Interview mit Silvia Schmidt

Welche Sicherheitsrisiken gibt es im Internet of Things? Wie schafft man mehr Awareness für IT-Security? Silvia Schmidt ist wissenschaftliche Mitarbeiterin im Forschungszentrum IT-Security an der FH Campus Wien. Sie unterrichtet im Master IT-Security und entwickelt gerade eine offene Lehrveranstaltung als Einführung in die Thematik auch für andere Studiengänge.

Wie wurden Sie IT-Security-Expertin?

Das Programmieren brachte ich mir als Teenagerin selbst mit einem Sharp MZ 700 bei, den wir an einen Schwarz-Weiß-Fernseher angeschlossen haben. Einer meiner ersten Jobs war, ein Programm für einen Bad-Hersteller zu schreiben: von der Bestellung über die Kalkulation bis hin zu Material- und Zuschnittslisten – allerdings in fürchterlichem „Spaghetti-Code“, das wäre heute ein No-Go.
Später war ich im Grafikdesign tätig – auch in Amerika – wobei mich das Programmieren nie ganz losgelassen hat. Nach einem längeren Java-Kurs studierte ich Informationstechnologien und Telekommunikation an der FH Campus Wien und dann noch den Master IT-Security.

Was ist für Sie das Spannende am Thema IT-Security?

Die IT-Security ist ein sehr vielseitiges und dynamisches Fachgebiet. Gleich bei der ersten Lehrveranstaltung zu dem Thema war für mich klar, dass ich später im Bereich Kryptographie forschen möchte. Inzwischen bin ich wissenschaftliche Mitarbeiterin im Forschungszentrum für IT-Security und unterrichte an der FH Campus Wien.

Welches Projekt beschäftigt Sie gerade?

Seit 2015 arbeite ich an dem von der Wirtschaftsagentur Wien geförderten Projekt „Secure Firmware Update Over the Air“. Die Software auf Weak Devices wie Sensoren zu aktualisieren, ist oft mit Unsicherheit verbunden und wird meist vermieden, weil sie nur einen sehr kleinen Prozessor bzw. eine beschränkte Speicherleistung und Energieversorgung haben. Das kann zu Sicherheitslücken führen, die das Gesamtsystem gefährden.
Für unseren Projektpartner haben wir nun einen Secure Bootloader entwickelt, der etwa 80 % der Bedrohungen, die bei einem Firmware Update Over the Air auftreten, eliminiert. Die restlichen Threats werden vom Industriepartner selbst mittels Firmware-Management beseitigt.

Stichwort Internet of Things (IoT) – welche Sicherheitsrisiken sehen Sie hier?

Dass Smart TVs oder Kühlschränke am Internet hängen, ist inzwischen vielen klar. Dass aber auch Geräte wie Herzschrittmacher, Insulinpumpen, Heizungen oder sogar Toiletten mit dem Internet verbunden sein können, schon weniger. Ein Problem dabei ist, dass der Hersteller meist ein Standardpasswort vergibt und es oftmals keine Möglichkeit gibt, dieses zu ändern. Wer das Passwort kennt, kann sich in alle Geräte der Serie hacken und diese steuern. Bei Anwendungen im Gesundheitsbereich ist das natürlich besonders problematisch.

Was muss geschehen, um die Sicherheit im IoT zu erhöhen?

Wenn Geräte gehackt werden, gibt es zwei Gefahren: Das Auslesen der Daten und die Steuerungsübernahme. Bedenkt man, dass sich in den nächsten vier Jahren die Anzahl der IoT-Geräte verdreifachen wird, früher oder später alle Haushaltsgeräte am Netz hängen und ein Trend in Richtung medizinische Prothesen bzw. Implantate geht, so muss das Bewusstsein für Datensicherheit in der gesamten Bevölkerung erhöht werden. Zusätzlich wird auch die Politik gefordert sein, Regulierungen einzuführen.

Mehr Regulierungen – wirklich?

Meiner Meinung nach ja. So etwas wie das Belassen von herstellerbedingten Standardpasswörtern darf einfach nicht sein. In Ihrer Hausanlage sperrt Ihr Schlüssel auch nicht jede Wohnungstür – das wäre ja absurd – und wenn Sie einen Hausschlüssel nachmachen lassen, benötigen Sie eine Sicherheitskarte. Diese Selbstverständlichkeit der analogen Welt muss sich auch in unserem digitalen Alltag etablieren.

Wie kann man in der Bevölkerung mehr Awareness für IT-Security schaffen?

Wichtig ist sicher, bereits in der Pflichtschule IT-Bewusstsein aufzubauen und einen verantwortungsvollen Umgang mit Smartphones und Tablets zu vermitteln. Kinder und Jugendliche sollten so früh wie möglich wissen, welche Daten von einer App übertragen werden, welche Auswirkungen das haben kann und worauf sie selbst Einfluss haben.
Im Hochschul-Sektor wird die Ausbildung in Richtung Embedded Systems, IT-Security und Software-Entwicklung künftig noch mehr an Bedeutung gewinnen.

Stichwort Ausbildung – wie fließt das IoT an der FH Campus Wien in den Unterricht ein?

Natürlich ist IoT ein großes Thema bei uns im Master IT-Security, das wir im Rahmen der Lehrveranstaltung „Mobile & Embedded Security“ intensiv behandeln. Es ist spannend, neue Erkenntnisse aus Forschungsprojekten weiterzugeben, aber auch durch Fragen oder Projektarbeiten der Studierenden wieder neues Wissen zu gewinnen.
Neben der Ausbildung unserer IT-Security-Expert*innen wollen wir vom Forschungszentrum IT-Security eine grundlegende Awareness bei Studierenden erreichen. Derzeit konzipiere ich die Vorlesung „Internet of Things“ für Masterstudierende der Bioinformatik. Neben einem allgemeinen Einblick steht hier der Sicherheitsaspekt beim Sammeln biologischer Daten im Vordergrund.

Hat man auch als Laie eine Chance, in die Komplexität des IoT einzutauchen?

Wir entwickeln gerade ein Freifach „Einführung in die IT-Security“, das für alle Studierenden der FH Campus Wien offen sein wird und ein grundsätzliches Bewusstsein für sicherheitskritische Themen im IoT schaffen soll.
Im nächsten Schritt möchten wir daraus ab Herbst eine öffentlich zugängliche Veranstaltungsreihe entwickeln – da wird für alle Interessierten etwas dabei sein.

Studiengang