Michael Waidner, Fraunhofer SIT

"Das Vertrauen in die Sicherheit der IT ist erschüttert"

06.01.2014
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Die "typisch deutsche Haltung"

CW: Verlassen wir das politische Terrain und widmen uns der Realität. Wie schätzen Sie derzeit die deutsche IT-Security-Szene ein, speziell im Bereich der Start-ups?

WAIDNER: Die deutsche Szene ist sehr rege, geprägt von mittelständischen Unternehmen und natürlich von den Uni-Instituten und Forschungseinrichtungen. Da die Fraunhofer-Gesellschaft selbst Start-ups hervorbringt, bekomme ich das recht hautnah mit. Das große Problem für Start-ups ist unverändert, ausreichend Risikokapital zu bekommen. Die Vorstellungen, was eine Firma als Startkapital braucht, klaffen dabei oft sehr weit auseinander. Häufig geht es dann um Beträge, die einfach zu klein sind, als dass sie wirklich weiterhelfen würden. Viele Start-ups müssen sich deshalb zu einem guten Teil über staatlich finanzierte Projekte finanzieren. Das ist eine typische deutsche Situation und Haltung.

In den USA ist das ganz anders. Dort ist es deutlich einfacher, Risikokapital zu bekommen. Wir sehen deshalb immer noch sehr häufig, dass Leute mit guten Ideen ins Ausland abwandern. Das ist bedauerlich, weil es hierzulande sehr erfolgreiche Forschungsgebiete gibt, mit deren Resultate man Start-ups gründen könnte und sollte. Gerade in dem Bereich Sicherheitstesten von Software und dem systematisch sicheren Entwurf von IT - das Schlagwort ist "Security by Design" - gibt es in Deutschland zurzeit äußerst viele und erfolgreiche Forschungsaktivitäten. Die dort Aktiven werden früher oder später abwandern, wenn sie in Deutschland keine Möglichkeit bekommen, leichter auch wirtschaftlich erfolgreich zu sein.

CW: Was ist zu tun?

WAIDNER: Risikokapitalgeber und -nehmer müssen sich daran gewöhnen, dass man eben Risiken eingehen und auch größere Summen in die Hand nehmen muss. Der Gesetzgeber kann nur Rahmenbedingungen schaffen, die Ausgründungen vereinfachen.

CW: Vielen Kapitalgebern geht es selbst wirtschaftlich nicht unbedingt blendend. Wie viel Überzeugungsarbeit ist da zu leisten?

WAIDNER: Ich denke, das Problem sitzt in den Köpfen. Das beste Beispiel ist die Firmeninsolvenz: Nach einer Insolvenz ist ein Unternehmer in Deutschland für die nächsten Jahrzehnte gebrandmarkt. Diese Einstellung muss sich ändern. Zudem geht es Deutschland wirtschaftlich sehr gut - die Frage ist also: Wenn nicht jetzt, wann dann?

CW: Welche Rolle spielen die Fraunhofer-Institute, was das "Rühren der Werbetrommel" für eine bessere Start-up-Kultur angeht?

WAIDNER: Viele der Technologien, die Fraunhofer entwickelt, sind naturgemäß gute Kandidaten für Start-ups, und wenn die Randbedingungen stimmen, dann streben wir gezielt eine Ausgründung an. Ich habe bereits das "OmniCloud"-Projekt am Fraunhofer SIT erwähnt. Das ist ein klassischer Fall: Wir entwickeln am Institut eine innovative Lösung, mit der Unternehmen ihre Daten in der Cloud absichern können. Dafür gibt es ein hohes Marktpotenzial, und damit stimmen aus unserer Sicht die Voraussetzungen für eine Ausgründung.

Sehr wichtig ist, dass sich die Kultur in unserer Gesellschaft ändert. Auf Dauer müssen wir die Einstellung gewinnen, dass wenn von fünf Ausgründungen auch nur eine ein Erfolg war, es toll gelaufen ist.

Zu wenige Security-Experten

CW: Die amerikanische Einstellung also. Aber wie realistisch ist so etwas in Deutschland? Wir springen zwar gerne sofort auf jeden neuen IT-Zug aus den USA auf, in diesem Fall aber tun wir uns erstaunlich schwer.

WAIDNER: Ich denke, dieser Kulturwandel geht nur durch gute Beispiele und beständiges Einreden auf alle Beteiligte. Das geht los bei unseren Studierenden, die sich trauen müssen, bis zur Politik und vor allem eben den Geldgebern.

CW: Wie steht es denn überhaupt um unseren IT-Security-Nachwuchs? Kommt da etwas nach?

WAIDNER: Gerade im akademischen Umfeld gibt es sehr viele Ausbildungsangebote mit Schwerpunkt IT-Sicherheit. Aber trotzdem fehlt es ganz massiv an Fachkräften. Viele unserer Kunden und Partner suchen händeringend nach Experten in IT-Sicherheit und bitten uns um Hilfe bei der Kandidatensuche. Auch ich selbst habe am Fraunhofer SIT eine ganze Reihe von offenen Stellen, für die es nicht ausreichend Bewerbungen gibt.

Ein anderes, vielleicht noch wichtigeres Problem ist, dass viele IT-Fachkräfte ihre Ausbildung absolvieren, ohne dabei viel über IT-Sicherheit oder Datenschutz gelernt zu haben. Meiner Meinung nach muss jeder, der in der IT arbeitet, ein Mindestmaß an Kenntnissen in IT-Sicherheit und Datenschutz besitzen. Wir müssen das unbedingt in alle relevanten Studiengänge, Lehrberufe und die berufliche Weiterbildung integrieren. In Darmstadt, dem Standort meines Instituts, können Sie weder an der TU Darmstadt noch an der Hochschule Darmstadt Informatik studieren, ohne IT-Sicherheit gelernt zu haben. Das ist aber längst nicht überall so.

CW: Blicken wir abschließend in die Zukunft. Wie schätzen Sie allgemein die Chancen für den IT-Standort Deutschland ein?

WAIDNER: Die Chancen stehensehr gut, aber wir müssen sie auch nutzen.

CW: Herr Professor Waidner, vielen Dank für das Gespräch.

»

Aktuelle Projekte des Fraunhofer SIT

Die Fraunhofer-Forscher betreiben sowohl am Institut selbst als auch in Kooperation mit Unternehmen Security-Projekte, die teilweise schon fast Marktreife erlangt haben. Hier einige Beispiele:

So arbeitet das SIT an einem Digital-Rights-Management-Modell (DRM), das für die industrielle Produktion gedacht ist. Entwurfsdaten werden so geschützt, dass die entsprechenden Waren nur in bestimmter Stückzahl und von bestimmten Produktionsanlagen hergestellt werden können.
Ein anderes Projekt ist die OmniCloud-Software - diese verschlüsselt Daten, bevor sie in die Cloud geschickt werden. Dadurch ist deren Sicherheit unabhängig vom Provider gewährleistet.

Auch im Mobile-Bereich sind die Forscher sehr aktiv: Der Appicaptor ist ein Testwerkzeug, mit dem Apps automatisch auf eventuelle Sicherheitslücken hin überprüft werden können. BizzTrust ist eine Android-App, die private und geschäftliche Daten auf dem Smartphone trennt. Dazu erstellt die Anwendung zwei voneinander unabhängige Bereiche, zwischen denen der Anwender jederzeit wechseln kann.