Haya Schulmann

Haya Schulmann (hebräisch חיה שולמן; früher: Shulman[1]) ist eine deutsch-israelische[2] Expertin für Netzwerk- und Computersicherheit. Sie ist ordentliche Professorin am Lehrstuhl für Informatik der Johann Wolfgang Goethe-Universität Frankfurt am Main und hält eine LOEWE-Spitzen-Professur.[3] Haya Schulmann ist Mitglied des Boards von Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE und fungiert dort als Leiterin für Wissenschaftskommunikation und internationale Zusammenarbeit sowie als Vertreterin der Goethe-Universität bei ATHENE. Darüber hinaus leitet sie die ATHENE-Forschungsbereiche Analytics-based Cybersecurity,[4] Cybersecurity in Energiesystemen[5] sowie den Bereich Forschungssicherheit.[6]

Gremien (Auswahl)

wissenschaftlich

  • seit 2019 Mitglied des ATHENE-Boards[7]
  • 2020 Co-Vorsitz mit Radia Perlman im Programm SIGCOMM (Special Interest Group on Data Communications) der Association for Computing Machinery ACM im Workshop Angriffe zur Verkehrsbeeinflussung und deren Abwehr[8]
  • 2020 Co-Programmvorsitz für die Konferenz CANS2020 – The 19th International Conference on Cryptology and Network Security[9]
  • 2021 Co-Vorsitz im Programm ESORICS 2021 (The European Symposium on Research in Computer Security)
  • Mitglied in Programmkomitees von Sicherheitskonferenzen (z. B. USENIX Security)[10]
  • Mitherausgeberin von ACM Computing Surveys[11]
  • Senior Associate Editor von ACM Transactions on Privacy and Security (TOPS)[12]
  • Programmvorsitz CANS 2020[13], ESORICS 2021[14] ARES 2024[15]
  • Programmvorsitz ACM CODASPY 2024[16] und 2025[17]
  • Vorsitzende der ACM CODASPY 2026[18] in Frankfurt.

politisch/wirtschaftlich

  • Beraterkreis der Fraport AG[19]
  • Ausschuss für Wirtschaft, Landesentwicklung, Energie, Medien und Digitalisierung: Anhörung gemäß § 173 der Geschäftsordnung für den Bayerischen Landtag zum Thema "IT-Sicherheit in der bayerischen Wirtschaft"[20]
  • Vorsitzende des Landesgraduiertenzentrums für Angewandte KI in Heilbronn, ConnAIx[21][22][23]
  • Mitglied der Hessischen Cybersicherheitsplattform HCSP[24]
  • Beiratsmitglied im Digital Research Centre Denmark DIREC[25]
  • Mitglied der Enquete-Kommission "Frieden und Sicherheit in Europa - Gefahren erkennen, eindämmen und entgegnen" der CDU/CSU-Fraktion im Deutschen Bundestag[26]
  • Sachverständige bei öffentlicher Anhörung des Innenausschusses des Bundestags zum Thema NIS-2 (11/2024)[27]; Stellungnahme

Forschungsschwerpunkte

Haya Schulmanns Forschung befasst sich mit praktischen Anwendungen der Cybersicherheit, mit besonderem Schwerpunkt auf Netzwerksicherheit, Softwaresicherheit, Routingsicherheit, kryptografischen Protokollen, KI-Sicherheit und dem Einsatz von KI in Sicherheitslösungen. Sie hat über 120 begutachtete Artikel in führenden internationalen Konferenzen und Fachzeitschriften veröffentlicht[28] und Dutzende kritischer Schwachstellen identifiziert und offengelegt, die weitverbreitete Systeme und kritische Infrastrukturen betreffen.[29][30][31] Ihre Erkenntnisse finden regelmäßig Beachtung in den Medien, darunter Golem, Heise und The Register.

Ihr Einfluss reicht weit über die akademische Welt hinaus. Sie prägt die öffentliche und politische Debatte, beispielsweise durch regelmäßige Beiträge in der Frankfurter Allgemeinen Zeitung (FAZ), wo ihre Artikel[32][33] die nationale Debatte über aktive Cyberabwehr[34], Cybernation Deutschland[35] und digitale Souveränität geprägt haben. Sie hält Vorträge auf großen Konferenzen, berät Ministerien und politische Parteien und sagt als Sachverständige vor parlamentarischen Ausschüssen auf Bundes- und Landesebene aus.[36] Außerdem erläutert sie Cybervorfälle in Medieninterviews, nimmt an Forschungspodcasts teil und liefert Expertenanalysen zu Cyberangriffen, Schwachstellen und politischen Entwicklungen.

Zusätzlich zu ihren Forschungsarbeiten hat Haya Schulmann gemeinsam mit ihrem Team mehrere Sicherheitslücken gefunden, die als offizielle Common Vulnerabilities and Exposures (CVE) registriert wurden. Einige dieser Schwachstellen sind nach dem CVSS Standard als "kritisch" eingestuft, also in den höchsten Schweregrad. Die Schwachstellen betreffen u. a. Router-Firmware, Routing-Sicherheit mit Resource Public Key Infrastructure (RPKI), das Domain Name System (DNS) und sowie Domain Name System Security Extensions (DNSSEC). Die betroffenen Hersteller haben daraufhin Patches entwickelt und veröffentlicht. Seit 2021 haben Schulmann und Team rund 40 Schwachstellen gemeldet.[37][38][39][40]

Auszeichnungen

  • 2008 Präsidiales Graduiertenstipendium für hervorragende Doktoranden der Bar-Ilan-Universität in Israel
  • 2011 CPIIS Award, Check Point Institute for Information Security[41]
  • 2012 Best Paper Award der International Conference on Availability, Reliability and Security (ARES)
  • 2013 ICANN Research Fellow[42]
  • 2013 Feder Foundation Award für Forschung in der Kommunikationstechnologie[42]
  • 2014 ICANN Research Fellow[42]
  • 2014 IETF/IRTF Applied Networking Research Prize für eine Forschungsarbeit über Schwachstellen in Verschlüsselungsvorschlägen für DNS.[43]
  • 2014 Bar-Ilan University Rector Award für bedeutende Leistungen in der Forschung[42]
  • 2014 CPIIS Award, Check Point Institute for Information Security[42]
  • 2015 Fraunhofer-Gesellschaft TALENTA Excellence Award für Frauen in der Forschung
  • 2015 Microsoft Azure Research Award
  • 2015 IETF/IRTF Applied Networking Research Award[44]
  • 2017 Präsentation vor der deutschen Bundeskanzlerin Angela Merkel von Schwachstellen in deutschen Netzwerken, durch die E-Mails abgefangen werden können[45]
  • 2017 Microsoft Azure Research Award
  • 2018 Cisco Research Center Award
  • 2018 Nominierung für Best Paper Award beim CCS 2018 der Forschungsarbeit „Off-Path Attacks Against PKI“, an der sie mitgeschrieben hat. Daraufhin Einladung zur Vorstellung bei Black Hat Europe
  • 2021 8. Deutscher IT-Sicherheitspreis der Horst Görtz Stiftung für Cache Test[46]
  • 2022: LOEWE-Spitzenprofessur
  • 2024: Distinguished Paper Award CCS (Elias Heftrig, Haya Schulmann, Niklas Vogel, and Michael Waidner. The Harder You Try, The Harder You Fail: The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNSSEC. In CCS ’24: Proceedings of the 2024 ACM SIGSAC Conference on Computer and Communications Security, USA, 2024)[47]

Veröffentlichungen (Auswahl)

Beiträge in Anthologien

  • Haya Shulman. Implications of Vulnerable Internet Infrastructure. In: Claudia Linnhoff-Popien, Ralf Schneider, Michael Zaddach (Hrsg.): Digital Marketplaces Unleashed, Springer Gabler, Berlin 2017, S. 921 ff.
  • Haya Shulman, Michael Waidner: One Key to Sign Them All Considered Vulnerable: Evaluation of DNSSEC in the Internet. In: Aditya Akella, Jon Howell (Hrsg.): 14th USENIX Symposium on Networked Systems Design and Implementation, NSDI 2017, Boston, MA, USA, March 27–29, 2017. USENIX Association 2017, ISBN 978-1-931971-37-9, S. 131–144. (E-Print)
  • Markus Brandt, Tianxiang Dai, Amit Klein, Haya Shulman, Michael Waidner: Domain Validation++ For MitM-Resilient PKI. In: David Lie, Mohammad Mannan, Michael Backes, XiaoFeng Wang: Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security, CCS 2018, Toronto, ON, Canada, October 15-19, 2018. ACM 2018, ISBN 978-1-4503-5693-0, S. 2060–2076. (E-Print).
  • Matthias Gohring, Haya Shulman, Michael Waidner: Path MTU Discovery Considered Harmful. In: 38th IEEE International Conference on Distributed Computing Systems, ICDCS 2018, Vienna, Austria, July 2-6, 2018. IEEE Computer Society 2018, ISBN 978-1-5386-6871-9, S. 866–874. (E-Print)
  • Anders Dalskov, Claudio Orlandi, Marcel Keller, Kris Shrishak, Haya Shulman: Securing DNSSEC Keys via Threshold ECDSA From Generic MPC. In: Javier Lopez, Jianying Zhou, Miguel Soriano (Hrsg.): Computer Security: 23rd European Symposium on Research in Computer Security, ESORICS 2018, Barcelona, Spain, September 3-7, 2018, Proceedings, Part I. Springer, Cham 2020, ISBN 978-3-319-99072-9, S. 654–673. (E-print).
  • Tomas Hlavacek, Italo Cunha, Yossi Gilad, Amir Herzberg, Ethan Katz-Bassett, Michael Schapira, Haya Shulman: DISCO: Sidestepping RPKI’s Deployment Barriers. In: 27th Annual Network and Distributed System Security Symposium, NDSS 2020, San Diego, California, USA, February 23-26, 2020. The Internet Society, 2020, ISBN 1-891562-61-4. (E-Print).
  • Markus Brandt, Haya Shulman, Michael Waidner: Internet As a Source of Randomness. In: F. Kiefer, D. Loebenberger (Hrsg.): Crypto Day Matters 30. Bonn, Gesellschaft für Informatik e.V. / FG KRYPTO. (E-Print)

Beiträge in Zeitschriften

  • Yuval Elovici, Michael Fire, Amir Herzberg, Haya Shulman: Ethical Considerations when Employing Fake Identities in OSN for Research. In: Journal of Science and Engineering Ethics (JSEE). 2014.
  • Yossi Gilad, Amir Herzberg, Haya Shulman: Off-Path Hacking: The Illusion of Challenge-Response Authentication. In: IEEE Security & Privacy. 2014.
  • Haya Shulman, Michael Waidner: DNSSEC for Cyber Forensics. In: EURASIP Journal on Information Security. Band 2014, Nr. 1, 2014, S. 1–14.
  • Amir Herzberg, Haya Shulman: Cipher-Suite Negotiation for DNSSEC: Hop-by-hop or end-to-end? In: Internet Computing, IEEE. Band 19, Nr. 1, 2015, S. 80–84.
  • Thomas Hlavacek, Amir Herzberg, Haya Shulman, Michael Waidner: Practical Experience: Methodologies for Measuring Route Origin Validation. In: 2018 48th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN). Luxemburg, 2018, S. 634–641, DOI:10.1109/DSN.2018.00070.
  • Philipp Jeitner und Haya Shulman: Injection Attacks Reloaded: Tunnelling Malicious Payloads over DNS. In: 30th USENIX Security Symposium (USENIX sec), Virtuelle Konferenz, 2021[48]
  • Krish Shrishak und Haya Shulman: Privacy Preserving and Resilient RPKI. In: IEEE International Conference on Computer Communications (INFOCOM), Virtual Conference, 2021.
  • Anders Dalskov, Marcel Keller, Claudio Orlandi, Kris Shrishak and Haya Shulman: Securing DNSSEC Keys via Threshold ECDSA from Generic MPC. In: European Symposium on Research in Computer Security (ESORICS), Vereinigtes Königreich, Guilford, September 2021.
  • Tomas Hlavacek, Italo Cunha, Yossi Gilad, Amir Herzberg, Ethan Katz-Bassett, Michael Schapira, Haya Shulman: DISCO: Sidestepping RPKI's Deployment Barriers. In: Network and Distributed Systems Security (NDSS), San Diego, CA, USA, Februar 2020[49]
  • Markus Brandt, Michael Waidner und Haya Shulman: Internet As A Source Of Randomness. In: 17th Workshop on Hot Topics in Networks (HotNets 2018), Redmond WA, USA, November 2018
  • Markus Brandt, Tianxiang Dai, Amit Klein, Haya Shulman und Michael Waidner: Domain Validation ++ for MitM-Resilient PKI. In: ACM SIGSAG Conference on Computer and Communications Security (ACM CCS), Toronto, Canada, October 2018
  • Tomas Hlavacek, Amir Herzberg, Haya Shulman und Michael Waidner: IEEE/IFIP International Conference on Dependable Systems and Networks (IEEE DSN), Luxembourg, June 2018
  • Haya Shulman and Michael Waidner: One Key to Sign Them All Considered Vulnerable: Evaluation of DNSSEC in Signed Domains. In: The 14th USENIX Symposium on Networked SystemsDesign and Implementation (NSDI), Boston, MA, USA, March 2017.[50]

Einzelnachweise

  1. Handelsregisterauszug von CyberBurg-GmbH aus Seeheim-Jugenheim (HRB 95504). Abgerufen am 13. August 2020.
  2. Miriam Hollstein, Lukas Wilhelm: Antisemitismus: Vorwurf gegen den Hessischen Rundfunk: „Das war erniedrigend“. In: stern.de. 29. Januar 2025, abgerufen am 23. Februar 2025.
  3. LOEWE-Spitzen-Professur in Frankfurt für Cyber-Expertin Dr. Haya Shulman. In: sit.fraunhofer.de. 4. Februar 2022, abgerufen am 29. Januar 2025.
  4. ATHENE-Forschungsbereich ABC. Abgerufen am 4. November 2025.
  5. ATHENE-Forschungsbereich Energy. Abgerufen am 4. November 2025.
  6. ATHENE-Forschungsbereich Science Shield. Abgerufen am 4. November 2025.
  7. ATHENE-Gremien: Board – Repräsentanten. In: athene-center.de. Abgerufen am 18. September 2020.
  8. Haya Shulman: Dr. Haya Shulman. In: hayashulman.io. Ehemals im Original (nicht mehr online verfügbar); abgerufen am 16. September 2020.@1@2Vorlage:Toter Link/hayashulman.io (Seite nicht mehr abrufbar. Suche in Webarchiven)
  9. CANS 2020 – Call for PapersThe 19th International Conference on Cryptology and Network Security. (PDF) In: cans2020.at. Austrian Institute of Technology, abgerufen am 13. August 2020 (englisch).
  10. 30th USENIX Security Symposium. Abgerufen am 7. April 2021.
  11. ACM COMPUTING SURVEYS Home. Abgerufen am 4. November 2025 (englisch).
  12. ACM TRANSACTIONS ON PRIVACY AND SECURITY Home. Abgerufen am 4. November 2025 (englisch).
  13. ATHENE-Wissenschaftlerin ist Program Chair der CANS 2020. Abgerufen am 4. November 2025 (deutsch).
  14. Computer Security – ESORICS 2021. In: Lecture Notes in Computer Science. 2021, ISSN 0302-9743, doi:10.1007/978-3-030-88418-5 (springer.com [abgerufen am 4. November 2025]).
  15. ARES | Committee. Abgerufen am 4. November 2025.
  16. ACM CODASPY 2024. Abgerufen am 4. November 2025.
  17. ACM CODASPY 2025. Abgerufen am 4. November 2025.
  18. ACM CODASPY 2026. Abgerufen am 4. November 2025.
  19. Aufsichtsrat und Beraterkreis. Archiviert vom Original am 12. Juli 2025; abgerufen am 4. November 2025.
  20. Wirtschaftsausschuss: Sachverständigenanhörung zum Thema "IT-Sicherheit in der bayerischen Wirtschaft" | Bayerischer Landtag. Abgerufen am 18. Dezember 2025.
  21. Innovatives Landesgraduiertenzentrum für angewandte KI in Heilbronn. 16. Mai 2025, abgerufen am 26. November 2025.
  22. #lgz #künstlicheintelligenz #wissenschaftbw #heilbronn #promotionsförderung #innovation #ki #graduiertenzentrum #beirat #mwk | Ministerium für Wissenschaft, Forschung und Kunst Baden-Württemberg. Abgerufen am 26. November 2025.
  23. 𝗛𝗲𝗶𝗹𝗯𝗿𝗼𝗻𝗻 | 𝗖𝗼𝗻𝗻𝗔𝗜𝘅 – 𝗟𝗮𝗻𝗱𝗲𝘀𝗴𝗿𝗮𝗱𝘂𝗶𝗲𝗿𝘁𝗲𝗻𝘇𝗲𝗻𝘁𝗿𝘂𝗺 𝗳ü𝗿 𝗮𝗻𝗴𝗲𝘄𝗮𝗻𝗱𝘁𝗲 𝗞𝗜 Als Vorsitzende des Wissenschaftlich-Strategischen Beirats des… | Haya Schulmann. Abgerufen am 17. Dezember 2025.
  24. Plattform vernetzt Akteure für digitale Resilienz. 21. November 2025, abgerufen am 26. November 2025.
  25. Next Generation Cybersecurity. In: DIREC. Abgerufen am 26. November 2025 (amerikanisches Englisch).
  26. https://www.cducsu.de/sites/default/files/2025-01/FE.FSE-Abschlussbericht%20%282025-01-24%29.pdf
  27. Deutscher Bundestag - Expertenkritik an geplanter Umsetzung der NIS-2-Richtlinie. Abgerufen am 26. November 2025.
  28. Haya Schulmann. Abgerufen am 4. November 2025.
  29. CURE. Abgerufen am 4. November 2025 (deutsch).
  30. Key Trap. Abgerufen am 4. November 2025 (deutsch).
  31. Stalloris. Abgerufen am 4. November 2025 (deutsch).
  32. Wie wir digital zur Weltspitze gehören können. 9. März 2025, abgerufen am 4. November 2025.
  33. Deutschland am KI-Wendepunkt. 31. August 2025, abgerufen am 4. November 2025.
  34. Cybersicherheit: Der Weg zur aktiven Cyberabwehr. 25. April 2022, abgerufen am 4. November 2025.
  35. Wie Deutschland zur Cybernation wird. 2. April 2023, abgerufen am 4. November 2025.
  36. Deutscher Bundestag - Anhörung zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Abgerufen am 4. November 2025.
  37. NVD - CVE-2022-33992. Abgerufen am 28. November 2025.
  38. Acknowledgement for reporting the issue. 28. November 2025, abgerufen am 28. November 2025 (englisch).
  39. NVD - cve-2024-45237. Abgerufen am 28. November 2025.
  40. NVD - CVE-2025-0638. Abgerufen am 28. November 2025.
  41. Ankündigung für einen Talk zur Troopers-Konferenz 2014 Haya Shulman: The Illusion of Challenge-Response Authentication. In: troopers.de. ERNW Insight, abgerufen am 24. August 2020 (englisch).
  42. a b c d e Talk-Ankündigung für den 4. Januar 2015 ceClub: Pretty Bad Privacy. Pitfalls of DNS Encryption. In: cs.technion.ac.il. Technion – Israel Institute of Technology, abgerufen am 24. August 2020 (englisch).
  43. Applied Networking Research Prize. Abgerufen am 7. April 2021.
  44. Applied Networking Research Prize – Past Prize Winners. In: irtf.org. Internet Research Task Force, abgerufen am 18. September 2020 (englisch).
  45. In Datennetze einbrechen. bundesregierung.de, 9. Mai 2017, abgerufen am 7. April 2021.
  46. Cybersicherheit mit weltweiter Strahlwirkung – 8. IT-Sicherheitspreis für drei Top-Innovationen. In: idw-online.de. Informationsdienst Wissenschaft e.V., 11. Februar 2021, abgerufen am 12. Februar 2021.
  47. ACM CCS 2024. Abgerufen am 26. November 2025.
  48. Publications. Abgerufen am 7. April 2021.
  49. DISCO: Sidestepping RPKI's Deployment Barriers. Abgerufen am 7. April 2021.
  50. One Key to Sign Them All Considered Vulnerable: Evaluation of DNSSEC in the Internet. Abgerufen am 7. April 2021.
Dieser Artikel wurde von Wikipedia herausgegeben. Der Text ist unter Creative Commons Attribution-Share Alike 4.0 verfügbar, sofern nicht anders angegeben. Für die Mediendateien können zusätzliche Bedingungen gelten.