Interview mit Prof. Meissen

„Vernetzte Sicherheit geht uns alle an“

18. September 2017

Sichere Systeme braucht jedes Unternehmen – und Einrichtungen der öffentlichen Sicherheit ganz besonders.

Sichere IT braucht jeder – und die zentralen Stellen der öffentlichen Sicherheit ganz besonders. Welche besonderen Herausforderungen für sichere Software bei Polizei, Feuerwehr & Co, aber auch kritischen Infrastrukturen gelten, klären wir im Interview.

Prof. Meissen spricht über Verantwortung bei öffentlicher und vernetzter Sicherheit, die aktuellen Probleme und Bedrohungen in diesem Bereich und über Schulungsangebote zu Public Safety im Lernlabor Cybersicherheit.

Herausforderungen und Chancen bei Cybersicherheit: Fraunhofer-Experten im Interview

Öffentliche Sicherheit – klingt erst mal viel nach Blaulicht und wenig nach Cyber-Security. Wie viel IT aber in der öffentlichen Sicherheit steckt und welche zentrale Rolle gerade hier sichere Software spielt, erklärt Prof. Ulrich Meissen im Interview. Er leitet den Geschäftsbereich Electronic Safety and Security Systems for the Public and Industries (ESPRI) am Fraunhofer-Institut für offene Kommunikationssysteme FOKUS. Aufgrund seiner Forschungstätigkeit und seiner jahrelangen Erfahrung ist er ein zentraler Experte für öffentliche Warnsysteme und vernetzte Sicherheit in der Fraunhofer-Gesellschaft – und natürlich auch im Lernlabor Cybersicherheit.

Herr Professor Meissen, Ihr Themenschwerpunkt ist öffentliche Sicherheit, Sie entwickeln unter anderem das Bevölkerungswarnsystems KATWARN. Was hat nun Public Safety mit IT-Security zu tun?

IT-Sicherheit ist ganz zentral in der öffentlichen Sicherheit! Nehmen  wir einfach mal folgendes Beispiel: So wie der Strom aus der Steckdose kommt, verlassen wir uns darauf, dass die 110 und die 112 – also die Nummern der Polizei und der Feuerwehr – jederzeit funktionieren, und dass einem nach einem Anruf geholfen wird. Wenn nun ein Angriff die IT unserer Leitstellen in den großen Städten und in den Landkreisen lahmlegt, sodass die 110 und die 112 nicht mehr funktionieren, dann ist das ein IT-Cybersicherheitsszenario. Und genau diese IT-Sicherheitsrisiken in der öffentlichen Sicherheit betrachten wir: sowohl am Fraunhofer FOKUS als auch an der HTW Berlin wenden wir unser Fokusthema Software und Systeme auf Public Safety an. Und gerade dadurch, dass wir auch bei Ausschreibungsprozessen zu modernen Leitstellen beteiligt sind, merken wir, dass der IT-Sicherheits-Aspekt im öffentlichen Sicherheitsbereich noch viel mehr Aufmerksamkeit braucht. Zum einen das nötige Know-how bei den Behörden, zum anderen aber auch bei den Herstellern, um zukünftig bessere und sicherere Software herzustellen. Besonders deutlich wird das bei der zunehmenden Digitalisierung der Leitstellen. Früher gab es dort sehr viele Einzelprodukte, die überhaupt nicht standardisiert waren. So wurde Sprachkommunikation früher analog geregelt, gerade bei der 110 oder 112. Jetzt werden aber auch moderne, austauschbare Technologien mit eingesetzt, also zum Beispiel Voice over IP. Um diese Anwendung zu nutzen, müssen Software-Komponenten verwendet werden, die allgemein auf dem Markt verfügbar sind – was Sicherheitsrisiken für die Notruf-Nummern bedeutet. Um den Super-GAU 'die gesamte Leitstelle bricht zusammen' zu verhindern, müssen die Software-Komponenten der Bibliotheken im Bereich Voice over IP geprüft werden: Was sind die Angriffsszenarien in diesem Bereich? Ist die Software hier sicher? Ist die Software zertifiziert oder zertifizierbar? Und diese Fragestellen betreffen natürlich das gesamte Feld der öffentlichen Sicherheit: von Polizei und Feuerwehren bis hin zu kritischen Infrastrukturen, U-Bahnen etc.

Wer ist eigentlich dafür verantwortlich,  öffentliche Sicherheit herzustellen? Müssen Polizei und Feuerwehr einfach darauf achten, dass sie nicht gehackt werden?

Das ist eine ganz entscheidende Frage. Eine Entwicklung, die wir auch gerade im Forschungsbereich stark mit unterstützen, ist das Themenfeld der 'vernetzen Sicherheit'. Wir werden in Zukunft eben nicht mehr Einzelverantwortungsbereiche haben. Natürlich bleibt die Polizei für bestimmte Aufgabengebiete zuständig, und die Feuerwehr für andere Bereiche. Aber bei großen Krisenlagen, bei größeren Problemen, ist die Zusammenarbeit der einzelnen Behörden enorm wichtig. Und jetzt kommt der kritische Faktor, weshalb IT-Sicherheit so eine zentrale Rolle bei Public Safety spielt: Damit die einzelnen Behörden zusammenarbeiten können, müssen die verschiedenen IT-Systeme miteinander arbeiten können. Und vielleicht entstehen dabei zusätzlich Abhängigkeiten. Das heißt, ein Ausfall eines IT-Systems kann Nebenwirkungen bei der Polizei haben, bei der Feuerwehr, bei anderen kritischen Infrastrukturen, die sich stärker mit Daten austauschen. Diese vernetzte Sicherheit geht uns letztendlich alle an! Das geht bis zum einzelnen Bürger, der mit sicherer Software umgehen können sollte.

Die zentrale Frage: Wie stelle ich sichere Software her?

Sie haben nun schon von Zertifizierung und Qualitätssicherung gesprochen. Ihr Lernlabor des Fraunhofer FOKUS, der HTW Berlin und der TH Brandenburg trägt ja den Namen "Qualität softwarebasierter Systeme und Zertifizierung". Warum sind das aus Ihrer Sicht wichtige Bereiche der IT-Sicherheit?

Wir gehen davon aus, dass im Bereich der IT-Sicherheit die Softwarequalität und Zertifizierung Themen sind, die bisher noch gar nicht so stark in den bisherigen IT-Sicherheitsschulungen berücksichtigt wurden. Und dabei ist Software ein entscheidender Faktor – der entscheidende Baustein –, der für Sicherheit sorgen kann, der aber auch Einfallstore öffnen kann. Während man klassische IT-Sicherheitsschulungen sehr stark auf Betrieb und Angriffe konzentriert, tauchen im Arbeitsalltag zunehmende andere Herausforderungen auf: Wir setzen heutzutage Softwarekomponenten von Drittherstellern oder auch aus dem Open-Source-Bereich ein – vielleicht auch ohne zu wissen, dass wir sie einsetzen. Sicherheit kann aber nur dadurch entstehen, dass diese Software-Komponenten zertifiziert sind und einen gewissen Sicherheitsstandard erfüllen. Und da stellt sich das Problem Nummer eins: Wie stelle ich denn überhaupt sichere Software her?

… und für wen ist Softwarequalität überhaupt relevant?

Genau, das sind die großen Fragen, die nicht nur die Entwickler und Hersteller betreffen, sondern gerade auch die Anwender. Denn die Anwender müssen letztendlich im Blick haben: Welche Komponenten setze ich ein? Was bedeutet eigentlich eine zertifizierte Komponente? Was soll ich von einem Hersteller verlangen?

Nehmen wir ein Beispiel: Sie haben in einer öffentlichen Verwaltung einen großen Ausschreibungsprozess und erstellen Leistungsunterlagen, unter anderem auch zum Thema IT-Sicherheit. Da können Sie reinschreiben: "Wir möchten eine sichere Software." Punkt. Nur: was heißt sichere Software? Damit der Ausschreibende weiß, welche Zertifizierungsmöglichkeiten es gibt, welche Entwicklungsprinzipen er von Software-Herstellern verlangen muss, um sichere Software zu erhalten, ist sehr viel Know-how nötig. Aber es geht auch allein schon um Awareness-Themen: also zu wissen, welche Gefahren von Software-Komponenten ausgehen können, wie diese Gefahren gemindert und welche Sicherheitskriterien verlangt werden können. Gerade bei den Anwendern sehe ich da einen sehr großen Nachholbedarf an Wissen, um sinnvoll Software in Produktionsprozessen, im e-Gouvernement, in der öffentlichen Sicherheit, in vielen Bereichen umzusetzen. Und hier Leitlinien zu schaffen, von Möglichkeiten und Vorgehen für eine erfolgreiche Umsetzung, über Best Practices, bis hin zu einfachen Checklisten – das kann schon sehr viel helfen. Und genau das setzen wir mit unseren Schulungen um.

Was genau ist Ihr Forschungsschwerpunkt am Fraunhofer FOKUS und im gesamten Lernlabor Berlin-Brandenburg?

Ein ganz wichtiger Schwerpunkt bei uns ist Vernetzung: Wie reagieren Software-Komponenten bei Vernetzung? Welche Qualitäts- und Zertifizierungskriterien müssen wir hier als Maßstäbe im Kontext der IT-Sicherheit anlegen? Und da ist es so, dass wir auf eine Kombination aus mehreren Bereiche setzen: erstens der Forschung, insbesondere angewandte Forschung, wie sie am Fraunhofer FOKUS betrieben wird. Und zwar angewandt auf Public Safety, e-Gouvernement oder eben auch Softwarequalität und Zertifizierung. Zweitens der Weiterbildung von Fach- und Führungskräften wie von der Fraunhofer Academy, bei der direkt Forschungsergebnisse miteingebracht werden können. Und drittens auch in der Lehre unserer Studenten. Und so ist das auch im Sinne des lebenslangen Lernens: es gibt bei uns die IT-Fachkräfte, die nach Studium und Berufserfahrung wieder zurückkehren in diese Weiterbildung. Denn die Themen IT und IT-Sicherheit entwickeln sich ja ständig weiter. Ich kann nach zehn Jahren im Berufsleben nicht zwangsläufig behaupten: Ich bin auf dem neuesten Stand der IT-Sicherheit. Deshalb ist ständige Qualifizierung in diesem Feld so zentral.

Die Weiterbildung in unseren Labs ist dabei stark anwendungsorientiert, weil wir hier sowohl Polizei und Feuerwehren, als auch IT-Sicherheitsfachkräfte haben, die Szenarien vollkommen realistisch durchspielen können. Ein Beispiel: Sie kommen mit Ihrem Smartphone in einen Raum und wir zeigen auf einem Bildschirm, was wir schon alles über Sie wissen – nur weil Sie mit Ihrem Handy in diesen Raum getreten sind! Damit schaffen wir ein Bewusstsein, wie unsicher Software gerade in der W-LAN-Übertragung sein kann. Und damit machen wir Software-Entwickler darauf aufmerksam, wo typische Einfallstore sind, wo Probleme entstehen können, und wo ihre Software entsprechend verbessert werden muss.

Sicherheit ist abhängig von sicherer Software – und dem Bewusstsein darüber

Wie beurteilen Sie denn zurzeit die Lage zu "Public Safety"? Welche Themen sind hier akut?

Das Problem, das wir haben, ist die Abhängigkeit von unseren kritischen Infrastrukturen. Während wir früher analoge Telefonleitungen und relativ stabile Stromversorgungen hatten, ist jetzt sehr viel vom Netz und von Software abhängig. Damit wird Software ein entscheidender Faktor im Bereich der öffentlichen Sicherheit. Und da ist die Sicherheit von Software - und da kommen wir zu den Themen des Lernlabors Zertifizierung und Qualitätssicherung von Software-Komponenten - ein entscheidender Baustein. Denn gerade wenn wir von vernetzter Sicherheit reden, sind die Schadeneffekte und die kaskadierende Effekte entscheidend. Und weil dieses Thema so eine große Bedeutung hat, ist auch Awareness ein Ziel bei unseren Schulungen. Hier im Safety Lab am Fraunhofer FOKUS können die Teilnehmer erleben, was bei einem größeren Stromausfall, der beispielsweise durch ein Cyberangriffsszenario provoziert wurde, passiert; was geschieht und wie man bei solchen Ausnahmesituationen reagieren muss. Wir bilden die Personen aber nicht für bestimmte Angriffsszenarien aus, sondern es geht auch darum, Awareness zu schaffen. Es gibt Risiken, Gefahren, auf die ich mich in meiner Software-Komponenten- und in meiner Betriebs-Infrastruktur vorbereiten muss.

Bedeutet das nun, dass der IT-Aspekt von Public Safety darin besteht, das Netz zu sichern, um die öffentlichen Einrichtungen nicht zu gefährden?

Man muss Software-Komponenten so bauen, dass sie notfalls auch auf Ressourcen verzichten können. Also auch wenn das Internet mal weg ist, müssen sie im Notfallmodus immer noch ihre Grundfunktionalität erfüllen. Denn wir können mit Sicherheit davon ausgehen, dass bei Krisenlagen größere Ausfälle von Strom und Internet unvermeidbar sind. Deshalb ist es wichtig dafür zu sorgen, dass die Software-Komponenten nicht in eine Abhängigkeits-Spirale hineinkommen, die dann zu einem noch größeren kaskadierenden Ausfall-Effekt führt. Und das ist ein ganz zentrales Thema von Software-Entwicklung und Qualitätssicherung: um zertifizieren und zusichern zu können, muss diese Software robust sein. Und genau das schauen wir uns konkret im Safety Lab an und schulen das in unseren Seminaren: Was muss Software im Notfall, wenn Isolationsphasen einsetzen, auf dem einzelnen Rechner leisten können, damit die Einsatzkräfte oder das Betriebspersonal noch damit arbeiten können?

Innovationen aus Forschungsergebnissen in die tatsächliche Praxis übertragen

Und woran arbeiten Sie gerade? Können Sie uns ein aktuelles Forschungsprojekt beschreiben?

Wie ich zuvor schon erwähnt hatte, haben Behörden, aber auch die Wirtschaft im Bereich der kritischen Infrastrukturen Schwierigkeiten bei der Ausschreibung von Projekten. Ich nehme ein Beispiel: Die polizeiliche Leitstelle Berlin soll in den nächsten fünf Jahren neu ausgebaut werden, um die überholte Leitstellentechnik zu ersetzen. Das Problem, vor dem die Experten und die Behördenvertreter dort stehen, lautet: Wie kriege ich die richtige qualitätserhaltende und vor allem auch innovative Software? Als Forscher begleiten wir die Ausschreibung im Hinblick auf die Innovationsentwicklung. Bei der IT-Sicherheit raten wir beispielsweise, dass diese Leitstelle beim Start im Jahr 2021 oder 2022 vor allem die neuesten IT-Sicherheitsanforderungen - im Bereich Softwarequalität und Zertifizierung erfüllt. Da wundern Sie sich jetzt vielleicht, dass das gar nicht so sehr wie ein Forschungsthema klingt. Aber gerade hier stellen sich uns neue Fragestellungen, wie wir Innovation tatsächlich aus den Forschungsergebnissen hin in die tatsächliche Praxis bekommen. Denn wir haben zahlreiche Forschungsprojekte im Bereich Sicherheitsforschung in anderen Bereichen, und die Ergebnisse tatsächlich in die Praxis zu übertragen ist enorm schwer. Genau dieser Transfer von der Forschung in die Praxis ist zurzeit mein Hauptthema – und da ist natürlich die Weiterbildung ein ganz wichtiger Baustein.

Ein wenig haben Sie ja schon von den praxisorientierten Anwendungen und Übungen in der Weiterbildung erzählt. Was erwartet denn die Teilnehmer sonst noch in den Seminaren, die Sie anbieten?

Jeder, der schon einige Weiterbildungen gemacht hat, weiß, dass man sich in zwei Tagen nur begrenzt Wissen aneignen kann. Der Gewinn ist dann viel größer, wenn man das Wissen anwenden kann. Und deshalb ist unser Hauptziel, den Kursteilnehmern auch Inhalte und Methoden mit an die Hand zu geben, die sie dann tatsächlich in ihrem Berufsalltag einsetzen können. Konkret bedeutet das: wir richten unsere Schulungen und Unterlagen so aus, dass die Teilnehmenden einen Werkzeugkasten an Methoden, Verfahren und Checklisten mitbekommen, den sie direkt im Arbeitsalltag anwenden können. Und darüber hinaus haben wir natürlich auch den Anspruch, die neuesten Forschungsthemen und -ergebnisse mit in die Praxis zu überführen und mit unseren Seminarteilnehmern zu teilen.