Gemeinsam mit unseren Expert*innen aus der anwendungsorientierten Forschung arbeiten wir als Lernlabor Cybersicherheit an einem Forschungsprojekt zum Thema Cyberresilienz: „CyRille“. Ziel des Projekts ist es, Organisationen und Produkte mit Fachexpertise aus aktuellen Kundenprojekten und neuesten Forschungsergebnissen zu unterstützen, um ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken.
Angesichts der steigenden Zahl von Cyberangriffen ist es für Organisationen unerlässlich, sich im Bereich Cyberresilienz zu wappnen und im Falle eines erfolgreichen Angriffs schnell und effizient reagieren zu können. Die Idee hinter CyRille sind maßgeschneiderte Assessments zur Bestimmung des Cyberresilienz-Status und gezielte Weiterbildungsprogramme – von Grundlagen- bis hin zu Expert*innen-Trainings. Durch die Bündelung von Kompetenzen aus unterschiedlichen Branchen und Forschungsfeldern ist es möglich, für Organisationen und Produkte umfassende und maßgeschneiderte Lösungen anzubieten.
Unser Experte Dr. Stefan Dziwok erklärt, wie das Projekt entstanden ist und mit welchen Herausforderungen, insbesondere im Hinblick auf gesetzliche Vorgaben, Organisationen und Produkte in naher Zukunft konfrontiert sein werden. Dr. Dziwok arbeitet seit 2014 als mittlerweile Senior Researcher am Fraunhofer-Institut für Entwurfstechnik Mechatronik (IEM) und hat sich neben dem Thema Software-Security auch auf das Thema Weiterbildung spezialisiert. Als erfahrener Experte, Forscher und Trainer im Lernlabor Cybersicherheit leitet er das CyRille-Projekt. Wir haben mit ihm über die Bündelung von Kompetenzen im Rahmen von CyRille gesprochen und warum Cyberresilienz ein hochaktuelles Thema ist.
Herr Dr. Dziwok, können Sie sich und Ihre Arbeit zu Beginn kurz vorstellen?
Mein Name ist Dr. Stefan Dziwok und ich bin Senior Researcher am Fraunhofer IEM in Paderborn. Ich habe Informatik studiert, in diesem Fach auch promoviert und arbeite seit 2014, also jetzt seit zehn Jahren, am Fraunhofer-Institut IEM in der Abteilung Sichere Services und Apps.
In unserem Forschungsbereich beschäftigen wir uns im Allgemeinen mit dem Thema Software-Security, u.a. mit Werkzeugen und Methoden zur sicheren Softwareentwicklung. Seit 2018 haben wir – aufgrund der Nachfrage aus der Industrie – unser Portfolio um den Aspekt der Weiterbildung von Fach- und Führungskräften auf- und ausgebaut zu einem mittlerweile wichtigen Standbein. Das Thema Weiterbildung liegt mir persönlich sehr am Herzen; während meines Studiums und meiner Promotionszeit war ich beispielsweise häufig in der Hochschullehre aktiv und das hat mir stets viel Spaß gemacht. Daher habe ich mich sehr gefreut, dieses Thema bei uns aufzubauen und zu verantworten. Da das Thema in den letzten Jahren stark gewachsen ist, entstehen die Weiterbildungen aber natürlich in Teamarbeit. Wir identifizieren, welche Branche welchen Bedarf hat und erarbeiten daraufhin Schulungen und Coachings, die wir dann durchführen und auf die jeweiligen Organisationen oder Produkte zuschneiden.
Wie kam es zur Initiierung dieses Projekts „CyRille“?
Wir stellen zunehmend fest, dass die Zahl der Angriffe und auch die Zahl der erfolgreichen Angriffe weiter steigt. Gerade letztere können nicht nur für die betroffene Organisation, sondern auch für die deutsche und europäische Wirtschaft einen erheblichen Schaden bedeuten. Die EU hat erkannt, dass Cyberresilienz auf Basis von Freiwilligkeit auf Dauer nicht funktionieren kann und reagiert mit einer entsprechenden branchenübergreifenden Gesetzgebung. Zwar gab es schon vorher viele Normen und Standards zur Orientierung und für einige Branchen sogar explizite Vorgaben (z.B. für den Finanzsektor oder kritische Infrastrukturen), aber es gab auch viele Branchen, wie zum Beispiel die Produktion und die Automobilindustrie, in denen es bisher keine gesetzlichen Vorgaben gab. Cyberresilienz war freiwillig und in vielen Fällen haben sich Organisationen aus monetären und zeitlichen Gründen gegen die Vorsorge und für das Risiko entschieden. Wir bieten den Organisationen schon seit vielen Jahren viele Möglichkeiten an bzgl. des Kompetenzaufbaus im Thema Cyberresilienz aktiv zu werden. Aber die neue Gesetzgebung hat noch einmal einen anderen Hebel und hier wollen wir als Lernlabor Cybersicherheit nochmal mehr bereit sein, zu unterstützen und Dienstleistungen in allen Branchen anzubieten.
Welche Herausforderungen gibt es bei der Realisierung des Projekts?
Eine Herausforderung ist sicherlich die Größe des Themas. Bei Sicherheit denkt man in erster Linie an Abwehr: Wir wollen, dass möglichst wenige Angriffe erfolgreich sind. Das ist sehr gut und wichtig, und dabei wollen wir die Organisationen auch unterstützen, aber bei der Cyberresilienz geht es auch um den Fall, dass ein Angriff doch erfolgreich ist. Dann gilt es, den Angriff schnell zu erkennen, möglichst sofort und passend zu reagieren und effizient wieder auf die Beine zu kommen. Das ist eine große Herausforderung, sowohl für die Organisationen als auch für uns im CyRille-Projektteam. Deshalb müssen wir zunächst verstehen, was jede einzelne Organisation und jede Branche brauchen. Welche Themen sind relevant? Was müssen wir als Erstes angehen? Denn die Organisationen können nicht alles stehen und liegen lassen, um sich ein Jahr lang mit Cyberresilienz zu beschäftigen; das muss im laufenden Betrieb funktionieren. Wir haben uns zusätzlich auch juristische Unterstützung geholt, um die Gesetzgebung im Detail zu verstehen. Die Herausforderung besteht darin, dieses große Thema zu erfassen und didaktisch zu reduzieren, um die Organisationen passend zu unterstützen.
Welche Kompetenzen werden im Zuge von „CyRille“ gebündelt?
Mit dem Lernlabor Cybersicherheit haben wir das große Glück, dass wir bereits mit mehreren Konsortien (Konsortien bestehen aus einem Institut und einer Hochschule) und deren Expert*innen zusammenarbeiten, die ihre speziellen Fähigkeiten haben. Diese Fähigkeiten beziehen sich zum Beispiel auf Themen wie intelligente Produktion, Industrie 4.0, Automotive, Medizintechnik, kritische Infrastruktur (oder Energie- und Wasserversorgung) und Softwaresicherheit. Wir decken alle aus unserer Sicht relevanten Branchen ab und bringen jahrelange Erfahrung in der Weiterbildung in diesen Bereichen mit. Durch diese besondere Zusammenarbeit entstehen vielfältige und branchenübergreifende Angebote.
Warum ist Cyberresilienz (für Organisationen und Produkte) wichtig?
Die Frage ist nicht mehr, ob und wann eine Organisation oder ein Produkt (beispielsweise Apps, Webseiten, Softwareprodukte, Maschinen, Anlagen) angegriffen wird. Es ist eine Tatsache, dass der Angriff kommen wird und es geht nur noch darum, wie schnell ich den Angriff registriere und wie gut ich darauf vorbereitet bin. Wie kann ich den Schaden minimieren? Wie effizient kann ich mich davon erholen? Wir sehen in Statistiken, Studien und Nachrichten, dass die Zahl der Angriffe stark zunimmt. Inzwischen gibt es auch Berichte, dass Hacker die neuesten KI-Tools einsetzen, um besser zu werden. An dieser Stelle gibt es keine Wahlfreiheit oder Sinnfrage mehr; es ist klar: Organisationen müssen sich jetzt schützen und Schritt halten.
Woran arbeiten Sie im Projekt aktuell und welche Angebote sind für die Zukunft geplant?
Wir arbeiten derzeit an zwei großen Themen: zum einen das Thema Assessments und zum anderen das Thema Weiterbildung. Wir haben die Erfahrung gemacht, dass es prinzipiell ein guter Anfang ist, eine fertige Schulung aus der Schublade zu holen und sie in der Organisation durchzuführen. Aber wenn das Training nicht auf die Organisation oder das spezifische Produkt, seinen Kontext und die relevanten Gesetze abgestimmt ist, ist die Effektivität des Trainings deutlich zu gering. Wenn wir jedoch im Voraus wissen, mit welcher Art von Organisation wir zusammenarbeiten, welche Herausforderungen sich in diesem Kontext stellen und wie es um die eigene Cyberresilienz der Organisation und den Kompetenzen bestellt ist, dann ist das Training viel erfolgreicher und wir erreichen eine Änderung im Arbeitsalltag. Daher wollen wir noch stärker als bisher sogenannte Experten*innen-Assessments durchführen, bei denen sich vor dem Training mehrere Mitarbeitende des Lernlabors Cybersicherheit für mehrere Tage mit dem Kunden zusammensetzen, um die Bedürfnisse zu verstehen und um das Training zu individualisieren.
Eine weitere Option, die wir im Rahmen des Projekts entwickeln, sind die Self-Assessments. Hierdurch können Organisationen auf unserer Lernlabor-Website kostenlos Fragebögen ausfüllen, mit deren Hilfe sie sich selbst einstufen können. Auf diese Weise erhalten sie ein schnelles Feedback darüber, wo sie im Bereich der Cyberresilienz stehen. Dieses Angebot ist natürlich nicht mit dem Experten*innen-Assessment zu vergleichen, wo mehrere Personen bis zu mehrere Tage in die Organisation hineingehen und mittels Workshops und Interviews den Bedarf ermitteln. Aber die Selbsteinschätzung kann ein erstes Gefühl für die Dringlichkeit des Handelns vermitteln.
Unsere Assessments werden im Zuge des Projekts auch spezifiziert, so wird es zum Beispiel ein branchenspezifisches Angebot für den medizinischen Bereich und auch für den Produktionsbereich geben. Basierend auf den Ergebnissen der Assessments können dann mithilfe unserer individualisierten Weiterbildungen Kompetenzen in der Organisation aufgebaut werden – genau dort, wo sie gebraucht werden.
Bei den Weiterbildungen selbst unterscheiden wir ebenfalls zwei Arten: Zum einen Selbstlerneinheiten, für die man zum Beispiel auf unserer Website Lernmaterialien erhält, zum Teil auch kostenlos. Mit dieser Möglichkeit kann man sich in wenigen Stunden mithilfe von so genannten Learning-Nuggets Wissen aneignen, um sich zum Beispiel überhaupt erst einmal mit einem bestimmten Thema zu beschäftigen. Was dabei natürlich fehlt, ist die Diskussion und der Austausch mit erfahrenen Expert*innen. Dafür gibt es unser zweites Angebot, die Expert*innen-Schulungen. So nennen wir unsere Weiterbildungen, die mehrere Tage bis Wochen dauern können und deren Ziel es ist, mithilfe der Trainer*innen neue Konzepte, Methoden und Werkzeuge nicht nur kennenzulernen, sondern sie durchdringen und über ihren möglichen Einsatz im Arbeitsalltag zu diskutieren.
An wen richten sich die Angebote aus dem Projekt und gibt es irgendwelche Voraussetzungen, die vorher erfüllt werden müssen?
Unsere Angebote richten sich an alle Branchen, an den öffentlichen Dienst, an Organisationen, Unternehmen, an Produktteams. Zudem adressieren wir nicht nur Fach-, sondern auch Führungskräfte. Wer sich mit Cyberresilienz und den zugrundeliegenden Gesetzen auseinandersetzen muss, kann sich gerne bei uns melden, denn unser Ziel ist es, alle mitzunehmen – und zwar von Anfang an. Es gibt daher keine Voraussetzungen, die erfüllt sein müssen. Wenn bereits Wissen, Prozesse und Werkzeuge vorhanden sind, stellen wir das durch unsere Assessments fest und können dann die für den jeweiligen Kunden relevanten Themen und Elemente hinzufügen. Wir sind diejenigen, die die Schulungen bauen und da wir zugleich auch Forscher*innen sind, sind wir auf dem neuesten Stand hinsichtlich Techniken, Methoden, Prozessen und Werkzeugen. Unser Angebot ist individuell und richtet sich nach den Bedürfnissen unserer Kunden.
Welche Empfehlungen haben Sie für Organisationen, die cyberresilienter werden möchten?
Die Rückmeldungen und Erfahrungen mit unseren Kunden haben gezeigt, dass unsere Assessments unser Angebot einzigartig machen, denn die meisten Schulungsanbieter bieten so etwas nicht an. Wir führen schon seit vielen Jahren Assessments durch und merken, wie positiv sich das auf die Organisationsschulungen auswirkt, weil wir genau auf die Bedürfnisse des Kunden eingehen können. Unser Ziel ist es auch, dass die Teilnehmenden nach dem Training nicht nur sagen, dass das ein tolles Training war und sie weitermachen wie bisher, sondern wir wollen eine echte Veränderung bewirken. Das können wir nur mit maßgeschneiderten Trainings erreichen, mit denen wir Veränderungen im täglichen Doing umsetzen können.
Zusätzlich haben wir in den letzten Jahren gemeinsam mit unseren Kunden gelernt, dass es nachhaltiger und erfolgreicher ist, sich auf maßgeschneiderte Schulungen für bestimmte Rollen zu konzentrieren. Wir bieten zum Beispiel ein Training für Product Owner an, in dem wir auf andere Fragen und Herausforderungen eingehen als in einem Training für beispielsweise Softwareentwickler:innen.
Ich habe es schon zu Beginn gesagt: für nahezu alle Organisationen gibt es künftig Gesetze. Damit ist die Auseinandersetzung mit dem Thema Cyberresilienz nicht mehr optional, sondern Pflicht. Ein erfolgreicher Angriff ist schon schlimm genug, aber bald kommen noch Sanktionen der EU hinzu oder sie sind bereits existent. Wir unterstützen dabei, das zu verhindern – ganz individuell und auf Basis aktueller Erkenntnisse aus Forschung und Praxis.
Sie sind momentan auf der Suche nach Evaluierungspartner*innen, was hat es damit auf sich?
Wir entwickeln derzeit viele neue Assessments und Weiterbildungen und sind daher auf der Suche nach Evaluierungspartner*innen, die – natürlich mit Rabatt – gemeinsam mit uns in eine Pilotierungsphase starten wollen. Wer Interesse hat, kann sich gerne bei uns melden, denn das Angebot ist eine Win-win-Situation: Unsere Kunden erhalten vergünstigten Zugang zu den neuesten Weiterbildungen und wir erhalten direktes Feedback, um uns zu verbessern.
In Kürze erwartet Sie ein gezieltes Angebot an Weiterbildungsmöglichkeiten und weiteren Unterstützungs-Angeboten zum Thema Cyberresilienz.
Sie möchten frühzeitig darüber informiert werden? Kontaktieren Sie uns gerne hier.
Unser Experte im Interview
Dr. Stefan Dziwok
Senior Researcher am Fraunhofer IEM