:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Alexa, Siri und Cortana im Unternehmen Nutzen und Risiko von Sprachassistenten
Sprachgestützte Assistenzsysteme erobern derzeit den privaten Markt. Alexa, Siri und Co. wollen die Kommunikation zwischen Mensch und Maschine vereinfachen und den Anwender unterstützen. Jetzt gibt es erste Business-Versionen dieser Assistenten. Die haben zwar einen unbestreitbaren Nutzen, bringen aber auch neue Sicherheitsrisiken mit sich, auf die kaum eine IT-Abteilung vorbereitet ist.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
KI-gestützte Spracherkennung eröffnet neue Möglichkeiten und Anwendungen. Dies ist eine logische Folge in der IT-Entwicklung, denn trotz der komplizierten Sprachlogik, redet der Mensch schneller, als er über Tastatur Kommandos eingibt. Wie sich das in Zukunft gestalten wird, kann man heute schon ausprobieren, wenn man digitale Sprachassistenten, wie Google, Amazons Alexa oder andere Produkte zu sich nach Hause holt.
Über zusätzliche Funktionen kann man dann auf Elemente der physischen Welt zugreifen und Lichtquellen schalten, Thermostate regeln, den Fernsehkanal wechseln, die Kaffeemaschine steuern oder Haushaltshelfer anweisen, Staub zu saugen oder den Rasen zu mähen. Oder auch alternativ, die Funktion einer Alarmanlage wahrzunehmen und auf Vorgänge (Wasser im Keller, Rauch in der Wohnung, geöffnete Eingangstüre, defektes Fensterglas etc.) zu reagieren.
Unternehmensnutzen
Auch für Firmen bieten diese Sprachassistenten Vorteile. Man denke beispielsweise nur an Funktionen wie:
- Ergänzende Pförtnersysteme für Unternehmensbesucher
- Informationsstellen für Messe-Bescher, die neue Produkte präsentieren
- Monitoring für das Facilitymanagement mit Verzicht auf (teure und spezifische) Geräte
- Catering-Services (Smart-Kaffeemaschine)
- Zugangskontrolle Sonderbereiche (Rechenzentrum, Server-Raum etc.)
- Raum- und Equipment-Überwachung
- Buchen und Verwalten von Besprechungsräumen etc.
Möglich ist dies alles, dank WLAN, denn dieses ist oft schon flächendeckend innerhalb der Unternehmen im Einsatz und reduziert damit die Aufwendungen die sich bei Nutzung monolithischer IT-Systeme zur Steuerung und dem Monitoring für Sondersysteme ergeben (Kabel verlegen, Schnittstellen zu SIEM einrichten etc.).
Idealerweise kann man in einem abgesicherten und definierten Umfeld als Unternehmen und auch als Privatperson testen, was bei der Interaktion von Sprachassistenten und physischer Sicherheit zu beachten ist.
Hierbei steht neben der technischen Umsetzung vor allem Sicherheit im Focus, denn eine unberechtigte Nutzung führt das gesamte System ad absurdum.
Schwachstellen
IoT und Sprachassistenten werden oft gemeinsam zur Präsentation von Ideen genutzt, die eine innovative Lösungen aufzeigen. Bei beiden Systemen stellt jedoch gegenwärtig jedoch die fehlende oder auch mangelhafte Authentisierung das größte Problem dar. Beispielsweise kann jeder Mensch, dem Sprachassistenten von Amazon kommunizieren. Der einzige Authentisierungsmechanismus stellt dabei das Schlüsselwort dar, mit dem der Assistent gerufen wird. In 95 Prozent aller Fälle ist dies „Alexa“ – keine große Hürde. Leider werden aktuell lediglich vier Rufnamen unterstützt – „Alexa“, „Computer“, „Echo“ und „Amazon“. Die Nutzung eines frei definierbaren Rufwortes (aka Aktivierungswort) ist (noch) nicht möglich. Auch Google stellt diese Funktion noch nicht zur Verfügung und beschränkt sich auf ein „OK, Google“ und „Hey, Google“ als Rufnamen.
Sofern also ein Angreifer den Rufnamen kennt, kann er Befehle erteilen. Eine Stimmanalyse, wie sie sie zukünftig als „Standard“ angedacht ist und zur Legitimierung des Kommunikationspartners genutzt wird liegt noch in weiter Ferne.
Was hingegen machbar ist, dass eine bestimmte Aktion, eine (eingeschobene) Legitimation, gesteuert durch das jeweilige Programm, anfordert. Allerdings dürften Dialoge, wie der nachfolgende eher Kontraproduktiv sein:
Hey Compi, schalte alle Lichter an und mach mir einen Espresso!> OK, das habe ich verstanden. Bitte das Berechtigungspasswort für den Zugriff auf die DeCofe-762-Kaffeemaschine nennen„Gib Manna“>“Gib Mama“ ist nicht das richte Berechtigungspassort. Der Zugriff auf DeCofe-762-Kaffeemaschine wird abgebrochenUm die Nutzung von nicht autorisierten Personen einzuschränken, wird auch immer wieder auf die nachfolgenden Sicherheitsempfehlungen hingewiesen:
- Sprachassistenten sollten nicht in der Nähe von Rundfunk- und Fernseh-Geräten platziert werden (Alexas Affinität zu Puppenhäusen ist bekannt)
- Fenster und Türen sollen bei Verlassen des Raumes geschlossen sein, damit nicht ein Eindringling von außerhalb rufen kann „Alexa, öffne die Eingangstüre“
- Die Wiedergabe von Musik etc. in der Nähe des Hörbereichs digitaler Assistenten (Dolphin-Attacke) sollte eingeschränkt sein bzw. kontrolliert erfolgen
- Schalten Sie das Mikrofon aus beziehungsweise den gesamten Sprachassistenten, wenn sie ihn nicht nutzen
Leider würde die Umsetzung dieser Regeln wieder viel von dem Komfort vernichten, den man als User haben möchte. Auch in Unternehmen wird die Umsetzung derartiger Forderungen an vielfältigen Problemen scheitern.
Generell gilt, dass die Angriffsmethoden gegen die Autorisierung innovativ aber auch trivial sein können. Dies offenbart sich beispielsweise darin, dass man auch Anrufbeantworter bei der Nutzung von Sprachassistenten auch auf Stumm schalten sollte. Das beliebte „mithören, wer da anruft“ kann nämlich auch dazu genutzt werden, um den Sprachassistenten eine Anweisung zu geben. Im Gegensatz zu Sprachassistenten, haben Cyberkriminelle eine reale Intelligenz, die sie (leider) auch für erfolgreiche Angriffe einsetzen.
:quality(80)/images.vogel.de/vogelonline/bdb/1413100/1413196/original.jpg "Fremdlauscher: Digitale Diener wie Amazons Echo setzen nicht nur Kommandos von ihren Besitzern in Aktionen um. (Amazon)")
Unhörbarer Angriff
Versteckte Kommandos tricksen Alexa, Siri und Co. aus
Sprachassistenten for Business
Bei den Herstellen man aber die Chancen und Probleme erkannt und geht diese in einer eigenen Sparte an. So gibt es von Microsoft eine Business-Integration von „Cortana“ und Amazon schickt „Alexa for Business“ (AfB) ins Rennen.
Wobei Amazon aktuell beste Chancen hat, einen Standard zu etablieren. Denn durch die private Durchdringung ist das Prinzip des Systems und der Komponenten bereits vielen Computer-Anwendern vertraut. Nach einer Umfrage haben in Deutschland rund 6 Prozent aller Online-User ein Echo-Gerät daheim und zum Vergleich in den USA über 15 Prozent.
Amazon kündigte auf seiner Veranstaltung AWS re:Invent 2017 Alexa for Business an. Dabei soll Alexa for Business (AfB) die Anwender am Arbeitsplatz entlasten und unterstützen. AfB unterscheidet dabei zwischen öffentlichen und privaten Geräten. Öffentliche stehen in Besprechungsräumen zur Verfügung und erlauben es beispielsweise das Umfeld zu beeinflussen mit Anweisungen wie:
- Starte den Projektor
- Dimme das Licht
- Lautsprecher lauter
- Jalousien öffnen
Gegenwärtig können die folgenden Geräte: Echo Plus, Echo und Echo Dot (2. Generation) verwendet werden. Als persönliche Geräte, die sich am Arbeitsplatz des Anwenders befinden, können Echo Show, Echo Spot, Echo Plus, Echo und Echo Dot sowie Alexa-fähige Geräte anderer Hersteller genutzt werden. Die persönlichen Geräte unterstützen den Anwender, nach einer Anmeldung, bei den anfallenden, zeitintensiven Kleinst-Managementtätigkeiten wie:
- Besprechungsraum reservieren
- Zu einer Besprechung einladen und teilnehmen
- Kalendertermin überwachen
- Aufgabenlisten verwalten
Wobei sicherlich neue Tools wie Transcribe, mit denen Amazon ein automatisiertes, grammatikalisch korrektes Protokoll von Besprechungen verspricht, all die aufhorchen lässt, die nach Stunden damit verbringen, Besprechungsprotokolle zu verfassen. Für AfB gibt es auch ein interessantes Preismodell, welches je nach Gerät und Anwender unterschiedliche Nutzungskosten beinhaltet. Wer hier zu rechnen anfängt, sollte nicht den Nutzen außer Acht lassen. Denn beispielsweise allein die API „ResolveRoom“ hilft Kosten zu reduzieren. Denn damit können Besucher oder ortsunkundige Personen durch die teilweise labyrinthartigen Gebäude gelotst werden, indem sie an Info-Points aufgestellt werden und der Person den Weg weisen. Beispielsweise für Krankenhäuser oder Museen mit einer großen Besuchermengen eine überlegenswerte Innovation – denn anstatt 8 Wegeschilder in verschiedenen Sprachen aufzuhängen reicht nun ein kleiner Lautsprecher völlig aus, der den Fragenden instruiert.
Die IoT-Schnittstelle
Sprachassistenten sind die eine Seite der Münze, steuerbare IoT-Systeme die andere. Ebenso wie auch bei Sprachassistenten gibt es in den zahlreichen Gadgets eine Vielzahl von Optionen, die man beachten sollte inklusive einer unbekannten Anzahl von Programm- und Implementierungsfehlern. Bei einer Lichtsteuerung oder einem Staubsauger mag sich der potentielle Schaden noch in Grenzen halten, aber wird eine Heizungssteuerung, ein Türen-Zugangssystem, ein Lüftungssystem oder eine hydroponische Anlage damit geregelt (Bewässerung in einer Gärtnerei) kann schnell Schaden entstehen!
Wobei, dies nicht unbedingt zu Lasten von Sprachassistenten gehen muss, denn diese sind nur der verlängerte Kommunikationsweg und nicht die anfällige Produktsteuerung selbst.
Organisatorische Herausforderungen
Das eine Nutzung von Sprachassistenten wie AfB und ggf. daran angeschlossener IoT-Geräte neue Herausforderungen mit sich bringen wird steht außer Frage. Wobei eine elementare Thematik sicher der Sprachgebrauch – oder besser Lärmpegel sein wird. Bei der zunehmenden Durchdringung von Großraumbüros gehören heute schon Telefonkonferenzen, Viel-Telefonier oder die Mitarbeiter, die etwas lauter sprechen zu den am häufigste genannten Belästigungen in den offenen Bürolandschaften. Wie man hier, Vertraulichkeit, abseits der DSGVO erreichen will und den Lärmpegelsenken, ist eine Thematik die Architekten, Raumplaner und Security-Leute noch herausfordern wird. Wobei uns Astronauten-Helme, als ideale Problemlösung, am Schreibtisch hoffentlich erspart bleiben.
Empfehlung
Derzeit erobern sprachgestützte Assistenzsysteme bevorzugt den privaten Markt, mit technologischen Schwerpunkten, die im Bereich Unterhaltung und einfacher Automatisierung zu finden sind.
In Unternehmen beschäftigen sich bestenfalls Innovation-Teams mit der Thematik oder bringen spezialisiere Company-Lösungen im kleinen Umfang auf den Weg. Eine breite Nutzung von Sprachassistenten, um z.B. den innerbetrieblichen Wissensaustausch zu forcieren, Anfragen zu stellen, Aufträge zu erteilen oder eine Erprobung als Messanger-Ersatz zu testen sind nicht in der Fläche vorhanden. Es scheint oft so, als würde man sich zurückhalten, bis das Problem der Legitimation und vertrauenswürdigen Kommunikation komfortabel und sicher gelöst ist.
Es scheint auch so, als würde die Forschung im KI-Bereich bevorzugt den typischen Vertretern obliegen, die auch am meisten davon profitieren. Daniel Fagella, stellt hierzu in seinem Artikel „Valuing the Artifical Intelligence Market, Graphs and Predictions“ fest, dass die Nutzung im Bereich KI sehr individuell ausfallen (Quelle: Aman Naimat & O‘Reilly) – Cyberintelligenz: 22 Prozent, Gesundheitswesen: 10 Prozent und Fertigungsautomatisierung: 8 Prozent.
Es ist schade, dass Firmen, die einen ausreichend dimensionierten IT-Bereich haben, nicht in die Bresche springen und die sich ergebenden Chancen intensiver nutzen. Selbst wenn dies zu Fehlern und Problemen führt – man lernt daraus und die Forderung nach der Beseitigung von Schwachstellen durch Verbände, Vereinigungen oder großen Unternehmen findet bei den Herstellen eher Gehör als durch einen einzelnen User. Vor allem, da der entsprechende Nachdruck gegeben ist, denn im Business geht es auch um Geld und da hört ja bekanntlich alle Freundschaft auf.
Gravierender ist aber die Chance, die für Investoren, Forscher, Dienstleister und Versicherer ungenutzt verstreicht, Wissen und Erfahrungen zu sammeln. Denn der Business-Bereich ist noch für viele gänzlich unentdecktes Terrain, bei dem Chancen aber auch Risiken lauern! Aber auch, was heute im privaten Umfeld mit einem Rasenmähroboter erprobt wird, ist morgen in einem hochtechnisierten, ferngesteuerten Ernteroboter im Einsatz, der nicht von einem Ingenieur oder IT-Experten, sondern von einem Landwirt instruiert wird. Nicht Längen und Breitengrade geben die Erntewege vor, sondern verbale Anweisungen in normaler Sprache, wie „Ernte Feld mit Flurnummer 117/225 und spare die Zufahrtswege 22 und 23 mit einer Distanz von 5 Meter aus. Sende alle 30 Minuten eine Statusmeldung bezüglich Erntegrad und Gerätezustand und eine Alarmmeldung bei Ereignissen der Kategorie Problem oder Fehler“.
(ID:45460579)
:quality(80)/images.vogel.de/vogelonline/bdb/1896300/1896342/original.jpg "Besonders die Sicherheitsrisiken durch Zulieferer werden von Unternehmen oft nicht vollständig überblickt und fundiert eingeschätzt. (kras99 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953600/1953606/original.jpg "KI ist eine Chance, aber auch ein Risiko. Wie geht man mit durch KIs verursachten Fehlern um, wer trägt die Verantwortung? (Kaikoro - stock.adobe.com)")