^{Prof. Dr. Claudia Eckert, Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC; Foto: Presse/Aisec}

Frau Prof. Dr. Eckert, was zeichnet vertrauenswürdige Hardware aus? Welche Eigenschaften muss sie besitzen?

Sie arbeitet korrekt, enthält keine Hintertüren und es ist nachvollziehbar, wie und wo einzelne Komponenten entwickelt wurden. Das heißt, sie macht das und nur das, was ich erwarte. Man benötigt Werkzeuge, um Hard- und Software tiefgehend und möglichst automatisiert auf Schwachpunkte zu untersuchen – im gesamten Lebenszyklus, vom Design über die Fertigung bis hin zum operativen Einsatz.

Wie technologisch souverän ist Deutschland derzeit auf dem Gebiet der Cybersicherheit?

Technische Souveränität bedeutet, dass man unbeeinflusst von Dritten handeln kann. Man weiß, was die Hardware wirklich tut, um zu beurteilen, welche Konsequenzen eine Nutzung hätte. Es braucht Transparenz, aber auch eine Wahlmöglichkeit. Deutschland ist derzeit in sicherheitskritischen Bereichen noch stark abhängig von speziellen Technologieanbietern und es fehlt vielfach an Transparenz, um die Konsequenzen der Nutzung spezifischer Schlüsseltechnologien wirklich zu beurteilen. Kurzum: Deutschland ist aktuell nicht ausreichend technologisch souverän. Open-Source-Ansätze können Abhilfe schaffen. Nicht nur in der Software-Entwicklung – das ist ja bekannt –, sondern auch für Hardware.

Auf bestimmte Rohstoffe sind wir aber angewiesen. 

Stimmt, manche Rohstoffe kommen bei uns zu wenig oder gar nicht vor. Hier gilt es um die Ecke zu denken und nach neuen Materialien zu forschen, um die Abhängigkeit zu reduzieren. 

Ihr Forschungsprojekt „Velektronik“ wird unter anderem hier ansetzen. Was untersuchen sie dort?

Velektronik steht für vertrauenswürdige Elektronik. Hier kommt die geballte Expertise aus Forschung und Industrie zusammen, um neue Ansätze für vertrauenswürdige Elektronik zu entwickeln und umzusetzen – vom Design bis zum Betrieb.

Das Bundesamt für Sicherheit in der Informationstechnik schätzt die IT-Sicherheitslage in Deutschland als angespannt bis kritisch ein. Im Schnitt wurden im Zeitraum von Juni 2020 bis Mai 2021 täglich 394.000 neue Schadsoftware-Varianten bekannt. Lassen sich Cyberangriffe überhaupt vermeiden? 

Nein, man wird Angriffe nie gänzlich vermeiden können. Es ist ein Rennen zwischen Hase und Igel. Als Forschende wollen wir natürlich der Hase sein, der die Nase vorn hat. Ab und zu müssen wir aber doch feststellen, dass der Igel einen Schleichweg findet und vorbeizieht. Das geschieht, um im Bild zu bleiben, weil sich der Parcours während des Rennens technisch so ändert, dass der Igel als Angreifer neue Möglichkeiten hat, z. B. durch neue Softwareversionen, zusätzliche Funktionen oder neue Schnittstellen, die das System mit anderen vernetzen. Dann müssen die angreifbaren Bereiche analysiert und Lücken systematisch geschlossen werden. Um schädliche Auswirkungen von Angriffen so gering wie eben möglich zu halten, müssen wir Cybersicherheit konsequent als Prozess verstehen und leben, also kontinuierlich die Sicherheit von Systemen analysieren, Erfahrungen offen teilen und Probleme zügig beheben. 

Sie forschen an neuen Techniken zur Erhöhung der Robustheit von IT-Systemen. Welche Herausforderungen erwarten Sie für die IT-Sicherheit in der näheren Zukunft?

Wir bekommen jetzt schon einen Vorgeschmack auf eine mögliche Veränderung der Cybersicherheit durch die geopolitische Lage. Staatliche Angriffe sind viel präsenter als bislang, als es eher um kommerzielle Interessen ging, wie mittels Ransomware Geld zu erpressen. Nun sind Hacker-Trupps im staatlichen Auftrag unterwegs, um an Daten zu gelangen oder technische Infrastrukturen zu unterwandern, damit sie bei Bedarf, sozusagen auf Knopfdruck, lahmgelegt werden könnten. Dagegen müssen wir Vorkehrungen treffen. Dazu gehört frühzeitig zu erkennen, dass Angreifer versuchen, schädlichen Code im System zu platzieren. Wir müssen dafür die Designs der Systeme verbessern, aber auch u. a. mit KI-Verfahren früh und automatisiert merken, wenn ungewöhnliche Aktivitäten auf dem System stattfinden. Im Sinne von Zero-Trust darf nichts mehr als vertrauenswürdig per se angenommen werden, nur weil es sich z. B. im internen Netz abspielt. Jede Aktion muss kontrolliert werden.

Um bei einer erfolgreichen Attacke schnell wieder arbeitsfähig zu werden, gilt es Strategien zu entwickeln und mit Technologien zu unterfüttern, ohne womöglich neue Angriffsflächen zu bieten. Bei Ransomware-Angriffen hilft meist schon eine gute Backup-Strategie. Bleiben die Daten des Backups aber ungeschützt, machen wir uns dadurch erst recht angreifbar.

Es kommen ständig neue Herausforderungen auf uns zu. Denken Sie z. B. an den Mobilfunk: Spätestens bei 6G werden Millionen Geräte vom kleinsten Sensor über smarte IoT-Geräte bis hin zu Cloud-Plattformen miteinander vernetzt sein. Unsichere Produkte kommunizieren mit sicherheitskritischen Komponenten. Wir benötigen Sicherheitsarchitekturen und -lösungen, die den Angreifern den entscheidenden Schritt voraus sind. Das gelingt durch vertrauenswürdige Designs, das sichere Einbinden unsicherer Teile und das kontinuierliche Überwachen des Sicherheitszustands. An all diesen Herausforderungen forschen wir, entwickeln Lösungen und erproben diese zusammen mit unseren Partnern. 

Prof. Dr. Claudia Eckert leitet das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC sowie den Lehrstuhl für Sicherheit in der Informatik an der Technischen Universität München. Zudem berät die Informatikerin als Mitglied bedeutender wissenschaftlicher und industrieller Gremien Unternehmen und die öffentliche Hand in allen Fragen der IT-Sicherheit.