10. Okt 2023
|
Business
Unternehmen müssen damit beginnen, vertrauenswürdige Cyberresilienz zu etablieren
Journalist: Katja Deutsch
|
Foto: Pixabay/pexels
Die Digitalisierung der Welt schreitet in Riesenschritten voran. Mehr denn je müssen wir daher Angriffe auf unsere IT nicht nur bestmöglich verhindern, sondern die, die erfolgreich sind, auch frühzeitig erkennen, um darauf reagieren zu können. Alle dafür erforderlichen Maßnahmen dürfen ihrerseits nicht von Angriffen unterwandert werden können. Die Etablierung einer solchen „vertrauenswürdigen Cyberresilienz“ geht deshalb deutlich über den Zero-Trust-Ansatz hinaus.
Prof. Dr. Claudia Eckert, geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in Garching b. München spricht im Interview über die Notwendigkeit von vertrauenswürdiger Cyberresilienz.
.jpg)
Was versteht man genau unter vertrauenswürdiger Cyberresilienz?
Vertrauenswürdige Cyberresilienz heißt, dass ein System trotz eines Angriffes widerstandsfähig bleibt, seine Funktionalität behält und schnell wieder funktionsfähig wird. Die dafür notwendigen Maßnahmen müssen bereits vorab sicher in die Systeme integriert sein, so dass man den Maßnahmen vertraut, z. B. dem Einspielen eines Backups oder der Segmentierung von Unternehmensbereichen.
Wie kann man als Unternehmen tatsächlich resilient gegen Hacker-Angriffe werden?
Jahrelang hat man versucht, nur auf Abwehr zu setzen und dafür die Mauer gegen Eindringlinge immer höher zu bauen. Doch Angriffstechniken entwickeln sich rasant weiter. So werden ständig neue Angriffe konzipiert oder die vermeintlich geschützten Systeme werden geändert und damit verwundbar. Fehlendes Sicherheitsbewusstsein von Mitarbeitenden ist ein weiteres Problem. Deshalb muss die Kontrolle immer wieder an mehreren Stellen und wiederholt auch ‚in der Tiefe‘ des Systems stattfinden („Zero-Trust-Paradigma“).
Woran kann ich erkennen, dass ich es (selbst per Videotelefonie) mit einem Bot zu tun habe?
Man kann versuchen, diese „Deepfakes“ mit ihren eigenen Waffen zu schlagen, also KI gegen KI einsetzen.
Das funktioniert jedoch alles in der Praxis noch nicht zuverlässig. Im Trainingsumfeld mit sehr guten Rahmenbedingungen lässt sich eine KI jedoch gut darauf trainieren, auf entsprechende Merkmale von Deepfakes zu achten. Auf der Webseite des Fraunhofer AISEC „DeepFake Total (https://deepfake-total.com/)“ kann man Videoschnipsel und Audioclips von einer KI auf Echtheit analysieren lassen.
Bietet die KI gleichzeitig auch neue Chancen der Abwehr?
Generell kann generative KI auch Chancen bieten, die Sicherheit zu erhöhen, wenn man sie so einsetzt, dass sie keine Entscheidungen trifft, sondern als eine Assistenz für den Nutzenden verwendet wird.
KI könnte hier kleineren Unternehmen Hilfestellung leisten, denn diese haben nicht das Fachpersonal, um ihre eigene IT-Architektur cyberresilient zu konfigurieren und viele tausend Regularien einzuhalten.
Wichtig zur Qualitätssicherung der Datenlage und auch für die Prüfung der von den KI-Systemen empfohlenen Handlungen ist ein sehr intensiver Anlernprozess.
Welche Zusammenarbeit kann man mit Behörden (und anderen Organisationen) eingehen, um sich und sein Unternehmen gut zu schützen?
Das Bundesamt für Sicherheit und Informationstechnik (BSI) ist hier ein guter Ansprechpartner, der Netzwerke koordiniert und die Cybersicherheitsallianz gegründet hat. Neutrale Organisationen, die keine Produkte vermarkten, sondern neutral beraten, können helfen, Sicherheitsauflagen individuell, angemessen und auditierbar umzusetzen. Das Fraunhofer AISEC ist eine solche Organisation. Beispielsweise führen wir automatisierte Risikoanalysen durch, entwickeln dann Konzepte, um die Risiken zu minimieren und begleiten bei deren Umsetzung.
Warum ist angewandte Cybersicherheitsforschung so wichtig? Wie profitieren Unternehmen konkret?
Als angewandte Forschende müssen wir uns ständig auf neue Entwicklungen vorbereiten, wie z. B. generative KI, Quantencomputing oder vertrauenswürdige Cyberresilienz: Dabei haben wir immer die Bedürfnisse der Unternehmen und den Transfer unserer Ergebnisse in die Wirtschaft vor Augen. Unser Ziel ist es, zu unterstützen, um die Sicherheit in Unternehmen und der öffentlichen Verwaltung zu erhöhen. Wir fragen uns, welche neuen Abwehrmaßnahmen müssen wir entwickeln, um resilienter zu werden? Wie stelle ich deren Vertrauenswürdigkeit auch über lange Systemlebenszeiten sicher?
Was wird die Cyber Security im nächsten Jahr beschäftigen?
Wohin entwickelt sich die generative KI? Und gleichzeitig: Wie gehen wir damit um, dass voraussichtlich ab den 2030er Jahren Quantencomputer einer solchen Qualität existieren werden, dass sämtliche unserer heutigen Verschlüsselungsmaßnahmen, nutzlos werden? Wir müssen jetzt damit beginnen, Verschlüsselungsverfahren zu entwickeln und in unsere IT-Systeme und Produkte zu verbauen, die auch dann stark genug sind, wenn es Quantencomputer gibt. Auch Falschmeldungen und Lügen werden noch häufiger und schneller in Form von Cyberangriffen Verbreitung finden.
