Hi, Barbara. An welchen Themen arbeitest du aktuell?
Meine zentralen Themen sind AI@Cybersecurity – also Themen rund um KI in Bezug auf Cyber Security – Strategie- und Organisationsberatung rund um Cybersicherheit, Krisen- und Notfallmanagement und die internationale Kooperation im Cybersicherheitsbereich.
Wie sah dein beruflicher Weg vor Sopra Steria aus?
Nach dem Magisterabschluss 2014 habe ich sechs Jahre zu sicherheitspolitischen und juristischen Themen rund um Terrorismus und Terrorismusbekämpfung geforscht, promoviert und gelehrt. 2020 entschied ich mich für einen Wechsel in die Beratung.
Als In-House Beraterin habe ich über zwei Jahre Konzeptions- und Aufbauprojekte im sicherheitsbehördlichen Bereich betreut. Währenddessen schloss ich 2022 eine berufsbegleitende Weiterbildung zur Fachkraft für Friedens- und Konfliktarbeit
am forumZFD ab. Im Mai 2023 bin ich dann zu Sopra Steria gekommen.
Warum hast du dich nach deiner Zeit in der Wissenschaft für einen Job in der Beratung entschieden?
Ich wollte raus aus der sicherheitspolitischen Wissenschaft, weil ich dort für mich nicht das Gefühl hatte, einen Impact entwickeln zu können. Mein Traum war damals eine Stelle im Bundeskriminalamt oder beim Militär, die operativ in
meinem Forschungsfeld aktiv sind. Schwere staatsgefährdende Gewalttaten verhindern, Konflikte beilegen, die Welt verbessern... Die Einstellungsverfahren sind langwierig (1-1,5 Jahre), soviel Zeit und Geld hat man als Nachwuchswissenschaftlerin
nicht. Beratung in/von Sicherheitsbehörden kam dem Traum am nächsten – ich konnte einen organisatorischen Mehrwert in dem Bereich stiften, den ich bereits kannte und von dessen Wichtigkeit für den Staat ich überzeugt bin.
Ich war finanziell unabhängig und hatte das Gefühl, einen kleinen Beitrag für die öffentliche und nationale Sicherheit Deutschlands zu leisten, auch wenn es nicht der operative oder analytische Beitrag war, von dem ich früher
geträumt hatte. Und ich bin geblieben. Mit der Zeit entdeckte ich nämlich, dass ich als Freigeist in der freien Wirtschaft sehr gut aufgehoben bin. Und als Beraterin im öffentlichen Sektor kann ich denselben Zielen dienen, in einem
Umfeld, in dem ich mich wohl fühle.
Welchen Herausforderungen bist du auf deinem Weg begegnet? Wie hast du diese überwunden?
Der Übergang aus der Wissenschaft in die Beratung war - wie vermutlich die meisten Branchenwechsel - kein Katzensprung. Ich hatte einige Jahre Erfahrung in meinem Bereich, aber stieg als Consultant auf derselben Ebene wie Berufseinsteiger*innen ein,
weil ich in der Bewerbungsphase nicht wusste, welche meiner Skills überhaupt transferrelevant waren. Auch hatte ich keinerlei beratungsrelevante Zertifizierungen. Als Consultant hatte ich anfangs eng abgegrenzte Einsatzfelder, wenig eigenständigen
Kundenkontakt und genaue Arbeitsanweisungen. Das war für mich ungewohnt, haargenau das Gegenteil von der Arbeit in der freien Forschung. Mit der Zeit habe ich die transferierbaren Skills erkennen können, beratungsspezifisches Know-How wie
zum Beispiel Projektmanagement hinzugewonnen. Es hat zum Glück nicht lange gedauert, bis ich wieder selbstständiger arbeiten konnte. Ein Branchenwechsel bleibt ein Branchenwechsel – man lernt erst mit der Zeit, was transferierbar ist,
und was nicht. Und den Rest lernt man eben neu dazu. Hilfreich ist ein positives, das Lernen begrüßendes Mindset.
Wie passen Wissenschaft und Beratung zusammen?
Geht so. Es gibt viele Unterschiede, und auch Gemeinsamkeiten – einige, die man nicht erahnt, wenn man nicht beide Felder gut kennt.
Ein großer – auch bekannter - Unterschied besteht in der Gründlichkeit beziehungsweise dem Qualitätsanspruch. In der Beratung wird wissenschaftliche Gründlichkeit in Erhebung, Evaluationsmethoden, Beweisführung, Argumentation
oft als unnötige Detailverliebtheit abgetan, da sie Zeit kostet und angesichts von Zeitdruck und Ergebnisorientierung in Kundenprojekten nur begrenzt lukrativ ist. Ich sehe das differenziert. Gute Beratung sollte meines Erachtens wohl informiert
sein, und profitiert von einer Expertise mit Wissenschaftsniveau, allerdings in bestimmten Rollen und in bestimmten Projekttypen mehr als in anderen. Hinzugefügt werden muss die Praxis- und Kundenorientierung, das heißt Übersetzung
in eine verständliche Sprache, in alltagstaugliche Tools, etc. Beratung ist nicht per se unsauber, sondern muss die wissenschaftliche Gründlichkeit gezielt einsetzen, um die Mehrwerte daraus zu ziehen. Unsaubere Arbeit ist auch in der Beratung
ein absolutes No-Go. 80:20 ist da zumindest für penible Wissenschaftler*innen mit Wechselwunsch eine vernünftige Maxime.
Zeit und Multitasking - es gibt ein Sprichwort, das sinngemäß besagt, „Wer Deadlines nicht halten kann, geht in die Wissenschaft“. In der Tat sind es - mal abgesehen vom Auslaufen von Fördermitteln - wesentlich weniger Deadlines.
Die, die es gibt – zum Beispiel Konferenzbewerbungen, Paper einreichen – sind von den Auswirkungen des Reißens her nicht damit zu vergleichen, auf einem großen Kundenprojekt mal eben eine Woche an der Frist vorbeigeschrammt
zu sein. In der Wissenschaft kann man sich Termine zwischen Projekten und Lehre freier einteilen. Das Emailaufkommen ist geringer. Das sieht in der Beratung mit fünf bis acht Terminen am Tag, viel inhaltlicher Kommunikation per E-Mail, zig telefonischen
Kurzabstimmungen anders aus. Es hilft, sich explizite Zeitinseln von ein bis zwei Stunden zum Arbeiten zu schaffen, die offen zu kommunizieren. Damit schaffe ich mir selbst die Ruhe, etwas gründlich zu durchdenken. Außerdem arbeite ich
Dinge grundsätzlich nacheinander ab. Würde ich versuchen, alles gleichzeitig zu machen, gäbe es weniger und qualitativ schlechtere Ergebnisse.
Was bedeutet KI für dich in deinem Job?
KI ist für mich der spannendste und vielversprechendste Teil von Cyber Security. Cyber Security ist in vielerlei Hinsicht mit denselben KI-bezogenen Herausforderungen konfrontiert wie andere Einsatzfelder – Qualität von Trainingsdatensätzen,
Nachvollziehbarkeit von Entscheidungen etc., was die Europäische KI-Verordnung ansatzweise einheitlich zu regulieren versucht. Mit diesen Themen beschäftigen wir uns natürlich auch.
Gleichzeitig ist das Spielfeld AI@Cybersecurity ein ganz besonders. Am besten lässt sich das in drei Dimensionen skizzieren.
- KI-basierte Bedrohungen: Bspw. ermöglichen es die codegenerierenden Fähigkeiten von Large Language Models (LLMs) Laien schon heute, Schadcode programmieren zu lassen, und so ohne jegliche Fachkenntnis Vorfälle bzw.
Angriffe zu provozieren. Auch können LLMs bei der Skalierung von Angriffen helfen, z. B. bei DDOS-Angriffen. Hierin steckt also Potenzial für eine Zunahme von Angriffen auf den bekannten Angriffsvektoren, die wir aus Cybersicherheitssicht
behandeln müssen. Hier greifen zumindest teilweise noch die uns bekannten Cybersicherheitstools, müssen nur skaliert werden.
- KI als Angriffsvektor: Wir erleben den Einsatz verschiedenster Typen von KI im Haushalt, in der industriellen Fertigung, in Waffensystemen, in der Bilderkennung von Ermittlungsbehörden etc. Diese Systeme sind ganz anders zu stören
und anzugreifen, als wir das von anderen Systemen gewohnt sind. Entsprechend sind sie auch mit den herkömmlichen Cybersicherheitsmaßnahmen nicht durchgängig zu schützen. An manchen Stellen reicht eine Erweiterung von Informationssicherheitsmechanismen,
manchmal Übersetzungsarbeit aus "herkömmlichen" Vorgaben, an anderen Stellen müssen wir komplett neu denken.
- KI zur Unterstützung unserer Cybersicherheitstools: KI kann Cybersicherheitstools unterstützen, verbessern, teilweise perspektivisch ersetzen. Zunächst ist da die Fähigkeit, riesige Mengen an Daten, auch unterschiedlichste
Datentypen zu finden, zu strukturieren, zu verarbeiten, und zwar echtzeitnah. Zeit ist im Cybersicherheitsbereich kritisch. Je schneller ich z. B. die Ursprünge eines Vorfalls gefunden habe, desto schneller kann ich diesen beheben und den
entstehenden Schaden eindämmen. Genauso wichtig ist Geschwindigkeit beim Patchen einer Zero-Day-Schwachstelle. Beispielsweise kann man viele Informationen mithilfe von LLMs aus Logdaten erfassen, gleichzeitig die Modelle nutzen, um angemessene
Reaktionen zu formulieren. Die genannten Fähigkeiten miteinander zu verbinden, erweitert den Lösungsraum auch in der Prognose von Cybersicherheitsvorfällen ganz erheblich. Insbesondere, wenn wir beispielsweise über den Einsatz
neuronaler Netze zu Angriffszwecken nachdenken, so kann das Verhalten eines solchen allenfalls (wenn überhaupt!) von einem anderen neuronalen Netz antizipiert werden, keinesfalls jedoch von einem Menschen.
Man sieht also - KI generiert für Cybersicherheit eine ganz neue Tiefe in verschiedenen Dimensionen, insbesondere generative KI. Ich denke, als Wissenschaftlerin habe ich es hier etwas leichter, Daten, Validität und Reliabilität von Modellen
zu bewerten, und mich in die unterschiedlichen Modelltypen - soweit man das als Generalist überhaupt kann - hineinzudenken. Das macht schon wirklich Spaß. Spaß macht auch die Zusammenarbeit mit den KI-Spezialist*innen aus anderen
Units und den Fachexpert*innen aus anderen Verticals. Da kommen nämlich die eingangs genannten generellen Themen im Bezug zu KI zum Zuge, oftmals auch unvermutete Synergieeffekte oder Trainingsoptionen bei Fachmodellen. Es ist also ehrlich gemeint,
wenn ich sage - die gemeinsame Entwicklung dieses Themenfeldes macht wirklich Spaß.
Danke, Barbara! Wie schön, dass du bei uns bist.
Du möchtest mehr darüber erfahren, was wir als #GuardiansOfDigitalEurope für unsere Kunden und das digitale Europa tun? Hier erfährst du es:
Cybersecurity im Zeitalter von KI