Sicherheitsfachkräfte von morgen praxisnah ausbilden
Im Rahmen eines Bug-Bounty-Bildungsprogramms mit GObugfree (EDU Programm) hacken Studierende an der Fernfachhochschule Schweiz (FFHS) ihre eigene Hochschule und sammeln so erste Erfahrungen als Bugjäger. Mit dieser Bildungsoffensive wollen GObugfree und FFHS für mehr Nachwuchs im Cybersecurity-Bereich sorgen.
Zuerst mal, Daniel und Oliver, wer seid ihr und was sind eure Hauptaufgaben bei der FFHS?
Oliver: Mein Name ist Oliver Ittig und ich bin seit 2014 Studiengangsleiter an der FFHS für die BSc Informatik und das Praxisintegrierte Bachelorstudium in Informatik. Ab diesem August ebenfalls für den neu entwickelten Studiengang BSc Cyber Security. In erster Linie bin ich für die strategische und operative Umsetzung der Studiengänge zuständig, also alles, was die Ausrichtung, inhaltliche Gestaltung und Durchführung betrifft. Selbstverständlich werde ich hier von unseren Dozenten, Fachverantwortlichen und wissenschaftlichen Mitarbeitern aus Forschung und Lehre unterstützt.
Daniel: Mein Name ist Daniel Eggel, ich bin seit 2020 CISO an der FFHS. Ich bin verantwortlich für das sehr breite Themengebiet der Sicherheit in der Informationstechnologie. Dies beinhaltet viele konzeptionelle Aufgaben mit dem Ziel, das Thema Sicherheit von Anfang an möglichst überall einzubauen. Ein essenzieller Aspekt ist auch die Sensibilisierung der Mitarbeitenden – denn die allermeisten Angriffe zählen auf den Faktor Mensch, welcher durch seine Neugier oder auch seine Hilfsbereitschaft oft recht einfach getäuscht werden kann.
Daniel, was ist das EDU Programm?
Das EDU Programm hat zum Ziel, die Thematik Schwachstellen und deren Minimierung bereits in der Ausbildung einfliessen zu lassen. Wir zeigen den Studierenden in entsprechenden Modulen wie Softwareentwicklung oder Sicherheit, wie ein Bug-Bounty-Programm funktioniert und wie diese zum Gewinn von mehr Sicherheit beitragen kann. Nach ein paar einführenden Beispielen dürfen die Studierenden dann in einem definierten Rahmen auch unsere Systeme auf Sicherheit hin überprüfen und dort Schwachstellen suchen. Die Belohnungen für gefundene und bestätigte Schwachstellen beinhalten ein Zertifikat der FFHS, sowie Wertgutscheine bekannter online Shops in verschiedener Höhe.
Wo dürfen die Studierenden dann überall suchen?
Wir haben einzelne interessante Systeme freigegeben für die Suche nach Schwachstellen. Jeder mit einer ffhs.ch Mail Adresse darf grundsätzlich am Programm teilnehmen.
Welche Vorteile siehst du als Chief Information Security Officer darin, eure Systeme so testen zu lassen?
Durch die Meldung von möglichen Schwachstellen erwarten wir eine Verbesserung der Sicherheit unserer Systeme. Wir sehen dies als eine gute Ergänzung zu anderen laufenden Massnahmen wie Penetration Testing, Vulnerability Management und Monitoring.
Mit dem EDU Programm hat GObugfree ein sehr interessantes praxisnahes Angebot für die Schweizer Bildungslandschaft aufgestellt.
Was hat die FFHS dazu bewogen, mit GObugfree als Partner zusammenzuarbeiten?
Mit dem EDU Programm hat GObugfree ein sehr interessantes praxisnahes Angebot für die Schweizer Bildungslandschaft aufgestellt. GObugfree unterstützt dies zudem durch sehr interessante Konditionen für Bildungspartner. Die Zusammenarbeit mit GObugfree gestaltet sich für beide Seite als sehr bereichernd.
Oliver, welche Ziele verfolgt der Bachelor-Studiengang in Cyber Security, den die FFHS im Herbst 2023 lanciert?
Ziel ist es, dem grossen Fachkräftebedarf im Bereich Cyber Security entgegenzuwirken. Dies versuchen wir mit dem neuen Studienangebot zu verwirklichen, in dem wir möglichst vertieft und breit die relevanten Kompetenzen und Bereiche vermitteln. Von Kryptologie, IT-Forensik, Internet- und reaktiver Informationssicherheit, Secure Coding, Reverse Engineering aber auch über Themen wie IT-Trust, Governance, Recht und Sicherheitsmanagement füllen wir den Wissensrucksack der Studierenden möglichst fundiert und praxisnah. Über die Hälfte der 180 ECTS des Bachelorstudiums befassen sich vertieft mit Cyber Security, dies ist sicher einzigartig in dieser Wissensdichte.
Wie setzt sich der Studiengang zusammen? Wie werden die Fachkenntnisse und Ressourcen von GObugfree in den Lehrplan integriert?
Der Studiengang ist sehr praxisnah aufgestellt. Über 90% unserer Dozenten sind Experten aus der Wirtschaft, die versuchen, die Theorie hands-on zu übermitteln. Da unser Studienmodell vor allem für berufsbegleitende Studierende geeignet ist, können diese die Inhalte somit auch direkt in ihren Berufsalltag einbeziehen und das Gelernte gewinnbringend im eigenen Unternehmen anwenden.
Programme wie das EDU Programm von GObugfree erlauben den Studierenden, sich noch intensiver mit der Materie auseinanderzusetzen und dient als zusätzliche Wissensüberprüfung. Wir werden darüber hinaus aber auch z.B. Hackathons anbieten, die wir zusammen mit Partner wie GObugfree organisieren werden. Uns ist es wichtig, eine Brücke zwischen Wirtschaft, Hochschule und Cyber Community zu schaffen und das Thema und die Notwendigkeit von IT-Sicherheit voranzutreiben.
Welche spezifischen Fähigkeiten oder Kenntnisse werden die Studierenden durch das EDU Programm erwerben?
Die Studierenden lernen, wie ein Bug-Bounty-Programm funktioniert und wie dies implementiert werden kann. Durch die aktive Teilnahmemöglichkeit am Programm können die Studierenden zudem ihre gelernten Techniken zur Suche von Schwachstellen und deren detaillierter Analyse vertiefen und in der Praxis, also auf Live-Systemen, umsetzen. Gleichzeitig werden sich Studierenden darüber bewusst, welche Ziele mit Secure Coding und Software-Design verfolgt werden.
Uns ist es ein Anliegen, dass Bug-Bounty-Programme – wie die von GObugfree – stärker zum Einsatz kommen und damit die Sicherheit vieler Unternehmen erhöht werden kann.
Wie sieht die Zukunft der Partnerschaft aus? Welche Pläne gibt es für zukünftige Entwicklungen und Erweiterungen dieser Zusammenarbeit?
Wie bereits erwähnt, planen wir weitere Events wie Hackathons, Webinare zu spezifischen Themen und andere Anlässe für die Community zu organisieren. Uns ist es ebenfalls ein Anliegen, dass Bug-Bounty-Programme – wie die von GObugfree – stärker zum Einsatz kommen und damit die Sicherheit vieler Unternehmen erhöht werden kann.
Oliver und Daniel, welchen Rat habt ihr für Bildungsinstitutionen, die selber ein Bug-Bounty-Bildungsprogramm einrichten möchten?
Ein ausreichendes IT-Sicherheitsniveau hält nie für lange, dieses ist stetig weiterzuentwickeln. Die Gefahrenlage verändert sich täglich und Angriffe, siehe Tagespresse, machen weder vor Bildungseinrichtungen noch anderen Unternehmen halt. Daher empfehlen wir Bug-Bounty-Programme jedem und Bildungsinstitutionen zusätzlich spezifische Bug-Bounty-Bildungsprogramme.