Manuel Koschuch hat Telematik studiert. Während des Studiums hat er sich auf Kryptografie in eingebetteten Systemen spezialisiert. Heute lehrt er und forscht im Kompetenzzentrum für IT-Security an der FH Campus Wien. Silvia Schmidt war selbst Masterstudentin der IT-Security an der FH Campus Wien. Inzwischen unterrichtet sie IT-Security in mehreren Studiengängen, leitet das Cyber Security-Team und hat als Projektleiterin ein IoT Security Lab ins Leben gerufen.
Manuel Koschuch: Das starke Wachstum des Internets rund um die Jahrtausendwende war gleichzeitig ein Nährboden für Computerviren. Im Jahr 2000 ging der ILOVEYOU-Virus per E-Mail um die Welt und richtete letztendlich einen geschätzten Schaden von etwa zehn Milliarden Dollar an. Zu dieser Zeit ging es noch um reinen Computervandalismus oder politischen Aktivismus. Inzwischen ist das Eindringen in fremde Systeme ein Business: Heute geht es um Geld oder Industriespionage.Silvia Schmidt: Denken wir nur an die Schadsoftware Mirai, die sich 2016 über Hunderttausende Geräte des Internet of Things (IoT) verbreitete. Sie wurde bewusst dafür verwendet, um Unternehmen mit angedrohter Netzüberlastung zu erpressen sowie um Klickbetrug – also das simulierte Anklicken von Werbelinks – zu betreiben.
Manuel Koschuch: Als wir unseren Masterstudiengang vor zehn Jahren ins Leben gerufen haben, standen Themen wie Kryptografie, Forensik und Netzwerksicherheit im Fokus. Die Studieninhalte bleiben – genauso wie unsere Umwelt – aber nicht statisch, sondern wir entwickeln sie laufend weiter: Heute geht es auch um Cyber Security, Penetration Testing, Mobile and Embedded Security oder sichere Softwareentwicklung. Der Faktor Mensch ist uns dabei seit Beginn sehr wichtig – wie ist die menschliche Wahrnehmung, wie sind seine Handlungsweisen?Silvia Schmidt: Um Studierende spielerisch an Kryptografie und Penetration Testing heranzuführen, laden wir sie in unserem Cyber Security-Team zu Hacking Challenges ein, bei denen sie unter anderem Logins auf Webseiten knacken und kryptografische Aufgabenstellungen lösen müssen. Im kommenden Studienjahr werden sie auch mit Produkten aus unserem Embedded Lab Vienna for IoT & Security (ELVIS) arbeiten, das von der Stadt Wien – MA 23 gefördert wird.
Manuel Koschuch: Eine besondere Herausforderung des IoT ist die große Zahl sehr heterogener Geräte, die kostengünstig hergestellt werden. Um die Komplexität und Kosten von Produkten niedrig zu halten, gehen Hersteller immer wieder Kompromisse im Hinblick auf Security ein. Hinzu kommt, dass sich diese Devices auf physische Lebensbereiche auswirken: Sie kontrollieren Temperatur oder Licht, steuern Autos oder gar medizinische Geräte wie Herzschrittmacher. Security-Themen können sehr schnell zu Safety-Themen werden, wenn Menschen direkt betroffen sind.Silvia Schmidt: Wir beschäftigen uns im Studiengang aktiv mit der Sicherheit im IoT, beispielsweise mit smarten Türschlössern, mit Bluetooth Hacking oder WLAN-Sicherheit. In der Lehrveranstaltung Mobile and Embedded Security binden wir diese Inhalte in den Unterricht ein und thematisieren aktuelle Vorkommnisse. Studierende untersuchen smarte Devices auf ihre Schwachstellen und lernen, Security-Aspekte bereits in der Produktentwicklung zu berücksichtigen.
Silvia Schmidt: Uns ist es ein besonderes Anliegen, Basiswissen zur IT-Security themenspezifisch angepasst auch in andere Studiengänge zu tragen. Im Gesundheitsbereich ist es im Hinblick auf Sicherheit und Datenschutz wichtig, ein Bewusstsein für I(o)T-Security zu schaffen, wenn Befunde und Bilddaten per E-Mail versendet werden. In der Bioinformatik implementieren wir im Rahmen unseres IoT-Labs Sensoren so, dass Studierende ihre gesammelten Daten gut und sicher aufbereiten können. Auch in Studiengängen wie Clinical Engineering oder Health Assisting Engineering ist ein Bewusstsein für das IoT und dessen Security essenziell für den Berufsalltag.
Manuel Koschuch: Früher wurden noch Generalist*innen zum Thema Security für ein gesamtes Unternehmen gesucht, um Strukturen aufzubauen. Heute kommen Absolvent*innen in bereits bestehende Strukturen, in denen dringend Verstärkung benötigt wird. Unsere Studierenden erhalten meist noch während ihres Studiums Angebote von Unternehmen und haben spätestens bei ihrem Abschluss einen (neuen) Job.Silvia Schmidt: Viele Kolleg*innen, die mit mir 2015 absolviert haben, landeten in der Softwareentwicklung, einige sind inzwischen selbstständig oder im IT-Consulting-Bereich tätig. Der Trend geht in Richtung Pen-Testing-Unternehmen und Security Operation Center (SOC) in großen IT-Abteilungen, da besteht enormer Bedarf. In diesem Bereich finden sich derzeit die höchsten Einstiegsgehälter und die besten Gehaltssteigerungen.
Manuel Koschuch: In der Security-Community meinen viele, dass man die Awareness der Nutzer*innen steigern müsse. Doch es sind nicht immer die Endbenutzer*innen schuld an Sicherheitsrisiken. Wir müssen Security-Systeme bedienungsfreundlicher machen, mehr in Richtung „Usable Security“ denken: Sind Nutzer*innen schuld, wenn sie unsichere Passwörter wählen? Oder gibt es vielleicht bessere Alternativen, z. B. Security Token? Wir versuchen, unseren Studierenden diese Gedanken in der Ausbildung mitzugeben.
Matthias Peter Hudler
Studiengangsleiter IT-Security, Leiter Kompetenzzentrum für IT-Security
Masterstudium IT-Security Kompetenzzentrum für IT-Security