2021-03-08: IT-Sicherheit und Visualisierung

tanja2

„Wissenschaftlich arbeiten und dabei Arbeitserfahrung sammeln“

„Visualization-based Enhancement of IT Security Management and Operations“ ist der Titel der 287 Seiten starken Dissertation, die Tanja Hanauer, Mitarbeiterin bei IT-Infrastruktur Server und Dienste (ITS) am Leibniz-Rechenzentrum (LRZ), verfasst hat. Sie erforscht darin, wie die IT-Prozesse einer Organisation übersichtlicher, zuverlässiger und sicherer werden können. „Das LRZ ist ein guter Ort für eine Promotion“, sagt Hanauer. „Ich konnte forschen, praktisch arbeiten und zugleich meine Forschungsergebnisse in die Praxis umsetzen, das LRZ bietet viel wissenschaftliches und praktisches Wissen.“ An der Universität der Bundeswehr wurde die Promotion angenommen, die unter anderem Vorschläge zur Visualisierung von Sicherheitsmaßnahmen und für deren Überprüfung enthält: Fehlende Übersicht und Mängel im Management von Systemen sind nämlich häufig Ursachen von Sicherheitsdefiziten, wohl definierte Prozesse, gesicherte, zuverlässige Daten und Grafiken, die darauf basieren, bieten schnelle Kontrollmöglichkeiten und Einsichten.

Warum das Thema? Dr. Tanja Hanauer: Aus der Sicherheit kommen viele Anforderungen an die IT, die Nutzer:innen und Administrator:innen umsetzen müssen. Doch das wissen häufig nur wenige Spezialist:innen. Die Lücke zwischen Müssen und Tun und die zwischen individuellem und Organisationswissen ist für gelebte Sicherheit relevant. Also geht es darum, sicherheitsbezogene Anforderungen zu kennen, diese an die Organisation anzupassen und in die Praxis umzusetzen. Dazu ist es notwendig, die bestehenden Erfahrungen von Mitarbeitenden zu nutzen. Die Visualisierung von Daten und Prozessen kann dabei helfen. Für meine Dissertation habe ich auch mit Daten aus dem LRZ Use Cases analysiert und daraus ein Framework entwickelt, das auf andere IT-Umgebungen, -Anwendungen und generell datenbasierte Prozesse übertragbar ist.

Wie lange hast du daran gearbeitet? Hanauer: Etwa 5 Jahre. 2012 stieg ich am LRZ als Mitarbeiterin für Sicherheit ein, fand mein Thema und einen Doktorvater, zunächst ein Professor an der LMU. Ich merkte aber, dass ein Vollzeitjob in Garching schwer mit Veranstaltungen in München zu verbinden ist. Deshalb wechselte ich zu Wolfgang Hommel, der am LRZ arbeitete und jetzt Professor an der Universität der Bundeswehr ist.

Was sind deine wichtigsten Ergebnisse oder Erfahrungen? Hanauer: Das von mir entwickelte Regelwerk oder Framework bietet Ansätze, um verschiedene Beteiligte oder Stakeholder dabei zu unterstützen, für mehr IT-Sicherheit in ihrer Organisation zu sorgen. Konkret bietet es entsprechend aktueller Sicherheits-Standards und
-Anforderungen Hilfe beim Konfigurieren, Betreiben und Managen einer heterogenen IT-Umgebung und ihrert Dienste.

Wie haben dich die Kolleg:innen unterstützt? Hanauer: Meine Chefs, erst Christoph Biardzki, dann Winfried Raab, wussten von der Promotion. Teile meiner Diss entstanden während meiner Arbeitszeit. Ich konnte auch Master- und Bachelor-Arbeiten am LRZ betreuen und an der Universität Bremen Blockseminare halten. Ohne eine derartige Unterstützung des Arbeitgebers ist eine Promotion neben einer Vollzeitstelle nur schwer möglich.

Gab es Probleme? Hanauer: Promovierende müssen in Wissenschaftszeitschriften und auf Konferenzen veröffentlichen. Hier fiel es mir schwer, Mittel für die Konferenz-Teilnahme zu bekommen. Auch der Zugang zu wissenschaftlichen Publikationen ist über das LRZ nicht möglich. Es fehlt ein Topf, und die Wege sind unklar.

Verantwortung, Lehre, Geld – was bringt der Doktortitel? Hanauer: In erster Linie wollte ich neues Wissen schaffen, mich mit einem spannenden Thema intensiv beschäftigen und in der IT-Sicherheit etwas bewegen. Das ist mir gelungen. Ich hoffe, nach der Dissertation noch mehr Bewegung in die Sache zu bringen.

Was war die größte Überraschung während der Promotion? Hanauer: Promovieren hat neben dem forschend-wissenschaftlichen noch einen formalen, organisatorisch zeitintensiven Aspekt, und so dauern einige Teilschritte, die zunächst trivial erscheinen, bedeutend länger als erwartet. Wie bei der IT-Sicherheit sind es eben die kleinen Details, die wir gerne vernachlässigen oder übersehen. (Interview: vs/LRZ)

tanja