Eine Lehrstunde für die nächste Generation der Netzsicherheitsexperten

Es scheint derzeit, als gebe es täglich neue Berichte über Hacks, Verletzungen der Privatsphäre, Bedrohungen für die nationale Verteidigung oder unsere schwierig zu händelnde Infrastruktur, sogar über Stilllegungen von Krankenhäusern. Die Attacken werden ausgereifter und öfter von Nationalstaaten und kriminellen Kartellen verübt, der Mangel an bekämpfenden Kräften wird immer deutlicher: Bis 2020 wird die Netzsicherheitsindustrie 1,5 Millionen Arbeiter mehr brauchen als es bis dahin geben wird.

Ich habe die Cyber Security Awareness Week (CSAW), eine Woche für die Bewusstheit für Netzsicherheit, im Jahr 2003 mit einer Gruppe von Studenten gegründet. Das Ziel war, mehr Ingenieurstudenten in unser Netzsicherheitslabor zu bekommen. Wir haben Wettbewerbe erschaffen, die den Studenten die Möglichkeit gaben, in der echten Welt ihr Wissen, ihr Improvisationsgeschick und Entwürfe für neue Lösungen für Sicherheitsprobleme unter Beweis zu stellen.

Im letzten Jahrzehnt bekamen unsere Mühen mehr Interesse von Lehrenden, Studenten, Unternehmen und Regierungen und zeigte einen Weg den bevorstehenden Mangel an Netzsicherheitsfachkräften zu unterbinden. Heutzutage ist die CSAW mit mehr als 20.000 beteiligten Studenten aus aller Welt die größte Netzsicherheitsveranstaltung in der Welt, die allein von Studenten ausgerichtet wird. Personalreferenten aus Amerikas Heimatschutz-Ministeriums und anderer großer Unternehmen beobachten und bewerten jeden Wettbewerb.

Aber die Vorbereitung für Talente in der Netzsicherheit kann nicht erst in den Universitäten beginnen. High School-Schüler und Lehrer beteiligen sich ebenfalls in den CSAW-Veranstaltungen, um jungen Menschen Informatik und Mathematik beizubringen, um auf Universitätslevel zu bestehen.

Schülern Konkurrenzgedanken beibringen

Das Highlight der CSAW ist die ‚Capture the Flag‘-Veranstaltung, ein Wettbewerb, in dem Teammitglieder ihre Fähigkeiten zusammenbringen, um neue Hackermethoden in der echten Welt zu lernen. Benannt nach dem Outdoor-Spiel, bei dem zwei Teams die gegnerische Flagge finden und stehlen müssen, beinhaltet es mehrere Spiele, die eine großen Bereich von Informationssicherheitsfähigkeiten, wie Kryptographie (Codes erstellen und knacken), Steganographie (verstecke Nachrichten in harmlosen Bildern oder Videos) und Handysicherheit abdecken.

Die Teams bekommen ein System zugeordnet, das Sicherheitslücken hat. Sie bekommen ein Zeitlimit, um diese zu identifizieren und zu beheben. Dann wird jedes Team einem Gegner zugeordnet und muss sein eigenes System beschützen, während es das gegnerische angreift. Die versteckten „Flaggen“ sind Datenpakete, die im gegnerischen System gespeichert sind.

In der realen Welt würden diese kritische Informationen enthalten – wie Kreditkartennummern oder Codes für Kontrollwaffen. Im Spiel enthalten sie Informationen, die beweisen, dass das Team die „Flagge erobert“ hat, mit denen das Team eine gewisse Anzahl von Punkten erhält, basierend auf dem Schwierigkeitsgrad der jeweiligen Herausforderung.

Es gibt viele ‚Capture the Flag‘-Wettbewerbe im ganzen Land, wobei unsere Veranstaltung wohl eine der berühmtesten in dieser Woche ist. Es ist auch die aufreibendste: Die Teams müssen durchgängig arbeiten, zudem wird geprüft, ob die Teilnehmer fokussiert genug sind, um neue Lösungen für aufkommende Probleme zu erschaffen.

Diese Art des Lernens, basierend auf Herausforderungen, ist unermesslich wichtig in einem Themenfels, bei dem neue Bedrohungen regelmäßig auftreten. Es macht den Studenten bewusst, was der Gegner denkt – dies gilt als essenzielle Fähigkeit für erfolgreiche Sicherheitsexperten. Es ist ein entscheidender erster Schritt, die unterschiedlichen Wege ein System selbst einzubrechen, um zu lernen, wie man es sichert.

Spontane Anpassung

In einem CSAW-Wettbewerb, der Embedded Security Challenge, brechen Studenten in Teams ein, die schnell arbeiten müssen, um anzugreifen und sich gegenseitig vor unterschiedlichen Gefahren zu schützen. Dies ist also ebenso ein Angriffs- und Verteidungsspiel wie ‚Capture the Flag‘, konzentriert sich aber eher auf Anfälligkeiten der Hardware als auf die der Software. Letztes Jahr bekamen die Wettbewerber die Aufgabe, die digitalen Ergebnisse einer Testwahl zu verändern – was mögliche reale Gefahren für alltägliche Wahlen aufdeckt.

Diese Fähigkeit, sich schnell auf neue Gefahren einzustellen, wird als oberste Priorität für Sicherheitspersonal angesehen. Es ist ein Hauptmerkmal aller CSAW-Wettbewerbe – die Idee, dass erfolgreiche Internetsicherheit nicht darin besteht, das Bekannte zu meistern. Studenten und Experten müssen eher gleichermaßen konstant daran arbeiten, ihre Fähigkeiten, zukünftige Gefahren in einem stets wachsenden Gebiet zu unterbinden, auszubauen.

Die Internetsicherheitsindustrie und alle Einsätze, die darauf aufbauen – von Kleinunternehmen bis zu großen Militäreinsätzen – hängt von der Fähigkeit ihrer Profis ab, Neuerungen zu schaffen. Jedes Jahr verändern wir die Art der Herausforderungen, um neue Gefahren darzustellen, wie zum Beispiel der aktuelle Anstieg von Ransomware.

Der Aufwand in der Netzsicherheit muss nationale Grenzen deutlich überschreiten: Dieses Jahr wird die CSAW die internationalen Aktivitäten dramatisch ausbauen. Eine Zusammenarbeit mit NYU Abu Dhabi und dem Indian Institute of Technology Kanpur ermöglicht Teams im Mittleren Osten, Indien, Nordafrika und den Vereinigten Staaten gleichzeitig am Wettbewerb teilzunehmen.

Die Wettbewerber dieser Spiele in einem pädagogischen Umfeld, in Amerika und in der ganzen Welt, werden in kürzester Zeit unserer empfindlichsten persönlichen und nationalen Daten schützen. Sie müssen vorbereitet sein.

 

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image „hacking“ by joffi (CC0 Public Domain)


Schlagwörter: , , , , , , , , , ,
Nasir Memon

Nasir Memon

ist Professor für Computerwissenschaften und Ingenieurswesen an der New York University Polytechnic School of Engineering und Gründer des Information Systems and Internet Security (ISIS) Labors

More Posts