01. Dezember 2021

«Um künftige Herausforderungen in der Cyber Security zu verstehen, braucht es ein konzeptionelles Grundlagenverständnis»

Blog-bild-38-39

Interview // Im Herbst 2017 lancierte die ETH ihr CAS- und DAS-Programm in Cyber Security. Neben den technischen Grundlagen der IT-Sicherheit vermittelt der CASStudiengang auch strategisch-politische Aspekte. Wir haben mit Programmkoordinator Dr. Siniša Matetić gesprochen.

Herr Dr. Matetić, an wen richtet sich das CAS «Cyber Security»?
Fast alle Branchen, auch der öffentliche Sektor, benötigen Cybersicherheitsspezialisten. Neben IT-Fachkräften brauchen auch Führungskräfte ein grundlegendes Verständnis für Cybersicherheitsprobleme in ihren Organisationen. Zielgruppe des Kurses sind daher Fachleute, die nicht zwingend einen starken Hintergrund in Informatik haben, sondern die in einer Position arbeiten, in der Kenntnisse über technische und politik- oder strategiebezogene Aspekte der Cybersicherheit entscheidend sind. Unser Ziel ist es, dass die Absolventinnen und Absolventen auf die Komplexität der heutigen Cybersicherheit vorbereitet sind und die Vielfalt der Aspekte verstehen, die notwendig sind, um nachhaltige und rationale Entscheidungen zu treffen.

Was unterscheidet den Studiengang an der ETH von anderen Studiengängen an anderen Universitäten und Fachhochschulen?
Die ETH ist in der Schweiz die wohl beste Forschungs- und Lehrinstitution im Bereich der Informations- und Cybersicherheit. Das zeigt sich in der Vielfalt der Themen und an den weltweit führenden Expertinnen und Experten, die bei uns arbeiten. Allerdings ist Cyber Security ein extrem breites Thema, und die ETH allein kann nicht alle Disziplinen abdecken. Interessierte sollten sorgfältig prüfen, ob der Lehrplan zu ihren Bedürfnissen passt: Will man zum Beispiel lernen, wie man in Java programmiert, ist es vielleicht besser, einen passenden Kurs an der Fachhochschule zu finden. Wenn man hingegen die zugrundeliegenden Konzepte verstehen und darüber hinaus in der Lage sein muss, neue Ansätze zu entwickeln, ist die ETH besser geeignet.

Woher kam die Idee? Haben Sie vonseiten der Wirtschaft Interesse und Bedarf gespürt?
Generell ist die ETH Zürich führend in der Weiterbildung von Fach- und Führungskräften mit akademischem Hintergrund. Ihr Weiterbildungsangebot zielt auf die langfristige Entwicklung von Gesellschaft und Wirtschaft und stärkt die Wettbewerbsfähigkeit der Schweiz. Deshalb war es an der Zeit, das Angebot mit einem CAS und DAS in Cyber Security zu erweitern. Der Bedarf wurde durch Gespräche mit Industriepartnern – in Tech- und anderen Sektoren – und auch von staatlichen Organisationen einschliesslich einer Vielzahl von Regierungsabteilungen und vom Militär sondiert. Im Laufe der Jahre konnten wir auch ein zunehmendes Interesse an Masterstudiengängen in Informationssicherheit an unserem Fachbereich Informatik beobachten, was auf das Interesse und den Bedarf hinweist. Schliesslich ist mit dem immer stärker werdenden Wandel hin zur Digitalisierung, den wir speziell während der Pandemie beobachten konnten, mehr Bewusstsein und Verständnis für das Thema in den verschiedenen Branchen erforderlich.

Wie haben Sie die Inhalte für das CAS und das DAS definiert?
Der Lehrplan für diese beiden Programme wurde sorgfältig ausgearbeitet, um sie erstens je nach Zielgruppe zu unterscheiden und zweitens den Studierenden die entsprechende Menge und Tiefe an Informationen zu vermitteln. Es ist wichtig zu erwähnen, dass wir uns auf die Kernkompetenzen der ETH konzentrieren: Wir wollen und können keine ganzheitliche «Nach dem Kurs weiss ich alles über Cyber Security»-Ausbildung anbieten. Wir machen zusammenhängende Forschungskonzepte, beispielsweise Grundlagen der Kryptographie, für Nicht-Experten zugänglich. Nur ein konzeptionelles Grundlagenverständnis erlaubt es, heutige und zukünftige Herausforderungen in der Cyber Security zu verstehen. Das CAS gliedert sich in drei Kursmodule: Im ersten Modul, Einführung in die Informationssicherheit, wollten wir den Teilnehmenden ein Gesamtbild davon vermitteln, was Cybersicherheit ist und ihnen die Fähigkeit geben, die «Cybersicherheitssprache» zu verstehen. Im zweiten Modul, Informationssicherheitsseminar + Projekt, wird den Teilnehmenden ein aktuelles Thema der Cybersicherheit zugewiesen. Sie tauchen tiefer in die Details ein, um das Thema selbst und viel weitergehende Implikationen und Zusammenhänge zu verstehen. Das letzte Modul Contemporary Topics in Cyber Security zielt darauf ab, einen breiten Überblick über den neuesten Stand der Forschung und Entwicklungen im Bereich Cyber Security zu geben.

«Die IT steuert heute eigentlich alles, von Liefer-ketten über Geschäfts-prozesse bis zur Medizin. Securityprobleme haben darum unerwartete Auswirkungen auf nach-gelagerte Prozesse in der Wertschöpfungskette.»

Welches sind Ihrer Meinung nach derzeit die grössten Cyberrisiken?
Das variiert je nach Blickwinkel. Unternehmen beispielsweise bewerten Cyberrisiken immer nach potenziellen monetären Verlusten, während sich die Allgemeinheit vielleicht mehr Sorgen um ihr «digitales Wohlbefinden» macht. Die grössten Risiken sind meiner Meinung nach Ransomware und Malware, Schwachstellen in der Cloud, Phishing und Social Engineering – und nicht zuletzt ein gravierender Mangel an Fachkräften für Cybersicherheit.

Und die grössten Baustellen?
Wir beobachten zwei grosse Veränderungen: erstens die massive Verlagerung von Daten zu Cloud-Infrastrukturen und das immer grösser werdende Angebot an digitalen Vertrauensdiensten, zweitens den Boom von Kryptowährungen und die Nutzung der Blockchain-Technologie in ehemals stationären Branchen. Wann immer wir über IT-Themen diskutieren, muss man sie auch als Cyber-Security-Baustelle wahrnehmen. Warum? Die IT steuert heute eigentlich alles, ob ganze Lieferketten, Geschäftsprozesse oder die Medizin. Die Folgen von Cyberproblemen können unerwartet sein, beispielsweise kann ein Ransomware-Angriff auf eine Pipeline zu einem Benzinmangel führen, der dann weiteres Unheil anrichtet.

Im Kurs geht es auch um «strategisch-politische Aspekte». Was können die Studierenden von diesem Teil erwarten?
Ja, wir decken dieses Thema durch eine Reihe von Sitzungen in Contemporary Topics in Cyber Security ab. Derzeit konzentrieren wir uns auf drei Dinge: 1. Cybersicherheit trifft auf Sicherheitspolitik: Wir zeigen, wie sich Cybersicherheit als politisches Thema zu einem kritischen internationalen Sicherheitsthema entwickelt hat. 2. Die Realitäten von Cyberkonflikten und wie Cyberoperationen strategisch genutzt werden: Hier konzentrieren wir uns darauf, wie staatliche Akteure Cyberinstrumente für ihren politischen oder militärischen Vorteil nutzen. 3. Cyber Security Norms and Governance: Die Studierenden erhalten einen Überblick über die verschiedenen Akteure, die bei der Ausarbeitung internationaler Normen für die Governance des Cyberspace aktiv sind.


Dr. Siniša Matetić

Neben seiner Tätigkeit für die CAS- und DAS-Programme in Cyber Security an der ETH arbeitet Dr. Siniša Matetić als Senior Manager für IT-Strategie und Innovation bei der Schweizerischen Post und beschäftigt sich mit verschiedenen Themen im Bereich Digital Trust.