Welche Tätigkeiten führt ein UNITS-Alumni im Unternehmen aus? Was sind die Chancen, Risiken und Problemstellungen, die einen im Arbeitsalltag beschäftigen? Antworten auf diese und weitere Fragen werden von Michael Heinl, Abteilung Product Protection & Industrial Security, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC in Garching bei München beantwortet.
Steckbrief
Name: Michael Heinl
Aktuell tätig als: Wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC in Garching bei München.
Studium:
- B.Sc., Unternehmens- und IT-Sicherheit (Hochschule Offenburg)
- M.S., Information Security and Assurance (George Mason University)
- M.Sc., Informatik (Universität Ulm)
Was schätzen Sie an dem Berufszweig der IT-Sicherheit?
Durch die zunehmende Digitalisierung ist IT und damit auch die IT-Sicherheit in immer mehr Branchen, aber auch in Bereichen des täglichen Lebens, kaum mehr wegzudenken. Dadurch ergibt sich für Menschen mit einer fundierten Ausbildung im Bereich IT-Sicherheit, eine sehr vielseitige Spanne von Beschäftigungsmöglichkeiten. Von sehr technischen Berufen, wie z. B. der maschinennahen Forschung und Entwicklung oder der IT-Forensik, über organisatorisch-koordinierende Bereiche, wie z. B. das Informationssicherheitsmanagement, bis hin zur Schulung von Studierenden, Auszubildenden oder Mitarbeitenden in Unternehmen, wo es vor allem darauf ankommt, Inhalte didaktisch aufzuarbeiten und Spaß daran zu haben, mit Menschen zu arbeiten.
Außerdem nimmt neben der wirtschaftlichen auch die gesamtgesellschaftliche Relevanz der IT-Sicherheit stetig zu. Als aktuelle Beispiele können hier z. B. die recht öffentlichkeitswirksame Diskussion, um die Vertrauenswürdigkeit von 5G-Komponenten oder aber auch das Thema elektronische Wahlverfahren genannt werden.
Was macht Ihren Job für Sie zu einem Traumjob?
Als wissenschaftlicher Mitarbeiter am Fraunhofer AISEC, habe ich das große Glück, einen Großteil der oben genannten Bereiche abdecken zu dürfen. Die Abteilung Product Protection & Industrial Security, in der ich tätig bin, beschäftigt sich vor allem mit dem Schutz von Produkten und Geräten in der Industrie und dem Automotive Bereich. Etwa, um Produktpiraterie entgegenzuwirken und mit Maßnahmen zur Absicherung von Industrieanlagen, aber auch Themen der Sicherheit im vernetzten Fahrzeug spielen eine große Rolle.
Der Schwerpunkt meines Arbeitsalltags liegt auf interdisziplinärer Forschung und Entwicklung in Zusammenarbeit mit Unternehmen verschiedener Branchen, sowie Lehrstühlen und Forschungseinrichtungen unterschiedlicher Fachrichtungen, also einer Mischung aus Vorlaufforschung und der Entwicklung konkreter Lösungen im Schulterschluss mit der Industrie.
Momentan forsche ich zum Beispiel an Verfahren, die es produzierenden Unternehmen ermöglichen sollen, auf einer cloudbasierten Plattform Maschinendaten sicher zur Verfügung zu stellen, ohne dabei geistiges Eigentum preiszugeben. Auf Seiten der Maschinenhersteller können diese Daten dann zur Optimierung der Maschinen genutzt werden und somit zur Wertschöpfung beitragen.
Durch die Betreuung von Abschlussarbeiten und die aktive Einbindung in die Lehre an der Technischen Universität München habe ich außerdem regelmäßig Kontakt mit Studierenden und kann meine eigenen Erfahrungen sowie das sich ständig erneuernde Wissen aus Forschungsprojekten weitergeben, was mir viel Freude bereitet.
Alles in allem, also eine äußerst sinnstiftende Beschäftigung, die das Label „Traumjob“ meines Erachtens durchaus verdient hat.
Welche Herausforderungen sehen Sie in Ihrem Job?
Stetig mit den neuesten Entwicklungen Schritt zu halten und sich entsprechend kontinuierlich fortzubilden, ist ein sehr großes Privileg, gleichzeitig aber sicherlich auch mit eine der größten Herausforderungen. Damit meine ich in erster Linie nicht unbedingt formale Qualifikationen im Sinne von Schulungen oder gar Abschlüssen (obwohl die natürlich auch dazugehören), sondern zum einen das alltägliche Lernen in Form von zielgerichteter und forschungsrelevanter Recherche. Zum anderen ist es aber auch wichtig, den Überblick über aktuelle Entwicklungen in den vielen verschiedenen Bereichen der IT-Sicherheit zu behalten, auch wenn sie das eigene Forschungsfeld nicht unmittelbar betreffen, da oftmals wechselseitige Abhängigkeiten bestehen. Es ist also nicht nur ein aktuelles, sondern zu einem gewissen Maße auch ein gesamtheitliches Verständnis wichtig, um mit Angreifern Schritt halten zu können. Durch den abteilungsübergreifenden Austausch am Fraunhofer AISEC, können wir uns in unterschiedlichen Bereichen der IT-Sicherheit weiterbilden. Persönliches Interesse und Eigeninitiative kann dieser Austausch allerdings nicht gänzlich ersetzen.
Welche Inhalte und Kompetenzen, die Sie in Ihrem Studium erworben haben, spielen in Ihrer beruflichen Tätigkeit eine Rolle?
Nach meinem Studium war ich zuerst als Incident Response Consultant bei IBM beschäftigt. Beim Berufseinstieg direkt geholfen haben mir deshalb sicherlich weiterführende Vorlesungen wie z. B. „Computer Forensik“ oder „Business Continuity & Disaster Recovery“.
Mit fortschreitender Berufserfahrung und nicht zuletzt in der Forschung gewinnen aufgrund der bereits erwähnten Anforderungen des lebenslangen Lernens allerdings auch die Grundlagen-Module mehr und mehr an Bedeutung. Das Verständnis der dort behandelten Sachverhalte erleichtert es, sich in der Praxis schnell in neue Themen einzuarbeiten. Diese fundierte Ausbildung in den Grundlagen ist in meinem Berufsalltag deshalb unersetzlich und ich möchte sie nicht missen.
Abseits vom offiziellen Curriculum waren es vor allem eine Vielzahl ehrenamtlicher Engagements, z. B. beim AStA, im Studierendenparlament oder als Delegierter und später Sprecher der Landesstudierendenvertretung, die mir wichtige Kompetenzen an die Hand gegeben haben. Die Zusammenarbeit mit unterschiedlichen Interessensgruppen und politischen Akteuren hat mir wertvolle Einblicke erlaubt und verständlich gemacht, wie man, basierend auf den Interessen verschiedener Statusgruppen, tragfähige Kompromisse erarbeitet.
Hierbei hat mir, um wieder den Bogen zurück zum eigentlichen Studium zu spannen, vor allem auch die Veranstaltung „Informatik & Ethik“ direkt im ersten Semester sehr geholfen. Für mich, der bis dahin auf einen größtenteils durch die Berufsbildung geprägten Werdegang zurückblicken konnte, waren die dort vermittelten Herangehensweisen sehr bereichernd und prägend. Das ging sogar soweit, dass ich im Masterstudium Philosophie als Nebenfach belegt habe.
Falls Sie noch einmal die Wahl hätten, würden Sie sich erneut für ein Studium an der Hochschule Offenburg entscheiden?
Meines Erachtens bereitet die Mischung aus Informatik, IT-Sicherheit und betriebswirtschaftlichem bzw. -organisatorischem Sachverstand sowohl ideal auf das Berufsleben als auch auf ein weiterführendes Studium vor. Gepaart mit der Einzigartigkeit eines fußläufig in ca. fünf Minuten erreichbaren Badesees in direkter Nähe zum Campus, lautet die Antwort auf diese Frage definitiv „Ja“.
Welchen Tipp möchten Sie den (IT)-Studierenden mit auf den Weg geben?
Macht möglichst vollumfänglichen Gebrauch von den reichhaltigen Möglichkeiten, die euch die Hochschule Offenburg über das eigentliche Studium hinaus bietet! Sei es das bereits erwähnte ehrenamtliche Engagement in der studentischen und akademischen Selbstverwaltung, die Unterstützung durch das International Office bei einem Studien- oder Praxisaufenthalt im Ausland oder die vielfältigen Schulungs- und Beratungsangebote des Career Centers zu Themen wie Selbstständigkeit oder Berufsorientierung. All diese Angebote haben gemein, dass sie euch dabei unterstützen, einen Blick über euren eigenen Tellerrand zu werfen, neue Menschen kennenzulernen und das Studium auch mal aus anderen Perspektiven wahrzunehmen, was alles sehr bereichernd sein kann!
Welchen Stellenwert hat Ihrer Ansicht nach die IT-Sicherheit derzeit in Unternehmen?
Die Landschaft ist hier sehr heterogen. Eine pauschale Aussage zu treffen, ist deshalb schwer. Ein Trend, den ich aber immer wieder beobachte, ist, dass größere Unternehmen sich des Risikos bewusst und auch bereit sind, aktiv gegenzusteuern. Bei kleineren und mittleren Unternehmen (KMU) fehlen dagegen häufig noch das Bewusstsein sowie die nötigen Ressourcen, da sie sich oft nicht als lukratives Ziel von Angriffen sehen. Tatsächlich ist es aber so, dass auch KMU nicht von Angriffen verschont bleiben und diese durchaus eine existenzielle Bedrohung darstellen können.
Was sind die häufigsten IT-Bedrohungen, die in Ihrem Unternehmensalltag vorkommen?
Zu den momentan medienwirksamsten und auch häufigsten Bedrohungen zählen sicherlich Angriffe durch Ransomware. Man darf aber nicht außer Acht lassen, dass Angriffe meistens mehrstufig sind und der Schaden auch schon vor dem eigentlichen Ausbruch dieser Erpressungssoftware erheblich sein kann.
Zum Beispiel dann, wenn die initiale Kompromittierung bereits einige Zeit zurückliegt, die Angreifer sich in der Zwischenzeit unbemerkt durchs Firmennetz bewegen konnten und allerlei kritische Geschäftsdaten sowie geistiges Eigentum abgeflossen sind.
Ein fehlerhaft konfigurierter oder sich nicht auf dem aktuellen Stand befindlicher Webserver, der Klick auf einen Link in einer Phishing-Email oder die Nutzung privater Speichermedien im Unternehmensnetzwerk – die Einfallstore können hier vielfältig sein. Es ist deshalb unerlässlich, den ganzheitlichen Ansatz, der im Studienganz UNITS gelehrt wird, auch in der Praxis umzusetzen: Neben den technischen als auch den organisatorischen Maßnahmen muss ebenso der Faktor Mensch berücksichtigt werden.
Welche Risiken in Bezug auf die IT-Sicherheit sehen Sie in Zukunft?
Eines der großen, kontrovers diskutierten Themen ist sicherlich das Thema Quantencomputing. Auf der einen Seite ergeben sich hier große Chancen, z. B. beim effizienten Lösen komplexer Optimierungsprobleme in Bereichen wie Logistik, Gesundheit und Klima. Auf der anderen Seite sind jedoch auch die Risiken dieser Entwicklung nicht zu vernachlässigen. So wären nach gegenwärtigem Wissensstand vor allem asymmetrische Kryptoverfahren davon betroffen und könnten mithilfe von Quantencomputern wesentlich schneller gebrochen werden. Solcherlei Verfahren sind z. B. ein integraler Bestandteil sicherer Internetkommunikation, die Anwendungen wie z. B. Onlinebanking erst möglich macht.
Was sollten Unternehmen tun, um im Bereich der IT-Sicherheit gerüstet für die Zukunft zu sein?
Gerade das Thema Quantencomputing klingt oft noch nach Zukunftsmusik. Experten auf dem Gebiet sehen jedoch eine 20-prozentige Chance, dass bis Ende der 2020er-Jahre für heutige Verschlüsselung relevante Durchbrüche erzielt werden könnten. Betrachtet man z. B. die Lebensdauer von Fertigungsmaschinen, liegt diese oftmals deutlich über einem Jahrzehnt. Hier wird klar, dass es gerade mit Hinblick auf die zunehmende industrielle Vernetzung, die unter dem Stichwort „Industrie 4.0“ zusammengefasst werden kann, wichtig ist, sich bereits heute Gedanken zu machen, um die (Maschinen‑) Kommunikation von übermorgen abzusichern. Entsprechende Postquantenkryptografie, also Verfahren, die auch den Berechnungen von Quantencomputern eine ausreichend lange Zeit standhalten, werden auch bei uns in der Fraunhofer-Gesellschaft erforscht und befinden sich gegenwärtig in der Standardisierung. Doch auch, wenn diese Verfahren noch nicht standardisiert sind, lässt sich bereits heute vorsorgen, indem das Prinzip der Kryptoagilität, also der Austauschbarkeit kryptografischer Bausteine, bei der Entwicklung berücksichtigt wird. Dies wiederum erfordert Lösungen, damit entsprechende Updates auf den Maschinen auch sicher durchgeführt werden können, womit wir wieder bei der Arbeit des Fraunhofer AISEC wären.
Vielen Dank an Herrn Heinl für unser Gespräch und die ausführlichen Informationen. Bedanken möchte ich mich zudem für den reibungslosen Ablauf des Interviews und die von ihm aufgebrachte Zeit.
Zusätzliche und weiterführende Informationen
https://www.aisec.fraunhofer.de/
https://www.aisec.fraunhofer.de/de/forschungsabteilungen/PIN.html
https://www.bsi.bund.de/DE/Publikationen/Studien/Quantencomputer/quantencomputer_node.html
https://www.bsi.bund.de/DE/Themen/Kryptografie_Kryptotechnologie/Kryptografie/PostQuantenKryptografie/postquantenkryptografie_node.html
https://www.fraunhofer.de/de/forschung/aktuelles-aus-der-forschung/quantentechnologie/quantencomputing.html
https://www.datacenter-insider.de/was-ist-post-quantum-cryptography-a-918024/
https://www.it-production.com/hardware-und-infrastruktur/produktionsdaten-sicher-in-der-cloud-verarbeiten/
Quellen
Interview mit Michael Heinl
Bildquellen
Michael Heinl: eigenes Foto
https://www.pexels.com/photo/internet-screen-security-protection-60504/