Sicher an der Ruhr

Ob bei der elektronischen Steuersoftware Elster oder bei automatisierten Grenzkontrollen am Flughafen – wenn es um Sicherheitsverfahren für IT-Anwendungen geht, ist die Essener secunet Security Networks AG ganz vorn dabei. Was die IT-Experten entwickeln, hält sich dabei diskret im Hintergrund. „Wenn Sicherheitssysteme gut funktionieren, merkt man sie gar nicht und nutzt sie einfach“, so beschreibt es Rainer Baumgart, Chef der secunet AG. 

Der 64-Jährige erkannte früh die Bedeutung der neuen Internettechnologien und baute noch unter dem Dach des TÜV Rheinland die IT-Sicherheitssparte auf, die sich 1997 ausgründete. Bundesweit hat sein Unternehmen mittlerweile 400 Mitarbeiter, die meisten davon am Hauptsitz in Essen. Seit 2004 ist der Münchener SIM-Karten-, Banknoten- und Chipspezialist Giesecke + Devrient mit 80 Prozent Hauptanteilseigner. 

Zu den jüngsten Entwicklungen, die die Essener vorantreiben, gehört die IT-Infrastruktur rund um die Gesundheitskarte der Zukunft, mit der die Digitalisierung in das Gesundheitswesen einziehen soll. Da geht es um den Schutz sensibler Daten, um Vertraulichkeit, um Authentizität beim Austausch von Nachrichten zwischen Medizinern und Krankenhäusern. Künftig, so der Plan von Baumgart und seinem Team, wird in jeder Arztpraxis eine Serverbox von secunet stehen. 

„Wir sind präsent, wo geforscht wird“, sagt der umtriebige Essener. Die Zusammenarbeit mit den Hochschulen im Ruhrgebiet sei für das Unternehmen „extrem wichtig“. Besonders eng sind die Kontakte zum Horst-Görtz-Institut (HGI) der Ruhr-Universität Bochum und zum Institut für Internet-Sicherheit if(is) an der Westfälischen Hochschule in Gelsenkirchen. „Im Ruhrgebiet bekommt man qualifizierte, junge, motivierte Mitarbeiter mit guter Ausbildung“, so Baumgart. Mehr noch: Menschen im Ruhrgebiet seien „unternehmenstreu“ und auch das ist für das spezialisierte Unternehmen sehr wichtig. „Mitarbeiter, die wir hier einstellen, bleiben.“ An anderen Standorten habe man dagegen deutlich höhere Fluktuationsraten.

Baumgart weiß, dass das Thema Sicherheit ein riesiges Marktpotenzial hat. Wen wundert es: Aktuelle Zahlen klingen dramatisch. Laut einer Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurden 70 Prozent der befragten Unternehmen und Institutionen in den vergangenen zwei Jahren Opfer von Cyberangriffen. Eine Studie des Digitalverbandes Bitkom beziffert den wirtschaftlichen Schaden für deutsche Unternehmen durch Spionage, Sabotage und Datendiebstahl für 2016 mit 50 Milliarden Euro – eine Chance für IT-Sicherheitslösungen aus Deutschland und für Forschung und Produkte made in ruhrgebiet. 

Unter einem Dach mit secunet sitzt seit Kurzem auch finally safe, ein Spin-off des Gelsenkirchener if(is). Die Spezialität der Newcomer: Analyseverfahren zur Netzwerküberwachung und zum Netzwerkmonitoring, beispielsweise für Betreiber kritischer Infrastrukturen wie Energieversorger. Secunet investiert in das Start-up und öffnet den jungen Gründern auch Türen: Neue Anbieter, die aus dem Umfeld des renommierten IT-Sicherheitsanbieters kommen, stoßen laut secunet am Markt auf Vertrauen und mehr Interesse. Für den secunet-Vorstand steht fest: „Wir wollen ein ganzes Netzwerk von Innovatoren und Start-ups aufbauen.“ 

Auf Start-ups wie finally safe ist Norbert Pohlmann besonders stolz. Der Leiter des if(is) an der Westfälischen Hochschule hat 15 Jahre lang ein Unternehmen im Bereich IT-Sicherheit geführt, bevor er 2003 als Forscher und Professor nach Gelsenkirchen kam und hier das Institut aufbaute. „Man gibt mir die Möglichkeit, mich frei zu entfalten und Innovationen zum Leben zu erwecken“, freut sich Pohlmann. Über 8.000 Studierende hat seine Hochschule heute. Mit rund 1.000 Studierenden ist der Fachbereich Informatik der größte. Absolventen sind nicht nur bei den Essenern begehrt: „Wenn bei uns ein Student fertig wird, brauche ich nur die Hand zu heben“, so Pohlmann. Seit diesem Jahr finanziert secunet eine Forschungsprofessur an seinem Institut – für fünf Jahre.

Man kennt sich im Ruhrgebiet, erzählt der 58-Jährige. Mit der Bochumer Cybersecurity-Sparte des Elektronikspezialisten Rhode & Schwarz forschen die Gelsenkirchener an sogenannten Trusted-Computing-Produkten – Forschungen, aus denen beispielsweise Produkte hervorgegangen sind, die Notebooks gegen Malware absichern. Auch an der Westfälischen Hochschule ist die Digitalisierung im Gesundheitsbereich heute ein wichtiges Forschungsgebiet: Zusammen mit Universitätskliniken forscht Pohlmann an digitalen Konzepten zur Patientenversorgung. Smartwatches könnten in Zukunft Blutdruck, Puls, Widerstandswerte der Haut und andere Körperfunktionen messen, um frühzeitig einen Depressionsschub zu erkennen. Ein weiterer Schwerpunkt: neue Authentifizierungsverfahren. Hier könnten Smartphones künftig die Eingabe von Passwörtern ersetzen. „Das ist ein Riesenthema“, weiß Pohlmann – beispielsweise im Onlinebanking, bei dem Deutschland mit 43 Millionen Nutzern heute ganz vorn liegt. „Da brauchen wir eine hohe Verlässlichkeit“, mahnt der Forscher.

Gregor Leander weiß genau, wovon Pohlmann spricht. Der Forscher ist seit 2017 Chef des HGI an der Ruhr-Universität Bochum. Sein Institut hat kürzlich Sicherheitslücken in WhatsApp-Chatgruppen aufgespürt. Der Schwerpunkt des Instituts liegt jedoch auf der Grundlagenforschung. „Wir sind auf dem Gebiet der IT-Sicherheit europaweit der größte Ausbilder“, freut sich Leander. Allein 1.000 Studierende beschäftigen sich hier mit IT-Sicherheit. Der Mathematiker hat selbst an der Ruhr-Universität studiert und promoviert und dann einige Jahre in Kopenhagen gewirkt, bevor es ihn wieder nach Bochum zog. „Das ist für mein Forschungsgebiet europaweit der beste Standort“, schwärmt der Verschlüsselungsexperte. 

Ein großes Thema am HGI sind Verschlüsselungsverfahren gegen sogenannte Quantencomputer, von denen es heute nur erste Prototypen gibt. In zehn Jahren, schätzt Leander, könnten sie Realität sein. Die neuen Superrechner sollen auf Gesetzen der Quantenmechanik basieren und komplexe Aufgaben nicht mehr nacheinander, sondern gleichzeitig bewältigen. Beim Versuch, ein Passwort zu knacken, wären sie deutlich schneller. Die Sorge: „Sie könnten alles, was verschlüsselt wird, brechen.“ Darauf müsse man sich heute vorbereiten, weiß der 42-Jährige. „Wir brauchen quantensichere Verschlüsselungsverfahren.“

Aber auch Sicherheit gegen staatliche Behörden hat sich das HGI auf die Fahnen geschrieben: „Seit Edward Snowden wissen wir, dass Geheimdienste wie die NSA Hardware wie Chips für Computer oder Handys, die irgendwo auf der Welt produziert werden, manipulieren können.“ Man müsse sicherstellen können, dass in Hardware nicht schon irgendwo Hintertüren eingebaut seien. Staaten wie China und die EU, aber auch Unternehmen wie Google und Microsoft interessierten sich für die Technologie, Chips zu manipulieren. Mehr will Leander hier nicht verraten.

Auch am HGI blickt man stolz auf seine Start-ups, insgesamt 15 Unternehmen in den letzten 15 Jahren. „Mit dieser Historie von erfolgreichen Gründungen auf dem Gebiet der IT-Sicherheit stehen wir deutschlandweit einzigartig da“. Eine der ersten damals war die Firma ESCRYPT, die heute zum Automobilzulieferer Bosch gehört. Eine neuere Ausgründung ist PHYSEC, eine Firma, die auf die Sicherheit im Internet der Dinge spezialisiert ist. 

Zu IT-Sicherheitsunternehmen in der Region hält das HGI enge Bande; viele Absolventen arbeiten hier. Es gibt immer wieder gemeinsame Forschungsprojekte, beispielsweise mit G DATA zum Thema E-Health.

„Wir finden pro Tag zwischen 200.000 und 400.000 Schadcode-Dateien“, erzählt Kai Figge, Mitgründer von G DATA, und deutet dabei auf eine riesige Installation im Vorraum des Bochumer Unternehmens. Pulsierende Pfeile schießen hier über virtuelle Landkarten und zeigen die Angriffe von Trojanern & Co in Echtzeit an. „Die meisten werden von uns über künstliche Intelligenz und selbstlernende Analysesysteme maschinell kategorisiert und geprüft“, so Figge. Jeder Angreifer bekommt dabei eine spezielle „Signatur“. Damit können Schutzprodukte von G DATA Angreifer künftig erkennen und abwehren. Nur ein Bruchteil der Schadprogramme, die schweren Fälle, geht heute noch in die manuelle Analyse am Bochumer Hauptsitz oder bei den Virenjägerkollegen auf den Philippinen. 

Kai Figge und Andreas Lüning, damals zwei Informatikstudenten aus Dortmund, haben 1985 in der elterlichen Gartenlaube ihr Unternehmen gegründet. 1987 entwickelten sie ihr erstes Antivirenprogramm. Der Marktanteil bei Privathaushalten in Deutschland liegt bei 10 bis 15 Prozent. Das Unternehmen zählt 500 Mitarbeiter und residiert heute im liebevoll modernisierten Gebäudekomplex einer ehemaligen Konsumgenossenschaft. 

Zusammen mit Forschern der Karl-Franzens-Universität Graz haben die Bochumer mit den Schadcodes Spectre und Meltdown unlängst gravierende Sicherheitslücken in Intel-, AMD- und ARM-Prozessoren entdeckt und für viel Aufmerksamkeit gesorgt. 

Licht ins Malware-Dunkel brachten die Bochumer auch beim spektakulären Ransomware-Angriff mit Erpresser-Trojanern auf das Neusser Lukaskrankenhaus. Die hoch digitalisierte Vorzeigeeinrichtung musste 2016 Operationen verschieben oder auslagern, weil Ärzte auf die Anamnesedaten der Patienten nicht mehr zugreifen konnten. G-DATA-Experten waren tagelang zur Analyse vor Ort. 

Die Kooperation mit den regionalen Hochschulen ist eng. Die Bochumer haben damals eine der ersten Juniorprofessuren an der Ruhr-Universität Bochum gesponsert. Alle zwei Wochen sind Studierende zu Veranstaltungen und leckerem Abendessen in lockerer Runde geladen, um sich gegenseitig kennenzulernen. Schließlich müssen die Bochumer heute mit Headhuntern von Google und Facebook mithalten, die schon auf dem Campus den Nachwuchs abwerben. „Die Ausbildung hier ist extrem gut“, schwärmt Figge. Er weiß auch: Der Bedarf an qualifiziertem Nachwuchs ist viel größer. „Eine Verdopplung würde nicht ausreichen.“

IT-Sicherheit soll in Nordrhein-Westfalen künftig Chefsache sein. Das erklärte kürzlich Andreas Pinkwart, der als Wirtschaftsminister von NRW auch für Digitales zuständig ist. Der Minister weiß, dass mit der Digitalisierung von Wirtschaft und Gesellschaft auch die Gefahren wachsen. „Deshalb ist es wichtig, dass wir uns intensiv mit der Frage der Datensicherheit auseinandersetzen.“ Mehr Geld fürs Ruhrgebiet heißt das allerdings noch nicht; gemeinsam mit der NRW.BANK will die Landesregierung aber 214 Millionen Euro Wagniskapital für Start-ups im Lande zur Verfügung stellen. 

If(is)-Leiter Pohlmann wünscht sich vom Land mehr strukturelle Unterstützung, beispielsweise um Bundesmittel ins Ruhrgebiet zu bringen. Seine Zukunftsvision: Die neue Gründerkultur an der Ruhr könnte künftig auch Start-ups aus anderen IT-Hochburgen anziehen. „Das Ruhrgebiet könnte ein Start-up-Center in Europa werden.“ 

Über mehr Aufmerksamkeit vom Bund würden sich auch HGI-Direktor Leander und G-DATA-Chef Figge freuen. „Wir verstehen uns hier als Teil des Strukturwandels“, sagt Figge. Und Forscher Leander urteilt selbstbewusst: „Es ist keine Frage, dass wir hier ganz tolle Arbeit leisten.“ Die Stadt Bochum weiß jedenfalls, was sie an ihren Forschern hat: IT-Sicherheit ist hier ein wichtiger Faktor der Wirtschaftsförderung. „Wir sind heute eines der Aushängeschilder für das Image von Bochum“, weiß Leander.

Secunet-Chef Baumgart geht heute noch vieles zu langsam. Die Städte im Ruhrgebiet müssten sich stärker vernetzen, fordert der Essener. Auch die Unternehmen der Region sieht er in der Pflicht: Betreiber kritischer Infrastrukturen wie die Energieversorger könnten sich stärker engagieren. „Sie sollten diese Hochschullandschaft als Anwender mit unterstützen.“ Man müsse im Ruhrgebiet nicht das Silicon Valley kopieren, stellt Baumgart klar. Seinen Herzenswunsch bringt er so auf den Punkt: „Es braucht einen Masterplan; nicht zu hochtrabend, sondern bodenständig wie das Ruhrgebiet.“