Security Ausbildung

von: Prof. Dr. Bernhard Hämmerli

Die Schweizerische Gesellschaft für Organisation und Management (SGO) proklamiert seit mehr als 30 Jahren Ausbildung als eine der ganz wichtigen Säulen, damit die Abläufe in der Aufbauorganisation gut funktionieren. Wir beleuchten für die Information & Cyber Security (ICS) das Thema Ausbildung und deren Positionierung.

In den Anfängen der Information & Cyber Security in den 90er Jahren betrachtete man zuerst ICS als ein rein technisches Thema, primär bei den Kryptologen angesiedelt. Mit der Verbreitung des PC und deren Vernetzung mit Lokal Area Networks (LAN) wurde bald klar, dass es mehr braucht als nur technische Expertise. 1993 gründeten wir die heutige Information Security Society Switzerland (ISSS), an deren Gründungsversammlung eine Ausbildung, das heutige Master of Advanced Studies Information Security (MAS-IS) an der Hochschule in Luzern mein persönliches Versprechen war. Wir setzten damals auf drei Säulen: Technologie, Organisation/Management und Recht und entwickelten die Basis des heutigen MAS-IS. Daraus entstand für die Schweiz ein strategischer Vorteil, dass unsere Ausbildung früher verfügbar war als in anderen Europäischen Ländern. Gemeinsam mit Fred Piper von Royal Holloway ,UK und Marie-Louise Ingström, Schweden boten wir eine umfassende Information Security Grundausbildung an. Das MAS-IS richtet sich primär an Arbeitende im Corporate Security Office, aber nicht an Softwareentwickler.

Unsere Security Community bekam seither jedes Jahr mehr Geld für Massnahmen, mehr Personal und mehr Mitglieder. Trotzdem verschlechterte sich die Situation im ICS Bereich jedes Jahr, und die Schäden werden jedes Jahr dramatischer und teurer: Mittlerweile leiden betroffene Unternehmen bereits an Verlusten in einer Höhe bis zu mehreren Milliarden USD pro Fall. Was ist da geschehen?

Angriffe auf die ICS scheinen sehr rentabel zu sein, rentabler als das Drogengeschäft, und werden zusätzlich zum strategischen Instrument um Dominanz in Wirtschaft und Politik zu erreichen. Die Attraktivität den Cyber-Raum zu dominieren ist so gross, dass heute täglich Souveränitätsverletzungen vorfallen und Firmen wertvolle Informationen verlieren. Wie ist das möglich?

Die Folgen der bisher fehlenden ICS Entwicklerausbildung sind offensichtlich: Informatiker und Ingenieure sind so gelenkt worden, dass primär rasch gute Funktionalität angeboten werden kann, mit einer eher drittrangigen oder noch tieferen Sicherheit. Als aktuelles Beispiel können wir die Digitalisierungsbemühungen erwähnen: Die Schweiz ist in Digitalisierung nicht mehr an der Spitze (BR Doris Leuthard Nov. 2017, Digitalisierungstag in Biel) und es geht nun darum, dass wir so rasch als möglich aufholen. Die Sicherheit scheint in der Aufholjagd zweitrangig zu sein, da Time-to-Market wichtiger ist. Für bestimmte Anwendungen mag diese Denkweise sicherlich richtig sein, aber eben nicht für alle.

Anhand des Requirement Engineerings und der sicheren Programmierung wird das Szenario noch klarer: Bill Gates, Gründer von Microsoft, hat in seinem Mail vom 17. Januar 2002 angekündigt, dass bei jeder Entscheidung Sicherheit gegen Funktionalität, die Sicherheit vorrangig zu behandeln ist. Zeitnahe wurde der Security Development Life Cycle (SDLC) definiert und innert kurzer Zeit mussten alle Entwickler SDLC Ausbildungsprogramme absolvieren, das ca. 2 Monate dauert.

Hat SDLC in der Schweiz ein Abbild gefunden? Einige Firmen haben Ihre Entwickler in Softwaresicherheit geschult, die Fachhochschulen und Universitäten haben einige Forschungsprojekte in diesen Bereichen gestartet, jedoch fand kein breiter Einzug in die Lehre bisher statt.

Deshalb war die Suche nach Inhalten und Dozierenden in den SDLC Gebieten Threat Modelling, Security Requirements und Secucure Programming im akademischen Bereich auch in 2018 immer noch sehr schwierig. Der Nachwuchs wurde bisher in der Schweiz in diesen Gebieten nicht systematisch geschult, weshalb dieses Wissen auch zu wenig verbreitet ist. Wie kann ein Industriezweig in der Schweiz ihre Systeme sichern, wenn so grundlegende Fähigkeiten bei den Entwicklern fehlen?

Zum Glück sind im Nationalrat und Ständerat heute genügend Politiker da, welche dies ICS Lage der Schweiz erkannt haben und nachhaltige Verbesserungen im ICS Bereich fordern.

Im Anschluss werden hoffentlich nicht nur vereinzelte Hochschulen das Thema ICS auf ein neues Niveau anheben: Das Thema sollte zeitnahe an allen Schulen, die Entwickler ausbilden, adäquat positioniert werden.

Bernhard Hämmerli, Studiengangleiter Information & Cyber Security
Hochschule Luzern – Informatik