Hadmut Danisch
Ansichten eines Informatikers

Von der Zerstörung der IT-Sicherheitsforschung

Hadmut
16.7.2022 15:54
Uncategorized

Ein erstes praktisches Beispiel.

Ein zentrales – oder das zentrale – Thema dieses Blogs, dieser Webseite ist es seit 20 Jahren, aufzuzeigen, wie man die Universitäten, die Forschung, die Informatik, insbesondere aber die IT-Sicherheitsforschung systematisch sabotiert und lahmgelegt hat.

Ich habe die Angriffe der USA, der Nachrichtendienste, des Bundesnachrichtendienstes gegen die Sicherheits- und Kryptoforschung beschrieben.

Und ich habe beschrieben, wie man die befähigten Leute entweder abgesägt und erst gar nicht in die Karrieren gelassen hat, oder dann, wenn sie schon drin waren, ruhig gestellt, eingeschüchtert, thematisch vertrieben oder sonst wie zum Schweigen gebracht hat. Wie man die IT-Sicherheit systematisch mit unfähigen – und damit ungefährlichen – Leuten vollgepumpt hat.

Mit den Quotenfrauen, die als IT-Security-Professorinnen auftreten, sich aber nicht zur Kryptographie oder überhaupt zur IT-Sicherheit äußern können. Bei denen die eine ihre Vorlesungen vom Dienstleister halten lassen muss und die andere nicht weiß, was in „ihrem“ Fachbuch steht.

Mit dem holländischen Professor-Clown, der Kryptovorlesungen hält, aber selbst nicht versteht, was er sagt, sondern nur die Folien vorliest, die jemand anders ihm geschrieben hat.

Von dem, der mit Auszeichnung promoviert und gleich in die Professur gehievt wurde, obwohl in seiner Dissertation einfach gar nichts Eigenes steht und er nicht mal Primzahlen richtig definieren kann.

Von der Tussi, die dasselbe Verfahren, das weniger Sicherheit bietet, als wenn man gar keine Verfahren anwendet, gleichzeitig als Authentifikations- und Anonymisierungsprotokoll ausgibt und überzeugt ist, dass „sichere Passworte“ möglichst kurz sein müssen, weil man sie sich dann leichter merken kann und nicht auf die Unterseite der Tastatur schreiben muss.

Man hat die deutsche IT-Sicherheitsforschung systematisch zerstört, sabotiert, kaltgestellt und mit Witzfiguren besetzt – wobei die Frauenquote zwar nicht erforderlich, aber in weiten Teilen doch sehr hilfreich war.

Darüber, dass die TU Darmstadt sich da gerade wieder mal zur Ulk-Nummer in IT-Sicherheit macht, hatte ich neulich erst geschrieben.

Und dass das alles dann von Politikern befehligt und per Korruption und Erpressung gesteuert wird, die sich IT-Sicherheit so wie einen Panzerkrieg vor 40 Jahren vorstellen, dass man einfach nur tüchtig zurückschießen muss, um dem Gegner die IT-Geschütze zu zerstören, setzt der Dummheit die Schlagsahne auf.

Ein Leser schickte mir das Werk Sicherheitskritische Mensch-Computer-Interaktion von Christian Reuter aufmerksam. Das ist der Luftikus, über den ich gerade zur IT-Sicherheit in Darmstadt schon geschrieben hatte.

Schon in der oberen Hälfte der Titelseite bekommt man Krämpfe: Weil es von Springer Vieweg als „Lehrbuch“ gekennzeichnet ist, gleichzeitig aber Reuter nur als Herausgeber angegeben ist. Das ist so ein unsäglicher Sammelband, wie sie heute an den Universitäten, besonders in den Geisteswissenschaften so üblich sind, damit die Leute auf Gegenseitigkeit mit möglichst wenig Anstrengung und Inhalt in der Birne ihre Veröffentlichungsliste befüllen können. Es gibt so unzählige Bände dieser Art, in denen irgendwelche Leute einfach irgendeinen Mist auf ein paar Seiten zusammenblubbern (und meist immer denselben in neuen Aufgüssen), einschicken, und einer pappt das zusammen. Schwupps hat jeder was auf der Veröffentlichungsliste, und der Verlag druckt’s, weil er damit dicke Kohle verdient. Den Mist liest zwar nie jemand, und die allermeisten „wissenschaftlichen“ Papers haben mehr Autoren als Leser (und wenn, sind es meist dieselben, weil auch nicht wenige der Autoren bei Einreichung „ihr“ Paper noch nicht kennen und sich erst für den Inhalt interessieren, wenn es angenommen wurde).

„Wissenschaftliche Veröffentlichungen“ sind heute in den allermeisten Fällen eigentlich nur noch eine Verschwörung zum Betrug am Steuerzahler, an der die Verschwörer auf unterschiedlichen Weise profitieren. Der Verlag bekommt für inhaltlichen Müll auf Papier viel Geld von den Bibliotheken. Und die Autoren kommen über die Veröffentlichungslisten dann an irgendwelche Posten.

Und der Staat ist der einzige Idiot, der sich die – meist wert- und inhaltslose – „Arbeitsleistung“ seiner „Angestellten“, die er schon bezahlt, noch einmal separat verkaufen lässt. Warum man im Zeitalter der Digitalisierung massenweise Texte, die ohnehin niemand liest, noch auf Papier druckt und über einen Verlag publiziert, erschließt sich mir nicht.

Und wie aus so einem Sammelband willkürlich hingeworfener Beiträge ein „Lehrbuch“ werden soll, erschließt sich mir auch nicht.

Nun habe ich also gerade mal in dieses Werk gesehen und einfach zufällig irgendwo aufgeschlagen.

Gelandet bin ich dabei auf Seite 61: Quantitative Evaluation der Mensch-Computer-Interaktion von Simon Nestler und Christian Sturm, Hochschule Hamm-Lippstadt

4.1.1 Gebrauchstauglichkeit im Sicherheits- und Krisenkontext

Sicherheitskritische Systeme unterstützen den Anwender bei der Erledigung seiner krisen- und sicherheitsrelevanten Ziele und der damit verknüpften konkreten Arbeitsaufgaben; das primäre Ziel der Systeme ist dabei stets die Reduktion des Arbeitsaufwandes bei einer gleichzeitigen Steigerung der Ergebnisqualität. Dazu muss im Sicherheits- und Krisen-
kontext durch den Einsatz sicherheitskritischer und krisenbezogener Systeme insbesondere eine Verbesserung gegenüber primär papierbasierten Prozessen und Verfahren erzielt werden, da dieses Medium bei Krisenstäben, in Leitstellen und bei Einsatzleitern vor Ort erst im Zuge der letzten Jahre schrittweise durch interaktive Systeme ersetzt wird.
Unabhängig davon, ob diese schrittweise Ersetzung der bisherigen papierbasierten Kommunikations- und Dokumentationsprozesse top-down oder bottom-up erfolgt, ist die Ge-
brauchstauglichkeit des interaktiven Systems das zentrale Erfolgskriterium: Während sich früher der wirtschaftliche Erfolg eines Systems aus der Passgenauigkeit der Funktionalität ergab, spielt inzwischen die erfolgreiche Nutzbarmachung des interaktiven Systems im konkreten Nutzungskontext die maßgeblichere Rolle für den Erfolg eines interaktiven Systems. Die Bedeutung der Nutzbarmachung wird auch unmittelbar anhand der Definition des Konstrukts Gebrauchstauglichkeit deutlich: „The extent to which a product can be used by specified users to achieve specified goals with effectiveness, efficiency and satisfaction in a specified context of use” (Europäische Norm, 1999).

Das Konstrukt lässt sich also vor dem Hintergrund dieser Definition als ein Ausmaß interpretieren, das die Eignung eines Produktes für die vorgesehene Nutzung beschreibt. Dabei beschränkt sich dieses Konstrukt bei der Bewertung der Nutzbarkeit des Produktes auf diejenigen Menschen, für die das Produkt entwickelt wurde, und auf denjenigen Nut-
zungskontext, für den das Produkt entworfen wurde. Die erfolgreiche Nutzung eines Produktes wird noch weiter konkretisiert: Ein Produkt lässt sich erfolgreich nutzen, wenn die
Anwender mithilfe des Produktes ihrer Ziele effektiv, effizient und zufriedenstellend erreichen können. Für sicherheitskritische interaktive Systeme trifft die Gebrauchstaug-
lichkeit eine Aussage darüber, wie gut Einsatzkräfte das System effektiv, effizient und zufriedenstellend im Sicherheitsszenario nutzen können. Aus dieser Definition lassen sich
Ansätze für eine quantitative Messung der Gebrauchstauglichkeit im Krisen- und Sicherheitskontext herausarbeiten:

  • Gebrauchstauglichkeit von sicherheitskritischen Systemen hängt von der Anwendergruppe in ihrer Gesamtheit ab; Gebrauchstauglichkeit ist ein objektives Gütekriterium von interaktiven, sicherheitskritischen Systemen.
  • Das Gütekriterium Gebrauchstauglichkeit ist als ein Ausmaß definiert, die Definition liefert direkte Ansatzpunkte im Hinblick auf Messbarkeit und Quantifizierung der Gebrauchstauglichkeit im Sicherheitskontext.
  • Die Messbarkeit der Gebrauchstauglichkeit eines interaktiven, sicherheitskritischen Systems bedingt die Messung von Effektivität, Effizienz und Zufriedenheit.
  • Zum Zwecke der Messung und Quantifizierung der einzelnen Dimensionen im Krisen- und Sicherheitskontext ist eine eingehende Auseinandersetzung mit den quantitativen Evaluationsmethoden erforderlich.

Das ist nur noch leeres, inhaltsloses, soziologisches Geschwätz. Was sind das für Vögel, die so sowas schreiben? Doktoranden der Soziologie?

Nein:

Die Gesellschaft für Informatik e.V. (GI) ernennt Prof. Dr. Simon Nestler, Lehrgebiet “Mensch-Computer-Interaktion” an der Hochschule Hamm-Lippstadt, zu einem GI Junior-Fellow. Mit dem Junior-Fellowship-Programm fördert die Gesellschaft für Informatik e.V. jedes Jahr herausragende Jungtalente, die sich um die Informatik in Wissenschaft und Gesellschaft in besonderem Maße verdient gemacht haben. Die offizielle Ernennung erfolgte auf der Jahrestagung #INFORMATIK2018 in Berlin. Ebenfalls ausgezeichnet wurden neben Prof. Nestler, Prof. Dr. Andreas Vogelsang von der TU Berlin und Alexander Steen von der FU Berlin.

„herausragende Jungtalente“.

Dieselbe GI hat es damals abgelehnt, mir zu helfen, obwohl sie wusste und es sogar einräumte, dass das Prüfungsgutachten fachlich Quatsch und grob falsch ist, weil man einfach nicht gegen Professoren aussagen werde. Und wenn man weiterliest, kommt es einem vor wie Kindergeburtstag:

Prof. Dr. Simon Nestler forscht im Kontext sicherheitskritischer Systeme. Daneben engagierte er sich unter anderem beim Lippstädter Science Slam, dem HSHL Hackathon, der BMBF-Forschungsbörse, dem Gedankenblitz Wettbewerb sowie Jugend forscht. “Als GI Junior-Fellow möchte ich einen Beitrag dazu leisten, dass die Bandbreite und Vielfältigkeit der Informatik in der Gesellschaft noch stärker sichtbar wird und sich Schülerinnen und Schüler durch neue Formate für das vielfältige Themenspektrum der Informatik begeistern”, erklärt Simon Nestler.

Und der andere? Auch Professor:

Arbeits- und Forschungsschwerpunkte

  • Erforschung und Design von Customer Experience, User Experience und Usability
  • Strategien der Internationalisierung und Lokalisierung von Systemen, Produkten und Dienstleistungen
  • Interkulturelle Kommunikation
  • Entrepreneurship
  • HCI4D: Human-Computer Interaction for Development

Forschungsschwerpunkte im Themenfeld Interkulturalität und Diversität

  • User/Customer Experience Research und Design transkulturell
  • Internationalisierung von Produkten und Dienstleistungen
  • International Entrepreneurship

Arbeits- und Forschungsschwerpunkte im Themenfeld Mensch-Maschine-Interaktion

  • Internationale und transkulturelle Perspektive
  • Untersuchung und Identifikation universaler Charakteristika sowie kultureller und persönlicher Unterschiede der MM
  • Internationalisierung und Lokalisierung von Produkten, Dienstleistungen und Herangehensweise
  • HCI4D (HCI for Development)
  • Internationale und transkulturelle Perspektive
  • Untersuchung und Identifikation universaler Charakteristika sowie kultureller und persönlicher Unterschiede der MMI
  • Internationalisierung und Lokalisierung von Produkten, Dienstleistungen und Herangehensweisen
  • HCI4D (HCI for Development)

Interkulturalität und Diversität. Die Transkulturelle Perspektive.

Und solche Clowns schreiben heute die „Lehrbücher“ in IT-Sicherheit?

Safety und Security

Mir kam da beim Blättern so ein Verdacht. Deutschsprachige Laien neigen dazu, Safety und Security zu verwechseln oder nicht auseinanderzuhalten, obwohl es völlig unterschiedliche Dinge sind, weil man sie im Deutschen unglücklicherweise beide mit „Sicherheit“ bezeichnet. Gar nicht so leicht, herauszufinden, was sie eigentlich meinen. Schauen wir in das Vorwort:

Die sicherheitskritische Mensch-Computer-Interaktion ist eine interdisziplinäre Herausforderung und ein für die Informatik und die jeweiligen Anwendungsdomänen in der Bedeutung zunehmendes Thema. Dieses Lehr- und Fachbuch soll als didaktisch aufbereiteter, umfassender Überblick über Grundlagen, Methoden und Anwendungsgebiete der Mensch-Computer-Interaktion im Kontext von Sicherheit, Notfällen, Krisen, Katastrophen, Krieg und Frieden sowohl als vorlesungsbegleitende Lektüre als auch Nachschlagewerk für Studenten, Wissenschaftler, Designer und Entwickler dienen. Dies adressierend werden interaktive, mobile, ubiquitäre und kooperative Technologien sowie soziale Medien vorgestellt. Hierbei finden klassische Themen wie benutzbare (IT-)Sicherheit, Industrie 4.0, Katastrophenschutz, Medizin und Automobil, aber auch Augmented Reality, Crowdsourcing, Shitstorm Management, Social Media Analytics und Cyberwar ihren Platz. Methodisch wird das Spektrum von Usable Safety bis Usable Security Engineering, von Analyse über Design bis Evaluation abgedeckt.

Es kommen sogar beide Begriffe Safety und Security drin vor, aber für Unterschiede interessieren sie sich nicht. Egal ob Katastrophe oder Cyberwar, Medizin, Automobil, Crowdsourcing oder Shitstorm Management, völlig egal, alles eins, jeder darf mitmachen.

Das ist das Niveau, auf dem die IT-Sicherheit an deutschen Hochschulen angekommen ist.

Wir hatten in den 90er-Jahren eine Generation wissenschaftlicher Mitarbeiter, die da weitaus besser war, aber die hat man systematisch kaltgestellt. Heute findet da solches soziol-orientierte Laiengeschwätz statt. Und der Steuerzahler zahlt’s. Einmal drin in der Mühle, wird man verbeamtet und hat ausgesorgt bis ins Grab. Kann den Rest seines Lebens mit belanglosem Geschwätz und dessen Akzeptanz auf Gegenseitigkeit verbringen und finanzieren.

In meiner Jugend und Aduleszenz, noch während des kalten Krieges, gab es für sowas ein geflügeltes Wort, eine ständige Redewendung: Und mit denen sollen wir den Krieg gewinnen, wenn die Russen kommen!?

Damals war das nur eine Metapher, weil man eigentlich nicht erwartet hat, dass die Russen tatsächlich kommen könnten.

Heute wollen die Russe kommen, wir sind im IT-Krieg, und wir haben die Universitäten mit solchen Leuten vollgepumpt.

Der Plan des Bundesnachrichtendienstes, die IT-Sicherheitsforschung zu verhindern, ist aufgegangen. Und nun haben wir den Salat.