Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...

Die Seite wird erstellt Stefan-Nikolas Engelmann
 
WEITER LESEN
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
HZ208307 · ISSN 1868-5757 · www.datakontext.com                                    Februar   1/2021

                            Künstliche Intelligenz:
                            Fair oder gefährlich?

        Warum Ethik in
      der KI zum zentralen
          Thema wird

Schwerpunkt                Datenschutz:                   Cloud-Forensik:
Cybersecurity:             Folgenabschätzung risiko­      Blick in die großen „Verstecke“
Trends, E-Mail,            behafteter Tools am Beispiel   von Cyberkriminellen
Ransomware, Banking        von Microsoft 365
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
EDITORIAL

WIRD DER MENSCH ZUR
MARIONETTE DER
KÜNSTLICHEN INTELLIGENZ?
Mit dem wachsenden Einfluss der Künstlichen Intelligenz (KI) auf immer mehr Lebensbereiche fragen
sich viele Menschen, wo das hinführen soll. Zweifellos bringt KI – oder ihre derzeit oft noch vorherr-
schende Vorstufe Machine Learning (ML) – in vielen Bereichen große Erleichterungen, höhere Effizienz
oder schlicht Komfort. Nahezu alle smarten Gadgets, Smartphones, Geräte für das smarte Heim, smarte
Gebäude und Städte, intelligentes Verkehrsmanagement etc. haben bereits mehr oder weniger weit
entwickelte Vorstufen der KI eingebaut. Themen wie intelligente Fahrassistenten und autonomes Fah-
ren wären ohne KI nicht denkbar. In der Medizin leistet KI bereits oft wertvolle Unterstützung. Und in
der IT wäre eine wirksame Verteidigung gegen Cyberangriffe heute ohne KI nicht mehr möglich – was
aber nicht zuletzt daran liegt, dass auch die Angreifer es verstehen, KI sehr versiert für ihre Zwecke ein-
zusetzen.

                                                                                                                      Stefan Mutschler
Zweifellos haben auch soziale Netzwerke unser Leben reicher, aufregender, effektiver und bequemer
gemacht. Algorithmen in sozialen Netzwerken – allen voran in Facebook – sind darauf ausgelegt, den
Nutzer bei der Stange zu halten. Der einfache Trick: KI analysiert die Interessen der Nutzer anhand der
angeklickten Beiträge und findet Ähnliches zur weiteren Lektüre beziehungsweise Betrachtung – gern
noch etwas „schmackiger“. Klingt soweit harmlos, führt den freudig oder empört erregten Nutzer aber
­immer stärker in eine Welt ohne Tellerrand. Im Klartext: In gewisser Weise agieren solche Netzwerke
 wie Radikalisierungsmaschinen in Klick-Geschwindigkeit. Das mag zwar keine Absicht, sondern „nur“
 eine Nebenerscheinung der Gier nach mehr Klicks und längerer Verweildauer sein – der problematische
 Nebeneffekt wird aber sozusagen billigend in Kauf genommen.

Das in den meisten sozialen Medien streng umgesetzte Recht auf Meinungsfreiheit wäre ich bereit
hoch zu loben und hart zu verteidigen, gäbe es da nicht noch diesen anderen Megatrend im Internet:
industriell organisierte Desinformation. Riesige und technisch hervorragend ausgestattete „Medien-
häuser“ produzieren und verbreiten einen Mix aus verdrehten, bewusst falsch pointierten, hoffnungs-
los übertrieben und nicht zuletzt schlicht frei erfundenen „News“ – manchmal perfiderweise noch
gewürzt mit einer Prise echter Fakten. Dank KI-Unterstützung kommt alles sehr real und glaubwür-
dig daher. Dahinter stecken in totalitären Systemen die Regierungen, in demokratischen Systemen
meist potente Unternehmen mit besonders rechts, links oder esoterisch engagierten Führern. Ziele
sind meist die Diskreditierung von Personen oder Gruppen, das Säen von Misstrauen gegenüber den
„Mainstream“-Medien, Organisationen und Regierungen, sowie insgesamt die Destabilisierung der Ge-
sellschaftsstrukturen. Eine zerrissene Gesellschaft ist eben leichter in die jeweils gewünschte Richtung
zu manipulieren als eine gefestigte. Da die sozialen Medien als wichtiger Verbreitungskanal eben auch
dieser „News“ dienen, wirkt die Meinungsfreiheit hier als Katalysator für extreme Haltungen.

Mit diesen Ausführungen wollte ich Sie für ein Thema sensibilisieren, das wir in dieser Ausgabe in drei
Beiträgen aus unterschiedlichen Blickwinkeln aufbereitet haben: „Ethische KI“. „Der Einfluss Künstlicher
Intelligenz auf menschliche Selbstbestimmung“ berichtet über ein Impulspapier des Forum Privatheit
des Fraunhofer ISI (ab Seite 10). „Wissenschaft als Helfer für angewandte Ethik in der KI-unterstützten
IT“ diskutiert die Rolle der KI bei der strategischen Abwehr von Cyberangriffen und den Zusammen-                    facebook.com/itsicherheit
hang mit ethischen Richtlinien (ab Seite 53). „Auf dem Weg zur Fremdbestimmung“ schließlich unter-
sucht die Auswirkungen der Tatsache, dass KI mit jeder angenommenen Hilfestellung enger an uns
herantritt und eine wichtigere Rolle in unser aller Leben einnimmt (ab Seite 57).                                    twitter.com/it_sicherheit24

Viel Spaß beim Lesen!

Ihr Stefan Mutschler                                                                                                 www.itsicherheit-online.com/
                                                                                                                     newsletter
Chefredakteur

                                                                                                              IT-SICHERHEIT_1/2021                 3
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
KÜNSTLICHE INTELLIGENZ: FAIR ODER GEFÄHRLICH?

                                                CYBER­SICHERHEIT
                                                E-MAIL, RANSOMWARE,
                                                BANKING, TRENDS
                                                                                 26
     EDITORIAL
                                                     18   IT-Sicherheit für Unternehmen
3    Wird der Mensch zur Marionette der                   DEN IMPFSTOFF VOR HACKERN SCHÜTZEN
     Künstlichen Intelligenz?
                                                     20   Review Monitoring für Business Security
     NEWS                                                 in Unternehmen
                                                          RUF UND BEWERTUNGEN STÄNDIG IM BLICK
6    Unternehmens-News
                                                     22   Identity- und Access-Management (IAM) als
8    Produkt-News                                         Schlüssel für sicheres Homeoffice
                                                          VORGEHENSWEISE UND TIPPS FÜR
     AUS DER SZENE                                        FERNWERKER

10   Der Einfluss Künstlicher Intelligenz auf             CYBERSICHERHEIT
     menschliche Selbstbestimmung
     HANDLUNGS­EMPFEHLUNGEN                          26   So wird das Top-Angriffsziel E-Mail
     FÜR EINE VERTRAUENS­WÜRDIGE KI                       zum Hacker-Flop
                                                          VORSORGE IST BESSER ALS NACHSORGE
12   eco übernimmt Projektmanagement
     der GAIA-X Federation Services                  30   Warum Ransomware noch immer
     OFFENHEIT DURCH OPEN-SOURCE-ANSATZ                   so erfolgreich ist
                                                          UMFASSENDE SICHERHEITSMODELLE
14   Bringt die neue Arbeitskultur nach COVID-19          ERFORDERLICH
     mehr Frauen in die IT?
     WANDEL IN DER IT-(SICHERHEIT-)SZENE             34   Finanzinstitute bleiben beliebtes Ziel
                                                          von Cyberkriminellen
     SECURITY MANAGEMENT                                  BANKING-SECURITY-TRENDS 2021

16   Vereinfachte Kontrolle des Berechtigungs­       38   Diese vier Bedrohungen sollte jetzt jede
     konzepts durch ein Rollenmodell                      Organisation auf dem Schirm haben
     GEORDNETE RECHTE­STRUKTUREN                          TENDENZEN FÜR DIE CYBER­SICHERHEIT 2021

4            IT-SICHERHEIT_1/2021
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
WARUM ETHIK IN DER KI ZUM ZENTRALEN THEMA WIRD

 14         BRINGT DIE NEUE
ARBEITSKULTUR NACH COVID-19
       MEHR FRAUEN IN DIE IT?

                                              30
                         WARUM RANSOMWARE
                         NOCH IMMER SO
                         ERFOLGREICH IST

     ENDPOINT | MOBILE SECURITY
                                                                60            DS-GVO-KONFORME
                                                                NUTZUNG RISIKOBEHAFTETER TOOLS
44   Was Nutzer tun und tun sollten, um ihr
     Smartphone sicherer zu machen
     DEN „STÄNDIGEN BEGLEITER“ RICHTIG
     BEHANDELN                                          57   Gastkommentar von Jona Boeddinghaus:
                                                             Warum wir über Ethische KI reden müssen
     CLOUD SECURITY | WEB APP SECURITY                       AUF DEM WEG ZUR FREMDBESTIMMUNG?

46   Datensicherung, Disaster Recovery und Mobilität         IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT
     in modernen Anwendungen
     CONTAINER ERFOLGREICH ABSICHERN                    60   DS-GVO-konforme Nutzung
                                                             risikobehafteter Tools
     AUS FORSCHUNG UND TECHNIK                               DIE DATENSCHUTZ-FOLGEN­ABSCHÄTZUNG
                                                             AM BEISPIEL VON MICROSOFT 365
48   Herausforderungen für die digitale Forensik
     in Cloud-Umgebungen                                     SERVICES
     BLICK IN DIE GROSSEN „VERSTECKE“ VON
     CYBERKRIMINELLEN                                   43   Webportal

53   Wissenschaft als Helfer für angewandte Ethik       66   VORSCHAU: Ausblick auf Ausgabe 2 | 2021
     in der KI-unterstützten IT
     IM SINNE DER GESELLSCHAFT                          66   Impressum

                                                                         IT-SICHERHEIT_1/2021          5
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
NEWS | UNTERNEHMEN

FRIEDHELM LOH GROUP BÜNDELT                                                 MCAFEE UND INGRAM MICRO
DREI START-UPS ZU GERMAN EDGE                                               ­KÜNDIGEN ERWEITERTE PARTNER-
CLOUD                                                                        SCHAFT AN
Drei Tochterunternehmen der Friedhelm Loh Group sind jetzt eins: Ger-       McAfee und Ingram Micro Inc. kündigen ihre erweiterte weltweite Zu-
man Edge Cloud, IoTOS und iNNOVO Cloud. Die Kompetenzen der im              sammenarbeit zur Stärkung des Channel Programms an. Die neue Ver-
IIoT-, Cloud- und Edge-Computing-Markt etablierten Unternehmen wer-         einbarung ermöglicht den Zugang zu McAfee-Produkten und -Lösungen
den jetzt in der German Edge Cloud (GEC) vereint. Das Portfolio hat zwei    über das globale Vertriebsnetz von Ingram Micro, einschließlich seiner
Schwerpunkte: Kunden in der produzierenden Industrie gewinnen mit           regionalen Cloud Marketplaces und Centers of Excellence.
den Edge-Cloud-Lösungen des Unternehmens erhebliche Effizienzvor-
teile, etwa durch Data Analytics – bei voller Datensouveränität. Zweitens   McAfee hat sein SaaS-Portfolio Ende 2020 auf dem US-amerikanischen
ermöglicht GEC als Cloud Automation Partner die Migration und Auto-         Ingram Micro Cloud Marketplace eingeführt und plant, seine Präsenz im
mation von Kundenanwendungen in Multi-Cloud-Umgebungen und den              Laufe des Jahres 2021 auf den E-Commerce-Plattformen von Ingram Micro
sicheren Gaia-X-konformen und hochverfügbaren Betrieb.                      zu erweitern. Damit wollen die Unternehmen die Chancen und positiven
                                                                            Auswirkungen der Cloud-Transformation auf die Channel-Landschaft unter-
Gegründet innerhalb der Friedhelm Loh Group bietet das Unternehmen          stützen. Gemeinsam arbeiten sie daran, Channel-Partnern dabei zu helfen,
das erste schlüsselfertige Edge-Cloud-Rechenzentrum für die intelligen-     diese Dynamik aufzugreifen, ihr Angebot zu erweitern und dabei die Cloud-
te Analyse von Produktionsdaten und die Vernetzung von Fabriken welt-       Einführung zu beschleunigen. Darüber hinaus erweitert Ingram ­Micro ge-
weit. Mit dem Know-how der bisherigen Schwestergesellschaft ­iNNOVO         meinsam mit McAfee seine Dienstleistungen, um den Wechsel von älterer
Cloud hat das Unternehmen Spezialisten in Automation, Migration,            Sicherheitstechnologie zu McAfee MVISION-Produkten anzubieten. n
Betrieb und Service von verteilten Anwendungen in Multi-Cloud-Archi-
tekturen an Bord. Die Software-Anwendungen und Integrationsservices
der ehemaligen IoTOS runden das Angebot ab. Know-how in industrie-          DIE IPG-GRUPPE WIRD TEIL DER
spezifischen IT-Landschaften zur komplexen Produktionssteuerung und         ­TIMETOACT GROUP
für Manufacturing Execution Systems (MES) steht Kunden zur Verfügung.       Die TIMETOACT GROUP mit Hauptsitz in Köln erwirbt die Mehrheit der
Damit unterstützt die German Edge Cloud die Kunden bei den Herausfor-       Aktien der IPG Information Process Group Holding AG mit Sitz in Winter-
derungen auf dem Weg zur Umsetzung des Industrial Internet of Things        thur. Durch die Übernahme werden die Kompetenzen zu Identity-and-
(IIoT).                                                                     Access-Management-(IAM-)Lösungen im DACH-Markt zusammenge-
                                                                            schlossen. IAM gewinnt im Rahmen der IT-Sicherheit und Digitalisierung
Mit dieser einzigartigen Kombination im Lö-                                 immer mehr an Bedeutung und wird durch den Zusammenschluss der
sungsportfolio ist German Edge Cloud jetzt                                  beiden Unternehmensgruppen optimal bedient.
Komplettanbieter – von der Beratung über die
Implementierung bis hin zum Betrieb von Soft-                               Mit abgeschlossenem Vertrag zur Übernahme der Aktien-Mehrheit der
ware-Anwendungen auf kundeneigenen Clouds,                                  IPG Holding AG durch die TIMETOACT GROUP entsteht der führende IT-
einer Hyperscaler-Cloud oder der GEC-eigenen                                Dienstleister für Identity-and-Access-Management-(IAM-)Lösungen in
Cloud- bzw. Edge-Infrastruktur – ohne Vendor                                Deutschland, Österreich und der Schweiz. Mit der Übernahme stärken
Lock-in. „Da wir alles aus einer Hand anbie-        Dr. Sebastian Ritz:     beide Unternehmen ihre Position im Markt für „Identity driven Security“.
ten, erhalten unsere Kunden eine konsolidierte      „Von GEC erhalten       Die Transaktion ist bereits vollzogen, und weiteres Wachstum in diesem
Lösung für heterogene Datenlandschaften und         Unternehmen eine        Bereich ist geplant. „Wir beobachten die starke Performance von IPG
                                                    konsolidierte Lösung
das entsprechende Prozess-Know-how. Bisher                                  schon lange und sind von der hohen Qualität ihrer Leistungen überzeugt.
                                                    für heterogene Cloud
brauchten Kunden mehrere Partner, beispiels-        Architekturen und       Gemeinsam mit unserem IAM-Team werden wir bedeutende Mehrwerte
weise ein Systemhaus, einen Service-Integrator      das entsprechende       für unsere Kunden und Mitarbeiter schaffen“, so Felix Binsack, Geschäfts-
und ein Consulting-Unternehmen. Gleichzeitig        Prozess-Know-how        führer der TIMETOACT GROUP.
                                                    – aus einer Hand
sind wir Cloud-Automation-Partner für Soft-
                                                    ohne Vendor Lock-in.“
wareunternehmen“, so Dr. Sebastian Ritz, Ge-        (Foto: Friedhelm Loh    Die IPG integriert und betreibt ausschließlich Identity-and-Access-Manage-
schäftsführer der German Edge Cloud. n              Group)                  ment-Lösungen für alle wesentlichen Wirtschaftszweige und wird seine
                                                                            Aktivitäten in Deutschland massiv erweitern. Auch wenn die IPG nach dem
                                                                            Zusammenschluss eigenständig bleibt, so werden die beiden Unterneh-
                                                                            mensgruppen künftig mit vereinten
                                                                            Kräften Identitäts-, Zugriffs- und
                                                                            Governance-Lösungen im DACH-
                                                                            Markt vorantreiben. n
                                                                            Marco Rohrer, CEO IPG Gruppe (links)
                                                                            und Felix Binsack, Geschäftsführer
                                                                            TIMETOACT GROUP (Foto: TIMETOACT)

6                 IT-SICHERHEIT_1/2021
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
UNTERNEHMEN | NEWS

HORNETSECURITY KAUFT VEEAM-                                                    NEUGRÜNDUNG K4 DIGITAL: GANZ-
KONKURRENT ALTARO                                                              HEITLICHE DIGITALISIERUNG UND
Es wird fast zur Tradition: Hornetsecurity star-                               ­CYBERSICHERHEIT FÜR DIE INDUSTRIE
tet fulminant ins neue Jahr und verkündet eine                                 Unter dem Dach der K4 DIGITAL haben sich im letzten Quartal 2020 zwölf
weitere erfolgreich abgeschlossene Übernah-                                    der renommiertesten deutschen Security- und Branchenexperten for-
me. Mit der Bekanntgabe übernimmt Hornet-                                      miert, um das Thema Cybersicherheit für Industrieunternehmen in einer
security 100 Prozent der Anteile des wachs-                                    neuen, ganzheitlichen Form zu realisieren. Im Gegensatz zum typischen
tumsstarken internationalen Anbieters für                                      IT-zentrierten Ansatz einer klassischen Systemhausdienstleistung un-
Back-up-Lösungen, Altaro. Nach der Übernahme                                   terstützt K4 DIGITAL Unternehmen und Organisationen bei der Planung
des spanischen Marktführers für Cloud-E-Mail-        „Mit der Integration      und Realisierung von unternehmensübergreifenden Security-Prozessen,
Security-Lösungen Spamina im Januar 2019 und         der Back-up-Lösungen      um diese gegen heutige und künftige Cyberrisiken zu schützen. Auf Basis
der Akquisition des englischen Country Partners      von Altaro in Hornet-     einer umfassenden Workforce Transformation vereint K4 DIGITAL indus­
                                                     securitys E-Mail Cloud
EveryCloud zum Jahresbeginn 2020 erschließt          Security Produktport-
                                                                               trielle Prozesse mit der Digitalisierung und der Cybersicherheit unter
der europäische Cloud-Security-Spezialist dieses     folio vervollständigen    ­einer einheitlichen Management- und Sicherheitsstrategie – beispiels-
Mal ein neues Produktsegment, das die eigenen        wir das Puzzle eines       weise in den Bereichen Produktion, kritische Infrastrukturen, Verkehr
Services um zuverlässige Back-up-Lösungen            umfassenden Security-      und Logistik, Versorgung, Gebäude- und Städteentwicklung (Smart City
                                                     Pakets“, so Daniel
ergänzt. Damit wird Hornetsecurity zu der Euro-      Hofmann, CEO von
                                                                                und Smart Building), um nur einige zu nennen.
päischen Antwort auf Security und Compliance         Hornetsecurity.
im Microsoft-365-Umfeld.                             (Foto: Hornetsecurity)    Das Team unter der Leitung von Michael Krammel setzt auf eine interdis-
                                                                               ziplinäre und ganzheitliche Herangehensweise, welche dem tatsächli-
„Alle Altaro-Gründer bleiben an Board und erhalten eine neue Rolle in-         chen heutigen Stand der Industrie gerecht wird. Im Fokus stehen nicht
nerhalb der Hornetsecurity Gruppe. Die bestehenden internationalen             nur die technischen Möglichkeiten und Argumente, die sich ausschließ-
Standorte werden in den nächsten Jahren weiter ausgebaut, um unsere            lich auf die IT-Infrastruktur beziehen, sondern das integrale Zusammen-
Partner noch schneller mit neuen Produkten und Lösungen zu versor-             wirken in Geschäftsmodellen, Organisationsstrukturen, Prozessen, Tech-
gen“, betont Daniel Hofmann, CEO von Hornetsecurity. „Unser Ziel ist es,       nologien und allem voran Menschen. n
allen Unternehmen eine vollständige Security- und Compliance-Lösung
für ihren Einsatz von Cloud-Technologien zu bieten. Mit der Integration
der Back-up-Lösungen von Altaro in Hornetsecuritys E-Mail Cloud Secu-
                                                                               SOPHOS ALS COMMON VULNERA­
rity Produktportfolio vervollständigen wir das Puzzle eines umfassenden
                                                                               BILITY AND EXPOSURE NUMBERING
Security-Pakets.“ n
                                                                               AUTHORITY (CVE) ANERKANNT
                                                                               Sophos wurde als Common Vulnerabilities and Exposures (CVE) Num-
IVANTI SCHLIESST ÜBERNAHME                                                     bering Authority (CNA) im CVE-Programm anerkannt. Das CVE ist ein
VON MOBILEIRON UND PULSE SECURE                                                internationaler Standard zur Identifizierung und Benennung von Cyber-
ERFOLGREICH AB                                                                 sicherheitslücken. Mit der Aufnahme ist Sophos berechtigt, internati-
Ivanti hat den Abschluss der Übernahmen von MobileIron und Pulse               onal gültige CVE-Kennungen für Sicherheitslücken im Rahmen seiner
Secure LLC, bekannt gegeben. MobileIron ist ein führender Anbieter von         Produkte zu vergeben. Der Vorteil besteht darin, dass Sicherheitsforscher
Unified-Endpoint-Management-Lösungen mit dem Fokus auf Mobil-                  nun direkt mit Sophos zusammenarbeiten können, um CVEs für die Pro-
geräten. Pulse Secure ist im Bereich der sicheren Zugangslösungen und          dukte des Unternehmens zu vergeben. Dies erleichtert die Prozesse des
mobilen Sicherheitsanwendungen führend. Durch den Zusammen-                    Reportings sowie die Zuweisung von CVEs.
schluss festigt Ivanti, das von Clearlake Capital Group, L.P. und TA Associ-
ates unterstützt wird, seine Position als weltweiter Marktführer in den        Das CVE-Programm ist ein internationales Gemeinschaftsprojekt, das
Bereichen Unified Endpoint Management (UEM), Zero Trust Security und           ein offenes Register für Schwachstellen anhand von CVEs führt. Es steht
IT Service Management (ITSM).                                                  Sicherheitsforschern und Anbietern von Informationstechnologie zur
                                                                               Verfügung. Die Verwendung einer gemeinsamen Bezeichnung erleichtert
„Wir freuen uns, die Teams von MobileIron und Pulse Secure in der Ivanti       die gemeinschaftliche Nutzung und den Abgleich von Daten zwischen
Familie willkommen zu heißen“, sagte Jim Schaper, Vorstandsvorsitzen-          unterschiedlichen Security-Datenbanken und -Tools, die Schwachstellen
der und CEO von Ivanti. „Unsere Plattform für intelligente Nutzererfah-        finden und listen. n
rungen wird das geschäftliche Leben durch Hyper-Automatisierung und
sichere Verbindungen auf jedem Gerät, für jeden Benutzer, wo und wie
auch immer er arbeitet, unterstützen. Unsere Kunden können auf diese
Weise freier zusammenarbeiten und innovieren, während gleichzeitig
das Risiko von Datenverstößen verringert und die Erfahrungen der Mitar-
beiter verbessert werden.“ n

                                                                                                       IT-SICHERHEIT_1/2021                           7
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
NEWS | PRODUKTE

                                                                        NEUE AWARENESS-PLATTFORM
    GARANTIERTER SCHUTZ                                                 ERLAUBT MEHRERE AWARENESS-
    VOR SCHADSOFTWARE OHNE                                              TRAININGS IN EINER KAMPAGNE
    MEHRAUFWAND                                                         Das Schweizer Unternehmen Lucy Security präsentiert seine neue Ver-
    Der Antivirus-Hersteller SecuLution aus Werl hat mit SecuLution     sion 4.7.7.der Lucy Awareness-Plattform. Bei der neuen Version wurde
    Application Whitelisting 2.0 den Aufwand, den Whitelisting          vor allem das Learning Management System (LMS) optimiert und aus-
    bislang für Admins bedeutete, auf ein Minimum reduziert; ein        gebaut. Mit Lucy Security erhalten Unternehmen eine Standard-Soft-
    patentiertes Automatisierungsverfahren macht es möglich.            wareplattform an die Hand, um mittels Angriffssimulationen Mitarbei-
                                                                        ter zu schulen. Außerdem können sie mit Malware-Simulationen die
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI)       unternehmensweite Infrastruktur prüfen und mit der Lernplattform
    empfiehlt bereits im Grundschutz-Kompendium 2018 den                Mitarbeiter zu speziellen Cybersecurity-Themen trainieren. Die Ergeb-
    Einsatz von Application Whitelisting: Gegenüber herkömmlicher       nisse der verschiedenen Tests werden mit der Softwareplattform lau-
    Antivirensoftware bieten Whitelisting-Lösungen den Vorteil          fend überprüft und schließlich mit Reporting-Funktionen angereichert.
    hundertprozentigen Schutzes – was nicht bekannt ist, wird           So werden Mitarbeiter dazu motiviert, ein umfassendes Sicherheitsver-
    nicht ausgeführt. Unter Administratoren gilt Whitelisting           ständnis zu entwickeln und souverän umzusetzen.
    jedoch als arbeitsintensiv; dagegen schaffte SecuLution bereits
    mit der Startversion Abhilfe.                                       Neu bei der neuen LUCY-Plattform ist unter anderem die Funktion,
                                                                        dass in einer Awareness-Kampagne mehrere Kurse gebündelt werden
    Die Version 2.0 will nun endgültig mit dem Vorurteil                können. Kursbibliotheken können ab sofort sehr einfach erstellt und
    aufräumen, Whitelisting sei aufwendig. Auf dem AdminWizard          im LMS den Benutzern zur Verfügung gestellt werden. Zudem wurde
    Dashboard sehen Admins auf einen Blick, was auf den                 das Benutzermanagement optimiert: Nutzerkonten von verschiedenen
    Endpoints passiert. Anpassungen von .config-Dateien oder            Anwendergruppen können beispielsweise über Schnittstellen mit der
    Batch-Jobs gehören der Vergangenheit an. Der Agent arbeitet         LUCY-Software synchronisiert werden (gruppenbasiertes LDAP-Sync).
    nahtlos mit einer automatisch lernenden VM und der von              Die Lucy-Security-Plattform 4.7.7 ist ab sofort als Download verfügbar. n
    SecuLution-Mitarbeitern gepflegten TrustLevel-Datenbank
    zusammen. Admins haben nun mehr Kontrolle und deutlich
    weniger Arbeit. Neben der kostenlosen 60-tägigen Teststellung
    bietet SecuLution ab der Version 2.0 eine vollständige Geld-
                                                                        COMMUNITY-WEBSEITE FÜR
    zurück-Garantie.
                                                                        ­DevSecOps-TEAMS
                                 www.seculution.de                      Viele Unternehmen setzen heute auf einen kontinuierlichen Integra-
                                                                        tions- und Implementierungsansatz. Der Zyklus ist kürzer geworden,
                                                                        vor allem dank DevOps, das auf Automatisierung und die Bünde-
                                                                        lung sich ergänzender Fähigkeiten setzt, um die Wertschöpfung und
                                                                        Reaktions­fähigkeit von Unternehmen zu erhöhen. DevOps-Teams sind
                                                                        angehalten, Anwendungssicherheit bereits in der Designphase zu in-
KUBERNETES-NATIVE SPEICHER-                                             tegrieren, indem sie Kontrollfunktionen in den Code ihrer APIs und An-
FUNKTIONEN FÜR EDGE-SZENARIEN                                           wendungen selbst einbauen.
SUSE, Anbieter der Rancher Container-Management-Plattform, stellt
Longhorn 1.1 vor. Seit Oktober 2019 ist Longhorn ein Sandbox-Projekt    Rohde & Schwarz Cybersecurity bietet seit rund zwanzig Jahren Web-
der Cloud Native Computing Foundation (CNCF). Mit der allgemeinen       Application-Firewall-Technologien an und macht diese mit R&S Trusted
Verfügbarkeit von Longhorn im Juni 2020 ist die Adaption seither um     Application Factory für Entwickler zugänglich. Diese Sicherheitslösung
235 Prozent gestiegen und das Projekt gilt heute eine zentrale Größe,   ist für DevSecOps-Teams gedacht. Sie wird als Container bereitgestellt
wenn es um Kubernetes und Storage geht. Die neue Version ermöglicht     und kann an jede cloudbasierte native Anwendung angedockt werden.
­Rancher-Anwendern die Nutzung einer Kubernetes-nativen Speicher­       Im Rahmen des kürzlich erfolgten Launches von R&S Trusted Applica-
 lösung auf eingeschränkter Hardware in Edge-Umgebungen.                tion Factory macht Rohde & Schwarz Cybersecurity seine neue Com-
                                                                        munity-Webseite offiziell: https://dev-appsec.rohde-schwarz.com/.
Mit Longhorn 1.1 profitieren DevOps-Teams von der einfachen Verwal-     Die Seite richtet sich an Anwendungsentwickler, Cloud- und Security-
tung persistenter Daten in beliebigen Kubernetes-Umgebungen sowie       Experten, operative Teams, die für Sicherheit und digitale Transforma-
einem herstellerneutralen Ansatz für Cloud-nativen Speicher für den     tion zuständig sind, sowie an IT- und Business-Führungskräfte, die in
Unternehmenseinsatz. Rancher-Anwender sollen mit diesem neuen           ihrem Unternehmen agile Prozesse – „digitale Fabriken“ – aufgesetzt
Update die Belastbarkeit ihrer Edge-Umgebungen erhöhen, etwa durch      haben oder in naher Zukunft umsetzen. Das Ziel der neuen Plattform
ARM64-Unterstützung, neue Selbstheilungsfunktionen und verbesserte      ist es, DevSecOps-Teams bei der Bewältigung ihrer täglichen Aufgaben
Transparenz in Sachen Performance von Longhorn 1.1. n                   zu unterstützen. n

8                 IT-SICHERHEIT_1/2021
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
PRODUKTE | NEWS

DATENRESILIENZ FÜR KUBERNETES-                                                                             CYBER DEFENSE SERVICES FÜR
APPLIKATIONEN                                                                                             ­ZUVERLÄSSIGEN RUNDUMSCHUTZ
Red Hat präsentiert Red Hat OpenShift Container Storage 4.6 mit neuen

                                                                                                                                                                                       © sdecoret - stock.adobe.com
Datenresilienz-Funktionen für Cloud-native Workloads in Hybrid- und
Multicloud-Umgebungen. Je stärker Unternehmen die Kubernetes-
Technologie für geschäftskritische Anwendungen nutzen, desto mehr
benötigen sie auch Lösungen für die Datenstabilität. Mit Red Hat
OpenShift Container Storage 4.6 können Unternehmen nun ihre beste-
henden Datensicherungsfunktionen auf Kubernetes-Anwendungen
erweitern, ohne dass zusätzliche Technologien oder Infrastruktur-
Upgrades erforderlich sind. Das Produkt ist eng mit der Enterprise-­
Kubernetes-Plattform Red Hat OpenShift integriert und bietet folgende                                     Viele Unternehmen unterschätzen die Gefahr von Cyberkriminellen.
Datenresilienz-Features:                                                                                  ­Dabei stellen virtuelle Attacken eine der größten Bedrohungen dar.
                                                                                                           Denn sowohl die Angriffsflächen von Firmen als auch die Anforderungen
ƒ Eine Snapshot-Funktion, orchestriert durch das Container Storage                                         an die Security-Abteilungen wachsen. Gerade umfangreiche IT-Um-
  Interface (CSI), für anpassbare Point-in-Time-Snapshots und Clones                                       gebungen mit älteren Anwendungen lassen sich schwer kontrollieren.
  von persistenten Datenvolumina. IT-Administratoren und Anwen-                                            Controlware unterstützt als renommierter deutscher ­Systemintegrator
  dungsentwickler können damit schneller zu einem früheren Zustand                                         und Managed Service Provider mit individuellen ­Lösungen rund um
  zurückkehren.                                                                                            ­Cyber Defense Services.

ƒ OpenShift APIs für die Datensicherheit, um Daten und Anwendun-                                          Von der Risikoerkennung über die Analyse bis hin zur Abwehr: Die
  gen, die in Container-Pods laufen, korrekt wiederherzustellen. Un-                                      Experten im Controlware Cyber Defense Center (CDC) am Standort
  ternehmen des Partner-Ökosystems von Red Hat können damit ihre                                          Deutschland unterstützen Kunden umfangreich und nachhaltig. Mit
  Datensicherungslösungen effizienter in OpenShift integrieren.                                           dem Lösungsportfolio bietet Controlware Kunden vier unterschiedliche
                                                                                                          Service-Module, die individuell miteinander kombiniert werden können.
ƒ Eine Unterstützung eines umfassenden Ökosystems führender An-                                           Das erste Modul ist der Advanced Threat Detection Service (ATD). Dieser
  bieter von Back-up-Lösungen, darunter die von Red Hat zertifizierten                                    schützt durch eine KI-gestützte Anomalie-Erkennung im Netzwerk-­
  Lösungen IBM Spectrum Protect Plus, TrilioVault für Kubernetes und                                      Datenverkehr Infrastrukturen und Daten vor Cyberangriffen und hilft
  Kasten K10 von Veeam.                                                                                   Unternehmen, schneller auf Attacken zu reagieren. Einen ähnlichen
                                                                                                          ­Ansatz verfolgt das zweite Modul, der Client-basierte Endpoint
Die neuen Datenresilienz-Funktionen sind mit Red Hat OpenShift                                             Detection & Response Service (EDR). Des Weiteren ist Controlware mit
                                                                       © Nizwa Design - stock.adobe.com

­Container Storage 4.6 ab sofort verfügbar. n                                                              dem Vulnerability Management Service (VMS) in der Lage, Schwach­
                                                                                                           stellen regelmäßig zu analysieren und zu überwachen. Zudem erlaubt
                                                                                                           der VMS einen vollständigen Überblick über die Angriffspunkte
                                                                                                           kritischer Assets. Im Portfolio enthalten ist zudem der Advanced-Log-
                                                                                                           Analytics-Service (ALA). Hier führen die Experten des CDC die Log-Files
                                                                                                           des Kunden zunächst in einem Log-Management-System zusammen.
                                                                                                           Anschließend werden die Daten mithilfe leistungsstarker SIEM- und
                                                                                                           Verhaltensanalyse-Tools konsolidiert, angereichert und korreliert, um
                                                                                                           Hinweise auf Anomalien und potenzielle Angriffe zu erhalten. n

NEUE ASSET DISCOVERY- UND M
                          ­ ONITORING-SERVICES
CybelAngel gibt die Verfügbarkeit neuer Dienste für seine KI-gestützte                                    CybelAngel visualisiert und priorisiert die Risiken dieser, bis dato nicht
Sicherheits-Plattform bekannt. Diese wird mit den Funktionen Asset                                        verwalteten Systeme direkt von der SaaS-Oberfläche der Plattform
Discovery und Monitoring um umfangreiche Schutzmaßnahmen ge-                                              aus. Dafür wird weder neue Hardware benötigt, noch muss zusätzli-
gen digitale Risiken erweitert. Die Plattform und das Analystenteam                                       ches Personal eingestellt werden. Anwender haben durch die neuen
von CybelAngel wollen damit in der Lage sein, bisher verborgene Ge-                                       Funktionen einen deutlich besseren Überblick über die Risiken für
räte und gefährliche Dienste adhoc zu identifizieren, die von Sicher-                                     Unternehmen, Marken und Compliance. CybelAngel Asset Discovery
heitsteams bisher nicht entdeckt wurden. Zu diesen Schatten-Assets                                        and Monitoring ist ab sofort erhältlich. Die Lösung ist mit Port- und
gehören beispielsweise Datenserver, Cloud-Datenbanken, Industriesys-                                      Schwachstellen-Scannern gekoppelt ermöglicht die rasche Erkennung
teme und IoT-Geräte. Das Spektrum reicht dabei von Consumer-Endge-                                        von Schatten-IT. Die CybelAngel-Lösung arbeite laut Hersteller ohne
räten bis hin zu medizinischen Geräten.                                                                   False Positives und liefere nur verifizierte Ergebnisse. n

                                                                                                                                   IT-SICHERHEIT_1/2021                           9
Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
AUS DER SZENE

Der Einfluss Künstlicher Intelligenz auf
menschliche Selbstbestimmung

HANDLUNGS­
EMPFEHLUNGEN
FÜR EINE
VERTRAUENS­
WÜRDIGE KI

Künstliche Intelligenz (KI) beeinflusst schon heute unser Leben und wird dies
in Zukunft noch stärker tun. KI-basierte Technologien bringen viele Vorteile,
aber ebenso Risiken mit sich. Ein neues Impulspapier des vom Fraunhofer ISI
koor­di­nier­ten Forschungsverbunds Forum Privatheit gibt in diesem Kontext
15 Empfehlungen, wie die menschliche Selbstbestimmung trotz Künstlicher
Intelligenz nicht nur erhalten, sondern sogar gefördert werden kann.

10        IT-SICHERHEIT_1/2021
AUS DER SZENE

                                        I
                                                                                               HINWEIS
                                             n den letzten Jahren haben KI-Techno-             Das Thema „Ethische KI“                            rinnen und Verbrauchern meint dies insbe-
                                             logien rasante Fortschritte gemacht und           hat IT-SICHERHEIT auch in                          sondere die Stärkung von Einrichtungen wie
                                             werden bereits in den unterschiedlichs-           zwei Beiträgen in der Rubrik                       Datenschutzbehörden oder Verbraucherschutz-
                                        ten Ausprägungen in Wirtschaft, Industrie oder         „Forschung und Technik“                            organisationen, um unabhängige Kontrollen im
                                        der Medizin sowie vielen anderen Bereichen             dieser Ausgabe ausführlich                         KI-Bereich durchführen zu können. Schließlich
                                        eingesetzt. Im Fokus stehen häufig die Vorteile,       unter unterschiedlichen                            möchte Deutschland und Europa den so ge-
                                        welche KI unbestritten mit sich bringt: So kann                                                           nannten ‚dritten Weg‘ gemeinwohlorientierter
                                                                                               Gesichtspunkten thematisiert.
                                        der Einsatz von KI-Technologien im Gesund-                                                                KI und nicht den des rein profitorientierten Digi-
                                        heitswesen – etwa bei Menschen mit Seh-                                                                   talkapitalismus weltweit dominanter IT-Firmen
                                        oder Hörbehinderungen – Wahrnehmungsein-                                                                  oder des totalitären Digitalautoritarismus chine-
                                        schränkungen ausgleichen. Ein weiteres, weit                                                              sischer Spielart gehen.“
                                        verbreitetes Einsatzgebiet ist personalisierte     Der vom Fraunhofer ISI koordinierte Forschungs-
                                        Werbung, die etwa auf das persönliche Profil       verbund Forum Privatheit hat in diesem Kontext         Dass KI-gestützte Massenbeeinflussung in der
                                        von Nutzerinnen und Nutzern von Social-Me-         ein Impulspapier zum Thema „Künstliche Intelli-        Praxis funktioniert, ist laut Impulspapier durch
                                        dia-Plattformen zugeschnitten ist.                 genz und Selbstbestimmung“ verfasst und dabei          verschiedene Studien deutlich geworden. In einer
                                                                                           15 Handlungsempfehlungen für eine vertrau-             Studie seien beispielsweise mehr als drei Millio-
                                        Wenn personalisierte Werbung allerdings in         enswürdige KI formuliert, welche menschliche           nen Facebook-Nutzer mit personalisierter Wer-
                                        Abhängigkeit von psychometrisch ermittelten        Selbstbestimmung trotz Künstlicher Intelligenz         bung angesprochen worden, die in Abhängigkeit
                                        Persönlichkeitseigenschaften individualisiert,     nicht nur erhalten, sondern sogar fördern können.      von psychometrisch ermittelten Persönlichkeits-
                                        also mittels „Micro-Targeting“ ein psychologi-                                                            eigenschaften individualisiert wurde. Bei Wer-
                                        sches Profil erstellt beziehungsweise die Per-     HANDLUNGS­                                             bung, die auf das psychologische Profil, also etwa
                                        sönlichkeit eines Menschen digital ausgelesen      EMPFEHLUNGEN                                           die gemessene Extra- oder Introvertiertheit einer
                                        wird, ist dies durchaus problematisch. Die auf                                                            Person abgestimmt war, ergab sich demnach
                                        solche Weise erzeugten individualisierten Mar-     Eine der Empfehlungen lautet, dass algorith-           eine signifikant höhere Klick- und Kaufrate als
                                        keting- oder Wahlkampfbotschaften können           mischen Entscheidungssystemen mit Auswir-              bei nicht-individualisierter Werbung. Dass ein auf
                                        Verhaltensmanipulation begünstigen, was in         kungen auf das menschliche Zusammenleben               Gefühle oder Instinkte abzielendes „Micro-Tar-
                                        fundamentalem Widerspruch zur Idee mensch-         demokratisch festgelegte Fairnesskriterien zu-         geting“ im großen Stil funktioniere, zeigten auch
                                        licher Selbstbestimmtheit steht. Dies gilt eben-   grunde liegen müssen. Zudem sollte der Grad an         die Wahlbeeinflussungen der vergangenen Jahre,
                                        falls, wenn Algorithmen über Kreditwürdigkeit      Schutzmechanismen – etwa durch Regulierung             sei es in der Leave.EU-Kampagne in Großbritan-
                                        und Bildungschancen von Menschen „ent-             seitens des Gesetzgebers – mit steigendem              nien oder dem US-Wahlkampf der Republikani-
                                        scheiden“ oder selbstlernende Computersyste-       Schädigungspotenzial einer KI zunehmen. Neben          schen Partei 2016. Unternehmen wie Cambridge
                                        me täuschend echte Bilder, Texte oder Videos       verstärkten Pflichten für Produkt- beziehungs-         Analytica hätten sich auf diese Art der Wahlbe-
                                        synthetisch erstellen und diese dazu eingesetzt    weise Technologiehersteller potenziell gefährli-       einflussung spezialisiert.
                                        werden, um Menschen zu schaden (Deepfakes).        cher KI-Anwendungen sollte auch die Vertretung
                                                                                           von Betroffeneninteressen gestärkt werden.             Das Impulspapier ist Teil der Forschungsaktivi-
                                        GRUNDLAGEN FÜR EINE                                Zivilgesellschaftliche Initiativen und Intermedi-      täten des Fraunhofer ISI im Bereich Künstliche
                                        VERTRAUENSWÜRDIGE KI                               äre, wie Datenschutz-Aufsichtsbehörden oder            Intelligenz. Dabei werden die Entwicklung und
                                                                                           Verbraucherschutzorganisationen, würden bei            Implementierung von KI aus einer Innovati-
                                        Um einem derartigen missbräuchlichen Einsatz       einer derartigen Konzeption einerseits Beratung        onsperspektive analysiert. Der KI-Forschung
                                        vorzubeugen, sollte KI der Idee einer gemein-      über Risiken durch KI anbieten und andererseits        am Fraunhofer ISI liegt ein systemischer Ansatz
                                        wohlorientierten Technikentwicklung folgen,        bei der kritischen Bewertung von KI-Anwendun-          zugrunde, der die technischen, wirtschaftlichen,
                                        die den Erhalt und Ausbau demokratischer           gen, ihrer Zertifizierung und der Vertretung von       politischen und gesellschaftlichen Aspekte in
                                        Werte und Grundrechte zum Ziel haben. Da-          Betroffeneninteressen mitwirken.                       den Blick nimmt und sowohl Potenziale als auch
                                        her ist es besonders wichtig, schon heute die                                                             kritische Effekte von KI benennt. n
Grafik: © Jiw Ingka - stock.adobe.com

                                        Grundlagen für eine vertrauenswürdige KI zu        KRITISCHE BEWERTUNGS­
                                        legen, gerade weil eine vollständige Transpa-      KOMPETENZEN STÄRKEN                                    S.M.
                                        renz und Kontrolle über KI – so wie auch über
                                        andere komplexe Technologien – gar nicht           Murat Karaboga, Privacy-Forscher am Fraunho-
                                        möglich und auch nicht realistisch ist. Dennoch    fer ISI und Mitautor des Impulspapiers, unter-         Eine Kurzversion des Impuls­­
                                        sollten Menschen KI-basierte Entscheidungs-        streicht: „Künftig sollte die kollektive Beteiligung   papiers ist hier verfügbar:
                                        logiken verstehen können, weshalb Prinzipien       an der Gestaltung von KI ein stärkeres Gewicht         Dort gibt es auch einen Link zur
                                        wie Transparenz und Nachvollziehbarkeit eine       erhalten. Neben der Förderung der kritischen           ausführlichen Version des Papiers.
                                        wichtige Rolle zukommt.                            Bewertungskompetenz bei den Verbrauche-

                                                                                                                                                  IT-SICHERHEIT_1/2021                         11
AUS DER SZENE

   eco übernimmt Projektmanagement
   der GAIA-X Federation Services

   OFFENHEIT DURCH
   OPEN-SOURCE-ANSATZ
   Gemeinsam mit Partnern wird der eco – Verband der Internetwirt-
   schaft e.V. die GAIA-X Federation Services spezifizieren. Zu diesem
   Zweck hat er ein Project Management Office (PMO) eingerichtet
   und fünf Arbeitspakete definiert. Das Bundesministerium für Wirtschaft
   und Energie (BMWi) fördert das Projekt mit rund 13,5 Millionen Euro.
   Bis April 2021 sollen die Spezifikationen stehen.

 M                  it dem Projektstart haben wir
                    den Grundstein dafür gelegt,
                    das Leistungsversprechen
   von GAIA-X einzulösen“, sagt Andreas Weiss,
   Geschäftsbereichsleiter Digitale Geschäftsmo-
                                                    nutzergruppen auch als Teil von GAIA-X selbst
                                                    organisieren, sofern sie mit den entsprechenden
                                                    Regeln konform gehen.

                                                    EINHEITLICHER DATEN-
                                                                                                         INNOVATIVES ÖKO­
                                                                                                         SYSTEM FÜR DATEN
                                                                                                         UND SERVICES
                                                                                                         „Die aktuelle COVID-19-Situation zeigt, dass
   delle im eco-Verband. „Bei GAIA-X handelt es     UND SERVICERAUM AUF                                  stabile und resiliente digitale Infrastrukturen
   sich um ein föderatives Konzept. Dies schafft                                                         und Dienste von großer Bedeutung sind“, sagt
   einen Raum für Selbstbestimmtheit, den wir in
                                                    BASIS GEMEINSAM VER-                                 Andreas Weiss. Für Anbieter im Infrastruktur­
   Deutschland und Europa sehr zu schätzen wis-     EINBARTER REGELN                                     ökosystem bieten sich durch die standardisierte
   sen.“ In diesem Sinne sollen auch die Dienste    Im Zentrum der ersten Spezifikationsrunde bis        Vernetzung neue Möglichkeiten, innovative und
   zum Föderieren (Federation Services) innerhalb   zum Frühjahr 2021 stehen die fünf GAIA-X Kern-       maßgeschneiderte Angebote auf den Markt zu
   des GAIA-X Ökosystems als Open Source erstellt   services Identity & Trust, Federated Catalogue,      bringen. Sie können beispielsweise ihre Services
   werden. Auf dieser Grundlage können sich Be-     Sovereign Data Exchange, Compliance und Fede-        miteinander verknüpfen, gemeinsam weiterent-
                                                    ration Services Integration & Portal. In den fünf    wickeln, ausbauen und skalieren.
                                                    Arbeitspaketen geht es vor allem darum, die wei-
                                                    tere Entwicklung zu unterstützen und die Inter-      Das Ziel von GAIA-X ist die Konzeption einer
                                                    operabilität aller Gewerke zu gewährleisten. Das     föderierten Dateninfrastruktur mit Fokus auf
                                                    Projekt startet mit einer Phase zur Spezifizierung   Datensouveränität und Datenverfügbarkeit, ba-
                                                    der Anforderungen mit dem Ziel, im April mit der     sierend auf europäischen Standards und Werten,
                                                    Ausschreibung der einzelnen Gewerke zu starten.      mit dem Ziel, Innovation in Europa zu fördern.
                                                                                                         In der GAIA-X-Initiative haben sich in kürzester
                                                    Das angestrebte GAIA-X Regelwerk möchte Da-          Zeit schon mehr als 300 Unternehmen und Or-
                                                                                                                                                            Grafik: ©Nuthawut - stock.adobe.com

      Die aktuelle COVID-19-                        tenökosysteme und Infrastrukturökosysteme            ganisationen mit über 500 Personen aktiv in die
      Situation zeigt, dass stabile                 miteinander verknüpfen. Im Ergebnis soll ein         Gestaltung von GAIA-X eingebracht. Davon sind
      und resiliente digitale                       föderiertes und interoperables Gesamtökosys-         75 Prozent der Privatwirtschaft zuzuordnen, wo-
                                                    tem entstehen. Teilnehmer könnten Daten und          von wiederum die Hälfte zum Bereich der klei-
      Infrastrukturen und Dienste
                                                    Services souverän über sektorspezifische Daten-      nen und mittleren Unternehmen (KMU) zählt. n
      von großer Bedeutung sind“                    räume hinweg nutzen. Alle Daten- und Service-
                        ANDREAS WEISS,              Angebote seien transparent und die Abhängig-
Geschäftsbereichsleiter Digitale Geschäfts-         keiten von einzelnen Anbietern, sogenannte
     modelle im eco-Verband. (Foto: eco)            Lock-in-Effekte, würden reduziert.                   S.M.

   12               IT-SICHERHEIT_1/2021
– ADVERTORIAL –

Corona-Pandemie:
Digitale Weiterbildungen laut
Studie gefragt wie nie zuvor
Die Corona-Krise treibt die Nachfrage nach Online-Weiterbildun-         dem eigentlichen Angebot. Kostenfreie Schulungen können ein
gen bei Erwerbstätigen in die Höhe. Fast 90 Prozent der Befragten       Einstieg in neue Themengebiete sein und das Grundlagenwissen
haben seit Beginn der Pandemie an digitalen Schulungen teilge-          vermitteln“, sagt Anja Olsok, Geschäftsführerin der Bitkom Service-
nommen. Häufig erfüllen diese Formate zur beruflichen Weiter-           gesellschaft. Gleichzeitig betont sie: „Zur strategischen Weiterbil-
entwicklung jedoch nur bedingt die Erwartungen der Teilnehmen-          dung von Fachkräften und Spezialisten sind jedoch ausreichende
den. Gleichzeitig wächst der Bedarf an tiefergehenden virtuellen        Weiterbildungsbudgets sowie individuell bemessene zeitliche
Bildungsmaßnahmen für Fach- und Führungskräfte. Zu diesen               Ressourcen von zentraler Bedeutung.“
Ergebnissen kommt eine aktuelle Studie der Bitkom Akademie
in Zusammenarbeit mit der Transformationsberatung HRpepper              Weiterbildungsanbieter reagieren auf
Management Consultants.                                                 steigende Nachfrage
Etwa jeder Dritte nutzt mehr Arbeitszeit                                Der steigende Bedarf an virtuellen Weiterbildungen sorgt für neue
zur Qualifizierung                                                      Angebote. So hat die Bitkom Akademie seit Beginn der Corona-
                                                                        Krise ihr Programm an digitalen Weiterbildungen stetig ausgebaut.
Fast jeder dritte Erwerbstätige (31 %) hat sich seit März mehr Zeit     Neben kostenfreien Live-Online-Seminaren bietet die Bitkom Aka-
für berufliche Weiterbildungen genommen. Besonders stark wuchs          demie nun auch verstärkt Online-Ausbildungen mit Zertifikatsprü-
die Nachfrage nach kostenfreien Online-Seminaren, virtuellen            fungen sowie virtuelle Workshops an. Erst kürzlich wurden neue
Konferenzen und digitalen Workshops. So gaben etwa neun von             Seminare in das Portfolio der Tochtergesellschaft von Deutschlands
zehn Befragten an, kostenfreie Online-Seminare besucht zu haben.        führendem Digitalverband Bitkom aufgenommen.
Ebenfalls häufig nachgefragt waren kostenlose Web-Konferenzen
(68 %) sowie digitale Workshops (49 %). Unter den kostenpflich-         Weiterbildung 2025 – wie die Zukunft des
tigen Formaten waren Trainings und Workshops die am meisten             Lernens gestaltet wird
genutzten Angebote. Ungefähr jeder fünfte Befragte hatte ein sol-
ches Seminar absolviert. „Unsere Studie zeigt, dass viele Beschäf-      In ihrer gemeinsamen Studie Weiterbildung 2025 haben die Bitkom
tigte ihre zeitlichen Ressourcen bewusst zur Qualifizierung für         Akademie und die Transformationsberatung HRpepper Manage-
kommende Herausforderungen nutzen. Damit übernimmt bereits              ment Consultants die Zukunft des Lernens – aber auch die akuten
jetzt ein Großteil selbst die Verantwortung für die eigene berufliche   Auswirkungen der COVID-19-Pandemie auf die Weiterbildungsland-
Weiterentwicklung“, sagt Dr. Matthias Meifert, Managing Partner         schaft – untersucht. Dafür wurden etwa 400 Fach- und Führungs-
der HRpepper Management Consultants.                                    kräfte befragt sowie fast ein Dutzend Experteninterviews geführt.

Hohe Erwartungen an kostenfreie Inhalte                                 Die Studie steht online zum kostenfreien Download bereit:
                                                                        bitkom-akademie.de/weiterbildung-2025
Die Studie offenbart ein deutliches Ungleichgewicht zwischen den
Erwartungen der Teilnehmer und den angebotenen Inhalten. Fast
die Hälfte der Befragten war nur teilweise oder nicht zufrieden
mit den genutzten Weiterbildungsangeboten. „An dieser Stelle
zeigt sich eine Diskrepanz zwischen der Erwartungshaltung und
AUS DER SZENE

Bringt die neue Arbeitskultur nach
COVID-19 mehr Frauen in die IT?

WANDEL IN DER
IT-(SICHERHEIT-)SZENE
Der Mangel an Frauen in der IT ist nach wie vor eine
große Herausforderung für die gesamte Branche. Ein
spezifischer Blick auf die Cybersicherheit – eine der
wichtigsten Wachstumsbranchen der IT –
unterstreicht die Tiefe des Problems, aber auch
die potenziellen Chancen für alle Beteiligten.
Können die jüngsten Veränderungen in der
Arbeitskultur Unternehmen helfen, den
Fachkräftemangel zu überwinden – und
mehr Frauen in die IT-Branche bringen?

D               er Mangel an Fachkräften im IT-
                Bereich ist seit Jahren ein ernstes
                Problem. Insbesondere kleinere
Unternehmen in eher ländlichen Regionen ha-
ben oft Schwierigkeiten, qualifizierte Mitarbei-
                                                      lehrern gemacht. Was einst im professionel-
                                                      len Umfeld als undenkbar galt, wird heute als
                                                      menschlich akzeptiert: Der Postbote klingelt
                                                      während des Zoom-Meetings an der Tür, Kinder
                                                      tauchen am Schreibtisch auf und fordern Auf-
                                                                                                        Bereich der Cybersicherheit im Jahr 2020 „nur“
                                                                                                        noch bei 3,12 Millionen Beschäftigten – ein
                                                                                                        Rückgang von über vier Millionen Beschäftigten
                                                                                                        gegenüber dem Vorjahr. Trotzdem ist das noch
                                                                                                        eine riesige Anzahl und eine anhaltende Quelle
ter für die Besetzung offener Stellen zu finden.      merksamkeit, und Katzen finden den Weg vor        von Schwierigkeiten für Organisationen, die
Dies beeinträchtigt nicht nur das Tagesgeschäft,      die Web-Kamera.                                   händeringend nach Mitarbeitenden suchen.
sondern hindert Unternehmen auch daran,
wichtige Projekte für die digitale Transforma-        Es ist sehr wahrscheinlich, dass das Homeoffice   DER WERT UNTER-
tion umzusetzen. Mehr Frauen in der IT-Bran-          auch nach der Corona-Krise deutlich häufiger      SCHIEDLICHER TALENTE
che könnten die Lösung des Problems für eine          genutzt werden wird als vorher. Dies könnte
Branche sein, die nach neuen Talenten lechzt.         nicht nur die Work-Life-Balance der Mitarbeiter   Wie viele andere Industriezweige, müsste auch
Die aktuelle Pandemie könnte eine Gelegenheit         verbessern, sondern auch dazu beitragen, zwei     die Cybersicherheit mehr Frauen auf allen Ebe-
bieten, einen Wandel einzuleiten.                     wichtige Probleme in der IT zu beseitigen: den    nen einstellen. Angefangen bei den Frauen, die
                                                      Mangel an Fachkräften und die Erhöhung des        ganz am Anfang ihrer Karriere stehen, bis hin
PANDEMIE BIETET CHAN-                                 Frauenanteils in der Branche.                     zu etablierteren, erfahrenen Fachkräften. Ein
CEN FÜR EINEN WANDEL                                                                                    Haupthindernis für viele Frauen, Karriere zu
                                                      Beispiel Cybersicherheit: Zwar lag nach neuen     machen ist es jedoch, nach einer längeren Pause
Nationale Lockdowns und Social Distancing             Untersuchungen von ISC2 (The International        in den Beruf zurückzukehren. Grund dafür ist
haben viele Arbeitskräfte in das Homeoffice           Information System Security Certification Con-    meist die fehlende Flexibilität der Arbeitgeber:
getrieben und berufstätige Eltern zu Teilzeit-        sortium) der weltweite Arbeitskräftemangel im     Nach dem Mutterschaftsurlaub haben Mütter

14                 IT-SICHERHEIT_1/2021
AUS DER SZENE

                                                                                            nach der Geburt eines Babys den Weg zur Rück-         DIE WELT WIRD ZUM
                                                                                            kehr an den Arbeitsplatz zu ebnen. Heute wer-        ­TALENTPOOL
                                                                                            den sie jedoch oft nach einer längeren Pause für
                                                                                            ein breiteres Spektrum von Situationen auf alle      Da Fernarbeit in den meisten Organisationen
                                                                                            Frauen ausgeweitet. Um qualifizierte Frauen          wahrscheinlich eine Option bleiben wird und
                                                                                            anzuwerben, haben einige größere Unterneh-           vielerorts langfristig die „neue Normalität“ ist,
                                                                                            men damit begonnen, umfassendere Program-            haben leitende Manager und Personalabtei-
                                                                                            me zur Unterstützung anzubieten, in denen sie        lungen jetzt eine sehr gute Gelegenheit, ihre
                                                                                            feste Stellen mit Teilzeit oder flexiblen Arbeits-   Belegschaft zu diversifizieren, indem sie Talente
                                                                                            zeiten ausschreiben.                                 aus der ganzen Welt rekrutieren. Dies kann
                                                                                                                                                 Vorteile bieten, da vielfältige Teams Kreativi-
                                                                                            Diese Initiativen kombinieren in der Regel flexi-    tät und neue Perspektiven in Branchen wie der
                                                                                            ble Arbeitszeiten mit Schulungen, Mentorschaf-       Cybersicherheit einbringen können. Außerdem
                                                                                            ten, Gemeinschaften innerhalb einer Organisa-        verfügen Frauen in der Regel über einen hohen
                                                                                            tion und anderer Unterstützung. Auch kleinere        emotionalen IQ und ein hohes Maß an Einfüh-
                                                                                            Unternehmen können sich stärker bewusst ma-          lungsvermögen, was die Zusammenarbeit im
                                                                                            chen, dass die Integration von Frauen in das Un-     Team fördern kann. Studien haben bereits ge-
                                                                                            ternehmen von Vorteil sein und die Qualifikati-      zeigt, dass vielfältige Teams in 87 Prozent der
                                                                                            onslücke bei erfahrenen Mitarbeitern schließen       Fälle bessere Entscheidungen treffen.
                                                                                            kann. Dies kann für Arbeitgeber enorme Vorteile
                                                                                            bringen. Denn viele Fachkräfte verfügen bereits      Trotz der enormen Herausforderungen, die
                                                                                            über Fähigkeiten, die sie für neue Aufgaben          ­COVID-19 mit sich bringt, könnte der Impuls,
                                                                                            interessant machen. Es gibt zum Beispiel einen        den es hinter Arbeitskulturen mit einer besseren
                                                                                            wachsenden Trend, dass Fachkräfte aus der             Ausgewogenheit, größerer Flexibilität und mehr
                                                                                            allgemeinen IT in die Cyber Security wechseln.        Einfühlungsvermögen ausgelöst hat, durchaus
                                                                                            Personen mit Erfahrung in Helpdesk-Rollen sind        einen willkommenen zusätzlichen Impuls für
                                                                                            ein gutes Beispiel: Die kreative und hilfsbereite     Frauen im IT-Bereich bieten. Und das sowohl
                                                                                            Denkweise, die in diesen Fällen gut funktio-          im Allgemeinen als auch in der Cybersicherheit
                                                                                            niert, sowie das IT-Wissen, das sie mitbringen,       im Besonderen. Diejenigen Organisationen, die
                                                                                            bietet eine ideale Grundlage für eine Karriere in     jetzt handeln, um die Gleichstellung in der Cy-
                                                                                            der IT-Security. Es obliegt der Branche, dafür zu     bersicherheit und in der IT-Branche aufzubauen
                                                                                            sorgen, dass diese Möglichkeiten allen gleicher-      und aufrechtzuerhalten, werden zukünftig viel
                                                                                            maßen geboten werden, unabhängig vom Ge-              besser in der Lage sein, dem Fachkräftemangel
                                        faktisch zwei Vollzeitarbeitsplätze – einen im      schlecht und der Station ihres Karrierewegs.          zu trotzen. n
                                        Job und einen zu Hause. Teilzeitarbeit ist jedoch
                                        in der IT- und Sicherheitsbranche eher eine Sel-    AUTOMATISIERUNG IST
                                        tenheit, und bisher war es in vielen Betrieben      EIN WICHTIGER WACHS-
                                        verpönt, von zu Hause aus zu arbeiten. Und
                                        während der Mutterschaftsurlaub nicht der
                                                                                            TUMSBEREICH
                                        einzige Grund für eine berufliche Auszeit ist,      In ähnlicher Weise entwickelt sich die Auto-
                                        hat die Industrie heute sehr wohl die Möglich-      matisierung der IT-Security zu einem wichti-
                                        keit, Technologie und gezielte Programme zu         gen Wachstumsbereich in der Branche. Sie hilft
                                        nutzen, um Fachkräften zu helfen, wieder ins        Fachleuten, sich leichter mit den alltäglichen
                                        Berufsleben zurückzukehren oder sich neu zu         Aspekten ihrer Arbeit auseinanderzusetzen
Bild: ©metamorworks - stock.adobe.com

                                        integrieren.                                        und unterstützt sie dabei, priorisierte Aufga-
                                                                                            ben zu erledigen. Dies wird Möglichkeiten für
                                        PROGRAMME ZUR RÜCK-                                 spezifische Jobs für die „Sicherheitsautomati-
                                        KEHR AN DEN ARBEITS-                                sierung“ eröffnen, die sich nicht so sehr auf das
                                                                                            technische Know-how konzentrieren, sondern
                                        PLATZ SIND SELTEN                                   stattdessen logische Denkprozesse erfordern,
                                        Diese Programme zur Rückkehr an den Arbeits-        um zu verstehen, was auf einer höheren Ebene
                                                                                                                                                    SAMANTHA HUMPHRIES,
                                        platz sind zwar nicht neu, aber immer noch          geschieht. Diese Rollen könnten ideal für Frauen        Senior Security Strategist bei
                                        selten. Ursprünglich wurden sie von größeren        geeignet sein, die funktionsübergreifende Fä-           Exabeam
                                        Organisationen ins Leben gerufen, um Frauen         higkeiten aus früheren Rollen nutzen können.

                                                                                                                                                 IT-SICHERHEIT_1/2021                       15
SECURITY MANAGEMENT

Vereinfachte Kontrolle des Berechtigungskonzepts
durch ein Rollenmodell

GEORDNETE
RECHTE­STRUKTUREN
Je nach Abteilung und Position dürfen Mitarbeiter nur die IT-Berechtigungen
besitzen, die sie für die Ausübung ihrer Tätigkeit benötigen (Need-to-know-
Prinzip) – so sollte es zumindest sein. Denn in der Praxis sieht das häufig anders
aus. Aufgrund von betrieblichen Anforderungen, wie beispielsweise dem
Abteilungs­wechsel eines Mitarbeiters, müssen Berechtigungen immer wieder
angepasst werden. Ebenso gut kann es vorkommen, dass ein Arbeitnehmer
temporär Berechtigungen erhält, weil er Unterstützung in einem speziellen
Projekt leisten muss. Um diese Berechtigungsveränderungen nachvollziehen,
bewerten und kontrollieren zu können, hilft der Einsatz einer Access-Governance-
Lösung; im Speziellen die Nutzung eines softwaregestützten Werkzeugs zur
Rollenbildung. Durch ein entsprechendes Rollenmodell ist der
Vergleich zwischen den Berechtigungen, die ein Mitarbeiter
haben sollte (Soll-Rollenmodell), und den
tatsächlich vergebenen Berechtigungen
(Ist-Zustand) auf Knopfdruck
möglich.

                                 A                bhängig davon, in welcher
                                                  Position und Abteilung ein
                                                  Mitarbeiter arbeitet, benötigt
                                 er bestimmte Rechte. So muss beispielswei-
                                 se der Personalleiter auf andere Applikationen
                                                                                   nen Berechtigung steigt das Risiko, dass durch
                                                                                   Überberechtigungen Sicherheitslücken oder
                                                                                   falsche Berechtigungskonstellationen entstehen
                                                                                   („Segregation of Duties“), die unbedingt vermie-
                                                                                   den werden müssen. Daher sollten Rollen und
                                 und Daten zugreifen als Verantwortliche in der    Rechte innerhalb des Unternehmens eindeutig
                                 Fertigung. Insgesamt gilt es, alle Angestellten   festgelegt sein und jederzeit in einer anschau-
                                 mit den essenziellen Rechten auszustatten, aber   lichen Übersicht eingesehen werden können.
                                 Überberechtigungen unter allen Umständen          Dabei kann eine Access-Governance-Lösung
                                 zu vermeiden. Denn mit jeder falsch vergebe-      unterstützen.

16        IT-SICHERHEIT_1/2021
SECURITY MANAGEMENT

                                                                                                               Matrix-Ansicht im daccord RoleBuilder von G+H Systems (Quelle: G+H Systems)

                                                                                    Kommt es zu Änderungen, werden neue Arbeit-              3. Übersichtliche Ansichten und
                                                                                    nehmer eingestellt, oder stellt sich generell die           Filtermöglichkeiten über Systeme,
                                                                                    Frage, wer welche Berechtigungen haben soll,                Personen und deren Berechtigungen
                                                                                    müssen dem jeweiligen Arbeitnehmer die Rech-             4. Unterstützung bei der Rollen­bildung
                                                                                    te durch den Einsatz einer Access-Governance-               durch Aufzeigen prozentualer
                                                                                    Lösung nicht mehr einzeln zugewiesen werden.                Verteilung eines Rechtes, beispiels­
                                                                                    Stattdessen kann man dieser Person eine oder                weise innerhalb einer Abteilung
                                                                                    mehrere Rollen zuweisen. Dadurch wird der                5. Bündelung der Berechtigungen
                                                                                    Prozess deutlich vereinfacht und fehlerhaften               zu Rollen
                                                                                    Rechtestrukturen effektiv begegnet.                      6. Zuordnung der Rollen zu Personen

                                STRUKTURIERTE                                       INTELLIGENTE                                        Insgesamt stellen die Themen Berechtigungs-
                                RECHTE­VERGABE ÜBER                                 UND EFFIZIENTE                                      vergabe, -entzug und -kontrolle eine große He-
                                                                                                                                        rausforderung für Unternehmen dar. Mit einem
                                EIN ROLLENMODELL                                    ROLLENMODELLIERUNG                                  erarbeiteten Rollenmodell und der Einbettung
                                Für gewöhnlich gibt es in Unternehmen mehre-        Unternehmen haben die Notwendigkeit, ein            in eine Access-Governance-Lösung lassen sich
                                re Mitarbeitergruppen, die die gleichen Rechte      Rollenmodell auf Basis der aktuell vergebenen       jedoch Zeit und Kosten hinsichtlich der Adminis-
                                haben sollten. Dies trifft zum Beispiel häufig      Berechtigungen aufzubauen. Doch was ist hier        tration reduzieren. Darüber hinaus werden die
                                auf Personen aus derselben Abteilung zu. Ist        eine sinnvolle und vor allem effiziente Herange-    Qualität der Vergabe und Kontrolle von Berech-
                                dies der Fall, können diverse Rechtekombinatio­     hensweise? Und was sollte ein softwaregestütz-      tigungen erhöht und gleichzeitig Sicherheitsrisi-
                                nen mit einer entsprechenden Access-Gover-          tes Werkzeug zur Rollenbildung unbedingt mit-       ken minimiert. n
                                nance-Lösung softwaregestützt zu Rollen und         bringen? Sechs Schritte führen zum passenden
                                Rollenstrukturen zusammengefasst werden.            Rollenmodell:
Bild: ©md3d - stock.adobe.com

                                Mitarbeiter aus derselben Abteilung haben dann
                                gegebenenfalls die gleiche Rolle. Führt man             1. Darstellung der Mitarbeiter und
                                diese Schritte für das komplette Unternehmen               deren Berechtigungen nach
                                weiter aus, erhält man ein Soll-Rollenmodell,              Organisationseinheiten (Position,
                                das sich jederzeit mit dem aktuellen Ist-Zustand           Team, Abteilung)
                                vergleichen lässt. Fallen hierbei Missstände auf,       2. Analyse des gewählten                            SEBASTIAN SPETHMANN,
                                können diese mit Blick auf den Soll-Zustand ein-           Personenkreises auf ähnliche                     Account Manager bei G+H Systems
                                fach behoben werden.                                       Rechtekombinationen

                                                                                                                                         IT-SICHERHEIT_1/2021                       17
Sie können auch lesen