Digitalisierung, künstliche Intelligenz, Blockchain und Cybersicherheit: eine Anleitung für den Hockeystick

Amir Alsbih Uncategorized, Cloud Computing, Gastbeitrag, Infrastruktur, Kommentar, Sicherheit, Software Development Leave a Comment

Nachdem ich Ihre Aufmerksamkeit gewonnen habe, eine kurze Klarstellung. Sofern Ihnen jemand erzählt, dass Sie Blockchain, Künstliche Intelligenz oder die neueste Technologie in der Cyber-Sicherheit brauchen, brauchen Sie womöglich tendenziell einen neuen Berater / Mitarbeiter, etc. Wenn er auf der Basis von Fakten und Daten erklärt, warum die Technologie geeigneter ist und wo die Grenzen der Alternativen sind, haben Sie einen Match. Ansonsten haben Sie eine Lösung, deren Beitrag für Ihr Geschäft in der Umwandlung von Geld in Strom und des Stroms in Abwärme ist.

Ich mag Technologie und die Möglichkeiten, die diese uns bietet. Viele Technologien resultieren in Sicherheit und Komfort für unser Leben. ABS, ESP, MRT, Navigationssysteme, Online-Banking, Messenger und Co. sind heute nicht mehr wegzudenken. Viele Menschen haben deshalb vergessen, dass die Technologie alleine keine Probleme löst. Wer denkt, dass eine Technologie alleine Probleme löst, versteht weder sein Problem noch die Technologie die er einsetzt – tut mir Leid. Ich werfe den meisten Verantwortlichen und Politikern nicht vor, dass diese die Details der Technologie nicht verstehen. Ich werfe ihnen vor, dass sie die Technologie, deren Grenzen und die Datenbasis nicht hinterfragen. Sie belügen sich und lassen sich aus diversen Gründen bewusst anlügen, wenn jemand eine vermeidliche Lösung anbietet.

Künstliche Intelligenz (KI) ist eine der Technologien, die als neue Wunderlösung verkauft wird. Dabei kommt KI in den Lösungen oft im Titel oder im Datenblatt und nicht in der Lösung vor. KI ist heutzutage ein Synonym für Systeme, die Probleme auf magische Art und Weise lösen. Falls es Sie interessiert, maschinelles Lernen (ML) ändert die Gewichtung von mathematisch verketteten Funktionen nicht mehr und nicht weniger. Die wenigsten Anbieter von Lösungen auf der Basis von ML und die wenigsten Unternehmen, die ML einsetzen, sind in der Lage die Systeme und die Grenzen der davon getroffenen Entscheidungen nachzuvollziehen. Die meisten Probleme, welche mit ML gelöst werden, lassen sich effizienter und effektiver mit einer Heuristik lösen. ML resultiert in den meisten Fällen darin, dass das System anhand von historischer Daten, lernt dasselbe zu tun, was diese Daten beschreiben. Oft wird argumentiert, dass man mit ML diskriminierungsfreier Entscheidungen trifft. Dies ist nicht zwingend der Fall, da historische Daten meistens diskriminieren. Wenn man ML verwendet, um HR Abteilungen zu unterstützen, dann wird die KI empfehlen, männliche weiße zu interviewen, denn das macht HR seit Jahren. Dies ist kein Einzelfall, sondern, Ausprägung unseres Handelns, wie sich ebenso bei der Bewertung einer KI bei Miss-Wahlen zeigte. Problematisch daran ist vor allem die Tatsache, dass dies den meisten Menschen nicht bewusst ist. Wir werden mittelfristig einen Zustand erreichen, in dem nicht mehr nachvollziehbar ist, wie eine Entscheidung zustande kam. Die Qualität des Motoröls, welches Sie einkaufen kann herangezogen werden, um darüber zu entscheiden, ob Ihre Hypothek oder ein Kreditkartenlimit bewilligt wird. Lebensversicherungen nutzen Daten aus dem Online-Shopping, um herauszufinden, wie riskant ein Kunde lebt. Geht aus seinen Daten eine riskante Lebensweise oder ungesunde Ernährung hervor, werden diese Personen höhere Lebensversicherungsbeiträge oder mit einer Ablehnung bestraft. Wir müssen uns bei all dem im Klaren sein, dass Algorithmen keine 100% erreichen müssen. Es genügt Unternehmen, wenn eine KI im Durchschnitt bessere Entscheidungen trifft als ein Mensch. Anders als im Falle eines Menschen, kann niemand mehr die Entscheidung nachvollziehen. Weil unklar ist, nach was die KI bei der Frage z.B. nach einer Hypothek diskriminiert, wird es anders als bei Diskriminierung nach Hautfarbe, Herkunft, Alter oder Geschlecht, nicht mehr möglich sein sich zu formieren. Abgesehen davon, sind die KIs noch fragil und können leicht aus dem Tritt gebracht werden. Zudem arbeiten KIs nicht wie der Mensch, so gerne wir uns dies so vorstellen – die KI wird immer den für sie einfachsten Weg wählen.

Sofern eine KI einen Menschen falsch klassifiziert, dann wird es diesen diskriminieren (ohne das man weiß warum). Sie wird eine Filterblase erzeugen, die die Person langfristig zu der Person macht, für die die KI ihn hält. Fragen Sie aus all diesen Gründen bei KI Systemen bitte immer nach den Fehlern 1. und 2. Art, sowie deren Beweisbarkeit für das System (holen Sie sich davor Popcorn).

Die Blockchain ist eine Technologie, für einen einzigen Anwendungsfall. Hat man nicht vertrauenswürdige Akteure, die einen lesenden und schreibenden Zugriff auf Daten benötigen, ist die Blochchain eine mögliche Lösung. In allen anderen Fällen ist die Blockchain die falsche Technologie – tut mir Leid. Sofern in einem Vorschlag eine private Blockchain auftaucht, dann nutzt dieser im besten Fall aus, dass Sie die Blockchain nicht verstanden haben – eine private Blockchain ist zu 99% ein Problem und keine Lösung! Die Blockchain hat eine Reihe von allgemeinen Nachteilen. Ein Beispiel ist die Bestätigungsdauer für eine Transaktion, die im Mittel 10 Minuten benötigt. Für Transaktionen des Alltages sind 10 Minuten zu lange. Niemand wartet 10 Minuten bei der Kasse am Bäcker, abgesehen davon, dass die Transaktionskosten teilweise die Kaufkosten überwiegen. Das alle Teilnehmer eine Kopie der Blockchain (die immer weiter wächst) speichern, ist trotz des günstigen Speicherplatzes, bei Laufzeiten von über 10 Jahren möglicherweise problematisch. Unternehmen beschäftigen sich meistens mit der Blockchain, weil Mitarbeiter ihren Lebenslauf gerne in Richtung von Hype-Technologien optimieren. Auf diese Weise werden sie interessant für andere Arbeitgeber. Unternehmen befassen sich damit, weil sie die Technologie nicht verstehen und das Wort Blockchain den Aktienkurs positiv beflügelt. Nachdem Kodak eine Nachricht veröffentlicht hat, dass sie einen Blockchain basierten Rechtemanagement-Service einführen werde, hat sich der Aktienkurs mehr als verdoppelt. Das Beispiel der „The Crypto Company“ ist ein Highlight. Die US Securities and Exchange Commission hat den Handel des Unternehmens ausgesetzt, nachdem die Aktien innerhalb von 3 Monaten um mehr als 17.000% gestiegen ist. Ein Unternehmen mit zwei Mitarbeitern und einem Umsatz von 487.692 US-Dollar sowie Ausgaben von 1,68 Millionen US-Dollar war 12 Milliarden Euro wert! Ich verstehe, dass Sie das alles nicht interessiert, weil ja angeblich all Ihre Peers erfolgreiche Blockchain Projekte realisieren, können Sie als innovatives Unternehmen nicht hinten anstehen. Die “Australian Digital Transformation Agency” ist nach 700.000 Dollar an Forschungsgeldern zu dem Schluss gekommen, dass die Blockchain nicht besser als bestehende Technologien ist. Eine Studie suchte nach erfolgreichen Blockchain Produkten oder Projekten und fand kein einziges. Wie wahrscheinlich haben Ihre Peers ein erfolgreiches Blockchain Projekt? Lassen Sie die Finger von der Blockchain. Mit hoher Wahrscheinlichkeit ist die Blockchain nicht die Antwort auf Ihr Problem. Sofern die Blockchain eine Lösung ist, wird man ihnen erklären, was die Alternativen waren, und warum die Blockchain die geeignetere Lösung ist. Für diesen Fall, wünsche ich Ihnen Glück, tiefe Taschen und vieles mehr für Ihr Blockchain Projekt.

Ein paar Worte zum Thema Cybersicherheit. Im Zuge der Digitalisierung und der Transformation in Richtung agiler Unternehmen und Cloud Paradigmen, wird alles besser – zumindest in der Theorie. Unternehmen übernehmen die On-Premise Paradigmen in die Cloud und wundern sich, warum die ganzen Vorteile der Cloud nicht realisiert werden. Cloud Infrastrukturen eigenen sich im Grunde dann, wenn erhebliche Unterschiede in der Auslastung und Nutzung bzw. Lastspitzen bestehen und man seine Umgebung „clever“ skaliert (fixe Server sind keine Skalierung). Für alle anderen Fälle rechnet sich das Modell meistens nicht. So oder so, die Digitalisierung und die schnelleren Entwicklungszyklen durch die Agilitätsanforderungen sind in den Unternehmen angekommen, mit eher suboptimalen Auswirkungen auf die IT-Sicherheit. Viele Unternehmen fahren einen reinen Protect Ansatz, in dem sie eine Mauer um das Unternehmen ziehen und hoffen, dass niemand die Kronjuwelen stiehlt. Nicht erst seit dem Hack der NSA ist klar, dass ein solcher Ansatz nicht funktioniert. Viele Unternehmen suchen ausschließlich die gefühlte Sicherheit nach dem Motto, solange wir nicht wissen, dass wir gehackt wurden, ist alles gut. Viele Unternehmen sind der Ansicht, dass ihre Cybersicherheit einen fantastischen Job macht. Die Sicherheit hat schließlich alles an Technologien gekauft, was es auf dem Markt gibt. Dass die Technologie falsch eingesetzt wird, nicht wirklich genutzt wird, oder Wege drum rum gebaut wurden interessiert niemand. Das verschließen der Augen vor der Realität führt dazu, das Angreifer teilweise mehrere Jahre lang Daten abgreifen können, Forschungsergebnisse kopieren oder ändern. Ein berühmtes Beispiel dafür ist Nortel, dort hatten Angreifer über fast 10 Jahre Zugriff auf Firmengeheimnisse (Nortel ist übrigens im Insolvenzverfahren). Die Cloud und die Digitalisierung, führen zu einer Vollvernetzung, in der traditionelle Techniken und der reine Protect Ansatz nicht mehr funktionieren können. Dienstleister, Lieferanten, SaaS-Services, sie alle sind mit dem Unternehmen verbunden. Und das Feature eines SaaS-Service ist ein möglicher Zugriff von jedem aus dem Internet. Bei Saas-Services und Cloud-Infrastruktur, werden die sichere Softwareentwicklung und ein ordentliches Supply-Chain-Management immer wichtiger. Unternehmen die keinen Ansatz wie im Cybersecurity Framework beschrieben verfolgen, agieren fahrlässig. Es ist elementar Dinge richtig umzusetzen und weniger darauf zu vertrauen, dass Technologie 100% Fahrlässigkeit abfängt, weil man die Grundlagen nicht erfüllt. Ein IDS, IPS oder eine WAF helfen in gewissen Szenarien. All diese Technologien kann ein Angreifer umgehen und die eigentliche Schwachstelle ausnutzen. Die Schwachstelle zu patchen, macht die Technologien nahezu überflüssig oder sorgt dafür, dass die Technologie ihren Zweck als weitere Barriere erfüllt. Sofern Sie die Grundlagen, wie einem stringentes Patch-Management, der Verwendung von 2-Faktor-Authentifizierung für kritische Applikationen, sowie einen Log-Management nicht nachkommen, suchen Sie sich einen anderen Berater, wenn dieser zuerst ein KI basiertes SIEM empfiehlt. Bedauerlicherweise lernen wir in der IT, anders als im Ingenieurwesen nicht. Seit dem Einsturz der Tay Brücke am 28 Dezember 1879 ist keine Eisenbahnbrücke mehr wegen eines Sturms eingestürzte. Warum, werden reihenweise Unternehmen aus immer denselben Gründen gehackt? Vielleicht fehlt es an der Haftung. Einem Architekten muss ich nicht sagen, dass ich ein Haus gerne „stabil“ hätte. In der IT scheint dies eine „optionale“ Anforderung zu sein.

Zu Letzt ein Rat, falls Sie Ihr Heil im Outsourcing suchen. Nur weil es sich um einen Brand handelt, heißt es nicht, dass dieser einen ordentlichen Service erbringt und Ihre IT oder Sicherheitsprobleme löst. Sie brauchen gute Verträge mit Security SLAs und jemand der Ihre Sicherheitsprobleme verstanden hat. Die T-Systems als Dienstleister für Informations- und Kommunikationstechnik, entlässt 10.000 Mitarbeiter, weil diese „die IT-Systeme zu wenig verstehen, nicht programmieren und die Systeme nicht betreuen können.“ Das sind diejenigen, die Ihnen Empfehlungen zur IT gegeben haben. Beurteilen Sie einen Dienstleister immer daran, was er liefert und lassen Sie sich dessen versprechen objektiv messbar in den Vertrag schreiben (mit einer ordentlichen Pönale, damit sortieren Sie alle „Blender“ aus).


Gastbeitrag von Dr. Amir Alsbih

Er ist Doktor der Ingenieurswissenschaften und hat über 15 Jahre Berufserfahrung in der IT-Branche. Er war CEO und CTO eines Softwareunternehmen und unter anderem IT-Sicherheitschef bei der Haufe Gruppe. Zudem dozierte er an der Albert-Ludwigs-Universität Freiburg in den Bereichen der angewandten Informationssicherheit sowie der IT-Forensik. Technisch versiert und höchst eloquent, gastiert Dr. Amir Alsbih mit Vorträgen zu Sicherheits-, Digitalisierungs- und Cloudthemen gern und regelmäßig auf Kongressen, ohne ein Blatt vor den Mund zu nehmen. Interessierte finden ihn auf LinkedIn sowie Twitter.

Leave a Reply

Your email address will not be published. Required fields are marked *