Forschungsmafia: Titelhandel · Forschungsbetrug · Wissenschaftskorruption · Hochschulkriminalität

Akademische vs. Praktische Sichtweise der Sicherheit

Hadmut Danisch
24.9.2008 7:49

Auf einer Konferenz zur IT-Sicherheit wurden gestern Probleme angesprochen und Meinungen geäußert, die ziemlich genau meiner eigenen entsprechen, aber es hat mich doch etwas überrascht, daß inzwischen immer mehr Leute zur selben Auffassung kommen.

Immer öfter kollidieren nämlich die akademische und die industriell-praktische Sichtweise der IT-Sicherheit. Immer öfter scheint es Probleme zu geben, weil die akademische-universitäre Sichtweise immer öfter durch absurde Auswahl von Papers und weltfremde Anforderungskataloge das Konferenzprogramm zerstört.

Folgende Gedanken und Aspekte sind mir aus der Diskussion in Erinnerung geblieben, hier mit etwas gedanklicher Ergänzung meinerseits:

  • Die praktisch-industrielle Sichtweise der IT-Sicherheit zielt darauf ab, Angreifer abzuwehren und seinen Laden sauberzuhalten. Die akademische Sichtweise zielt darauf ab, Forschungsgelder einzuwerben und die Veröffentlichungsliste anschwellen zu lassen – mit allen Mitteln. Das kann sich im Ergebnis in völlig unterschiedliche Richtungen bewegen.
  • Nach akademischen Gepflogenheiten ist ein Thema, wenn es einmal in einem Paper besprochen wurde, “erledigt” und kann nicht mehr neu aufgegriffen werden. In der Praxis ist es aber häufig sehr interessant und wichtig zu erfahren, wie sich ein Thema weiterentwickelt hat, wie andere es angehen und welche Erfahrungen man in der Zwischenzeit gemacht hat, etwa mit Fallzahlen usw.
  • In der akademischen Sichtweise wird i.d.R. überhaupt nicht darauf geachtet, daß ein stimmiges Konferenzprogramm zusammenkommt, sondern die Papers unabhängig voneinander ausgewählt. Das eine Paper hat mit dem anderen oft überhaupt nichts zu tun. Es werden einfach die nach irgendwelchen – mal mehr, mal weniger seriösen – Kriterien die “besten” ausgewählt und fertig. Die akademisch-universitäre Fraktion geht nämlich nicht zu einer Konferenz weil sie sich für ein Thema interessiert, sondern besucht die Konferenz zum Vorstellen des eigenen Papers (egal ob es jemanden interessiert) und zum Selbstzweck: Dienstreisen als Spaß und Prestige, die Leute wieder mal treffen.

    Industriell-praktisch orientierte Leute haben für sowas aber keine Zeit. Die gehen aus völlig anderen Gründen zu einer Konferenz, nämlich um etwas zu einem bestimmten Problem zu erfahren. Dieser Ansatz wird von akademisch orientierten Auswahlgremien wohl immer wieder massiv gestört.

  • Von akademischen Auswahlgremien werden häufig völlig übersteigerte Anforderungen an die “Tiefe und Präzision der wissenschaftlichen Ausarbeitung” gestellt, die häufig auch noch völlig sinnentleert sind. In den Universitäten sitzen Leute, die viel Zeit, wenig zu tun und eine beamtenmäßige Bezahlung haben. Die haben Zeit und Muße für solche Ausarbeitungen (und nichts besseres zu tun, Anmerkung von mir) und erwarten sie inzwischen auch von anderen. Aber diese “vertiefte Wissenschaftlichkeit” ist nicht nur der Lesbarkeit abträglich und bringt nichts, Leute aus der Industrie haben für so etwas schlichtweg keine Zeit. Wenn das Geldverdienen an das konkrete Lösen von Aufgaben und das Erbringen von Arbeitsleistung gebunden ist, muß man sich auf das wesentliche und wichtige konzentrieren.

Das entspricht auch meinen Beobachtungen der letzten Jahre. Der Wissenschaftszirkus koppelt sich mehr und mehr von der Realität ab.

Ein Kommentar (RSS-Feed)

pepe_
24.9.2008 15:23
Kommentarlink

Punkt 1 kann man auch anders sehen. Die Industrie verdient sich mit ihren konzeptionell nicht skalierbaren Leistungen(IDS, AV, Pentesting) eine goldene Nase und schmeist wahllos Bananenhard- und software auf den Markt. Und die Unis in Deutschland werden so schlecht finanziert dass man kontinuierlich nach Drittmitteln suchen muss.

Punkt 2: Andererseits wird gern kritisiert, wenn Profs und Mitarbeiter ihre Ausarbeitungen dann in eigenen Firmen zu Geld machen. Und der Zweck einer Veroeffentlichung ist ja auhc, einen diskurs zu foerdern. Neue Ergebnisse werden in Folgeveroeffentlichungen genannt und passen das Problem oder die Loesung an.

Punkt 3: Je nach Konferenz ist das Konferenzthema an sich schon sehr spezifisch. Hier gibt es auch selten mehrere Tracks, sodass man sich jederzeit seine Rosinen picken kann und dann halt ein paar Pausen hat.
Bei akademischen Konferenzen ist auch der Stellenwert des Vortrags ein anderer, bei industriellen hat das Paper selten mehr Inhalt als der Talk. Wenn es ueberhaupt mehr als das Folienset gibt.

Punkt 4: Das mag sein. Als jemand der gerade erst sein Diplom eingereicht hat sehe ich, dass akad. Paper sich sehr kurz fassen und man oft sehr genau lesen muss. Paper aus der Industrie sind tendenziell laenger und weniger durchdacht.