Christoph Schacher, CISO bei Wienerberger © schacher.at/Alexandra Schlemitz
Christoph Schacher, Chief Information Security Officer bei Wienerberger, im Gespräch mit dem Digital- und Transformationsexperten Nahed Hatahet.
Digitale Sicherheit ist ein allgegenwärtiges Thema, insbesondere in Bezug auf die Manipulation durch die neuen Möglichkeiten, die uns durch künstliche Intelligenz geboten werden. Was bedeutet es, in einer Zeit zu leben, in der nicht nur unsere Daten, sondern auch unsere Wahrnehmung der Realität manipuliert werden kann?
In diesem Interview erörtert der österreichische Experte für IT-Sicherheit, Christoph Schacher, CISO (Chief Information Security Officer) bei Wienerberger, die Dringlichkeit des Themas für Unternehmen, die Gesellschaft und die Demokratie.
Herr Schacher, Sie beschäftigen sich leidenschaftlich mit IT-Sicherheit und digitaler Manipulation. Warum sind Ihnen diese Themen so wichtig geworden?
Schon vor vielen Jahren durfte ich mit beeindruckenden Experten für IT-Sicherheit zusammenarbeiten. Damals, als IT-Sicherheit noch kein weitverbreitetes Thema war, habe ich sehr viel von ihnen gelernt. Das hat meine Begeisterung fürs Thema geweckt und mein Interesse daran, wie Cyberkriminelle ticken, wie sie in Unternehmen eindringen und wie man seine Daten und Systeme gegen Angriffe schützen kann.
Im Lauf der Zeit konnte ich mit meinem Team beobachten, wie sich Technologien für die Erkennung und Abwehr von Cyberangriffen laufend verbessern, gleichzeitig aber auch sehen, wie die Angreifer immer neue Methoden entwickeln, um in IT-Systeme einzudringen. Im Rahmen der Digitalisierung – und mit der damit zunehmenden Abhängigkeit der Unternehmen von ihren IT-Systemen – hat das Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern an Dynamik gewonnen und mit dem Einsatz von künstlicher Intelligenz nun einen Höhepunkt erreicht.
Was verstehen Sie unter digitaler Sicherheit und digitaler Manipulation? Warum sind diese Themen nicht nur für Unternehmen, sondern auch für die Gesellschaft relevant?
Im Unternehmensumfeld kommt einem schnell „Social Engineering“, „Phishing“ oder „CEO-Fraud“ in den Sinn. Das sind Angriffstechniken, bei denen nicht technische Systeme attackiert werden, sondern bei denen Menschen manipuliert werden, Dinge zu tun, die sie normalerweise nie tun würden, z. B. ein Passwort herauszugeben oder entgegen allen Vorschriften und Regeln Geld zu überweisen.
Doch digitale Manipulation geht über Unternehmensgrenzen hinaus: Social Engineering kann private Daten gefährden, vielen Privatpersonen wurde unter Vorspiegelung falscher Tatsachen bereits Geld gestohlen. Dabei kommen oft traditionelle Betrugsmethoden, wie der Enkeltrick, in einer digitalen Variante zur Anwendung.
Digitale Manipulation kann aber auch ganze Gesellschaften unterwandern und demokratische Prozesse beeinflussen: Man denke nur an die Wahl Donald Trumps oder an den Brexit mit den zwielichtigen Machenschaften von „Cambridge Analytica“ (1) oder an die Botnetze auf Facebook und Twitter, die gezielt Inhalte ihrer Auftraggeber posten, teilen oder kommentieren und in den Algorithmen nach oben pushen, unabhängig von ihrem Wahrheitsgehalt.
(1) Die Leiterin der britischen Datenschutzbehörde ICO sprach in ihrem Schreiben an das britische Parlament nach Abschluss der Ermittlungen zu Cambridge Analytica von „systematischen Verwundbarkeiten für demokratische Systeme“.
https://netzpolitik.org/2020/abschlussbericht-der-datenschutzbehoerde-nein-der-cambridge-analytica-skandal-faellt-nicht-in-sich-zusammen
Wie sieht eine durch künstliche Intelligenz gesteuerte, „perfekt“ simulierte Manipulation aus? Und warum ist sie oft nicht mehr als unecht oder unwahr erkennbar? Welche Mechanismen werden von Angreifern benutzt?
Manipulation braucht immer eine glaubwürdige Geschichte, eine „Story“. Bei den ersten Social-Engineering-Kampagnen haben Cyberkriminelle noch eigenständig verfasste E-Mails an potenzielle Opfer geschickt. Vielleicht erinnern sich noch einige an die E-Mail-Kettenbriefe in gebrochenem Deutsch, in denen der Prinz von Zamunda ein horrendes Erbe verspricht – doch nur, wenn man ihm zuerst mal ein paar kleine Spesen vorab ersetzt.
Später wurde automatisiert und es kamen die Onlineübersetzer: Die Betrugs-E-Mails waren auf einmal in perfektem Deutsch verfasst. Heute kann man eine Betrugskampagne komplett automatisiert und KI-gesteuert abwickeln. KI-Tools werden dabei so programmiert, dass sie mit dem Opfer in einen Dialog treten und von der ersten Kontaktaufnahme bis zur finalen Überweisung die perfekte Story liefern – in natürlicher Sprache und perfekter Grammatik. Und das funktioniert nicht nur per E-Mail, Chat oder Telefon, sondern auch komplett per Fake-Videokonferenz, was jüngst einer Firma in Hongkong über 24 Millionen Euro gekostet hat.
|
|
„Digitale Manipulation kann auch ganze Gesellschaften unterwandern und demokratische Prozesse beeinflussen."
Christoph Schacher, CISO Wienerberger
|
Wie können wir uns vor digitalen Manipulationen und KI-gestützten Cyberangriffen schützen, wenn Angriffe mithilfe von künstlicher Intelligenz so perfekt simuliert werden?
Die naheliegende Antwort ist natürlich: mit künstlicher Intelligenz zurückschlagen. Dazu gibt es verschiedene Ansätze. Die vielversprechendsten legen dabei den Schwerpunkt nicht ausschließlich darauf, KI-generierte Texte, Bilder oder Videos zu erkennen (denn das wird mit zunehmender Qualität der Generatoren immer schwieriger), sondern darauf, Anomalien auch aus dem Kontext zu erkennen. Es geht darum, ihre „Story“ auf mehreren Ebenen zu durchleuchten.
Ein paar Beispiele: Im Unternehmen kann man untersuchen, von welchem Server eine E-Mail wirklich stammt, ob wir mit dem wahren Absender schon jemals Kontakt hatten und ob der Kontext stimmt. In sozialen Netzwerken geht es darum zu prüfen, wann sich ein User (oder war es ein KI-Bot?) erstmals registriert hat, wie oft er postet, und sogar, wie schnell er tippt. Bei Telefon- oder Videoanrufen: Aus welchem Land kommt der Anruf, wie vertrauenswürdig ist der Anschluss oder warum verwendet der vermeintliche Chef für das Videotelefonat auf einmal ein ganz anderes Gerät?
Aus vielen solcher „schwachen Signale“ [Weak Signals, Anm.] können Abwehrsysteme Muster ableiten und am Ende eine Einstufung vornehmen. Dafür müssen sie laufend lernen – genauso wie die Angreifer.
Doch all das funktioniert niemals hundertprozentig: Die endgültige Entscheidung, ob wir die „Story“ glauben, liegt – bei allem, was die Filter im Abwehrsystem durchlassen – am Ende bei uns.
Bei allen Herausforderungen und Möglichkeiten, haben Sie nicht Angst um unsere Gesellschaft und Demokratie, wenn es um digitale Manipulation geht?
In der Tat klingt das alles beängstigend, doch am Ende bleibt eine Hoffnung: nämlich wir, die Menschen. Denn am Ende des Tages sind es noch immer wir, die entscheiden, was wir glauben wollen und was nicht. Wir entscheiden, ob wir nach einem Anruf Geld überweisen oder nicht. Und am Wahltag entscheiden wir, wen wir wählen und wen nicht. Das ist manchmal schwer, auch wegen der gigantischen Echokammern der sozialen Medien, die uns immer wieder ähnliche Inhalte zeigen und widerspiegeln. Aber wir können, ja wir müssen offen bleiben und Situationen und Inhalte kritisch hinterfragen: Kann das stimmen? Was wäre, wenn es doch anders ist? Denn wir haben Werte und wir haben ein natürliches Gefühl dafür, was echt und was unecht ist und wir können uns auf dieser Grundlage entscheiden.
Wir können aufstehen und sagen: „Nein, das glaube ich nicht!“ und „Nein, das mache ich nicht!“ Das werden wir den Maschinen immer voraushaben, die ihren einprogrammierten und auch eingelernten Mustern folgen, die Algorithmen ausführen und Wahrscheinlichkeiten kalkulieren können, aber niemals ein wirkliches Gefühl für richtig und falsch haben werden. Diese Stärke haben nur wir Menschen. Wir müssen sie aber auch nutzen – und das jetzt, im anbrechenden Zeitalter der künstlichen Intelligenz, mehr denn je!
Vielen Dank für das spannende Interview mit Ihnen, Herr Schacher. Man spürt wahrhaftig Ihre Leidenschaft für diese Themen. Wunderbar bereichernd.
Das Interview führte der Digital- und Transformationsexperten Nahed Hatahet. Mehr Infos unter www.nahedhatahet.eu.