Zum Inhalt
HOME | 
© T-Systems Austria

„Es braucht sinn­volle Restrik­tion und Schulung“

Der Ein­fluss von KI auf All­tags­le­ben und immer mehr auch auf die Wirt­schaft ist enorm. Mar­tin Krum­pöck, CTO für Cyber Secu­rity bei T‑Systems Inter­na­tio­nal, erläu­tert Fra­gen zur betrieb­li­chen Sicher­heit beim Ein­satz von KI.

Eine neue Gene­ra­tion von KI-Anwen­dun­gen erwei­tert für Unter­neh­men die Ein­satz­mög­lich­kei­ten und das betrifft auch das Thema Cyber-Sicher­heit. KI ist bereits in vie­len Secu­rity-Tools ver­baut und erleich­tert das Iden­ti­fi­zie­ren von Angrif­fen und das Fin­den von Schwach­stel­len glei­cher­ma­ßen. Das ist aber erst der Anfang : IT-Mana­ger und letzt­lich Unter­neh­men müs­sen sich bewusst sein, dass der Ein­fluss von KI auf die Cyber-Secu­rity viel­fäl­ti­ger und tief­ge­hen­der ist. 

Eco­nomy : Wie sehen Sie die aktu­elle Ent­wick­lung von KI im unter­neh­me­ri­schen Bereich ?
Mar­tin Krum­böck : Durch ChatGPT ist das Thema jetzt in der Öffent­lich­keit weit­aus prä­sen­ter. Jede/​r hat eine Mei­nung dazu, KI ist prak­tisch greif­bar gewor­den. Immer mehr Unter­neh­men beken­nen sich zum Ein­satz und erwar­ten dadurch Wett­be­werbs­vor­teile am Markt. 

Wo beginnt die Schnitt­stelle zum Bereich Security ?
Intern läuft die Dis­kus­sion ent­lang von Com­pli­ance-Regu­la­rien, also etwa wel­che unter­neh­mens­ei­ge­nen Infor­ma­tio­nen und Daten soll und darf ich ver­wen­den, weil ich ein­fach nicht weiß, was damit in Folge pas­sie­ren wird. Damit sind wir schon bei klas­si­schen Sicher­heits­fra­gen, beim Thema Awa­re­ness und bei der Abwä­gung zwi­schen Chan­cen und Risiken.

Wo sehen Sie aktu­ell den größ­ten Impact von KI auf Cyber-Security ?
Bei­spiels­weise im Bereich Früh­erken­nung und Reak­tion. Das wird heute schon durch Machine Lear­ning und KI unter­stützt, um die Detek­ti­ons­ra­ten zu erhö­hen. Dann die Aus­wir­kun­gen im Risi­ko­ma­nage­ment und final auf die benö­tig­ten Skills der Secu­rity Expert:innen.

Kön­nen Sie Bei­spiele nennen ?
Angriffe wer­den bei­spiels­weise KI-gestützt mit­tels Mal­ware oder über trick­rei­che eMails im Phis­hing Kon­text ein­ge­setzt. Ein wei­te­res Sze­na­rio hat uns kürz­lich selbst betrof­fen : Hier wurde ver­sucht die Stimme eines hoch­ran­gi­gen Mana­gers nach­zu­bauen, mit der dann einem ande­ren Mana­ger eine Mes­sage geschickt wurde. Der Scha­den konnte nur abge­wen­det wer­den, weil sich die Per­so­nen gut ken­nen. Die­ses Bei­spiel zeigt, wel­che Vari­an­ten mit wel­cher Qua­li­tät mitt­ler­weile im Umlauf sind.

Gibt es noch wei­tere Ansätze ?
Ja, direkt bei der Ein­gabe am User-Inter­face über die Inter­ak­tion mit den Daten­quel­len. Vie­len fehlt es an Erfah­rung, um Skripte in ange­mes­se­ner Zeit und Qua­li­tät selbst zu schrei­ben und so wird dann auch die Hemm­schwelle nied­ri­ger KI umfang­rei­cher zu nut­zen bzw. umge­kehrt in Rich­tung Sicher­heit dann die KI auch pro­ak­tiv für die Aus­wahl einzusetzen. 

Was kann bei KI und Sicher­heit noch rele­vant sein ?
Ver­trauen und Image. Wenn es etwa eine nam­hafte Firma wie Micro­soft betrifft, wo viele User mit den Pro­duk­ten arbei­ten, der ganze eMail-Ver­kehr vor­han­den ist, viele Daten auf Share-Point. Und sich da dann durch­zu­wüh­len, ist für mich ein legi­ti­mer Usecase, auch mit Risi­ken ver­bun­den, aber da kenne ich das Umfeld.

Und wenn nicht ?
Wenn es aber irgend­wel­che Start-Ups sind, wo ich eben nicht weiß, wo sit­zen die, wer steht dahin­ter, dann wird es schon kri­ti­scher. Es gibt bekannte Fälle, wo Ava­tare von Per­so­nen erstellt wur­den und im Hin­ter­grund diese Daten­sätze dann ver­kauft wurden.

Wo ist hier der Kon­text zur betrieb­li­chen Security ?
Das wird abge­bil­det im soge­nann­ten Third Party Risk Manage­ment. Hier braucht es eine fun­dierte Ana­lyse, da es auch große nam­hafte Unter­neh­men gibt, die eher lasche Pri­vacy Poli­cies haben und gerne Daten an Dritte wei­ter­ge­ben. Es muss also klar sein, was gebe ich da für Daten rein, sind mir die egal oder geht es gar um Ana­ly­sen noch nicht ver­öf­fent­lich­ter GF-Zahlen.

Was emp­feh­len Sie ?
Es braucht eine Stra­te­gie, was und wie kann ich KI gezielt im Unter­neh­men erlau­ben und ein­set­zen – und auf Basis die­ser Policy dann auch die Mit­ar­bei­ten­den infor­mie­ren und schu­len. Es gibt auch Unter­neh­men, die ihre Mit­ar­bei­ten­den zu eige­nen Erfah­run­gen ermutigen. 

Das kann dann aber eine sicher­heits­tech­ni­sche Her­aus­for­de­rung sein…
… und erfor­dert vom Secu­rity Ope­ra­tion Cen­ter ein Moni­to­ring, wel­che Abfra­gen pas­sie­ren da, wel­che wer­den rein­ge­stellt. Und wenn dann Dinge kom­men, wie „Hey, kannst Du mir von unse­rem Source­code bitte eine Ana­lyse machen, warum die­ser Bug ent­steht“, dann ist das natür­lich blöd. Das sind genau die lear­ning les­sons, wo auch die Secu­rity Seite mit­ler­nen muss.

Das heißt, es braucht klare Regeln ?
Die­ses Moni­to­ring ist eine feine Grat­wan­de­rung, auch im Kon­text mit der jewei­li­gen Unter­neh­mens­kul­tur und Geset­zes­lage. Inno­va­tion sollte nicht durch zu restrik­tive Regu­la­rien ver­hin­dert wer­den. Unterm Strich braucht es die Kom­bi­na­tion zwi­schen sinn­vol­ler Restrik­tion und ent­spre­chen­der Schu­lung und dar­aus kann dann eine eigene KI-Kul­tur ent­ste­hen, wo die Mit­ar­bei­ten­den das Thema Sicher­heit immer mitdenken.

Was ist etwaig noch zu beachten ?
Rele­vant ist auch der Unter­neh­mens­ge­gen­stand. Geht es um for­schungs­in­ten­sive Berei­che mit umfang­rei­chen Rese­arch & Deve­lo­p­ment Umge­bun­gen, dann kann die hier zugrunde lie­gende Intellec­tual Pro­perty schnell einen mil­lio­nen­schwe­ren Wert darstellen.

Also doch eher flie­ßende Grenzen ?
Am Ende geht es immer um die Abwä­gung, und hier bin ich auch als Secu­rity-Mensch grund­sätz­lich lie­ber weni­ger restrik­tiv. Es ist immer ein Geben und Neh­men und am Ende des Tages ist es unsere Auf­gabe das Busi­ness zu schüt­zen. Wenn ich aber nur schütze und kein Busi­ness mehr erlaube, dann habe ich irgend­wann nichts mehr, was ich schüt­zen kann.

Was wäre dann die ideale Rolle der Secu­rity im KI-Kontext ?
Die Secu­rity-Rolle sollte auch die eines Ermög­li­chers sein, Busi­ness und Inno­va­tion ver­bun­den mit den The­men Com­pli­ance und Rechts­si­cher­heit. Die Mit­ar­bei­ten­den wol­len doch auch auf der siche­ren Seite sein. Com­pli­ance ist hier immer auch ein gutes Regu­la­tiv, ein Steue­rungs­in­stru­ment, solange es nicht über­trie­ben wird.

Las­sen sich hier auch Wirt­schafts­räume vergleichen ?
Europa über­treibt hier manch­mal ver­gleichs­weise. Das ist natür­lich auch eine Frage der Anwend­bar­keit. In man­chen Fäl­len gibt es ein paar schwarze Schafe, wo man eben genau über sol­che Wege die Dau­men­schrau­ben anzie­hen kann. Die Zeche zah­len dann aber oft­mals die, die ohne­hin mit viel Bedacht und ziel­füh­rend agieren. 

Autor: red/czaak
04.06.2024

Weitere aktuelle Artikel

Secu­rity und ins­be­son­dere Cyber­se­cu­rity wird für Unter­neh­men immer mehr zum stra­te­gi­schen Erfolgs­fak­tor. Unter­stützt mit KI und Auto­ma­tion gibt es posi­tive Aus­wir­kun­gen auf Kun­den­ver­trauen, Mar­ken­stärke und neue Wert­schöp­fung. Eine inter­na­tio­nale Stu­die zeigt nun auch mess­bare Stei­ge­run­gen beim Wachstum. Cyber­si­cher­heit ent­wi­ckelt sich von der rei­nen Abwehr­maß­nahme zum stra­te­gi­schen Erfolgs­fak­tor. Unter­neh­men, die das Thema früh­zei­tig in Transformations‑, Tech­no­lo­gie- […]
Trotz Andeu­tun­gen einer Kon­junk­tur­be­le­bung herrscht bei hei­mi­schen CEOs immer noch Pes­si­mis­mus. Makro­öko­no­mi­sche Unsi­cher­hei­ten und Cyber­ri­si­ken sowie Kos­ten und gene­relle Infla­tion als aktu­ell größte Bedro­hun­gen, so Stu­die von PwC. Vor­sicht statt Auf­bruchs­stim­mung bei öster­rei­chi­schen CEOs. Diese bli­cken nach den Her­aus­for­de­run­gen der ver­gan­ge­nen Jahre deut­lich pes­si­mis­ti­scher in die Zukunft als ihre inter­na­tio­na­len Kol­le­gen. Nur ein Vier­tel erwar­tet ein Wirt­schafts­wachs­tum. […]
Nvi­dia, Apple und Alpha­bet Ende 2025 als höchst­be­wer­tete Unter­neh­men der Welt. Top 100 stei­gern Bör­sen­wert um 23 Pro­zent auf 54 Bil­lio­nen US-Dol­lar. Acht US-Com­pa­nies unter Top 10. Asia­ti­sche Betriebe mit stärks­tem Wert­zu­wachs. Nur mehr 17 euro­päi­sche Unter­neh­men unter Top 100.  Trotz schwie­ri­ger geo­po­li­ti­scher und wirt­schaft­li­cher Rah­men­be­din­gun­gen haben die größ­ten Unter­neh­men der Welt im Laufe des Jah­res […]
Sechs von zehn Unter­neh­men betrach­ten Fach­kräf­te­man­gel als ers­ten Risi­ko­fak­tor für das eigene Wachs­tum. Größte Rekru­tie­rungs­schwie­rig­kei­ten hat Indus­trie. Künst­li­che Intel­li­genz kann immer öfter Abhilfe schaffen. Der hei­mi­sche Mit­tel­stand steht auch in wirt­schaft­lich her­aus­for­dern­den Zei­ten mehr­heit­lich für Resi­li­enz und Inno­va­tion und mit Unter­stüt­zung digi­ta­ler Dienste dann für neue Wert­schöp­fung. Trotz­dem gibt es auch hier Fak­to­ren, die Wachs­tum […]
Neue gesetz­li­che NIS‑2 Regu­la­rien gül­tig. Rund 4.000 Betriebe sind direkt adres­siert und dazu große Zahl an Zulie­fer­fir­men. Fach­ver­band UBIT rät zur schnel­len Umset­zung und unter­stützt ins­be­son­dere KMU bei allen Maßnahmen. Mit mehr als ein­jäh­ri­ger Ver­spä­tung hat Öster­reich letz­ten Dezem­ber ein zeit­ge­mä­ßes Gesetz zu Netz- und Infor­ma­ti­ons­sys­tem­si­cher­heit (NIS) beschlos­sen. Mit die­sen neuen NIS‑2 Regu­la­rien wird der […]
magnifier
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram