Dr. Stefan Lüders ist seit 2009 Computer Security Officer am CERN, der Europäischen Organisation für Kernforschung bei Meyrin im Schweizer Kanton Genf. Bevor Lüders 2002 zum CERN kam, promovierte er an der ETH Zürich. Zu seinen aktuellen Aufgaben gehört unter anderem auch die Leitung des Computer Incident Response Teams. Über einzelne Aspekte seiner Arbeit hat er bereits auf zahlreichen Veranstaltungen und in Publikationen berichtet. Lüders ist Mitglied im Schweizer Chapter des (ISC)²-Konsortiums, dem international größten Zusammenschluss von IT-Security-Verantwortlichen. Im CW-Interview erklärt er den IT-Kosmos des CERN und gewährt Einblick in die Methoden, mit denen das Thema IT-Security in zehntausende Forscherköpfe gelangt.
CW: Herr Lüders, was tun Sie und Ihr Team am CERN?
STEFAN LÜDERS: Ich arbeite als Computer-Sicherheitschef am CERN. In meinem früheren Leben war ich zunächst als Physiker, dann als Kontrollsystem-Ingenieur mit Safety-Fokus am CERN tätig. Über den Schutz kritischer Infrastrukturen und die Sicherheit von Industrieanlagen bin ich dann auf den Stuhl des CSO gekommen. Das ist eine nicht unübliche CERN-Karriere.
Mein Team ist relativ klein, wir sind fünf CERN Angestellte sowie eine Handvoll Studenten - je nach Jahreszeit zwei bis fünf -, die an verschiedenen Projekten arbeiten. Wir decken alle Computer-Sicherheitsaspekte ab, die es am CERN gibt. Ich rede da nicht von Physical Security, von Wachmännern oder Eingangskontrollen, sondern von purer IT. Wir kümmern uns um vier große Bereiche - Office Computing Security, Computer Centre Security, GRID Computing Security und Control System Security.
CW: Wie funktioniert das Thema Office Computing Security in solch einer großen Organisation?
LÜDERS: Das CERN hat in etwa 2250 Mitarbeiter, dazu 10.000 bis 15.000 Gastnutzer - das sind Menschen, die von Universitäten und Instituten außerhalb abgestellt sind und am CERN arbeiten - Studenten, Doktoranden, Professoren, Physiker, Ingenieure, Techniker aus Hamburg, München, Bonn, Frankreich, China, Iran, Japan, USA. Diese werden zwar von ihren jeweiligen Instituten bezahlt, leben und arbeiten für eine begrenzte Zeit aber bei uns.
Wir haben hier also ein ständiges Kommen und Gehen. Unser Office-Bereich samt Security hat sich darauf eingestellt - das Netzwerk umfasst 40.000 bis 45.000 Geräte, die meisten davon nicht unter Kontrolle der IT-Abteilung - nur wenige Windows- und Linux-Systeme werden zentral verwaltet. Der wesentliche Teil - Notebooks, Smartphones, Tablets - werden durch die Nutzer selbst eingerichtet. Ist ja auch klar, wer hauptberuflich für die Uni Hamburg arbeitet und dann eine Woche zum CERN kommt, will nicht ein neues Gerät in Betrieb müssen. Wir leben hier deshalb schon seit 20 Jahren das Mantra "Bring your own device".
"Niemand muss hier in die Cloud gehen"
CW: Computer Centre Security - CERN-Fremde würden einfach ‚RZ-Sicherheit‘ dazu sagen - ist ein weiteres wichtiges Betätigungsfeld von Ihnen. Wie sieht Ihre Infrastruktur hier aus?
LÜDERS: Wir betreiben acht Rechenzentren mit jeweils 3000 bis 12.000 Servern, die die IT-Infrastruktur bereitstellen, um unter anderem Teilchenbeschleuniger und Experimente laufen lassen und alle Mitarbeiter mit ausreichend technischen Ressourcen versorgen zu können. Verwaltet wird das Ganze durch unser IT Department, das Web-Services und Datenbanken bereitstellt, die beispielsweise von HR, Finance und für die wissenschaftlichen Experimente genutzt werden können. Dazu haben wir Fileserver für den Dokumentenaustausch, Archivierungs- und Backup-Systeme sowie Services für Webcasts, Videostreaming und Conferencing in Betrieb. Wir betreiben also die gesamte Infrastruktur selbst - niemand muss in die Cloud gehen, sondern kann alles über die CERN-Server erledigen.
CW: Stichwort Cloud - Sie nannten das ‚GRID‘ des CERN als dritten wichtigen Arbeitsbereich…
LÜDERS: Ja, ich meine das GRID Computing, ein verteiltes Netzwerk von Rechenzentren weltweit. Die Datenraten unserer Teilchenbeschleuniger sind immens - es entstehen jährlich zwischen 20 und 30 Petabyte an Daten, die der Physikergemeinschaft zu Analysezwecken bereitgestellt werden müssen. Diese Bereitstellung realisieren wir über das so genannte "Worldwide LHC Computing Grid" (WLCG). Am CERN halten wir derzeit rund 130 Petabyte Daten auf Festplatten und Bändern vor und replizieren diese in das Grid hinein, das aus 13 Tier-1 Rechenzentren weltweit besteht, deren Server dann wiederum die Daten in rund 160 weitere Tier-2 Rechenzentren weitergeben. Wie das World Wide Web für viele Menschen ein Informationsmedium darstellt, ist das Grid für uns am CERN ein Computing-Medium - die Funktionsweise ist die gleiche.
Benötigt ein Anwender Forschungsergebnisse oder auch eine bestimmte Rechenoperation, loggt er sich am Grid ein, gibt seine Anfrage ein oder bekommt dann von irgendeinem Rechenzentrum eine Antwort zurück. Das CERN stellt einen Anteil der Computing- und Storage-Kapazitäten des Grids bereit. Diese enormen Ressourcen sind natürlich auch für die "dunkle Seite der Macht" interessant, wenn es beispielsweise um Bitcoin-Mining oder ähnliche illegale Dinge geht, für die starke Rechenleistung benötigt wird.
- Virtuelles Geld als Zahlungsmittel
Krypto-Währungen breiten sich aus, vor allem Bitcoins sind zum gesuchten Spekulationsobjekt geworden. Aber das Internet-Geld kann mehr, hat das Potenzial, den mobilen Zahlungsverkehr zu revolutionieren. Für die Finanzbranche gilt es, nicht nur die Gefahren zu sehen, sondern auch die Chancen. - Kryptowährung Bitcoin
Bitcoin ist in Sachen virtuelles Geld Vorreiter und die bekannteste Währung. Das Bitcoin-Netzwerk wurde am 3. Januar 2009 ins Leben gerufen. Dabei handelt es sich um ein Open-Source-Softwareprojekt auf Peer-to-Peer-Basis. Der Nutzer kann über sogenannte Bitcoin-Adressen Geld anonym von einer Wallet-Datei über das Netzwerk an andere Adressen überweisen. Im Gegensatz zu realen Währungen gibt es keine zentrale Institution, die Geld herausgibt. Stattdessen werden Bitcoins durch Rechenleistung in einem Mining-Verfahren generiert. Bitcoin hat sich als digitales Zahlungsmittel weltweit etabliert. - Kryptowährung PPCoin
PPCoins wurde nicht nur als alternative Krypto-Währung zu Bitcoin & Co. entwickelt, sondern versteht sich auch als ökonomischer Gegenentwurf. Ziel der PPCoin-Erfinger ist es vor allem, den gigantischen Energieverbrauch zu vermeiden, den das Mining im Bitcoin-Netzwerk hervorruft. Im PPCoin-Mining ist nicht die Leistungsstärke der CPU oder GPU für die „Gelderzeugung“ entscheidend, sondern eine Art Lotterieverfahren und der Kontostand des Nutzers. - Mining
Das virtuelle Geld wird durch hoch komplexe Rechenoperationen generiert, die theoretisch jeder ausführen kann, wenn er über die dafür notwendige Hardware verfügt. Bei diesem sogenannten Mining konkurrieren unzählige Teilnehmer eines riesigen Peer-to-Peer-Netzes darum, den nächsten Block von Bitcoins herstellen zu dürfen. Der große Konkurrenzkampf zwischen den Teilnehmern an diesem Wettbewerb soll verhindern, dass sich das Kryptogeld auf wenige Hände konzentriert. Das Mining-Verfahren wird aber wegen des hohen Energieverbrauchs stark kritisiert. - Keine Bank
Mit digitalem Geld lassen sich weltweit Überweisungen und Zahlungen abwickeln, ohne dass daran eine zentrale Clearing-Stelle wie etwa eine Bank beteiligt sein muss. Die Kosten für eine Überweisung schwanken allerdings massiv und sind von Änderungen im Blockchain-Netzwerk abhängig. - Geringere Kosten
Beglaubigte Bitcoin-Zahlungen sind nicht mehr rückholbar. Das verringert die Kosten, weil Dokumentation und Nachverfolgbarkeit von Zahlungen einen erheblichen finanziellen Aufwand verursachen, den die Banken an die Kunden weitergeben. - Mehr Sicherheit
Online-Händler müssen nicht mehr – wie bisher – zur Sicherheit Kundendaten sammeln, bevor sie ein Geschäft mit ihnen abschließen. Für mehr Sicherheit sorgt auch die Tatsache, dass die Privatsphäre derjenigen besser geschützt ist, die Transaktionen in Kryptowährungen ausführen, als bei Geschäften über konventionelle Geldinstitute. Der Grund: Transaktionsbewegungen können nicht zugeordnet werden.
CW: Ihr vierter Arbeitsschwerpunkt ist die Sicherheit der Kontrollsysteme. Was für Systeme setzen Sie da ein?
LÜDERS: Unsere Beschleuniger und Experimente werden ähnlich geplant wie eine klassische Fahrzeugproduktionslinie oder eine Raffinerie. Es geht hier teils um Kontrollsysteme, die wir selbst entwickelt haben, teils Kontrollsysteme, die Sie am Markt bei Siemens, Schneider Electric, ABB und anderen bekommen. Die Sicherheit dieser Systeme muss gewährleistet sein, damit nicht irgendjemand anders als das CERN die Teilchenbeschleuniger betreibt.