Interview mit CycleSEC CTO Prof. Dr. Sebastian Schinzel Fragen und Antworten mit dem CycleSEC Gründer und Geschäftsführer

Der CycleSEC Gründer und Geschäftsführer Prof. Dr. Sebastian Schinzel unterrichtet IT-Sicherheit an der Fachhochschule Münster. Als Hochschullehrer forscht er zu Softwareschwachstellen und bildet Informatiker zu Sicherheitsexperten aus. Als Penetrationstester für Industrie und Verwaltung blickt er auf einen reichen Erfahrungsschatz zurück und weiß, welche Weichen man stellen muss, um in Sachen Security voran zu kommen.

In unserem Interview sprechen wir mit ihm über die IT-Security-Ausbildung von Informatikern, über akademische Hacker, über die besonderen Herausforderungen für Unternehmen und über die Zukunft der IT-Security.

Trenner-CycleSEC-Logos-Transparent

CycleSEC Blog: „Angriffe auf IT-Sicherheitslücken und deren Erforschung sind keine Neuheiten. IT-Security als Lehrfach an Hochschulen oder gar als Studienrichtung ist allerdings noch relativ jung. Wie kommt das?“

Sebastian Schinzel: „Die akademische Forschung zu IT-Sicherheit hatte sich lange Zeit auf Kryptografie und formale Methoden zum Beweisen von Sicherheit konzentriert. Dabei sind viele elegante Lösungen herausgekommen, die sich jedoch nicht oder nur sehr eingeschränkt auf reale IT-Systeme übertragen lassen. Angewandte Forschungen zur Sicherheit realer IT-Systeme war daher lange eine Domäne der Hackerszene ausserhalb von Hochschulen. So finden wir z.B. die ersten strukturierten Beschreibungen zum Finden und Ausnutzen von Buffer Overflow-Schwachstellen in Untergrund-Magazinen wie Phrack und nicht in akademischen Publikationen. Das hat sich zwischenzeitlich geändert. Die Betrachtung von realen Angriffen gegen IT-Systeme und wie man die Systeme vor solchen realen Angriffen schützen kann, wird zunehmend mehr in Forschung und Lehre adressiert.“

CycleSEC Blog: „Viele Unternehmens-CISOs fordern zwischen 10% und 20% des IT-Budgets für IT-Security auszugeben. Sollten analog 10% bis 20% der Informatiker IT-Security-Absolventen sein?“


„Mir wäre es lieber, wenn jeder Informatiker 10-20% seiner Zeit für IT-Sicherheit verwenden würde.“
— Prof. Dr. Sebastian Schinzel, CycleSEC CTO


Sebastian Schinzel: „Eine Trennung zwischen IT-Security-Absolvent und nicht-IT-Security-Absolvent halte ich für nicht sinnvoll. Mir wäre es lieber, wenn jeder Informatiker 10-20% seiner Zeit für IT-Sicherheit verwenden würde. Angefangen von den Projektleitern, zu den Software-Architekten, über die Entwickler zu den Testern.“

CycleSEC Blog: „Bei ca. 30 Vorlesungsveranstaltungen im Bachelor-Studium wären das zwischen 3 und 6 Veranstaltungen die sich mit IT-Security auseinandersetzen – das wäre ein ziemlicher Wandel.“

Sebastian Schinzel: „Oder es wären einfach nur einzelne Module in bestehenden Kursen. Warum soll man den Informatikern erst unsichere Programmierung beibringen und später dann sichere, wenn man das doch gleich richtig machen kann? Warum soll man Studenten erst unsichere Datenbankzugriffe beibringen und später erklären, was SQL-Injections sind und wie man sie verhindert?“

CycleSEC Blog: „Stichwort IT-Security-Forschung: Wie muss man sich das vorstellen? Ist das Hacken mit akademischem Anspruch oder steckt mehr dahinter?“

Sebastian Schinzel: „Hacken mit akademischen Anspruch ist ja schon schwierig genug!“

CycleSEC Blog: „Warum ist das so schwierig und wo haben es die
nicht-akademischen Hacker leichter?“

Sebastian Schinzel: „Um wissenschaftlich interessant zu sein, muss man neue Erkenntnisse erlangen. Ein einfacher Buffer Overflow selbst in einer kritischen Komponente reicht nicht, um wissenschaftlich interessant zu sein, weil wir ähnliche Schwachstellen schon tausendmal gesehen haben. Ein Hacker mit dem Ziel ein IT-System zu kompromittieren kümmert sich nicht darum. Er nimmt den Angriff, der funktioniert.“


„Um künftige Bedrohungslagen abschätzen zu können, sollte man sich sehr genau mit dem aktuellen Stand der Technik der Angriffe auskennen.“
— Prof. Dr. Sebastian Schinzel, CycleSEC CTO


CycleSEC Blog: „Das CycleSEC Motto lautet ‚Exzellenz und Wissenstransfer‘. Wie können Unternehmen beim Schutz vor Hackerangriffen von akademischem Wissen profitieren?“

Sebastian Schinzel: „Angriffe, die heute noch nicht als realistisch durchführbar angesehen werden, können schon wenig später realistisch sein. Um künftige Bedrohungslagen abschätzen zu können, sollte man sich sehr genau mit dem aktuellen Stand der Technik der Angriffe auskennen. Wenn Sie heute ein IT-System planen und umsetzen, dann wird dieses System auch künftigen Angriffe ausgesetzt werden. Da braucht es Weitblick bei der Planung, damit man für die Zukunft gerüstet ist.“

CycleSEC Blog: „Das akademische Wissen ist also vor allem bei strategischen Fragestellungen interessant?“

Sebastian Schinzel: „Als Wissenschaftler sollte man den aktuellen Stand der Technik sehr genau kennen. Dieses Wissen ist für unternehmen sehr wichtig, um sinnvolle Risikoabschätzungen machen zu können. Wenn Sie heute ein IT-System planen, dann stellen die Entscheidungen von heute die Weichen dafür, wie gut sich das System bei künftigen Angriffen hält. Da ist ein gewisser Weitblick unersetzlich.“


„Kritische Schwachstellen zu finden, die in der Realität ausnutzbar sind, braucht Expertenwissen und strukturiertes Vorgehen.“
— Prof. Dr. Sebastian Schinzel, CycleSEC CTO


CycleSEC Blog: „In diesem Jahr haben Sie zunächst mit einem internationalen Forscherteam eine schwere Sicherheitslücke in der Verschlüsselungstechnologie TLS 1.2 entdeckt und wenige Wochen später mit einem anderen Forscherteam eine hoch kritische Implementierungsschwachstelle in SAP vorgestellt. Was ist einfacher: Eine Sicherheitslücke zu finden, oder Sie zu schließen?“

Sebastian Schinzel: „Es ist beides schwierig. Kritische Schwachstellen zu finden, die in der Realität ausnutzbar sind, braucht Expertenwissen, strukturiertes Vorgehen und viel Geduld. Das Schließen von Schwachstellen ist technisch meist nicht anspruchsvoll, aber das Testen und Ausrollen der Anpassungen stellt Hersteller vor große organisatorische Herausforderungen, mit denen manche besser und manche schlechter umgehen können.“

CycleSEC Blog: „Das zeugt von Verständnis für die Zwänge der Hersteller wo sonst ganz gerne auf den betroffenen Unternehmen auch verbal herum-‚gehackt‘ wird?“

Sebastian Schinzel: „Wenn ein Unternehmen sich zum ersten Mal mit IT-Sicherheit auseinandersetzen muss, dann sieht dieses Verhalten von außen schon mal unprofessionell aus. Manche Unternehmen stellen sich geschickt an, manche nicht. Aus Sicht des Sicherheitsforschers, der eine Schwachstelle meldet und dann nicht angemessen behandelt wird, kann das schon sehr frustrierend sein. Deshalb sollten Unternehmen sich für solche Fälle vorbereiten und entsprechende Regeln und Zuständigkeiten festlegen.“

CycleSEC Blog: „Unternehmen profitieren von diesen Forschungsergebnissen, liefern sie doch eine detaillierte Analyse eines Produktfehlers. Sind die betroffenen Hersteller dankbar?“

Sebastian Schinzel: „Wir sind froh, wenn die Hersteller reagieren und in einem vertretbaren zeitlichen Rahmen die Schwachstellen schließen. Manche Hersteller loben sogar eine ‚Bug Bounty‘ aus, d.h. eine Art Kopf-Geld für Schwachstellen, um das Melden von Schwachstellen zu motivieren. Leider sind das die wenigsten Hersteller.“


„Man kann sich schon gut aufstellen und den Angreifern das Leben sehr schwer machen. Leider befassen sich Organisationen viel zu wenig mit IT-Sicherheit.“
— Prof. Dr. Sebastian Schinzel, CycleSEC CTO


CycleSEC Blog: „Nimmt man aktuelle Vorfälle, sieht es so aus, als seien Unternehmen und Behörden immer einen Schritt hinter den Angreifern. Ist das ein Naturgesetz oder gibt es Auswege?“

Sebastian Schinzel: „Man kann sich schon gut aufstellen und den Angreifern das Leben sehr schwer machen. Wenn das Management IT-Sicherheit als unternehmenswichtig deklariert und entsprechende Ressourcen bereit stellt, so kann man die Infrastruktur schon gut absichern und Mitarbeiter schulen. Es gibt auch gute Methoden und Tools, um Angriffe zu erkennen. Leider befassen sich Organisationen viel zu wenig mit IT-Sicherheit.“


„Vorbereitung ist der zentrale Punkt.“
— Prof. Dr. Sebastian Schinzel, CycleSEC CTO


CycleSEC Blog: „Im eigenen Haus erleiden IT-Security Experten meist das Schicksal der Kassandra, die vergeblich vor dem hölzernen Pferd und dem Untergang Trojas warnte? Hätte Kassandra Unterstützung bei der Abwehr des ersten (Holz-)Trojaners gebrauchen können?“

Sebastian Schinzel: „Vorbereitung ist hier der zentrale Punkt. Wenn ich IT-Sicherheit jetzt bereits ohne Vorfall adressiere, dann verringere ich das Risiko für einen künftigen Vorfall, ich gehe mit Vorfällen strukturierter um und ich erkenne Vorfälle leichter. Das Risiko zu ignorieren und darauf zu pokern, dass nichts passiert, ist im Jahr 2016 nicht mehr angemessen. Dazu gibt es bereits einige regulatorische Anforderungen, die Unternehmen aus bestimmten Sparten dazu zwingen, IT-Sicherheit zumindest grundlegend zu adressieren.“

Trenner-CycleSEC-Logos-Transparent

Drei Fragen zum Abschluss:


CycleSEC Blog: „Was ist der Top IT-Security-Trend für die nächsten Jahre?“

Sebastian Schinzel: “ ‚Wie können wir erkennen, dass ein Angriff erfolgreich war?‘ ist das neue ‚Wie können wir uns vor Angriffen schützen?‘

CycleSEC Blog: „Wenn Sie eine gesetzliche Regelung zur IT-Security einführen könnten, was würde in dem Paragraf stehen?“

Sebastian Schinzel: „Der Paragraf würde festlegen, dass IT-Unternehmen den Stand der Technik bei der IT-Sicherheit beachten müssen. Ähnlich wie Automobilhersteller sollten IT-Unternehmen für die Sicherheit ihrer Produkte in gewissem Umfang haften müssen.“

CycleSEC Blog: „Was antworten Sie Ihren Studenten auf die Frage, warum sie sich beruflich in Richtung IT-Security entwickeln sollten?“

Sebastian Schinzel: „Ein höchst spannendes Feld mit viel Bedarf für kreative Köpfe, Querdenker, Ingenieure, Forscher und das Ganze mit Jobgarantie.“

CycleSEC Blog: „Vielen Dank für das Gespräch.“

Sebastian Schinzel: „Gerne“

Schreibe einen Kommentar