Bochum. Das Horst-Görtz-Institut der Ruhr-Uni genießt weltweit Anerkennung im Bereich der IT-Sicherheit. Was ist sein Erfolgsgeheimnis?
Runder Geburtstag an der Ruhr-Uni Bochum. 20 Jahre alt ist in diesen Tagen das Horst-Görtz-Institut (HGI). Es gehört zu den größten und ältesten Instituten im Bereich der IT-Sicherheit in Europa.
160 Wissenschaftler, darunter 39 Professoren, forschen und lehren in den Bereichen Informatik, Elektro- und Informationstechnik, Mathematik sowie Geistes- und Gesellschaftswissenschaften – und das auf Spitzenniveau. Seit 2019 beheimatet das HGI den Exzellenzcluster „Casa“ (Cyber Security in the Age of Large-Scale Adversaries). Es ist der einzige deutsche Exzellenzcluster im Bereich der IT-Sicherheit, gefördert durch die Deutsche Forschungsgemeinschaft (DFG) mit 30 Millionen Euro. Seit 2018 lehrt Professorin Angela Sasse als Leiterin des Lehrstuhls Human-Centred Security am HGI. Sie hat lange in Großbritannien gelebt und gearbeitet, 2015 wurde sie in die Royal Academy of Engineering, 2023 in die Nationale Akademie der Wissenschaften Leopoldina aufgenommen.
Auch interessant
WAZ: „Frau Professorin Sasse, was ist das Besondere für Sie am heutigen Tag?“
Prof. Angela Sasse: „Die IT-Sicherheitsforschungsgruppe und die Sicherheitsausbildung in Bochum war eine der ersten in Deutschland; gegründet mit zwei Professoren, einem Mathematiker, Hans Dobbertin, und einem Elektrotechnikingenieur, Christof Paar, und finanziert mit 20 Millionen DM von der Horst-Görtz-Stiftung. Was ich beeindruckend finde, ist, dass daraus ein riesiger Studiengang und eine sehr große und international führende Forschungsaktivität erwachsen ist. Inzwischen sind es über drei Dutzend Professoren, viele Forscher, wir haben 1000 Studenten in Bachelor- und Master-Studiengängen. Es war ein stetiges Wachstum. Auch in der Ausrichtung. Als ich vor fünf Jahren aus Großbritannien nach Bochum kam, war das HGI in technischen und mathematischen Fächern exzellent aufgestellt. Nun ist auch das Thema Mensch und Sicherheit stark vertreten, mit mir gibt es noch zwei weitere Professorinnen hier am Lehrstuhl. Das Exzellenzcluster-Projekt wurde eingeworben, es gibt ein Graduiertenkolleg, eine Informatik-Fakultät, wir können auf erfolgreiche Ausgründungen verweisen und sind exponentiell gewachsen. Es ist wirklich eine fulminante Entwicklung, und ich hoffe, dass Dr. Görtz sehr glücklich und zufrieden darüber ist, dass er quasi hier kleine Eicheln gepflanzt hat und daraus sehr, sehr große Bäume geworden sind.“
„Seit Jahren werden Bochum und die Ruhr-Uni für das hohe Forschungsniveau des HGI und die Ausbildung des wissenschaftlichen Nachwuchses gepriesen. Was macht das Institut vor allem aus?“
„Das Zusammenarbeiten zwischen verschiedenen wissenschaftlichen Feldern ist das, was hier sehr früh betrieben worden ist, um die IT-Sicherheit zu entwickeln. Angefangen hat es mit den wichtigen Bausteinen Kryptographie und Netzwerk. Im nächsten Schritt ging es dann bereits um die Anwender. Unternehmen, Mitarbeitende, Bürger müssen ja damit umgehen können. Es ging und geht also um Lösungen, die auch tatsächlich in der Wirtschaft und für private Bürger einsetzbar sind.“
Größte Ausbildungsstätte für IT-Sicherheit in Europa
„Vor welchen Herausforderungen steht das Institut in den nächsten Jahren: müssen sie noch mehr Geld einwerben, internationaler werden, noch mehr ausbilden?“
„All diese Faktoren spielen eine Rolle. Natürlich ist die Nachfrage nach ausgebildeten Fachkräften sehr hoch, und wir sind die größte akademische Ausbildungsstätte in Europa. Unsere Absolventen sind begehrt auf dem Markt. Gerade bei Masterabsolventen sehe ich es immer wieder, dass sie schon eine Stelle haben, bevor sie ihren Abschluss gemacht haben. Wir müssen auf jeden Fall in der Forschung vorne dabei sein und für unseren eigenen wissenschaftlichen Nachwuchs sorgen. Spitzenforschung ist für uns der absolute Raketentreibstoff. Das ist das, was uns antreibt. Aber uns ist auch bewusst, dass wir für die Wirtschaft und die Gesellschaft arbeiten. Wichtig ist es zum Beispiel, frühzeitig mit Software- und Hardware-Ingenieuren zusammen zu arbeiten und dafür zu sorgen, dass bei der Entwicklung von Programmen und Geräten IT-Sicherheit von Anfang an mitgedacht wird.“
„Das ist noch nicht selbstverständlich?“
„Nein, das ist leider immer noch nicht selbstverständlich. Es geht auch um den Schutz der Privatsphäre und die Frage, welche Daten wir vielleicht selbst verwalten sollen, anstatt sie Dienstleistern zu geben, also das Thema digitale Souveränität.“
Auch interessant
„Sie sind eigentlich Psychologin. Wie sind Sie zur IT-Sicherheit gekommen?“
„Ich habe in den 1980er Jahren damit begonnen, mich mit Computern zu beschäftigen. Ich habe mich gefragt, warum es so schwer zu sein scheint, sie richtig zu verstehen und zu nutzen und habe das dann quasi zum Forschungsgegenstand gemacht. Ich wollte sehen, was man wissen und verstehen muss, um Computer richtig benutzen zu können? Mit der rasanten Digitalisierung, als plötzlich alle – vom Reisebüro über Ärzte und Lehrern bis zu Mathematikern und Elektrotechnikern – Computer benutzten, war das eine wichtige gesellschaftliche Frage. Aber es geht ja nicht darum, jeden zum IT-Experten zu machen, sondern wir müssen die IT als Werkzeug so gestalten, dass die Menschen sie einfach benutzen können. So bin ich zwischen Master und Promotion in die Informatik gewechselt. In die IT-Sicherheit bin ich dann eher zufällig gestolpert, weil eine Firma, mit der ich damals zusammengearbeitet habe, mich um Rat gefragt hat. Sie hatte 100 Leute an ihrem Support-Desk, die sich nur damit beschäftigten, Passwörter von Angestellten zurückzusetzen, weil diese sich die Passwörter nicht merken können. Die Wirtschaftsprüfer haben die Hände über den Kopf geschlagen und gesagt, das könne so nicht weitergehen. Ich habe mir das mit einer damaligen Doktorandin angeschaut und uns war schnell klar, dass da Menschen Dinge abverlangt wurden, die nicht leistbar waren – lange, komplizierte Passwörter, die immer wieder geändert wurden. Wir haben gesagt, es muss einfachere Lösungen geben, z.B. Authentifizierungsverfahren. Heute gibt es biometrische Verfahren, Passwort-Manager und anderes.“
Sicherheitslösungen müssen sich am Menschen orientieren
„Das ist eine der verbrauchernahen Aspekte der IT-Sicherheit.“
„Ja. Und es ist ein wichtiger Baustein in der Ausbildung, einer der wichtigsten Bausteine; eben den Programmierern und Ingenieuren beizubringen, dass Sicherheitslösungen nur funktionieren können, wenn die Menschen, denen etwas abverlangt wird, das auch leisten und sie außerdem ihre Arbeit machen können. Eine der Herausforderungen der Digitalisierung ist momentan noch, dass wir sichere Routinen entwickeln, die wir automatisch ausführen können und uns daher nicht belasten.“
Wie groß ist das Verständnis bei Anwendern z.B. in der Wirtschaft für IT-Sicherheit?“
„Es gibt manchmal ein nicht ganz richtiges Verständnis von Sicherheit. Etwa die Meinung, mit einer Zertifizierung sei Sicherheit garantiert. Das ist es aber nicht, sondern Sicherheit ist wirklich das, was wir jeden Tag tun, eine ständige Aufgabe. Zumal die Angreifer sich permanent entwickeln und raffiniertere Methoden verwenden. Wir müssen immer etwas verbessern, es gibt keinen Stillstand auf diesem Gebiet.“
„IT-Sicherheit und Frauen. Vor zehn Jahren war das vermutlich exotisch. Ist es heute Normalität? In Ihrem Lehrstuhl gibt es ausschließlich Professorinnen.
„In der Wissenschaft hat sich schon einiges getan, nicht nur bei uns am Lehrstuhl. Es gibt längst auch Forscherinnen, auch Professorinnen, in früher fast nur von Männern besetzten Feldern wie Informatik und Kryptographie. Gerade an Hochschulen wird Diversität gefördert. 20 bis 30 Prozent der Studierenden und Forschenden sind Frauen. Bei Software-Firmen und IT-Sicherheitsunternehmen, gerade bei kleineren und mittleren Firmen, ist das längst noch nicht der Fall. Dort scheint IT-Sicherheit noch ein sehr männlich besetztes Feld zu sein.“
„Wie lässt sich das verändern?“
IT-Sicherheit ist Teamsport
„Wir müssen besser kommunizieren, dass IT-Sicherheit kein rein technisches Fach ist. Es ist Teamsport. Viele verschiedene Parteien im Unternehmen müssen zusammenkommen und zusammenarbeiten, um wirklich gute, effektive und effiziente Lösungen zu entwickeln und auch dafür zu sorgen, dass die tatsächlich vor Ort gelebt und umgesetzt werden. Es hat sich gezeigt, dass das oft bei männlichen IT-Sicherheitsleuten in der Praxis ein Problem ist. Da geht es um die Softskills, z.B. wie kommuniziere ich effektiv und wie mache ich meine Position klar und höre dem anderen aufmerksam zu, auch wenn ich meine Position für die Richtige halte.
Auch interessant
„Heißt das, Forschung und Wirtschaft sollten sich allein schon deshalb um mehr Frauen in der IT-Sicherheit bemühen, weil sie Eigenschaften mitbringen, die das System weiterbringen; ganz abgesehen von Engpässen, die der Fachkräftemangel und die demografische Entwicklung verursachen?“
„Ja, weil sich Frauen zum Beispiel stärker dafür interessieren, wie etwas in der Praxis umgesetzt wird oder wer etwas benutzt. Frauen sind traditionell oft dadurch motiviert, etwas in der Praxis wirklich zu verändern. Wir müssen begreifen, dass Diversität viele Vorteile hat, weil sie eine breitere Intelligenz bedeutet. Grundsätzlich ist das Bewusstsein dafür schon da, an der tatsächlichen Umsetzung mangelt es oft noch.“
„Was raten Sie einer jungen Frau, die ihr Abitur gemacht hat und die sich für IT und IT-Sicherheit interessiert?“
„Es gibt viele Wege, Studiengänge wie hier an der Ruhr-Uni oder woanders ebenso wie eine Ausbildung etwa zur Fachinformatikerin. Auf jedem dieser Wege ist eine lohnende Karriere möglich. Die Nachfrage in Wissenschaft und Wirtschaft ist sehr groß.“