Das Thema «Cybersecurity» begleitet Marc Ruef praktisch sein gesamtes Leben lang. Er hat diese Faszination zum Beruf gemacht und verfügt damit über einzigartige Einsichten zum sicheren Verhalten im Cyberspace. Welche Learnings hat er daraus gezogen – und wie lauten seine Ratschläge und Prognosen?
Herr Marc Ruef, Sie sind in Sachen Cybersecurity ein «alter Hase». Wie kamen Sie mit dem Thema erstmals in Kontakt?
Als Kind durfte ich den Computer meines Vaters nutzen – natürlich zeitlich begrenzt. Daran habe ich mich aber selbstverständlich nicht gehalten. Mit der Zeit wurde ich jedoch zunehmend nervös, dass die Zeitangaben der veränderten Dateien mich verraten würden. Also ging ich zur Bücherei, um ein Fachbuch zu finden, das mir erklärt, wie ich Zeitstempel auf dem Dateisystem manipulieren könnte. Dabei bin ich über ein Buch mit dem Titel «Computerviren» gestolpert und war plötzlich vom Thema «Computersicherheit» fasziniert. Seither hat sich die Hacking-Subkultur natürlich stark verändert.
Welches sind für Sie die markantesten Veränderungen, die Sie seit den 1990er-Jahren in diesem Bereich erlebt haben?
Früher war alles familiärer. Man kannte sich und tauschte per E-Mail oder auf IRC Ideen aus. Der Antrieb bestand in der Neugierde sowie in der Anerkennung durch besondere Leistungen. Heute ist alles ein bisschen professioneller und vor allem kommerzieller.
Woran liegt das?
Diese Entwicklung ist in erster Linie der breiten Akzeptanz von Computersystemen und dem Internet geschuldet, die enorm zum gesellschaftlichen und wirtschaftlichen Wandel im Informationszeitalter beigetragen haben. Manchmal vermisse ich die «guten alten Zeiten», in denen die Dinge «simpler» waren. Es fühlte sich eher an wie ein Spiel. Heute ist es vielerorts zu einem knallharten Business geworden, mit all seinen Vor- und Nachteilen.
Sie haben mit computec.ch das bekannteste deutschsprachige Portal für Computersicherheit gegründet. Wie hat sich die Rolle von solchen Plattformen verändert?
Nach über 20 Jahren habe ich das Projekt schweren Herzens eingestellt und die Daten archiviert. Denn Webplattformen sind in der schnelllebigen Gegenwart von Social Media und Messenger-Diensten in der breiten Öffentlichkeit aus der Zeit gefallen. Anders ist dies hingegen im Darknet, das man als düsteres «Abbild» des normalen Internets verstehen kann. Dort werden nach wie vor solche Informationsplattformen betrieben. Vieles dort wirkt anachronistisch und erinnert dadurch an vergangene Tage. Manche Dinge ändern sich vielleicht also doch nie…
Sie haben im Laufe Ihrer Karriere zahlreiche Bücher und Fachartikel veröffentlicht. Welches Thema im Feld der Cybersecurity ist aktuell Ihres Erachtens unterbeleuchtet – und warum verdient es mehr Aufmerksamkeit?
Ich betätige mich nach wie vor sehr aktiv in der Grundlagenforschung. Das Entdecken und Dokumentieren von Schwachstellen ist ein Grundpfeiler moderner Cybersicherheit. Doch gilt dieses Thema – meines Erachtens unberechtigterweise – als langweilig und staubig. Hier gäbe es noch viel zu tun und alle anderen Bereiche könnten davon nachhaltig profitieren. Neu und sowohl technisch als auch gesellschaftlich spannend ist natürlich die Sicherheit von künstlicher Intelligenz. Hier tun sich komplett neue Forschungsfelder auf. Zwar kann auch hier auf altbewährte Ansätze zurückgegriffen werden (z. B. Injection-Angriffe). Jedoch müssen diese neu erdacht und nicht selten im gesellschaftlichen Kontext durchgesetzt werden. Diese interdisziplinäre Betrachtungsweise eröffnet einmal mehr eine neue Welt.
In der von Ihnen mitbegründeten Firma scip AG waren Sie lange für den Bereich Offensive Security Testing zuständig. Welche zentralen Learnings konnten Sie aus dieser Zeit/Tätigkeit ziehen?
Ganz viele! Eine essenzielle Erkenntnis besteht darin, dass Menschen gerne Risiken unterschätzen. Nur weil ein Angriff kompliziert erscheint, bedeutet das nicht, dass ihn nicht jemand anstreben wird. Probleme werden selten an der Wurzel gepackt. Und viele Managerinnen und Manager denken in Quartalszahlen, wodurch langfristige Investitionen – und dadurch Systematik und Nachhaltigkeit – verhindert werden.
Gibt es auch erbauliche Erkenntnisse?
Das waren jetzt tatsächlich alles Aspekte, denen eine negative Konnotation anhaftet (lacht). Aber es gibt durchaus auch Positives, denn Kreativität, Beharrlichkeit und Weitsicht werden meist belohnt. Nur weil jemand behauptet, dass etwas nicht möglich ist, heisst es noch lange nicht, dass man es nicht doch möglich machen kann. Das sind die Erfolge, auf die man hinarbeiten sollte.
Heute leiten Sie bei scip die Forschungsabteilung, die sich auf unorthodoxe Projekte wie Car Hacking und Medizinalgeräte spezialisiert hat. Was fasziniert Sie an solchen Projekten und welche Herausforderungen stellen sich dabei?
Im klassischen Bereich des Security-Testings hat man mit alltäglichen Technologien in handelsüblichem Kontext zu tun: Webapplikationen, Netzwerke, Firewalls, Antiviren-Lösungen etc. Im Forschungsbereich hingegen setzen wir uns mit «neuen» Problemen auseinander, die so noch nicht bewältigt wurden. Jedes Problem stellt eine gänzlich neue Herausforderung dar, die man nicht mit bewährten und standardisierten Mitteln angehen kann. Es braucht daher viel Mut und Kreativität, um sich diesen unbekannten Rätseln stellen zu können. Denn manchmal muss man auch eine Niederlage einstecken können. Denn auch aus einem Scheitern kann man wertvolle Erfahrungen für die Zukunft gewinnen.
Sie haben in Ihrer Forschung immer wieder neue Schwachstellen aufgedeckt. Gibt es einen speziellen Moment oder eine Entdeckung, die für Sie besonders unerwartet war?
Das ist eine sehr spannende Frage. Grundsätzlich komme ich zum Schluss, dass es nicht die technischen Herausforderungen an sich waren, die mich besonders fasziniert haben, sondern der jeweilige Kontext. Computersysteme beeinflussen Menschen in ihrem Alltag und das ist es, was eine Schwachstelle besonders spannend machen kann. Im Deutschen benutzen wir das Wort «Sicherheit» ja für verschiedene Aspekte. Doch im Englischen wird konsequent zwischen «Security» (virtuelle Sicherheit) und «Safety» (persönliche Unversehrtheit) unterschieden. Letztgenanntes ist mir besonders wichtig, da es das Ziel unserer Arbeit sein muss, dass Menschen nicht zu Schaden kommen. In diesem Zusammenhang naheliegend sind entsprechend Schwachstellen im Medizinalbereich. Aber auch Assistenzsysteme von Fahrzeugen oder Sensorik im Industriebereich gehören dazu. Alles IT-Mechanismen, die in unserem Alltag eher unbewusst als solche genutzt werden.
Sie unterrichten an verschiedenen Universitäten und Fachhochschulen. Wie haben sich die Erwartungen und das Wissen der Studierenden im Bereich Cybersecurity in den letzten Jahren verändert?
Spezialwissen ist viel einfacher zugänglich geworden als zu der Zeit, als ich als Kind in der Bibliothek nach Fachbüchern suchte. Es gibt heute unzählige Bücher, Webseiten und Youtube-Videos, die einzelne Themen im Detail besprechen. Nicht selten auf einem Niveau, für das man früher zig Jahre hätte investieren müssen, um sich dieses überhaupt zugänglich machen zu können. Entsprechend kann es vorkommen, dass Studierende technisch schon sehr gut vorbereitet sind und dementsprechend noch mehr wissen wollen. Das Verständnis für die eingesetzten Technologien ist unabdingbar, um sich sattelfest bewegen zu können. Die Schönheit entfaltet sich aber erst mit dem Mitbringen von Erfahrung, bei der man das technische Wissen mit dem effektiven Einsatz der Produkte in Einklang bringt. Aus den Büchern lernt man oft die starren Grundlagen. Das können die Studierenden auch ohne mich machen. In meinen Vorlesungen versuche ich stattdessen, sie für das Thema zu begeistern, indem ich spannende Geschichten aus meinem Berufsalltag erzähle und so den faden Grundlagen Leben einhauchen kann.
Wie sieht für Sie die Zukunft der Cybersecurity aus und welche Trends erwarten Sie in den nächsten Jahren?
Um es kurz zu sagen: höher, schneller, weiter. So lautet die Devise. Die etablierten Trends werden sich fortsetzen. Computersysteme werden günstiger und effizienter, sie werden auch weiterhin an Wichtigkeit in unserem Alltag gewinnen. Dabei wird ihre Komplexität massgeblich zur Fragilität unserer Gesellschaft beitragen. Die digitale Transformation darf ohne Rücksicht auf Cybersecurity nicht angestrebt werden, wird aber aus Gründen der wirtschaftlichen Optimierung gerne vernachlässigt. Die Anzahl der Zwischenfälle, bei denen viele Menschen empfindlich betroffen sind, wird die kommenden Jahre unweigerlich und stetig zunehmen. Ob und inwiefern irgendwann eine Umkehr zur Verbesserung stattfindet, kann ich nicht voraussagen. Zuerst muss ein grundlegendes Umdenken in unserer Gesellschaft allgemein und in der Computerindustrie im Speziellen stattfinden. Wir sind alle Teil davon.
Zur Person
Marc Ruef ist seit Ende der 1990er-Jahre im Cybersecurity-Bereich aktiv. Mit 18 Jahren gab er sein erstes Buch zur Sicherheit von Windows heraus. In den vergangenen 25 Jahren hat er an 16 Büchern mitgewirkt, über 275 Fachartikel in sieben verschiedenen Sprachen publiziert und mehr als 200 Interviews gegeben. Er gilt als einer der meistgelesenen deutschsprachigen Autoren auf seinem Fachgebiet. Zudem ist er Dozent an verschiedenen Universitäten und Fachhochschulen wie zum Beispiel an der ETH, HWZ, HSLU und IKF. Er ist Mitbegründer der Firma scip AG in Zürich, die seit 2002 Beratungen im Bereich Cybersecurity anbietet.
Schreibe einen Kommentar