Viele Technologien aus den Bereichen KI und Cloudcomputing werden bald unverzichtbar – wie ist es bei derart bahnbrechenden Entwicklungen jedoch um die Datensicherheit bestellt?
Immer wieder weisen wir darauf hin, wie wichtig das Thema Sicherheit in der Informationstechnik einzustufen ist. In dieser Hinsicht ist beispielsweise unser Artikel „Cybersicherheit ist eine Frage der Unternehmenskultur“ sehr aufschlussreich. Schon damals haben wir die Risiken des „Data Harvesting“ bei Hacker-Angriffen diskutiert. Dabei spekulieren die Angreifer darauf, dass alle gestohlenen verschlüsselten Daten binnen Sekunden oder Minuten entschlüsselt werden können, sobald ausreichend Quantencomputing-Kapazitäten zur Dekodierung zur Verfügung stehen. In diesem Zusammenhang haben wir auch aufgezeigt, dass Cyberkriminelle maßgeblich davon profitieren können, dass ihre kriminellen Aktivitäten von dafür geeigneten leistungsstarken KI-Systemen befeuert werden.
Schon in diesem kurzen Absatz klingt an, was sich gewissermaßen als roter Faden durch viele unserer Blogbeiträge zieht: Die Digitalisierung beziehungsweise die Entwicklung neuer digitaler Technologien verhält sich wie ein stetig fahrender Zug, dem man zusteigen sollte, solange es die Geschwindigkeit überhaupt noch ermöglicht. Denn sicher ist, dass Hacker neue Technologien wie Künstliche Intelligenz intensiv nutzen werden, um ihre Ziele zu erreichen. Da ist es von Vorteil, wenn Sie über KI-gestützte Sicherheitssoftware verfügen, die laufende Angriffe proaktiv erkennen kann.
Letzten Endes sind keine der neuen Technologien per se sicher oder unsicher. Es hängt immer davon ab, was Sie aus den Ihnen zur Verfügung stehenden Möglichkeiten machen. Da Hacker fraglos aufrüsten werden, sollten Sie heute bereits zumindest darüber im Bilde sein, wie Sie moderne Technologien nutzen können. Künstliche Intelligenz, Quantencomputing und Cloudcomputing sollten nicht nur sicher, sondern auch gezielt zum Schutz von Daten, Anwendungen, IT-Infrastruktur und Business eingesetzt werden
Cloudcomputing – ein mehr an Sicherheit und Sicherheitsrisiko zugleich
In unserem letzten Beitrag Cloud Computing vs. On Premises hatten wir unter der Überschrift „Chancen, Risiken und das heikle Thema Sicherheit“ den Angriff auf die iCloud als Beispiel für Sicherheitsrisiken herangezogen. Wenn Sie jedoch genau hinsehen, wird Ihnen auffallen, dass die Risiken nur in ganz bestimmten Fällen besonders hoch sind:
- bei Unkenntnis über die Art der genutzten Cloud-Infrastruktur
- wenn Nutzerkomfort als hauptsächliche Entscheidungsgrundlage für Cloudcomputing dient
- bei permanenter Anbindung der Cloud-Infrastruktur an das World Wide Web
- bei Desinteresse oder Unkenntnis darüber, in welchen Ländern die Rechenzentren liegen
Die Eingrenzung derartiger Risiken des Cloudcomputings liegt in unternehmerischen Bereichen immer bei Ihnen als Unternehmer! Stellen Sie sich folgende Fragen:
- Wie ist die von mir präferierte Cloud-Infrastruktur gestaltet und welche Schwachstellen bestehen?
- Können nicht bereits kleine Einschränkungen beim Nutzerkomfort für ein Maximum an Sicherheit sorgen?
- Gibt es für kritische Unterbereiche praktikable Möglichkeiten, die Cloud vom Internet zu entkoppeln oder zumindest ausgesprochen resistente Authentifizierungs- sowie Sicherheitsmechanismen zu nutzen?
- Muss ich einen besonders günstigen Anbieter nehmen, dessen Cloud-Infrastruktur bekanntermaßen in Ländern beheimatet ist, die über geringe oder gar inakzeptable Datenschutzbestimmungen und gegen mein Unternehmen anwendbare Gesetze verfügen?
Im eben genannten Blogbeitrag führen wir noch einige zusätzliche Punkte auf. Aber diese Auswahl zeigt eindeutig, dass vieles davon abhängt, ob Sie als Unternehmer vorausschauend denken. Wenn Sie mit der Materie nicht ausreichend vertraut sind, ist daher ein fundiertes IT-Consulting zu Themen aus der Welt der Informationstechnologie sicherlich unabdingbar.
Grundsätzlich ist es so, dass viele Cloud-Lösungen, schon alleine wegen ihrer permanenten Anbindung an das Internet, mit recht hohen Absicherungsmaßnahmen arbeiten (können). Sofern Sie eine seit Jahren nicht ausreichend gewartete On-Premises-Lösung in Betrieb haben und zwingende Modernisierungsarbeiten anstehen, kann dies eine gute Gelegenheit sein. Die Auslagerung von Daten und Prozessen oder auch nur eines von Ihnen zu definierenden Teils davon in die Cloud kann in diesem Fall durchaus interessant sein. Sowohl in puncto Leistung als auch bezüglich der Kosten.
KI: Sicherheitsrisiko oder moderne Sicherheit nach Maß?
Ein analoges Szenario erwartet Sie im Bereich KI, wenngleich sich Cloudcomputing und Künstliche Intelligenz nicht eins zu eins miteinander vergleichen lassen. Am Anfang des Artikels wurde bereits erwähnt, dass sich KI-Systeme hervorragend für die Zwecke von Hackern nutzen lassen. Das bedeutet keinesfalls, dass Sie deswegen die Finger von dieser Technologie lassen sollten. Im Gegenteil – sinnvoll in betriebliche Prozesse implementierte KI-Systeme zur (proaktiven) Gefahrenabwehr, sind das Mittel beziehungsweise das Tool der Wahl. Das gilt nicht erst für die Zukunft, sondern auch schon heute!
Wir verdeutlichen die Potenziale an einem Beispiel, das uns selbst betrifft. Seit 2024 haben wir innerhalb unserer Sellwerk Unternehmensfamilie die E-Mail-Sicherheit bedarfsgerecht auf ein zeitgemäßes und zukunftsfähiges Niveau gehoben. Zu diesem Zweck setzen wir beispielsweise nur noch die innovativsten Spamfilter sowie die präzisesten Malware-Filter bei der E-Mail-Kommunikation ein. Das wird insbesondere durch unsere vertrauensvolle Partnerschaft mit HornetSecurity möglich.
Darüber hinaus hilft uns beispielsweise die „AI Recipient Validation“, unsere Geschäfts- und Kommunikationsprozesse zu optimieren. Dabei handelt es sich um KI-basierte Sicherheitsmechanismen, die allen Nutzern gleichermaßen zugutekommen. Das Prinzip ist einfach: Die KI lernt, wie sich der Anwender in der Regel bei E-Mail-Versand und E-Mail-Empfang verhält. Gibt es überraschende Abweichungen von der bekannten Praxis, wird eine Warnmeldung generiert. Das schützt uns etwa vor:
- E-Mail-Versand ohne wichtige regelmäßige Empfänger in der Adresszeile
- falschen Rezipienten in der Adresszeile
- unbeabsichtigten Versand von Mail PCI-Daten, Personendaten oder sonstigen sensiblen Inhalten
- unangebrachten Formulierungen
- persönlichen Mails, die irrtümlich an eine größere Verteilerliste adressiert sind
Das sind scheinbar nur kleinere Erleichterungen bei der Arbeit und Schutzmechanismen, wenn etwa die Aufmerksamkeit des jeweiligen Nutzers nachlässt. In der Praxis können sie jedoch eine unerwartet große Wirkung haben. Stellen Sie sie sich beispielsweise eine vertrauliche Rechnung vor, die an Hunderte falsche Empfänger versendet wird. Das kann sogar zu Schadensersatzforderungen seitens des Rechnungsempfängers führen. Das Gleiche gilt natürlich für den unbeabsichtigten Versand sensibler Personendaten. Allerdings ist KI kein Allheilmittel, Sie müssen sich dessen bewusst sein, wie sie funktioniert.
Sicherheit erfordert Verstand – und Nutzer, die die KI-Mechanismen verstehen.
Natürlich gilt für unser zuletzt genanntes Beispiel, dass das vorausschauende Handeln von Unternehmern und Mitarbeitern insbesondere auch bei der Nutzung von KI-Systemen Voraussetzung für den Erfolg der eingesetzten Künstlichen Intelligenz darstellt.
„Die KI lernt“. Diese drei Wörter sind durchaus eine Schlüsselphrase. Im Umkehrschluss bedeutet das, dass eine neu in ein System implementierte KI, die das individuelle Nutzerverhalten noch nicht erlernen konnte, den Nutzer nur bedingt oder nur teilweise unterstützen kann. Und genau diese (Lern-) Prozesse, welche die KI vollautomatisch im Hintergrund absolviert, muss sich der vorausschauende Anwender bewusst sein. Keine Angst vor neuen Technologien: Eine KI-Lösung übernimmt Ihre Arbeit nicht, wenn sie dafür nicht ausgelegt ist
Auch wichtig zu wissen ist, dass die AI Recipient Validation ein Hilfsmittel ist, das die Arbeit der Nutzer erleichtern soll. Das KI-gestützte Tool nimmt dem User nicht die Arbeit weg und schon gar nicht die Entscheidungsgewalt ab. Die Anwender werden lediglich benachrichtigt, dass etwas nicht dem üblichen Standard entspricht. Wichtig und positiv hierbei: Die Anwender werden sofort benachrichtigt, um rechtzeitig reagieren zu können. Im nächsten Schritt entscheidet dann der Anwender, ob er beispielsweise seine Mail unverändert senden möchte oder ob Korrekturen notwendig sind. Im letzteren Fall hat sich die Warnung der Künstlichen Intelligenz dann schon vielleicht mehr als bezahlt gemacht.
Eine zeitsparende Zusammenarbeit
Dadurch, dass ein KI-System zum Einsatz kommt, müssen Sie nicht befürchten, dass dieselben Warnungen bei vergleichbaren Aktionen Ihrerseits laufend wiederkehren. Das wäre bei herkömmlichen, fest in das System einprogrammierten Sicherheitswarnungen der Fall. Für den Fall, dass Sie eine Mail unter bestimmten Bedingungen trotz früherer Warnungen senden, wird sich die KI Ihre neue Herangehensweise merken und Sie nicht hundertfach mit ein und derselben Warnung belästigen.
Vielfältige Angebote bei der Auswahl des Rechenzentrums nutzen, um die Datensicherheit zu erhöhen
Da wir unseren Kunden bei Bedarf mit einem eigenen, leistungsstarken und sicheren Rechenzentrum zur Seite stehen, wissen wir, wie sehr die Entscheidung für ein solches Zentrum hinsichtlich Performance und Sicherheit ausschlaggebend ist. Für uns sind beide zuletzt genannten Faktoren ein sehr hohes Gut, das wir nach bestem Wissen und Gewissen pflegen.
Selbst wenn dem aber nicht so wäre, halten wir es bei geschäftlichen Entscheidungen für oder gegen derartige Einrichtungen für ratsam, die Vielfalt der Angebote zu nutzen. Die Entscheidung für eines der größten standardisierten Zentren geht naturgemäß auch mit der Exposition als eine Art Speerspitze für Hacker einher, die ihre Fähigkeiten an einem möglichst großen und lukrativen Ziel unter Beweis stellen wollen. Und eine möglichst vorne platzierte Schlagzeile, weil ein berühmter Global Player erfolgreich angegriffen werden konnte, kommt solchen Gruppierungen gerade recht. Undankbare Ziele sind hingegen nicht ganz so große Anlagen, die über ausgesprochen zuverlässige Sicherheitsmechanismen, Backupsysteme und recht neue Hardware verfügen.
Aber Vorsicht! Auch hier weisen wir darauf hin, dass nicht nur die vorhandene Technik, sondern der Wissensstand und die Motivation des Personals eine nicht zu unterschätzende Rolle spielen. Das jahrelang kultivierte Know-how erfahrener Fachkräfte erweist sich besonders im IT-Bereich immer mehr als entscheidender Schlüsselfaktor. Gegebenenfalls ergänzt werden sollten diese Fähigkeiten dann durch ein State of the Art IT-Consulting, das gewissermaßen eine unentbehrliche (Kommunikations-) Schnittstelle bildet. Eine Schnittstelle zwischen Unternehmen und den Anwendern des Unternehmens auf der einen Seite und den jeweiligen IT-Spezialisten und ihren Einrichtungen auf der anderen Seite.
Strukturelle Unsicherheit ist vorhanden, aber an ganz unerwarteter Stelle
Wenn es um technische Fragen geht, etwa um die Harmonisierung von Anwenderverhalten und Cloudfunktion oder eine möglichst anforderungsgerechte KI-Unterstützung, dann gibt es zweifellos immer Sicherheitsfragen und -bedenken. Allerdings haben wir unseres Erachtens nicht nur in diesem Artikel überzeugend dargelegt, dass sich technische Sicherheitslücken und Anwenderfehler durch Planung, Produktqualität und Anwender-Schulungen sehr gut beherrschen lassen. Prinzipiell kann der Mensch also die Technik, die er in die Welt setzt, in der Regel reibungslos und mit einem hohen Maß an Sicherheit betreiben.
Für die Planungssicherheit, die auf angemessenes Nutzerverhalten, Firmenentscheidungen und das Vorhandensein bestimmter technischer Infrastrukturen großen Einfluss nehmen kann, gilt das allerdings nicht. Im Rahmen der DSAG Technologietage 2024 wurde offensichtlich, wie sehr Kunden- und somit Nutzervorstellungen und die neu formulierte Ausrichtung des SAP-Konzerns divergieren können. Cloudcomputing Insider hat zu diesem Thema einen auf den ersten Blick ernüchternden Beitrag ins Netz gestellt. Es fällt nicht nur zu Beginn des Artikels mehrfach das Wort „Kritik“.
Der Artikel lässt sich insgesamt als kritische Auseinandersetzung mit der Firmenphilosophie von SAP lesen. Den Anlass dazu bilden verschiedene Gesichtspunkte: Unter anderem würde SAP berechtigte Kundenwünsche nicht umsetzen oder Leistungen kostenpflichtig anbieten, welche nach Ansicht der DSAG kostenfrei und nicht exklusiv nur für bestimmte Kundenkreise angeboten werden dürften. Der Artikel fasst den recht umfangreichen Forderungskatalog der DSAG zudem in neun übersichtlichen Punkten zusammen.
Wie zu erwarten war, werden positive Aspekte insbesondere hinsichtlich der technischen Entwicklung bei SAP hervorgehoben, namentlich das SAP Security Configuration Dashboard, das die Sicherheit der Anwendersysteme auf eine neue Stufe heben soll.
Ein Zwischenfazit
Es ist ersichtlich, dass die größte Unsicherheit davon ausgeht, dass sich Nutzer und Hersteller aufgrund verschiedener Philosophien, gewachsener Strukturen und rasanter Umbrüche nicht einig werden. Kommunizieren Sie Probleme mit IT-Infrastrukturen mit Ihrem Hersteller und machen Sie ihn auf Problemstellungen aufmerksam. Nur so kann er im Zweifelsfall rechtzeitig erkennen, dass er seine Software- und Cloudlösungen anpassen sollte, obwohl er eigentlich eine andere Idee verfolgen wollte.
Die geschilderten Probleme zeigen aber nicht nur, dass noch viel zu tun ist, bevor KI-Systeme in allen Geschäftsbereichen optimal implementiert werden können. Deutlich wird auch, dass es sinnvoll ist, diesen Prozess mitzumachen und mitzugestalten. Unser Appell an Sie: Setzen Sie sich zumindest mit Themen wie Künstliche Intelligenz, Cloudcomputing oder auch Quantencomputing auseinander. Ansonsten wird Ihr Unternehmen mit ziemlicher Sicherheit von Fakten überrascht werden, welche die Wünsche, Forderungen und Bedürfnisse anderer Unternehmen geformt haben.
Eine herausfordernde Behauptung, die mehr als wahr sein könnte
Cloudcomputing Insider berichtete von der TechEd 2023 in Bangalore und titelte, SAP würde den KI-Overkill wagen. Dabei wurde der Chief Technology Officer (CTO) Jürgen Müller von SAP mit den Worten zitiert, dass KI eine echte Revolution und kein Marketing-Gag sei.
Nun waren wir in der Berichterstattung unserer Artikel stets vergleichsweise zurückhaltend mit großartigen Positionierungen für oder gegen eine Entwicklung, zumal neue Technologien immer erst eine Erprobungsphase durchlaufen müssen, bis sie Massenmarkt-tauglich werden. Heute wagen wir jedoch die Behauptung, dass Technologien wie Cloudcomputing und Künstliche Intelligenz-Systeme etwas sind, was den Nutzern schon vor vielen Jahren hätte zur Verfügung stehen müssen. Und das in einer besseren Qualität als es heute der Fall ist.
Warum? Erinnern Sie sich an das Microsoft-Office der Jahrtausendwende mit der sprechenden Klammer, die Ihnen Fragen stellte und Lösungen anbot? Das Konzept hatte keinen wirklichen Erfolg, weil es statisch war und sich eben nicht an die sich wandelnden Erfordernisse der Nutzer anpassen konnte.
Dieses simple Beispiel ist der beste Beweis für die Richtigkeit unserer Behauptung: Eine AI Recipient Validation mit einer KI, die lernt. Das ist das, was der Nutzer von einem vorgeblich intelligenten Gerät nun einmal erwartet. Selbst relativ jungen Kindern wird es langweilig, wenn sie ein „einfaches“ Gerät gewissermaßen ständig „übertölpeln“ müssen, um das gewünschte Resultat zu erzielen. Anwendungen, die keine bedarfsgerechte Unterstützung bieten, sondern durch ihre kaum anpassbare Programmierung und Statik die Nutzer nicht selten sogar behindern, sorgen absolut verständlicherweise für Frustrationen.
Nein, KI ist nicht das Neue, vor dem sich der Anwender fürchten muss. KI ist das Erwartete, das seit Jahrzehnten Erhoffte, das Selbstverständliche, welches jetzt erst hääpchenweise auf den Markt kommt. Schon vor vielen Jahrzehnten bauten Menschen roboterähnliche Maschinen in der Hoffnung, diese könnten ihnen alsbald wie ein menschlicher Unterstützer zur Seite stehen. Und nichts passierte, bis heute.
Fazit
Wir haben dargelegt, dass KI, Cloudcomputing und vergleichbar moderne Technologien nicht viel mehr sind, als die konsequente Fortführung einer mittlerweile Jahrzehnte währenden Entwicklung. Einer Entwicklung übrigens, die so langsam beschleunigt, dass Sie auf diesen „fahrenden Zug“ nach wie vor noch bequem aufspringen können.
Sicherheit, das hat der problematisierende Abschnitt über die DSAG-Kritik an der Firmen-Politik von SAP gezeigt, ist stets eine Frage von Kommunikation, Geld und einer für die Mehrheit der Nutzer möglichst sinnvollen Ausgestaltung in einer angemessenen Zeit.
Weiterhin haben wir erneut daran erinnert, dass insbesondere bei den neuesten Technologien die Sicherheit von Ihrer individuellen unternehmerischen Entscheidung elementar abhängig ist. Gestalten Sie Prozesse, Rechenzentren, Zugriffsrechte etc. weiter sicher aus, können diese das gewünschte hohe Maß an Sicherheit auch tatsächlich liefern.
Mit anderen Worten: Sicherheit wird zumeist durch die richtigen unternehmerischen Entscheidungen hinsichtlich des optimalen Umgangs mit einer Technologie generiert und nur in den seltensten Fällen durch das technische Tool oder das technische Verfahren an sich. Im Umkehrschluss lassen sich selbst High-Risk-Technologien sicher nutzen, wenn sie von einem dafür ausgelegten, sicheren Setting geschützt werden. Denken Sie etwa an einen Kernfusionsreaktor, der mit extrem gefährlichem Plasma arbeitet: Wird für den richtigen Schutz bzw. für die richtige Abschirmung gesorgt, lässt sich selbst unbändige Kraft im Zaum halten.
Ein weiterer Faktor der in Sachen Sicherheit zentral ist, ist das Verhalten der Anwender. Sorgen Sie für maßgeschneiderte Schulungen, vermeiden Sie unsichere Passwörter und unterstützen Sie Verhaltensweisen, welche die IT-Sicherheit erhöhen. Auch im Kernfusionsreaktor könnten zwei oder drei falsch gedrückte Knöpfe seitens des Personals zur Katastrophe führen. Mitarbeiter, die selbst in kritischen Situationen einen kühlen Kopf bewahren, weil sie wissen, was im Falle eines Falles zu tun ist, können in der Regel das Schlimmste verhindern. Auch in Ihrem Unternehmen.
Als letzten Punkt möchten wir Ihnen das Konzept „SECURITY BY DESIGN“ ans Herz legen. Selbst wenn Sie anecken, bei Herstellern, bei IT-Dienstleistern oder durch zunächst scheinbar höhere Ausgaben: Entscheiden Sie sich stets für eine Lösung, die den wirklich relevanten Sicherheitsaspekten Ihres individuellen Geschäftsmodells Rechnung trägt und eine fatale Fehlbedienung seitens der Nutzer nahezu ausschließt.
Wenn Sie bei Ihren unternehmerischen Entscheidungen dann noch die Zukunftsfähigkeit, die Anpassbarkeit oder die grundsätzliche Erweiterbarkeit mit alternativen Lösungen beherzigen, steht der hohen Widerstandsfähigkeit Ihres Unternehmens auch bei unerwarteten zukünftigen Herausforderungen kaum mehr etwas im Weg.
Übrigens: Sind Sie bei Entscheidung im Bereich der IT im Zweifel, ziehen Sie nach Möglichkeit ein vorausschauendes IT-Consulting hinzu, um bei tatsächlich allen digitalen Fragen auf der sicheren Seite zu sein. So gerüstet, werden Sicherheitsaspekte neuer Technologien fraglos zu einem angenehmen Thema für Sie.