Dr. Michael Schilling will Psycholog:innen Perspektiven in der Cybersicherheit eröffnen
Auf dem Papier können Programme und Tools noch so viel Schutz bieten, werden sie falsch angewandt oder schenken ihnen die Menschen kein Vertrauen, sind sie nutzlos. Der Faktor Mensch muss deshalb bei der Entwicklung technischer Lösungen stets mitgedacht werden. Schließlich sind Nutzer:innen die ersten und letzten Verteidiger:innen gegen Cyberangriffe. Deshalb sagt der Psychologe Dr. Michael Schilling: „Warum nicht diejenigen fragen, die sich mit menschlichem Verhalten auskennen?“ Der Saarländer arbeitet schon seit 2019 im Zentrum an der Schnittstelle von Cybersecurity und Psychologie. Seit Kurzem baut er eine Gruppe am CISPA auf, die die Forscher künftig unterstützen soll. Im Rahmen des von der EU geförderten Projektes Cysec4Psych will er Psycholog:innen in Europa für einen Karriereweg in der Cybersicherheit begeistern. CISPA, die Universität des Saarlandes, die Universität Leiden sowie die Technische Universität Tallinn arbeiten zudem daran, Psycholog:innen künftig mit dem nötigen Fachwissen für eine Arbeit im Bereich Cybersicherheit auszustatten.
Sein Weg in die Cybersicherheitsforschung begann in einer Phase, in der wahrscheinlich nur Wenigen der Kopf nach zusätzlichem Input steht. Michael Schilling steckte 2014 mitten in seiner Promotion im Fachbereich Arbeits- und Organisationspsychologie an der Universität des Saarlandes, als er sich entschied, „nebenbei“ noch tiefer in die Programmierung eintauchen zu wollen. „Ich war schon immer an Technik und IT interessiert und habe nach meinem Abitur sogar zunächst ein Jahr Wirtschaftsinformatik studiert“, erklärt Schilling. Um Kurse und Seminare in der Informatik besuchen zu dürfen, musste er sich irgendwo einschreiben. Er entschied sich für den im selben Jahr vom CISPA und seinem Gründungsdirektor und CEO Professor Dr. Dr. h.c. Michael Backes eingeführten Studiengang Cybersicherheit und besuchte die Einführungsvorlesung. „Das war dann doch viel interessanter als nur Programmieren.“
Von da an dauerte es nicht mehr lange, bis Schilling erstmals in der Usable Security-Forschung am CISPA „Methodenberatung“ anbot, wie er es nennt. Zusammen mit den CISPA-Forscher:innen Sanam Ghorbani Lyastani, Professor Sascha Fahl, Dr. Sven Bugiel und Professor Michael Backes arbeitete Schilling an einer großangelegten Studie zur Frage, ob und in welcher Weise Passwortmanager die Stärke und Häufigkeit der Verwendung von Passwörtern beeinflussen. „Wir haben in der Psychologie schon einige Erklärungen, Theorien und Methoden, die sich auch auf in der Informatik generierte Datensätze anwenden lassen“, sagt Schilling und fügt hinzu: „Andere Wissenschaftler müssen ja nicht denselben steinigen Weg zurücklegen, den wir schon hinter uns haben.“ Für ihn ist dabei besonders wichtig, auch ein Bewusstsein für Fehler und mögliche Fallstricke mitzubringen: „Oft wird nur veröffentlicht, was als bahnbrechende neue Erkenntnis gilt, sich aber gar nicht replizieren lässt. Über die Misserfolge beim Versuch, wird dann aber nichts geschrieben. Da sollte man aufpassen“, sagt Schilling.
Noch zu wenige Psycholog:innen fänden heute einen Weg in die Cybersicherheitsforschung und das obwohl ihre Expertise dort dringend gebraucht werde. Das von der EU mit 400 000 Euro geförderte Projekt Cysec4Psych, das Michael Schilling zusammen mit Dr. Markus Langer, Dr. Nida Baiwa und seinem ehemaligen Doktorvater Professor Cornelius König angeschoben hat, soll das ändern. Ein Ziel ist es, bei den Psycholog:innen ein Bewusstsein dafür zu schaffen, dass in der Sicherheitsforschung ein zukünftiges Arbeitsfeld liegen kann. Zudem sollen Lehrende an den Hochschulen ein Konzept an die Hand bekommen, mit dem sie Psycholog:innen für ihre Arbeit im Bereich Cybersicherheit fit machen können. Etwa in der Methodenlehre ließe sich das Thema ohne große Hürden einbauen, indem Datensätze aus der Cybersicherheit untersucht würden. „Das ist nicht nur für Leute aus der Forschung interessant, sondern auch für klinisch arbeitende Psycholog:innen. Sie arbeiten ja oft mit höchst sensiblen Patientendaten.“ Ein erstes Seminar, quasi den Prototyp, hat Schilling zusammen mit Markus Langer bereits im Sommersemester 2020 an der Saar-Universität angeboten. Nachdem das Feedback von Studierenden und Lehrenden zur Veranstaltung ausgewertet sei, soll es in eine neue Runde gehen.
Wer sich nun als Psycholog:in sorgt, nicht genügend Wissen im Informatik-Bereich mitzubringen, den kann Schilling beruhigen: „Das Wichtigste ist das methodische Denken und zu wissen wie man strukturiert neue Probleme angeht.“ Wichtig sei außerdem, offen zu sein und die Ideen anderer Fachbereiche aufzunehmen. „Ich bin mir sicher, dass wir Psycholog:innen die empirische Forschung in der Cybersicherheit entscheidend vorantreiben können.“