Hadmut Danisch
Ansichten eines Informatikers

Cyber-Peace: Über die Darmstädter IT-Sicherheits-Verzweiflung und vom Ende der IT-Sicherheit

Hadmut
4.7.2022 13:22
Uncategorized

Nur, damit Ihr mal wisst, was inzwischen in der Hochschul-IT-Sicherheit so los ist.

Oder: Frau und IT-Sicherheit.

Es gab noch Leserzuschriften.

Dass man als Frau in an der TU Darmstadt auch ohne greifbare Sachkunde und Kenntnisse „Expertin für IT-Sicherheit“ werden kann, hatte ich ja vor rund 15 Jahren schon anhand derer damaligen Professorin Claudia Eckert beschrieben, die ein Blind-Gefälligkeitsgutachten ausstellte, sich zu Kryptographie nicht äußern konnte und nicht einmal wusste, was in „ihrem“ Fachbuch zur IT-Sicherheit steht. Schon damals reichte es in Darmstadt, Frau zu sein. Reingekauft über eine Stiftungsprofessur.

Zu dem Blog-Artikel über die Darmstädter Zustände und dem Vorschlag aus dem Zustand der letzten Verzweiflung, „Ehrenamtliche“ sollten betroffene Firmen retten, indem sie ihnen bei der Einrichtung von Mail-Accounts helfen, gab es Leserzuschriften.

Man muss sich einfach mal anschauen, was für Leute dort in IT-Sicherheit machen.

In dem Artikel wurde ja eine Jessica Haunschild genannt. Fangen wir mal oben an, dem Institut Peasec.

Peasec

Schauen wir auf deren Webseite , finden wir so pittoreske Aussagen wie

PEASEC – Wissenschaft und Technik für Frieden und Sicherheit

Fortschritte in Wissenschaft und Technik, besonders der Informatik, spielen im Kontext von Frieden und Sicherheit eine essenzielle Rolle. Der Lehrstuhl Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) (engl. Science and Technology for Peace and Security) unter Leitung von Prof. Dr. Christian Reuter im Fachbereich Informatik mit Zweitmitgliedschaft im Fachbereich Gesellschafts- und Geschichtswissenschaften der Technischen Universität Darmstadt verbindet Informatik mit Friedens- und Sicherheitsforschung.

In der Schnittmenge der Disziplinen Cyber-Sicherheit und -Privatheit, Friedens- und Konfliktforschung sowie Mensch-Computer-Interaktion adressiert das mehr als 30-köpfige PEASEC-Team besonders folgende Themenbereiche:

  1. Friedensinformatik und technische Friedensforschung

    • Cyber-Peace, -War, -Rüstungskontrolle
    • Dual Use in der Informatik
  2. Kriseninformatik und Information Warfare
    • Soziale Medien in Konflikt- und Krisenlagen
    • Meinungsmanipulation und Fake News
  3. Benutzbare Sicherheit und Privatheit
    • Resiliente digitale Landwirtschaft / Städte
    • Sicherheits- und privatheitsfördernde Maßnahmen

Methodisch werden empirische Studien (qualitative und quantitative Erhebungen aktueller Entwicklungen, z.B. der Selbsthilfeorganisation während COVID-19) mit technischer Forschung (Konzeptionierung innovativer Interaktionskonzepte, Sicherheitsmechanismen, privatheitsfördernder Technologien oder Machine-Learning-Algorithmen) und abschließender Evaluationen im Anwendungsfeld (z.B. Social Media Analytics für den Katastrophenschutz) kombiniert.

Allein schon dieser Satz: „In der Schnittmenge der Disziplinen Cyber-Sicherheit und -Privatheit, Friedens- und Konfliktforschung sowie Mensch-Computer-Interaktion adressiert das mehr als 30-köpfige PEASEC-Team besonders folgende Themenbereiche“

Alles durcheinander, Kraut und Rüben, zu allem was geschwätzt. Cyber-Peace

Wer ist eigentlich dieser Prof. Dr. Christian Reuter?

Prof. Dr. Christian Reuter ist Universitätsprofessor an der Technischen Universität Darmstadt. Sein Lehrstuhl Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) im Fachbereich Informatik verbindet Informatik mit Friedens- und Sicherheitsforschung. Er hält einen Diplom-, Master- und Doktorgrad in Wirtschaftsinformatik. In der Schnittmenge der Disziplinen (A) Cyber-Sicherheit und -Privatheit, (B) Friedens- und Konfliktforschung sowie (C) Mensch-Computer-Interaktion adressieren er und sein Team die Themenbereiche (1) Friedensinformatik und technische Friedensforschung, (2) Kriseninformatik und Information Warfare sowie (3) Benutzbare Sicherheit und Privatheit.

Werdegang: Christian Reuter studierte an der Universität Siegen und École Supérieure de Commerce de Dijon (Dipl.-Wirt.Inf.; M.Sc.) und war anschließend als IT-Consultant tätig. Er promovierte an der Universität Siegen in Wirtschaftsinformatik (Dissertation zu Technologiedesign für (inter-)organisationales Krisenmanagements, summa cum laude). Nach einer Tätigkeit als Bereichsleiter an der Universität Siegen und Rufen mehrerer Universitäten wurde er 2017 zum Universitätsprofessor an der Technischen Universität Darmstadt ernannt (Fachbereich Informatik, Zweitmitglied im Fachbereich Gesellschafts- und Geschichtswissenschaften). Derzeit fungiert er als Prodekan des Fachbereichs Informatik.

Wirtschaftsinformatiker. Das Thema hatten wir doch gerade erst zu der Grünen Laura Sophie Dornheim, die man in München zur IT-Referentin machen will, obwohl sie keinerlei Berufserfahrung dazu vortragen kann und meint, sie könnte stattdessen Impulse aus der Start-Up-Szene einbringen und gendern. Wirtschaftsinformatik ist ein Vehikel, damit sich solche, die die Informatik nicht schaffen, dann „Informatiker“ nennen können. IT-Eunuchen. Das Niveau der TU-Darmstadt.

Seine häufig interdisziplinäre Forschung wird regelmäßig ausgezeichnet, z.B. mit dem Brunswig-Promotionspreis für die beste Dissertation der Fakultät, dem Preis der IHK für herausragende anwendungsbezogene wissenschaftliche Arbeiten, als CSCW-Honorable-Mention der Gesellschaft für Informatik (GI), im Rahmen der BMBF-Nachwuchsförderung (2,7 Mio. €) sowie mit Best Paper Awards, und ist in etwa 300 wissenschaftlichen (meist peer-reviewed) Publikationen veröffentlicht. Sein Engagement im Aufbau der interdisziplinären Lehre in der Schnittmenge von Informatik, Frieden und Sicherheit wurde mit dem Athene Preis für Gute Lehre – Sonderpreis Interdisziplinäre Lehre – honoriert.

Informatik, Frieden und Sicherheit. Da hat er noch was zu tun. Da fehlen noch Klima, Gender und Gerechtigkeit.

Zusammen mit seinem Team hat er Forschungsprojekte (z.B. BMBF, DFG, EU) akquiriert, durchgeführt und koordiniert: Er ist stv. Sprecher des TU-Profilthemas Cybersicherheit und -Privatheit, Forschungsbereichsleiter im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE, PI und Koordinator der Graduiertenschule im LOEWE-Zentrum emergenCITY, Direktoriumsmitglied des DFG-Sonderforschungsbereichs CROSSING, PI im DFG-Graduiertenkolleg Privatheit und Vertrauen, Sprecher von IANUS (Science Technology Peace) und Koordinator des BMBF-Verbundprojekts CYWARN.

Wow. Was kann da noch schief gehen?

Christian Reuter ist Herausgeber der Lehr-/Fachbücher „Sicherheitskritische Mensch-Computer-Interaktion“ sowie „Information Technology for Peace and Security“ (Springer Vieweg) und Autor von “Emergent Collaboration Infrastructures” (Springer Gabler). Er engagiert sich an der Universität (z.B. Fachbereichsrat, Prüfungskommission, Berufungs- und Promotionskommissionen, Ethikkommission), in Fachgesellschaften (z.B. GI-Fachgruppe „Usable Safety & Security”, Mitglied im wissenschaftlichen Beirat der Deutschen Stiftung Friedensforschung) sowie als Organisator, (Meta-)Gutachter und Mitherausgeber wissenschaftlicher Workshops, Konferenzen (z.B. General Chair: Science Peace Security) und Journals (z.B. Behaviour & Information Technology). Als IT-Unternehmer setzt er seit 2002 Web-Projekte um.

Boah. Er setzt Web-Projekte um.

„Information Technology for Peace and Security“

Peace, Brother. [Sorry, ich muss mal lachen gehen … … … bin wieder da.]

Und dann solche Themen wie

Christian Reuter (2021)
Sicherheitskritische Mensch-Computer-Interaktion: Interaktive Technologien und Soziale Medien im Krisen- und Sicherheitsmanagement (Zweite Auflage)

Christian Reuter (2019)
Information Technology for Peace and Security – IT-Applications and Infrastructures in Conflicts, Crises, War, and Peace

Christian Reuter (2014)
Emergent Collaboration Infrastructures: Technology Design for Inter-Organizational Crisis Management (Ph.D. Thesis)

Sorry, ich muss nochmal raus.

Ich kann den Mist nicht kostenlos runterladen, weil nicht in einem Uni-Netzwerk, aber die Inhaltsverzeichnisse sagen schon alles. So typische Bullshit-Sammelbände mit Bullshit-Beiträgen, die nur dazu da sind, Publikationslisten künstlich aufzublähen. Kennt man von Gender Studies. Ich kenne übrigens keinen einzigen Sicherheitsprofi – also solche, die das wirklich machen – der sein IT-Wissen ausgerechnet von Springer (Achtung: Nicht der BILD-Verlag, sondern Wissenschafts-Springer) beziehen würde. Die machen nur so akademisches Rauschen und leben davon, dass die Bibliotheken den ganzen Käse aufkaufen. Teuer und wertlos. Und im Zeitalter der Digitalisierung sowieso absurd anachronistisch, aber geldbringend.

Jasmin Haunschild

Und in dem Laden gibt es nun besagte Jasmin Haunschild.

Über die heißt es da:

Jasmin Haunschild ist wissenschaftliche Mitarbeiterin und Doktorandin am Lehrstuhl Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) im Fachbereich Informatik der Technischen Universität Darmstadt. Ihre Forschungsinteressen liegen im Bereich Digitalisierung von Staats- und Sicherheitsinstitutionen, Kriseninformatik and „Smart Cities“.

Sie hat zuvor am Lehrstuhl für Internationale Beziehungen an der TU Braunschweig und am Royal Holloway College, University of London, zu Global Governance und transnationalem Verbrechen sowie Big Data und Künstliche Intelligenz geforscht. Sie hat einen Masterabschluss in Internationalen Studien/Friedens- und Konfliktforschung (Goethe Universität Frankfurt/TU Darmstadt) und einen Bachelorabschluss in Politikwissenschaft, sowie IT-Kenntnisse aus einem Elektrotechnik- und Informationstechnik-Intermezzo.

Ist ja der Hammer. Sie hat ein Master in Internationalen Studien/Friedens- und Konfliktforschung, einen Bachelorabschluss in Politikwissenschaft und IT-Kenntnisse aus einem Elektrotechnik- und Informationstechnik-Intermezzo.

Wer könnte besser als IT-Sicherheitsexpertin geeignet sein und darüber promovieren? Die kommt da bestimmt ganz locker durch die Promotion.

Was ist das überhaupt, ein „Elektrotechnik- und Informationstechnik-Intermezzo“? Eine 6-Wochenaffäre mit einem Informatiker?

Wie kommt so jemand in eine solche Position?

Antwort:

Unsere wissenschaftlichen Mitarbeiterinnen Jasmin Haunschild und Thea Riebe wurden im Rahmen des Nationalen Forschungszentrums für Angewandte Cybersicherheit (ATHENE), in welcher PEASEC den Forschungsbereich Secure Urban Infrastructures koordiniert, als ATHENE #WomanInScience vorgestellt.

Jasmin Haunschild, unsere heutige #WomenInScience, beschäftigt sich mit #Datensicherheit in Krisensituation. Sie forscht am Lehrstuhl @PEASEC an der @TUDarmstadt und dort auch im ATHENE-Forschungsbereich SecUrban: http://ow.ly/8jLx50FrtXP @CS_TUDarmstadt

#WomenInScience. Alles klar. Sie untersucht, wie sich in Krisensituationen die Kommmunikation zwischen Bürger und Staat durch Apps verbessern lässt.

Automatisierte Frühwarnsysteme können Leben retten, müssen aber auch cybersicherheitsrelevante Aspekte berücksichtigen. An diesemThema forscht Thea Riebe – unsere heutige #WomenInScience -am Lehrstuhl @PEASECde an der @TUDarmstadt

Riecht, als hätte der gesamte Lehrstuhl, als hätten sie alle zusammen noch nicht begriffen, was der Unterschied zwischen Safety und Security ist. Hackerangriff und Hochwasser. Fängt ja auch beides mit H an.

Sie schwafeln einfach zu allem, weil die Hochschulen inzwischen ein von der Realität völlig abgeschottetes Biotop geworden sind, in dem das, was man sagt, keinen Sinn ergeben und nicht mehr richtig oder nützlich sein muss, sondern nur noch Sammelbände und Literaturverzeichniseinträge produzieren muss.

Und die sollen dann Deutschland retten und kommen auf solche Schnapsideen, dass „Ehrenamtliche“ den Firmen beim Neueinrichten der E-Mail-Adressen helfen sollen. Perspektive Windows-Maus-Schubser.

Und das ist dann das, was sich die „Technische Universität Darmstadt“ unter IT-Sicherheit vorstellt. Und wofür wir als Steuerzahler dann allein dort Millionen ausgeben. Überlegt Euch mal, was ein Lehrstuhl aus 30 solcher akademischen Clowns und Quotenartefakte kostet.

Kirsten Scheel

Nun gab es in dem Artikel der Frankfurter Rundschau ja noch diese Stelle:

Kirstin Scheel vom Fraunhofer Institut regte an, Cyberversicherungen müssten ein „gewisses Niveau“ von IT-Schutzmaßnahmen einfordern. Brandschutzübungen in Unternehmen seien ja auch Pflicht.

Das ist anscheinend die da:

Man beachte die Syntax des URLs: https://digital.smartcountry.berlin/speakers/52911?layout_clean=1&layout_body_class=scconwebsite layout_body_class aus dem URL-Parameter. Wer gerade Zeit und Lust hat, kann ja mal ausprobieren, ob da ein XSS durchgeht.

Kirstin Scheel

Wissenschaftliche Mitarbeiterin,
Fraunhofer-Institut für Sichere Informationstechnologie SIT

Kirstin Scheel hat in Großbritannien BWL und VWL studiert. Nach ihrem Master-Abschluss arbeitete sie jahrelang im Projekt- und Prozessmanagement sowie im angewandten Datenschutz. Am Fraunhofer SIT forscht sie zu Cybersicherheit und Privatsphärenschutz für Smart Cities und Smart Regions.

Betriebs- und Volkswirtschaftslehre studiert und „forscht“ jetzt zu „Cybersicherheit“. Cybersicherheit? Ja, die für „Smart Cities und Smart Regions“.

Als ob Frauenförderung bedeute, dass jedes Thema nur von Leuten „erforscht“ werden darf, die davon garantiert gar keine Ahnung haben. Denkschema Clauda Eckert. Denkschema Fraunhofer. Beschreibe ich das nicht hier seit 20 Jahren, dass man seit den 90er Jahren die IT-Sicherheit an den Universitäten systematisch zerstört und die Posten mit garantiert ungefährlichen Laien besetzt hat? So sieht das dann aus. Die okkupieren die Stellen und monströs Forschungsgelder, und gleichzeitig ist gewährleistet, dass da gar nichts außer leerem Geschwätz dabei herauskommt und die den Geheimdiensten und Staatsinteressen ganz bestimmt nicht in die Quere kommen.

Man hat die IT-Sicherheit in der „Forschung“ komplett auf ein frauengängiges und quereinsteigerverdauliches Sozio- und social-media-Geschwätz herunterreduziert. Und sowas kommt dann dabei heraus:

Ein Workshop über die Frage, ob „Cybersicherheit“ ein „IT-Thema“ ist oder nicht. Der Laie staunt, der Fachmann wundert sich: Wie man soviel geballte Kompetenz in nur 30 Minuten Workshop unterbringen? Die Informationsdichte haut einen schier aus den Latschen.

Betriebswirtschaftslehre macht sie. So, so.

Dazu schreibt mir ein Leser:

Moin Hadmut,

ich arbeite in der Versicherungsbranche (als ITler, der sich die IT-Sicherheitsmaßnahmen der Versicherungsnehmer anschaut um das Risiko bewerten zu können).

Wenn Kirstin Scheel sagt, die Cyber-Versicherer sollten mal Mindeststandards einfordern, dann zeigt das mal wieder, dass selbst die Fraunhofer Institute (die ja eher industrienah sind) offenbar im Elfenbeiturm wohnen. Das was da gefordert wird, ist längst Realität (ist nämlich genau mein Job).

Stand heute ist es quasi unmöglich Unternehmen mit mehr als 10 Mio. Jahresumsatz gegen Cyberrisiken zu versichern, die nicht gewisse Mindeststandards wie Netzwerksegmentierung, Multifaktor-Authentifizierung etc. umgesetzt haben. Natürlich gibt es massenweise alte Policen, aber da räumen die Versicherer (und das sind nur noch wenige, da sich einige vollständig aus dem Cyber-Markt zurückgezogen haben) gerade massiv auf.

Der gleiche Tenor kam ja auch in dem offenen Brief zur Ransomware der kürzlich kursierte durch. Da wurde behauptet, die Versicherungen würden mit der Zahlung von Lösegeldern den Krieg Putins finanzieren. Tun sie nicht. Aufgrund der Sanktionen zahlen Versicherer keine Lösegelder, sobald irgendwie klar ist, das die Forderung aus dem russischen Raum kommt.

Anscheinend hat die akademische IT-Sicherheitsforschung jetzt die Versicherungswirtschaft als Schuldigen an der Misere ausgeguckt…

OK, Kirstin Scheel hat BWL und VWL (in England) studiert, ist also sicherlich Expertin im Bereich IT-Sicherheit

Das mit den ehrenamtlichen Helfern ist natürlich die Lachnummer schlechthin. Die Leute, die sich mit IT-Sicherheit wirklich auskennen, kommen vor Arbeit nicht in den Schlaf. Die werden sicherlich nicht in ihrer knappen Freizeit noch Lust haben irgendein verwahrlostes Behördennetz wieder auf die Beine zu stellen.

Die Autorin dieses Vorschlags im FR Artikel ist eine gewisse Jasmin Haunschild, die hat einen Masterabschluss in Internationalen Studien/Friedens- und Konfliktforschung (Goethe Universität Frankfurt/TU Darmstadt) und einen Bachelorabschluss in Politikwissenschaft, sowie IT-Kenntnisse aus einem Elektrotechnik- und Informationstechnik-Intermezzo. Da spare ich mir jeden weiteren Kommentar.

Wenn Blinde von der Farbenlehre sprechen…

Ja, ja. Bisher sehe ich da wirklich gar niemanden, der Ahnung vom Thema hätte, aber sie streichen jede Menge Forschungsgelder, Fördermittel, Auszeichnungen ein und schwätzen (wohl nur) dummes Zeug. Das ist der Zustand der IT-Sicherheit an den Universitäten. Unter Null. Bringt gar nichts, kostet aber enorm viel Geld.

Und das sind ja dann die zwei Dauerthemen hier im Blog, die da wunderbar harmonieren:

  • Das Lahmlegen der IT-Sicherheitsforschung durch Besetzen aller Stellen mit Unfähigen, um die Geheimdienste nicht zu behindern und alles transparent zu halten,
  • Frauenförderung durch geistige Rollstuhlrampen und das Quereinsteigertum der Unfähigen, damit das alles schön frauengängig wird.

Das ist eine perfekte Symbiose, eine politische Win-Win-Situation. Frauen profitieren vom Geheimdienstdruck, IT-Sicherheit zu unterlassen und umgekehrt.

„Ehrenamtliche“

Was steckt also hinter dem Vorschlag der „Ehrenamtlichen“, die in der Not zum Löschen kommen sollen?

Da geht es darum, dass die, die noch halbwegs Ahnung haben, weiße Männer, doch nun bitte freiwillig und kostenlos vorbeikommen, um die Sache zu richten.

Man hat alle Gelder und alle Stellen für politisch korrekte qualifikationslose Quotenartefakte verwendet, und wenn es brennt, dann sollen doch bitte die, die man an den Universitäten nicht mehr haben will, kostenlos und als Hobby mal vorbeikommen und das alles wieder zusammenschrauben.

Soweit ich da für meine Spezies der alten, weißen, männlichen, akademisch verschmähten IT-Sicherheitsexperten mit Berufs- und Kampferfahrung, Ausbildung und Sachkunde sprechen kann: Werden wir nicht tun.

Hatte ich neulich schon ausführlich beschrieben.

Wir sitzen da jetzt auf dem Sofa, mit Kartoffelchips und was Kaltem zu trinken, und schauen mit Vergnügen, Gelächter und manchem Blog dabei zu, wie der ganze Mist zusammenfällt.

Und sagen uns: Verdammt, waren wir gut.

Und außerdem: Wer braucht schon Darmstadt? Kann weg…