Krieg der Algorithmen
Im Umfeld der Münchner Sicherheitskonferenz wurde viel über die IT-Sicherheit rund um Digitalisierung und IoT diskutiert. Experten schlossen nicht aus, dass es – auch mittels künstlicher Intelligenz – zu einem „Krieg der Algorithmen“kommen könne.
Auf der Münchner Sicherheitskonferenz schlossen Experten nicht aus, dass es – auch aufgrund neuer Möglichkeiten durch künstliche Intelligenz – zu einem Krieg der Algorithmen kommen könne.
Ein Patentrezept, wie im Zeitalter von Digitalisierung und IoT Cyber-Sicherheit gewährleistet werden kann, hatten die Teilnehmer der Munich Cyber Security Conference 2018 (MCSC) nicht im Gepäck. Geradezu fatalistisch klang das Bekenntnis von Jeff Moss, Gründer und CEO der Defcon – einer der weltweit größten Hacker-Konferenzen: „In diesen Zeiten kann sich kein Konzern sicher fühlen.“Deshalb sei unter Umständen nicht die Abwehr möglicher Angreifer entscheidend, sondern die Frage, wie ein Unternehmen seinen Betrieb nach einem Angriff sicherstellen könne. „Wenn wir die Cyber-Angreifer nicht draußen halten können“, so Moss, „dann sollten wir uns überlegen, wie wir den Dreck wegräumen, den sie hinterlassen.“
Security als Wettbewerbsvorteil
Im Zusammenhang mit der wachsenden Gefahr durch Cyber-Kriminelle appellierte Julian King, EU-Kommissar für die Sicherheitsunion, dass die Industrie endlich ihre Rolle überdenken solle. Jeder Anbieter müsse auch als Security-Provider auftreten. Die Hersteller, so King weiter, sollten Security nicht lediglich als Kostenfaktor betrachten, sondern als Wettbewerbsvorteil wahrnehmen und sich auf Standards für ihre Produkte einigen. Vor dem Hintergrund, dass bereits 34 Prozent der EU-Bürger Opfer von Cyber-Angriffen wurden, habe die IT-Industrie die Pflicht, Sicherheit zu einem Bestandteil ihrer Business-Strategie zu machen, damit „Sicherheitslöcher wie DefaultPasswords der Vergangenheit angehören“.
Die Praxis mancher Anbieter, bei billigen Produkten wie Sensoren einfach die Sicherheitsvorkehrungen aus Kostengründen einzusparen, kritisierte auch Luis Jorge Romero, Generaldirektor des European Telecommunications Standards Institute (ETSI). „Wie soll es Smart Cities ohne Embedded Security geben?“, fragte Romero und warnte, dass offene Sicherheitsfragen die Ausbreitung des IoT und die damit verknüpften Verbesserungen im täglichen Leben stoppen könnten. Auch er sieht die Industrie in der Pflicht, sich auf Standards zu einigen, um die Kosten für die Sicherheit zu senken. Der Rest sei dann eine Frage des Business-Modells.
Claudia Nemat, Vorstandsmitglied der Deutschen Telekom, appellierte ebenfalls an die Softwareindustrie: Sie müsse „die gleiche Verantwortung für die IT-Sicherheit übernehmen wie Infrastrukturanbieter“. Es könne nicht angehen, so Nemat, dass ein ganzer Industriezweig nicht für die Sicherheit seiner Produkte einstehen wolle. Doch Nemat nahm nicht nur die Softwareanbieter in die Pflicht, sie kritisierte auch die Sorglosigkeit der Verbraucher. Hier müsse der Staat eingreifen und an den Schulen endlich ein Pflichtfach zur digitalen Kompetenz einführen.
Die Verantwortung jedes Einzelnen sprach auch Arne Schönbohm an, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Eine 100-prozentige Sicherheit könne es im Informationszeitalter nicht geben, so der BSI-Chef. Letztlich sei jeder selbst verantwortlich, „denn der Glaube an kostenlose Apps ist genauso eine Illusion wie der Glaube an ein kostenloses Mittagessen. Am Ende bezahlt der User mit seinen Daten.“In diesem Zusammenhang unterstrichen Mitdiskutanten wie Ralf Wintergerst, CEO bei Giesecke & Devrient, die Bedeutung der digitalen Identität. So sollten sich die Consumer langsam mit dem Gedanken anfreunden, dass sie auch im privaten Umfeld eine Art IdentityManagement betreiben müssen.
Sicherheit für die gesamte Fabrik
Dass mit dem Internet of Things (IoT) noch einmal ganz andere Bedrohungsszenarien auftauchen, machte Henning Rudolf deutlich, Global Head of Industrial Security Services bei Siemens: „Im Falle eines Einbruchs werden innerhalb einer Minute Zigtausende Systeme infiziert, darauf sind viele Unternehmen nicht vorbereitet.“Das beginne bei der Frage nach der Verantwortlichkeit und reiche bis zu Aspekten wie Updates für Maschinen, „denn diese haben einen längeren Lebenszyklus als ein Smartphone, was einen Support über einen langen Zeitraum bedeutet“. Alpha Barry, Head of Strategy bei ThyssenKrupp, wies darauf hin, dass diese Bedrohungsszenarien durch IoT etwas Neues sind: „Bisher hatte ich keine Datenverbindung in die Fabrik, mit IoT ist nun die gesamte Fertigung vernetzt.“Damit habe ein IT-Verantwortlicher heute im IoT-Umfeld einer mittelgroßen Fabrik genauso viele Devices abzusichern wie früher im gesamten Enterprise Network. „Allerdings mit dem Unterschied, dass das Budget für IT-Security nicht um das Zehnfache gestiegen ist“, beschreibt Barry das Dilemma.
Warnung vor Gegenattacken
In der Frage, wie auf Bedrohungen und mögliche Angriffe reagiert werden solle, nahmen die Redner kein Blatt vor den Mund. Es sei entscheidend, dass Russland und China Hacker und Cracker konsequenter verfolgten und bestraften. Einigkeit herrschte auch darüber, dass Unternehmen schlecht beraten seien, wenn sie auf Cyber-Angriffe mit Gegenangriffen reagierten. In solchen Konflikten gebe es keine symmetrischen Antworten.
Aus Sicht von Defcon-Chef Moss ist hier keine Chancengleichheit gegeben: „Die Angreifer sind in der Regel gut finanziert und verfügen über 100 bis 200 Millionen Dollar Budget, während die Konzerne im Schnitt nur 50 bis 60 Millionen haben – da ist ein Gegenangriff keine gute Idee.“Ob KI-Methoden den Unternehmen bei der Abwehr helfen können, ist umstritten. Während für Eugene Kaspersky, Chairman und CEO von Kaspersky Lab, die Diskussion um KI-gestützte Security-Software aus heutiger Sicht „nur Marketing-Bullshit“ist, kann sich Moss selbstlernende Software für das Abwehren von Angriffen durchaus vorstellen. Allerdings gebe es dabei einen Pferdefuß: Auch die Angreifer könnten sich dieser Technik bedienen. Moss warnte denn auch: „Ich halte einen Krieg der Algorithmen in naher Zukunft durchaus für wahrscheinlich.“