Vom 13. bis 15. März 2023 fand in Berlin die Nationale Konferenz IT-Sicherheitsforschung statt. Mehr als 300 Teilnehmende aus Wissenschaft, Wirtschaft und Politik diskutierten an den drei Tagen, Themen wie die sichere Gestaltung der hyperkonnektiven Gesellschaft, den sicheren Umgang mit Künstlicher Intelligenz (KI), Quantenkommunikation oder technologische Souveränität in der IT-Sicherheit.
Eingeläutet wurde die BMBF-Konferenz mit einem öffentlichen Vorabendprogramm am 13. März unter dem Motto „Digital und vernetzt – IT-Sicherheit im Alltag“, bei dem sich die Teilnehmenden in entspannter Atmosphäre kennenlernen konnten und vier Forschende bei einem Science Slam unterhaltsam ihre Arbeit präsentierten. Dr. Constanze Kurz, Sprecherin des Chaos Computer Clubs, hielt einen kurzweiligen Vortrag zum Thema „Sicher leben, wenn alles vernetzt ist?“. Constanze Kurz, die auch für Netzpolitik.org als Journalistin arbeitet, konstatierte darin eine gewisse Sättigung der Öffentlichkeit im Hinblick auf Nachrichten zu Cybersicherheitsvorfällen. Sie forderte, dass Forschende sich gerade deshalb immer wieder in den öffentlichen Diskurs einmischen sollten, um die Aufmerksamkeit für das wichtige Thema Cybersicherheit hochzuhalten und in Betracht kommende Lösungen publik zu machen.
Der erste Konferenztag stand ganz im Zeichen des Leitthemas „Sicher in die Hyperkonnektivität“, das in unterschiedlichen Facetten beleuchtet wurde. „Cybersicherheit ist die Achillesferse unserer hypervernetzten Welt – gerade in Zeiten wie diesen“, sagte die Bundesministerin für Bildung und Forschung Bettina Stark-Watzinger in ihrer Eröffnungsrede zur Konferenz und nahm darin auch Bezug auf die Zeitenwende infolge des russischen Angriffskriegs gegen die Ukraine.
Die Ministerin stellte heraus, dass das BMBF mit seiner jüngst veröffentlichten „Agenda Cybersicherheitsforschung“ in der veränderten Weltlage aktiv Themen wie digitale Sicherheit für eine hyperkonnektive Gesellschaft oder technologische Souveränität angehe. Ziel sei es, den Rahmen für eine wirksame Forschung zu schaffen, die wesentlich dazu beiträgt, die digital vernetzte Gesellschaft zu stärken und Abhängigkeiten zu reduzieren. Hierbei komme der IT-Sicherheitsforschung eine Schlüsselrolle zu, so die Ministerin.
In seiner Opening-Keynote „Quo vadis IT-Sicherheitsforschung in Deutschland?“ forderte der Gründungsdirektor des Helmholtz-Zentrums für Informationssicherheit CISPA und international renommierte IT-Sicherheitsforscher, Prof. Michael Backes, „disruptive Fortschritte“, um das „ewige Wettrüsten“ in der Cybersicherheit zu überwinden. Als fünf größte Herausforderungen für die IT-Sicherheitsforschung sieht der Leiter des Forschungszentrums: (1) Vertrauenswürdige KI, (2) die Erkennung, Abwehr und Attribution von Cyberangriffen, (3) beweisbare Sicherheit, (4) fundierte Grundlagen im Hinblick auf den Faktor Mensch und (5) Post-Quanten-Kryptografie. Eine zentrale Herausforderung sei es zudem, Fachkräfte zu gewinnen bzw. auszubilden. Denn ohne ausreichend Fachkräfte seien signifikante Fortschritte auf allen genannten Feldern der IT-Sicherheitsforschung nicht zu erzielen.
Prof. Backes stellte heraus, dass Deutschland in der IT-Sicherheitsforschung hervorragend aufgestellt sei, mittlerweile sogar in der Welt vielfach als Vorbild gelte. Die vom CISPA-CEO erläuterten Themen wurden mit unterschiedlichen Schwerpunkten auch im weiteren Konferenzprogramm behandelt.
Bei einem Panel am ersten Konferenztag diskutierten Vertreterinnen und Vertreter aus Wissenschaft, Wirtschaft, Politik und Verwaltung, wie der Transfer der IT-Sicherheitsforschung in den digitalen Alltag besser gelingen kann. Schnell waren sich die Teilnehmenden einig, dass bei dem Thema deutliches Verbesserungspotenzial besteht. Eine enge Zusammenarbeit zwischen Forschung, Wirtschaft und Gesellschaft sei unerlässlich, um vielversprechende Lösungen aus der Forschung schnell und effektiv umzusetzen. Mario Brandenburg, Parlamentarischer Staatssekretär bei der Bundesministerin für Bildung und Forschung, betonte, dass es auch darauf ankomme, den Informations- und Verständnisfluss zu optimieren. Einig war man sich darin, dass für einen besseren Transfer Unternehmensgründungen bestmöglich gefördert werden sollten. Hier nannte Prof. Michael Waidner, Leiter des Nationalen Forschungszentrums für Cybersicherheit ATHENE, beispielsweise die BMBF-Gründungsinitiative StartUpSecure als vorbildlich. Der Professor betonte auch die Notwendigkeit, Experimentierräume zu schaffen, in denen vielversprechende Lösungen ohne zu strikte regulatorische Vorgaben ausprobiert werden können.
In der Diskussion gab es auch einige Reibungspunkte. Dr.-Ing. Kai Jansen von der Physec GmbH hob die Bedeutung von Innovation und Schnelligkeit in der IT-Sicherheit hervor, was insbesondere für Start-ups enorm wichtig sei. Er plädierte unter anderem dafür, die heute uneinheitlichen, häufig gründungsunfreundlichen Regelungen zur kommerziellen Nutzung von Forschungsergebnissen im universitären Umfeld abzubauen. Es solle einfacher werden, mithilfe vielversprechender Lösungen aus der Wissenschaft ein Unternehmen starten zu können. Dr. h. c. Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein warnte dagegen vor den möglichen negativen Auswirkungen, wenn zugunsten der Schnelligkeit ethische und datenschutzrechtliche Fragen bei der Umsetzung von IT-Sicherheitslösungen nicht ausreichend berücksichtigt würden. BMBF-Vertreter Mario Brandenburg lenkte den Blick darauf, das Thema Transfer nicht auf Unternehmensgründungen zu reduzieren, sondern übergreifend in Form von Transfercommunities zu denken, also den gesamten Kollaborationszyklus im Blick zu haben.
Bei einem Rundgang durch die konferenzbegleitende Ausstellung verschaffte sich der Parlamentarische Staatssekretär einen Überblick über die Bandbreite von Projekten in der IT-Sicherheitsforschung. „Letztlich geht es bei all diesen Themen um nichts Geringeres als die Sicherheit und Souveränität unserer Gesellschaft – in der heutigen Zeit wichtig wie nie“, unterstrich er.
In insgesamt neun Sessions präsentierten Forschende unterschiedlicher Disziplinen ihre Themen. Beispielsweise ging es unter der Moderation von Prof. Luigi Lo Iacono, Professor für Informationssicherheit an der Hochschule Bonn-Rhein-Sieg, um das Thema „Usable Security“. Eine der führenden Forschenden auf diesem Feld ist Prof. Martina Angela Sasse, Leiterin des Lehrstuhls Human-Centred Security am Horst-Görtz-Institut für IT-Sicherheit (HGI) der Ruhr-Universität Bochum.
In ihrem Vortrag plädierte sie dafür, von breiten Awareness-Kampagnen Abstand zu nehmen und stattdessen Nutzerinnen und Nutzer ganz gezielt auf dem Weg zur Verhaltensänderung zu unterstützen. Dabei stellte sie häufig genannte Glaubenssätze wie den von der „Schwachstelle Mensch in der IT-Sicherheit“ in Frage. Solche mentalen Modelle wiesen in die falsche Richtung; vielmehr müsse es darum gehen, Nutzende zielgruppengerecht anzusprechen. Dies bedeute, dass man mehr IT-Sicherheit nur erreichen kann, wenn man genau erforscht, welche Argumentationen bei welchen Zielgruppen zu einer tatsächlichen Verhaltensänderung im Sinne der IT-Sicherheit führen. Das von Frau Prof. Sasse geleitete Forschungsprojekt „DigiFit“ beschäftige sich mit ebensolchen Themen.
Der letzte Konferenztag fokussierte das Thema „IT-Sicherheit und technologische Souveränität“. Vor diesem Hintergrund präsentierten Forschende Zwischenergebnisse aus der „Grand Challenge der Quantenkommunikation“. In den folgenden Sessions ging es um Themen wie internationale Kooperationen, Forschung gegen Fake News und Gründen mit StartUpSecure. Den Abschluss der Konferenz bildete eine Podiumsdiskussion mit dem Titel „IT-Sicherheitsforschung für die Zeitenwende: Vision technologische Souveränität?“.
Während der gesamten Konferenz standen auch Querschnittsthemen im Blickpunkt – so etwa die Wissenschaftskommunikation. Dabei ging es darum, wie Forschende ihre Themen bestmöglich in die Öffentlichkeit vermitteln können. Welche Formate und Methoden sich hierzu anbieten, wurde beispielsweise in einer eigenen Session anhand von Best Practices wie einem Serious Game, des strategischen Einsatzes von Podcasts oder Forschendennetzwerken diskutiert. Zudem spielte die Wissenschaftskommunikation auch bei vielen weiteren Programmpunkten eine Rolle, beispielsweise im Kontext des Forschungstransfers. Und auch im Begleitprogramm der Konferenz spiegelte sich wider, wie bedeutsam es ist, nicht nur exzellente Forschung zu betreiben, sondern diese auch so zu kommunizieren, dass sie Menschen außerhalb der Gemeinschaft der Forschenden erreicht. Bei der Konferenz sorgten der bereits erwähnte Science Slam und ein Ideenwettbewerb „IT-Sicherheitsforschung in Karikaturen“ für besonders unterhaltsame und zugleich informative Momente.
Abschließend stellte Moderatorin Carmen Hentschel die Frage „Was nehmen Sie aus dieser Konferenz mit?“. Bezeichnenderweise antworteten die meisten Teilnehmenden mit „Kontakte“ und „Vernetzung“. Nach einer langen Zeit pandemiebedingter Einschränkungen zeigt dies, dass persönliche Interaktionen und Gespräche auch in einer digitalen Welt wertvoll und nur schwer zu ersetzen sind.
