Fraunhofer-Forscherin

Haya Shulman gewinnt Deutschen IT-Sicherheitspreis

25.03.2021
Von 
Alexandra Mesmer war bis Juli 2021 Redakteurin der Computerwoche, danach wechselte sie zu dem IT-Dienstleister MaibornWolff, wo sie derzeit als Head of Communications arbeitet.
Der Deutsche IT-Sicherheitspreis geht an Haya Shulman vom Fraunhofer Institut SIT. Die Auszeichnung ist mit 100.000 Euro dotiert.
Haya Shulman vom Fraunhofer SIT hat ein automatisiertes Testwerkzeug entwickelt, das binnen zehn Minuten Schwachstellen in Internet-basierten Infrastrukturen findet und zeigt, wie sie geschlossen werden können.
Haya Shulman vom Fraunhofer SIT hat ein automatisiertes Testwerkzeug entwickelt, das binnen zehn Minuten Schwachstellen in Internet-basierten Infrastrukturen findet und zeigt, wie sie geschlossen werden können.
Foto: Fraunhofer SIT

"Ich fühle mich sehr geehrt und bin sehr glücklich, dass ich den Deutschen IT-Sicherheitspreis und damit den wichtigsten Preis für Cybersecurity in Deutschland gewonnen habe", sagte Haya Shulman. Sie promovierte 2014 in ihrer Heimat Israel als eine der Ersten in angewandter Cybersicherheit und leitet seit einigen Jahren am Fraunhofer-Institut für sicherere Informationssysteme SIT in Darmstadt die Abteilung für Cybersicherheit, Analytik und Verteidigung sowie das Security Operations Center, das die Sicherheit der Fraunhofer Gesellschaft zu gewährleisten hat.

Automatisierte Alternative zum Pentesting

Unter elf Finalistenteams setzte sich Shulman mit dem von ihr entwickelten "Cache Test" als diesjährige Erstplatzierte durch. Ihr marktreifes Werkzeug erkennt Schwachstellen, die von Kriminellen für Verkehrsumleitungen genutzt werden können. Jedes Jahr finden tausende solcher Verkehrsumleitungen statt, ohne dass es die betroffenen Unternehmen und Organisationen merken.

Das Grundprinzip von "Cache Test" erklärt die Wissenschaftlerin so: "Das Werkzeug führt automatisiert eine Reihe von Angriffen gegen das zu testende Netz aus. Ziel der Angriffe ist immer, Verkehr umzuleiten, das heißt Nachrichten, die für Empfänger X bestimmt waren, landen auf einmal bei Empfänger Y." Damit kein Schaden entstehe, seien X und Y aber beides Systeme, die Shulman extra für die Tests selbst aufgesetzt hat.

Diese automatisierte Untersuchung ist binnen zehn Minuten abgeschlossen, der Testbericht zeigt die Schwachstellen auf und gibt zugleich Tipps, wie diese zu beseitigen sind. Im Unterschied zu herkömmlichem Pentesting ist "Cache Test" voll automatisiert. Dazu Shulman: "Menschliche Fehler sind damit ausgeschlossen. Zudem benötige ich auch keinen Zugang zum Unternehmensnetzwerk."

Ein Werkzeugkoffer für die Cybersecurity

In ihrer Forschung ist es ihr sehr wichtig, für alle gefundenen Schwachstellen auch Werkzeuge bereitzustellen, die diese Schwachstellen automatisiert in einem System finden können. Für Anwender ergeben sich daraus klare Vorteile, ist die Cyberforscherin überzeugt: "Das ist deutlich zuverlässiger und schneller als die klassischen, manuellen Pentests."

Shulmans Ziel ist es darum, einen ganzen Werkzeugkoffer für Cybersecurity zusammenzustellen, mittels dessen man periodisch automatisiert die IT-Infrastruktur der Kunden untersuchen kann. "Das wird viele Cyberangriffe verhindern", sagt sie. Was mit dem von ihr entwickelten Cache Test passiert, wird das Fraunhofer SIT entscheiden. Shulman gibt zu bedenken: "Man muss aufpassen, dass es nicht in die falschen Hände gerät."

Haya Shulman ist froh, dass eine Auszeichnung wie der Deutsche IT-Sicherheitspreis existiert. Diesen vergibt die Horst Görtz Stiftung seit 2006 alle zwei Jahre. Bewerben können sich nicht nur Wissenschaftler, sondern auch Security-Experten, die in der Wirtschaft tätig sind und eine vielversprechende Anwendung im Kampf gegen Cyberkriminelle entwickelt haben. Insbesondere Startups sind auch zur Teilnahme aufgerufen. Für Shulman zeigen die eingereichten Bewerbungen: "Deutschland ist exzellent aufgestellt, was die Forschung auf dem Feld der angewandten Cybersicherheit betrifft. Das wird oft vergessen."

Deutscher IT-Sicherheitspreis

Seit 2006 vergibt die Horst Görtz Stiftung alle zwei Jahre den Deutschen Preis für IT-Sicherheit, der für die ersten drei Plätze mit insgesamt 200.000 Euro dotiert ist. Mit dem Preis möchte die Stiftung dazu beitragen, die Position von IT-Sicherheit aus Deutschland zu festigen und zu fördern - und auf diese Weise einen Beitrag zur Stärkung der Innovationskraft der deutschen Wirtschaft zu leisten.