Cyberagentur evaluiert mit hoher Expertise
Mit dem Wettbewerb „Existenzbedrohende Risiken aus dem Cyber- und Informationsraum – Hochsicherheit in sicherheitskritischen und verteidigungsrelevanten Szenarien“ (HSK) hat die Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) am Ende des letzten Jahres ein wichtiges Forschungsprojekt auf den Weg gebracht. Ein Millionen-Auftrag zur Cybersicherheit Kritischer Infrastruktur, der im September mit drei Forschungsverbünden in die zweite Phase startete.
Für die Bewertung der eingereichten Konzepte in der ersten Phase des Wettbewerbs hat die Cyberagentur eine Fachjury gebildet. Sie setzt sich aus Forschern der Cyberagentur und zwei externen Experten zusammen. Die externen Mitglieder sind Dr. Harald Niggemann, Cyber Security Strategist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Oberstleutnant Christoph Kühn, Dezernatsleiter im Zentrum für Cyber-Sicherheit der Bundeswehr. In einem Interview mit der Cyberagentur sprachen beide über den Wettbewerb, die inhaltlichen Herausforderungen und die Aussichten.
Frage: Wie wurden Sie für die Jury-Tätigkeit ausgewählt und wie ist Ihr Eindruck nach einem Jahr Jury-Tätigkeit?
Dr. Harald Niggemann: Der HSK-Wettbewerb befasst sich mit einem Spektrum an Themen aus allen drei Säulen der Cybersicherheit: Prävention, Detektion und Reaktion. Für das BSI stand daher von Anfang an fest, dass für diese Jury-Tätigkeit ein breiter Erfahrungshintergrund in unterschiedlichen Facetten notwendig ist. Da ich seit vielen Jahren an strategischen Aspekten und Grundlagen der operativen Cybersicherheit im BSI arbeite und zudem bereits in anderen Projekten Jury-Erfahrungen sammeln konnte, habe ich diese Aufgabe natürlich sehr gerne übernommen. Das erste Jury-Jahr war für mich eine hervorragende Gelegenheit, mich intensiv mit neuen Forschungsansätzen zu befassen, und zwar nicht nur anhand der eingereichten Konzepte, sondern auch im Austausch mit den anderen Jury-Mitgliedern.
Christoph Kühn: Im Juli 2022 wurden mögliche Jury-Mitwirkende für dieses Projekt gesucht. Da mich Wissenschaft und Forschung interessieren und das Projekt meiner aktuellen Aufgabe ähnlich ist, habe ich mich beworben. Mein Dezernat im Zentrum für Cyber-Sicherheit der Bundeswehr (ZCSBw) befasst sich mit Cyber-Bedrohungen, -Gefährdungen und -Risiken. Das ZCSBw als Ganzes schützt die Informationen und die Informationstechnik der Bundeswehr in verschiedenen Aspekten.
Meine Vorgesetzten unterstützten das Engagement, auch wenn wir uns alle bewusst waren, dass hier zusätzliche Arbeit und Aufwand notwendig sind. Anscheinend passte alles und ich wurde ausgewählt.
Die Arbeit macht Spaß, obwohl viel Zeit investiert werden muss. Gerade in den Phasen, in denen Dokumente evaluiert werden müssen, komme ich nicht umhin, diese auch in der Freizeit zu lesen und zu kommentieren. Über mehrere Tage hinweg Stunden im Büro zu sitzen, um konzentriert zu lesen, ist als Dezernatsleiter in einem operativen Bereich einfach nicht drin.
Das Team der Cyberagentur bindet uns zwei Externe sehr gut ein und man erkennt, dass auf unsere Meinung Wert gelegt wird. Deshalb wende ich die Zeit gerne auf.
Frage: Worin sehen Sie die Bedeutung des laufenden Wettbewerbs? Was erhoffen Sie sich von dem Wettbewerb?
Dr. Harald Niggemann: Cyberangriffe entwickeln sich sowohl technologisch als auch hinsichtlich der Vorgehensweisen ständig weiter. Sie betreffen alle Gesellschaftsbereiche, insbesondere auch die Kritischen Infrastrukturen, also Dienstleistungen, die für die Versorgung der Bevölkerung besonders wichtig sind. Ohne innovative Ansätze, die auf wissenschaftlichen Erkenntnissen basieren, werden wir diesen Gefahren zukünftig nicht adäquat entgegenwirken können. Dafür benötigen wir die gesamte Kette von der Grundlagenforschung bis hin zur Entwicklung marktfähiger Produkte. Der HSK-Wettbewerb ist hierzu ein wichtiger Beitrag, denn er ermöglicht die Beauftragung von herausragenden Forschungsvorhaben, die die ausgetretenen Pfade verlassen.
Christoph Kühn: Die Cyberagentur fördert mit dem Projekt hochrisiko-behaftete Forschung. Ich glaube nicht, dass insbesondere bei Firmen und Startups, aber auch bei Universitäten, welche auf Drittmittel angewiesen sind, ohne die Projektmittel der Cyberagentur an diesen Themen so intensiv geforscht werden könnte. Genau hierfür ist die Cyberagentur gegründet worden: die Souveränität Deutschlands auch in der Cybersicherheit und ihren Schlüsseltechnologien sicherzustellen.
Wir werden die Forschungsergebnisse nicht unmittelbar einsetzen können. Aber wenn wir auf die Laufzeit von Rüstungsprojekten schauen, wird klar, dass wir weit in die Zukunft blicken müssen, um diese bereits im Design sicher zu gestalten. Auch wenn die Bundeswehr gemäß Definition nicht zur Kritischen Infrastruktur zählt, ist die Einsatzfähigkeit der Bundeswehr essenziell für Deutschland.
Frage: Was sind die Problemfragen, die an die künftige Cybersicherheit der Kritischen Infrastruktur gestellt werden?
Christoph Kühn: Unsere Welt ist geprägt von Komplexität und Vernetzung. Dies führt unweigerlich dazu, dass Systeme Angriffsflächen bieten, welche mit heutigen Mitteln und verfügbarem Fachpersonal nicht immer ausreichend geschützt werden können. Deshalb benötigen wir Verfahren und Werkzeuge, die uns dabei unterstützen, Angriffe im Cyber- und Informationsraum (CIR) zu verhindern, zu detektieren und zu reagieren. Natürlich spielt hier auch immer das Thema künstliche Intelligenz eine wichtige Rolle. Schließlich müssen wir davon ausgehen, dass auch Angreifer diese Methoden nutzen. Sehr gut gefällt mir, dass alle verbliebenen Konsortien nicht nur Einzelaspekte betrachten, sondern einen holistischen Ansatz gewählt haben.
Dr. Harald Niggemann: Ich möchte zwei Aspekte herausgreifen, die aus meiner Sicht besonders wichtig sind. Der Erste ist die Notwendigkeit zur Automatisierung. Cyberangriffe betreffen oft viele Systeme gleichzeitig und erfordern häufig sehr schnelle Aktivitäten, um den potenziellen Schaden zu begrenzen. Manuelles Eingreifen wird hierfür immer weniger praktikabel. Der zweite Aspekt ist die Sicherheit in der gesamten Lieferkette. In den vergangenen Jahren stand vor allem der sichere Betrieb bei den Anwendern von Informationstechnik im Vordergrund. Wir werden aber nur dann eine angemessene Cybersicherheit gewährleisten können, wenn wir dies von Anfang an bei der Entwicklung von Komponenten und Zulieferkomponenten mitdenken.
Frage: Sie sind beide in einer eher operativen Rolle tätig. Welchen Eindruck haben Sie von der akademischen Seite gewonnen und gibt es Erkenntnisse (fachlicher oder prozessualer Natur), die Sie für Ihre Tätigkeit übernehmen können?
Dr. Harald Niggemann: Die Arbeitsweise und die Dienstleistungen des BSI, auch im Bereich der operativen Cybersicherheit, basieren auf wissenschaftlichen Erkenntnissen. Der kontinuierliche Austausch mit universitären und außeruniversitären Forschungseinrichtungen ist daher eine wesentliche Grundlage unserer Arbeit. Der besondere Mehrwert des HSK-Wettbewerbs liegt aus meiner Sicht im Wagnis. Die Cyberagentur erwartet in diesem Wettbewerb von den Antragstellern die Bereitschaft, abseits der bekannten Ansätze nach neuen Lösungen zu suchen, auch wenn dadurch der Verlauf des Vorhabens weniger gut vorhersagbar wird. Bereits jetzt konnte ich aus den bewerteten Konzepten zahlreiche Ideen lernen und die Hauptergebnisse liegen ja erst noch vor uns.
Christoph Kühn: Ich wurde wunderbar aufgenommen und meine Meinung wird geschätzt, obwohl ich der Einzige ohne Doktortitel in der Jury bin (lacht). Gerade der Mix aus akademischem und operativem Personal in der Jury macht es möglich, Projekte differenziert zu bewerten. Auch wenn ich im operativen Bereich tätig bin, so bringt meine Position als Dezernatsleiter mit sich, dass ich häufig Dokumente und Inhalte erfassen, Schwerpunkte und Schlüsselaussagen erkennen, diese bewerten und Schlussfolgerungen ziehen muss. Dies ist von akademischer Arbeit nicht weit entfernt.
Es war für mich interessant, die unterschiedlichen Ansätze der Wettbewerber sowie deren Sicht auf das Gesamtproblem zu sehen. Diese haben mir neue Zusammenhänge erschlossen, die ich wahrscheinlich sonst nicht gesehen hätte. Davon habe ich schon in anderen Arbeitsgruppen, aber auch in meiner täglichen Arbeit, profitieren können.
Häufig entwickeln Gruppen über die Jahre eine eigene Fachsprache. Für die Bundeswehr und ihre Abkürzungen ist dies ja sogar sprichwörtlich. Auch hier musste ich mich erstmal wieder daran gewöhnen, Fachbegriffe der anderen zu verstehen und mich selbst mit meinen zurückzuhalten. Auch dies ist ein Softskill, den ich verbessern konnte.
Wie profitieren Ihre Organisationen von Ihrer Tätigkeit als Jury-Mitglied?
Dr. Harald Niggemann: Zum einen ist die Jury-Mitgliedschaft eine weitere Möglichkeit für das BSI, seine Erfahrungen in der Prävention, Detektion und schadensmindernden Reaktion in die Forschungslandschaft einzubringen. Dies gilt beispielsweise für die praktische Arbeit im Nationalen IT-Lagezentrum und im Computer Emergency Response Team Bund (CERT-Bund), die beide im BSI angesiedelt sind. Genauso wichtig ist dem BSI aber auch der umgekehrte Informationsfluss. Wie bereits dargestellt, ist die Cybersicherheit auf neue Impulse aus Forschung und Wissenschaft angewiesen.
Christoph Kühn: Augenblicklich arbeitet leider kein Personal mit umfassender militärischer Erfahrung permanent in der Cyberagentur. Mit mir als Teil des externen Juryteams werden vorhandene Expertisen um den Blickwinkel militärische Verteidigung erweitert und die sich bewerbenden Projektgruppen aufgefordert, sich hierzu ebenfalls Gedanken zu machen.
Für mich hat sich insbesondere gezeigt, dass die unmittelbaren Gespräche bei Workshops vor Ort oder in längeren Web-Konferenzen die Zusammenarbeit und das gegenseitige Verständnis verbessern. Im fachlichen Dialog oder auch bei Nebengesprächen kommt man plötzlich auf Dinge, welche in einer schriftlichen Kommentierung oder E-Mail nicht thematisiert worden wären. Hierbei werden auch Themen angeschnitten, welche für andere Projekte relevant sind oder die allgemeine militärische Sicht verdeutlichen. Deshalb halte ich den Aufwand für Präsenz vor Ort für mehr als gerechtfertigt.
Welchen Rat würden Sie künftigen Jury-Mitgliedern mit auf den Weg geben?
Christoph Kühn: Freuen Sie sich auf die Arbeit und die Erfahrungen und treten Sie locker und gelassen in die akademische Welt ein. Dies ist aber keine Aufgabe, die mit einigen wenigen kurzen Besprechungen getan ist. Bis jetzt habe ich über 20 Arbeitstage investiert und das Projekt läuft noch über drei Jahre. Den Aufwand ist es sicherlich wert, aber man muss die Zeit im eigenen Terminplan und Aufgabenportfolio auch finden können.
Dr. Harald Niggemann: Als Jury-Mitglied habe ich mir zum Ziel gesetzt, bei der Bewertung der Einreichungen einerseits natürlich auf meine Erfahrungen auf dem Gebiet der Cybersicherheit zurückzugreifen, andererseits aber auch bereit zu sein, die etablierten Lösungen in Frage zu stellen. Um zu möglichst objektiven Bewertungen zu kommen, muss ich mich auf neue Ansätze einlassen können, sofern sie fundiert, plausibel und erfolgversprechend sind.
Weitere Informationen: https://www.cyberagentur.de/hsk/