Von Anfang an begeistert hat Jonas Hielscher die starke Präsenz des CISPA Helmholtz-Zentrums für Informationssicherheit auf internationalen Fachkonferenzen. Dort wurde er auch angeworben, um sich am CISPA als Faculty zu bewerben. „Das CISPA ist in der Community sehr bekannt und man sieht Leute von hier auf allen wichtigen Konferenzen“, erzählt er. „Es gibt sehr viele Konferenzveröffentlichungen und wir sind in fast allen Bereichen der Cybersicherheitsforschung sichtbar. Schon bevor ich am Zentrum als Post-Doc anfing, hatte ich bereits gute Kontakte dorthin aufgebaut.“ Die erfolgreiche Bewerbung als Faculty war für ihn ein wichtiger Schritt in seiner Karriereplanung. „Das CISPA ist ein einzigartiger Ort mit mehr Cybersicherheitsforschenden als überall sonst. Das hat mich hierhin gezogen“, so Hielscher.
Am CISPA schätzt er die Aufbruchsstimmung, die starke Forschungs-Community sowie den Exzellenzanspruch. „Hier hat man das Gefühl, dass wir vorangehen, dass wir wachsen, dass wir was bewegen wollen“, so der Forscher. „Ich sitze hier auf dem Flur mit ganz vielen anderen Forschenden aus meinem Bereich. Das hat man nirgendwo sonst. Und der Anspruch die Besten zu sein, das gibt es auch nicht überall. Dabei mitzuwirken macht großen Spaß.“ Ihn selbst treibt dabei an, IT-Sicherheit evidenzbasiert auszurichten: „Wir können in der Wissenschaft zeigen, was das Sicherheitsniveau erhöht versus was das Bauchgefühl sagt. Wir versuchen, dieses Wissen zu verbreiten, aber bisher sind wir da bei Weitem noch nicht genug durchgedrungen. Das ist ein ganz großer Motivator, weil ich das Gefühl habe hier wirklich was besser machen zu können.“
Der Mensch und seine Organisationen im Zentrum
Innerhalb der IT-Sicherheitsforschung hat Hielscher sich darauf spezialisiert, wie Organisationen, also z.B. Unternehmen oder öffentliche Institutionen, mit dem Thema Informations- und Cybersicherheit umgehen. „Wir schauen uns neben technischen Komponenten vor allem den Faktor Mensch an“, erklärt er. „Es geht darum, wie die Organisationen als Ganzes mit der Technik umgehen und die Menschen auf allen Ebenen, von den normalen Mitarbeitenden bis zum Vorstand, IT-Sicherheit praktizieren.“ Obwohl das Feld der menschzentrierten IT-Sicherheit schon rund 25 Jahre alt ist, halten sich viele Organisationen immer noch nicht an den aktuellen Stand der Forschung. „Wir versuchen herauszufinden, warum das so ist und welche Anreize fehlen, dass Organisationen Sicherheit so gestalten, dass Mitarbeitende das umsetzen können“, führt er weiter aus.
Konkret geht es etwa darum zu verstehen, welche IT-Sicherheitsmaßnahmen die Geschäftsführung bzw. die IT-Sicherheitsabteilungen ihren Mitarbeitenden anbieten. „Typischerweise denkt man dabei an Schulungen und Awareness-Programme und sogenannte Phishing-Simulationen. Aber das ist natürlich nur ein ganz kleiner Bestandteil von allem, was dazu gehört“, so Hielscher. „Ein großes Problem ist, dass viele Organisationen ihre Hausaufgaben bei der Benutzerfreundlichkeit nicht machen. Wenn man zu viele Benutzerkonten hat und verlangt, dass jedes Mal ein einzigartiges Passwort verwendet wird, dann ist das von den Menschen psychologisch nicht leistbar. Darüber hinaus wird IT-Sicherheit in vielen Organisationen nicht exekutiv gemacht, sondern über eine Stabsstelle, die keine Durchsetzungsmacht hat“, ergänzt er.
Forschung und Transfer in die Praxis: Das CHESS Lab
Um sich den geschilderten wissenschaftlichen Herausforderungen zu stellen, hat Hielscher das CHESS Lab gegründet. CHESS steht für „Cybersecurity, Human Factors, and Enterprise Security Studies”. Schritt Nummer eins für ihn ist der Aufbau eines funktionierenden Teams. Seine Zielgröße sind drei bis fünf PhD-Studierende. „Am CISPA haben wir das Privileg, als Faculty einen Grundstock an vollfinanzierten PhD-Stellen zu bekommen“, zeigt er sich begeistert. „Das möchte ich natürlich nutzen. Weitere kann man über Drittmittel finanzieren. Aber zu groß sollte die Gruppe im Tenure-Track natürlich auch nicht werden.“ Die Anspielung im Namen an das Schachspielen kommt dabei nicht von ungefähr. „Ich bin ein leidenschaftlicher Schachspieler und das galt auch für meinen ersten Bürokollegen hier am Zentrum. Da war die Abkürzung dann leicht gefunden“, erzählt er.
Bei dem, was Hielscher mit dem CHESS Lab vorhat, spielt der Transfer in die Praxis eine ganz große Rolle. Das schließt nahtlos an seinen Antrieb an, evidenzbasiert zu arbeiten. „Ich bin empirischer Forscher und möchte, dass unsere Forschung einen Einfluss auf die Praxis hat. Ich möchte, dass wir mit dem, was wir evidenzbasiert zeigen können, Einfluss auf Unternehmen und Organisationen sowie auf die Gesetzgebung haben. Für mich wäre das mittelfristig ein Zeichen, dass wir gute Arbeit gemacht haben.“ Entscheidend sind für ihn dabei die Art des Vorgehens und die eigene Haltung beim Austausch mit Organisationen: „Super wichtig ist, das als Dialog zu machen. Wir als Wissenschaftler können es super gut, irgendwo hinzugehen, unsere Ergebnisse zu präsentieren und wieder abzuhauen. Aber ich will verstehen, warum unser Wissen bisher nicht in der Praxis umgesetzt wird. Das ist meine Motivation, auch wenn es immer wieder eine Herausforderung ist.“
