[datensicherheit.de, 20.04.2024] Die sogenannte Digitalministerkonferenz (DMK) soll eine Plattform für länderübergreifenden Austausch bieten, um die Digitalisierung in Deutschland voranzutreiben. Der TÜV-Verband sieht nach eigenen Angaben in dieser Konferenz einen „wichtigen, aber überfälligen Schritt zur Koordinierung der Digitalisierungsbestrebungen“. Die Skepsis hinsichtlich ihrer Durchschlagskraft bleibe indes bestehen.

1. DMK-Treffen markiert notwendigen Schritt, Digitalisierungsanstrengungen länderübergreifend zu koordinieren

Zum ersten Mal haben sie die DMK-Akteure nun in Potsdam getroffen, um über die digitale Zukunft des Landes zu beraten. „Die Digitalisierung in Deutschland muss effizient und ohne Barrieren zwischen den Bundesländern vorangetrieben werden. Die erste Digitalministerkonferenz markiert daher einen notwendigen Schritt, die Digitalisierungsanstrengungen länderübergreifend zu koordinieren“, kommentiert Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband.

Der TÜV-Verband begrüßt demnach diese Initiative ausdrücklich. Bisher seien viele digitalpolitische Kernthemen in Regie und nach Vorstellung der Bundesländer sowie föderal organisiert worden. Die DMK biete nun eine Plattform, Deutschland im Bereich digitaler Bildung, Digitalisierung der Verwaltung und Cyber-Sicherheit effektiv voranzubringen. Fliehe merkt jedoch an: „Es bleibt jedoch eine gewisse Skepsis hinsichtlich der Durchschlagskraft bestehen und es bleibt abzuwarten, wie nachhaltig und effektiv die beschlossenen Maßnahmen in die Praxis umgesetzt werden.“

58 Prozent der Unternehmen haben hohen Weiterbildungsbedarf bei Digitalkompetenzen

Fliehe benennt eine zentrale Herausforderung: „Ein länderübergreifendes Problem ist der Fachkräftemangel, der durch eine unzureichende digitale Bildung verschärft wird. Unsere Weiterbildungsstudie zeigt, dass erheblicher Bedarf besteht, Digital-Qualifikationen auf breiter Front zu fördern. Über die Hälfte – 58 Prozent – der Unternehmen hat einen hohen Weiterbildungsbedarf an Digitalkompetenzen. Untätigkeit in diesem Bereich gefährdet die Zukunftsfähigkeit unserer Wirtschaft.“

Grundlage der Studienergebnisse sei eine repräsentative Umfrage des Marktforschungsinstituts Forsa im Auftrag des TÜV-Verbands unter 500 Unternehmen ab 20 Mitarbeitern in Deutschland. Befragt worden seien von Oktober bis Dezember 2023 Verantwortliche für Weiterbildung, Geschäftsführer, CEOs und Vorstände.

Digitalisierung der Verwaltung: KI-Einsatz könnte helfen Bürokratie-Lasten abzubauen

Dringender Handlungsbedarf bestehe auch hinsichtlich der Zukunftstechnologie Künstliche Intelligenz (KI) – ansonsten drohe Deutschland international den Anschluss zu verlieren. Bisher böten nur wenige Unternehmen ihren Mitarbeitern KI-Weiterbildungen an: „Nur in zwölf Prozent der Unternehmen haben Mitarbeitende an KI-Fortbildungen teilgenommen. In weiteren sechs Prozent ist das konkret geplant und zehn Prozent ermitteln den Bedarf.“

Dagegen sähen 71 Prozent aktuell keinen Bedarf für KI-Schulungen. Fliehe unterstreicht: „Nachdem die Digitalisierung der Verwaltung in der Vergangenheit eher stiefmütterlich behandelt wurde, muss die Integration von Künstlicher Intelligenz jetzt Priorität haben.“ Durch KI-Einsatz könnten Bürokratie-Lasten abgebaut und erhebliche Effizienzgewinne erzielt werden.

Effektive Digitalisierungsstrategie erfordert Nutzung bestehender Synergien

„Für eine effektive Digitalisierungsstrategie ist es unerlässlich, sollten die Bundesländer nicht in Silos denken, sondern bestehende Synergien nutzen, die durch eine Zusammenarbeit mit etablierten nationalen Akteuren entstehen.“ Die Bundesländer müssten die national verfügbaren Digital-Ressourcen nutzen, um eine robuste, sichere und zukunftsfähige Digitalstrategie zu entwickeln.

Fliehes Fazit: „Dies wird nicht nur die Effizienz staatlicher Dienstleistungen verbessern, sondern auch die internationale Wettbewerbsfähigkeit Deutschlands stärken.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.04.2024
Digitalministerkonferenz: BSI-Präsidentin Claudia Plattner informierte über Chancen und Risiken von KI

D16 DIGITAL MINISTER TREFFEN BERLIN BRANDNEBURG 2023-2024, 09.11.2023
Konzeptpapier / Die Digitalministerkonferenz (DMK) / Selbstverständnis – Orga

TÜV VERBAND
Digitalisierung

[datensicherheit.de, 07.02.2024] Laut einer aktuellen Stellungnahme des TÜV-Verband e.V. sendet Deutschlands neue Digitalstrategie ein „starkes Signal für europäische Souveränität“ im Digitalen Raum und betont die „Notwendigkeit einer konsequenten und nachhaltigen Umsetzung“.

Stellungnahme zu der am 7. Februar 2024 vom Bundeskabinett beschlossenen Strategie zur internationalen Digitalpolitik

Dass Digitalpolitik auch geopolitisch eine immer wichtigere Rolle spiele, zeige die am 7. Februar 2024 vom Bundeskabinett beschlossene „Strategie zur internationalen Digitalpolitik“. Federführend bei der Erarbeitung der Strategie war demnach das Bundesministerium für Digitales und Verkehr (BMDV).

Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband, kommentiert: „Mit der Strategie zur internationalen Digitalpolitik sendet das Bundeskabinett ein klares Signal für mehr europäische Souveränität und Resilienz im Digitalen Raum.“

Darüber hinaus werde deutlich, „dass Sicherheit und Wertschöpfung heute untrennbar mit der Digitalisierung verbunden sind“. Durch die ressortübergreifende Erarbeitung erfahre die Digitalisierung eine breite politische Rückendeckung. Im digitalen Wettbewerb könnten Deutschland und Europa gestärkt werden.

Strategie für internationale Digitalpolitik soll Leitplanken zur Risikoreduzierung, Vertrauenswürdigkeit und Sicherheit setzen

Fliehe führt aus: „Die Schritte der Bundesregierung, die Nachhaltigkeitspotenziale der Digitalisierung zu nutzen, sind richtig, denn das Verhältnis von Digitalisierung und Nachhaltigkeit ist in jüngster Zeit als neue Dimension in den Fokus gerückt: Dennoch existieren bisher weder in Deutschland noch in der EU kaum regulatorische Vorgaben, um das wechselseitige Zusammenwirken von Nachhaltigkeit und Digitalisierung zu fördern.“ Dabei wären konkrete Vorgaben nicht nur für die Umwelt, sondern auch für die langfristige Wettbewerbsfähigkeit der europäischen Unternehmen wichtig.

„Für einen globalen, offenen, freien, stabilen und sicheren Cyber-Raum sind Cyber-Sicherheit, sichere Infrastrukturen und faires Datenmanagement unerlässlich“, betont Fliehe. Mit der Strategie für internationale Digitalpolitik gebe die Bundesregierung nun „klare Leitplanken zur Risikoreduzierung, Vertrauenswürdigkeit und Sicherheit“. Entscheidend für den Erfolg sei jetzt die konsequente und nachhaltige Umsetzung. Dabei sei nicht nur die Frage nach den finanziellen Mitteln entscheidend, sondern auch die Frage nach effizienten Strukturen.

„Der TÜV-Verband steht voll und ganz hinter der neuen Strategie“, so Fliehe. Als erfahrene Prüf- und Zertifizierungsorganisationen leisteten die TÜV-Unternehmen ihren Beitrag dazu, die Digitalisierung nicht nur effizient, sondern auch nachhaltig und sicher zu gestalten. „Unser Ziel ist es, gemeinsam mit den Akteuren im Digitalen Raum eine verlässliche Basis für Innovationen zu schaffen und gleichzeitig höchste Standards für Sicherheit und Nachhaltigkeit zu gewährleisten.“

Weitere Informationen zum Thema:

Bundesministerium für Digitales und Verkehr, 07.02.2024
Strategie für die Internationale Digitalpolitik der Bundesregierung
https://bmdv.bund.de/SharedDocs/DE/Artikel/K/strategie-internationale-digitalpolitik.html

datensicherheit.de, 17.06.2022
Deutscher Mittelstands-Bund moniert Digitalpolitik: Durcheinander der Zuständigkeiten befürchtet / Hohe Erwartungen des Mittelstands an die Digitalstrategie der Bundesregierung

datensicherheit.de, 19.07.2019
Digitalpolitik der Bundesregierung: Bitkom zieht Zwischenfazit / Bislang viele Ziele des Koalitionsvertrags schuldig geblieben

[datensicherheit.de, 08.01.2024] In einer aktuellen Stellungnahme warnt der TÜV-Verband, dass sogenannte Intelligente Sportgeräte und „Wearables“ wohl die Motivation für mehr Bewegungen steigern könnten, doch sei Vorsicht geboten: „Smarte Fitnessgeräte können zum Einfallstor für Cyber-Kriminelle werden!“ Sportler sollten daher Zugriffsrechte und Schnittstellen überprüfen und starke Passwörter verwenden. Der TÜV-Verband erläutert zudem, wie Nutzer von smarten Fitnessgeräten ihre persönlichen Daten schützen können.

TÜV-Verband: Bei smarten Fitnessgeräten sollte grundsätzlich auch auf Cyber-Sicherheit geachtet werden

Auch im neuen Jahr 2024 fassten viele Menschen den Vorsatz, mehr für ihre körperliche Fitness zu tun: Smarte Sportgeräte, intelligente Körperwaagen oder „Wearables“ könnten dabei helfen, Trainingsfortschritte und Vitalwerte aufzuzeichnen. Mit einigen Geräten könnten Sportler ihr Trainingserlebnis sogar personalisieren: „So lassen sich Workouts protokollieren, Trainingsparameter einstellen, Fitnessziele überwachen und individuelle Trainingspläne erstellen.“ Diese digitalen Helfer erleichterten nicht nur den Alltag, sondern könnten auch Sportmuffel motivieren.

Doch sie bergen auch Risiken, betont Marc Fliehe, Fachbereichsleiter für Digitalisierung und Bildung beim TÜV-Verband: „Da smarte Fitnessgeräte häufig mit dem Internet verbunden oder persönliche Bewegungs- und Gesundheitsdaten dort speichern, lohnt es sich, auch die Cyber-Sicherheit in den Blick zu nehmen.“ Deshalb sollten Verbraucher besonderen Wert auf die richtige Einrichtung und den sicheren Gebrauch dieser Geräte legen.

Aktuelle Ergebnisse einer repräsentativen Forsa-Umfrage im Auftrag des TÜV-Verbands

In elf Prozent der deutschen Haushalte steht demnach eine Intelligente Körperwaage – so ein Ergebnis einer repräsentativen Forsa-Umfrage im Auftrag des TÜV-Verbands unter 1.002 Personen ab 16 Jahren. „Smarte Körperwaagen messen neben dem Gewicht zum Beispiel auch den Körperfettanteil, die Muskelmasse, das Knochengewicht, den Wasseranteil, den Body-Mass-Index und den Puls und senden diese Daten per WLAN über das Internet oder direkt per ,Bluetooth’ an das Smartphone.“ Dort würden die Daten in der zugehörigen App übersichtlich dargestellt und ausgewertet.

Da smarte Fitness-Tracker sensible personenbezogene Daten speicherten, sollten Verbraucher ganz besonders auf die Cyber-Sicherheit dieser Geräte achten. Laut Umfrage hätten 65 Prozent der Bundesbürger große Sorge, dass privat genutzte Smart-Home-Geräte den Datenschutz verletzen oder persönliche Daten missbrauchen könnten.

TÜV-Verband empfiehlt, schon vor dem Kauf auf Cyber-Sicherheit zu achten

Schon vor dem Kauf personenbezogene Daten schützen!
Intelligente Fitnessgeräte verfügten oft über verschiedene Sensoren zur Messung der körperlichen Aktivität und der Vitalwerte. Sie würden häufig als „Wearables“ am Körper getragen – zum Beispiel in Form smarter Armbänder, smarter Kleidung oder smarter Kopfhörer. Darüber hinaus sammelten sie auch Daten zur Person und Standortdaten. „Cyber-Kriminelle nutzen personenbezogene Daten, um persönlichen oder finanziellen Schaden anzurichten“, warnt Fliehe. Hacker könnten solche Daten auch veröffentlichen, um Personen gezielt zu schädigen oder zu erpressen, indem sie mit der Veröffentlichung brisanter Daten drohten. Weiterhin könnten sie versuchen, die Kontrolle über vernetzte Geräte wie Smartphones zu erlangen.

Verbraucher sollten sich bereits vor dem Kauf über das Gerät informieren und potenzielle Risiken kennen!
Es sei wichtig, zu wissen, welche Sensoren das Gerät verwendet und welche Daten damit aufgezeichnet und gespeichert werden. Außerdem sollte nachvollziehbar sein, wo die Daten gespeichert und mit welchen Anwendungen (Apps) sie geteilt werden. Ein Blick auf den Hersteller lohne sich ebenfalls: Dieser sollte seriös sein und langfristig Sicherheits-Updates zur Verfügung stellen. Apps aus unsicheren Quellen enthielten oft Malware, mit der Cyber-Kriminelle sensible Daten abgreifen könnten. Hierzu könnten auch Erfahrungsberichte anderer Nutzer helfen. Mittlerweile gebe es auch Zertifizierung für die IT-Sicherheit smarter Geräten. Prüfzertifikate von unabhängigen Prüfstellen – wie z.B. das TÜV-Prüfzeichen „CyberSecurity Certified“ (CSC) – gäben Verbrauchern Orientierung beim Kauf.

Wie sich Nutzer smarter Fitnessgeräte laut TÜV-Verband vor Cyber-Angriffen schützen können:

1. Zugriffsrechte überprüfen!
Intelligente Fitnessgeräte würden häufig mit dem Smartphone verbunden. Dadurch könne es auf Daten und Funktionen wie Standort oder Kontaktliste zugreifen. Verbraucher sollten deshalb genau überprüfen, ob entsprechende Zugriffsberechtigungen für den Gebrauch des Gerätes tatsächlich notwendig sind und diese gegebenenfalls deaktivieren. Auch die Daten der Fitnessgeräte sollten nur bei Bedarf für das Smartphone freigegeben werden. Mit jedem Software-Update könne sich die Berechtigungsstruktur ändern. Sie sollte daher regelmäßig überprüft und gegebenenfalls angepasst werden.

2. Starke Passwörter und PINs verwenden!
Smarte Fitnessgeräte sollten immer mit Passwörtern oder PINs vor unbefugtem Zugriff geschützt werden. Auch das Smartphone und das genutzte WLAN-Netzwerk sollten durch sichere Passwörter geschützt werden – voreingestellte Passwörter sollten bei der Einrichtung des Gerätes sofort geändert und Benutzerkonten möglichst durch eine Zwei-Faktor-Authentifizierung (ZFA) geschützt werden. Ein Passwort-Manager könne helfen, sichere Passwörter zu erstellen und zu verwalten. Ein starkes Passwort bestehe aus mindestens zehn Zeichen, darunter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

3. Auf richtige Verschlüsselung achten!
Ein ausreichend gesichertes Heimnetzwerk sei eine wichtige Voraussetzung für den Schutz von smarten Sportgeräten. „Bei WLAN-Routern empfiehlt sich der aktuellste Verschlüsselungsstandard WPA3.“

4. Schnittstellen kontrollieren!
Schnittstellen zwischen smarten Fitnessgeräten und anderen Geräten sollten nur dann aktiviert werden, wenn sie für die Funktionalität notwendig sind und auch verwendet werden – nach der Nutzung sollten sie wieder deaktiviert werden. „Je mehr Schnittstellen aktiviert sind, desto größer ist die Angriffsfläche für Cyber-Angriffe.“ Wenn möglich, sollte eine Verschlüsselung der Kommunikation aktiviert werden. Verbindungen zwischen Smartphone und „Wearable“ über „Bluetooth“ sollten nur mit PIN-Abfrage möglich sein. So werde sichergestellt, dass sich nur verifizierte Geräte mit dem „Wearable“ verbinden.

Fitness-Hype: TÜV-Verband rät generell zur Vorsicht

Messwerte wie zum Beispiel der Körperfettanteil bei einer smarten Körperwaage sollten lediglich als Richtwerte verwendet werden. Für eine detaillierte Analyse sollten Sportler einen Arzt aufsuchen. Smarte Fitnessgeräte könnten dabei helfen, bestimmte Fitnessziele zu erreichen. Nutzer könnten Fortschritte und Werte regelmäßig einsehen, sollten sich dabei aber nicht unter Druck setzen.

Eine Abhängigkeit von diesen Geräten könne negative Folgen haben. Auch einige Apps profitierten auf diese Weise: „In-App-Käufe zum Beispiel für detaillierte Werte oder Trainingspläne können mit hohen Kosten verbunden sein und den eigentlichen Spaß zur Kostenfalle machen“, so der abschließende Hinweis.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2018
Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden / Tim Berghoff kommentiert aktuelle Entdeckung einer Schwachstelle

datensicherheit.de, 12.09.2017
5. Verbraucherdialog in Mainz gestartet: Wearables im Fokus / Nutzung von Fitnessarmbändern u.a. muss unter Wahrung des Rechts auf informationelle Selbstbestimmung erfolgen

datensicherheit.de, 05.12.2016
Gesundheits-Apps und Wearables: Datenschutz ungenügend / Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf

[datensicherheit.de, 02.11.2023] Laut einem aktuellen Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist die Lage der Cyber-Sicherheit in Deutschland „angespannt bis kritisch“, teilweise sogar „besorgniserregend“. Die Mehrheit der deutschen Unternehmen verschweige indes IT-Sicherheitsvorfälle – die Angst vor Reputationsschäden sei zu groß. In seiner Stellungnahme fordert der TÜV-Verband, das Bewusstsein für Cyber-Angriffe mittels Transparenz zu schärfen und den „Cyber Resilience Act“ voranzutreiben.

Bedrohung durch Cyber-Angriffe in Deutschland so hoch wie nie zuvor

Der aktuelle BSI-Lagebericht mache deutlich: „Die Bedrohung durch Cyber-Angriffe in Deutschland ist so hoch wie nie zuvor.“ Der TÜV-Verband fordert daher nach eigenen Angaben seit Jahren „eine Nachschärfung der gesetzlichen Vorgaben“, um die Cyber-Sicherheit des Staates, der Unternehmen und Organisationen sowie Verbraucher zu gewährleisten.

„Angesichts der hohen Bedrohungslage sind auch strenge gesetzliche Vorgaben für die Cyber-Sicherheit notwendig“, betont Marc Fliehe, Fachbereichsleiter für „Digitalisierung und Bildung“ beim TÜV-Verband. Dazu gehöre zum Beispiel der „Cyber Resilience Act“, welcher Standards für vernetzte Produkte schaffe, um die Widerstandsfähigkeit von Systemen gegen Cyber-Angriffe zu stärken. „Hier kommt es jetzt auf eine zügige Umsetzung an“, so Fliehe. Gesetzliche Vorgaben und Regulierungen würden zudem helfen, die Geschäftsleitungen für dieses Thema zu sensibilisieren.

Die meisten Unternehmen verschweigen Cyber-Attacken

Cyber-Angriffe seien eine allgegenwärtige Gefahr. Laut BSI-Lagebericht stellen Ransomware-Angriffe dabei die größte Bedrohung dar. Dies zeigten auch aktuelle Ereignisse wie der Angriff der Ransomware-Gruppe „Lockbit“ auf den US-Flugzeughersteller Boeing oder die Attacke auf die Hotelkette MotelOne. Die Folgen solcher Cyber-Angriffe reichten von finanziellen Verlusten und Reputationsschäden über die Beeinträchtigung der Arbeitsproduktivität von Mitarbeitern bis hin zum Ausfall von Diensten für Kunden oder der Veröffentlichung personenbezogener Daten.

„82 Prozent der deutschen Unternehmen, die in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall zu verzeichnen hatten, hielten diesen geheim.“ Das habe eine repräsentative Ipsos-Studie im Auftrag des TÜV-Verbands ergeben, „bei der rund 500 Unternehmen befragt wurden“. Nur 15 Prozent der Unternehmen hätten die Öffentlichkeit über den Vorfall informiert; vier Prozent davon, weil sie gesetzlich dazu verpflichtet seien. Dies sei zum Beispiel der Fall, wenn personenbezogene Daten abfließen. Fast drei Viertel der befragten Unternehmen hätten angegeben, dass sie es vermieden, einen Cyber-Sicherheitsvorfall öffentlich zu machen, weil sie einen Reputationsschaden befürchteten (74%). „Und das, obwohl 83 Prozent der Meinung sind, dass mehr Unternehmen Cyber-Sicherheitsvorfälle öffentlich machen sollten, um das Risikobewusstsein zu schärfen.“

Transparenz kann helfen, Bewusstsein für Cyber-Angriffe zu schärfen

Den meisten Unternehmen fehle es an Transparenz, wenn sie Opfer eines Cyber-Angriffs geworden sind. Dabei könne Transparenz sogar zur Cyber-Sicherheit beitragen. Das Publikmachen solcher Angriffe zeige anderen Betroffenen, „dass Cyber-Attacken ein weit verbreitetes Phänomen sind“.

Fliehe führt aus: „Täter und Opfer werden in der Wahrnehmung oft vertauscht“ –„auch, wenn ein Unternehmen ein hohes Maß an Sicherheitsvorkehrungen trifft, kann es Opfer eines Cyber-Angriffs werden“. Transparenz könne hier ein Umdenken bewirken. Unternehmen sollten eine aktive Informationspolitik betreiben und nicht zum Spielball von Hackern werden – Fliehe unterstreicht: „Wir brauchen eine Kultur, in der auch der öffentliche Umgang mit Cyber-Sicherheitsvorfällen selbstverständlich ist!“

Cyber-Sicherheit sollte eine Priorität für das Management sein

Cyber-Sicherheit sei nicht nur ein Thema für die IT-Abteilung eines Unternehmens, sondern sollte auch eine Priorität für das Management sein. Unternehmen sollten in moderne Hard- und Software investieren und sich gegebenenfalls von externen Experten beraten lassen. Auch Praxistests würden immer wichtiger, um Schwachstellen aufzudecken und in Notfallübungen den Ernstfall zu proben. Laut Fliehe ist es wichtig, alle Mitarbeiter gezielt zu schulen und zum Beispiel für Phishing-Angriffe zu sensibilisieren.

Neben der Prävention von Cyber-Angriffen sei es wichtig, Angriffe zu erkennen, schnellstmöglich zu reagieren und die IT-Systeme nach einem Sicherheitsvorfall wiederherzustellen. Um einen Angriff so schnell wie möglich abzuwehren, müsse bereits im Vorfeld klar sein, welche Maßnahmen in welcher Reihenfolge ergriffen werden müssen. „Hacker greifen auch gerne an Feiertagen an“, verdeutlicht Fliehe, „deshalb müssen Reaktionszeiten, Erreichbarkeiten und Kommunikationsabläufe vorher festgelegt werden“. Um hier routiniert agieren zu können, sollten Unternehmen den Ernstfall vorher geprobt haben.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2023

[datensicherheit.de, 23.03.2023] Die Vorgaben für den Schutz vor Cyber-Angriffen auf „überwachungsbedürftige Anlagen“ steigen laut einer aktuellen Stellungnahme des TÜV-Verband e.V.: „Die Betreiber der Anlagen sollten jetzt handeln und ihre bestehenden IT-Sicherheitskonzepte überprüfen“, rät Dr. Hermann Dinkler, Experte für Maschinen- und Anlagensicherheit beim TÜV-Verband. Er erläutert: „Auf Basis einer aktuellen Gefährdungsbeurteilung müssen die Betreiber entsprechende technische und organisatorische Maßnahmen für den Schutz vor digitalen Angriffen umsetzen.“

Zu überwachungsbedürftigen Anlagen gehören u.a. Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen

Zu den sogenannten überwachungsbedürftigen Anlagen gehörten unter anderem Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen, darunter Tankstellen und Gasfüllanlagen. Diese Anlagen werden demnach regelmäßig von externen Sachverständigen überprüft, weil von ihnen ein besonders hohes Risiko für Leib und Leben ausgehen kann. Grundlage für die Umsetzung und Überprüfung der Schutzmaßnahmen der Cyber-Sicherheit sei die jetzt veröffentlichte Technische Regel Betriebssicherheit (TRBS) 1115-1 mit dem Titel „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“.

Dr. Dinkler führt aus: „Die neuen Anforderungen sind ein wichtiger Meilenstein, um die digitale Sicherheit überwachungsbedürftiger Anlagen auf ein höheres Level zu bringen.“ Die Technische Regel diene als Leitfaden für Betreiber und Sachverständige, mit dessen Hilfe sie die Vorgaben in der Praxis umsetzen könnten.

Auch Anlagen und Arbeitsmittel können ins Visier krimineller Hacker geraten

Hintergrund dieser neuen Regelungen sei die zunehmende Digitalisierung und Vernetzung technischer und industrieller Anlagen im sogenannten Internet der Dinge. „Angriffsziel von Cyber-Attacken sind meist die Netzwerke und Computersysteme von Unternehmen. Was dabei häufig übersehen wird: Auch Anlagen und Arbeitsmittel geraten ins Visier krimineller Hacker, wenn sie über digitale Schnittstellen verfügen oder mit dem Internet verbunden sind“, so Dr. Dinkler.

Viele Anlagen sind heute mit sogenannten Speicherprogrammierbaren Steuerungen (SPS) ausgestattet. Die meisten dieser SPS hätten Schnittstellen zur Aktualisierung oder Programmierung – zum Beispiel USB-Anschlüsse, Schnittstellen zu internen Netzwerken oder direkt zum Internet. „Es besteht die Gefahr, dass die SPS als Einfallstor für Schadsoftware genutzt wird. Die schädlichen Programme können die Anlagen selbst kompromittieren oder sich im Netzwerk der Organisation ausbreiten“, warnt Dr. Dinkler. Die Folgen könnten ein Ausfall einzelner Anlagen oder ein breit angelegter Cyber-Angriff sein, um die IT-Infrastruktur des Unternehmens lahmzulegen. Er ist überzeugt: „Die neuen Regelungen werden dazu beitragen, das Schutzniveau vor Cyber-Angriffen zu erhöhen.“

Vor allem für Arbeitssicherheit relevant: Technische Regel 1115-1 überwachungsbedürftiger Anlagen

Da die Technische Regel 1115-1 vor allem für die Arbeitssicherheit Relevanz habe, sei sie im „Ausschuss für Betriebssicherheit“ gemeinsam von Unternehmen, Länderbehörden, Gewerkschaften, der gesetzlichen Unfallversicherung und den zugelassenen Überwachungsstellen (ZÜS) ausgearbeitet und jetzt von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin veröffentlicht worden.

Die für die Prüfungen zuständigen ZÜS hätten auf Grundlage der Technischen Regel in einem aktuellen Beschluss ihrerseits grundlegende Anforderungen an die Cyber-Sicherheit der Anlagen und ihrer Prüfung formuliert.

Weitere Informationen zum Thema:

baua: Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, 22.03.2023
TRBS 1115 Teil 1 Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen / Technische Regel für Betriebssicherheit / Ausgabe: November 2022

EK ZÜS-Geschäftsstelle im TÜV-Verband, 16.11.2022
Beschluss des EK ZÜS

[datensicherheit.de, 16.09.2022] Die EU-Kommission hat am 15. September 2022 einen Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich der Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt. Der TÜV-Verband hat den von der EU-Kommission vorgestellten Entwurf des „Cyber Resilience Act“ (CRA) im Grundsatz begrüßt, fordert aber Nachschärfungen. Die Einhaltung der Vorgaben für alle risikobehafteten Produkte sollte demnach verpflichtend von unabhängigen Stellen überprüft werden.

Cyber Resilience Act im Grundsatz begrüßt…

„Wir begrüßen das Vorhaben, erstmals grundlegende verpflichtende Cyber-Sicherheitsanforderungen für vernetzte Produkte zu schaffen“, so Marc Fliehe, Bereichsleiter „Digitalisierung und Cybersicherheit“ beim TÜV-Verband. Dieser Schritt sei längst überfällig, denn nur so könnten Unternehmen, Behörden und Bürger besser vor Cyber-Angriffen geschützt werden.
Fliehe betont: „Der ,Cyber Resilience Act’ darf aber nicht nur Anforderungen festlegen, sondern er muss auch wirksame Instrumente schaffen, mit denen die Einhaltung dieser Vorgaben verlässlich überprüft werden kann.“ Ansonsten bleibe dieser ein „zahnloser Tiger“. Cyber-Sicherheit müsse endlich integraler Bestandteil der Produktsicherheit werden, angefangen vom vernetzten Spielzeug über DSL-Router bis hin zu sicherheitsrelevanten digitalen Anwendungen in der Kritischen Infrastruktur.

Konsequente Einbindung unabhängiger Prüfstellen auch bei kritischen Cyber-Produkten

Laut dem Kommissionsvorschlag sollten Produkte in unterschiedliche Risikoklassen eingeteilt werden, allerdings auch viele Produkte mit erhöhtem Risiko („kritische Produkte“ nach Anhang III, Klasse 1) im Regelfall auf Basis einer reinen Hersteller-Selbsterklärung auf den Markt gebracht werden dürfen. Diesen Ansatz hält der TÜV-Verband nach eigenen Angaben „für verfehlt“, weil er nicht geeignet sei, das notwendige Cyber-Sicherheitsniveau von vernetzten Produkten zu gewährleisten. Eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten sei zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit von digitalen Technologien zu schaffen.
Positiv sieht der TÜV-Verband, „dass die EU-Kommission mit dem vorgelegten Regulierungsentwurf den gesamten Produktlebenszyklus eines digitalen Produktes in den Blick nimmt und entsprechende Sicherheitsanforderungen für die Nutzungsdauer vorsieht“. So sollten notwendige Sicherheitsupdates zukünftig über einen Zeitraum von bis zu fünf Jahren bereitgestellt werden. Dies ermögliche eine längere Nutzung der Produkte und schone Ressourcen.

Erstmals europaweit verbindliche Cyber-Sicherheitsanforderungen für Hersteller und Anbieter

Mit dem Entwurf des „Cyber Resilience Act“ formuliere die EU-Kommission erstmals europaweit verbindliche Cyber-Sicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“. Der Verordnungsvorschlag erfasse Hard- und Software, welche als Endprodukte oder als Komponenten auf den Markt kommen. Hersteller müssten digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen („Security by Design“), während der Lebensdauer des Produkts auftretende Schwachstellen beheben und dafür entsprechende Sicherheitsupdates bereitstellen.
Mit diesem Gesetzesentwurf würden sich nun die EU-Mitgliedsstaaten und das Europaparlament befassen. Der TÜV-Verband werde die weitere Ausgestaltung und die anschließende Umsetzung konstruktiv begleiten. Dabei gelte es auch, die Kohärenz mit bestehenden Rechtsvorschriften zu gewährleisten.

Weitere Informationen zum Thema:

datensicherheit.de, 15.09.2022
Bitkom zum Cyber Resilience Act: Wichtiger Beitrag zur Stärkung der Cyber-Sicherheit / Indes Bitkom-Kritik an hohen bürokratischen Aufwand für Unternehmen

Der TÜV-Verband e.V. gibt „Anlagensicherheitsreport 2022“ heraus und betont Bedeutung digitaler Sicherheit

[datensicherheit.de, 21.06.2022] Der TÜV-Verband e.V. geht in seiner aktuellen Stellungnahme auf den „Anlagensicherheitsreport 2022“ ein und warnt: Weniger als die Hälfte der geprüften Aufzugsanlagen sie mängelfrei – so habe es mindestens 645 Unfälle mit Personenschaden innerhalb eines Jahres gegeben. Die vollständige Erfassung und Auswertung des Unfallgeschehens könnte die Sicherheit von Aufzügen verbessern helfen. Indes erhöhe die digitale Vernetzung im Internet der Dinge und Dienste die Gefahr durch Cyber-Angriffe.

Abbildung: TÜV-Verband e.V.

„Anlagensicherheitsreport 2022“: 2.600 Aufzüge 2021 stillgelegt

TÜV‘ bzw. ZÜS mussten 2021 4.550 Aufzugsanlagen mit gefährlichen Mängeln beanstanden

Herabfallende Kabinen, in Aufzugtüren eingeklemmte Finger oder Stürze in den offenen Aufzugsschacht – immer wieder komme es bei Aufzugsanlagen in Gebäuden zu schweren Unfällen mit Verletzten oder sogar Toten als Folge. Eine regelmäßige Wartung und unabhängige Prüfung sei daher unabdingbar, wie der aktuelle „Anlagensicherheitsreport“ zeige.

Im Jahr 2021 seien bei den gesetzlich vorgeschriebenen Prüfungen rund 4.550 Aufzugsanlagen mit „gefährlichen Mängeln“ beanstandet worden (0,7%). „Davon mussten 2.600 Aufzüge sofort stillgelegt werden, weil die Anlagen nicht sofort an Ort und Stelle instandgesetzt werden konnten.“ Bei 14,4 Prozent der insgesamt 650.000 im Jahr 2021 geprüften Aufzugsanlagen hätten die Sachverständigen „erhebliche Mängel“ entdeckt, welche innerhalb einer vorgegebenen Frist vom Betreiber behoben werden müssten. Weitere 39,4 Prozent hätten „geringfügige Mängel“ gehabt. Mit einem Anteil von 45,5 Prozent sei weniger als die Hälfte der geprüften Aufzüge mängelfrei gewesen.

Mängel an Aufzügen wie verschleißende Tragseile, defekte Steuerungen oder ausgefallene Notrufsysteme seien eine Gefahr für die Nutzer und müssten so schnell wie möglich behoben werden, betont Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. In den Report fließen demnach die Ergebnisse der gesetzlich vorgeschriebenen Prüfungen aller in Deutschland Zugelassenen Überwachungsstellen (ZÜS) ein. Aus Sicht des TÜV-Verbands sei es notwendig, „das Unfallgeschehen im Zusammenhang mit Aufzügen zentral zu erfassen und auszuwerten und digitale Sicherheit der Anlagen zu verbessern“.

Geschäftsführer des TÜV-Verbands fordert, mit dem IoT verbundene Steuerungen und Notrufsysteme von Aufzügen vor digitalen Angriffen möglichst gut zu schützen

Seit dem Beginn des Krieges in der Ukraine habe die Zahl der Cyber-Angriffe auch in Deutschland noch einmal erheblich zugenommen. Im Visier krimineller Hacker seien Unternehmen, staatliche Institutionen, Kritische Infrastrukturen, aber auch Politiker und Privatpersonen, erläutert Dr. Bühler. Ein potenzielles Einfallstor für Cyber-Angriffe sei die im „Internet of Things“ (IoT) vernetzte Gebäudetechnik, zu der auch die Aufzugsanlagen gehörten.

„Vor allem mit dem Internet verbundene Steuerungen und Notrufsysteme von Aufzügen müssen vor digitalen Angriffen möglichst gut geschützt werden“, unterstreicht Dr. Bühler und führt aus: „Bisher gibt es keine verbindlichen Vorgaben für die Cyber-Sicherheit von Aufzügen. Eine gesetzliche Regelung ist längst überfällig.“ Aus Sicht des TÜV-Verbands müssten entsprechende Sicherheitsanforderungen in der europäischen Maschinenverordnung und der Aufzugsrichtlinie ausdrücklich verankert werden. Notwendig seien unter anderem Vorgaben für eine verschlüsselte Kommunikation, den Einsatz hochwertiger Authentifizierungssysteme oder die Gewährleistung von Updates über die gesamte Lebensdauer der Anlagen hinweg.

„Für eine effektive Überprüfung der digitalen Sicherheit von Aufzügen benötigen die Überwachungsstellen Zugang zu sicherheitskritischen Daten und der Software der Anlagen“, so Dr. Bühler. Da Aufzugsanlagen grundsätzlich sicher sein müssten, beschäftigten sich inzwischen die Betreiber mit dem Thema. Eine einschlägige Technische Regel werde derzeit der Ausschuss für Betriebssicherheit beim Bundesministerium für Arbeit und Soziales erarbeitet. Auch die ZÜS hätten sich in Form eines Beschlusses auf eine Vorgehensweise bei der Prüfung der Cyber-Sicherheit geeinigt.

TÜV-Verband fordert zentrale Erfassung aller Unfälle im Zusammenhang mit der Nutzung, Reparatur oder Wartung von Aufzugsanlagen

Darüber hinaus fordert der TÜV-Verband nach eigenen Angaben eine zentrale Erfassung aller Unfälle, welche im Zusammenhang mit der Nutzung, Reparatur oder Wartung von Aufzugsanlagen geschehen. Meldepflichten für Unfälle, bei denen Menschen getötet oder schwer verletzt werden, seien in der Betriebssicherheitsverordnung und im Sozialgesetzbuch verankert. Allerdings seien diese Meldungen „lückenhaft“ und erfassten hauptsächlich Arbeitnehmer betreffende Zwischenfälle. Schätzungen gingen von einer „hohen Dunkelziffer“ aus, da viele Aufzugsbetreiber Unfallmeldungen an die Behörden unterließen.

Nach den letzten offiziellen Daten der Deutschen Gesetzlichen Unfallversicherung habe es im Jahr 2020 in Deutschland 645 Vorfälle mit Aufzügen gegeben, bei denen Menschen im gewerblichen Umfeld zu Schaden gekommen seien (2019: 913) – „zwei Unfälle endeten tödlich“. Die Dunkelziffer nicht erfasster Vorfälle dürfte erheblich höher sein. „Eine vollständige Erfassung und Auswertung der Daten zum Unfallgeschehen trägt dazu bei, zusätzliche Erkenntnisse zu gewinnen und auf dieser Basis die Sicherheit von Aufzügen zu verbessern“, kommentiert Dr. Bühler. In einem nächsten Schritt könnten neue Vorgaben in den bestehenden Regelwerken verankert werden.

Tipp des TÜV-Verbands: „Wer einen Aufzug benutzt, kann anhand der Prüfplakette leicht erkennen, ob die Anlage von einer Zugelassenen Überwachungsstelle überprüft wurde.“ Diese Prüfplakette müsse von den Sachverständigen gut sichtbar in der Fahrzeugkabine angebracht werden. Auf der Plakette sei neben der Überwachungsstelle der nächste Prüftermin verzeichnet. Ist dieser Prüftermin verstrichen, sollten sich Nutzer an die Hausverwaltung oder den Betreiber des Aufzugs wenden und ihn auf die fällige Prüfung hinweisen. Dies gelte auch, wenn gar keine Prüfplakette vorhanden ist: „Dann ist die Wahrscheinlichkeit hoch, dass der Aufzug gar nicht von einer Zugelassenen Überwachungsstelle geprüft wird.“

Weitere Informationen zum Thema:

Technische Überwachung
Anlagensicherheits-Report 2022 der Zugelassenen Überwachungsstellen (ZÜS)

Der TÜV-Verband e.V. zu seiner Verbraucherstudie 2021 über Sicherheit und KI

[datensicherheit.de, 15.06.2022] Nach eigenen Angaben hat eine aktuelle Umfrage des TÜV-Verband e.V. ergeben, dass drei von vier Bundesbürgern für Autonome Fahrzeuge höhere Sicherheit als von menschlichen Fahrern fordern. Einheitliche Standards und unabhängige Prüfungen seien daher notwendig – zudem bräuchten Prüforganisationen Zugang zu sicherheitskritischen Fahrzeugdaten. Grundlage der Studienergebnisse ist laut TÜV-Verband eine repräsentative Umfrage des Marktforschungsunternehmens Statista im Auftrag des TÜV-Verbands unter 1.000 Personen ab 16 Jahren in Deutschland im Sommer 2021.

Abbildung: TÜV-Verband e.V.

Verbraucherstudie 2021 – Sicherheit und Künstliche Intelligenz

KI-System könnte Umwelt schon bei geringen Abweichungen nicht mehr korrekt wahrnehmen

Ein Aufkleber auf einem Stoppschild – beim Autofahren lasse sich davon normalerweise niemand aus dem Konzept bringen. Doch übernimmt sogenannte Künstliche Intelligenz (KI) das Steuer, könnten solche Kleinigkeiten zur Gefahr werden: „Beim automatisierten Fahren besteht die Möglichkeit, dass das System die Umwelt schon bei geringen Abweichungen nicht mehr korrekt wahrnimmt“, warnt Richard Goebelt, Bereichsleiter „Fahrzeug und Mobilität“ beim TÜV-Verband. Dann drohten Unfälle.

Besonders schwerwiegend könnten die Folgen sein, wenn andere Verkehrsteilnehmer nicht erkannt werden. Anders als bei menschlichen Fahrern – in den allermeisten Fällen für verkehrsgefährdendes Verhalten verantwortlich – seien die Ansprüche an die Technik sehr hoch – „so das Ergebnis einer repräsentativen Umfrage des TÜV-Verbands unter 1.000 Personen in Deutschland“.

46% fordern, dass KI-Steuerung eines Fahrzeugs absolut fehlerfrei sein muss

46 Prozent der Bundesbürger seien der Ansicht, dass eine KI für die Steuerung eines Fahrzeugs „absolut fehlerfrei“ arbeiten müsse. Weitere 27 Prozent verlangten zumindest eine höhere Sicherheit als beim Menschen. „Der Anspruch ist, dass menschliche Fehler durch Künstliche Intelligenz verhindert werden“, so Goebelt.

Daher sollten Funktion und Wirkung sicherheitskritischer KI-Systeme während der gesamten Lebensdauer eines Fahrzeugs von unabhängigen Stellen geprüft werden. In der Umfrage befürworteten dies 78 Prozent der Befragten. Goebelt: „Auch KI-Systeme und die zugehörige Sensorik unterliegen dem Verschleiß oder können nach Unfällen fehlerhaft instandgesetzt werden und müssen daher regelmäßig überprüft werden.“

KI als Basistechnologie für selbstfahrende Autos

Die Erhebung des TÜV-Verbands belegt demnach ein beträchtliches Interesse an Autonomer Mobilität: 39 Prozent der Befragten könnten sich vorstellen, in einem vollautomatisierten Bus oder Pkw mitzufahren. 33 Prozent lehnten dies ab, 29 Prozent seien noch unentschieden. KI sei die Basistechnologie für selbstfahrende Autos. KI-Systeme seien für die Verarbeitung der ihnen zur Verfügung stehenden Daten zuständig – beispielsweise über den Straßenverlauf, über Schilder, Bewegungen und andere Verkehrsteilnehmer.

„Menschen benötigen die Gewissheit, dass die KI-Systeme sicher genug sind, wenn sie in ein automatisiertes oder fahrerloses Fahrzeug einsteigen“, betont Goebelt. Entscheidend dafür seien international gültige Normen und Standards sowie entsprechende Testbedingungen und harmonisierte Datengrundlagen für das Anlernen der Systeme.

Deutschland als Pioniermarkt für Autonomes Fahren mittels KI

Mit dem Inkrafttreten des sogenannten Gesetzes zum Autonomen Fahren habe die Bundesrepublik im Juli 2021 international eine Führungsrolle übernommen. Einer Verordnung, welche die Straßenzulassung und die Betriebsbereiche detailliert regele, habe der Bundesrat im Mai 2022 zugestimmt. „Deutschland wird zu einem der Pioniermärkte für vollautomatisiertes Fahren“, ist Goebelt überzeugt.

Allerdings ziele die aktuelle gesetzliche Regelung zunächst auf die Zulassung von automatisierten Funktionen etwa im Shuttle-Verkehr in genehmigten Betriebsbereichen im Straßenverkehr. „Autonome Mobilität, bei der das Fahrzeug seinen Weg völlig frei sucht, ist das jedoch nicht“, erläutert Goebelt. Das Gesetz umfasse zudem Regelungen für „Dual Mode Fahrzeuge“. Ein Beispiel dafür sei das „Automated Valet Parking“, bei dem Pkw‘ ihren Stellplatz in einem Parkhaus ganz ohne Fahrer per Smartphone-App finden könnten. Es sei damit die weltweit erste behördlich für den Alltagsbetrieb zugelassene vollautomatisierte und fahrerlose Parkfunktion nach „SAE Level 4“.

TÜV-Verband moniert Mangel an global harmonisierten Standards und Normen zur Prüfung der KI-Anteile

Handlungsbedarf sieht der TÜV-Verband nach eigenen Angaben bei Standards und Methoden für die Prüfung von KI-basierten Autonomen Fahrzeugen: „Wir sehen einen Mangel an global harmonisierten Standards und Normen zur Prüfung der KI-Anteile und der verwendeten Datenbasis“, so Goebelt. Vorschläge für die Entwicklung dieser Standards treibe der Verband mit seinen Mitgliedern unter anderem in der International Alliance for Mobility Testing and Standardization (IAMTS) voran.

„Es muss technische und digitale Verfahren dafür geben, mögliche Fehlfunktionen zu entdecken, bevor die Fahrzeuge auf den Markt kommen“, fordert Goebelt. Sicherheit und Vertrauen seien beim Autonomen Fahren eine globale Herausforderung. Wichtig sei zudem, Prüfvorgaben für die Hauptuntersuchung bei Fahrzeugen mit entsprechenden Automatisierungsfunktionen zu erlassen. Diese fehlten für bereits heute im Verkehr befindliche Fahrerassistenzsysteme.

Datenschutz und Cybersecurity elementar, um Vorteile der KI-Technik nicht zu untergraben

„Zudem können Software-Updates und Upgrades ,over the Air‘ sicherheitsrelevante Funktionen der Autos verändern“, erklärt Goebelt. Bei nachträglichen Veränderungen eines Kraftfahrzeugs stelle sich die Frage, ob die ursprüngliche Typgenehmigung noch gültig oder ein Nachtrag erforderlich ist. Der TÜV-Verband unterstütze den Gesetzgeber bereits dabei, Vorgaben für die Begutachtung und Überprüfung zu entwickeln.

In diesem Zusammenhang habe der TÜV-Verband mit dem „TrustCenter“ ein Modell vorgestellt, das einen sicheren und datenschutzkonformen Zugang zu den hierfür relevanten Daten des Fahrzeugs ermögliche. „Wir brauchen den Zugriff auf die Daten, um Fahrzeuge unabhängig überprüfen und bewerten zu können“, unterstreicht Goebelt und führt abschließend aus: „Datenschutz und Cybersecurity sind elementar, damit die Vorteile, die die Technik bringen soll, nicht untergraben werden.“

Weitere Informationen zum Thema:

TÜV VERBAND, 2021
Sicherheit und Künstliche Intelligenz / Erwartungen, Hoffnungen, Risiken

TÜV-Verband, BSI und Fraunhofer stellen gemeinsames KI-Whitepaper „Towards Auditable AI Systems – From Principles to Practice“ vor

[datensicherheit.de, 24.05.2022] Der TÜV-Verband, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Fraunhofer Heinrich-Hertz-Institut (HHI) haben nach eigenen Angaben in einem gemeinsamen Whitepaper ein Konzept für die Prüfbarkeit von Künstlicher Intelligenz (KI) vorgestellt. Die „Certification Readiness Matrix“ (CRM) beschreibt demnach, welche Prüfmethoden und Werkzeuge heute bereits vorhanden sind, um verschiedene KI-Sicherheitsaspekte beurteilen sowie zertifizieren zu können und in welchen Bereichen noch Forschungs- und Entwicklungsbedarf besteht. Hintergrund sei die geplante Regulierung von KI-Anwendungen in der Europäischen Union (EU).

Abbildung: TÜV VERBAND

TÜV VERBAND, BSI & Fraunhofer HHI: Whitepaper „Towards Auditable AI Systems – From Principles to Practice“

Prüfmatrix unterstützt praktische Umsetzung der KI-Verordnung

„Die Prüfmatrix unterstützt die praktische Umsetzung der KI-Verordnung und zukünftiger Gesetzgebungsprozesse in der EU“, erläutert Patrick Gilroy, Referent „Künstliche Intelligenz und Bildung“ beim TÜV-Verband.

Im Rahmen der KI-Verordnung werde geregelt, wie die Sicherheit von besonderes kritischen KI-Anwendungen gewährleistet werden solle.

Dazu zählten beispielsweise die Steuerung von Fahrzeugen, medizinische Anwendungen, biometrische Verfahren oder mit Menschen zusammenarbeitende Roboter. „Je nach Risikoklasse der jeweiligen KI-Systeme sollen unterschiedliche Vorgaben gelten.“

Zertifizierungsmatrix stellt Methode zur Erfassung der Prüfbarkeit von KI-Qualitäts- und Sicherheitskriterien dar

Die Zertifizierungsmatrix stelle eine Methode zur Erfassung der Prüfbarkeit von Qualitäts- und Sicherheitskriterien von KI-Systemen dar und wende diese exemplarisch an. Sie berücksichtige dabei den gesamten Lebenszyklus komplexer KI-Anwendungen von der Datensammlung über die Trainingsphase bis zum Einsatz in der Praxis. Darüber hinaus beleuchte sie verschiedenste Aspekte der IT-Sicherheit.

„KI-Systeme müssen verschiedene Anforderungen erfüllen, um als sicher und vertrauenswürdig gelten zu können“, betont Gilroy. Dazu gehörten neben dem Schutz vor gesundheitlichen Gefahren auch die Abwehr von Cyber-Angriffen, die Robustheit gegenüber sich ändernden äußeren Einflüssen oder die Erklärbarkeit von Entscheidungen des KI-Systems.

Laut Gilroy geht man davon aus, dass sowohl Prüfer als auch Entwickler und Entscheidungsträger in der Industrie, Forschung und in Behörden von dieser „Certification Readiness Matrix“ profitieren könnten.

KI-Whitepaper im Rahmen einer gemeinsamen Workshop-Reihe entstanden

Das Whitepaper und die darin abgebildete „Certification Readiness Matrix“ seien im Rahmen einer gemeinsamen Workshop-Reihe von BSI, Fraunhofer HHI und TÜV-Verband entstanden, die jährlich anlässlich der „TÜV AI Conference“ stattfinde.

Die Diskussionen und Beiträge des letztjährigen Fachforums seien als Impulse eingeflossen und weiterentwickelt worden.

„Das Whitepaper, aber auch die gemeinsamen Veranstaltungen sind Ausdruck einer sehr intensiven und ergebnisorientierten Zusammenarbeit dreier Kompetenzpartner auf Augenhöhe. Diese Kooperation wollen wir weiter ausbauen“, unterstreicht Gilroy abschließend.

Weitere Informationen zum Thema:

TÜV VERBAND
Whitepaper | May 2022 / Towards Auditable AI Systems / From Principles to Practice

[datensicherheit.de, 25.08.2021] Der Verband der TÜV e.V. warnt nach eigenen Angaben, dass sogenannte Gamer „beliebtes Angriffsziel krimineller Hacker“ seien. Mit Phishing-Methoden würden Zugangs- und Zahlungsdaten abgegriffen. Daher gibt der TÜV-Verband gibt Tipps für sicheres „Gaming“ – im Kontext der Spiele-Messe „Gamescom 2021“.

Digital-Experte beim TÜV-Verband sieht Gamer als ideales Angriffsziel für kriminelle Hacker

„Ganz egal, ob auf dem Smartphone oder dem Tablet, am Computer oder mit der Spielekonsole: Computer- oder Videospiele werden immer beliebter.“ Laut einer aktuellen Bitkom-Umfrage spiele die Hälfte der Bundesbürger (50 Prozent) ab 16 Jahren zumindest gelegentlich digital – ein Plus von sieben Prozentpunkten im Vergleich zum „Vor-Corona-Jahr“ 2019.
Zudem spielten Gamer während der „Pandemie“ länger und gäben mehr Geld für ihr Hobby aus. „Gamer sind online sehr aktiv, interagieren intensiv mit anderen Spielern und investieren regelmäßig in neue Spiele, Abos oder zusätzliche Spielinhalte. Das macht sie zu einem idealen Angriffsziel für kriminelle Hacker“, berichtet Sebastian Steinbach, Digital-Experte beim TÜV-Verband, zum Start der Spiele-Messe „gamescom“.

Neben Nutzern aus Sicht des TÜV auch Games-Branche selbst gefragt

„Ziel der Angriffe sind Kreditkartendaten, Zugangsdaten und andere persönliche Informationen.“ Eine häufige Angriffsmethode sei Phishing: „Mit perfekt nachgebauten Spieleplattformen oder Online-Shops rund ums ,Gaming‘ versuchen Cyber-Gangster, sensible Daten der Nutzer abzufischen“, erklärt Steinbach. Gamer sollten daher sehr aufmerksam sein und alle möglichen Sicherheitsvorkehrungen treffen.
Neben den Nutzern ist aus Sicht des TÜV-Verbands aber auch die Games-Branche selbst gefragt: „Im Wettlauf mit kriminellen Hackern sollten die Spiele-Anbieter den Spielern jederzeit die besten verfügbaren Sicherheitsfunktionen zur Verfügung stellen“, fordert Steinbach.

TÜV empfiehlt Cybersecurity-Systeme mit intelligenter Angriffserkennung und Notfallmaßnahmen

Darüber hinaus richte sich ein Großteil der Cyber-Angriffe nicht gegen die Nutzer, sondern gegen die IT-Infrastrukturen der Anbieter. Dazu zählten DDoS-Attacken auf die Webserver oder Angriffe auf die Datenbanken der Unternehmen.
„Hochwertige Cybersecurity-Systeme mit intelligenter Angriffserkennung und Notfallmaßnahmen bei erfolgreich detektierten Attacken gehören zum Pflichtprogramm der Spieleanbieter“, unterstreicht Steinbach. Der Schutz vor Cyber-Angriffen lasse sich nur im Zusammenspiel von verantwortungsbewussten Spiele-Anbietern und „Gamern“ verbessern.

TÜV-Verband gibt Hinweise, wie Gamer möglichst sicher spielen können:

Identität schützen!
Nutzer sollten bei Online-Games oder Spieleplattformen anstatt ihres echten Namens einen Alias-Namen verwenden, den sogenannten Gamertag. Dieser sollte kreativ sein, aber keinen unmittelbaren Rückschluss die eigene Identität zulassen. „Grundsätzlich gilt: Mit Fremden keine privaten Daten teilen!“

Passwortmanager einsetzen!
Ein möglichst langes, komplexes Passwort sei wichtig, um das eigene Benutzerkonto gut zu schützen. Ein Passwortmanager erzeuge automatisch hochwertige Kennwörter und helfe beim Einloggen. Damit werde auch verhindert, ein persönliches Passwort auf unterschiedlichen Plattformen mehrfach zu verwenden.

Zwei-Faktor-Authentifizierung nutzen!
Wann immer möglich, sollte beim Einloggen eine Zwei-Faktor-Authentifizierung genutzt werden. Dabei werde nach einem erfolgreichen Login ein Code per E-Mail oder SMS verschickt, der zusätzlich eingegeben werden müsse. Das Verfahren erhöhe den Schutz eines Online-Kontos erheblich.

Vorsicht: Phishing!
Auch in der jungen, digitalaffinen Games-Szene sei Phishing eine weit verbreitete Angriffsmethode. Nutzer sollten Spiele-Webseiten und App-Stores nicht über Links in E-Mails unbekannter Herkunft öffnen und auf Abweichungen vom bekannten Erscheinungsbild achten. „Werden Zugangsdaten oder andere Informationen abgefragt, ist allerhöchste Vorsicht geboten.“

Sicher online shoppen!
Spiele und Hardware sollten nur bei seriösen Online-Händlern gekauft werden. Warnhinweise seien ein fehlendes Impressum, simpel gestaltete Shop-Seiten oder auffällig günstige Preise. „Im Zweifel hilft eine kurze Google-Recherche, wenn der Händler unbekannt ist.“

Sichere Umgebung schaffen!
Nicht nur Spiele sollten durch Updates aktuell gehalten werden, sondern auch Konsole, Smartphone oder PC. Auf den Geräten sollten die aktuellen Treiber installiert sein und beim Betriebssystem automatische Updates aktiviert werden, um die neuesten Versionen zu erhalten.

Weitere Informationen zum Thema:

TÜV VERBAND
Digitalisierung / Cybersecurity

datensicherheit.de, 01.06.2021
Videospiele als beliebtes Einfallstor für Hacker / Check Point warnt vor gefährlichen Trends unter Hackern

datensicherheit.de, 21.08.2019
Steam-Konto: Hacker zielen auf Spieler ab / Ein Kommentar von Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4

datensicherheit.de, 20.08.2018
Computerspielemesse Gamescom: Schutz von Kindern vor digitalen Gefahren / Ego-Shooter, Cybercrime und Spielsucht: Was Eltern zu Beginn der Messe wissen sollten