Marcus, Du bist seit Anfang Juli Professor für Cyber Security Management an der Hochschule Niederrhein. Womit beschäftigst Du dich aktuell in der Forschung und Lehre?
Das Studienkonzept des Studiengangs „Cyber Security Management“ stellt das problembasierte Lernen in den Vordergrund. Unsere Studierenden beschäftigen sich folglich mit Thematiken aus der Praxis, so dass Kompetenzen erworben werden, um in Unternehmen wichtige Aufgaben in der Informationssicherheit zu übernehmen. Mein Fokus liegt dabei sowohl in der Forschung als auch in der Lehre im Bereich Netz- und Datensicherheit. Ein konkretes Beispiel ist die Absicherung von Webseiten und Webservices – darunter fallen u. a. kritische Infrastrukturen und soziale Netzwerke.
Welche Vorteile hat Open Source Software in Bezug auf die IT-Security?
In der Vergangenheit hat sich regelmäßig gezeigt, dass die Umsetzung des Prinzips „Security by Obscurity“ keine gute Idee ist. Das bedeutet, dass die Sicherheit eines Systems durch die schlichte Geheimhaltung der Architektur bzw. des Codes i. d. R. nicht zu einer Verbesserung der IT-Sicherheit führt. Open-Source-Software bildet genau das Gegenteil des Prinzips ab: Die Community kann das System analysieren und nach Fehlern suchen; diese Transparenz schafft mehr Sicherheit und folglich auch mehr Vertrauen.
Welche Tipps hast Du für die erfolgreiche Umsetzung von Security by Design in der Software-Entwicklung?
Ein Fehler, den ich immer wieder beobachte, ist, dass Unternehmen sich zu spät mit der IT-Sicherheit auseinandersetzen. Häufig werden im besten Fall lediglich Penetrationstests durchgeführt, die nur eine Momentaufnahme der IT-Sicherheit aus einer bestimmten Perspektive bzw. Rolle abbilden. Der bessere Weg ist bereits vor der Entwicklung von Soft- oder Hardware grundlegende IT-Sicherheitskonzepte zu beachten; exakt hier setzt Security by Design an. Meine wesentlichen Tipps sind daher, eine Awareness für das Thema zu schaffen und Personen im Hinblick auf Security by Design zu schulen – dies wird bspw. im Bachelor-Studiengang „Cyber Security Management“ in Mönchengladbach abgebildet.