Neue Regeln und Gefahren: Digitale Sicherheit in bewegten Zeiten
AI Act, Data Act oder Cyber Resilience Act: Eine Vielzahl neuer Regulierungen und Gesetze stellt die europäischen Unternehmen vor Herausforderungen. Warum das keine Innovationsbremse sein muss und Künstliche Intelligenz (KI) in Europa nicht "zu Tode reguliert" wird, erklärte Helmut Leopold, Head of Center for Digital Safety & Security am Austrian Institute of Technology (AIT), im Vorfeld des International Digital Security Forum (IDSF) gegenüber APA-Science.
Die neuen Regelungen könnten – richtig umgesetzt – sogar ein Wettbewerbsvorteil sein: "Am Ende setzen sich Produkte durch, die sicher und beherrschbar sind. Keiner will, dass Technik schlecht funktioniert oder gegen einen gerichtet werden kann", ist Leopold überzeugt. Allerdings sei dafür Unterstützung notwendig. Die Stakeholder – vom Entwickler über die Architektin bis zu den Behörden – bräuchten mehr Know-how und Wissen. "Wir können nicht alle wieder auf die Uni schicken", sagte Leopold unter Verweis auf Trainings- und Simulationsplattformen, wie die vom AIT betriebene "Cyber Range", die akademische Ausbildungen ergänzen sollen.
KI wird nicht "zu Tode reguliert"
Dass sich Europa etwa im Bereich KI "zu Tode reguliere", wie es oft heißt, sei eine Mär. "Wir haben einen einzigen AI Act. In den USA findet die Regulierung auf Ebene der Bundesstaaten statt. Das heißt, in Kalifornien wird etwas anderes gemacht als in New York", stellte Leopold fest. Amerika sei stärker fragmentiert als Europa, was die Situation für Anbieter deutlich erschwere.
KI spiele auch bei den neuen Bedrohungsszenarien eine wichtige Rolle. Angreifer könnten die existierenden Tools benutzen, um durch geschicktes Abfragen und das Austricksen der Schutzmechanismen an vertrauliche, geschützte Informationen oder Anleitungen zu kommen. Außerdem sei KI selbst in keiner Weise sicher und beliebig manipulierbar. "Die Large Language Models machen keinen Unterschied zwischen Trainings- und Nutzerdaten. Um das System zu beeinflussen, muss man nur so viele Benutzeranfragen stellen, dass daraus Trainingsdaten werden", erläuterte der Experte.
Hybride Attacken am Vormarsch
Eine zunehmende Bedrohung stelle die Kombination von Cyberangriffen auf IT-Systeme mit Desinformations- oder Verleumdungskampagnen in sozialen Medien dar, bei denen KI-Informationen gestreut werden. "Das fordert die Verteidiger natürlich stark, weil hier nicht nur die IT-Abteilung betroffen ist, sondern die ganze Firma. Man muss mit den Medien, dem Markt und den Kunden kommunizieren." Auf diese hybride Bedrohung würden sich auch Behörden weltweit vorbereiten.
Viel in Bewegung geraten sei durch die digitale Transformation in der Industrie. Hier würden zunehmend kritische Systemteile zusammenwirken, ob in einer Fabrik mit Robotern, in Fertigungsstraßen oder einem Wasserkraftwerk. Für entsprechende Sicherheitsmaßnahmen gebe es viel weniger Wissen und Akteure auf der Welt als in klassischen IT-Bereichen, sieht Leopold Handlungsbedarf.
Natürlich würden die globalen Branchenriesen als Marken hell leuchten, Europa und Österreich müssten sich hier aber nicht verstecken: "Wir haben Hightech, gute Universitäten und Forschungseinrichtungen. Da gibt es viele Angebote, die in jeder Form konkurrenzfähig sind, wenn man beispielsweise an Verschlüsselungstechnik denkt." Dem will man auch durch das am 4. Juni startende International Digital Security Forum zu mehr Sichtbarkeit verhelfen.
Eigene Infrastruktur reduziert Abhängigkeit
Ein weiteres Thema der vom AIT mit zahlreichen Partnern veranstalteten Konferenz ist die Souveränität. Aktuell würde man in eine Situation hineinschlittern, in der es durch eine Zentralisierung auf wenige Anbieter zu einer Einengung der Entscheidungsfreiheit komme. In Hinblick auf Daten brauche es diese Freiheit, um Spielregeln definieren zu können. "Egal, ob Autofahrer oder Fabriksbesitzer. Man muss bestimmen können, wer darauf zugreifen und wer sie wie nutzen darf", erläuterte der Experte im Hinblick auf das Datenprojekt Gaia-X, durch das eine souveräne und vertrauenswürdige europäische Infrastruktur entstehen soll.
Als Frage der Souveränität sieht Leopold auch den Kampf gegen Fakenews und Desinformation: "Dass einzelne Plattformbetreiber die Meinungshoheit beanspruchen, betrachte ich als sehr gefährlich. Hier braucht es digitale Grundkompetenzen und Werkzeuge, um dem etwas entgegenzusetzen."
Service: 4. International Digital Security Forum (IDSF), 4. bis 6. Juni, MuseumsQuartier Wien, https://idsf.io/
(Dies ist eine entgeltliche Veröffentlichung des AIT im Rahmen einer Medienkooperation. Die redaktionelle Letztverantwortung liegt bei APA-Science.)