Skip navigation

Schlaues Deutschland 4.0Schlaues Deutschland 4.0

2657 members | 324 posts | Public Group
Hosted by:Achim Stark

Unternehmen, Behörden + Land transformieren sich. Da müssen aber die Fähigkeiten der Beteiligten – auf allen Ebenen! – schritthalten können!

Die Bundesregierung will eine "Informationskampagne zur IT-Sicherheit" initiieren [1]. Dabei wird Bezug genommen auf eine zuvor durchgeführte Umfrage:

"Mehr als 70 Prozent der Befragten wünschen sich mehr Informationen über Risiken im Netz und eine größere Unterstützung im Bereich der digitalen Sicherheit. Dabei nehmen sie den unbefugten Zugriff Dritter auf sensible Daten und persönliche Informationen als größte Bedrohung im Internet wahr."

Ich finde es gut, wenn der Staat sich diesbezüglich engagiert -- ich glaube jedoch nicht, dass es zielführend ist, die Bildungsinhalte allein aus der Vergangenheit abzuleiten. Außerdem haben nicht nur die Bürger Bildungsbedarf, sondern auch die Unternehmen -- die Sicherheitsfirma Bullguard will herausgefunden [2] haben, "dass eine alarmierende Anzahl von kleinen Unternehmen in Großbritannien und den USA nicht auf einen möglichen Cyber-Angriff oder -Einbruch vorbereitet sind. Ein Drittel der Unternehmen mit 50 oder weniger Mitarbeitern gibt an, kostenlose Cyber-Sicherheit auf Verbraucherniveau zu verwenden, und eines von fünf Unternehmen verwendet überhaupt keine Endpunkt-Sicherheit."

Tatsächlich müsste überlegt werden, welche Angriffe in Zukunft zu erwarten sind -- gewarnt [3] wird beispielsweise vor kI-basierten Erpressungstrojanern [4].

Zum Vergleich: Früher hätten die Angreifer den Angriffstyp und die Ziele selbst auswählen müssen, um eine maximale Infektionsrate bei einer Angriffswelle zu erzielen.

KI-basierte Erpressungstrojaner könnten ihren Herren eine ganze Reihe von Aufgaben abnehmen [5] -- es gäbe mehrere Prozesse, die der Technik überlassen werden könnten:

- Auswahl - Algorithmen könnte zur Bewertung der vielversprechendsten Ziele genutzt werden. Bislang hätten Kriminelle mit Hilfe von Skripten und Software manuell durch Netzwerke gehen müssen.

- Infiltration - Die technischen Aspekte eines kriminellen Eindringens in ein Computernetz könnten durch KI automatisiert werden.

- Verschleierung - bösartige KI kann die eigene Anwesenheit im System durch Manipulation und Deaktivierung aktiver Sicherheitskomponenten verbergen.

- Sabotage - Sobald die Infektion aller Systeme und Komponenten abgeschlossen ist, kann mit dem Verschlüsseln, dem Fordern von Lösegeld und der weiteren Verbreitung der Schadsoftware automatisiert begonnen werden.

Sollten die erwähnten Erkenntnisse von Bullguard auch auf Deutschland zutreffen, wäre wohl ein Unternehmen, das in eine Firewall und Antiviren Software investiert hat, vergleichsweise gut gerüstet -- für die Zukunft wäre das nach Ansicht [6] von Beratern jedoch so ähnlich, wie wenn Einer ein Messer zu einer Schießerei mitbringt.

Bild: Pixabay [7], Lizenz: Pixabay License

[1]

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Safer-Internet-Day_100220.html

[2] https://www.sourcesecurity.com/news/bullguard-research-states-alarming-number-smbs-not-prepared-cyber-attacks-co-14130-ga.1582189609.html

[3] https://www.businessblogshub.com/2020/02/beware-of-ai-assisted-ransomware/

[4] https://www.xing.com/communities/posts/erpressungstrojaner-bereiten-schon-heute-kopfzerbrechen-doch-es-koennte-schlimmer-kommen-viel-schlimmer-1016428228

[5] https://www.informationsecuritybuzz.com/articles/artificial-intelligence-can-drive-ransomware-attacks/

[6] https://eshacorpit.com/can-you-afford-to-stay-in-the-dark-about-cybersecurity/

[7] https://pixabay.com/photos/tanto-gun-weapons-trunk-firearms-2975552/

Jetzt zum PLUTEX Digitalbreakfast, diesen Freitag, 28.02. von 9 bis 11 Uhr anmelden!

Die Referentin Dr. Gerke wird über den Einfluss der Digitalisierung auf den afrikanischen Kontinent sprechen und Digitalprojekte in Afrika vorstellen.

Im Interview vorab zu unserem Digitalbreakfast erklärt Dr. Gerke, u.a. wie digitale Transformationen auf dem afrikanischen Kontinent aussehen und wie der Aufbau einer entsprechenden Infrastruktur umgesetzt wird: https://bremenbc.de/2020/02/06/10-fragen-an-dr-imme-gerke-zu-afrika-goes-digital/

Die Europäische Kommission schreibt [1] über die "Gestaltung der digitalen Zukunft Europas":

"Ein echter digitaler Wandel muss von europäischen Bürgern und Unternehmen ausgehen, die darauf vertrauen, dass ihre Anwendungen und Produkte sicher sind. Je stärker wir vernetzt sind, desto anfälliger sind wir für böswillige Cyberaktivitäten."

Um dieser "wachsenden Bedrohung" zu begegnen, müssten "wir auf allen Ebenen" zusammenarbeiten:

- "Festlegung schlüssiger Regeln für Unternehmen und stärkerer Mechanismen für einen proaktiven Informationsaustausch",

- "Sicherstellung einer operativen Zusammenarbeit zwischen den Mitgliedstaaten sowie zwischen der EU und den Mitgliedstaaten,

- "Schaffung von Synergien zwischen der zivilen Cyber-Abwehrfähigkeit und den Strafverfolgungs- und Verteidigungsaspekten der Cybersicherheit",

- "Gewährleistung einer wirksamen Arbeit der Strafverfolgungs-und Justizbehörden durch Entwicklung neuer Instrumente zur Bekämpfung von Cyberkriminalität" und

– "Aufklärung unserer Bürger über die Cybersicherheit".

Ob sich die Bürger sicher und geschützt fühlten, hängt für die Kommission "nicht nur von der Cybersicherheit ab. Sie müssen auch der Technologie selbst sowie der Art und Weise, wie sie eingesetzt wird, vertrauen können. Dies ist besonders wichtig, wenn es um das Thema künstliche Intelligenz geht".

Die Kommission befürchtet [2] jedoch, "dass KI unbeabsichtigte Auswirkungen" haben könnte; deshalb verlangt [3] die Präsidentin der EU-Kommission Ursula von der Leyen, dass "Hochrisiko-KI" getestet und zertifiziert werden müsse, "bevor sie auf den Binnenmarkt kommt".

In einer Fußnote halten die Autoren in Brüssel darüberhinaus fest: "Unter Umständen müssen weitere Vorkehrungen getroffen werden, um den Missbrauch von KI zu kriminellen Zwecken zu verhindern und zu bekämpfen, aber dies ist nicht Gegenstand dieses Weißbuchs".

Das bedeutet: Die Unternehmen sollen ihre "Hochrisiko-KI" zertifizieren lassen, während die Kommission seelenruhig mit der Entwicklung von Strategien gegen _mutmaßlich_unzertifizierte_ kriminelle KI wartet, bis diese Millionen von Bürgern [4], Unternehmen [5] und Verwaltungen [6] plündert?

Es wirkt jedenfalls so, als ob Frau von der Leyen die Absicht hat, Europa sehenden Auges in einen Tsunami laufen zu lassen.

Bild: Pixabay [7], Lizenz: Pixabay License

[1] https://ec.europa.eu/info/sites/info/files/communication-shaping-europes-digital-future-feb2020_de_0.pdf

[2] https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_de.pdf

[3]

https://www.heise.de/newsticker/meldung/EU-Digitalstrategie-Hochrisiko-KI-muss-zertifiziert-werden-4664305.html

[4] https://www.xing.com/communities/posts/sep-start-kriminelle-sep-end-sep-start-ki-sep-end-romeo-schwindler-fuer-die-massen-1016499454

[5] https://www.xing.com/communities/posts/die-chefs-sorgen-sich-zu-recht-vor-krimineller-sep-start-ki-sep-end-und-muessen-nach-dsgvo-massnahmen-1018385726

[6] https://www.xing.com/communities/posts/erpressungstrojaner-bereiten-schon-heute-kopfzerbrechen-doch-es-koennte-schlimmer-kommen-viel-schlimmer-1016428228?comment=36657742

[7] https://pixabay.com/vectors/emergency-disaster-water-sea-wave-4314582/

> In einer Fußnote halten die Autoren in Brüssel darüberhinaus fest: "Unter Umständen müssen weitere Vorkehrungen getroffen werden, um den Missbrauch von KI zu kriminellen Zwecken zu verhindern und zu bekämpfen Womöglich ist ja der Einen oder dem Anderen noch unklar, was kriminelle KI konkret bedeutet [1]....: "Die Online-Informationen und Verhaltensweisen Ihrer Mitarbeiter werden aus sozialen Netzwerken wie Twitter, Facebook und Instagram zusammengekratzt. Die Cyberkriminellen verwenden dann Bots und KI, um die zusammengekratzten Informationen zu verwenden, um personalisierte E-Mails zu erstellen, die den Mitarbeiter dazu verleiten, auf einen Link zu klicken. Diese sind hoch entwickelt und sehen legitim aus. Sobald die Mitarbeiter klicken, werden ihre E-Mail-Konten gehackt und die Bots können von ihnen E-Mails versenden und den Schreibstil Ihrer Mitarbeiter nachahmen. Ihr Kundenstamm und Ihre Lieferanten erhalten alle eine E-Mail, die den Eindruck erwecken, als seien sie von Ihren Mitarbeitern formuliert und verleiten die Empfänger dazu, auf einen anderen infizierten Link zu klicken. Bevor Sie sich versehen, ist Ihre gesamte Lieferkette verseucht, was zu Hunderttausenden von Schäden und Zeitverlusten führen kann. Und alles wird bis zu Ihnen zurückverfolgt. Ihre Aufgabe besteht also darin, einen Plan zu erstellen, wie Sie und das Unternehmen auf dieses Ereignis reagieren werden. Geben Sie genau an, was Ihre nächsten Schritte sind, wer für die Durchführung des Plans verantwortlich ist und wie Sie den Beteiligten mitteilen werden." BU: Die Identifikation von Gesprächspartnern im Virtuellen wird im Zuge der technischen Entwicklung immer schwieriger. Kriminelle können das Verhalten von Vertrauten imitieren. Bild: Pixabay [2], Lizenz: Pixabay License [1] https://techbylight.com/artificial-intelligence-in-the-workplace/ [2] https://pixabay.com/photos/psychology-psyche-mask-wire-rack-2706902/

Türkische Cracker sollen vor einem Monat Medienberichten zufolge [0] behauptet haben, sie hätten "mehr als 90 Minuten lang die offiziellen Websites des griechischen Parlaments, des Außen- und des Wirtschaftsministeriums sowie die Börse des Landes gekapert".

Zu Jahresbeginn wurde darüber gerätselt [1], ob der Ausfall der Londoner Börse vom vergangenen August auf einen Angriff -- womöglich aus dem Iran [2]? -- zurückzuführen sei. Es soll sich um den "schlimmsten Ausfall seit 2011" gehandelt [3] haben. Investoren hätten dabei "mehr als eineinhalb Stunden lang keine Aktien kaufen oder verkaufen" können. Davon sollen der FTSE 100-Benchmarkindex, der die größten in der London gelisteten Unternehmen enthält, und der mittelgroße FTSE 250-Index betroffen gewesen sein. 2019 fielen bereits die Börsen in Honkong [4] und Tokyo [5] Angreifern zum Opfer.

2019 sollen außerdem der Kryptowährungsbörse Binance umgerechnet 41 Millionen US-Dollar gestohlen [6] worden sein. Bei einer Kryptobörse in Japan soll der Schaden 32 Millionen Dollar [7] betragen haben.

Die Entwicklungen bleiben nicht ohne Folgen: Die US-Aufsichtsbehörde SEC soll ein Projekt zur Marktüberwachung abgesagt [8] haben. Investoren befürchten [9] angeblich "große Verluste".

Im November 2019 hat die Securities Industry and Financial Markets Association (SIFMA) ein Planspiel mit einem "Weltuntergangsszenario" durchgeführt [10], das mit einem Erpresungstrojaner [11] ausgelöst werden könnte.

Die Annahme: Was würde passieren, wenn ein systemrelevantes Finanzinstitut durch einen gezielten Lösegeldangriff funktionsunfähig gemacht würde.

Mit den Ergebnissen des Planspiels wird im Sommer gerechnet.

Hoffentlich lässt uns das reale Leben auch soviel Zeit.

Bild: Pixabay [12], Lizenz: Pixabay License

[0]

https://www.middleeasteye.net/news/turkish-hackers-target-greek-government-websites-stock-exchange

[1]

https://www.infosecurity-magazine.com/news/uk-probes-london-stock-exchange/

[2] https://www.xing.com/communities/posts/die-industrialisierung-der-cyberkriminalitaet-1018124060?comment=37567139

[3] https://www.theguardian.com/business/2019/aug/16/london-stock-exchange-hit-by-worst-outage-since-2011

[4] https://www.finextra.com/newsarticle/34352/hong-kong-exchange-suffers-cyber-attack

[5] https://meterpreter.org/major-system-failures-hit-the-tokyo-stock-exchange/

[6] https://www.zdnet.com/article/hackers-steal-41-million-from-cryptocurrency-exchange-binance/

[7] https://www.theguardian.com/technology/2019/jul/12/tokyo-cryptocurrency-exchange-hack-bitpoint-bitcoin

[8] https://www.fnlondon.com/articles/sec-market-surveillance-project-hits-snag-over-hacking-fears-20200116

[9] https://www.investopedia.com/news/are-your-stocks-danger-getting-hacked/

[10] https://www.cpomagazine.com/cyber-security/quantum-dawn-cyber-exercise-simulates-a-doomsday-global-ransomware-attack/

[11] https://www.xing.com/communities/posts/erpressungstrojaner-bereiten-schon-heute-kopfzerbrechen-doch-es-koennte-schlimmer-kommen-viel-schlimmer-1016428228

[12] https://pixabay.com/photos/destruction-apocalypse-war-disaster-2541513/

> Türkische Cracker sollen vor einem Monat Medienberichten zufolge [0] behauptet haben, sie hätten "mehr als 90 Minuten lang die offiziellen Websites des griechischen Parlaments, des Außen- und des Wirtschaftsministeriums sowie die Börse des Landes gekapert". Der Iran soll bei einem massiven Cyber-Angriff im vergangenen Jahr erfolgreich in Hunderte von zahlreichen Regierungen, darunter auch Israel, eingedrungen [1] sein. Der Vorgang soll darüberhinaus "zahlreiche Unternehmen und Organisationen aus den Bereichen IT, Telekommunikation, Öl und Gas, Luftfahrt, Regierung und Sicherheit auf der ganzen Welt" gefährdet haben. Es sei jedoch unwahrscheinlich, dass Teheran in der Lage war, nennenswerte Atomtechnik zu erhalten. In jedem Fall ist es wichtig, die Sicherheit kerntechnischer Anlagen permanent zu prüfen [2] Bild: Pixabay [3], Lizenz: Pixabay License [1] https://www.i24news.tv/en/news/international/1581878402-report-iran-carried-out-cyber-attack-against-hundreds-of-israeli-computers [2] https://www.xing.com/communities/posts/siemens-luecke-soll-administrationsrechte-fuer-atomanlagen-verschaffen-1016630145 [3] https://pixabay.com/illustrations/radioactive-graphic-2056863/
Schlaues Deutschland 4.0

Wir können künftig automatisiert/in Echtzeit/per KI
- Kredit-/Versicherungsanträge prüfen oder Anlageberatung leisten
- Callcenter per Spracherkennung/-ausgabe betreiben
- Lohnabrechnungen per RFID erstellen
- die psychologische Eignung von Personen für spezifische Aufgaben per Video diagnostizieren
- mit personalisierten Chips Blinde sehen, Lahme gehen und Taube hören lassen
- mit der Genschere CRISPR am Erbgut rumfummeln
- Essen personalisiert einschließlich Berücksichtigung von Diäten/Allergien in 3D drucken.

Angesichts technischer, rechtlicher und finanzieller Risiken müssen wir also nicht nur ein ganzes Land von schnell auf sicher umstellen, sondern parallel dazu auch überlegen, wie wir die Curricula an den Hochschulen aktualisieren und wo die vielen tausend Menschen herkommen sollen, die den Studierenden ein Bewusstsein für "hohe Risiken" vermitteln.

"Sicher" bedeutet: Wir müssen -- flächendeckend, systematisch, proaktiv! -- investieren in Sicherheits-/Notfallkonzepte, physikalischen Einbruchschutz, elektronische Signaturen, kryptographische Verschlüsselungen, IAM-/SIEM-Systeme, rollenspezifische Bildung für Alle, herstellerunabhängige, (nach Möglichkeit dynamische) Gütesiegel für die Wolke sowie Produkte/Dienstleistungen/"Apps" und Penetrationstests. Dabei bitte den (nach Art. 32 DSGVO vorgeschriebenen) "Stand der Technik" nicht vergessen – vielfach ist das künstliche Intelligenz, denn kI soll auch Wegefinden, die dem Menschen auf den „ersten Blick“ verborgen bleiben.

Achim Stark und Joachim Jakobs sind aktuell in der Planung eines Vereins, der sich dieses Ziel auf die Fahnen schreibt.

Wir würden uns freuen, wenn Sie uns dabei unterstützen würden!

Bitte haltet euch an die AGBs und Grupperichtlinien von Xing!

Spezielle Gruppenregel:
- Vorstellung nur als Person, keine Unternehmerwerbung, Danke
- Nur Beiträge mit Themenbezug der Gruppe, Danke

Bei Verstößen der Gruppenrichtlinien behalten wir uns das Recht vor, den betreffenden Beitrag zu entfernen. Ein Wiederholungsfall kann einen Ausschluß aus der Gruppe nach sich ziehen. Grobe Verstöße können einen direkten Ausschluß aus der Gruppe zur Folge haben.

Lizenz Logo: Bild von Gerd Altmann auf Pixabay

Schlaues Deutschland 4.0 e.V. - wer macht mit?

Hallo Alle,

Deutschland soll zu den 10 Ländern gehören, die am meisten von Internet-Basierten Anwendungen abhängen [1]. Gleichzeitig scheint das Bewusstsein bezüglich Cybersicherheit in hiesigen Firmen jedoch unterdurchschnittlich ausgeprägt zu sein [2]. Da schon eine dreiwöchige Störung die Gewinne eines ganzen Jahres auffressen sollen [3], ist schnelles Handeln erforderlich!

Achim Stark und Joachim Jakobs glauben nicht daran, dass Staat und Wirtschaft die Kraft finden, dieses Thema angemessen anzugehen; Geheimniskrämerei verdient dieses Prädikat nicht! Wer immer Fehler macht, sollte auch Dritten Gelegenheit geben, aus diesen Fehlern zu lernen. Es ist nicht sinnvoll, dass jede Institution in diesem Land jede schlechte Erfahrung selbst macht! Hinzu kommt, dass derartige Transparenz zu einer gewissen Selbstdisziplinierung führt, da es den Beteiligten -- zu Recht! -- peinlich ist, wenn sie dabei erwischt werden, wie sie die Sicherheit ihrer Mitmenschen gefährden. Der Heise-Verlag hat vorgemacht, wie's geht und maximal transparent über seine Panne informiert [4].

Und schließlich empfiehlt [5] Marcin Kleczynski, Chef der Sicherheitsfirma Malwarebytes, sich in die Angreifer zu versetzen, um künftige Angriffe vorherzusehen. Gut möglich, dass Kleczynski zu den "führenden Fachleuten" zählt, von denen das Justizministerium hier [6] redet. Das wiederum würde bedeuten, dass jeder Verantwortliche verpflichtet wäre, sich derart in die Angreifer zu versetzen. Wir würden also nicht mehr tun, als das, wozu alle Verantwortlichen ohnehin verpflichtet sind.

Angemessen bedeutet für uns daher nicht nur verantwortungsbewusstes Handeln auf allen Ebenen und in allen Bereichen, sondern gleichzeitig auch einen offensiven Umgang mit Pannen. Deshalb haben wir die Graswurzel-Revolution Schlaues Deutschland 4.0 initiiert. Nun möchten wir den nächsten Schritt gehen und diese Gruppe mit einem eingetragenen Verein institutionalisieren. Dieser Verein soll Veranstaltungen in Unternehmen und Hochschulen durchführen und (branchen-/funktionsspezifisches) Informationsmaterial produzieren.

Dazu bitten wir um Eure Unterstützung:

Wir möchten wissen,
- wer Interesse hätte, einem solchen Verein beizutreten und dafür einen jährlichen Beitrag iH von 100 Euro zahlen würde.
- wer Interesse hätte, an der Gründungsversammlung teilzunehmen und in welcher Stadt (ab 200.000 Einwohner) diese stattfinden müsste, damit er teilnehmen würde. Mehrfachnennungen von Städten sind gern gesehen!

Am besten wärs, Ihr würdet Euch hier im Forum dazu äußern. Ihr könnt natürlich auch Achim Stark oder Joachim Jakobs eine Nachricht schicken.

Wir werden dann die Umfrage auswerten und gleichzeitig nach einem Investor suchen, der ein klein wenig Geld für die Veranstaltung aufbringen möchte. Nach der Sommerpause machen wir dann einen Vorschlag für unsere Gründungsveranstaltung.

Natürlich freuen wir uns auch über Eure Vorschläge und Ideen über diese beiden konkreten Fragen hinaus!

Herzliche Grüße

Achim + Joachim

Bildunterschrift: Hosuk Lee-Makiyama, Director des European Centre for International Political Economy (ECIPE) warnt davor, dass Gewinne eines ganzen Jahres durch einen Cyberangriff flöten gehen könnten. Bildquelle: ECIPE

[1] https://www2.deloitte.com/content/dam/Deloitte/ca/Documents/public-sector/ca_en_ps_global_defence_outlook_2016_interactive_AODA.PDF
[2] https://www.security-insider.de/gruene-fordern-konkrete-massnahmen-und-kulturwandel-a-843445/
[3] https://ecipe.org/wp-content/uploads/2018/02/ECIPE_Occasional0218_HLM_V7.pdf
[4] https://www.xing.com/communities/posts/jetzt-hat-es-auch-den-heise-verlag-erwischt-1016387339
[5] https://www.forbes.com/sites/forbestechcouncil/2019/05/06/flying-under-the-radar-the-biggest-malware-threats-hiding-in-plain-sight/
[6] http://hdr.bmj.de/page_b.4.html