:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Künstliche Intelligenz und der Datenschutz Kriminelle KIs überfordern Unternehmen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Nicht nur Staat, Wirtschaft und Hochschulen verfügen über künstliche Intelligenz (KI), sondern auch Geheimdienste, Kriminelle und Terroristen – etwa um ihre Opfer zu bestehlen, zu erpressen oder Terror zu verbreiten. Die DSGVO verlangt den Nachweis, dass und wie hohe Risiken begrenzt wurden. Vor allem „innovative“ Jungunternehmen und Hochschulausgründungen müssen überlegen, ob sie das leisten können.
Am 5. Dezember hat die Gesellschaft für Informatik e.V. (GI) die „10 KI-Newcomer*innen“ im Wissenschaftsjahr 2019 ausgezeichnet. Diese Veranstaltung fand im Rahmen des Projektes „#KI50: Künstliche Intelligenz in Deutschland – gestern, heute, morgen“ des Bundesministeriums für Bildung und Forschung (BMBF) statt. Nach Vereinsangaben wurden die Ausgezeichneten in einem offenen Online-Abstimmungsprozess ausgewählt, bei dem mehr als 11.000 Stimmen abgegeben wurden. Zuvor seien die 30 Jungforscherinnen und -forscher bereits aus über 100 Bewerberinnen und Bewerbern in die engere Vorauswahl gewählt worden. Anschließend habe die breite Öffentlichkeit sowie Mitglieder unterschiedlicher Forschungsgemeinschaften ihre Favoriten online wählen können.
Mit den KI-Newcomer*innen würden nun „10 junge KI-Nachwuchsforscherinnen und -forscher in fünf Kategorien geehrt, die bereits heute die KI-Entwicklung in Deutschland und darüber hinaus vorantreiben“. Die Preisträger sind:
Informatik:
- Niki Kilbertus, Max-Planck-Institut für Intelligente Systeme
- Gunay Kazimzade, Weizenbaum-Institut für die vernetzte Gesellschaft
Geistes- und Sozialwissenschaften:
- Leonid Berov, Universität Osnabrück
- Shirley Ogolla, Humboldt Institut für Internet und Gesellschaft
Naturwissenschaften:
- Ankit Kariryaa, Universität Bremen
- Theresa Tran, Lufthansa Industry Solutions
Technik- und Ingenieurwissenschaften:
- Dorothea Koert, Technische Universität Darmstadt
- Michael Lutter, Technische Universität Darmstadt
Lebenswissenschaften:
- Elisabeth Hoppe, Friedrich-Alexander-Universität Erlangen-Nürnberg
- Titus Brinker, Nationales Centrum für Tumorerkrankungen Heidelberg
Technische Leistungsfähigkeit – für die GI wichtiger als Datenschutz und -sicherheit?
Das Vorantreiben der Entwicklung war dem Veranstalter offenbar besonders wichtig. Eine ähnliche Bedeutung hätten Datenschutz und Datensicherheit verdient: Die Datenschutzaufsichtsbehörden aus Bund und Ländern wollen Belege dafür gefunden haben, „dass mit KI-Systemen häufig personenbezogene Daten verarbeitet werden und diese Verarbeitung Risiken für die Rechte und Freiheiten von Menschen birgt“.
Zu den Risiken gehört, dass sich Sprache, Mimik und Gestik der Menschen in Zukunft massenhaft und bösartig imitieren lassen könnten – in der Konsequenz könnte das zu besonders „innovativen“ Formen des Chefbetrugs führen: Irgendwann erhält der Buchhalter seine betrügerischen Nachrichten vom vermeintlichen Chef nicht mehr wie heute per Mail, sondern per Videoanruf.
Die Verantwortlichen nach Datenschutzgrundverordnung (DSGVO) sind daher zu Maßnahmen verpflichtet, mit deren Hilfe sich die Risiken begrenzen lassen, die mit einer „Offenlegung“ der (multimedialen) personenbezogenen Daten verbunden sind. Dies gilt nach Artikel 32, Absatz 2 DSGVO unabhängig davon, ob diese Offenlegung „unbeabsichtigt oder unrechtmäßig“ zustande kommt. Damit noch lange nicht genug: Der Verantwortliche ist nicht nur für das Umsetzen der Vorschrift „verantwortlich“, sondern muss die Umsetzung – der „Rechenschaftspflicht“ sei dank! – auch noch „nachweisen können“.
Ergeben sich aus dem Risikomanagement des Unternehmens „hohe Risiken“, so ist nach Artikel 35 DSGVO außerdem eine Datenschutzfolgenabschätzung (DSFA) vorzunehmen. Die Verwendung von KI zur Verarbeitung personenbezogener Daten verpflichtet nach Ansicht der Behörden grundsätzlich zu dieser Maßnahme.
DSFA verlangt nach Beschreibung, Bewertung und Begrenzung der Risiken
Die Datenschutz-Folgenabschätzung (DSFA) enthält dem Gesetzgeber zufolge „zumindest Folgendes:
- 1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen [...] und
- 2. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“
Kriminelle KI: Nur die Stärksten werden überleben!
Wer die Durchführung der DSFA nachweisen kann, hat alles in seiner Macht stehende getan, um sich vor krimineller künstlicher Intelligenz zu schützen. Das ist das SOLL nach DSGVO. Tatsächlich sollen „einige Unternehmen und Hochschulen“ nach Beobachtung von Ansgar Hinz, dem Chef des VDE Verbands der Elektrotechnik Elektronik Informationstechnik e.V. noch nicht einmal einen „Überblick darüber“ haben, „ob sie schon einmal Ziel eines Cyber-Angriffs waren“.
Das Problem besteht nun darin, dass nicht nur die Konzerne, sondern jedes KMU, jedes Jungunternehmen, jede Hochschulausgründung und jedes Forschungsprojekt sich auf dieses Angriffsniveau wird einstellen müssen; es gilt: Je erfolgversprechender die jeweilige Anwendung ist, desto attraktiver ist sie für kriminelle KI!
KI-Newcomerinnen verarbeiten keine personenbezogenen Daten?
Auf die Frage, welche Bedeutung die Kriterien Datenschutz und -sicherheit bei dem Wettbewerb hatten, antwortet GI-Pressesprecher Nagel: „Wir konnten bei der Vorauswahl keine tiefergehende Bewertung der jeweiligen Arbeiten der Newcomer*innen vornehmen – das wäre bei mehr als 100 Nominierungen und Bewerbungen leider aus Ressourcengründen nicht möglich gewesen“. Ob derartige Erwägungen bei der der Online-Wahl durch die Öffentlichkeit in einzelnen Fällen eine Rolle gespielt hätten „können wir nicht sagen“.
Leonid Berov, Ankit Kariryaa, Theresa Tran, Dorothea Koert, Michael Lutter und Titus Brinker haben auf die Mail von Security-Insider nicht geantwortet. Gunay Kazimzade hat die Fragen nicht beantwortet, aber immerhin ein Gespräch angeboten. Shirley Ogolla und Elisabeth Hoppe halten diesbezügliche Fragen für ihre Projekte für irrelevant – etwa weil sie sich mit Forschung und „Vorentwicklung“ beschäftigen würden. Niki Kilbertus ist der Ansicht, dass „Datenschutz und -sicherheit natürlich immer auch eine große Rolle“ spielten. Da er jedoch „nicht direkt auf die Anwendung im Unternehmen/der echten Welt“ aus ist, ist ihm „nicht bekannt, dass eine von uns entwickelte Idee irgendwo tatsächlich bereits Anwendung finden würde“.
Nicht nur die GI vernachlässigt die Risiken
Der Wettbewerb der GI scheint regelrecht stellvertretend für die Situation in der Wissenschaftsgemeinde insgesamt zu stehen: In ihrer „Strategie Künstliche Intelligenz“ kündigt die Bundesregierung Ende 2018 an, sie werde „einen Runden Tisch mit Datenschutzaufsichtsbehörden und Wirtschaftsverbänden einberufen, um gemeinsam Leitlinien für eine datenschutzrechtskonforme Entwicklung und Anwendung von KI-Systemen zu erarbeiten und Best-Practice-Anwendungsbeispiele aufbereiten.“
Einen Runden Tisch, der der Wissenschaft bei der Anwendung der DSGVO helfen würde, konnte der Autor nicht finden – sinnvoll könnte ein solches Angebot für die Verwaltungen sein: Bei einem Angriff auf die Universität Gießen sollen auch die „Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek“ zumindest zeitweise funktionsuntüchtig gewesen sein.
Genauso in der Forschung – eine wissenschaftliche Datenbank der Universität Maastricht soll von Angreifern zwecks Erpressung verschlüsselt und womöglich zuvor auch noch gestohlen worden sein. Die Wissenschaft kämpft wie alle anderen Institutionen gegen bösartige Angriffe – und darum, ihrer „Rechenschaftspflicht“ nach DSGVO zu genügen.
Leistung, mehr Leistung, noch mehr Leistung!
Ohne auf eine diesbezügliche Erfolgsmeldung zu warten, wird weiter an „innovativen“ Lösungen geschraubt: Das Fraunhofer-Institut für Zuverlässigkeit und Mikrointegration (IZM) hat zusammen mit dem Robert-Bosch-Krankenhaus in Stuttgart ein „vollkommen kabelloses Verfahren" entwickelt, um die diagnostische Magenspiegelung mit flexiblen Endoskopen durch eine Kapsel zu ersetzen: Diese soll sich magnetisch steuern lassen. Die Projektpartner hoffen, dass die Magenspiegelung künftig vom Hausarzt durchgeführt werden kann. Wenn jedoch „Gesundheitsdaten durch Sensoren beim Patienten (z.B. Blutzucker, Sauerstoffmaske,...) detailliert und systematisch“ erhoben und verarbeitet werden sollen, unterstellen die Datenschutzaufsichtsbehörden in Bund und Ländern per se „hohe Risiken“ und verlangen nach einer DSFA. Weder das IZM noch das Krankenhaus haben sich zu der Frage geäußert, wie aufwendig die Maßnahmen zu den nach DSGVO vorgeschriebenen Maßnahmen waren – neben der DSFA werden etwa auch die Verschlüsselung und die Pentests in der Verordnung verlangt. Und: Verantwortlich wären auf lange Sicht nach DSGVO nicht Bosch oder das IZM, sondern der untersuchende Hausarzt.
Dabei wollen nicht nur große Institutionen, sondern auch junge Unternehmen die künstliche Intelligenz zur Verarbeitung personenbezogener Daten einsetzen – etwa beim personalisierten Lernen, zur Unterstützung von Servicemitarbeitern mit Hilfe „intelligenter Brillen“ oder für die Kundenkommunikation durch virtuelle Roboter. Mit diesen drei Anwendungen haben frühere Mitarbeiter des DFKI Unternehmen gegründet; auf der Internetseite des Forschungsinstitut heißt es: „Seit seinem Bestehen sind aus dem Deutschen Forschungszentrum für Künstliche Intelligenz 96 Ausgründungen mit mehr als 2500 Arbeitsplätzen hervorgegangen. Davon sind derzeit 56 Spin-off Unternehmen aktiv.“
Die Charité beschäftigt 15 Personen zur Bewältigung der DSFA
Die genannten Beispiele verarbeiten personenbezogene Daten. Für diese gilt daher die DSGVO; das bedeutet jedoch für die Übrigen noch lange nicht, dass sie in Zukunft keine Folgen abschätzen müssen; die Datenethikkommission verlangt in einem Gutachten: „Bei algorithmischen Systemen ab einem gewissen Schädigungspotenzial [...] ist es jedoch sachgerecht und zumutbar, dem Anbieter/Anwender eine angemessene Risikofolgenabschätzung zur Einschätzung des mit einem System verbundenen Risikos und ihre Veröffentlichung gesetzlich abzuverlangen. Je kritischer das System, desto umfangreicher muss die Risikofolgenabschätzung ausfallen.“
Bei der Berliner Charité scheint es besonders kritische Systeme zu geben; deren Chef will – so die „Zahnärztlichen Mitteilungen“ „allein 15 Mitarbeiter eingestellt (haben), die sich ausschließlich um die Folgenabschätzung der Datenverarbeitung kümmern, wie sie die neue EU-Datenschutz-Grundverordnung vorschreibt.“ Innovative Unternehmer müssen also vornweg überlegen, ob sie sich das Abschätzen der Folgen leisten können.
Die Rödl & Partner GmbH Wirtschaftsprüfungsgesellschaft ist der Ansicht, die Meinung zur Datenschutzgesetzgebung habe sich vielerorts „nicht geändert“: „Sie wird häufig als Behinderung der betrieblichen Praxis und der Wettbewerbsfähigkeit angesehen – immens aufwendig und realitätsfern“. Dabei bleiben die Wirtschaftsprüfer jedoch die Antwort auf eine Frage schuldig: Wie können sich die Verantwortlichen mit einer geänderten DSGVO besser vor krimineller künstlicher Intelligenz schützen als mit der vorhandenen?
(ID:46639411)