Das neue Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE ist anders, als man es sich vielleicht von Filmen inspiriert vorstellt. Hier gibt es keine großen Labore, in denen Informatiker in Hoodies verzweifelt gegen Trojaner, Viren, Würmer und weitere Schadprogramme vor zig Monitoren kämpfen. Die Wirklichkeit ist weitaus nüchterner. Denn einerseits ist ATHENE zwar die größte Forschungseinrichtung ihrer Art in ganz Europa. Andererseits ist davon an ihrem Sitz in Darmstadt rein gar nichts zu sehen. Denn das Gebäude, in dem ATHENE untergebracht ist, gehört dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT). In der dortigen Geschäftsstelle arbeiten gerade einmal acht der insgesamt 550 Mitarbeiter. Der Rest ist verteilt auf die ganze Stadt – auf das SIT-Gebäude, die Technische Universität Darmstadt, die Hochschule Darmstadt sowie das Fraunhofer-Institut für Graphische Datenverarbeitung (IGD). All das sind die Partner von ATHENE, die gemeinsam auch das Board stellen, dessen Vorsitzender der SIT-Chef Prof. Dr. Michael Waidner ist. Gibt es also ATHENE nur auf dem Papier? „Nein“, widerspricht Waidner, „ATHENE ist mehr als eine virtuelle Konstruktion, ATHENE ist ganz real.“
Zwar sei das Zentrum – als Einrichtung der Fraunhofer-Gesellschaft – rechtlich nicht selbstständig, alle Mitarbeiter hätten zum Beispiel ihren Arbeitsvertrag bei einem der vier Partner. Das bedeute aber nicht, dass im Namen der Göttin der Weisheit, der Strategie und des Kampfes nicht ganz konkrete Arbeit gemacht würde. Im Gegenteil: „ATHENE ist das Dach, unter dem sich irgendwie alles zusammenfindet.“
Und mit „alles“ ist dabei nicht nur reine Forschungsarbeit gemeint. So ist im Haus auch die Geschäftsstelle der Digitalstadt Darmstadt untergebracht, ebenso der Digital Hub Cybersecurity, also jene Initiative der Bundesregierung, die vor allem auf die Förderung von Sicherheits-Start-ups setzt und Darmstadt zur führenden Innovationscommunity für Cyber Security macht – nicht nur in Deutschland, sondern weit darüber hinaus.
IT-Sicherheit hat in Darmstadt Geschichte
Um verstehen zu können, was es mit ATHENE tatsächlich auf sich hat, muss man jedoch die Geschichte des Zentrums kennen. So wurde ATHENE zwar erst kürzlich gegründet, ihre Historie reicht jedoch bis ins Jahr 2002 zurück, als in Darmstadt das Darmstädter Zentrum für IT-Sicherheit (DZI) gegründet wurde, in dem die TU Darmstadt ihre IT-Sicherheitsaktivitäten bündelte. Gleichzeitig wurde im Fraunhofer-Institut für Sichere Informationstechnologie angewandte Cybersicherheitsforschung betrieben. Das Fraunhofer SIT blickt wiederum auf eine noch längere Geschichte zurück: Es ist aus dem 1961 gegründeten Deutschen Rechenzentrum hervorgegangen. In den folgenden Jahren kam es in Darmstadt zu weiteren Gründungen im Zeichen der IT-Sicherheit. Das Land Hessen forcierte 2008 die Gründung des Centers for Advanced Security Research Darmstadt (CASED), in dem das Fraunhofer SIT und die beiden Darmstädter Hochschulen TU Darmstadt und Hochschule Darmstadt gemeinsam an IT-Sicherheitsthemen arbeiteten. 2011 folgte dann der Bund mit dem European Center for Security and Privacy by Design (EC SPRIDE) als neues Kompetenzzentrum für IT-Sicherheitsforschung. Beide, also das vom Land geförderte CASED sowie das vom Bund geförderte EC SPRIDE, bündelten 2015 schließlich ihre Kräfte, um nunmehr unter dem gemeinsamen Namen Center for Research in Security and Privacy, kurz CRISP, zu firmieren.
ATHENE – ein Zentrum mit Missionen
Und was ist dann ATHENE? Nur alter Wein in neuen Schläuchen? „Nein“, widerspricht Waidner erneut. „Bis 2019 bestand CRISP immer nur aus zeitlich befristeten Projekten, die immer wieder einzeln beantragt werden mussten. Jetzt haben wir mit ATHENE eine institutionelle Förderung, was uns eine ganz andere Sicherheit gibt und uns auch viel schlagkräftiger macht.“ Was das bedeutet, erklärt Prof. Dr. Martin Steinebach. Der Informatiker ist einer der elf Missionsleiter von ATHENE. Unter Missionen versteht man in Darmstadt so etwas wie Abteilungen. Steinebachs Mission ist die „Security and Privacy in Artificial Intelligence“, also die Sicherheit und Transparenz KI-basierter Lösungen. Darüber hinaus ist Steinebach am Fraunhofer SIT auch Abteilungsleiter für Media Security und IT-Forensik. Aus diesem Bereich stammt auch das Beispiel, das zeigen soll, welchen Vorteil ATHENE bietet: „Stellen Sie sich vor, Deepfakes im Audiobereich würden so überhandnehmen, dass man dem Telefon nicht mehr trauen kann. Um eine Lösung dafür zu finden, müsste das Bundesforschungsministerium, nachdem das Problem erkannt wurde, eigentlich erst einmal einen Forschungsauftrag ausschreiben.“ Im Schnitt würden solche Prozesse rund zwei Jahre dauern, bis endlich losgelegt werden könnte. Jetzt, mit ATHENE, könne das Board dagegen einfach die Dringlichkeit und die Wichtigkeit des Themas beschließen und zumindest den Start erster Forschungen lostreten. „Der Vorteil dieser Forschungssprints ist nicht zu unterschätzen“, so Steinebach, denn so könnten die Wissenschaftler einfach viel flexibler und schneller beginnen, die Lösung für ein Problem zu suchen. Was dann jedoch folgen würde, wäre wieder ganz normale Projektarbeit, die einzeln bei den verschiedenen Stellen beantragt und bewilligt werden müsste. „Das ist bei ATHENE nicht anders als beim SIT oder der Universität, geforscht wird überall gleich.“
Dabei macht ATHENE sowohl Grundlagenforschung, für die die Universitäten traditionell stehen, als auch angewandte Forschung, die klassische Domäne von Fraunhofer. „Bei uns mischt sich das aber, alle vier Partner haben ihre jeweiligen Spezialisten in den unterschiedlichen Bereichen“, so Waidner.
Forschungssprint für Grundlagen und Anwendung
Ohnehin wird das Thema in Darmstadt insgesamt sehr breit angegangen, auch vier Juristinnen, ein Soziologe, ein Philosoph sowie zahlreiche Ingenieure aus anderen Fachgebieten zählen zum Mitarbeiterstab alleine am Fraunhofer SIT. Denn: „Cybersicherheit ist mehr als Informatik“, erklärt Waidner. So sei es zum Beispiel eine Frage, die Lösung für ein Problem zu haben, aber eine ganz andere, für die Etablierung dieser Lösung zu sorgen. Wie beim Thema Datenschutz: Da wissen die Informatiker ganz genau, was zu tun wäre, damit die Menschen Herren ihrer Daten bleiben können. Allein, die Menschen wollen nicht auf sie hören und geben ihre Daten bedenkenlos preis, um im Gegenzug die Vorteile der Digitalindustrie nutzen zu können. Auch, berichtet Waidner, wäre es für die Forscher grundsätzlich nicht unmöglich, ein ganz neues Internet zu entwickeln, das alle Probleme der Cybersicherheit auf einmal lösen könnte. Doch ein solch neues Internet wollte keiner haben, es in der Breite auszurollen wäre nämlich unmöglich. „Trotzdem müssen wir natürlich klären, was Datenschutz in Zeiten von Big Data und Künstlicher Intelligenz noch heißen kann“, zeigt sich Waidner überzeugt. „Wenn Daten der Rohstoff des 21. Jahrhunderts sind, müssen wir uns umso mehr fragen, wie wir diesen Rohstoff schützen können.“
Risikoeinschätzung zu oft zu positiv
Dennoch sind es vor allem die pragmatischen Lösungen, an denen ATHENE arbeitet. Waidner berichtet aus der Anfangszeit seiner Karriere, in der er sich immer wieder wunderte, dass Unternehmen kein Interesse an bestimmten Lösungen zeigten, obwohl man mit ihnen das jeweilige Problem in den Griff bekommen hätte. Bis er verstand, dass die Probleme zwar vielleicht gravierend waren, aber eben nicht die Probleme des Unternehmens. Sie hätten sich umstellen, gar in etwas investieren müssen, ohne selbst davon zu profitieren. Doch so funktioniert die Welt nun einmal nicht. Effektiver ist dagegen, Lösungen anzubieten, mit denen ein Unternehmen sich selbst schützen kann. „Dafür ist man dann auch bereit zu zahlen“, so Waidner.
Laut einer Umfrage der Beratungsgesellschaft EY bei deutschen Großunternehmen halten 48 Prozent der befragten Unternehmen das Risiko für gering, selbst Opfer von Cyberangriffen zu werden – und das, obwohl 44 Prozent der Unternehmen ebenfalls angaben, in den vergangenen Jahren schon einmal angegriffen worden zu sein. 97 Prozent gehen sogar davon aus, dass die Gefahr durch Spionage und Datenklau in Zukunft noch zunehmen wird. „Das ist wie beim Rauchen. Da weiß auch jeder, dass Rauchen Krebs verursacht und trotzdem vertraut man darauf, dass es einen selbst schon nicht erwischt.“ Noch schlimmer ist es laut Waidner oft bei kleineren und mittleren Unternehmen. Firmen unter hundert Mitarbeitern könnten sich eigene Sicherheitsexperten kaum mehr leisten. Und das sei ein Problem, da Innovationen in Deutschland ja gerade häufig im Mittelstand stattfänden und diese Unternehmen besonders interessant für Spionage seien. „Deshalb ist es für uns auch eine wichtige Forschungsfrage, wie man Sicherheit so automatisieren und vereinfachen kann, dass sie auch in kleineren Unternehmen ohne viel Aufwand funktioniert“, so Waidner. Und wie ist es mit Emotet, jenem Virus das seit 2014 Unternehmen, Institutionen, ganze Stadtverwaltungen in Atem hält – wie jüngst die Uni Gießen oder die Stadt Frankfurt (siehe auch nebenstehendes Interview)? „Emotet ist ein großes Problem für die Menschheit, aber ein kleines Problem für uns“, lacht Waidner. „Da ist weniger Forschung gefragt, sondern vielmehr eine schnelle Reaktion und viel Erfahrung.“