KI verändert, wie wir Cybersicherheit denken

00:00:00: Dieser Inhalt wurde von der Presse in redaktioneller Unabhängigkeit gestaltet.

00:00:04: Er ist mit finanzieller Unterstützung unseres Kooperationspartners entstanden.

00:00:08: In einer Zeit, in der kritische Infrastrukturen digital vernetzt sind,

00:00:17: künstliche Intelligenz in immer mehr Systeme integriert wird

00:00:21: und geopolitische Spannungen auch im Cyberraum ausgetragen werden,

00:00:25: ist Cyber-Sicherheit längst kein technisches Randthema mehr.

00:00:29: Daher veranstaltet die Presse die Cybersecurity-Schwerpunktwoche.

00:00:33: In der wichtigen Entwicklungen und Fragen rund um das Thema Cyber-Sicherheit diskutiert werden.

00:00:38: Alle Beiträge dazu finden Sie unter dpresse.com/cybersecurity.

00:00:44: Im folgenden Experten-Talk spricht Eva Komarek mit Helmut Leopold,

00:00:49: Leiter des Centers for Digital Safety and Security,

00:00:52: beim Austrian Institute of Technology, AIT,

00:00:55: Österreichs größte außeruniversitäre Forschungseinrichtung.

00:01:00: Helmut Leopold, in unserer zunehmend digitalisierten Welt

00:01:04: ist ja auch die Anzahl und die Art von Cyberangriffen rasant gestiegen.

00:01:08: Was bedeutet denn Digitalisierung und vor allem Cyber-Sicherheit heute für ein Unternehmen?

00:01:13: Ich glaube, wir müssen uns jetzt vergegenwärtigen,

00:01:16: dass wir mit der IT, vor allem industrialisierten Kontext für die Unternehmen,

00:01:21: für die produzierenden Unternehmen, für Betreiber von Infrastrukturen,

00:01:25: dass wir die gesamte IT, wie wir sie betreiben, schon neu betrachten müssen.

00:01:30: Im Wesentlichen haben wir das Problem,

00:01:33: dass wir heute noch die IT haben, wie wir sie vor 20 oder wie ich studiere,

00:01:38: vor 30 Jahren gelernt haben.

00:01:40: Wir nehmen Computer, vernetzen sie und senden Daten anher.

00:01:43: Die umfassende Digitalisierung, die gerade vor sich geht,

00:01:47: bedeutet im Wesentlichen, dass jedes Ding, jedes Objekt, jeder Robot,

00:01:51: jede Maschine bis hin zu Spielzeugen

00:01:54: mit Software versehen wird und dass wir die alle übers Internet vernetzen.

00:01:58: Also plötzlich sind 8 Milliarden Menschen in der Welt

00:02:02: prinzipiell technisch in der Lage, auf unsere Systeme zugreifen zu können.

00:02:06: Und das verändert das Bedrohungspotenzial grundlegend und massiv.

00:02:11: Und wie hat sich denn das Angriffsszenario jetzt schon verändert?

00:02:15: Zum einen ist es wichtig zu verstehen,

00:02:18: wenn wir von Software sprechen, das Software, so hat wir ein Naturgesetz.

00:02:24: Software kann ganz schwer geschrieben werden,

00:02:26: ohne dass nicht immer Fehler drinnen sind.

00:02:30: Die Experten sprechen hier von Vulnerabilities.

00:02:32: Vor allem, wenn man jetzt einfach rasch, sagen wir mal billige Software schreibt,

00:02:38: nimmt man nicht zusammen acht, baut es einfach, testet es funktionell,

00:02:42: aber das Testen auf Cyber-Sicherheitslücken bis noch nicht

00:02:47: im gesamten Mars in unserem System enthalten, weltweit nicht.

00:02:50: Deshalb habe ich immer mehr, wenn ich immer mehr Software einsetze,

00:02:54: immer mehr Fehler in diesen Systemen.

00:02:56: Andererseits auf der Angreifer-Seite gibt es jetzt immer mehr Motivation.

00:03:00: Durch die große Vernetzung kann ich von überall her auf der Welt

00:03:03: sehr einfach auf unsere Systeme zugreifen und diese Fehler ausnützen.

00:03:07: Hier muss man auch verstehen, das hat sich massiv verändert,

00:03:10: dass auch die Angreifer-Seite sich höchst professionell organisiert

00:03:15: und Strukturen ändert, wie wir das Unternehmen machen.

00:03:18: Wir treffen hier, oder wir sehen, eine extrem arbeitsteilige Angriffsindustrie.

00:03:22: Also welche, die sich darauf spezialisieren, um unsere PCs mit Software zu verunreinigen,

00:03:28: die man gar nichts tun, die nur da sind, Fehler zu finden, Anleitungen zu schreiben.

00:03:33: Und als Angreifer kann ich dann ohne besonderes Wissen über Starknet,

00:03:38: also auf das Internet einfach infizierte PCs per Stückpreis kaufen,

00:03:42: Anleitungen kaufen und dann kann ich auf Systeme zugreifen.

00:03:47: Also es ist das Risiko für den Angreifer gering geworden,

00:03:50: da Aufwand, das braucht keine großen Investitionen

00:03:53: und vor allem braucht es kein besonderes Wissen mehr.

00:03:56: Also fast jeder kann das machen.

00:03:58: Und das ist schon bedrohtlich, wenn man nicht gleichzeitig auch

00:04:01: die Schutzmechanismen und die Verteidigungsmechanismen entsprechend ausbaut.

00:04:05: Und was kann jetzt zum Beispiel jedes Unternehmen machen, um sich darauf vorzubereiten?

00:04:11: Also ganz wichtig, da sind wir heute, würde ich jetzt hier den Begriff

00:04:15: der Cyber Hygiene einführen.

00:04:17: Das ist noch nicht ganz durchgedrungen.

00:04:19: Das sind Minimumverfahren, dass jedes Unternehmen, jede Unternehmer,

00:04:24: aber auch jeder Privat benutzt in seinem Kontext einfach als Standard,

00:04:29: wie wir es als Menschen eben mit unserer Hygiene auch machen, machen muss.

00:04:33: Das heißt, prinzipiell Minimalvorkämer treffen, einen Vierenskenner,

00:04:38: den es heute auch sollte, kein Geld mehr Thema, ein Bewusstseinsfrage,

00:04:41: den es gratis gibt, den man runterladen kann, aber muss ihn regelmäßig updaten.

00:04:46: Feierwohl sein, führen das nicht von überall her auf der Welt,

00:04:50: zu jeder Zeit auf meine IT, ob es ein PC oder ein Service zugriffen werden kann.

00:04:54: Gleich auch Privat oder wie ein Unternehmer, aber auch Bewusstseinschaffung als Benutzer,

00:05:00: dass sich ein Minimum an vernünftigen Verhalten.

00:05:03: Ich darf nicht auf jeden Link draufklicken.

00:05:06: Ich muss nicht auf jede Website gehen und dort was anklicken, weil ja,

00:05:11: die Angreifer an Mechanismus brauchen, um technisch in mein System zu kommen.

00:05:16: Und da gibt es ein paar wenige Angriffsmethoden.

00:05:18: Es sind E-Mails, es sind Links im Web oder es sind Geräte wie USB-Sticks.

00:05:23: Also recht einfache Dinge.

00:05:25: Wenn man das schon befolgt, kann man einen hohen Sicherheitsgrad für den üblichen Bereich mal erreichen.

00:05:31: Wenn man dann in den professionellen Bereich geht, wo dann auch der professionelle

00:05:34: potenzielle Angriefer, sie haben vorher auch globale Konflikte gesagt, große Unternehmen,

00:05:39: Wettbewerb im globalen Kontext, wo dann auch die Angreifer noch mehr Energie

00:05:45: und Aufwand und Geld hineinsetzen, bis hin zum Thema Terrorismus.

00:05:49: Dann müssen natürlich die nächste Ebene

00:05:52: von Verteidungsmechanismen, die noch aufwendiger werden, entsprechend installiert werden,

00:05:56: was aber dann auch mehr Kompetenz braucht, um diese Systeme zu betreiben.

00:05:59: Was wäre da so ein Next Level?

00:06:01: Also, Stichwort hier ist ganz klar auch Künstliche Intelligenz.

00:06:05: Wir sind heute noch im Zustand, dass wir versuchen, unsere Systeme zu verstehen,

00:06:11: wie wir sie gebaut haben.

00:06:12: Sie werden immer komplizierter.

00:06:14: Früher haben wir ein Gerät, eine Maschine, hat ein Ingenieur noch verstanden.

00:06:19: Wenn wir heute mit der komplizierten, dass wir noch kommen, Zulieferketten und mit dem Auto aussehen.

00:06:25: Und ich habe hier viele Teile im System und viele Betreiber, die zusammenarbeiten,

00:06:30: bis wir das gesamte Internet verwenden, dann, wenn wir in die Cloud gehen und so weiter,

00:06:34: verschwindet immer mehr das Verständnis.

00:06:36: Wie funktioniert das? Es wird immer schwieriger.

00:06:39: Das heißt, ich kann nicht einfach von vornherein sagen, ich schütze jetzt mein System

00:06:44: auf bekannte Betrohungen, auf bekannte Angriffsszenarien, was mal Stand der Technik sein sollte.

00:06:51: Muss immer davon ausgehen, es gibt etwas, das ich noch nicht kenne.

00:06:54: Und wie kann ich jetzt mein System da verschützen oder da mit besser schützen?

00:06:58: Dem ich zum Beispiel eine KI Ansätze, eine Künstliche Intelligenz, ein bisschen eine Software,

00:07:03: die mein IT-System beobachtet und einfach aus der Beobachtung heraus Stichwort Anomalin erkennt.

00:07:11: Ein komisches Verhalten der IT, wenn ein bestimmtes Server noch nie mitten in der Nacht

00:07:16: einen anderen Server kommuniziert hat, dann ist das komisch mal.

00:07:21: Und das kann sein Wohnen, eine Technik heute sehen, einen Alarm generieren

00:07:25: oder an dem IT-Benutzer sagen, du, da ist ein normales Verhalten in deinem System.

00:07:29: Schau mal drauf. Und so beginnen Maschinen auch, eine Überwachung vornehmen zu können,

00:07:35: ohne dass sie genau wissen, nach was sie schauen.

00:07:37: Und das ist erst die große Grundstimme, auch viel Forschung investiert wird,

00:07:41: wie wir normale Systemverhalten beschreiben können, verstehen können.

00:07:46: Und dann KI-Maschinen zu trainieren, die diese Maschinen dann beobachten.

00:07:50: Das Aufrüsten in Verteidigungsmaschinen, Stichwort Überkünstliche Intelligenze sicher eingehen.

00:07:56: Geburt der Stunde für die nächste Generation der Schutzes.

00:07:59: Es dreht sich ja gerade irgendwie alles um KI, das ist ja so das Megatrend-Thema, aber es

00:08:05: birgt ja natürlich auch gewisse Gefahren, also man hat ja auch das Gefühl, ich mein, jeder

00:08:10: nützt ja heute auch schon OpenAI. Was bedeutet es denn auch da jetzt eine KI, ich sage jetzt

00:08:15: mal vernünftig zu nutzen?

00:08:17: Naja, die Künstliche Intelligenz, wenn wir uns ein Schlagwort nehmen, bringt ja jetzt

00:08:21: eine zusätzliche Verstärkung des Bedrohungsszenarios, weil jetzt habe ich kurz angeführt, dass

00:08:27: eine KI mir helfen kann, mein System zu schützen, gleichzeitig, aber vor allem wenn wir jetzt

00:08:31: mal das Beispiel hat in dieser großen Sprachmodelle, die es draußen am Markt sind, wo man also beliebig

00:08:37: fragen kann und fantastischerweise kann in dieser KI dann alles Mögliche beantworten,

00:08:42: weil es einfach auf alle Texte, Anführungszeichen alle, aber sehr viele Texte dieser Welt, die

00:08:48: wir produziert haben, Zugriff hat, also große Bibliothek der Welt, kann ich jede Menge

00:08:53: von Antworten, die man schon mal geschrieben hat, einfach bekommen, das klingt mal faszinierend.

00:08:57: Hier muss man aber verstehen, dass beim Benutzen dieses Systeme die Daten, die Benutzertaten,

00:09:04: die Fragen, die ich stelle, auch in das System kommen, dass die KI lernt ja weiter. Das heißt,

00:09:09: wenn jetzt hier unbedacht was durch die Dynamik jetzt leicht passieren kann, das geht sehr

00:09:14: gut, geht sehr rasch und man denkt sich oft, na was hat denn das mit mir zu tun, mich sieht

00:09:19: man eh nicht, da muss man jetzt viel Bewusstseinarbeit noch leisten, weil das ist eine große Gefahr

00:09:25: ist. Ich kann natürlich als Angreifer auch hergehen und sagen, sagen wir KI bitte, wie

00:09:29: kann ich diese Maschine, diesen Betreiber, diesen Unternehmer, dieses Unternehmen am

00:09:35: besten angreifen, sondern wenn jetzt dann unbedacht Informationen über das Unternehmen

00:09:42: durch Fragestellungen der Mitarbeiter zum Beispiel, Mitarbeiterinnen in das KI-System

00:09:46: gelangt sind, bekomme ich plötzlich die Antwort, das gibt diese Schwachstellen, die haben

00:09:50: diese Systeme im Betrieb, am besten kannst du so angreifen. Das heißt, der Angreifer

00:09:55: verwendet die KI natürlich auch, um raschere, bessere Informationen zu bekommen und auch

00:10:00: Anleitungen, um einen Angriff durchzuführen. Wenn wir jetzt noch vielleicht ein bisschen

00:10:04: in die Zukunft schauen, wohin geht denn da die Entwicklung, was jetzt die Bedrohungslage

00:10:09: betrifft? Also ein ganz großes Problem, was jetzt immer mehr

00:10:13: von uns zukommen wird, was ich wahrscheinlich viel noch bewusst sein will, stichwort SupplyChain.

00:10:17: Das wird hier niemanden mehr geben, der einfach alles baut. Oder wenn nicht ein großes System

00:10:22: baut, das ist ein Auto, das ist das beste Beispiel, aber auch ein Smartphone, aber auch

00:10:26: eine Maschine von morgen Roboter, das werden hier viele einzelne Teile, mechanisch, elektrotechnisch,

00:10:33: Komponenten, softwaremäßig, Daten in einer langen Wertschöpfungskrete zusammengebaut.

00:10:38: Das beste Beispiel ist sicher in Automobil heute, wo wir von 0.000 Zuliefern sprechen

00:10:44: und Millionen einzuteilen. Die Zukunft wird jetzt herausfordernd sein. Wie kann ich

00:10:49: dieses SupplyChain wirklich absichern? Kann ich allen meinen Zulieferanten wirklich trauen?

00:10:57: Weil wenn ich ihm nicht traue oder wenn ich das schlecht aussuche, kann mir sehr leicht

00:11:02: die beliebige Backdoors eingebaut werden. Das kann jetzt mit einer KI schon kommen, die

00:11:07: sich vortrainiert wurde und bestimmte Dinge, das kann ich ganz schwer testen und bestimmte

00:11:13: Dinge zu verhindern oder doch zu tun. Wir können Software Teile sein, wo Software Teile Backdoors

00:11:20: eingebaut sind, wo ich von extern beliebig einsteigen kann. Das ist jetzt aber auch diskutieren,

00:11:26: weil sich die Technik ja auch verwendet als Bedrohung. Wenn jetzt hier jede Maschine,

00:11:31: eine Computer in der Fabrik oder als Privatperson unsere Anlagen auf den Techern, da habe ich

00:11:38: ja nicht mehr einen großen Betreiber. Also an jeder Kunde ist Betreiber seines kleinen

00:11:42: Systems. Wenn jetzt alle davon vom gleichen Hersteller mit einer Backdoor eine Funktion

00:11:47: betreiben, die ich von außen manipulieren kann, kann ich plötzlich wieder nicht nur

00:11:51: eine einzelne kleine Person, ein Unternehmen schaden, sondern plötzlich ganze Staaten davon

00:11:56: auch bedrohen. Damit wird es ein terroristisches Motiv. Natürlich wollen Staatinkonflikten

00:12:01: ein Problem. Also hier geht es darum, wie kann ich diese Zulieferkette so überprüfen und

00:12:07: kontrollieren, dass ich im Schluss ein Gesamtsystem habe, das sich sicher betreiben und dem Kunden

00:12:14: anbieten kann. Dafür braucht es neue Werkzeuge, dafür braucht es neue Mechanismen wieder,

00:12:19: wie ich von wem ich kaufe und ein Verständnis auch, vom Systemingenieur, von den Entwicklern.

00:12:25: Und das ist immer wieder bei der großen, die große Herausforderung ist in nächster Zeit bei

00:12:29: der Aus- und Weiterbildung. Für jeden beruflichen Bereich, der Entwickler, der Systemdesigner,

00:12:35: Systemhightech, der CISO, alle müssen viel mehr diese Probleme verstehen und wir müssen

00:12:40: hier kollektiv in Europa viel Aufwand betreiben, um hier den Wissenstand zu erheben, damit

00:12:45: wir am Schluss bessere Systeme haben, die wir auch sicherer betreiben können.

00:12:49: Vielleicht noch eine letzte Frage an den Blick in die Zukunft. Wie sieht denn Ihrer Meinung

00:12:53: nach jetzt die Cyber Security Landschaft im Jahr 2030 aus, also in fünf Jahren? Welche

00:12:58: Entwicklungen erwarten Sie und was macht Ihnen Hoffnung, um einmal positive Seite anzuschauen?

00:13:04: Also zwei große Aktivitäten sind notwendig, die wir jetzt gerade starten und was große

00:13:09: Aktivitäten gibt. Und bis 2030, das braucht seine Zeit lang, das eine ist ganz klar Bewusstsein,

00:13:16: einerseits bei allen, das was wir jetzt gesprochen haben, auch bei jedem Kunde und bei jeder Kundin,

00:13:23: als Teilnehmer im großen IT-System, als digitaler User, bis in die Schulstufe hinunter, Bewusstsein

00:13:29: zu schaffen, dass das Internet nicht aus der Steckdose kommt, sowie der Strom auch nicht

00:13:34: aus der Steckdose kommt. Wir haben auch als Kunden Verantwortung und damit gehen wir Anlass

00:13:40: mit der Technikum. Das muss passieren, damit spreche ich jetzt das Thema Grundbildung über

00:13:46: digitale Medien, über Daten, was das heißt im globalen Kontext, bis hin zur fachlichen

00:13:51: Außen-Weiterbildung, dass eben jeder Unternehmer, jeder Arbeit im Unternehmen ganz anders damit

00:13:57: umgeht, bis hin, dass wir Produkte besser bauen. Das ist da eine große Komplex. Und

00:14:03: der zweite ist, dass wir natürlich auch bisher zu wenig bedacht haben, dass Sicherheit eben

00:14:09: eine Rolle spielt. Wir haben das Internet als gegeben vorgefunden und immer irgendwie

00:14:14: nehmen. Es hat viel zu wenig Angebote gegeben. Aber mittlerweile sehe ich, und das wächst

00:14:19: auch im europäischen Raum, dass sehr viele junge Start-ups, Keimus, größere Unternehmen,

00:14:25: System-Integratoren Lösungen anbieten und auch Services anbieten, die uns helfen, diese

00:14:31: Komplexität zu beherrschen. Also es wird morgen sicher nicht so sein, dass jeder seine IT sinnvollerweise

00:14:38: selber in seinem Keller betreibt, dass wir zu kompliziert werden, macht doch keinen Sinn.

00:14:43: Aber es braucht kompetente, verantwortungsvolle Serviceanbieter, denen wir dann wieder vertrauen

00:14:48: können. Und jetzt sind diese ganzen Hypes da, von KI-Lösungen, von Angeboten. Das werden

00:14:55: wir dann auch beherrschen. Wir sind hier vielleicht ein bisschen am Anfang, wir hatten

00:15:00: eines Goldrausches, Phase 1, vor 20 Jahren mit dem Aufkommen des Internets und so weiter.

00:15:05: Jetzt tun die gerade die Daten verarbeiten. Hier müssen wir ach geben, dass wir wieder

00:15:10: zurück auf den Markt kommen, um im Schluss souverän zu bleiben. Die Kompetenzen haben

00:15:14: wir. Wenn wir da als Tierregulierung, Gesetze, Außenweiterbildung, Forschung und Industrie

00:15:21: zusammenführen und gemeinsam uns anstrengen, werden wir auch die nächste Welle der Digitalisierung

00:15:27: zu unserem Vorteil entsprechend gestalten können. Herr Leavold, vielen Dank für das Gespräch.

00:15:31: Dankeschön.

00:15:32: Das war ein Podcast zur Schwerpunktwoche Cyber Security, veranstaltet von der Presse

00:15:39: in Kooperation mit Fabersoft. Wir bedanken uns fürs Zuhören.

00:15:45: [Musik]