferenzen. x möglichst automatisch durchgeführt MATTHIAS HOLLICK
wird – so effizient, präzise und voll- JISKA CLASSEN
ständig wie möglich. Deshalb arbeiten DRAHTLOS SICHER
wir in unserem Forschungsfeld an
entsprechenden Analysetechniken, die Chatten, navigieren, fotografieren,
dies ermöglichen. Wichtig ist dabei, dass informieren oder unterhalten – Smart-
den Verantwortlichen vollautomatisch phones sind zu einem zentralen
alle zur Einschätzung einer Schwach- Bestandteil unseres Lebens geworden.
stelle wichtigen Informationen geliefert Und auch viele Prozesse im beruflichen
STEVEN ARZT werden, beispielsweise: Welche Daten Umfeld setzen auf mobile Geräte. Als
MIRA MEZINI sind von der Lücke betroffen, wohin ständige und technisch vielseitige
AUF DER SUCHE NACH werden sie übertragen, werden sie ver- Begleiter sammeln und verarbeiten sie
SICHERHEITSLÜCKEN schlüsselt, und wenn ja, wie? Mithilfe umfangreiche Informationen, sowohl
dieser Kontextinformationen können Geschäftliches als auch Privates. Sicher-
Informations- und Kommunikations- Lücken priorisiert und von Entwicklern heit spielt in diesem Bereich deshalb
technologie durchdringt unser Leben in zügig behoben werden, im Idealfall noch eine zentrale Rolle.
allen Bereichen. Überall dort, wo Daten bevor die Software überhaupt erst an- Smartphones sind nicht zuletzt so
erhoben, ausgetauscht oder verarbeitet gewendet wird. vielseitig, weil sie auf viele verschiedene
werden, kommt heute Software zum Wie das gelingen kann, haben wir Arten mit anderen Geräten kommunizie-
Einsatz. Damit wird deutlich, wie wich- beispielsweise bei der Analyse der offi- ren können, beispielsweise LTE, 5G,
tig sichere Software für unser öffentli- ziellen deutschen Corona-Warn-App Wi-Fi oder Bluetooth. Jede einzelne die-
ches und privates Leben ist: Sie steuert gezeigt. ATHENE-Expert*innen haben ser vielen Schnittstellen bietet ein poten-
Abläufe in kritischen Infrastrukturen, die Sicherheit der App sowie der zu- zielles Einfallstor für Angriffe. Daher ist
ermöglicht unser vernetztes und de- gehörigen Backend-Systeme parallel zur es wichtig, die Geräte an diesen Stellen
zentrales Arbeiten, die Erledigung von Entwicklung analysiert und Schwach- sicherheitstechnisch auf dem neuesten
Behördengängen und Bankgeschäften. stellen bereits vor der offiziellen Freigabe Stand zu halten. Das wissen auch die
Ohne zuverlässige und vertrauens- der App gemeldet, sodass diese behoben Hersteller und bieten regelmäßig Sicher-
würdige Software ist unser modernes werden konnten. So konnten wir einen heitsupdates an, um die Angriffsoberflä-
Leben nicht mehr denkbar. Sicherheits- Beitrag zur IT-Sicherheit aller App- che möglichst klein zu halten.
lücken in Software können nicht nur zu Nutzer*innen leisten. Aber betreiben Hersteller über-
Ausfällen führen. Sie können Angreifern Bei verbreiteten Anwendungen haupt in hinreichendem Umfang
auch den Zugriff auf sensitive Daten und Systemen haben wir dutzende Sicherheitsforschung? Was, wenn der
oder gar die Steuerung oder Manipula- Sicherheitslücken identifiziert und an Angreifende bestimmte Lücken schnel-
tion kritischer Systeme ermöglichen. die jeweiligen Unternehmen gemeldet, ler entdeckt als die Hersteller?
Auf der anderen Seite ist Software darunter Banken, Versicherungen, In ATHENE arbeiten wir daher
längt so umfangreich und komplex, Steuer- und Rechtseinrichtungen sowie herstellerunabhängig und legen dabei
und wird gleichzeitig so schnell und agil Hersteller von Telefonen und Telefon- auch ein Augenmerk auf Komponenten,
weiterentwickelt, dass eine manuelle anlagen für Internettelefonie. die im Verborgenen operieren und
8 ATHENE SICHERHEIT FÜR DIGITALE SOUVERÄNITÄTfür Analysen schwer zugänglich sind. Computer bräuchten viele Jahrzehnte,
Ein Beispiel dafür sind geräteinterne um sehr große Zahlen in ihre Primfakto-
Schnittstellen zwischen Mobilfunkchips ren zu zerlegen. Weil Quantencomputer
und Betriebssystemen, weil hierfür genau solche Operationen aber sehr
jeweils andere Hersteller zuständig schnell erledigen können, ließen sich
sind. Insbesondere betrachten wir in JULIANE KRÄMER gängige Kryptosysteme wie RSA sehr
unserer Forschung Angriffe über draht- MICHAEL WAIDNER leicht aushebeln, was Cyberangriffen
lose Technologien wie zum Beispiel QUANTENSPRUNG MIT Tür und Tor öffnen würde. Wenn eine
Bluetooth und Wi-Fi. Solche Angriffe SICHERHEITSNETZ kryptografische Technologie gebrochen
hinterlassen kaum Spuren, da der wird, dann werden dadurch Methoden
Angreifende der Zielperson keine Mail Revolutionär, epochal – ein Game-Chan- für Geheimhaltungszwecke unbrauch-
senden oder sie auf eine Webseite ger: Im Zusammenhang mit Quanten- bar und abgesicherte Infrastrukturen,
locken muss, sondern quasi unsichtbar computern scheint jeder Superlativ Daten, Dienste oder Anwendungen
ins System eindringt. Um an Firmen- angebracht. Im Vergleich zu herkömm- unsicher, beispielsweise Online-Banking,
geheimnisse zu gelangen, kann für lichen Computern, die auf Mikroelek- Internetshopping und auch Prozesse im
einen erfolgreichen Angriff schon ein tronik aufbauen, verschieben Quanten- Zusammenhang mit Industrie 4.0.
kurzer Aufenthalt in der Nähe eines computer die Grenzen des bisher real Weil voraussichtlich schon in
Bürogebäudes ausreichen. Berechenbaren. Mit Quantencomputern wenigen Jahren die ersten leistungsfä-
Wie aktuell unsere Forschung ist, lassen sich, so die allgemeine Erwartung, higen Quantencomputer bereitstehen,
wurde durch die Diskussion über die in vielen verschiedenen Anwendungs- arbeiten wir an der Analyse, Ent-
Risikoermittlung für die Corona-Warn- bereichen wie etwa Biotechnologie, wicklung und Implementierung neuer
App deutlich. Diese wird über Bluetooth Pharmazie, Werkstoffentwicklung, kryptografischer Verfahren, die durch
realisiert. In ATHENE untersuchen wir Energie, Finanzwirtschaft oder Logistik Quantencomputer nicht gebrochen
seit mehreren Jahren die Sicherheit des durch Simulationen oder Optimierun- werden können. Ziel dieser noch jungen
kompletten Bluetooth-Ökosystems. Die gen Probleme lösen, an denen klas- so genannten „Post-Quanten-Krypto-
von uns gefundenen Sicherheitslücken sische Computer bislang scheiterten. grafie“ ist es, der Rechenleistung eines
haben zu einer Reihe von Sicherheits- Quantencomputer sind eine neue
updates für Bluetooth in den wichtigsten Schlüsseltechnologie für die technische
Betriebssystemen für Smartphones, Weiterentwicklung der kommenden
Android und iOS, geführt. So wurde Jahrzehnte. In Europa und insbesondere „Wir arbeiten an neuen
zeitgleich mit der Veröffentlichung der in Deutschland investieren die Regierun- kryptografischen Verfahren,
Warn-App eine von uns entdeckte Lücke gen in die Entwicklung dieser Schlüssel- die durch Quantencompu-
in iOS geschlossen, welche das Aus- technologie. ter nicht gebrochen werden
führen von Schadcode für beliebige An- Dieser Fortschritt verdankt sich können.“
greifer ermöglichte. Wir konnten damit angewandter Quantenmechanik.
rechtzeitig die Basistechnologie weiter Denn während die Speichereinheiten
härten, die inzwischen millionenfach für herkömmlicher, auf Mikroelektronik
den Kampf gegen die COVID-19-Pande- beruhender Rechner Bits sind, die nur Quantencomputers standzuhalten und
mie zum Einsatz kommt. die Werte Null oder Eins haben können, zugleich vor herkömmlichen IT-An-
Die von uns entwickelten Werk- nutzen die zukunftsträchtigen Computer griffen abgesichert zu sein. Damit wir
zeuge zur Sicherheitsanalyse sind frei Quantenbits – kurz Qubits –, die beide Effizienz und Sicherheit unter realen
zugänglich und werden von uns auf dem Zusände quasi gleichzeitig annehmen Bedingungen testen können, integrieren
neuesten Stand der Technik gehalten. können. Hinzu kommt, dass sich Qubits wir die Verfahren in gängige IT-Syste-
Diese ermöglichen tiefgehende Analysen koppeln lassen, wodurch Quanten- me wie Smartphones, Notebooks, PCs
von Wi-Fi, Bluetooth oder proprietären computer im Vergleich zur klassischen und Server. So können wir auch bereits
Apple-Protokollen wie AirDrop. Diese Datenverarbeitung in kürzester Zeit ein existierende Produkte technisch ver-
Protokolle sind milliardenfach und Vielfaches an Informationen bearbeiten bessern und zukunftssicher aufstellen.
global im Einsatz. Durch die Veröffent- können. Zusätzlich sind wir in ATHENE in der
lichung der Analysewerkzeuge erzielen Es ist genau diese Rechenkapazität, Standardisierung solch neuer Verfahren
wir einen großen Multiplikationseffekt: die früher oder später viele Verschlüs- aktiv. Letztlich ist es unser Anspruch,
Eine Vielzahl von anderen Gruppen, selungstechniken von heute wird aushe- die bahnbrechenden Potenziale, die das
die in Forschung und Entwicklung aktiv beln können. Denn die heute üblichen spannende und herausfordernde Gebiet
sind, nutzen unsere Werkzeuge für modernen Verschlüsselungsverfahren der Post-Quanten-Kryptografie birgt,
ihre Arbeiten und können damit selbst nutzen mathematische Probleme auszuschöpfen, um im digitalen Alltag
Sicherheitslücken identifizieren und zu geschickt aus, für die es auf konventio- der Zukunft zu einem weltweit quanten-
deren Behebung beitragen. Ein Stück- nellen Computern keine praktischen computersicheren Internet beizutragen.
chen ATHENE steckt also auch in Ihrem Lösungen gibt. Ein Beispiel für einen sol- ATHENE bietet für die Forschungsan-
Smartphone und hilft, Ihre Daten besser chen Fall ist die sogenannte Faktorisie- strengungen, die in diesem Bereich er-
vor Angriffen zu schützen. x rung sehr großer Zahlen. Herkömmliche forderlich sind, das optimale Umfeld. x
SICHERHEIT FÜR DIGITALE SOUVERÄNITÄT ATHENE 9zu machen. Verfahren des Deep Lear- Computer zahlungskräftiger Opfer lahm-
nings sind in diesem Kontext besonders legen, um Lösegeld für die Datenfreiga-
geeignet, Muster digitaler Artefakte aus- be einzufordern; noch vor Angriffen auf
zumachen, die mit dem menschlichen Rechenzentren oder IT-Infrastrukturen
Auge kaum wahrnehmbar sind. von Unternehmen, um an Firmeninter-
CHRISTOPH BUSCH Ein zweites Gebiet, auf dem wir for- na zu gelangen und Daten an Wett-
NASER DAMER schen, betrifft sogenannte Präsentations- bewerber zu leiten, oder um sensible
DEM ANGREIFER IMMER angriffe: Das sind kriminelle Versuche, Patienteninformationen im Internet zu
EINEN SCHRITT VORAUS ein Gesichtserkennungssystem zum veröffentlichen. Ob es sich um Angriffe
Zeitpunkt der Überprüfung zu über- auf Privatpersonen, Unternehmen oder
Als Anfang 2020 ein New Yorker Start- listen, indem gedruckte oder digitale Institutionen handelt: Deutschlandweit
up eine neue Gesichtserkennungs-App Fotos, vielleicht ein abgespieltes Video werden im Durchschnitt täglich 320.000
veröffentlichte, die auch US-Strafverfol- oder eine aufwendig erstellte 3-D-Maske neue Schadprogramme registriert,
gungsbehörden nutzen, spiegelte sich in anstelle des Gesichts vorgezeigt werden. meldete das Bundesamt für Sicherheit in
der erneut aufbrandenden gesellschaft- Der Erfolg dieser Strategien erklärt sich der Informationstechnik (BSI) in seinem
lichen Debatte darüber die Ambivalenz dadurch, dass Gesichtserkennungs- aktuellen Bericht über die „angespannte
dieser Technik wider. Denn einerseits systeme auf Toleranz ausgelegt sind, Gefährdungslage“.
ermöglicht es der Abgleich von Milliar- um Menschen auch unter erschwerten Um solche Angriffe erkennen und
den gespeicherter Bilder mit Fotos oder Bedingungen zu identifizieren. Deshalb abwehren zu können, sind Werkzeuge
Aufnahmen von Überwachungskameras, ist es essenziell, dass die Erkennung und wie zum Beispiel Virenscanner nötig, die
Straftäter weltweit als solche zu identi- Abwehr dieser Präsentationsangriffe kontinuierlich auf dem neuesten Stand
fizieren. Andererseits werden dabei integraler Teil biometrischer Systeme gehalten werden müssen. Das Aufspüren
auch Fotos unbescholtener Bürger*in- werden. Weil der Schutz vor derartigen gezielter und komplexer Schadsoft-
nen verarbeitet. Chancen und Risiken Attacken aber auch in Systemen mit ware erfordert zukünftig maschinelle
prägen nicht nur Gesichtserkennungs- geringeren Speicher- und Rechenleis- Lernverfahren. Denn sobald es sich
systeme, die auf Algorithmen beruhen, tungen möglich sein soll, besteht eine um umfangreiche und unstrukturierte
sondern auch bildbasierte biometrische weitere Herausforderung darin, zusätz- Daten handelt, versagen klassische, auf
Verfahren. Zwar bieten sie Schutz vor lich kompakte Lösungen zu entwickeln. starren Regeln beruhende IT-Systeme.
dem Missbrauch persönlicher Informa- Unsere Forschung, die zum Ziel hat, KI-basierte Prüfsysteme dagegen können
tionen, zum Beispiel beim Öffnen des Gesichtserkennungsalgorithmen und große Datenmengen strukturieren und
Smartphones oder bei der Passkontrolle bildbasierte biometrische Verfahren auf Angriffsmuster hin überprüfen.
am Flughafen. Aber immer öfter werden robuster und sicherer zu machen, prägt Dennoch existieren viele ungelöste
diese Systeme auch selbst zum Angriffs- der Anspruch, den Angreifern immer Probleme rund um Cybersicherheit. Ein
ziel von Cyberkriminellen. einen Schritt voraus zu sein. x Beispiel ist die hohe Adaptionsfähigkeit
Zudem ist Face-Morphing ein Ver- von Malware, die mit wechselnden An-
fahren, das für Angriffe auf Gesichtser- griffsszenarien insbesondere weitver-
kennungssysteme zum Einsatz kommt. zweigte IT-Netzwerke herausfordert.
Dazu werden Fotos unterschiedlicher Umso wichtiger ist es, dass maschinelle
Gesichter zu einem Bild verschmolzen, Verfahren in diesem Wettrennen lernen,
das Merkmale aller Beteiligten ent- noch agiler und flexibler Übergriffe aktiv
hält. Das Ergebnis ist ein gemorphtes zu verhindern oder im Vorfeld zu erken-
Porträt, das, in einen Reisepass oder nen und zu melden.
Personalausweis eingebracht, von allen CARSTEN BINNIG In unserer Forschung arbeiten
gleichermaßen genutzt werden könnte. KRISTIAN KERSTING wir zum einen am Schutz maschineller
Dieses Identitäts-Sharing genannte MARTIN STEINEBACH Lernsysteme selbst, die zunehmend
Vorgehen gibt Kriminellen die Chance, WETTRENNEN ZWISCHEN ins Fadenkreuz von Cyberkriminellen
sich unerlaubt Zutritt oder Zugriff auf ANGRIFF UND VERTEIDI- geraten. Deren Ziel ist unter ande-
Daten oder Systeme zu verschaffen. GUNG rem, Trainings- oder Eingabedaten zu
Angesichts jährlich steigender Zahlen manipulieren, um Entscheidungen in
solcher in den Umlauf gebrachter Derart echt wirkten die amtlichen For- ihrem Sinne herbeizuführen. Neben der
gefälschter Pässe wird deutlich, wie mulare, dass viele Unternehmer*innen Aufgabe, wie sich durch maschinelles
wichtig die Forschung und Weiterent- Mitte März arglos ihre Anträge auf Coro- Lernen die Sicherheit von IT-Systemen
wicklung der Detektion und Abwehr na-Soforthilfen ausfüllten, nicht ahnend, erhöhen lässt, beschäftigt uns auch der
solcher Morphing-Angriffe ist. Dabei dass Cyberkriminelle mittels gefälschter umgekehrte Fall, also die Frage, wie wir
setzen wir auf komplexe Algorithmen, Webseiten und Datenklau massenhaft die Sicherheit von lernenden Systemen
die Manipulationen auf der Ebene von Hilfsgelder ergaunern konnten. Vor verbessern können. Weil die Verläss-
Texturen, Rauschmustern und Geo- Cyberattacken scheint niemand gefeit lichkeit maschineller Verfahren von der
metrien erkennen können und dazu zu sein: weder vor Ransomware, auch Qualität der verfügbaren Trainingsdaten
beitragen, Gesichtserkennung sicherer Erpressungstrojaner genannt, die gezielt abhängt, ist es notwendig, die Algo-
10 ATHENE SICHERHEIT FÜR DIGITALE SOUVERÄNITÄTrithmen mit möglichst realitätsnahen „Im Fokus unserer For- Im Fokus unserer Forschungsprojekte,
Trainingsdaten zu speisen, auch über schungsprojekte stehen an denen sowohl Informatiker*innen
Quellen wie Printmedien, Internet oder digitale, faire und als auch Wirtschafts- und Rechtswissen-
Fernsehen. Unsere Herausforderung datenschutzfreundliche schaftler*innen beteiligt sind, steht die
besteht zudem in der Entwicklung von Geschäftsmodelle.“ Konzeption grundlegender modularer
Verfahren, die entweder die Sicherheit Bausteine für digitale, faire und daten-
von Trainingsdaten gewährleisten oder schutzfreundliche Geschäftsmodelle.
trainierte Netze vor missbräuchlichen Dabei betrachten wir es als zentrale
Eingriffen schützen und die zudem noch Herausforderung, rechtskonforme
effektiv und rechtskonform zugleich eingebracht haben; die andererseits Unternehmenskonzepte auszuarbeiten,
sind. An der Behebung von Schwach- aber auch drängende Fragen nach recht- die es möglich machen, große Poten-
stellen in Hinblick auf die Erklärbar- lichen Beschränkungen des Handels mit ziale in der Analyse und Zusammen-
keit und Transparenz arbeiten wir im personenbezogenen Details aufwerfen. führung riesiger Datenmengen auszu-
Kontext des Blackbox-Phänomens, der Wie ein Türöffner ermöglicht deren Be- schöpfen, ohne den Datenschutz zu
vielfach ungeklärten Frage, worauf ein sitz schließlich Einsicht in ein Wissen, das vernachlässigen; und ohne das Vertrau-
Lernsystem seine Entscheidung begrün- dem Schutz der Privatsphäre unterliegt en der Menschen in zukunftsweisende
det. Denn solange sich Analysen nicht und vor unerlaubtem Zugriff bewahrt Technologien rund um den Gebrauch
nachvollziehbar interpretieren lassen, werden sollte. wertvoller Informationen nachhaltig zu
sind deren Aussagekraft und darauf Ob China mit der Etablierung eines enttäuschen. x
basierende Entscheidungen problema- Online-Punktesystems unerwünschtes
tisch. Da unerwünschte Bias-Effekte Verhalten der eigenen Bevölkerung
zunehmen, engagieren wir uns für eine sanktioniert, oder ob das US-amerika-
interdisziplinäre Debatte über ethische nische Unternehmen „Clearview AI“
und rechtliche Richtlinien. Unser An- Milliarden von Fotos, die auch in sozia-
spruch ist, die öffentliche Akzeptanz len Netzwerken gesammelt wurden, an
KI-basierter Technologie zu stärken und Geheimdienste verkauft: Prominente
damit auch das Vertrauen in zuverlässige Beispiele für die missbräuchliche
Kontrollmechanismen, zum Schutz von Nutzung von Daten belegen, dass es CHRISTIAN REUTER
Gesellschaft, Wirtschaft und staatlichen von hohem gesellschaftlichen Interesse MICHAEL KREUTZER
Institutionen – und nicht zuletzt zum ist, Menschen vor der exzessiven Ver- MICHAEL WAIDNER
Nutzen aller. x arbeitung ihrer persönlichen Daten zu ACHILLESFERSE DIGITALER
schützen. Aber auch der selbstverständ- KOMMUNEN
liche Gebrauch künstlicher Intelligenz
im Alltag illustriert, dass die globale Mobilitätsabos, die den Wechsel von
Datenökonomie auf die Implementierung Carsharing aufs Leihrad, den Bus oder
umfassender Kontrollmechanismen die Bahn erlauben; digitale Senso-
in Hinblick auf die Verarbeitung und ren, die bei der Parkplatzsuche und
Verbreitung individueller Datensätze Stauumfahrung helfen; Systeme, die
angewiesen ist. Schließlich dient deren das nächtliche Joggen mit abgestufter
PETER BUXMANN Erfassung und Auswertung nicht selten Beleuchtung und Kameras begleiten;
ANNIKA SELZER der Erstellung zweckgebundener und Straßenlaternen, die zusätzlich
TAUZIEHEN UM EINE RES - Persönlichkeitsprofile; zum Beispiel kabelloses Internet anbieten: Szenarien
SOURCE MIT ZUKUNFT im Kontext einer Kreditvergabe bzw. einer Smart City, die unter anderem auf
der Festlegung von Konditionen einer Technologien des „Internet of Things
Der Einfluss von Daten auf Wirtschaft Risiko-Versicherung. (IoT)“ beruhen, dem digitalen Aus-
und Gesellschaft ist so epochal wie Mit dem Ziel, dass Menschen tausch zwischen Mensch und Gerät,
ambivalent: Unverzichtbar sind diese gegen digitale Eingriffe in ihre Privat- versprechen größere Sicherheit, mehr
digitalisierten Informationen unter sphäre besser geschützt sind und Nachhaltigkeit und Komfort; auch in
anderem zur Erforschung innovativer ihre Datensouveränität behalten bzw. Hinblick darauf, dass laut einer Studie
medizinischer Therapien und Diagno- wiedererlangen können, arbeitet unsere der UN 2050 rund zwei Drittel der Welt-
severfahren. Zugleich aber beruht der interdisziplinäre Forschungsgruppe bevölkerung in Metropolen leben wer-
Nutzen von zum Beispiel personalisier- an zahlreichen Technologien, die dem den. In Deutschland sollen beispiels-
ter Medizin auf der viel diskutierten Schutz der Privatsphäre dienen. Dabei weise bis 2022 alle Dienstleistungen
Preisgabe persönlicher Daten. Das entwickeln wir zum Beispiel unter- deutscher Behörden vom Elterngeld bis
Gleiche gilt für die ökonomische Sphäre, schiedliche Werkzeuge, die bei der an- zur Wohnsitzanmeldung online abruf-
in der Milliardengewinne weltumspan- spruchsvollen Umsetzung datenschutz- bar sein, wofür im Corona-Konjunktur-
nender Online-Dienste von Tech-Riesen rechtlicher Vorgaben hilfreich sind, aber paket drei Milliarden Euro eingeplant
wie Facebook und Google Bits und Bytes auch komplexe Systeme zur Überprü- sind. Die Vereinfachung der Verwaltung
einerseits den Ruf einer neuen Währung fung der Einhaltung solcher Richtlinien. durch Digitalisierung ist ein Beispiel für
SICHERHEIT FÜR DIGITALE SOUVERÄNITÄT ATHENE 11die Ausweitung von IT-Infrastrukturen, auch viel Raum für Partizipation. Das dass ehemals geschlossene Systeme, die
die sowohl Bürger*innen mit städti- Ergebnis zahlreicher Prognosen lautet: inzwischen eng mit ihren digitalen Um-
schen Einrichtungen vernetzen als auch Bürger*innen, die mehr Einblick in gebungen verwoben sind, in der Regel
kommunale Akteure untereinander. Entscheidungsprozesse erhalten, nutzen noch nicht hinreichend abgesichert sind.
Doch was im Aufbau digitaler ihr Recht auf Mitbestimmung häufiger; Ob diese mit anderen Fahrzeugen, mit
Kommunen vielfach unterschätzt wird, sodass sie – ganz im Sinne der Bedeu- mobilen Endgeräten, mit Ladestationen
sind Cybergefahren im Kontext der Er- tung des im Griechischen verwurzelten für Elektrofahrzeuge oder mit Backend-
fassung, Bearbeitung und Speicherung Begriffs „Cyber“ – die „Tätigkeit des Systemen vernetzt sind, das Spektrum
vertraulicher Informationen in gemein- Steuermanns“ verstärkt übernehmen potenzieller Bedrohungen ist groß:
samen Datenbanken. Risiken entstehen und sich freiwillig mehr fürs Gemein- Es reicht von Manipulationen, wodurch
in Hinblick auf einen potenziellen Miss- wohl engagieren. x die Funktionen eines Fahrzeugs ein-
brauch, Diebstahl oder eine mögliche geschränkt werden können, bis hin zur
Manipulation von Daten. Nachdem zum Gefahr für Leib und Leben von Insassen
Beispiel 2016 ein Neusser Krankenhaus und anderen Verkehrsteilnehmern. Auch
Opfer eines Erpressungstrojaners wur- sind Aspekte des Privatsphärenschutzes
de, mit dem eine Lösegeldforderung zu beachten. Umso wichtiger ist, Cyber-
verbunden war, mussten Operationen sicherheit und Datenschutz bereits in die
verschoben werden. Und mehrere Tage Entwicklung autonomer Systeme und zu-
lang waren weder die Abrechnung von gehöriger Infrastrukturen zu integrieren.
Leistungen möglich, noch die Bestel- C HRISTOPH KRAUSS In unserer Forschungs- und Entwick-
lung von Medikamenten. Um solche SICHER UNTERWEGS lungsarbeit geht es uns darum, die IT-Sys-
Risiken zu minimieren, sind präventive teme in einem Fahrzeug sicherer gegen
wie reaktive Programme rund um Der Hack auf einen fahrenden Jeep hat Angriffe wie beispielsweise Manipulatio-
Cybersicherheit und Datenschutz so die potenziellen Risiken verdeutlicht: nen zu machen. Auch der Austausch von
relevant wie nie zuvor. 2015 gelang es IT-Profis, sich von außen Daten zwischen Automobil und der Infra-
Während sich bundesweit neun von mit dem Unterhaltungssystem des Autos struktur wird weiter zunehmen. Unsere
zehn Unternehmen dieser Bedrohung zu verbinden und dadurch schließlich Aufgabe besteht somit auch darin zu
bewusst sind, werden sie auf kommuna- die Klimaanlage, das Gaspedal, die analysieren, ob einzelne IT-Systeme von
ler Ebene vielfach verkannt. Laut einer Bremsen und sogar die Lenkung des Fahrzeugen durch die sich immer weiter-
Umfrage des IT-Sicherheitsanbieters Fahrzeugs zu kontrollieren. Obwohl der entwickelnde Vernetzung von außerhalb
Proofpoint zum Stand der Cybersecurity Fahrer und Journalist in das Experiment
im deutschsprachigen Raum ist in der eingeweiht war, beschrieb er die Erfah-
öffentlichen Verwaltung mit 46 Prozent rung, ferngesteuert im eigenen Auto zu
nicht einmal jeder zweite Akteur in sitzen, als erschreckend. Der Angriff war „Dreh- und Angelpunkt
diesem Bereich auf Cyberattacken vor- möglich, weil es sich bei damaligen und unserer Arbeit ist es, die
bereitet. Umso wichtiger erscheint die heutigen Automobilen eigentlich um
Sicherheit im vernetzten
Vermittlung einer realistischen Risiko- „fahrende Computer“ handelt, in denen
Fahrzeug zu verbessern.“
bewertung. In unserem Forschungsfeld viele Komponenten informations- und
arbeiten wir an Lösungen für sicherere kommunikationstechnisch miteinan-
und zuverlässige Infrastrukturen rund der in Verbindung stehen. Zusätzlich
um Information und Kommunikation. können auch von außerhalb Daten mit oder von anderen Komponenten im
Unser Bestreben ist, digital vernetzten dem Auto ausgetauscht werden. Mit der Fahrzeug manipuliert werden können.
Städten von morgen, die im engen Aus- begonnenen Weiterentwicklung zum Neben solchen Sicherheitsanalysen geht
tausch mit den Bürger*innen stehen, autonomen Fahren wird noch deutlich es uns darum, Sicherheitsarchitekturen
zu größerer Widerstandskraft gegen mehr Informationstechnologie in Autos in Fahrzeugen so zu gestalten, dass
Cyberangriffe zu verhelfen. Idealerweise genutzt werden, wodurch die Angriffs- Schwachstellen, die möglicherweise über
kommt es zur Abstimmung kommunaler fläche weiter steigen wird. Updates in IT-Systeme gelangen, erkannt
Einrichtungen untereinander und zu Die Informations- und Kommunikati- und unerwünschte Effekte geringgehal-
einem konzertierten Vorgehen; zum Bei- onstechnologie gilt einerseits als stärkster ten werden. Dazu forschen wir in einer
spiel für den Fall, dass Cyberkriminelle Treiber für Innovationen im Automobil- realistischen, aber kontrollierten Test-
in die Steuerungssysteme von Klär- und bereich, andererseits aber auch als und Evaluationsumgebung, die auch die
Wasserwerken eindringen. Dass dieses Einfallstor für Angriffe. Tatsächlich physischen Auswirkungen von Angriffen
Szenario durchaus realistisch ist, weil gehen mit dem Technologiewandel auf modellieren kann. Diese und viele weite-
bei der Konfiguration der Systeme häufig dem Weg zum autonomen Fahren große re Forschungsfragen sind Dreh- und An-
mehr Wert auf einfachen Zugang und Herausforderungen für die Cybersicher- gelpunkt unseres Engagements, um das
Komfort als auf IT-Sicherheit gelegt wird, heit einher, die weitergehende Forschung (autonome) vernetzte Fahren sicherer zu
konnte eine Studie von 2018 nachweisen. und Entwicklung erfordern. Dass es gestalten und das Vertrauen in eine Tech-
Nicht zuletzt eröffnet die digitale möglich ist, solche Fahrzeuge aus der nologie zu stärken, die noch am Anfang
Kommune dank größerer Transparenz Ferne zu manipulieren, hat damit zu tun, steht, aber eine große Zukunft hat. x
12 ATHENE SICHERHEIT FÜR DIGITALE SOUVERÄNITÄTSie sind motiviert, am- Das ist eine Plattform, mit der man
Angriffsszenarien simulieren kann,
bitioniert und talentiert. und man sieht, wie sich die Teams
Eigentlich könnten sie unter Stress verhalten.
Jiska Classen: In modernen Handys
überall arbeiten. Wir stecken mehrere Chips mit eigenen
stellen drei junge Men- Mini-Betriebssystemen für die draht-
lose Datenübertragung – das ist eine
schen aus ATHENE vor. Ebene noch vor iOS, Android und Co.
Die Software auf diesen Chips bietet eine Philipp Jeitner: Ziel ist es, das Internet
potenzielle Angriffsfläche. Mit unserer sicherer zu machen und ein Bewusstsein
Woher kommt Ihr Interesse am Thema Arbeit wollen wir die drahtlose Daten- zu schaffen für die Gefahren, die mit
Cybersicherheit? übertragung sicherer machen. seiner Nutzung einhergehen. Wir bei
Philipp Jeitner: Ich forsche an der ATHENE möchten dazu beitragen, dass
Ranim Chakra: Am Anfang meines Sicherheit von Internetprotokollen. Das das Internet künftig so gebaut wird,
Studiums fragte ich mich immer, wie Domain Name System, das der Auf- dass es gar nicht erst angegriffen werden
Angreifer es schaffen, in Systeme einzu- lösung von Internetadressen zugrunde kann.
dringen und diese auszunutzen. Deshalb liegt, ist eine potenzielle Schwachstelle.
wollte ich lernen und verstehen, wie Im Labor prüfen wir, ob und wo Atta- Warum haben Sie sich für ATHENE ent-
Cybersicherheit funktioniert und wie cken in realen Systemen durchgeführt schieden?
man Systeme gegen Angreifer absichern werden könnten – natürlich als ethisches
und verteidigen kann. Hacken, ohne selbst Schaden anzurich- Ranim Chakra: Nach meinem Studium
Jiska Classen: Ich möchte Zusammen- ten. Es gehört auch zu unserer Arbeit, in Syrien und Frankreich habe ich an-
hänge besser verstehen. Das Thema betroffene Firmen oder Institutionen gefangen, in Kanada zu arbeiten. Danach
Cybersicherheit verlangt eine intensive über Risiken zu informieren und kon- führte mich eine weitere Station nach
Beschäftigung mit Technik. Das lag mir krete Vorschläge zu machen, wie man Deutschland und zu ATHENE. ATHENE
schon immer. Es fing damit an, dass ich Angriffe verhindern kann. hat international eine exzellente Re-
die Software ausgetrickst habe, mit der putation. Ich bin hier Teil von Europas
meine Eltern meine Computernutzung Was möchten Sie mit Ihrer Arbeit größtem Cluster für angewandte Cyber-
einschränken wollten. bewirken? sicherheit – für mich der ideale Rahmen,
Philipp Jeitner: Es hat mich immer um meine eigenen Fähigkeiten weiter
gereizt, mir zu überlegen, auf welche Ranim Chakra: Wir möchten die zu verbessern und mich weiterzuent-
Weise etwas angreifbar ist. Zuerst habe Schwachstellen in Netzwerken ermitteln wickeln.
ich in Karlsruhe Informatik studiert. und dazu beitragen, sie abzusichern. Jiska Classen: ATHENE bietet mir eine
Dabei habe ich gemerkt, dass es mir am Außerdem sollen die Betroffenen das hochprofessionelle Infrastruktur, Zu-
meisten liegt, wenn meine Arbeit einen Know-how bekommen, bei Cyberatta- gang zu Spitzenforschung und direkte
praktischen Zugang hat. In Darmstadt cken richtig zu reagieren und Schäden Kontakte in die Wirtschaft.
kombinieren wir diesen Anwendungs- so weit wie möglich zu begrenzen. Philipp Jeitner: Nach meiner Master-
bezug auf eine einzigartige Weise mit Jiska Classen: Wir bemühen uns um ein arbeit habe ich nach einer Forschungs-
der Theorie. So kann ich mich sehr gut besseres Verständnis von Sicherheits- einrichtung gesucht, in der ich meine
verwirklichen. lücken und teilen unsere Erkenntnisse Studienschwerpunkte, Sicherheit und
mit den Herstellern. Dieser intensive Netzwerkkommunikation, miteinan-
Worum geht es bei Ihrer Arbeit? Austausch ist wesentlicher Teil unserer der verbinden kann. Darmstadt ist der
Arbeit. Auf diese Weise tragen wir aktiv Standort für die Kombination von pra-
Ranim Chakra: Als Forscherin im Be- dazu bei, dass Kommunikationsnetze xisorientierter Forschung mit Theorie.
reich Cybersicherheit befasse ich mich besser geschützt werden können. Nirgendwo anders hätte ich die Möglich-
mit der Frage, wie man IT-Personal in keit, wissenschaftliche Ergebnisse direkt
Unternehmen gezielt auf Cyberangriffe so anwendungsbezogen umzusetzen. x
vorbereiten kann. Dabei setzen wir
unter anderem eine „Cyber Range“ ein.
Ranim Chakra Jiska Classen Philipp Jeitner
SICHERHEIT FÜR DIGITALE SOUVERÄNITÄT ATHENE 13Sie können auch lesen
