«Die Kunst besteht in der Vereinfachung und Abstraktion», sagt Rolf Oppliger, Titularprofessor an der Universität Zürich und seit vielen Jahren im Bereich der IT-Sicherheit tätig. Er ist sich in dieser Frage mit Albert Einstein einig, der einmal sagte, alles solle so einfach wie möglich gehalten werden, aber nicht einfacher. «Ich würde das voll unterstützen», sagt Oppliger.

«Wenn man die aktuellen Bedrohungsszenarien auf die wesentlichen Ideen und Konzepte reduziert, erkennt man, dass sich die IT-Welt doch nicht so schnell verändert wie oft behauptet. Manchmal wird Bekanntes einfach in neue Begriffe und Worthülsen gepackt.

Wer das durchschaut, kann alte und etablierte Lösungsansätze heranziehen. Ein Studiengang sollte auch solche Fähigkeiten vermitteln.» Aktuelle Bedrohungen und Bedrohungsszenarien sollten in Form von Beispielen in Studiengänge einfliessen, sagt Oppliger.

«Das gibt den Studentinnen und Studenten ein Gefühl dafür, wo der Schuh drückt und in welche Richtung sich Angriffsvektoren weiterentwickeln können. Ein aktuelles Beispiel sind die Spectre- und Meltdown-Angriffe, die nur exemplarisch für eine ganze Klasse von Hardware-nahen Seitenkanal-Angriffen stehen und die uns in Zukunft noch beschäftigen werden.»

Interdisziplinäre Querschnittsdisziplin

Der Stellenwert der IT-Sicherheit sei in den letzten 30 Jahren zwar gestiegen, nehme aber immer noch nicht den ihr gebührenden Platz ein. IT-Sicherheit sei eine typische Querschnittsdisziplin, die Kenntnisse in vielen IT-Teildisziplinen voraussetzt. «Sie ist aber auch interdisziplinär ausgelegt: Oft sind Fragestellungen aus anderen Disziplinen, wie der Psychologie oder der Rechts- und Wirtschaftswissenschaften, in der Beurteilung einer Problemstellung fast ebenso wichtig wie die IT selbst», betont Oppliger.

Natürlich gäbe es offensichtliche Schwerpunkte, zum Beispiel die Kryptografie, ein Studium solle aber grundsätzlich offen gegenüber neuen Entwicklungen und Themen sein. Und: Bei aller Theorie sollte auch die Praxis nicht zu kurz kommen.

Ein Praxisbezug sollte idealerweise in Form von Bedrohungsszenarien her- und sichergestellt werden. «Vieles, was darüber hinausgeht, wie Livehacking oder Vorführungen im Darknet, hat mehr mit Sensations-Gier zu tun als mit einer wissenschaftlichen Betrachtung und Auseinandersetzung», sagt Rolf Oppliger. «Zur Sensibilisierung von IT-Verantwortlichen und Benutzern ist das in Ordnung, in einem Studiengang für IT-Sicherheit sollten solche Mittel jedoch zurückhaltend eingesetzt werden.»