"Beim CISPA hat man immer einen Experten an seiner Seite"
Ihr kommt beide nicht aus dem Saarland. Warum habt ihr euch für ein Studium in Saarbrücken entschieden? Könnt ihr mir von eurem bisherigen Werdegang erzählen und davon, was ihr jetzt macht?
Leon: Ich komme aus Trier, da war für mich ein Studium in Saarbrücken naheliegend. Lorenz und ich sind nun Doktoranden in der Gruppe von Michael Schwarz und ich bin außerdem noch Teil der Gruppe von Christian Rossow. Davor haben wir beide den Cybersicherheits-Bachelor gemacht, im Anschluss die vorbereitende Phase der Graduate School. Da diese jetzt zu Ende ist, geht es jetzt langsam in das richtige Promotionsstudium über.
Lorenz: Ich komme ursprünglich aus der Nähe von Würzburg. Ich habe mich für das Studium in Saarbrücken entschieden, weil mich vor allem der Bereich Cybersecurity interessiert und die Universität des Saarlandes einen sehr guten Ruf hat. Im Vorfeld habe ich mir mehrere Studiengänge angeschaut, aber das CISPA macht es mit der Forschung sehr attraktiv, Cybersecurity in Saarbrücken zu studieren. Am Tag der offenen Tür bin ich nach Saarbrücken gekommen und habe mir einen Eindruck verschafft und das hat gepasst.
Ihr besucht beide die Saarbrücker Graduate School of Computer Science. Wie kann man sich dafür bewerben?
Leon: Wenn man einen Bachelor oder auch einen Master fertig hat, kann man sich einfach bewerben, von überall aus der Welt. Die Idee ist, dass man in einer Vorbereitungsphase an eine Promotion herangeführt wird, bevor man in der Dissertationsphase betreut von einem Forschenden seine Doktorarbeit schreibt. Allerdings ist das Bewerbungsverfahren für die Grad School sehr kompetitiv.
Könnt ihr mehr über das Studium an der Grad School erzählen? Soweit ich weiß, könnt ihr dort ohne einen Masterabschluss ins Promotionsstudium gehen. Stimmt das?
Leon: In der sogenannten Preparatory Phase haben wir im Grunde drei Semester Masterstudium gemacht. Das Einzige was uns jetzt noch zum Abschluss fehlt, ist die Masterarbeit. Wir könnten jetzt jederzeit eine Arbeit von uns als Masterthema einreichen und so hoffentlich den Abschluss bekommen. Das Problem daran ist: Alles was wir als Masterarbeit abgeben, können wir nicht mehr in unserer Dissertation verwenden. Aktuell haben wir beide deshalb nicht vor, eine Masterarbeit abzugeben. Im Endeffekt würde uns das zeitlich ein halbes Jahr in der Promotion zurückwerfen. Und da sowieso nur der akademisch höchste Titel zählt, verlieren wir nichts, solange wir die Promotion durchziehen. Würde man zwischendurch aussteigen wollen, kann man eine Masterarbeit abgeben und dann ist man mit einem Masterabschluss raus.
Hattet ihr vorher schon einmal Kontakt zum Thema Cybersicherheit? Und wie seid ihr überhaupt zu eurem Studienfach gekommen?
Lorenz: Bei mir war eigentlich schon recht früh klar, dass ich etwas im Bereich Informatik machen möchte. Also habe ich mir dazu YouTube-Videos angeschaut, weil mich das sehr interessiert hat und es in meiner Schule nur wenig Informationen dazu gab. Und auch auf die Cybersecurity bin ich tatsächlich über Videos auf YouTube gestoßen. In der zehnten Klasse wusste ich dann, dass ich in die Informatik gehen will und habe mich über Studiengänge in diesem Bereich informiert. In der Oberstufe habe ich dann das Cybersecurity-Studium gefunden und mich nach dem Abitur nach Universitäten mit diesem Angebot umgesehen.
Leon: Ich hatte tatsächlich einmal durch ein kurzes Praktikum Kontakt mit Cybersicherheit, was letztlich aber nur wenig Einfluss auf meine Wahl hatte. Ursprünglich wollte ich in Richtung Kriminologie oder Lehramt gehen. In einem berufsberatenden Gespräch wurde mir dann vorgeschlagen, dass Cybersicherheit und Cyberkriminologie für mich interessant sein könnten. Das hat mich überzeugt. So kam ich zu meinem Studium.
Was ist aus eurer Sicht der Vorteil, sich schon während des Studiums auf Cybersicherheit zu konzentrieren, statt ein eher allgemeines Studium zu absolvieren?
Lorenz: Cybersecurity hat mich sehr interessiert und ich wollte mich in diesem Bereich dann auch spezialisieren und später auch darin arbeiten. Deswegen war es natürlich schön, dass ich das von Anfang an machen konnte und nicht erst noch ein Nebenfach belegen musste, um mich dann erst am Ende des Bachelors zu vertiefen. Ich konnte direkt von Anfang an schon Cybersecurity-Vorlesungen besuchen und herausfinden, ob mich das wirklich interessiert. Und ich bin dann auch in dem Bereich geblieben. Das war für mich die richtige Entscheidung.
Leon: Ich finde es spannend, in einem Grenzgebiet der Informatik zu arbeiten, das im Grunde immer wieder neue Regeln erschafft und das auch immer wieder interessante neue Aspekte hervorbringt. Der Vorteil gegenüber dem normalen Informatikstudium ist, dass man sich ab dem ersten Semester schon spezialisiert. Im Informatikstudium spezialisiert man sich erst ab dem dritten oder vierten Semester und hat noch ein Nebenfach. Statt des Nebenfachs haben wir noch unsere eigenen Grundvorlesungen.
Ein Cybersecurity-Studium stelle ich mir sehr theoretisch vor. Stimmt das oder gibt es im Studium auch praktisch orientierte Veranstaltungen?
Leon: Ich würde sagen, es kommt darauf an, was man sich auswählt. Vor allem hinterher bei den Vertiefungsvorlesungen. Es gibt vor allem am Anfang bei den Grundvorlesungen viel Theorie, bei den Vertiefungsvorlesungen hingegen relativ viel Praxis. Wobei man dort auch einen theoretischen Schwerpunkt setzen kann, wenn man das will.
Lorenz: Wie Leon sagte, es ist ein guter Mix aus Praxis und Theorie. Von Anfang an gibt es auch ein paar praktische Veranstaltungen, wie zum Beispiel die Programmierungsvorlesung, wo man auch Programmieren lernt. Natürlich hört man auch die Theorie dahinter.
Für eure Bachelorarbeit habt ihr jeweils den zweiten und dritten Platz im Wettbewerb um den CAST-Förderpreis für IT-Sicherheit erhalten. Welche Themen habt ihr in euren Bachelorarbeiten behandelt?
Lorenz: Ich habe mich mit der Sicherheit von Prozessoren auf Apple-Geräten beschäftigt. Prozessoren sind sozusagen der Part, der vom Computer das Denken übernimmt und wichtige Berechnungen macht. Heutzutage führt man nicht nur einen Befehl aus und wartet bis das Ergebnis erscheint, sondern hat sehr viele Anwendungen gleichzeitig laufen. Es ist aber wichtig, dass diese Anwendungen voneinander isoliert sind. Wenn ich beispielsweise auf einer Banking-Seite unterwegs bin, dann soll eine andere Seite, auf der ich kurz vorher noch Katzenvideos geschaut habe, nicht plötzlich meine Bankdaten sehen können. Das wäre nicht so gut. Es ist aber so, dass Prozessoren das manchmal nicht ganz eng nehmen und kurzzeitig auf Daten zugreifen, auf die sie zu diesem Zeitpunkt eigentlich nicht zugreifen sollen. Wenn Prozessoren beispielsweise noch nicht genau wissen, was sie berechnen sollen, dann spekulieren sie, was als nächstes angefragt werden könnte und rechnen schon mal los. Unter Umständen werden die Ergebnisse dann einfach verworfen, weil sie nicht gebraucht werden. Aber das kann auch Spuren im Zwischenspeicher hinterlassen, die Angreifer:innen Rückschlüsse auf sensible Daten erlauben. Dabei handelt es sich um eine Lücke in Prozessoren selber, nicht in der Software. Ich habe mir in meiner Bachelorarbeit angeschaut, ob die Prozessoren in Apple-Geräten genauso angreifbar sind, wie die in anderen Geräten.
Leon: Die von Lorenz beschriebenen Attacken können zum Teil auch aus einem Browser ausgeführt werden, aber nur wenn die Angreifer:innen sehr genau über den Prozessor und seine Architektur Bescheid wissen. Ich habe in meiner Arbeit untersucht, ob es möglich ist, über ungewollte Seitenkanäle im Browser wichtige Infos über den verbauten Prozessor zu stehlen und so einen Angriff vorzubereiten.
Seht ihr euch beide in der Zukunft eher in der Forschung als in der Industrie?
Lorenz: Wo es am Ende hingeht, das weiß ich noch nicht so ganz, aber der Doktor wird auf jeden Fall noch gemacht. Ich versuche es zumindest. Grundsätzlich ist für mich aber noch alles offen, ob ich in der Forschung bleibe oder irgendwann in die Industrie wechsle.
Leon: Das sehe ich auch so. Prinzipiell finde ich auch Lehre sehr interessant. Allerdings ist das Forschen an sich schon sehr stressreich. Im Grunde ein 24-Stunden Job, wo jede freie Sekunde an die Forschung gedacht wird. Deshalb wäre für mich auch noch alles offen, wo es später hingeht.
Könnt ihr Studienanfänger:innen einen Rat geben? Warum sollten sie eurer Meinung nach Cybersecurity in Saarbrücken studieren?
Leon: Die Universität des Saarlandes bietet an sich schon eine sehr gute Informatikgrundlage und hat die letzten Jahre auch immer top abgeschnitten im Vergleich. Die Cybersicherheitsstudiengänge bauen auf dieser Grundlage auf und bieten eine Spezialisierung an, die auch international spitze ist. Und ich denke, diese Kombination ist das, was Leute hierhin zieht.
Lorenz: Wenn man sein Forschungswissen noch weiter vertiefen will, ist das CISPA natürlich optimal, weil man das Angebot sehr vieler Experten aus jedem Bereich hat. Man kann so in jedem Forschungsfeld auch seine Bachelorarbeit schreiben und hat immer einen Experten, der wirklich Ahnung von dem Teilbereich hat und einen sehr gut betreuen kann. Für mich kam noch dazu, dass ich es sehr schön finde, eine Campus- Universität zu haben, wodurch alles an einem Ort ist und man für seine Kurse nicht von einem Ortsteil zum anderen reisen muss.
Für Studienanfänger kann ich noch empfehlen, den Mathematikvorkurs für Informatiker zu machen. Da lernt man direkt schon Leute kennen, das ist auf jeden Fall hilfreich und es werden einem schon Basics gezeigt, wie alles an der Uni funktioniert. Beispielsweise Webseiten, die man benutzen muss, wie man mit der Studentenkarte bezahlt oder wo man drucken kann. Das ist auf jeden Fall hilfreich, um dann ins Studium zu starten.