Cybersicherheit: (Noch) zu wenig beachtet
Ein höherer Grad an Vernetzung und Komplexität in der digitalen Welt bedingt auch höhere Vulnerabilität. Demgegenüber können sich heimische Forschungseinrichtungen mit mehr Awareness für „sauberes Arbeiten“, gerade im Hinblick auf das Prozessmanagement, und projektbasierten Evaluierungen behelfen, sagte Helmut Leopold vom Austrian Institute of Technology (AIT) gegenüber APA-Science. Dann sei auch die Kooperation in Projekten mit sensiblen oder vertraulichen Daten weiterhin möglich.
Das Thema Cybersicherheit im Kontext des Schutzes kritischer Infrastrukturen wie Energienetze oder Produktionsumgebungen ist aktuell hochrelevant und findet auch von politischer Seite viel Beachtung, so Leopold. Ein Beispiel dafür sei die NIS-2-Richtlinie der EU, die ab Herbst in den Mitgliedstaaten in nationales Recht umgesetzt werden soll. In dieser spiegle sich auch wider, dass das Thema im Hinblick auf Sicherheit in der Wissenschaft von hoher Relevanz ist: Denn die Richtlinie umfasst auch anwendungsorientierte Forschungsorganisationen, während Universitäten aufgrund der komplexen Sicherheitsanforderungen noch ausgenommen sind.
Cyberkriminalität ist, meist in Form von Betrug und Erpressung von Unternehmen, im Steigen begriffen, wie der Experte erklärte. Bei Akteuren sei eine Art „Anbieter-Industrie“ entstanden: Im Darknet stehen Tools oder Informationen zum Verkauf, die illegale Datengewinnung vereinfachen. Gerade KI-unterstützte Technologien haben diese Entwicklung stark begünstigt. Die Dual-Use-Problematik zeige sich hier deutlich: Technologien, die ursprünglich für den Fortschritt entwickelt wurden, können zweckentfremdet zum Datendiebstahl, aber auch gegen ganze demokratische Gesellschaften, etwa zur Desinformation, eingesetzt werden. Allerdings verspricht sich Leopold von KI auch auf der „Verteidigerseite“ Fortschritte: „Weil die Technik immer komplizierter wird, bergen solche Algorithmen bei der Beobachtung von Sicherheitsinfrastrukturen zu deren Schutz enormes Potenzial.“
Forschungsinstitutionen stärker betroffen
Von dem Trend zu mehr digitalen Verbrechen seien auch Forschungsinstitutionen immer stärker betroffen, gerade im Hinblick auf Daten- und Informationsdiebstahl. Zwar attestierte der Experte eine steigende Awareness, aber trotzdem fehle noch die Klarheit darüber, dass es sich nicht nur um ein IT-Problem handelt, sondern auch ein Nutzungsproblem bei den einzelnen Forschenden. „Ich kann ein gutes Schloss im Haus einbauen, aber wenn wir eine Kultur hätten, wo man die Türe nicht absperrt, dann bringt mir das recht wenig“, so Leopold. „Die Vollvernetzung und den Grad an Digitalisierung hatten wir vor rund zehn Jahren sicher nicht – das ist also recht neu und bringt neue Probleme mit sich.“ Ein breiter Diskurs zu diesem Thema sei notwendig.
Im Forschungskontext kommt, im Gegensatz etwa zur klassischen Wirtschaftsspionage, noch eine zweite Problematik dazu: „Dass wir ja grundsätzlich eine offene und freie Wissenschaft wollen“, sagte Leopold. Die Forschungswelt lebe, vielmehr als Unternehmen, vom Personenaustausch – oft nur kurz im Rahmen von Forschungsaufenthalten. Im Hinblick auf diese Aktivitäten müsse man sich unterschiedliche Faktoren genauer anschauen: Wird etwa für jede Person, die zu Besuch ist, ein besonderer Vertrag bezüglich Datenschutz und Einhaltung von Prozessen aufgesetzt und die Person darüber aufgeklärt? Denn auch unwissentlich könne es zum Geheimnisverrat kommen, wenn die Awareness zu niedrig ist.
Um sichere Prozesse zu schaffen, gehe es zuerst gar nicht um riesige Investitionen, sondern darum, Bewusstsein über die Arbeitsweise einzelner Teams zu schaffen. Es brauche „sauberes Arbeiten“, bei dem schon in der Planungsphase Sicherheitsvorgaben und -risiken einzelner Projekte evaluiert werden, um dann praktikable Sicherheitsvorkehrungen festzulegen. „Wenn ich jedes Projekt auf höchster Sicherheitsstufe bearbeite, ist gar keine sinnvolle Arbeit mehr möglich“, so Leopold.
Risiko beeinflusst Spielregeln
Werde ein Forschungsprojekt in der Planung als hochriskant eingestuft, müsste man entsprechende Spielregeln etablieren: etwa nur die Nutzung eines Servers, der außerdem an einem sicheren Standort steht, oder die entsprechende Verwaltung der Zugriffsrechte. „Am AIT führen wir bei hohem Risiko auch Sicherheitsüberprüfungen der Mitarbeiterinnen und Mitarbeiter durch – dann kann vielleicht nicht jede oder jeder bei so einem Projekt dabei sein“, erläuterte Leopold. Die IT-Infrastruktur müsse wiederum derart gestaltet werden, dass sie die Sicherheitsstufen der einzelnen Projekte widerspiegle, aber auch flexible Arbeitsprozesse pro Projekt unterstützt.
Das ermögliche dann auch die Kooperation mit Partnern mit höheren Vertraulichkeits- oder Sicherheitsanforderungen im Rahmen der Wissenschaftsdiplomatie: „Es muss nicht alles immer zentralisiert auf einem Server liegen, es gibt da viele neue Ansätze“, meinte Leopold. Vertrauensvolles Zusammenarbeiten könne dann etwa heißen, nicht die eigenen Daten zu versenden, sondern sich die Algorithmen des Partners zusenden zu lassen, um die KI im eigenen geschützten Bereich zu trainieren. Dann könnten die Daten nicht missbraucht werden, der Kooperationspartner bekomme aber trotzdem Ergebnisse. „Mit bewusstem, sauberen Prozessmanagement, sowie einer entsprechenden IT ist Forschungskooperation weiterhin global und vor allem sicher möglich – ein gewisses Restrisiko bleibt klarerweise immer“, resümierte der Experte.