Crime-as-a-Service boomt: „Cyber-Security muss Teil der Geschäftsstrategie werden“
Modernste Künstliche Intelligenz (KI) Lösungen für die Industrie und im Gesundheitsbereich, smarte Lösungen für die Datensouveränität Europas für unsere zukünftigen Cloud-Systeme, oder die Gestaltung von Daten-Ökosystemen – Österreichische Datenwissenschaftler müssen den internationalen Vergleich nicht scheuen. Die International Data Science Conference (iDSC), die 2016 von der FH Salzburg initiiert wurde, wird heuer vom AIT Austrian Institute of Technology abgehalten und bringt in ihrem Umfeld Wissenschafter, Unternehmer und Studierende zusammen, um die neuesten Trends und Herausforderungen der Datenwissenschaften und des Data-Driven Business zu diskutieren – und wird dieses Jahr auch zeigen, was heimische Forscher, Startups und Unternehmen imstande sind zu leisten.
Im Interview mit Trending Topics spricht Helmut Leopold, Head of Center for Digital Safety & Security am AIT, über die sinnvolle Nutzung von Artificial Intelligence, über neue Bedrohungsszenarien für die Wirtschaft mittels Crime-as-a-Service und über das Wettrüsten bei Quantencomputern und Verschlüsselung.
Trending Topics: Die iDSC’21 Conference widmet sich dem Thema Big Data an der Schnittstelle zwischen Wissenschaft und Unternehmen. Wo steht die österreichische KI-Forschung im internationalen Vergleich?
Helmut Leopold: Bei Artificial Intelligence denkt jeder sofort an Google, aber die meisten vergessen, dass es im Kern um Daten und deren Interpretation geht. Trotz aller Künstlicher Intelligenz geht es zuallererst um den Austausch zwischen Menschen und das passiert nicht nur bei den Googles und Amazons dieser Welt, sondern auch bei uns in Österreich.
Unsere Datenwissenschaftler:innen hinken im internationalen Vergleich nicht hinten nach, sondern sind ganz vorne dabei. Deswegen machen wir mit der iDSC eine regelmäßige Konferenz, um einen laufenden Dialog und Austausch zwischen Wissenschaftler:innen und Praktikerinnen bzw. Praktikern aus den Unternehmen zu fördern. Mit an Bord sind die iDSC Partner FH Salzburg und FH Vorarlberg, sowie die Donauuniversität Krems.
Was wird konkret auf der Konferenz zu sehen sein?
Das Konferenzprogramm umfasst einerseits interessante wissenschaftliche Beiträge als auch andererseits spannende praktischen Use Case Diskussionen aus Wirtschaft und Industrie. Schwerpunkte in diesem Jahr liegen auf der Anwendung von Künstlicher Intelligenz (KI), auf Lösungen für die Industrie – Industrie 4.0, IoT, ec. als auch im Gesundheitsbereich, auf der Entwicklung von smarten digitalen Lösungen für die Sicherstellung einer Datensouveränität Europas für unsere zukünftigen Cloudsysteme, auf dem Einsatz von KI und Daten-Wissenschaft für neue Entwicklungsmethoden von digitalen Systemen, als auch auf der so wichtigen Gestaltung von offenen Daten-Ökosystemen in Europa.
iDSC’21 Conference
20. und 21. Oktober in Wien
>>Tickets sind online erhältlich, für Studenten gibt es Vergünstigungen <<
Wie sieht der effektive und kontrollierte Einsatz von KI und Daten für eine globale Wettbewerbsfähigkeit von Unternehmen aus?
KI Lösungen funktionieren nur dann wirklich, wenn eine bestimmte (große) Menge von vernünftigen Trainingsdaten vorhanden ist – deshalb sammeln derzeit viele Unternehmen Daten um sie später mal „zu Gold zu machen“. Aber dies wird nicht zufriedenstellend funktionieren. Es gilt grundlegend zu verstehen, dass echte KI nur als ein Prozess der „Datenwissenschaft“ funktioniert. Dafür ist nun einerseits ein effektiver Dialog zwischen Anwendungs- und Datenexpertinnen und -experten sowie Computerwissenschaftlerinnen und Computerwissenschaftlern notwendig – den wir durch die Konferenz auch fördern möchten, und andererseits ist ein neues Verständnis von Datenverfügbarkeit zu entwickeln. Es kann nicht sein, dass monopolartige Strukturen z.B. durch die aktuellen Cloudanbieter – nur 4 globale Cloudanbieter haben über 80% Marktanteil – die Vielfalt von Daten-getriebenen Geschäftsmodellen einfach durch ihre Marktmacht verhindern! Wir brauchen ganz neue Ansätze, um die Verfügungshoheit über unsere Daten wieder zurück zu bekommen. Neue smarte Verschlüsselungssysteme zur Speicherung von Daten in der Cloud oder auch zur Verarbeitung, ohne dass Cloudbetreiber Zugriff auf die Daten bekommen, werden z.B. auch im Zuge der Konferenz vorgestellt.
Wir am AIT arbeiten z.B. dazu an einer Dating-Plattform für Maschinen, die kryptografisch gesichert ist. Maschinen können dann Produktionskapazitäten anbieten, und eine andere Maschine kann diese auffinden. Obwohl ein automatisches Matching in der Cloud erfolgt, kann aber keiner der Teilnehmenden den anderen sehen und und Daten analysieren. Es gibt dabei keine zentrale Datenbank, ähnlich wie bei der Blockchain, und trotzdem kann ein Algorithmus die Daten miteinander abgleichen.
Wie kann man dann aber wissen, welchem Algorithmus man vertrauen kann?
Derzeit sind Algorithmen in sicherheitskritischen (safety) Bereichen, etwa beim Betätigen einer Bremse für Fahrzeuge, nach den gültigen Standards, noch nicht erlaubt. Auch beim Einsatz von KI mit Einfluss auf einzelne Menschen gilt es jede Menge Vorsicht walten zu lassen. KI-Systeme agieren oft wie eine Black-Box und man kann nicht immer erklären, warum von einem KI-System eine bestimmte Entscheidung getroffen wurde. Es fehlt noch an effektiven Test- und Verifikationsmethoden von KI-Systemen. Deswegen wollen wir am AIT neue Testmethoden entwickeln, um KI testen zu können. Da ist man weltweit noch in einem frühen Stadium, und wir sind vorne mit dabei.
Bleiben wir beim Thema Cyber-Security. DDoS-Attacken und Ransomware-Angriffe haben vor allem in Europa zugenommen. Warum steht der Kontinent derzeit so im Fokus?
Das hat eine gewisse Logik. Die Corona-Krise hat die Digitalisierung gepusht und das macht Unternehmen verletzlicher. Die Angreiferseite kann sich mittlerweile via Crime-as-a-Service auf Bedarf kaufen. Die Hemmschwelle, was Know-how und Kosten angeht, sinkt. Und das Risiko erwischt zu werden, ist durch virtuelle Währungen auch gesunken. Mehr Angriffs-Tools, größere Schwachstellen und eine einfache Möglichkeit, damit Geld zu verdienen – dieses Geschäftsmodell skaliert einfach.
Auch österreichische Firmen wie SalzburgMilch sind in den Fokus gerückt. Wie beobachten Sie diesen Trend?
Die Angreifer suchen natürlich in erster Linie immer nach dem einfachsten Weg. Für kritische Infrastruktur wie Kraftwerke, öffentliche Verkehrsmittel, Energieversorger gibt es seit mehreren Jahren entsprechende Gesetze, damit diese Maßnahmen gegen solche Angriffe setzen. Das beinhaltet auch Zertifizierungen und eine Meldepflicht bei den Behörden. Für Angreifer wird es in dem Bereich schwierig.
Von diesem NIS Gesetz (Netz- und Informationssicherheitsgesetz) sind in Europa aber nur wenige sog. Kritische Infrastrukturbetreiber betroffen. Für alle anderen Unternehmen gibt es derzeit keine gesetzlichen Vorschriften zur Erhöhung von deren Cybersicherheit. Unternehmen entscheiden nach ihren eigenen Unternehmensstrategien und Prioritäten, welche Schutzmaßnahmen sie einsetzen. Allerdings haben wir es hier mit einer grundlegenden Problematik für unseren Wirtschaftsstandort zu tun.
Wir haben eine Umfrage bei den österreichischen Produktionsbetrieben gemacht, die zeigt: Die großen Unternehmen haben IT-Sicherheit im Fokus. Aber viele kleine Unternehmen sagen, dass sie keine besonderen Schutzmaßnahmen setzen, oder dass sie nicht wissen, ob sie überhaupt im Visier sind. Das zeigt, dass hier noch viel zu tun ist. Deswegen gibt es derzeit auch die EU-weite Diskussion, dass viel mehr Unternehmen sich einem erhöhten Cybersicherschutz widmen sollten. Ansätze dafür sind eine Erweiterung der NIS-Richtlinie (zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen), dass auch andere systemrelevante Unternehmen aufgenommen werden sollten – also etwa auch Lebensmittelversorger, oder auch der EU-Cybersecurity-Act, der Zertifizierungen für digitale Produkte vorsieht.
iDSC’21 Conference: Data-Driven Business auf der großen Bühne
Gerade für kleine Firmen ist das Erfüllen von Anforderungen wie nach der NIS-Richtlinie gefordert sehr aufwendig. Wie kann man das hinkriegen?
Cyber-Sicherheit darf nicht ein notwendiges Übel sein und nur der IT-Abteilung zugeschoben werden. Wir kommunizieren heute digital, ganze Geschäftsmodelle bauen auf Digitalisierung auf. Cyber-Security muss Teil der Geschäftsstrategie werden. Dafür sind Investitionen und Know-how notwendig. Das spiegelt sich in höheren Kosten des Produktes wieder, und das muss wiederum der Markt und der Endkunde verstehen. Uns muss es etwas wert sein, dass unsere Daten nicht missbraucht werden.
Woher nehmen KMU die Sicherheitslösungen?
Dafür muss ein Angebot geschaffen werden. KMU können keine großen IT-Abteilungen aufbauen. Es müssen Services entwickelt werden, um einerseits Know-How und Wissen den KMUs zur Verfügung zu stellen, es braucht Ausbildung im breitesten Sinne, und es braucht neue technische Werkzeuge, wie z.B. auch den Einsatz von KI zum Schutz unserer IT-System vor unbekannten ausgeklügelten Angriffen.
Dabei braucht es aber auch den Dialog mit der Gesellschaft, damit niemand das Gefühl hat, dass die KI uns alle überwacht. Es ist eben ein Wettrüsten zwischen den Angreifern und den Verteidigern. Bis dato hinkt die ganze Wirtschaft etwas hinten nach, weil wir als Gesellschaft dieser Thematik noch keine ausreichende Priorität eingeräumt haben.
Ein Blick in die Zukunft: Quantencomputer sind weltweit in Arbeit. Werden diese heutige Cyber-Sicherheit komplett aushebeln, weil sie theoretisch ja alles in Minuten entschlüsseln können, wofür heutige Rechner Jahrhunderte brauchen würden?
Dieses Bedrohungsszenario steht im Raum. Nicht nur große Firmen, ganze Staaten wie China oder die USA investieren in diesen Bereich. Quantencomputer können Algorithmen sehr schnell berechnen und etwa einen Schlüssel für eine digitale Identität leicht knacken. Die wissenschaftliche Welt baut deswegen neue Verschlüsselungsmechanismen, die nicht mehr auf mathematischen Prinzipien beruhen um von möglicherweise mächtigen Computern der Zukunft nicht gebrochen werden zu können. Ein Ansatz ist die Quantum Key Distribution (QKD) Technologie, wo physikalische Phänomene in der Photonik verwendet werden. QKD-Schlüssel kann dann kein Quantencomputer knacken. Durch die EU-weite EuroQCI Initiative wird dieser Bereich in der EU ausgebaut, um unsere kritischen Daten und Infrastrukturen höchstmöglich auch in der Zukunft zu schützen.
