Doppelinterview: Jens Schneider & Stefan Haas : Praxisnahe Forschung für die Sicherheit der Industrie

Seit 2020 gibt es das Projekt SafeSecLab, mit dem Sie in Kooperation neue Standards im Bereich Cybersecurity setzen wollen. Wie kam es zu dieser Zusammenarbeit?

Jens Schneider: Wir kooperieren bevorzugt in Themenfeldern, in denen wir ein besonders hohes Innovationspotenzial erkennen – dort, wo Forschungsergebnisse zügig in die Anwendung überführt werden sollten, um wettbewerbsfähig zu bleiben. Gerade das Thema Wettbewerbsfähigkeit ist derzeit in aller Munde. Sie hängt maßgeblich davon ab, ob es gelingt, schneller zu innovieren als der internationale Wettbewerb. Genau das treibt uns an: die Themen, die einerseits aus dem TÜV heraus entstehen und als Bedarf identifiziert werden, und andererseits neue Entwicklungen aus der Forschung, die sich durch aufkommende Innovationszyklen abzeichnen. Regulatorische Vorgaben spielen für uns – zumindest aus universitärer Perspektive – eine geringere Rolle. Im Rahmen der Hochschulautonomie agieren wir in einem eher allgemeinen und internationalen Kontext und sind daher weniger durch konkrete Vorgaben eingeschränkt.

Sehen Sie die Notwendigkeit für die Industrie in Sachen Sicherheit eigenverantwortlicher zu agieren? Die wachsende Bedrohung durch Cyberangriffe insbesondere in der Industrie ist durch zahlreiche Studien belegt.

Schneider: Cybersecurity ist ohne Frage ein absolutes Megathema – nicht nur aktuell, sondern auf Jahre hinaus. Das steht für mich außer Zweifel. Erst letzte Woche habe ich wieder Gespräche mit Professorinnen und Professoren geführt, die auch attraktive Angebote aus dem europäischen Ausland erhalten haben. Ich setze alles daran, diese Top-Leute bei uns zu halten, weil wir überzeugt sind: Cybersicherheit wird eine zentrale Zukunftskompetenz sein – und passt daher hervorragend in unser Portfolio.

Lesetipp: Cyber- und physische Bedrohungen müssen ganzheitlich betrachtet werden

Inwiefern hatte die neue EU-Cyberrichtlinie NIS2 Einfluss auf diese Partnerschaft?

Stefan Haas: Wenn wir überlegen, mit welchen Themen wir uns beschäftigen, stehen zwei Fragen im Fokus: Welche Technologien kommen auf uns zu? Und welche davon eröffnen neue Geschäftsfelder oder Anwendungsbereiche für unsere Unternehmensgruppe? Gerade OT-Security ist ein Bereich, bei dem schon seit Jahren klar ist: Das wird ein zentrales Zukunftsthema. Der Trend ist ungebrochen – seine Bedeutung nimmt stetig zu. Natürlich analysieren wir auch den regulatorischen Rahmen: Was gilt heute, was wird sich verändern? Das hat allerdings weniger Einfluss auf die Themenwahl selbst, sondern eher auf die zeitliche Dringlichkeit ihrer Umsetzung. NIS2 war für uns daher kein Auslöser, das Programm gemeinsam mit der TU Wien zu starten – aber eine klare Bestätigung, dass wir mit dem Thema richtig liegen. An OT-Security führt heute kein Weg mehr vorbei. Und wie so oft: Die Regulatorik hinkt der technologischen Entwicklung hinterher – das ist beinahe ein Naturgesetz. 

Sie sagen, die Regulatorik sei eine Bestätigung für ihre Arbeit. Die NIS2 ist jedenfalls auch ein Katalysator für die Umsetzung in der Industrie. Was hören Sie derzeit aus den Unternehmen, wie nervös ist man?

Haas: Das stimmt. Ich möchte den Begriff Katalysator gerne aufgreifen – er trifft es sehr gut. Ein regulatorisches Rahmenwerk ist selten der Auslöser für Veränderungen, sondern eher ein Katalysator für Entwicklungen, die bereits in Gang sind. Es definiert letztlich den Zeitrahmen und die Intensität, mit der man sich mit bestimmten Themen auseinandersetzen muss. Wenn Sie nach den Unternehmen fragen, die konkret von NIS2 betroffen sind: Ja, viele reagieren verunsichert – das ist verständlich. Unbekanntes Terrain ruft immer erst einmal Befürchtungen und Unsicherheit hervor – auch, weil neue Verantwortlichkeiten entstehen. Ich plädiere dafür, sich diesem Thema offen und konstruktiv zu stellen. Technisch ist es gut beherrschbar, und es gibt klare Ansätze, wie man inhaltlich vorgehen kann. Und weil es sich um ein wirklich relevantes Thema handelt, sehe ich alle Betroffenen in der Verantwortung, sich ernsthaft und aktiv damit auseinanderzusetzen.

Bei Cybersecurity wird viel Hoffnung in KI gesetzt, die Anomalien automatisch erkennen kann. Aber der große Gamechanger wird die Quantentechnologie sein. Wohin führt uns der technologische Wandel im Bereich Cybersecurity?

Schneider: Ich denke, die Quantentechnologie entwickelt sich kontinuierlich weiter. Viele Dinge, die vor zehn Jahren noch als undenkbar galten, sind heute Realität. Erst kürzlich habe ich die Antrittsvorlesung eines neuen Professors besucht – er hat eindrucksvoll gezeigt, wie sich die Grenzen des Messbaren verschoben haben: Was vor zehn Jahren noch nicht messbar war, ist heute plötzlich möglich. Gerade deshalb ist es so wichtig, dass wir diese Offenheit in der Forschung bewahren. Forscherinnen und Forscher müssen ohne Einschränkungen denken dürfen: vollkommen frei und nach vorne gerichtet.

Entgegen der landläufigen Meinung, dass Cyberangriffe ausschließlich im digitalen Raum stattfinden, zeigt sich: Das größte Einfallstor ist nach wie vor der Mensch. Was bedeutet das in der Praxis?

Haas: Wir nehmen den Faktor Mensch als größte Schwachstelle sehr ernst. Deshalb betreiben wir seit Längerem ein systematisches Awareness-Programm, das unter anderem auch Mystery-Shopping umfasst. Dabei setzen wir gezielt Kampagnen, um Mitarbeitende in Versuchung zu führen – also Szenarien zu schaffen, in denen potenziell riskantes Verhalten sichtbar wird. So sensibilisieren wir gezielt und praxisnah für reale Gefahren.

Lesetipp: EU-Projekt SECURE stärkt Cybersicherheit für KMU

Schneider: Bei uns ist es ähnlich. An der TU Wien haben wir im vergangenen Jahr verpflichtende Schulungen für alle Mitarbeiterinnen und Mitarbeiter eingeführt – auch ich habe sie absolviert. Die Basisschulung zum Thema Phishing dauert etwa anderthalb Stunden – und ich muss sagen, manche Beispiele sind wirklich erschreckend. Man erkennt dabei sehr schnell, wie leicht man selbst Opfer werden könnte. Im Bereich Lehre setzen wir stark auf praktische Formate. Unsere Studierenden im Bereich Computer Science nehmen regelmäßig an Hackathons teil. Besonders hervorzuheben ist Professor Maffei, der im Bereich Cybersecurity internationale Capture-the-Flag-Wettbewerbe organisiert. Diese Wettbewerbe sind extrem beliebt – und ein echtes Aushängeschild. Viele der talentiertesten Studierenden weltweit kommen auch deshalb sehr gerne zu uns nach Wien.