IT-Systeme zu sichern ist angesichts der vielen Bedrohungen eine enorm wichtige Aufgabe. Jetzt bilden immer mehr Hochschulen IT-Security-Experten aus.

Studienreport IT-Security

Die guten Hacker

Ab jetzt wird zurückgehackt: Mit der Ende April 2021 verabschiedeten Novelle des IT-Sicherheitsgesetzes wird dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erlaubt, mit Hackermethoden für mehr Sicherheit im Netz zu sorgen. So dürfen nun Portscans durchgeführt werden, um Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen zu finden.

Damit die Befugnis nicht missbraucht wird, muss das Amt anhand einer White List sicherstellen, dass die untersuchten IP-Adressen nur auf Hardware in Deutschland verweisen. Ebenfalls zugelassen sind jetzt Tools wie Honeypots und Sinkholes. Bei Ersteren werden Cyber-Angreifer durch scheinbar attraktive Ziele von den wirklich wichtigen Systemen abgelenkt. Letztere sind wie schwarze Löcher, in die Anfragen an von Hackern kontrollierte Server umgelenkt werden. Damit sollen ahnungslose Besucher dieser Server vor Malware geschützt werden, die sie sich dort einfangen könnten.

Das verschärfte IT-Sicherheitsgesetz sieht in Kombination mit dem ebenfalls reformierten Telekommunikationsgesetz weitere Neuerungen vor, die wichtige Infrastrukturen wie Mobilfunk- und Energienetze schützen sollen. So kann das Bundesinnenministerium den Einsatz sicherheitsrelevanter Komponenten verbieten, wenn der Hersteller von der Regierung eines anderen Landes kontrolliert wird oder bereits an gefährlichen Aktivitäten beteiligt war. Eine Regelung, die beispielsweise auf den chinesischen Hersteller Huawei zutreffen könnte, der in den USA, Australien und etlichen anderen Ländern bereits vom Aufbau der 5G-Mobilfunknetze ausgeschlossen ist. Neu ist außerdem eine IT-Sicherheitskennzeichnung für vernetzte Geräte aller Art, die Konsumenten eine Orientierung beim Kauf bieten soll.

Im malerischen Stralsund an der Ostsee wird viel für die IT-Sicherheit getan: Wer den Bachelorstudiengang „IT-Sicherheit und Mobile Systeme“ wählt, hat danach beste Berufsaussichten, meint Prof. Christian Bunse. Weiter ...

Kritiker werfen der Bundesregierung vor, in Sachen IT-Sicherheit jahrelang zu wenig unternommen zu haben und mit den Gesetzesreformen nun zu zahme Regelungen von zweifelhafter Wirksamkeit vorgelegt zu haben. In einem Punkt ist man sich allerdings einig: Die Hackerangriffe und das Ausmaß der Cyber-Kriminalität sind in den letzten Jahren immer gewaltiger geworden. Was nicht zuletzt damit zusammenhängt, dass ständig neue Angriffspunkte entstehen, die von den Schurken eiskalt ausgenutzt werden.

Man denke etwa an das Internet of Things (IoT): Viele der vernetzten Geräte aller Art — vom intelligenten Heizungsthermostat über smarte Stromzähler bis hin zu vernetzten Produktionsanlagen — sind kaum gesichert. Auch das seit Beginn der Corona-Pandemie weitverbreitete Homeoffice ist eine offene Flanke, weil die Computer der Heimarbeiter meist weniger gut geschützt sind als die IT-Systeme ihrer Arbeitgeber und damit besonders beliebte Angriffsziele darstellen. Denn von dort kann man — gewissermaßen durch die Hintertür — in die Firmenserver eindringen.

Höchst brisant wird es, wenn Hacker die kritische Infrastruktur eines Staates ins Visier nehmen, zu der etwa die Energie- und Wasserversorgung, Telekommunikationsnetze, Verkehrswege, das Finanzsystem und das Gesundheitswesen zählen. Erfolgreiche Cyberattacken können hier verheerende Schäden anrichten und im Extremfalll ein ganzes Land zum Stillstand bringen. Einen kleinen Vorgeschmack gab die Attacke auf eine wichtige Ölleitung im Osten der USA vor ein paar Wochen. Schon früher gab es bei Energieleitungen ähnliche Vorfälle.

Als Hasso Plattner mit anderen SAP gründete, gab es kaum Cyberattacken. Heute sind sie alltäglich geworden. Kein Wunder, dass das Hasso-Plattner-Institut in Potsdam den Masterstudiengang Cybersecurity anbietet. Mehr dazu im Interview mit Studiengangsleiter Prof. Christian Dörr. Weiter ...

Schon kleine Attacken können dramatische Folgen haben. Das zeigte sich etwa im vergangenen September, als eine Schadsoftware durch eine Sicherheitslücke in die IT-Systeme der Uni-Klinik Düsseldorf geschmuggelt wurde. Der Eindringling verschlüsselte anschließend die Server der Uni-Klinik, was dazu führte, dass der Krankenhausbetrieb wochenlang nicht richtig funktionierte. Die Hacker, die für die Entschlüsselung der Computer Lösegeld forderten, haben sogar ein Menschenleben auf dem Gewissen: Weil die Uni-Klinik eine Notfallpatientin wegen des Serverausfalls nicht aufnehmen konnte, musste sie in ein anderes, weiter entferntes Krankenhaus umgeleitet werden. Die Verzögerung führte zum Tod der Frau.

Hacker machen sich aus unterschiedlichen Motiven ans Werk. Meist geht es um Geld — wie bei der Erpressung der Uni-Klinik in Düsseldorf. Auch der Betreiber der Ölleitung in den USA musste sich durch Lösegeld freikaufen. Lukrativ ist auch der Diebstahl von Daten, um sie anschließend zu verkaufen. Ein spektakulärer Fall liegt erst einige Wochen zurück: Facebook waren die E-Mail-Adressen und Handy-Nummern von über einer halben Milliarde Mitglieder „abhanden gekommen“. Die Daten kursierten im Netz und gelangten schließlich in die Hände von Hackern, die sie zum Versand von Phishing-SMS missbrauchten („Smishing“). Damit wurden ahnungslose Empfänger auf Websites gelockt, wo sie um ihre Zugangsdaten für Bankkonten oder andere sensible Informationen gebracht wurden.

Datendiebstahl findet oft im Zusammenhang mit Wirtschaftsspionage statt: Unternehmen oder Staaten beschaffen sich Informationen über Produktdesigns, Kunden, Vermarktungswege oder Produktionspläne von Konkurrenten im In- und Ausland, indem sie über das Internet in deren IT-Systeme eindringen.

Ein weiteres Motiv für Hacker ist Sabotage. Die Bandbreite solcher Akteure ist groß: Es können verantwortlungslose 15-Jährige sein, die Server mittels Denial-of-Server-Angriffen vorübergehend lahmlegen, um in der Szene angeben zu können. Am anderen Ende des Spektrums stehen von Regierungen engagierte IT-Experten, die in die Systeme fremder Staaten eindringen, um dort massive Schäden anzurichten oder Daten zu stehlen. Das ist nicht nur Stoff für Politthriller, es ist längst Realität. Besonders gewiefte Techniken auf diesem Gebiet haben Russland und China entwickelt, die schon öfters andere Staaten attackiert haben.

Ein beliebtes Angriffsziel sind die USA. Im letzten Jahr etwa führten Hacker, wahrscheinlich aus Russland, Cyber-Attacken durch, von denen sogar das Verteidigungsministerium, andere Ministerien und staatliche Institution und — man höre und staune — die NSA betroffen waren. Besonders schlimm: Man hatte es monatelang gar nicht bemerkt. Die USA sind im internationalen Cyberwar allerdings ebenbürtige Gegner und führen ebenfalls Angriffe auf feindlich gesinnte Staaten aus.

Regierungen oder Geheimdienste autoritärer Staaten stecken meist dahinter, wenn demokratische Wahlen, etwa mithilfe von sozialen Medien, manipuliert werden. Oder der Versuch unternommen wird, demokratische Organe eines anderen Landes zu sabotieren. So geschehen beim Bundestag-Hack im Jahr 2015, bei dem russische Hacker bis in den Computer der Bundeskanzlerin vorgedrungen sein sollen und Abgeordnetenrechner mit Malware infiziert wurden.

Mit dem technologischen Fortschritt, mit zunehmender Vernetzung und Digitalisierung wachsen auch die Gelegenheiten für Schurken aller Art, in IT-Systeme einzudringen. Zugleich nimmt der Bedarf an Fachleuten drastisch zu, die sich mit IT-Security auskennen und Systeme und Daten schützen können. Eine gute Nachricht für alle, die beruflich in diese Richtung gehen wollen. Weiterhin: Die Hochschulen bieten immer mehr Studiengänge an, bei denen man auf den Berufseinstieg vorbereitet wird.

An der Universität Bochum sind es vier Studiengänge zur IT-Sicherheit. Einer führt zum Bachelor, die drei anderen werden mit dem Master abgeschlossen. Der Bachelorstudiengang dreht sich um Hardware und Software, die Studenten befassen sich deshalb mit Elektrotechnik, Computernetzen, Rechnerarchitektur sowie mit Programmierung, Kryptografie und Netzsicherheit. In den Masterstudiengängen absolviert man ein einsemestriges Praktikum zu Themen wie „Machine Learning and Security“ oder „Schwachstellenanalyse“. Eine Besonderheit ist der Master in „Applied IT Security“, der berufsbegleitend als Fernstudium absolviert wird.

Der Master in IT-Sicherheit der FH Wedel richtet sich an Informatiker, die sich in diese Richtung spezialisieren wollen. Die Hochschule Albstadt-Sigmaringen führt den Bachelorstudiengang „IT Security“ durch, und an der Hochschule Offenburg kann man einen Bachelor in „Unternehmens- und IT-Sicherheit“ und — komplett auf Englisch unterrichteten — Master in „Enterprise and IT Security“ machen.

Die IU Internationale Hochschule in Erfurt hat mehrere Studiengänge rund um die Sicherheit der Informationstechnologie im Angebot: das Bachelorstudium Cyber Security sowie die Masterstudiengänge Computer Science in Cyber Security und Cyber Security. Alle drei Programme können berufsbegleitend als Fernstudium absolviert werden.

Die Universität des Saarlandes bietet einen Bachelor und einen Master in Cybersecurity an. Das Besondere: Beide Studiengänge werden komplett in englischer Sprache unterrichtet. Die Uni — die einzige im Saarland — ist bekannt für ihre gute Informatik-Ausbildung und ihre Forschung. Im dortigen Helmholtz-Zentrum für Informationssicherheit forschen die Mitarbeiter intensiv auf dem Gebiet der Cybersicherheit.

Wer eine akademische Ausbildung an einer kleineren Uni machen will, ist an der Uni Lübeck richtig. Dort kann man einen Bachelor und einen Master in IT-Sicherheit erwerben. Und die Uni Erlangen/Nürnberg bietet das Bachelorstudium „Informatik/IT-Sicherheit“, allerdings als Fernstudium.

Zu den eher überschaubaren Universitätsstädten gehört das hessische Darmstadt. Die dortige TU ist bekannt für ihre sehr gute Informatik-Ausbildung und bietet zahlreiche IT-Studiengänge. Dazu zählt auch ein Master in IT-Sicherheit. Die Studierenden befassen sich unter anderem mit Embedded System Security, Software Security und Kryptografie.

Ebenfalls in Darmstadt beheimatet ist die Wilhelm Büchner Hochschule. Sie bietet mehrere Bachelor- und Masterstudiengänge zur Informatik an. Zum Thema IT-Security kann man einen „Nano Degree“-Kurs belegen: In einem zwei Monate dauernden Fernstudium wird das Grundlagenwissen zum IT-Sicherheitsmanagement vermittelt. Außerdem gibt es den Bachelorstudiengang IT-Sicherheit, der als Fernstudium angeboten wird.

Einen etwas anderen Weg geht die TU München, an der seit einigen Jahren das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit angesiedelt ist. Hier wird zu Cybersicherheit geforscht. Die TU — eine Exzellenz-Uni — bietet erstaunlicherweise keinen speziellen Studiengang zur IT-Security, man kann sich jedoch im Masterstudium Informatik auf Sicherheit und Datenschutz spezialisieren.

Kann Deutschland bei der IT-Security-Forschung und -Ausbildung mithalten? Vielleicht ist es noch nicht ganz auf dem Stand der Amerikaner, Briten, Israelis, Russen und Chinesen. Wie Experten meinen, hat es zuletzt jedoch stark aufgeholt. Was dringend nötig ist, denn die Zukunft wird auch im Cyberspace entschieden.

© wisu521/514