Die Digitalisierung und die neuen technologischen Möglichkeiten der künstlichen Intelligenz (KI) führen zu den größten gesellschaftlichen und wirtschaftlichen Umwälzungen seit der industriellen Revolution. Ohne politische, ökonomische und ethische Rahmenbedingungen besteht jedoch die Gefahr einer unkontrollierten Entwicklung.
KI ist längst fester – und auch weitgehend akzeptierter – Bestandteil der Lebens- und Arbeitswelt. Viele Systeme sind mit Fehlerquoten von unter fünf Prozent teilweise besser als der Mensch. Das heißt, die Arbeitsprofile und Anforderungen werden sich für die Mitarbeiter nachhaltig verändern. Klassisches Beispiel sind Branchen, in denen verstärkt Maschinen und Roboter zum Einsatz kommen, etwa die Fertigungsindustrie. Heute unverzichtbare Jobs können in ein paar Dekaden eventuell nicht mehr relevant sein. Aktuell etwa besteht ein hoher Bedarf an Data-Scientists und Entwicklern, in einigen Jahren aber schon können eventuell Maschinen die Tätigkeiten besser und schneller erledigen.
Die technische Weiterentwicklung auf der einen Seite und die Beunruhigung der Bevölkerung auf der anderen Seite machen es zwingend erforderlich, gesellschaftspolitische Initiativen zu ergreifen, in deren Rahmen neben den technologischen Möglichkeiten auch bildungspolitische Vorkehrungen und digitalpolitische Strategien entwickelt und umgesetzt werden.
Hinzu kommt ein weiteres Risiko: Wie viele Entscheidungsbefugnisse geben wir der Maschine und KI? Es besteht die Gefahr, schnell in Abhängigkeit zu geraten und nicht mehr nachvollziehen zu können, wie eine Maschine oder ein Algorithmus zu einem Ergebnis gekommen ist. Oft übersehen wird zudem, dass auch Maschinen Vorurteile haben können, basierend auf Informationen aus der Vergangenheit, auf die sie zugreifen.
Vor jedem KI-Einsatz müssen elementare Fragen geklärt werden. Was konkret zu beachten ist, zeigt beispielhaft der Bereich Cybersecurity, in dem KI für die Optimierung der Bedrohungserkennung und die Verhinderung finanzieller oder operativer Schäden durch Cyberkriminalität genutzt wird. Threat Detection und Threat Intelligence lauten hier die Schlagworte. Außerdem gibt es heute schon KI, die ihre Nachfolger selbst und unabhängig von Menschen entwickelt, wie das Beispiel des AutoML-Projekts von Google zeigt.
Hier entsteht eine nicht mehr zu kontrollierende Dynamik, die in der Tat beunruhigend ist. Umso mehr muss es ein Gebot der Stunde sein, moralische und ethische Rahmenbedingungen zu schaffen.
Stimmen aus dem Unternehmen NTT Security
Kai Grunwitz
Senior Vice President EMEA bei NTT Security
NTT Security hat seine aktuelle Risk:Value-Studie herausgebracht. Dafür haben Sie weltweit 1.800 Führungskräfte zu Themen rund um IT und IT-Sicherheit befragt. Was haben Sie analysiert?
Wir kommen zu einem erschreckenden Ergebnis. Die Hälfte der befragten Führungskräfte in deutschen und österreichischen Unternehmen zahlen Ransomware-Angreifern lieber ein Lösegeld, statt in die IT-Sicherheit zu investieren. Eine solche Vorgehensweise halten sie für kostengünstiger.
Wie beurteilen Sie die Situation?
Auf diese Weise setzen diese Unternehmen nicht nur ihre IT und ihre Zukunft aufs Spiel, sondern riskieren auch den Diebstahl ihrer Kundendaten. Sie müssten sich eher fragen: Werden die Hacker nach Zahlung des Lösegelds den Datenzugriff wieder freigeben? Können sie ausschließen, dass die Daten von den Angreifern kopiert wurden und demnächst im Internet landen? Können sie sicher sein, dass noch schlafende Ransomware-Viren auf den Rechnern nicht demnächst aktiv geschaltet werden, sodass das ganze Spiel von vorne beginnt?
Und, vor allem, können die Verantwortlichen tatsächlich noch ruhig schlafen, wenn sie davon ausgehen müssen, dass Hacker jederzeit in ihre IT-Infrastruktur einbrechen können? Aber trotz der steigenden Gefahr für ihre kritischen Daten – sei es durch Datenklau oder die Korrumpierung der Infrastruktur – verringern Unternehmen den Anteil ihrer IT-Sicherheitsbudgets sogar. Das ist verkehrte Welt.
Was raten Sie den Unternehmen?
Führungskräfte sollten sich nicht mit der Frage beschäftigen, wie viel Budget sie zusammenstreichen können, sondern überlegen, was die Tragweite eines zu knappen IT-Sicherheitsbudgets ist. Hacker haben mittlerweile auch künstliche Intelligenz entdeckt und nutzen sie für ihre betrügerischen Zwecke. Es gibt längst eine strenge Gesetzgebung (DSGVO) mit empfindlichen Geldbußen. Auch die Kundenwahrnehmung hat sich geändert. Sie räumt dem Unternehmensimage einen immer höheren Stellenwert ein und bewertet Datenverluste sehr kritisch – zumal es eigene Kundendaten sein können.
Franck Braunstedter
Senior Manager Cyber Defense & Cloud Security
Die digitale Transformation ist heute ohne Cloud nicht möglich, egal wie groß ein Unternehmen ist. Cloudtechnologien liefern die technologischen Bausteine für hocheffiziente Geschäftsprozesse, deshalb bezieht nahezu jedes Unternehmen Anwendungen, IT-Infrastrukturleistungen und -Sicherheitslösungen aus der Cloud. Die Migration von Teilen einer IT-Landschaft in die Cloud muss jedoch detailliert geplant und die Daten müssen sicher verwahrt werden. Nur dann profitieren Unternehmen von den Vorteilen.
Dazu ist es erforderlich, dass sich Unternehmen mit den cloudspezifischen Risiken und den zur Verfügung stehenden Sicherheitsmaßnahmen befassen. In manchen Firmen gehören die Risikoanalyse und das Risikomanagement zum Alltag, in vielen Branchen sind sie sogar gesetzlich vorgeschrieben.
Außerdem gilt längst: Die im eigenen Rechenzentrum betriebene IT-Landschaft ist nicht automatisch sicherer als die in einer Cloud. Selbst unternehmenskritische Daten wie Rezepturen, Produktionspläne oder andere Daten, die auf keinen Fall einem Wettbewerber in die Hände fallen dürfen, können heute in die Public Cloud verlagert werden. Allerdings müssen dazu sowohl beim Auftraggeber als auch beim Cloud-Provider entsprechende IT-Sicherheits- und -Schutzmaßnahmen implementiert und fortlaufend überprüft werden.
Schließt ein Unternehmen einen Vertrag mit einem Cloud-Provider, muss es wissen, wo sich die Daten befinden. Vor einer Migration von ausgewählten Teilen ihrer IT-Landschaft müssen Unternehmen sich zudem einen Einblick in die für sie geltenden branchenspezifischen nationalen und internationalen Vorschriften zur Erfassung und Nutzung personenbezogener Daten verschaffen.
Um die Sicherheitsrisiken in der Cloud effizient managen und kontrollieren zu können, ist auch ein leistungsstarkes Rahmenwerk mit Richtlinien, Policies und Prozessen erforderlich. Jedes Unternehmen sollte über einen Incident-Response-Plan verfügen – das gilt natürlich auch für Cloud-Provider, mit denen Unternehmen zusammenarbeiten. In diesem Plan müssen rasche und effektive Reaktionen auf Sicherheitsvorfälle geregelt sein.
Während vor einiger Zeit die Sicherheitsvorbehalte und Risiken in den Cloud-Debatten im Vordergrund standen, hat sich das Bild in der Zwischenzeit jedoch gewandelt. Heute sieht die Mehrheit der Unternehmen in der Cloud eher die damit verbundenen Chancen. Unterstützt durch einen erfahrenen IT-Security-Spezialisten gelten die Sicherheitsanforderungen in der Cloud als beherrschbar.