zurück zur Übersicht

Interdisziplinäres Vorgehen dringend notwendig

9. Juli 2018

Interdisziplinäres Vorgehen dringend notwendig

Fotos: chrisdorney/Peter Gudella – Shutterstock, Icons made by Freepik/Gregor Cresnar/Kiranshastry/SimpleIcon/ – Flaticon

Grundlegende Gedanken und Aufgabenstellungen für die Professur Cyber Trust. Schwerpunkte ist die Forschung zu Privatheit und Privatsphäre, zu Vertrauen im Internet und Sicherheit.

Von Jens Großklags

Die neue Professur für Cyber Trust ist an der Fakultät für Informatik der Technischen Universität München eingerichtet. Meine Vision ist es dabei, eine Brückenfunktion zu installieren und mit Leben zu füllen. Dabei geht es mir auf der einen Seite um die technischen Aspekte der Informatik, auf der anderen Seite um die Sozial- und Wirtschaftswissenschaften. Gleichzeitig habe ich auch den Anspruch, den öffentlichen Dialog über Privatheit, Sicherheit und Vertrauen im Internet zu stärken.

Um diese Ziele zu erreichen, ist interdisziplinäres Vorgehen dringend notwendig. Funktionen hierfür sind insbesondere innovative Forschung zur Erfassung und Kommunikation komplexer Zusammenhänge, sei es mit theoretischen Ansätzen, experimentellen Studien oder Datenanalysen. Von besonderem Interesse sind hier Möglichkeiten zur Zusammenarbeit mit DIVSI bei repräsentativen Studien mit Unternehmen und Nutzern über deren Entscheidungsverhalten und Erfahrungen mit Datenschutz und Sicherheit. Schlussendlich ist das Ziel, besser auf Risiken reagieren zu können und Verbesserungen zu erreichen.

Strukturierung

Mit der Professur will ich unsere Forschung in unterschiedlichen Arbeitsbereichen strukturieren. Dabei geht es vor allem um Forschung zu Privatheit und Privatsphäre, zu Vertrauen im Internet und schließlich um Sicherheit.

Im Hinblick auf die Thematik Privatheit geht es darum zu erforschen, wie Menschen ihre Bedürfnisse bezüglich eines privaten Lebens kommunizieren, und andererseits, wie sie sich dann verhalten.

Zu den Anfängen meiner Forschung zählt die empirische Beobachtung, wonach eine Kluft zwischen Privatsphäre- Bedürfnis und gelebter Realität besteht. Teilweise sind es psychologische Faktoren, die uns daran hindern, unsere Vorsätze umzusetzen.

Andererseits sind es aber auch die Anforderungen des modernen Lebens, die es häufig fast unmöglich machen, Datenflüsse zu beschneiden, wenn zum Beispiel bestimmte Kommunikationsplattformen in Beruf, Bildung oder Freizeit de facto unabdingbar sind. Andererseits ist es für den Einzelnen häufig viel zu schwierig festzustellen, ob Daten gesammelt oder in großen Mengen von Nutzern oder Unternehmen weitergegeben werden. Kürzlich haben wir verschiedene experimentelle Studien hierzu publiziert, die jetzt durch den Fall Cambridge Analytica besondere Relevanz gewonnen haben. In diesem Fall wurden mindestens drei Datenkomponenten zweckentfremdet:

  1. Psychologische Daten von Nutzern, die mit einer Facebook Application kommuniziert hatten.
  2. Eine Vielzahl von Daten, welche auf Facebook über diese Nutzer gespeichert waren.
  3. Die Daten von Freunden, welche (zu dem Zeitpunkt) keine vernünftige Möglichkeit hatten, über solche Datenflüsse informiert zu werden oder diese unterbinden zu können.

Fragenfülle

Diese Situation wirft eine Vielzahl von Forschungsfragen auf: Wie soll die Architektur eines technischen Mechanismus gestaltet werden, sodass eine gute Balance zwischen positiver Kommunikation und Datenschutz geschaffen wird? Welche Rolle haben wir als Nutzer und als Teil der Gesellschaft, um Kommunikation positiver zu gestalten?

Ein neuerer Schauplatz für diese Fragen ist die Privatheit von unseren genetischen Daten. Individuell angepasste medizinische Behandlungen auf der Basis von solchen Informationen bieten viele Möglichkeiten und Vorteile, aber eben auch Risiken und schwierige Entscheidungsprozesse über den Zugang zu medizinischen Behandlungen. Und nicht nur für die Teilnehmer an genetischen Tests, sondern auch für deren existierende Blutsverwandte und noch nicht geborene Kinder und Kindeskinder. Wie soll damit in der Zukunft umgegangen werden? Ein Datenleck wie im Cambridge-Analytica- Fall hätte hier Auswirkungen auf Generationen von Menschen.

Schutzmaßnahmen

In diesem Zusammenhang ist die Frage zu klären, inwiefern verschiedene Strategien zum Schutz der Privatheit zukunftstauglich sind. Soll man Menschen die Möglichkeit geben, sich zu informieren und eine gewisse Kontrolle über ihre Daten auszuüben? Oder soll man in Technologien Datenschutz vorab einbauen (Privacy by Design)? Oder machen sogar großflächigere Teilhabemechanismen Sinn?

Beim Thema Vertrauen im Internet halte ich die Vielzahl von verschiedenen Betrugsstrategien für sehr besorgniserregend. Das macht Forschung in diesem Gebiet besonders schwierig, da es einfach zu viele Ausprägungen von Betrug gibt. Aber noch schwieriger ist es für Menschen, diese Versuche immer sofort zu erkennen.

In der Vergangenheit habe ich zu einigen verschiedenen Formen von Betrug Forschungsarbeiten durchgeführt, auch zu Telefonbetrug. Wir wollen jetzt hierzu einen Beitrag in Deutschland leisten und hier auch mit dem DIVSI zusammenarbeiten.

Dazu ist anzumerken, dass viele Betrugsfälle zwischenmenschliche Beziehungen ausnutzen. Daten aus den USA zeigen, dass die Mehrheit der Fälle von Identitätsdiebstahl auf Personen zurückzuführen ist, welche dem Opfer bekannt sind. Wie schützt man Schutzbedürftige nicht nur vor Kriminellen, sondern auch vor solchen persönlichen Kontakten, insbesondere, wenn unsere menschlichen Schwächen ausgenutzt werden?

Festzustellen bleibt auch, dass Sicherheit in Unternehmen nur bedingt gewährleistet ist. Eine Studie des Ponemon Institute zeigte kürzlich, dass über die Hälfte von Hunderten von Unternehmen den Ursprung von Cyberangriffen nicht feststellen konnte. Noch viel problematischer ist es, dass es im Durchschnitt um die 220 Tage dauert, bis Angriffe überhaupt registriert werden. Daten von Verizon, die wir analysiert haben, machen dieses Problem deutlich. In Deutschland ist es nicht anders, wie auch die Angriffe auf den Bundestag gezeigt haben.

Sicherheitsplus

Dabei geben wir schon enorme Summen für Sicherheit aus. Das Problem liegt teilweise darin, dass unser Verständnis über die Art und Weise, wie wir in Sicherheit investieren sollten, immer noch sehr mangelhaft ist. Unternehmen werden mit Maßnahmenkatalogen und internationalen Sicherheitsstandards überschwemmt. Dabei ist jedoch unklar, wie die einzelnen Maßnahmen zu priorisieren sind und welche Investitionen tatsächlich einen positiven Effekt bewirken würden. Unsere Forschung setzt hier durch verschiedene theoretische und empirische Arbeiten an. So arbeiten wir an theoretischen Modellen, welche uns helfen sollen, Ansätze zu finden, um die Zeit bis zur Erkennung von Angriffen zu verringern. Und wir forschen auch an Möglichkeiten, welche die Wahl zwischen verschiedenen Arten von Sicherheitstechnologien verbessern sollen. Im Problemfeld Ransomware besteht beispielsweise die Frage, wie man ein Sicherheitsbudget auf Maßnahmen zur Prävention, zum Schutz durch Backup- Mechanismen oder zur Zahlung von Lösegeldern verteilen sollte. All diese Maßnahmen haben bestimmte Vorteile, aber auch Schwächen.

Prämiensystem

Zusätzlich arbeiten wir auch an verschiedenen empirischen Studien, etwa im Bereich Softwaresicherheit. Ein Ansatz, um hier Fortschritte zu erreichen, ist es, Software einer breiten Masse von Experten zugänglich zu machen und für gefundene Schwachstellen im Code dann Prämien zu zahlen. Solche sogenannten Bug-Bounty-Programme werden mehr und mehr auch auf Plattformen zusammengeführt und zentralisiert, welche dann wiederum Möglichkeiten bieten, die Effizienz solcher Ökosysteme zu verbessern.

Dieses Vorgehen eröffnet zahlreiche interessante Fragestellungen. Wie viel sollte an Prämien gezahlt werden? Wie gestaltet man den Wettbewerb zwischen den einzelnen Programmen um die talentiertesten Hacker? Gibt es plattformübergreifend Erkenntnisse über Sicherheitslücken?

Das Spannende an der Forschung in den Bereichen Privatheit, Vertrauen im Internet und Sicherheit ist sicherlich das enorme Tempo, mit dem sich diese Themenbereiche weiterentwickeln und sich damit die Problemfelder, Anforderungen und Lösungsansätze ändern.

Verbundenheit

Eine relative Konstante bleibt letztlich nur der Mensch. Wir alle möchten das Internet und die verschiedenen Serviceleistungen weiterhin produktiv für Arbeit, Bildung und Freizeit nutzen können. Der Anspruch dieser Professur ist es, dafür einen Beitrag zu leisten durch Arbeiten, welche informatische und gesellschaftswissenschaftliche Methodiken zusammenführen. DIVSI hat sich als Arbeitsgrundlage dazu verpflichtet, einen offenen und transparenten Dialog über Vertrauen und Sicherheit im Internet zu organisieren und mit neuen Aspekten zu beleben. Als Professor für Cyber Trust fühle ich mich diesen Zielen sehr verbunden.

Jens Großklags

Foto: Frank Röthel

Prof. Dr. Jens Großklags
studierte zunächst in Berlin, forschte dann über zehn Jahre in den USA, u.a. an der UC Berkeley und Princeton University. Vor dem Ruf an die TU München war er Professor an der Pennsylvania State University.

vorheriger Beitrag nächster Beitrag

nach Oben