Prof. Dr. Haya Shulman ist Expertin für Netzwerk- und Computersicherheit. Die aus Israel stammende Wissenschaftlerin lebt seit 2014 in Deutschland. Sie ist Professorin für Cybersicherheit an der Goethe-Universität Frankfurt am Main und Direktorin der Abteilung Cybersecurity Analytics and Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt. Darüber hinaus ist sie verantwortlich für den Forschungsbereich Analytics Based Cybersecurity am Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE und wissenschaftliche Leiterin der Fraunhofer-Innovationsplattform für Cybersicherheit und Gastprofessorin an der Hebräischen Universität Jerusalem in Israel.
Können Sie sich erinnern, wann Sie das erste Mal mit einem Computer in Kontakt kamen?
Im Alter von zehn Jahren begann für mich in der Schule in Israel der Computerunterricht. Das war meine erste Erfahrung mit Programmierung. Noch früher, wohl im Alter von sechs Jahren, spielte ich allerdings bereits Computerspiele – ganz klassisch: Super Mario und Pac-Man. In der Schule ging es also mit der ernsthaften Nutzung von Computern los. Da ging es dann um die Fragen, wie man Kommandos in DOS schreibt und wie man „Hallo Welt“ programmiert. Weil ich das alles sehr spannend fand, habe ich mich immer mehr mit der Sprache der Computer auseinandergesetzt. Während meiner Armeezeit, die in Israel für alle Männer und Frauen verpflichtend ist, bin ich dann mit Cybersicherheit, Netzwerken und Software professioneller in Kontakt gekommen.
In Filmen und Serien werden Computerexperten in den meisten Fällen als Nerds mit zwischenmenschlichen Schwierigkeiten dargestellt. Und fast immer sind sie männlich. Das Wissen rund um Netzwerke und Computer, so scheint es, ist eine männliche Domäne. Haben Sie während Ihres Studiums grundsätzlich andere Erfahrungen gemacht oder waren Sie so etwas wie eine „Exotin“ in diesem Bereich?
Als ich ungefähr 16 oder 17 Jahre alt war, hat meine damalige Klassenlehrerin gefragt, wie unsere Berufswünsche aussehen würden. Ich antwortete, dass ich ein Studium im Bereich Computer absolvieren möchte. Sie entgegnete, dass das etwas für Jungs und wohl nicht ganz das Richtige für mich sei. Heutzutage würden Lehrerinnen oder Lehrer mit Sicherheit anders reagieren, aber dennoch war damals und ist auch heute noch der IT-Bereich eher männlich dominiert. Meine Kommilitonen im Studium haben mich jedoch ganz normal behandelt. Hier gehörte ich dazu. Für mich hat es keine Rolle gespielt, dass meine Kommilitonen größtenteils männlich waren.
Ihr Schwerpunkt ist Cybersecurity. An welchem Punkt haben Sie festgestellt, dass Sie sich diesem Thema ganz besonders widmen müssen?
Ich denke eher, dass es anders funktioniert: Wenn man etwas macht, das einem großen Spaß bereitet und man sieht, dass man gut darin ist, dann steigt auch die Motivation, weiterzumachen – und dadurch wird man wiederum immer besser. So war es bei mir, ich hatte da kein spezifisches Erlebnis, sondern einfach Spaß und Interesse, mich mit dem Thema auseinanderzusetzen. Wenn sich dann noch Erfolg einstellt, macht es natürlich noch mehr Spaß, und man genießt das Gefühl. Was letztlich erneut dazu führt, sich intensiv mit seinem Thema auseinanderzusetzen. Meines Erachtens ist dieser Kreislauf entscheidend – der einfach nur dadurch ausgelöst wird, dass man Spaß an der Sache hat, mit der man sich beschäftigt.
Und Ihren Eltern war auch früh bewusst, dass Sie etwas mit Computern machen wollten?
Mein Vater wollte, dass ich Jura studiere. Das war die Richtung, in der er mich gesehen hat. Zu einem Informatik-Studium haben mich meine Eltern eher nicht ermuntert. Heute ist mein Vater glücklich und stolz auf mich. Für mich zeigt das: Wenn man etwas macht, das man genießt und an dem man Spaß hat, sollte man sich treu bleiben und sich nicht allzu sehr von seiner Umgebung verunsichern lassen. Die Frage, was Männer- und was Frauenberufe sind, gab es bei mir nie. Diese Aufteilung habe ich nie verstanden. Und diese Aufteilung ist auch nichts, mit dem wir auf die Welt kommen, sondern sie wird uns im Laufe der Jahre vermittelt. Wir müssen uns das aber nicht zu eigen machen.
Für Unternehmen und Regierungen ist Cybersecurity ein nahezu überlebenswichtiges Thema. Wie muss man sich die Forschung in diesem Bereich vorstellen? Müssen Sie wie ein Hacker denken, um diesem immer einen Schritt voraus zu sein?
Die Forschung, die ich und mein Team betreiben, macht es nötig, dass wir teilweise wie Hacker agieren. Grundlage ist das Verständnis von Systemen bis hinein in die kleinsten Details. Hierauf aufbauend muss man sich in die Hacker hineinversetzen, die ja in diese Systeme eindringen wollen. Man muss sich überlegen, wo die anfälligen Punkte sind und welche Methoden angewendet werden können. Das ist wichtig, um die Schwachstellen eines Systems zu identifizieren. Nur wenn diese gefunden werden, können die Netze sicherer werden. Gegenmaßnahmen können nur aufgebaut werden, wenn zuvor die Probleme gefunden wurden. Ein großer Teil unserer Arbeit ist also, zu verstehen, wie Hacker vorgehen und ihre Angriffe durchführen.
Haben Sie hierfür ein Beispiel?
Ein Beispiel sind Angriffe auf das Internet, durch die der Nachrichtenverkehr zum Beispiel zu einer bestimmten Organisation so umgeleitet wird, dass der Hacker mitlesen kann. Solche Verkehrsumleitungen passieren manchmal aus Versehen, durch Fehler in der Konfiguration von Internet-Routern, manchmal aber auch absichtlich durch Länder etwa wie Russland oder China. Um zu verstehen, wie diese Angriffe verhindert werden können, muss man diese Angriffe eben auch durchführen können. Man muss verstehen, wie andere Netze beeinflusst werden und welchen Umfang der Angriff hat. Für das Verbessern der Internet-Sicherheit, für die Entwicklung neuer Sicherheitsverfahren, braucht es aber natürlich viel mehr als nur zu verstehen, wie Hacker vorgehen. Man braucht Systementwurf, Kryptographie, Statistik. Man muss wissen, wie man Sicherheit testet und beweist. Und damit ein neues Verfahren auch wirklich eingesetzt ist, muss man sich auch überlegen, wie man diejenigen, die es einführen sollen, am besten dazu motivieren kann.
Der große Erfolg Ihrer Arbeit ist also die Prävention. Ein Angriff ist nicht erfolgreich, weil Sie die Lücke bereits geschlossen haben…
Genau, der große Erfolg ist, die Schwachstellen vor den Hackern zu finden und Gegenmaßnahmen zu entwickeln. Es geht darum, Probleme zu beheben, bevor sie ausgenutzt werden. Das ist das Ziel. Hierfür ist sehr viel Analyse notwendig. Man benötigt Expertise in vielen unterschiedlichen Bereichen, um Cybersecurity-Forschung zu betreiben.
Sie wurden im vergangenen Jahr als erste Frau alleine mit dem Deutschen IT-Sicherheitspreis der Horst Görtz Stiftung ausgezeichnet. Wofür genau haben sie die Auszeichnung erhalten?
Diese Auszeichnung erhielt ich für die Entwicklung eines Werkzeugs, das ich automatisiert habe, um Lücken und Schwachstellen im Internet zu finden. Konkret geht es dabei um gefälschte Websites. Kriminelle leiten ihre Opfer auf diese Seiten, um dann an ihre Daten, wie etwa Bankverbindungen, zu gelangen. Mein Werkzeug kann automatisiert mehrere Netze untersuchen und im Anschluss einen Bericht erzeugen, der Auskunft darüber gibt, wo die Schwachstellen liegen und wie sie behoben werden können.
Würden Sie es begrüßen, wenn sich mehr junge Frauen und Mädchen mit Programmieren und IT auseinandersetzen würden?
Für die Gesellschaft als Ganzes ist es gut und wichtig, wenn es mehr IT-Expertinnen gibt. Es geht dabei um ein sehr interessantes Berufsfeld, vor dem junge Frauen keine Angst haben sollten. Im Gegenteil: Bereits das Studium hat sehr viel zu bieten, denn man kann es an vielen Orten auf der Welt absolvieren. IT ist ein internationales Fach, so dass man mit Menschen aus vielen verschiedenen Ländern zusammenarbeiten kann. Die Herausforderungen sind immer neu, Langeweile kommt nicht auf, und man kann als IT-Expertin in allen Lebensbereichen etwas Positives und Sinnvolles erreichen. Ich denke, wichtig sind Vorbilder, um mehr Frauen zu motivieren.
Und mittlerweile sind Sie definitiv ein Vorbild…
Ich versuche einfach, die Möglichkeiten und das Spannende dieses Berufsfeldes darzustellen. Wenn das dazu führt, dass sich junge Menschen für IT und Cybersecurity interessieren, freut mich das sehr.