Von unserem Gastautor Eric Winston, EVP, General Counsel and Chief Ethics & Compliance Officer, Mphasis

[datensicherheit.de, 16.11.2022] Künstliche Intelligenz (KI) unterstützt bereits heute viele Unternehmen bei ihren alltäglichen Aufgaben. Der Einsatz kann jedoch auch kritisch betrachtet werden, denn mit neuen Technologien kommen unweigerlich nicht beabsichtigte Folgen, sobald die Möglichkeiten dieser Technologie erforscht und getestet werden. Vorurteile der Hersteller bzw. Programmierer können dabei in die KI mit einfließen. Dem können die Unternehmen entgegenwirken, indem sie auch in Bezug auf KI ethisch handeln und transparent mit Kunden und Partnern kommunizieren.

Eric Winston, Mphasis | Bild: Mphasis

Verständnis für potenzielle Schäden durch KI nötig

Machine Learning (ML) Modelle erkennen Muster und Datenbestände. Das befähigt sie dazu, zu lernen und eigenständig Lösungen zu finden. Die Bandbreite reicht von Nachfragevorhersagen bis hin zu Betrugserkennung. Wichtig ist, dass vor der Einführung eine Einschätzung der Risiken des KI-Einsatzes durchgeführt wird. Sie beginnt mit dem Verständnis der potenziellen Schäden, die KI verursachen kann.

Beispielsweise könnte dies die Diskriminierung von Geschlechtern betreffen, wie es etwa 2019 bei Apple passiert ist. Bei der Prüfung auf Kreditwürdigkeit wurden deutlich mehr Frauen bei ähnlichen Anträgen auf die Kreditkarte abgelehnt als Männer – teilweise war der Unterschied zehnfach so groß. Ebenfalls wurden Frauen beim Bewerbungsverfahren des Online-Händlers Amazon als weniger geeignet von der KI bewertet als Männer, sodass deren Lebensläufe der HR-Abteilung nicht angezeigt wurden. Kein Einzelfall: Viele Beispiele für negative, ethische Folgen finden sich in den letzten Jahren in einer Vielzahl aufsehenerregender Zeitungsartikel – von rassistischer Voreingenommenheit in Algorithmen im Gesundheitswesen über Rechenmaschinen zur Rückfallkriminalität bis hin zu hasserfüllten Chatbots.

Problemkind KI-Bias

Das Problem des KI-Bias, also der Voreingenommenheit, liegt darin, dass die Gründe für die KI-Modell-Ergebnisse nicht recherchiert und die richtigen Fragen nicht gestellt werden: Wie funktioniert das Modell, was sind die wichtigsten Daten-Inputs, welche Eingaben haben zu diesem Ergebnis geführt oder auch wie würde das Modell reagieren, wenn eine bestimmte Eingabe verändert wird? Diese Fragen müssen geklärt und transparent sowohl Mitarbeitern als auch Kunden gegenüber kommuniziert werden, um zuverlässige Ergebnisse zu erhalten und glaubwürdig zu bleiben. Da bei der Weiterverarbeitung der Analyse-Ergebnisse oft kein Mensch mehr eingreift, wirkt sich jede Unregelmäßigkeit im Ergebnis direkt auf öffentliches Erscheinungsbild, als auch auf die daraus resultierenden Handlungen im Geschäft aus.

Vorhersagen, Fragen zur Vertrauenswürdigkeit, Verzerrungen und Wahrhaftigkeit können nicht beantwortet werden, ohne zu verstehen, wie ein ML-Modell funktioniert. Ohne dieses Verständnis ist es schwer, ein System richtig zu bewerten und zu diagnostizieren. Grundsätzlich gilt: Wenn das KI-System für den menschlichen Konsum oder die menschliche Interaktion konzipiert ist oder sich auf Daten stützt, die von oder über Menschen gesammelt wurden, dann ist eine ethische Analyse wahrscheinlich gerechtfertigt. Über folgende fünf Best Practices lässt sich das Vertrauen zwischen Verbraucher und Unternehmen festigen

1. Bedeutung von ethischer KI definieren: Im ersten Schritt müssen Unternehmen für sich definieren, was ethische KI für sie bedeutet und diese ihren Stakeholdern kommunizieren. Diese Definition sollte Kernwerte wie Kundenzufriedenheit und Mitarbeiterengagement widerspiegeln.
2. KI-Ethikbeauftragten engagieren: KI-Ethikbeauftragte (Chief AI Ethics Officer) sorgen im nächsten Schritt dafür, dass die Anwendung nach den zuvor festgelegten Vorgaben erfolgt. Sie überwachen und bewerten die Einbindung von KI in ein System und schränken die Rechte gegebenenfalls ein, sodass KI nicht für umstrittene Funktionen wie beispielsweise die Gesichtserkennung eingesetzt wird. Dazu führten das MIT und die Stanford University mit den Variablen Hauttyp und Geschlecht Studien durch. So weisen Anwendungen für die Gesichtserkennung bei dunkelhäutigen Frauen eine Fehlerquote von mehr als 34 Prozent auf.
3. KI-Ethik- und Qualitätssicherungsprüfung: Es braucht eine KI-Ethik- und Qualitätssicherungsprüfung als integralen Bestandteil der Produktentwicklung sowie bei Freigabezyklen. Dabei sollten sich Unternehmen auf verschiedene Anwendungsszenarien und daraus resultierende Ergebnisse konzentrieren – und sicherstellen, dass die verwendeten Datensätze angemessen repräsentativ und vorurteilsfrei sind.
4. Kunden adressieren: Indem sich Unternehmen direkt an den Kunden wenden, lässt sich der ethische Einsatz von KI ebenfalls sicherstellen. Hier gilt es, zu erklären und zu beschreiben, welche Daten zu welchem Zweck gesammelt und genutzt werden. Darüber hinaus kann das Unternehmen einen sachverständigen Aufsichtsausschuss als Experten einsetzen, um neu entwickelte, KI-gestützte Tools zu testen. Diese Offenheit kann die möglichen Bedenken hinsichtlich des ethischen Einsatzes von KI zur Bereitstellung von Produkten oder Dienstleistungen bei den Kunden erfolgreich zerstreuen.
5. Daten transparent machen: Da komplexe Algorithmen undurchsichtig erscheinen können, ist es wichtig, die Datenverwendung transparent zu machen. Auch wenn Unternehmen ihr geistiges Eigentum beschützen wollen, sollten sie sich überlegen, ihren Kunden zu erklären, welche Daten zu welchem Zweck gesammelt und genutzt werden. Dabei sollte die Erklärbarkeit nicht nur bei den Modellvorhersagen, sondern auch bei den technischen Prozessen und Designentscheidungen im Vordergrund stehen.

Wie KI die Cyber-Security unterstützt

Gerade mit Blick auf die rasant ansteigende Zahl an Cyberattacken sollten Unternehmen sich der Relevanz des ethischen Umgangs mit KI bewusst sein. Denn es braucht diese Art von Lösungen in der Cyber-Security, um mit der schnellen Entwicklung von neuen Hacking-Methoden mithalten zu können. Datensicherheitsrelevante Vorgänge – etwa Entdecken, Klassifizieren und Wiederherstellen – lassen sich automatisieren. Data Loss Prevention (DLP), Tokenisierung oder Verschlüsselung sind hier mögliche Einsatzgebiete.

Transparente Kommunikation baut Vertrauen auf

Wichtig ist, dass sich Unternehmen ihrer Verantwortung gegenüber ihren Kunden und Partnern bewusst sind. Nur über transparente Kommunikation zu den verwendeten KI-Lösungen sowie zu den definierten Kernwerten baut sich Vertrauen auf. Dazu gehört unter anderem zu erklären, was die KI vertrauenswürdig und vorurteilsfrei macht. Dies ermöglicht allen Beteiligten zu verstehen, wie sich die Modellvorhersagen mit unterschiedlichen Eingaben ändern.

Bei der Datentransparenz gilt es, die Rückverfolgbarkeit von der Datenerfassung und -kennzeichnung bis hin zu den eingesetzten Algorithmen zu gewährleisten. Entscheidungsträger können so das volle Potenzial von KI nutzen und gleichzeitig die Risiken für das Geschäft minimieren. Hier können sich Unternehmen auch an dem Bericht „Ethics Guidelines for Trustworthy AI“ der von der Europäischen Kommission eingesetzten Expertengruppe für Künstliche Intelligenz orientieren.

Weitere Informationen zum Thema:

datensicherheit.de, 15.08.2020
KI-Training: Künstliche Intelligenz benötigt Daten

[datensicherheit.de, 09.10.2019] Eine neue Symantec-Studie empfiehlt Unternehmen Cyber-Security-Experten einzustellen, die bereits eigene Erfahrungen mit vermeidbaren Sicherheitsvorfällen gemacht haben. Die Studie zeigt, dass nachdem die Spezialisten solche Vorfälle bereits erlebt haben, sich das Verhalten dieser Mitarbeiter positiv verändert. Sie werden selbstbewusster und insgesamt aufmerksamer.

Die Studie basiert auf einer Befragung von 3.045 Cyber-Security-Entscheidern aus Frankreich, Deutschland und Großbritannien. Durchgeführt wurde sie von Dr. Chris Brauer, Director of Innovation bei Goldsmiths, University of London, und seinem Team im Auftrag von Symantec. Die Ergebnisse zeigen nach Angaben von Symantec deutlich: Ein überstandener Sicherheitsvorfall reduziert die künftige – gefühlte – Belastung am Arbeitsplatz der Security-Experten erheblich und erhöht gleichzeitig die Wahrscheinlichkeit, dass sie ihre Erfahrungen mit erfolgreichen Angriffen teilen, um dem gesamten Team diesen Erfahrungsschatz zugänglich zu machen.

„Es mag zunächst widersprüchlich klingen“, kommentiert Darren Thomson, CTO, Symantec EMEA, „aber wenn ich Ihnen zwei CISO-Kandidaten mit identischen Fähigkeiten anbieten würde, aber einer von ihnen den Umgang mit Regulierung weniger stressig findet, weniger wahrscheinlich an Burnout leidet und eher bereit ist, das selbst Gelernte – und dazu zählen auch Misserfolge – zu teilen, wen werden Sie wählen?“

Bei Cyber-Security-Experten, die bereits einen vermeidbaren Sicherheitsvorfall erlebt haben, ist es:

• 24% weniger wahrscheinlich, dass sie das Gefühl haben, „ausgebrannt“ zu sein.
• 20% weniger wahrscheinlich, dass sie gegenüber ihrer Arbeit Gleichgültigkeit empfinden.
• 15% weniger wahrscheinlich, dass sie sich persönlich für einen Vorfall verantwortlich fühlen, der hätte vermieden werden können.
• 14% weniger wahrscheinlich, dass sie sich ständig „zum Scheitern verurteilt“ fühlen.
• 14% eher wahrscheinlich, dass sie ihre Lernerfolge teilen.
• 14% weniger wahrscheinlich, dass sie darüber nachdenken, ihren Job zu kündigen.

Aus Fehlern lernen

Ein Ergebnis ist für Cyber-Security-Teams besonders positiv: Experten, die bereits einen Sicherheitsvorfall erlebt haben, teilen ihre Erfahrung zu 14 Prozent häufiger mit ihren Kollegen. Dies ist enorm wichtig, da die Studie gleichzeitig einen Mangel an strategischem und operativem Informationsaustausch innerhalb der Branche zeigt.

Schwerwiegende Sicherheitsvorfälle sind entscheidende Momente der Laufbahn von Cyber-Security-Experten. Aufgrund des fehlenden Informationsaustauschs, den die Studie aufdeckte, ist es schwierig, aus den Erfahrungen anderer zu lernen.

• 54 Prozent diskutieren bewusst nicht über Vorfälle oder Angriffe mit Kollegen innerhalb der Branche
• 50 Prozent berichten von einem deutlichen Mangel eines branchenübergreifenden Informationsaustausches hinsichtlich des Umgangs mit Sicherheitsvorfällen. Dies ist ein deutlicher Kontrast zu ihren Gegnern – den Cyber-Kriminellen – die Malware austauschen und auch anderweitig zusammenarbeiten.

Ein Grund für den mangelnden Informations- und Wissensaustausch scheint die Sorge um den eigenen Ruf zu sein. Dies ist allerdings nicht der einzige Faktor. 36 Prozent der Befragten geben an, dass sie besorgt sind, dass ein Angriff unter ihre Aufsicht sich negativ auf ihre Karriere auswirken kann. Daher tauschen sie sich nicht mit Kollegen oder potenziellen Arbeitgebern dazu aus.

In jeder Krise steckt auch eine Chance

Fast die Hälfte der Befragten sieht eine Krise als unvermeidlich an – es ist nur eine Frage der Zeit, bis sie stattfindet. Cyber-Security-Experten, die einen Sicherheitsvorfall erlebt haben, sind jedoch aufmerksamer. Gleichzeitig priorisiert die Geschäftsleitung in solchen Unternehmen die Implementierung von Security-Maßnahmen.

Darren Thomson empfiehlt: „Mein Rat an CEOs ist: Sie sollen bei Cyber-Security-Experten die Tatsache, dass sie bereits einen Sicherheitsvorfall erlebt haben, als Vorteil ansehen und nicht als Schwäche. Die aus dem Sicherheitsvorfall resultierende Erfahrung wirkt sich positiv auf die Eignung eines Kandidaten aus: Sie sind weniger emotional, können besser mit Druck umgehen und unterstützen ihre Kollegen besser.“ 

Ben King, Chief Security Officer, Symantec EMEA, ergänzt, „Mein Rat an CISOs ist, aus jeder „Krise in der IT-Sicherheit“ etwas zu lernen. Ein Sicherheitsvorfall bietet Unternehmen die Möglichkeit, neue und verbesserte Abläufe und Services einzuführen. Cyber-Security-Teams erhalten durch einen Vorfall die seltene Chance, Kollegen die Security-Herausforderungen und sich wandelnden Angriffsmethoden zu verdeutlichen. Weiterhin ist es eine Chance, höhere Budgets und meist dringend benötigte Team-Mitglieder einzufordern. Cyber-Security-Experten erhalten so die Möglichkeit, Veränderungen voranzutreiben, die im normalen Tagesgeschäft nur schwer durchzusetzen sind.“

Aus der qualitativen Forschung, die aus intensiven Gesprächen mit Sicherheitsverantwortlichen im Rahmen der High-Alert-Studie gewonnen wurde, ergaben sich fünf wichtige Empfehlungen, um den Umdenkungsprozess im Unternehmen voranzutreiben und um nach einem Breach, die Katastrophe in eine Chance zu entwickeln.

Über die Studie

Die High Alert-Studie wurde von Symantec in Zusammenarbeit mit Dr Chris Brauer, Director of Innovation, Goldsmiths, University of London, und der Forschungs-Beratung Thread durchgeführt. Die Forschungsarbeit wurde von Dr Chris Brauer und Dr Jennifer Barth begleitet und von Sean Duggan geleitet. Die deutschen und französischen Zahlen für die quantitative Studie stammen von Censuswide; die britischen Zahlen von YouGov.

Die Feldarbeit wurde im Winter 2018 durchgeführt. Die Forschung verwendete quantitative Methoden, um die Einschätzungen von Cyber-Security-Experten in Führungspositionen in den drei Ländern Frankreich, Deutschland und Großbritannien zu messen, auszuwerten und zu differenzieren.
Die Befragungen wurde an 3.045 Personen in Frankreich (1.002 Teilnehmer), Deutschland (1.003 Teilnehmer) und in Großbritannien (1.040 Teilnehmer) in mittleren oder oberen Führungspositionen mit einer Entscheider-Rolle im Cyber-Security-Bereich verteilt.

Die Ergebnisse basieren auf einer Sekundärerhebung, der erfahrenen Cyber-Security-Experten einen persönlichen Einblick gaben. Die Umfrage bestand aus 43 Punkten, die in neun Fragegruppen organisiert waren, mit einer fünf-stufigen Antwortskala, die es den Befragten ermöglicht, im Rahmen dieser spezifischen Untersuchung selbst zu berichten. Die Umfrage enthielt auch Fragen zur Erhebung demographischer Daten.

Weitere Informationen zum Thema:

Symantec
NACH DEM ANGRIFF – Wie man aus einer Katastrophe einen Erfolg macht

datensicherheit.de, 28.04.2019
Symantec-Studie: Wachsender Druck auf Security-Experten

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 16.01.2017
Erster CISO-Ratgeber zur Analyse des Benutzerverhaltens vorgestellt

[datensicherheit.de, 23.07.2019] Hacker lauern auf Opfer und Beute im sogenannten CyberSpace – daher ist die Absicherung von Wissen und Werten in den Unternehmen genauso wie auch ein sensibler Umgang mit Daten wichtiger denn je. In ihrem neuen Buch hat Christine Deger nicht nur Fakten zusammengestellt. Sie möchte auch aufzeigen, wie sich Unternehmen und Privatpersonen schützen können.

Foto: Verlag bookboon

Christine Deger: Unternehmensberatung zur Digitalen Transformation rund um Cyber Security und agile Methoden

Cyber Security: Digitale Zukunft sicher gestalten

„Wie steht es um die Cyber-Sicherheit in Deutschland? Wie stellt sich die aktuelle Angriffslage dar? Und welche Maßnahmen ergreifen die Bundesbehörden und die Bundeswehr?“ Deger greift solche Fragen in ihrem neuen Werk auf, beabsichtigt aber, nicht nur die Fakten zusammenzustellen, sondern auch Unternehmen und Privatpersonen aufzuzeigen, wie sich sich schützen können.
Sie kennt sich demnach mit der Bedrohungslage in Deutschland bestens aus – ihre Erfahrungen aus der gelebten Praxis seien in dieses Buch eingeflossen. Die Art und Weise, wie Unternehmen sich digitalisieren, hat aus ihrer Sicht „höchste Relevanz“ – damit das gelingt, brauche es eine ganze Reihe an neuen Ideen. „Welche Maßnahmen sind minimaler Standard? Was kann, soll oder muss sowohl präventiv als auch organisatorisch gemacht werden? Und was tun im akuten Angriffsfall? Welche Prozesse sind sinnvoll und wie lassen sie sich reibungslos implementiert?“ Dazu und Zu ähnlichen Fragestellungen möchte Deger die passenden Antworten geben, um die Digitale Zukunft sicher zu gestalten.

Ziel: Sinnvolle und wirksame Verteidigungsstrategien

Die Autorin konzentriere sich dabei auf die gelebte Praxis und realistische Szenarien der Umsetzung. „Echtes Wissen kann Werte, persönlichen Daten und Privatsphäre schützen“, davon ist die Expertin überzeugt. Mit zahlreichen Praxistipps möchte sie ihre Leser motivieren, sich dem Thema Cyber Security intensiver zu widmen. Dies gelte insbesondere für Unternehmen im Rahmen der Digitalen Transformation. Die Autorin stellt Konzepte vor, um damit anschaulich zu erklären, wie der Start gelingen kann.
Als Beraterin für Cyber Security agiert Deger nach eigenen Angaben als IT-Sicherheitsbeauftragte. In ihrem Fokus steht die Frage, „wie genau Daten abgesichert werden und welche Kontrollmechanismen es gibt, um die Absicherung zu gewährleisten“. In Kooperation mit Cyberdefense-Teams kümmere sie sich gemeinsam mit anderen Experten um „sinnvolle und wirksame Verteidigungsstrategien“. So gelinge es anhand von Erfahrungswerten und fachlichem Knowhow, sinnvolle Prozesse in der Praxis einzusetzen und Cyber Security konkret anwendbar zu machen.

Praxiserfahrung aus einem Angriffen ausgesetzten Umfeld

Umfassendes IT-Wissen und der Blick auf aktuelle Entwicklungen, Kenntnis über gängige Angriffsverfahren und Knowhow zur Prozess-Implementierung in Organisationen – das alles sei von der Expertin in ihrem Buch genutzt und verarbeitet worden. Als Beraterin für Cyber Security bringe sie einen großen Erfahrungshorizont mit – und vor allem viel Praxiserfahrung aus einem solchen Angriffen bereits ausgesetzten Umfeld.
„Mein Buch gibt einen Einblick, weshalb Cyber Security so herausfordernd ist und wie verschiedene Gruppen damit umgehen. Angefangen bei der Bundesrepublik Deutschland über Unternehmen aller Größe bis hin zu Privatpersonen. Es ist mein Ansatz, klar zu machen, weshalb die Absicherung unserer Werte und ein sensibler Umgang mit unseren Daten so wichtig ist“, so Deger.

Cyber Security: Momentaufnahmen. Maßnahmen. Möglichkeiten.
Christine Deger
Verlag bookboon | 75 Seiten | 8,99 Euro | ISBN: 978-87-403-2726-7

Weitere Informationen zum Thema:

bookboon.com
Cyber Security / Momentaufnahme. Maßnahmen. Möglichkeiten.

datensicherheit.de, 04.07.2019
Forcepoint Cybersecurity Report: Trends und Entwicklungen 2019 – eine erste Bilanz

datensicherheit.de, 22.06.2019
Einfluss der Cloud auf das Thema „Cybersecurity“

[datensicherheit.de, 28.04.2019] Eine neue Studie, in Auftrag gegeben von Symantec, zeigt, wie Regulierungen, wachsende Bedrohungen und technologische Komplexität zunehmend die Cyber-Security-Entscheider in Deutschland, Frankreich und Großbritannien überfordert. Vier von fünf (82 Prozent) Security-Experten aus Frankreich, Deutschland und Großbritannien geben an, sich ausgebrannt zu fühlen. 63 Prozent denken bereits darüber nach, die Branche zu wechseln oder ihrem aktuellen Arbeitgeber zu kündigen (64 Prozent).

Symantec hat die Studie bei dem Wissenschaftler Dr. Chris Brauer, Director of Innovation bei Goldsmiths, University of London, in Auftrage gegeben. Die Studie basiert auf den Befragungen von 3.045 Cyber-Security-Entscheidern aus Frankreich, Deutschland und Großbritannien und belegt den wachsenden Druck, der aktuell in der Security-Branche herrscht.

Gesetzliche Regulierungen als Stressfaktor für Security-Experten

Gesetzliche Regulierungen stellen den größten Stressfaktor für Security-Experten dar. Vier von fünf Betroffenen berichten, dass die zunehmenden Regulierungen, zum Beispiel die EU-DSGVO und die NIS-Richtlinie, ihren Stress erhöhen. Zwei von fünf Befragten (40 Prozent insgesamt, 42 Prozent in Deutschland) äußerten ihre Bedenken, dass sie persönlich für einen Datenschutzverstoß haftbar gemacht werden könnten. Etwas mehr als die Hälfte befürchtet eine Entlassung, sollte es unter ihrer Aufsicht einen Verstoß geben. Weitere Stressfaktoren sind: zu wenig qualifiziertes Personal (80 Prozent insgesamt, 86 Prozent in Deutschland), die Größe und Komplexität des Bereichs, den sie verantworten (82 Prozent insgesamt, 91 Prozent in Deutschland) und die wachsende Zahl an Bedrohungen insgesamt (82 Prozent insgesamt, 90 Prozent in Deutschland).

„Stress hat einen großen negativen Einfluss auf unsere Fähigkeit gute Entscheidungen zu treffen“, erklärt Dr. Chris Brauer. „Er beeinträchtigt unser Gedächtnis, unser rationales Denken und unsere kognitiven Funktionen. Aber genau diese genannten Fähigkeiten sind es, die in der Cyber-Security-Branche – beispielsweise bei einem Sicherheitsvorfall – entscheidend sind. Es wird gerade bei stärkstem Druck, die Fähigkeit fokussiert und gleichzeitig kreativ zu denken als auch ein Höchstmaß an der Liebe zum Detail und rationales Handeln gefordert. Gestresste Mitarbeiter sind schnell überfordert und viele fühlen sich angesichts dieser Überforderung unfähig zu handeln. Die Gefahr ist groß, dass sich stark gestresste Mitarbeiter mental zunehmend vom stressigen Alltag abkoppeln oder letztendlich sogar kündigen, um diesem Stress zu entfliehen. In einer Branche, die bereits sehr stark unter Fachkräftemangel leidet, kann dieser Stress zu einem weiteren Risikofaktor werden.“

Hohe Alarmbereitschaft

Es ist eine Ironie des Schicksals, die zum Schutz des Unternehmens entwickelten Tools und Systeme erhöhen den Stress:

• 79 Prozent (89 Prozent in Deutschland) berichten, dass das Management von „zu vielen Cyber-Abwehr-Lösungen oder -Anbietern“ das Stresslevel erhöht.
• Zwei Drittel (68 Prozent insgesamt, 74 Prozent in Deutschland) fühlen sich durch die überwältigende Zahl an möglichen Bedrohungen zeitweise wie gelähmt.
• Ein Drittel (33 Prozent insgesamt, 35 Prozent in Deutschland) berichten, dass die hohe Anzahl an Benachrichtigungen über mögliche Bedrohungen die Situation zunehmend verschlimmert.
• Angesichts dieser enormen Arbeitsbelastung gaben die meisten Befragten an (67 Prozent insgesamt, 72 Prozent in Deutschland), dass ihr Cyber-Security-Team am Ende des Arbeitstages die Bedrohungswarnungen nicht komplett überprüft hat.

Das wirkt sich auf die Sicherheit des Unternehmens aus:

• Bereits 41 Prozent (37 Prozent in Deutschland) stimmen zu, dass ein Sicherheitsvorfall unvermeidlich scheint.
• Ein Drittel (32 Prozent insgesamt, 30 Prozent in Deutschland) sagt, dass ihre Organisation derzeit anfällig für vermeidbare Cybersicherheitsvorfälle ist.
• Ein Viertel (26 Prozent insgesamt und in Deutschland) gab zu, dass es bereits einen vermeidbaren Cybersicherheitsvorfall gab.

„Viele CISOs kennen keinen Feierabend“, erklärt Darren Thomson, EMEA CTO, Symantec. „Der aktuelle Patchwork-Ansatz für Sicherheitswerkzeuge und -strategien schafft mehr Probleme als sie zu lösen. Es gibt täglich eine Vielzahl von Warnungen und es ist nur noch schwer möglich auszumachen, welche ein gezielter Angriff und welche ein falscher Alarm ist. Der Flickenteppich aus verschiedenen Abwehrsystemen bietet durch seine Überschneidungen und Lücken, Hackern neue Angriffsmöglichkeiten.“

Die kommenden Herausforderungen

Zwei Drittel der Security-Experten (65 Prozent insgesamt, 67 Prozent in Deutschland) meinen, sie seien zum Scheitern verurteilt. Dennoch scheinen die hohe Arbeitsbelastung und der Druck nicht abzuschrecken. Die überwiegende Mehrheit der Security-Experten meinen selbst Adrenalin-Junkies zu sein, die vollständig in ihrer Arbeit aufgehen, selbst wenn es stressig werden würde (92 Prozent in Deutschland und insgesamt). Neun von zehn fühlen sich durch stressige Situationen zusätzlich motiviert und 92 Prozent (insgesamt und in Deutschland) berichten, dass sie ihr Arbeitsumfeld spannend finden.

Darren Thomson, EMEA CTO, Symantec sieht darin auch etwas Positives: „Cyber-Security-Experten werden auch zukünftig mit einer steigenden Anzahl an Herausforderungen konfrontiert sein. Enthusiasmus für stressige Situationen ist dabei vorteilhaft.“

Der schnelle Wandel und das rasante Datenwachstum stellen bereits für viele Experten eine Herausforderung dar. Vier von fünf (82 Prozent insgesamt, 91 Prozent in Deutschland) berichten, die Absicherung von zu vielen Daten an zu vielen Orten erhöht das Stresslevel im Arbeitsalltag. Fast die Hälfte der Befragten (45 Prozent insgesamt, 48 Prozent in Deutschland) gibt an, dass der technologische Wandel zu schnell kommt und ihren Teams nicht genügend Zeit lässt, sich auf die geänderten Bedingungen einzustellen.

„Cyberabwehr erfolgte seit der Internetanbindung von Computern und Systemen schon immer fast nur reaktiv“, sagt Thomson. „Mit neuen Technologien kommen aber neue Bedrohungen hinzu und mit jeder neuen Bedrohung wurde ein neuer Abwehrmechanismus entwickelt. Das führt zu einem ewigen Tauziehen zwischen Unternehmen sowie der Security-Branche auf der einen und Hackern auf der anderen Seite. Es wird Zeit, dass Unternehmen einen Schritt in Richtung eines effektiven und umfassenden Cyberabwehr-Konzepts zu gehen.“

Weitere Informationen zum Thema:

Symantec
Cybersecurity 2019 – Kapitel 1 Die Verkettung unglücklicher Umstände

datensicherheit.de, 24.04.2019
Insider Threats Report 2018 von Securonix veröffentlicht

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Cybersicherheit: Vom Kostenfaktor zum Erfolgsfaktor

datensicherheit.de, 16.01.2017
Erster CISO-Ratgeber zur Analyse des Benutzerverhaltens vorgestellt

datensicherheit.de, 09.12.2016
CISO Security Studie: Über 80 Prozent der Unternehmen mit IT-Sicherheits-Strategie

Von unserem Gastautor Gordon Herenz, Content Marketing Manager bei Peak Ace AG

[datensicherheit.de, 21.02.2019] Hacking wird in unserer vernetzten Welt zu einer immer bedrohlicheren Erscheinung, da es sowohl gesellschaftlich als auch wirtschaftlich und psychologisch großen Schaden anrichten kann. Aufgrund jüngster Cyber-Attacken auf Bundestagsabgeordnete, Journalisten und Künstler sowie auf Unternehmen wie Airbus und KraussMaffei hat das Thema Cyber Security nichts von seiner Aktualität verloren – im Gegenteil.

Das unautorisierte Eindringen, bei dem ein Hacker eine Sicherheitsschwachstelle im Netzwerk bzw. in der Software ausnutzt, kommt vergleichsweise weniger häufig vor, als man annimmt, denn es erfordert ein hohes Level an Skill und Geschicklichkeit. Im Gegensatz dazu ist es keine Kunst, unzureichend geschützte Datenbanken und Benutzerdaten ausfindig zu machen und diese Daten zu auszunutzen. Das ist jedoch von Nutzer- und Netzwerkseite komplett vermeidbar – oft genügt schon das Setzen eines sicheren Passworts. Allerdings kann dieses noch so gut sein, wenn es bekannt wird, ist es mit der Sicherheit vorbei.

„Passwörter sind wie Unterwäsche. Du darfst sie keinen sehen lassen, musst sie regelmäßig wechseln und sollst sie nicht mit Fremden tauschen.“

Menschliches Versagen, mangelnde Sicherheitsvorkehrungen oder einfach nur Faulheit machen mangelhaft geschützte Daten auffindbar – das ist allseits bekannt und dennoch gibt es keine Anzeichen dafür, dass Daten in naher Zukunft weniger exponiert sind.

Ehemalige Mitarbeiter Gefahrenquelle Nr. 1 bei Cyber-Angriffen

Mehr als 6 von 10 Cyber-Angriffen (63 Prozent) auf ein deutsches Industrieunternehmen zwischen 2016 und 2018 stammte aus dem Firmenumfeld – sei es ein aktueller oder ein ehemaliger Mitarbeiter. Diese Personen kannten die Schwachstellen des Unternehmens, die Netzwerkzugänge sowie Passwörter zu kritischen Infrastrukturen. Somit hatten diese Eingeweihten leichteres Spiel als ein außenstehender Hacker, der sich diese Daten und Informationen erst erarbeiten muss. Eine große Gefahr für die Cyber-Sicherheit von wirtschaftlichen Umgebungen stellen also die eigenen Mitarbeiter sowie auch das unternehmerische Umfeld (z.B. Kunden und Lieferanten) dar, von denen beinahe jeder zweite digitale Angriff (48 Prozent) ausgeht.

Schäden in zweistelliger Milliardenhöhe bei deutschen Wirtschaftsunternehmen

Insgesamt entstand der deutschen Industrie in dem eingangsgenannten Zeitraum ein Schaden von rund 43,5 Milliarden Euro durch Cyber-Attacken – zu den Schäden zählen Datenverlust, Image-Verluste und Umsatzeinbußen. Jede erfolgreich durchgeführte Cyber-Attacke kostet Nerven, aber vor allem auch unternehmensseitig Geld und Zeit. 8,8 Milliarden Euro mussten deutsche Firmen extra aufbringen, um ihren Image-Schaden bei (potenziellen) Kunden und Lieferanten wieder wett zu machen, 6,7 Milliarden Euro fielen wegen Ausfällen, Diebstählen und Systemschädigungen an und 5,7 Milliarden Euro flossen in Ermittlungen und Ersatzmaßnahmen. Weitere Informationen zu den Schäden durch Hacking in der deutschen Wirtschaft zwischen 2016 bis 2018 sowie weitere Fakten zu historischen Hacks, Ethical Hacking und der Zukunft der Cyber Security sind folgender Darstellung zu entnehmen:

Hacking im digitalen Zeitalter – Eine Infografik bereitgestellt von RS Components.

2019 beginnt mit massiven Datendiebstählen

Der Januar 2019 war bezüglich Datensicherheit besorgniserregend. Das neue Jahr begann mit einem enormen Daten-Hack von deutschen Politikern sowie Personen des öffentlichen Lebens wie Jan Böhmermann oder Till Schweiger. Unter den gestohlenen Daten und Dokumenten waren z.B. Kontaktdaten (inklusive Handynummern und persönliche Adressen) sowie die Faxnummer und eine E-Mail-Adresse der Kanzlerin. Das Konvolut an Diebesgut wurde über Twitter verbreitet. Zwar sollen keine politisch-vertraulichen Dokumente geleakt worden sein, dennoch ist die Möglichkeit eines solchen Eingriffs in die Privatsphäre und in Interna ein Weckruf für all diejenigen, die Datensicherheit und Digital Security bislang auf die leichte Schulter genommen haben.

Ebenso machte zu Beginn des Jahres ein Cyber-Angriff auf Airbus Schlagzeilen, dessen Ausmaße bislang unklar sind. Ziel waren die geschäftlichen Informationssysteme des Konzerns, aber es sind wohl auch Mitarbeiterdaten korrumpiert worden. Zu dieser massiven Attacke gesellen sich zusätzlich die Passwort-Leaks von 2,2 Milliarden Accounts, die Heise öffentlich gemacht hat (neben Collection 1 sind nun auch Collection 2-5 öffentlich einsehbar). Zwar sollen die Daten nicht aus brandneuen Hacks, sondern aus älteren Leaks stammen, jedoch ändert es nichts an dem Ausmaß des Breaches.

Die Cyber-Angriffe sind Indikatoren dafür, dass die Angriffe nicht mehr nur vereinzelt, sondern massiv auftreten und die Sicherheit von IT-Umgebungen für Unternehmen, Institutionen und Privatpersonen höchste Priorität haben sollte.

Weitere Informationen zum Thema:

datensicherheit.de, 31.10.2018
Neue Publikation thematisiert Mindeststandards für staatliches Hacking

[datensicherheit.de, 17.10.2013] Huawei veröffentlichte heute, 18.10.2013, sein Cyber Security White Paper. Damit möchte sich das Unternehmen in die anhaltende Diskussion der internationalen IKT-Branche zum Umgang mit den aktuellen Cyber-Herausforderungen einbringen. Im White Paper wird erläutert, wie Cyber Security zu einem integralen Bestandteil eines Unternehmens wird und die Forderung nach einheitlichen internationalen Cyber-Sicherheitsstandards bekräftigt .

Vor einem Jahr hat Huawei das erste White Paper zu diesem Thema veröffentlicht und damit seine Absicht und Verpflichtung bekräftigt, gemeinsam mit anderen Akteuren des öffentlichen und privaten Sektors die Vorteile von Technologie und Globalisierung zu nutzen und zugleich den damit verbundenen Herausforderungen pragmatisch zu begegnen. Seither hat sich auf globaler Ebene die Zusammenarbeit beim Thema Cyber Security verstärkt. Immer mehr Länder verfolgen einen pragmatischen Ansatz und setzen die Entwicklung von Sicherheitsgesetzen und -vorschriften auf ihre Agenda.

Das aktuelles White Paper beschreibt den ganzheitlichen Cyber Security Ansatz des Unternehmens im Detail, einschließlich eines stärker praxisbezogenen Überblicks über Huaweis Ansatz bei der Entwicklung, Herstellung und dem Einsatz von Technologien. In allen Prozessstufen sind Cyber Security Ansätze integriert. Sowohl in der übergreifenden Strategie und Organisationsstruktur, als auch in den täglichen Prozessen und Standards, im Personalmanagement, der Forschung und Entwicklung, Sicherheitsprüfungen, Lieferantenmanagement, Produktion, Lieferung, Rückverfolgung und Dienstleistung.

„Wenn wir bei Huawei den Sicherheitsaspekt berücksichtigen, sprechen wir nicht nur über die Probleme von gestern oder die aktuellen Herausforderungen. Wir legen unseren Fokus vor allem auf eine sichere Zukunft, in der unsere Welt sich dramatisch verändern wird“, sagte John Suffolk, Global Cyber Security Officer von Huawei. „Mit Blick auf die Zukunft wird die Notwendigkeit internationaler Industriestandards für Cyber Sicherheit deutlich.“

Je wichtiger IKT-Lösungen für unser Leben und unsere Geschäfte werden, desto mehr müssen die damit verbundenen Herausforderungen für die Branche gemeinsam auf nationaler und internationaler Ebene angegangen werden. Die aktuelle Veröffentlichung ist Teil der Bestrebungen von Huawei, einen Beitrag zu diesem zunehmend wichtigen Thema zu leisten.

„Wir hoffen, dass dieses White Paper als Katalysator für einen breiten, partnerschaftlichen und verantwortungsbewussten Dialog zwischen dem öffentlichen und privaten Sektor wirkt und damit den gemeinsamen Cyber Security Zielen dient“, so John Suffolk.

John Suffolk auf der Seoul Conference on Cyberspace 2013

Auf einer Podiumsdiskussion während der Konferenz zum Cyberspace in Seoul am 17. Oktober teilte John Suffolk seine Ansichten zum Umgang mit den Bedrohungen und Herausforderungen von Cyber Security. Er sagte: „Es ist Zeit, beim Thema Sicherheit den Reset-Knopf zu drücken und uns zu fragen, inwieweit wir uns für die Zukunft einen neuen Umgang mit Sicherheitsfragen wünschen und wie wir kooperieren können, um neue Verhaltensnormen, Standards und Gesetze zu definieren, mit denen ein Ausgleich zwischen Privatsphäre und Sicherheit hergestellt werden kann.“

„Das Problem mit Standards heutzutage ist, dass sie nicht standardisiert sind. Je mehr Regierungen, Unternehmen und Technologieanbieter gemeinsame Standards erarbeiten, ihren Zweck und ihre positive Wirkungen sehen und sich für eine effektive Umsetzung  -auch durch die Kaufkraft der Abnehmer – einsetzen, umso mehr wird die Welt beginnen, den Unterschied zu realisieren. Hierbei geht es nicht darum, alle Probleme zu lösen, sondern ein gemeinsames Verständnis zu entwickeln, welche Probleme wir lösen wollen und wie dies geschehen soll.“

„Wir wissen, dass wir noch viel tun müssen, um unseren Ansatz kontinuierlich weiter zu verbessern. Wir haben uns jedoch zur Offenheit und Transparenz verpflichtet und sind der Ansicht, dass unsere Fähigkeit, bessere und qualitativ hochwertige Produkte und Dienstleistungen anzubieten, wächst, je mehr Menschen unsere Richtlinien und Verfahren überprüfen, bewerten und in Frage stellen.“

John Suffolk schloss seine Ausführungen mit der Bemerkung ab: „Huawei wird weiterhin mit Regierungen, Kunden und anderen Akteuren daran arbeiten, die notwendigen Sicherheitsanforderungen auf offene, partnerschaftliche und transparente Weise zu erfüllen. Wir sind der Ansicht, dass wir nur durch eine internationale Zusammenarbeit von Technologieanbietern, Kunden und Gesetzgebern signifikante Fortschritte im Umgang mit Cyber-Herausforderungen erzielen können.“

In Deutschland stellten heute Ulf Feger, neuer Cyber Security Officer der Huawei Technologies Deutschland GmbH, und Olaf Reus, Mitglied der Geschäftsleitung von Huawei Deutschland, die aktuelle Cyber Security Strategie des Unternehmens vor.

Weitere Informationen zum Thema:

HUAWEI
Huaweis Cyber Security White Paper (Oktober 2013)

können Sie unter  herunterladen.

[datensicherheit.de, 17.04.2013] Am 16. April, stimmte das Europäische Parlament im Plenum in Straßburg, über den neuen Verordnungsvorschlag zur Stärkung der ENISA, der EU „cyber security“ Agentur (ehemals die Europäische Netzwerk und Informations-Sicherheit Agentur) ab. Die Regelung wurde wie vorgeschlagen ohne weitere Änderungen mit einer deutlichen Mehrheit der Mitglieder des Parlaments für eine Verstärkung der Agentur übernommen, mit insgesamt 626 von 687 Stimmen.

ENISA’s Executive Director, Professor Udo Helmbrecht, kommentiert die Ergebnisse:

„Wir begrüßen diesen wichtigen Schritt des politischen Prozesses, in dem das Europäische Parlament im Plenum seine volle Zustimmung und Unterstützung für die Stärkung der ENISA gibt und damit den Fokus auf eine intensivere Arbeit im Bereich Vorbeugung und Vorsorge der Internet-Sicherheit ermöglicht. Angesichts der politischen Realität, in der die Internet-Sicherheit immer höher auf der politischen Agenda steigt, ist diese starke Bestätigung unserer Arbeit ein sehr wichtiger Schritt. Die Abstimmung des Europäischen Parlaments gibt grünes Licht für die Fortsetzung und Ausweitung der Rolle der ENISA, in ihrer Funktion als Unterstützer der Mitgliedstaaten bei der Verbesserung des Netzwerk- und Informations-Sicherheit Standards, in der gesamten EU. “

„Mit diesem neuen Mandat ist ENISA in der Lage, die EU-Internet-​​Sicherheit Strategie vollständig zu unterstützen und stellt sich eine verstärkte Rolle für ENISA vor, mit der Absicht, Ressourcen zu erhöhen, um Europas digitale Wirtschaft und Gesellschaft zu schützen. Die Strategie liefert ENISA zudem einen Rahmen für eine engere Zusammenarbeit mit und die Verbreitung von Erfahrung zu anderen EU-Organisationen, wie Europol, die für die Internet-Kriminalität operativ verantwortlich sind und dem Europäischen Auswärtigen Dienst, bezüglich Internet-Sicherheit auf globaler Ebene “, sagt Helmbrecht abschließend.

[datensicherheit.de, 16.03.2013] „Cybercrime“ und „Cyber Security“ stehen von 17. bis 18. April 2013 im Fokus des „Security Forums“ an der FH Oberösterreich (FH OÖ) in Hagenberg, das bereits zum 11. Mal stattfindet und jährlich über 200 Besucher aus ganz Europa anlockt.
Experten aus Österreich und dem Ausland werden bei dieser hochkarätigen Veranstaltung über aktuelle Aspekte der Sicherheit in der Informations- und Kommunikationstechnologie (IKT) referieren. Sie widmen sich 2013 vor allem dem Thema „Cybercrime“ und „Cyber Security“ auf nationaler wie internationaler Ebene. Dazu ist Ing. Robert Ledinger vom österreichischen Bundeskanzleramt, der maßgeblich an der nationalen IKT-Sicherheitsstrategie beteiligt ist, als Keynote-Speaker zu Gast – er wird über die strategische Dimension von „Cyber Security“ in Österreich informieren.
Mohamed Chawki aus Ägypten wiederum wird Einblick in die Internetkriminaliät in seinem Heimatland und in Frankreich geben und vorstellen, welche Formen internationaler Kooperation nötig sind, um „Cybercrime“ einzudämmen. Weitere Referenten werden über die Preise und Vorgehensweisen im „Cybercrime“-Untergrund berichten und anhand von realen Beispielen die Präventionsmöglichkeiten erläutern.

Abbildung: FH OÖ, „Hagenberger Kreis“

„Security Forum 2013“ an der FH OÖ in Hagenberg Mitte April 2013

Des Weiteren werden Themen wie Sicherheit im medizinischen Bereich, rechtliche Risiken durch „Big Data“ und dem „Fuzz-Testing“ von Server-Applikationen behandelt. Neben Vorträgen stehen auch Workshops auf dem Programm, bei denen sowohl technisch als auch am Management interessierte Besucher auf ihre Kosten kommen sollen.
Diese Veranstaltung richtet sich vor allem an IT-Leiter, Sicherheitsverantwortliche sowie Geschäftsführer von Klein- und Mittelstandsunternehmen (KMU). Organisiert wird das „Security Forum“ vom „Hagenberger Kreis zur Förderung der digitalen Sicherheit“, einem Studentenverein, der 2002 von Studenten der FH-OÖ-Studiengänge „Sichere Informationssysteme“ gegründet wurde.

Security Forum 2013
Start: 17. April 2013, 9 Uhr
Ende: 18. April 2013, 16 Uhr
FH OÖ Fakultät für Informatik, Kommunikation und Medien, Softwarepark 11 in A-4232 Hagenberg
Kostenpflichtige Veranstaltung

Weitere Informationen zum Thema:

Security Forum 2013
17. – 18. April 2013 | Hagenberg im Mühlkreis