Cyber Security-Experte Fleck: „Auch Software kann toxisch sein“
Ulrich Fleck ist CEO des Cyber Security Unternehmens Certainity und seit fast 30 Jahren intensiv mit dem Thema vertraut.
KURIER: Was verstehen Sie als Experte unter Cyber Security?
Ulrich Fleck: Anfangs hieß es IT-Sicherheit, also Sicherheit in der Informationstechnologie. Irgendwann kam der Begriff der Informationssicherheit dazu und durch die Dominanz und zunehmende Verbreitung des Internets entstand der Cyberraum und damit eben auch die Cybersicherheit. Überspitzt gesagt: Alles, was einen IP-Stack (Softwarestruktur) hat und Strom braucht, das ist für uns interessant.
Warum muss sich ein Unternehmer Sorgen um Cybersicherheit machen?
Weil das Internet und die damit verwandte Informationstechnologie allgegenwärtig und zudem die Grundlage für nahezu alle Geschäftsprozesse sind.
Aber was kann passieren?
Es kann alles passieren! Von der reinen Unterbrechung des Geschäftsbetriebs bis hin zum Klau von Informationen. Bei Informationen gibt es außerdem noch einen Spezialeffekt: Sie können Informationen stehlen, ohne dass sie beim Bestohlenen weg sind. Das geht mit einem 100-Euro-Schein nicht.
Sind sich Unternehmer, egal welcher Branche, bewusst, wie angreifbar sie sind?
Es gibt viele Unternehmen, die das Risiko für sich selbst identifizieren. Gleichzeitig gilt leider immer noch das, was die ehemalige deutsche Bundeskanzlerin gesagt hat: Das Internet ist für uns alle noch ein bisschen neu. Das Thema ist: Es muss einfach noch viel mehr getan werden.
Beginnen wir bei dem, was alle kennen: Warum müssen wir unsere Passwörter immer ändern?
Die Regelung, seine Passwörter regelmäßig zu ändern, hat sich teilweise überholt. Es geht eher in die Richtung, Pass-Keys, Multi-Faktor-Authentifizierung (MFA) und sehr, sehr starke und lange Passwörter zu nehmen, die man nicht ständig ändern muss. Es ist einfach wichtig, dass die Authentizität des Benutzers vor dem jeweiligen Dienst durch starke Authentifizierung sichergestellt ist.
Kann es abseits von gehackten Passwörtern sein, dass durch US-amerikanische oder chinesische Bauteile, die bei uns verbaut werden, plötzlich Windräder still stehen oder der Strom in Krankenhäusern abgedreht wird?
Es kann passieren. Aber man darf nicht jede ausländische Technologie per se verteufeln. Am Ende des Tages ist keiner so souverän, dass er die komplette Lieferkette bis zum Silizium alleine sichern kann.
Auch die Amerikaner nicht?
Auch die Amerikaner nicht und auch die Chinesen nicht. In Europa sind wir hinsichtlich unserer Souveränität im IT- als auch im Energieumfeld nicht allzu gut aufgestellt, weil wir sehr viel für diese Wertschöpfungsketten zukaufen müssen. Wir haben uns als Europäer in den vergangenen 70 Jahren unter dem Schutz der USA zu wohl gefühlt und einiges vernachlässigt.
Sehen Sie eine Chance, dass sich Europas Abhängigkeit verringert?
Wir müssen uns fragen: Warum entstehen Dinge teilweise in Europa, verschwinden dann aber ins Ausland, um dort erfolgreich zu werden? Die Amerikaner sind in der Skalierung und Vermarktung von Technologien deutlich besser und die europäische Regulierung hilft uns bei all dem nicht.
Sie meinen die Datenschutzgrundverordnung?
Ich bin für Datenschutz, aber ich glaube, dass die EU-Datenschutzgrundverordnung ein Bürokratiemonster geworden ist – die Daten aber trotzdem munter um die ganze Welt gehen. Für viele, kleinere Unternehmer ist das ein potemkinsches Dorf.
Es heißt, die USA sind bekannt für Innovation, China für Reproduktion und Europa für Regulierung ...
... ich war eine Zeit lang im Silicon Valley unterwegs. Dort gibt es eine andere Bereitschaft, Dinge auszuprobieren. Es geht auch genug in die Binsen. Aber die Kultur des Scheiterns ist deutlich besser, wie auch die Möglichkeit, an Wagniskapital heranzukommen. Im Plug&Play-Center im Silicon Valley ist jeden Donnerstag Pitching Night. Da kommen Großinvestoren und jeder hat drei Minuten Zeit, sich zu präsentieren. In Österreich haben wir das mit weXelerate in Ansätzen, aber wir haben keine richtige Industrie. Innovation gibt es natürlich nicht nur bei Start–ups, sondern auch in bereits bestehenden Unternehmen.
Hat Europa überhaupt etwas mitzureden?
Wir haben mit dem niederländischen Konzern ASML die Basistechnologie für alles. Vereinfacht: Sie stellen Maschinen her, mit denen Chips produziert werden und sind im Bereich der Lithografiesysteme für die Halbleiterindustrie Weltmarktführer. SAP ist der größte europäische Softwarehersteller - allerdings mit einer Marktkapitalisierung, die weit weg ist von den USA. Die Top 12 Unternehmen, die Cyber Security-Technologie für das militärische Umfeld liefern, sind ausschließlich in amerikanischer Hand, mit ein paar Ausnahmen in Israel.
Warum ist die digitale Souveränität so essenziell?
Die Souveränitätsdiskussion ist erst seit der zweiten Amtszeit von Donald Trump richtig erwacht. Vorher war das kein öffentlichkeitswirksames Thema. Aber jetzt kommt es zu der Angst und dem Gefühl, dass einem die anderen nicht nur den Strom abdrehen können, sondern auch den Zugriff auf unsere Daten haben. Die Technologie, die wir allerdings bräuchten, um diese Daten selbst entsprechend schnell, effizient und günstig verarbeiten zu können, die haben wir nicht. Und daraus ergibt sich eine Abhängigkeit von anderen. Erpressbar zu sein, das ist immer schlecht.
Der Cloud Act, ein US-Gesetz, besagt mehr oder minder, dass die US-Regierung vollen Zugriff auf Daten hat, die in Amerika gespeichert sind.
Wovon man sich generell verabschieden muss, das ist der geografische Speicherort. Der US-Cloud-Act besagt letztlich, dass der Serverstandort irrelevant ist. Entscheidend ist, ob der Anbieter einen (Haupt-)Sitz in den USA hat. Dann müssen die Daten bei gezielten Anfragen im Strafverfahren an die US-Behörden herausgegeben werden.
Aber genau diese Souveränität verkaufen uns die Amerikaner, die in Europa Datencenter bauen.
Ich würde das ein wenig überspitzt Sovereignty Washing (analog zum „Whitewashing" im Umweltschutz-Bereich, Anm.) nennen. Wo die Daten liegen, das ist nicht so wichtig, wie wer darauf Zugriff und die Kontrolle darüber hat. Die Daten werden ja nicht nur von Menschen kontrolliert, sondern auch von der Technologie, die sie verarbeitet. Diese Technologie ist meist von einem der großen Anbieter. Aber selbst Open-Source-Projekte sind zu etwa 80% in Foundations nach Amerikanischem Recht organisiert und unterliegen dadurch der amerikanischen Verwaltung.
Anthropic hat sich dem Zugriff des US-Verteidigungsministeriums entzogen und wird nun ersetzt.
Ein anderes Beispiel für die fehlende Souveränität Europas sind die zehntausenden Starlink-Satelliten von Elon Musk. Sehen Sie das auch als Problem an?
Der Zugang zum Starlink-System hat eine große Relevanz für den Ukrainekrieg. Und mit Elon Musk kontrolliert ein Mann, ein sehr reicher Unternehmer, die gesamte Kommunikation – derzeit zum Vorteil der Ukrainer. Europas Alternative wäre nur, ein eigenes Satellitensystem ins All zu schießen - aber das wäre wohl auch schwierig.
Wird uns die KI helfen, in der Entwicklung schneller zu sein, oder wird Europa Bittsteller bleiben?
Sogar ich tue mir schwer, bei AI oder KI am Ball zu bleiben, weil im Tagesrhythmus Neues kommt. AI wird einen gewaltigen Einfluss auf Cyber Security haben und einen noch größeren darauf, wie Software entsteht. Sie können heutzutage mit LLMs (Large Language Model) unendlich schnell Software entwickeln und analysieren. Der KI-Firma Anthropic ist mit „Mythos“ ganz vorne dabei, das ist eine noch nicht veröffentlichte Software, die Sicherheitslücken so schnell findet, dass wir gar nicht die Kapazitäten haben, die Sicherheitslücken genauso schnell wieder zu fixen. Aber: Diese AI produziert die Sicherheitslücken nicht, die gibt es schon, wir finden sie nur schneller. Das ist vom Prinzip her das Gleiche, was wir bei Penetrationstests machen.
Die US-Regierung hat die KI-Firma Anthropic verpflichtet, den Zugang zu seinen beiden fortschrittlichsten Modellen Fable 5 und Mythos 5 für alle ausländischen Staatsangehörigen zu sperren. Da Anthropic nicht sicherstellen kann, welche Nutzer betroffen sind, hat das Unternehmen die Modelle vorübergehend für alle Kunden weltweit abgeschaltet. Alle anderen Modelle des Unternehmens, darunter die öffentlich zugänglichen Claude-Versionen, sind nicht betroffen.
Hintergrund ist eine mögliche Umgehung der Sicherheitssperren von Fable 5. Konkret geht es darum, das Modell aufzufordern, eine bestimmte Codebasis zu analysieren und Sicherheitslücken zu beheben.
Anthropic akzeptiert die Anweisung, widerspricht ihr aber inhaltlich. Das Unternehmen hält die gefundene Umgehung („Jailbreak“) für eng begrenzt und nicht modellspezifisch: Dieselbe Fähigkeit sei auch von anderen öffentlich verfügbaren Modellen, etwa von OpenAI, abrufbar und werde täglich von IT-Sicherheitsfachleuten eingesetzt. Anthropic warnt zudem, dass eine solche Maßnahme – der Rückruf eines Modells – faktisch alle künftigen Veröffentlichungen neuer Modelle der gesamten Branche stoppen würde.
Der Vorfall markiert einen ungewöhnlich öffentlichen Konflikt zwischen einem führenden KI-Labor und der US-Regierung – und dürfte die Debatte über staatliche Eingriffsbefugnisse in der KI-Regulierung neu entfachen. BerG
Was sind Penetrationstests?
Nehmen wir an, wir werden von einem Internetbanking-Anbieter beauftragt, die Sicherheit seines Services zu überprüfen. Dann behandeln wir das so, als würden wir selbst Böses im Schilde führen und schauen, ob wir Überweisungen umleiten und Daten stehlen können. Das ist ein Prozess, in dem wir nicht mit der großen digitalen Schlagbohrmaschine anrücken und Löcher bohren, sondern wir finden Fehler oder Löcher, die schon da sind. Und wir finden eigentlich immer was.
Bei Cyber Security ist immer wieder auch von Lieferkettenproblemen die Rede. Können Sie das an einem plastischen Beispiel festmachen?
Ich vergleiche das gern mit einer Molkerei. Wenn Sie hier drei Tanklastzüge Rohmilch kaufen, dann werden Sie einen Lebensmittelchemiker hinschicken und schauen, ob da sicher keine Shigellen drinnen sind, bevor sie die Milch in den Käsebottich kippen. Bei Software hingegen wird blind gekauft, runtergeladen, geklickt, Enter gedrückt und go for it. Davon müssen wir weg. Das heißt, wir müssen auch dorthin kommen, dass man Software als das betrachtet, was sie auch sein kann: toxisch. Ein zweiter Aspekt ist, dass jedes Unternehmen auch in ein Problem läuft, wenn einer Ihrer Lieferanten wegen eines Cyber-Problems ausfällt. Die Lieferketten sind mittlerweile so optimiert und verzahnt, dass jedes Glied perfekt funktionieren muss.
Erschreckend sind die KI-Antworten, wenn man sie fragt, was man bösartigerweise mit all den eingesammelten Daten machen könnte.
Wenn wir ehrlich sind: Die Dinge, die mit KI möglich sind, waren auch ohne KI möglich, nur die KI macht es unendlich viel billiger und schneller.
Kommentare