Master
IT-Security
berufsbegleitend
Manuel Koschuch hat Telematik studiert. Nach dem Studium hat er sich auf Kryptografie in eingebetteten Systemen spezialisiert. Heute forscht er im Forschungszentrum IT-Security an der FH Campus Wien. Und findet, dass Security-Systeme so gebaut sein müssen, dass auch Nicht-Expert*innen sie verwenden können.
Die grundsätzliche Frage, die man sich immer stellen muss, ist: Sicher gegenüber wem? Wovor habe ich Angst? Was möchte ich verhindern? Wenn ich z. B. Angst davor habe, dass ein Staat mitliest, wo ich im Internet surfe, dann ist das mit der heutigen Technologie für Benutzer*innen nicht so ohne Weiteres zu verhindern. Wenn ein Staat es darauf anlegt, wird er mitlesen können. Auch der Internetprovider wird prinzipiell immer mitlesen können. Dass allerdings irgendwelche Kriminellen mitlesen können, ist dank der steigenden Verbreitung von HTTPS mittlerweile deutlich schwieriger geworden.
Das Auslesen von Daten und dass jemand von außen Systeme lahmlegt oder verschlüsselt und sie nur gegen Zahlung eines Lösegeldes wieder entschlüsselt. Zweiteres ist aus Sicht eines Angreifers übrigens sehr kommod: Solche Verschlüsselungstrojaner gibt es bereits fertig zu kaufen, die muss man nur mehr z. B. über einen Mailanhang einschleusen, um einzelne Rechner oder ganze IT-Systeme lahmzulegen. Und in ein paar Jahren vielleicht Ihr Auto oder mein Türschloss.
Sicher, aber wir Expert*innen müssen uns auch selbst an der Nase nehmen – es sind nicht immer nur die Endbenutzer*innen schuld. Wir müssen Security-Systeme bedienungsfreundlicher machen, mehr in Richtung „Usable Security“ denken und entwickeln. Ich kann nicht davon ausgehen, dass alle Expert*innen sind. Aber ich verlange, dass wir in der IT-Security die Komplexität so reduzieren, dass auch Nicht-Expert*innen sie verwenden können. Beim Auto haben wir das ja auch ganz gut hinbekommen: Nicht alle Autolenker*innen können einen Motor reparieren!
Indem wir die Nutzer*innen stärker einbeziehen! Was man bei Benutzeroberflächen schon seit Jahren tut, steckt in der IT-Security noch in den Kinderschuhen. Langsam kommen wir drauf, dass am Ende Menschen unsere Systeme benutzen und dass wir sie möglichst früh ins Design eines Systems einbeziehen sollten. Dass wir Security bauen müssen, die für alle Nutzer*innengruppen verständlich und „usable“ ist.
Ja, wir gehen aktuell verstärkt in diese Richtung. Im netidee-geförderten Projekt „Searchitect“ arbeiten die Kolleg*innen daran, ein Plug-in für Entwickler*innen zu schreiben, mit dem verschlüsselte Daten direkt in der Cloud durchsucht werden können, ohne dass sie vorher entschlüsselt werden müssen. Eine bisher einzigartige Lösung für Entwickler*innen ohne besondere kryptografische Kenntnisse, die sie ganz einfach in ihre Anwendungen einbauen können. Außerdem entwickeln wir einen Prototyp eines Identitätsproviders, der Daten nur verschlüsselt weitergeben kann. Das ist ja jetzt nicht der Fall – wenn Provider wie Facebook oder Google mir ermöglichen, mich mit meinem Account auch bei anderen Diensten anzumelden, dann wissen sie alles über mich und welche Dienste ich wann verwende. Im MA 23-geförderten Projekt ELVIS haben wir ein Embedded Lab aufgebaut, in dem sich unsere Studierenden mit sicherheitsrelevanten Fragestellungen beschäftigen.
Ich verbringe gerade viel Zeit mit dem TLS-Protokoll, einem Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Im August ist ein neuer Standard herausgekommen und den nehme ich derzeit unter die Lupe.