In Hannover entsteht in Zusammenarbeit mit der Leibniz Universität und dem Land Niedersachsen gerade der erste CISPA-Satellit. In den kommenden Jahren werden dort Wissenschaftler zu Industriesicherheit und anwenderorientierter Cybersicherheit forschen. CISPA-Faculty Sascha Fahl macht mit seiner Forschungsgruppe den Anfang.
Gemeinsam mit neun Doktorand:innen ist Cybersicherheitsforscher Sascha Fahl vor ein paar Wochen in neue Räumlichkeiten in der Innenstadt von Hannover gezogen. Dort ist mehr Platz für die Informatiker:innen und den werden sie auch brauchen. Denn perspektivisch soll der CISPA-Satellit, wie nicht nur Fahl die unselbständige Betriebsstätte in Niedersachsen nennt, noch um ein Vielfaches anwachsen. Ein erster Schritt ist bereits getan: Derzeit ist die Stelle eines Forschungsgruppenleiters oder einer Forschungsgruppenleiterin im Bereich Industrie-Sicherheit ausgeschrieben. „Die Cybersicherheit von Industrieanlagen ist in Niedersachsen ein sehr wichtiges Thema, weil es hier viel produzierendes Gewerbe gibt“, erklärt Fahl. Im vergangenen Oktober hatten CISPA und die Leibniz Universität Hannover (LUH) einen Kooperationsvertrag zur gemeinsamen Forschung an Cybersicherheit und Datenschutz unterzeichnet. Das Land und die Volkswagenstiftung fördern die Forschungsgruppen über die nächsten fünf Jahre mit insgesamt 4,5 Millionen Euro mit Mitteln aus dem Förderprogramm Niedersächsisches Vorab. Weitere 16 Millionen sollen in den Neubau des „Digital Innovation Campus“ der LUH fließen, in den auch die Forschergruppen einziehen werden.
Fahls Fachgebiet ist verhaltens- und anwenderorientierte Cybersicherheit. „Meine Überzeugung ist, dass technische Innovation alleine nicht reicht. Mehr IT-Sicherheit und Datenschutz bekommen wir vor allem, wenn die Technik gut mit den Menschen zusammenwirkt.“ Dieser Ansatz steht laut Fahl der lange geübten Praxis entgegen, die Technik aus einer Expertenperspektive heraus zu entwickeln und von den Nutzer:innen zu erwarten, dass sie selbst zu Expert:innen werden – was meist nicht passiere. Und so untersucht Fahl mit seinem Team, warum IT-Sicherheit in der „echten Welt“ oft nicht so gut funktioniert, wie auf dem Papier. „Wir überlegen, wie bestehende Systeme verbessert oder künftige so designt werden können, dass sie Fähigkeiten und Limitierungen von Nutzer:innen berücksichtigen.“ Im Fokus seiner Forschung stehen laut Fahl allerdings nicht die Endanweder:innen sondern Programmentwickler:innen und -administrator:innen. Die meisten Softwareentwickler:innen hätten zwar Informatik studiert, brächten aber nicht viel Cybersicherheitsexpertise mit. „Unser Ziel ist es, den Leuten zu helfen, ihre Software sicher zu machen.“
Seit 2018 ist Fahl Inhaber des Lehrstuhls für Usable Security and Privacy an der LUH. Blickt man auf seinen beruflichen Werdegang und die Auszeichnungen, die der gebürtige Nordhesse mit gerade einmal 36 Jahren bereits gesammelt hat – darunter zum Beispiel auch der renommierte Heinz-Maier-Leibnitz-Preis der Deutschen Forschungsgemeinschaft – ist es schwer zu glauben, dass Fahl seinen ersten Computer erst mit nicht mehr ganz so zarten 19 Jahren bekam. Ursprünglich wollte der CISPA-Faculty Mathematik studieren. Einzig der Zufall und, wie er selbst sagt, eine gewisse „Unbedarftheit“ sorgten dafür, dass er letztlich in der Informatik an der Universität Marburg landete: Das Informatikstudium wurde auch im Sommersemester angeboten, in die Mathematik hätte er hingegen erst im Winter starten können.
Dass seine Leidenschaft für die Forschung einmal so weit reichen würde, dass er dafür sogar ein Angebot von Google im kalifornischen Mountain View sausen lässt, hätte sich Fahl zu diesem Zeitpunkt nicht vorstellen können. „Nach dem Vordiplom hatte ich auf Studieren gar keinen Bock mehr, das fand ich total furchtbar“, sagt Fahl und lacht. Und so gründete er zusammen mit drei Freunden ein Social-Media-Start-up und verabschiedete sich für eineinhalb Jahre vom Universitätsbetrieb. Reich sei er damit nicht geworden und das Portal wenig erfolgreich gewesen – auch wegen starker Konkurrenz wie Studi VZ und dem damals gerade in Deutschland gestarteten Facebook. Die Start-up-Erfahrung habe aber seine Entscheidung gefestigt, wieder an die Uni zu gehen, sagt Fahl. „Und dann wollte ich mindestens promovieren“, sagt der 36-Jährige. Das tat er an der LUH und arbeitete zudem als Forscher und später als Forschungsgruppenleiter am CISPA, bevor er als Leiter des Instituts für Informationssicherheit 2017 zurück an die LUH nach Hannover ging und ein Jahr später dort Lehrstuhlinhaber wurde. Seit Januar 2021 ist er zudem Tenured Faculty am CISPA, wo von ihm auch liebevoll als „unser Mann in Niedersachsen“ gesprochen wird.