Zum Inhalt
HOME | 
© T-Systems Austria

„Es braucht sinn­volle Restrik­tion und Schulung“

Der Ein­fluss von KI auf All­tags­le­ben und immer mehr auch auf die Wirt­schaft ist enorm. Mar­tin Krum­pöck, CTO für Cyber Secu­rity bei T‑Systems Inter­na­tio­nal, erläu­tert Fra­gen zur betrieb­li­chen Sicher­heit beim Ein­satz von KI.

Eine neue Gene­ra­tion von KI-Anwen­dun­gen erwei­tert für Unter­neh­men die Ein­satz­mög­lich­kei­ten und das betrifft auch das Thema Cyber-Sicher­heit. KI ist bereits in vie­len Secu­rity-Tools ver­baut und erleich­tert das Iden­ti­fi­zie­ren von Angrif­fen und das Fin­den von Schwach­stel­len glei­cher­ma­ßen. Das ist aber erst der Anfang : IT-Mana­ger und letzt­lich Unter­neh­men müs­sen sich bewusst sein, dass der Ein­fluss von KI auf die Cyber-Secu­rity viel­fäl­ti­ger und tief­ge­hen­der ist. 

Eco­nomy : Wie sehen Sie die aktu­elle Ent­wick­lung von KI im unter­neh­me­ri­schen Bereich ?
Mar­tin Krum­böck : Durch ChatGPT ist das Thema jetzt in der Öffent­lich­keit weit­aus prä­sen­ter. Jede/​r hat eine Mei­nung dazu, KI ist prak­tisch greif­bar gewor­den. Immer mehr Unter­neh­men beken­nen sich zum Ein­satz und erwar­ten dadurch Wett­be­werbs­vor­teile am Markt. 

Wo beginnt die Schnitt­stelle zum Bereich Security ?
Intern läuft die Dis­kus­sion ent­lang von Com­pli­ance-Regu­la­rien, also etwa wel­che unter­neh­mens­ei­ge­nen Infor­ma­tio­nen und Daten soll und darf ich ver­wen­den, weil ich ein­fach nicht weiß, was damit in Folge pas­sie­ren wird. Damit sind wir schon bei klas­si­schen Sicher­heits­fra­gen, beim Thema Awa­re­ness und bei der Abwä­gung zwi­schen Chan­cen und Risiken.

Wo sehen Sie aktu­ell den größ­ten Impact von KI auf Cyber-Security ?
Bei­spiels­weise im Bereich Früh­erken­nung und Reak­tion. Das wird heute schon durch Machine Lear­ning und KI unter­stützt, um die Detek­ti­ons­ra­ten zu erhö­hen. Dann die Aus­wir­kun­gen im Risi­ko­ma­nage­ment und final auf die benö­tig­ten Skills der Secu­rity Expert:innen.

Kön­nen Sie Bei­spiele nennen ?
Angriffe wer­den bei­spiels­weise KI-gestützt mit­tels Mal­ware oder über trick­rei­che eMails im Phis­hing Kon­text ein­ge­setzt. Ein wei­te­res Sze­na­rio hat uns kürz­lich selbst betrof­fen : Hier wurde ver­sucht die Stimme eines hoch­ran­gi­gen Mana­gers nach­zu­bauen, mit der dann einem ande­ren Mana­ger eine Mes­sage geschickt wurde. Der Scha­den konnte nur abge­wen­det wer­den, weil sich die Per­so­nen gut ken­nen. Die­ses Bei­spiel zeigt, wel­che Vari­an­ten mit wel­cher Qua­li­tät mitt­ler­weile im Umlauf sind.

Gibt es noch wei­tere Ansätze ?
Ja, direkt bei der Ein­gabe am User-Inter­face über die Inter­ak­tion mit den Daten­quel­len. Vie­len fehlt es an Erfah­rung, um Skripte in ange­mes­se­ner Zeit und Qua­li­tät selbst zu schrei­ben und so wird dann auch die Hemm­schwelle nied­ri­ger KI umfang­rei­cher zu nut­zen bzw. umge­kehrt in Rich­tung Sicher­heit dann die KI auch pro­ak­tiv für die Aus­wahl einzusetzen. 

Was kann bei KI und Sicher­heit noch rele­vant sein ?
Ver­trauen und Image. Wenn es etwa eine nam­hafte Firma wie Micro­soft betrifft, wo viele User mit den Pro­duk­ten arbei­ten, der ganze eMail-Ver­kehr vor­han­den ist, viele Daten auf Share-Point. Und sich da dann durch­zu­wüh­len, ist für mich ein legi­ti­mer Usecase, auch mit Risi­ken ver­bun­den, aber da kenne ich das Umfeld.

Und wenn nicht ?
Wenn es aber irgend­wel­che Start-Ups sind, wo ich eben nicht weiß, wo sit­zen die, wer steht dahin­ter, dann wird es schon kri­ti­scher. Es gibt bekannte Fälle, wo Ava­tare von Per­so­nen erstellt wur­den und im Hin­ter­grund diese Daten­sätze dann ver­kauft wurden.

Wo ist hier der Kon­text zur betrieb­li­chen Security ?
Das wird abge­bil­det im soge­nann­ten Third Party Risk Manage­ment. Hier braucht es eine fun­dierte Ana­lyse, da es auch große nam­hafte Unter­neh­men gibt, die eher lasche Pri­vacy Poli­cies haben und gerne Daten an Dritte wei­ter­ge­ben. Es muss also klar sein, was gebe ich da für Daten rein, sind mir die egal oder geht es gar um Ana­ly­sen noch nicht ver­öf­fent­lich­ter GF-Zahlen.

Was emp­feh­len Sie ?
Es braucht eine Stra­te­gie, was und wie kann ich KI gezielt im Unter­neh­men erlau­ben und ein­set­zen – und auf Basis die­ser Policy dann auch die Mit­ar­bei­ten­den infor­mie­ren und schu­len. Es gibt auch Unter­neh­men, die ihre Mit­ar­bei­ten­den zu eige­nen Erfah­run­gen ermutigen. 

Das kann dann aber eine sicher­heits­tech­ni­sche Her­aus­for­de­rung sein…
… und erfor­dert vom Secu­rity Ope­ra­tion Cen­ter ein Moni­to­ring, wel­che Abfra­gen pas­sie­ren da, wel­che wer­den rein­ge­stellt. Und wenn dann Dinge kom­men, wie „Hey, kannst Du mir von unse­rem Source­code bitte eine Ana­lyse machen, warum die­ser Bug ent­steht“, dann ist das natür­lich blöd. Das sind genau die lear­ning les­sons, wo auch die Secu­rity Seite mit­ler­nen muss.

Das heißt, es braucht klare Regeln ?
Die­ses Moni­to­ring ist eine feine Grat­wan­de­rung, auch im Kon­text mit der jewei­li­gen Unter­neh­mens­kul­tur und Geset­zes­lage. Inno­va­tion sollte nicht durch zu restrik­tive Regu­la­rien ver­hin­dert wer­den. Unterm Strich braucht es die Kom­bi­na­tion zwi­schen sinn­vol­ler Restrik­tion und ent­spre­chen­der Schu­lung und dar­aus kann dann eine eigene KI-Kul­tur ent­ste­hen, wo die Mit­ar­bei­ten­den das Thema Sicher­heit immer mitdenken.

Was ist etwaig noch zu beachten ?
Rele­vant ist auch der Unter­neh­mens­ge­gen­stand. Geht es um for­schungs­in­ten­sive Berei­che mit umfang­rei­chen Rese­arch & Deve­lo­p­ment Umge­bun­gen, dann kann die hier zugrunde lie­gende Intellec­tual Pro­perty schnell einen mil­lio­nen­schwe­ren Wert darstellen.

Also doch eher flie­ßende Grenzen ?
Am Ende geht es immer um die Abwä­gung, und hier bin ich auch als Secu­rity-Mensch grund­sätz­lich lie­ber weni­ger restrik­tiv. Es ist immer ein Geben und Neh­men und am Ende des Tages ist es unsere Auf­gabe das Busi­ness zu schüt­zen. Wenn ich aber nur schütze und kein Busi­ness mehr erlaube, dann habe ich irgend­wann nichts mehr, was ich schüt­zen kann.

Was wäre dann die ideale Rolle der Secu­rity im KI-Kontext ?
Die Secu­rity-Rolle sollte auch die eines Ermög­li­chers sein, Busi­ness und Inno­va­tion ver­bun­den mit den The­men Com­pli­ance und Rechts­si­cher­heit. Die Mit­ar­bei­ten­den wol­len doch auch auf der siche­ren Seite sein. Com­pli­ance ist hier immer auch ein gutes Regu­la­tiv, ein Steue­rungs­in­stru­ment, solange es nicht über­trie­ben wird.

Las­sen sich hier auch Wirt­schafts­räume vergleichen ?
Europa über­treibt hier manch­mal ver­gleichs­weise. Das ist natür­lich auch eine Frage der Anwend­bar­keit. In man­chen Fäl­len gibt es ein paar schwarze Schafe, wo man eben genau über sol­che Wege die Dau­men­schrau­ben anzie­hen kann. Die Zeche zah­len dann aber oft­mals die, die ohne­hin mit viel Bedacht und ziel­füh­rend agieren. 

Autor: red/czaak
04.06.2024

Weitere aktuelle Artikel

Aktu­elle Digi­tal X begeis­tert in der Wie­ner Marx-Halle über 1.500 Besu­cher. Das von T‑Systems, Magenta, Tele­kom Secu­rity und Deut­sche Tele­kom Glo­bal Busi­ness Solu­ti­ons als Mes­se­kon­gress kon­zi­pierte Ver­an­stal­tungs­for­mat mit den Schwer­punk­ten Digi­tale Trans­for­ma­tion, KI und Secu­rity als Spange für Key Notes, Panels, Arbeits­kreise und Prä­sen­ta­tio­nen von IT-Dienstleistern.  Über 1.500 Besucher:innen, über 20 Part­ner­un­ter­neh­men aus der IT-Bran­che, 6 Start-Ups […]
2025 betref­fen 61 Pro­zent aller Schul­den­re­gu­lie­rungs­ver­fah­ren und 78 Pro­zent der Pas­siva Män­ner. Hin­ter­grund oft ehe­ma­lige Selb­stän­dig­keit. Vom Alter her 41- bis 60-Jäh­rige am häu­figs­ten im Pri­vat­kon­kurs, so neue Ana­lyse von KSV1870. Thema drei­jäh­rige Ent­schul­dungs­dauer als Streitpunkt. Die Zahl der eröff­ne­ten Schul­den­re­gu­lie­rungs­ver­fah­ren ist im Jahr 2025 gegen­über dem Ver­gleichs­zeit­raum 2024 um knapp ein Pro­zent auf 8.766 […]
Öko­no­men der Agenda Aus­tria haben sich reale Ent­wick­lun­gen bei der Bud­get­kon­so­li­die­rung ange­schaut und par­al­lel dazu auch Rela­tio­nen im Kon­text mit dem Reiz­thema Pri­va­ti­sie­run­gen. Öster­reich sei hier im EU-Ver­gleich ein abso­lu­ter Sonderfall. In Zei­ten knap­per Bud­get­haus­halte von Staa­ten pop­pen dann oft ganz rasch Ideen für neue ein­nah­men­sei­tige Unter­stüt­zun­gen auf. Umgangs­sprach­lich Steu­ern genannt trifft das auch oder […]
Kre­dit­ge­schäft steigt wei­ter kon­ti­nu­ier­lich an. Güns­ti­gere Zin­sen und Bedarf an Betriebs­mit­tel für Inves­ti­tio­nen als Gründe. Unter­neh­men gene­rell opti­mis­ti­scher. Pri­vate Nach­frage zu Wohn­kre­di­ten steigt bereits län­ger. Ban­ken waren und sind verhalten.  Der Früh­ling kommt, und dazu pas­send wächst auch das zarte Pflänz­chen der Kon­junk­tur wei­ter. Das zeigt die aktu­elle Ana­lyse der Öster­rei­chi­schen Natio­nal­bank (OeNB), die regel­mä­ßig […]
Secu­rity und ins­be­son­dere Cyber­se­cu­rity wird für Unter­neh­men immer mehr zum stra­te­gi­schen Erfolgs­fak­tor. Unter­stützt mit KI und Auto­ma­tion gibt es posi­tive Aus­wir­kun­gen auf Kun­den­ver­trauen, Mar­ken­stärke und neue Wert­schöp­fung. Eine inter­na­tio­nale Stu­die zeigt nun auch mess­bare Stei­ge­run­gen beim Wachstum. Cyber­si­cher­heit ent­wi­ckelt sich von der rei­nen Abwehr­maß­nahme zum stra­te­gi­schen Erfolgs­fak­tor. Unter­neh­men, die das Thema früh­zei­tig in Transformations‑, Tech­no­lo­gie- […]
magnifier
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram