Darknet und Desinformation: Die dunklen Seiten des Internets
Trend.Inhalt von Dr. Cornelius Granig (Grant Thornton Austria)
Die Digitalisierung der Kriminalität schreitet voran und stellt Banken und Unternehmen vor neue gravierende Herausforderungen. Digitale Desinformation ist zu einem Millionengeschäft geworden: Sowohl, um Menschen oder Unternehmen zu schaden, als auch, um politische Botschaften zu verstärken und so Wahlen zu beeinflussen. Dabei nehmen die Bedrohungen stetig zu: So ergab eine Umfrage des Forschungsprojekts der IT-Sicherheitsinitiative des Bundesministeriums für Wirtschaft und Energie (BMWi) „Cyberangriffe gegen Unternehmen in Deutschland“ , dass Ransomware-Angriffe deutlich häufiger große Firmen und Konzerne zum Ziel haben. Während nur etwa jedes neunte kleine Unternehmen (10-49 Beschäftigte) im untersuchten Zeitraum (2018/2019) von mindestens einem Ransomware-Angriff betroffen war, musste sich jedes vierte bis fünfte große Unternehmen (ab 500 Beschäftigte) mit Cyberattacken auseinandersetzen.
Das Internet ist in der Mitte unserer Gesellschaft angekommen und damit auch die ‚Digitalisierung der Kriminalität‘. Wir müssen diesen neuen, digitalen Gefahren aktiv begegnen und gegen die grassierende Desinformation kämpfen, damit wir unsere stabilen Demokratien erhalten können.
Dr. Cornelius Granig, Unternehmensberater & Sicherheitsexperte bei Grant Thornton Austria
Das Darknet spielt bei dieser Entwicklung eine wichtige Rolle: So werden etwa per Ransomware erbeutete Daten auf Marktplätzen im Darknet zum Verkauf angeboten.
Ursprünglich war das Darknet dazu gedacht, eine überwachungsfreie, verschlüsselte Kommunikation im Internet zu garantieren – zum Beispiel für die Whistleblower*innen oder Bürgerrechtsaktivist*innen. Längst wird es jedoch von Kriminellen missbraucht, um mit verbotenen Waren oder Diensten zu handeln. Das Angebot reicht von Schadsoftware wie Banking-Trojanern über Datensätze zu Online-Account bis hin zu gefälschter Ware. Daher sind strenge Gesetze und eine nationale Cyber-Notrufnummer nötig, um die Straftaten einzudämmen und das Darknet wieder zu seiner ursprünglichen Bestimmung zurückzuführen.
Weshalb erlässt die Politik kein Gesetz, dass man einen Internet-Account nur mit Identifikation eröffnen darf?
Frage aus dem Plenum
Bei Banken kann man nur dann ein Konto eröffnen, wenn man sich identifiziert (Abgabenordnung). Dadurch ist jedes Konto eindeutig zuordenbar. Da das Internet weltweit zugänglich ist, würde so ein Gesetz viel zu kurz greifen. Man könnte mit einem lokalen Gesetz, das die Identifikation von Benutzenden ähnlich dem Prozess einer Neukundenanlage bei einer Bank regelt, die Umsetzung nur auf dem eigenen Bundesgebiet verordnen. Kriminelle könnten sofort virtuell in einen anderen Staat ausweichen und sich dort eine digitale Identität beschaffen.
Cloud Security - was wir von Flughäfen lernen können
Mit: Dr. Marius Konitzer, Experte für Sicherheitsarchitektur bei Atruvia
Cloud-Computing gewinnt für Unternehmen zunehmend an Bedeutung. Vor allem die Coronapandemie hat diesen Trend durch die wachsende Nutzung von mobilen Arbeitsmodellen zusätzlich verstärkt. Denn die Cloud bietet viele Vorteile: Unternehmen sind handlungs- und reaktionsschneller, können ihre Innovationszyklen verkürzen, die Ressourcen optimal nutzen und Innovationskosten besser kalkulieren. Mitarbeitende profitieren von einer flexiblen Wahl ihres Arbeitsplatzes.
Dennoch haben 70 bis 90 Prozent der Unternehmen Sicherheitsbedenken bei der Einführung einer Enterprise-Cloud-Umgebung. Deshalb sollten sich Entscheidungsträger*innen schon früh mit drängenden Fragen beschäftigen: Welches Cloud-Modell passt zum Unternehmen? Sind die Mitarbeitenden qualifiziert, um gewisse Verantwortlichkeiten zu übernehmen? Ist die Cloud mit ISO- und anderen Sicherheitsvorgaben vereinbar? Dr. Marius Konitzer, Experte für Sicherheitsarchitektur bei Atruvia, hat sich in seinem Vortag genau mit diesen Fragen beschäftigt. Vorweg: Beim Cloud-Computing kommt es auf das passende Sicherheitskonzept an – und hier können Sicherheitsarchitekt*innen einiges von Flughäfen lernen.
Denn bestehende, klassische Sicherheitsmaßnahmen wie etwa Firewalls sind in Cloud-Umgebungen nur teilweise umsetzbar und können oftmals nicht die volle Schutzwirkung entfalten. Innovative Cloud-Security-Architekturmodelle wie Zero Trust sind vielversprechende Ansätze, um diesem Problem zu begegnen. Vor allem die steigende Vernetzung der Clouds verlangt nach einem Mindset-Wechsel bei IT-Sicherheitsarchitekt*innen und Organisationen, die die IT-Verantwortlichkeiten zunehmend an Cloud-Provider auslagern. Die größte Herausforderung hierbei: Wie kann es gelingen, den Nutzer*innen eine möglichst reibungslose Cloud-Erfahrung anzubieten, während Security- und Compliance-Anforderungen eingehalten werden? „Zero Trust Security“, wie sie bereits an Flughäfen praktiziert wird, ist das Modell der Zukunft. Getreu dem Motto: Vertraue niemandem, verifiziere alles!
Nach unserer festen Überzeugung ist die Zero-Trust-Idee grundlegend, um eine sichere und zukunftsträchtige Cloud-Enterprise-Umgebung in bestehende Organisationen zu implementieren.
Dr. Marius Konitzer, Experte für Sicherheitsarchitektur bei Atruvia
Doch was steckt nun hinter „Zero Trust Security“? Am Flughafen müssen sich Passagiere ausweisen, um Zugang zum Terminal und ihr Board-Ticket zu erhalten. Dennoch haben sie nicht uneingeschränkten Zutritt zu allen Bereichen – und vor allem keinen Zugriff auf die schutzbedürftige Ressource „Flugzeug“. Erst nach einer weiteren Kontrolle, die das Zugriffsrecht bestätigt, dürfen Passagiere das Flugzeug betreten. Die entscheidende Währung hierbei ist die Identität, da alle Sicherheitskontrollen immer unter dem Gesichtspunkt „Identifikation und Autorisierung“ ablaufen. Ähnliches gilt für die Cloud: Auch hier wird vor jedem Zugriff auf Daten und Server die Identität der User*innen abgefragt und kontrolliert. Denn die reine Zugangsberechtigung in die Cloud ist – im Gegensatz zu herkömmlichen Security-Konzepten – keine vertrauenswürdige Auskunft darüber, ob die Nutzer*innen auch auf bestimmte, schutzbedürftige Ressourcen zugreifen dürfen. Auf diesem Weg kann es Organisationen gelingen, Kund*innen und Mitarbeitenden eine reibungslose und sichere Journey in der Enterprise-Cloud-Umgebung zu ermöglichen.
Mehr dazu:
WERK.SHOP Passwort Sicherheit – wie schütze ich meine persönliche Daten?
Mit: Benedikt Strobl, IT Security Analyst
Worum ging es?
Jeder Mensch generiert täglich ein riesiges Datenaufkommen. Aus diesen Daten lässt sich ein detailliertes Bild von jeder Einzelperson zeichnen. Doch dass solche genauen Rückschlüsse möglich sind, ist Nutzer*innen oft gar nicht bewusst. Deshalb kommt der Cybersecurity eine zentrale Rolle zu: Die Anzahl an Cyberattacken nimmt stetig zu, während der Schutz von Privatsphäre und Eigentum einem ständigen Wettlauf gleicht. Daten werden das Gold des 21. Jahrhunderts und dienen immer mehr Kriminellen als Einkommensquelle – sei es durch Erpressungen oder durch den Verkauf von sensiblen Informationen. Im Werk.Shop erarbeiteten die Teilnehmenden interaktiv Antworten auf die Fragen: Warum brauche ich ein Passwort? Ist mein Passwort sicher? Und was ist überhaupt ein sicheres Passwort?
Wie lief der Werk.Shop ab?
In nicht-technischer Sprache erklärte Benedikt Strobl, IT Security Analyst, warum Passwörter gewissen Anforderungen unterliegen und wann diese in welchem Umfang von Bedeutung sind. Er beschrieb die generellen Risiken für Passwörter sowie Angriffe auf Passwörter. Mit einem Live-Hacking demonstrierte er den Teilnehmer*innen die Praxisrelevanz eines sicheren Passworts. Durch interaktive Elemente erfuhren sie spielerisch die Kernproblematiken rund um Passwortsicherheit.
Welche Erkenntnisse kamen zustande?
Der IT-Sicherheitsexperte erläuterte, warum User*innen in der Lage sein sollten, die Sicherheit Ihres Passwortes richtig einzuschätzen. Anhand einer Tabelle zeigt er, welchen Einfluss Länge und Zeichenart auf die Sicherheit eines Passworts haben. Besteht ein Passwort aus lediglich vier bis sechs Zeichen, ist die Wahrscheinlichkeit hoch, dass es sofort geknackt werden kann – vor allem, wenn es nur aus Ziffern und/oder Kleinbuchstaben besteht. Ein sechsstelliger Code, der Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen enthält, kann binnen fünf Sekunden entschlüsselt werden. Bei gleicher Zusammenstellung mit allerdings acht Zeichen werden bereits acht Stunden benötigt. Ab elf Stellen ist das Passwort schon recht sicher, da immerhin 400 Jahre zur Entschlüsselung notwendig sind. Passwörter mit 13 Zeichen und der Mischung aus Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen sind quasi nicht zu knacken (zwei Millionen Jahre).
Tipps zur Passwortwahl
Das Hasso-Plattner-Institut veröffentlicht jedes Jahr eine Liste mit den beliebtesten Passwörtern. Im vergangenen Jahr stand die Zahlenreihe „123456“ auf Platz eins – gefolgt von „123456789“ und „passwort“. Alle drei Passwörter sind aufgrund ihrer Länge und Zusammenstellung extrem unsicher und sollten niemals verwendet werden.
Für mehr Sicherheit sorgen Passwörter, die
- möglichst idealerweise 13 bis 15 Zeichen lang sind;
- alle Zeichenklassen enthalten, also Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen;
- nicht aus real existenten Wörtern bestehen, also nicht im Wörterbuch zu finden sind;
- nicht für verschiedene Dienste mehrfach verwendet werden;
- sofort gewechselt werden, sobald es einen Sicherheitsvorfall gab;
- bei Bedarf in einem Passwortmanager hinterlegt sind.
* Quelle: Studie des Hasso Plattner Instituts
Mehr dazu:
Be smart use your data – Wir entwickeln ein KI Modell im Zeitraffer
Mit: Markus Bayha (Atruvia), Stefan Fröhlich (Atruvia) und Alexander Poth (Atruvia)
Worum ging es?
Digitalisierung ist auch im Bankgeschäft einer der Megatrends unserer Zeit. Das Thema hat zahlreiche Facetten, die Nutzung von künstlicher Intelligenz (KI) ist eine davon. Aktuelle Forschungen zeigen, welche Chancen und Potenziale sich mit KI erschließen lassen: in der Prozesssteuerung, im Vertrieb, im Risikomanagement. Doch wie kommt man von einer guten Idee zu einem KI-Modell?
Wie lief der Werk.Shop ab?
Im Zeitraffer ein KI-Modell entwickeln – dieser Aufgabe stellten sich die Teilnehmer*innen zusammen mit den Experten von Atruvia. Die meisten hatten bislang keine oder nur wenige Berührungspunkte zu KI. Ein Modell zum „Anfassen“ ergänzt um einen Deep Dive in die Entwicklungsmethodik waren daher genau der richtige Start. Mittels einer Big-Data-Analytics-Plattform wurde in 90 Minuten ein Modell gebaut. In Anwendungsfällen zeigten die Experten, wie sich mittels KI Ertragssteigerungs- und Kostensenkungspotenziale für Banken heben lassen.
Quelle: Umfrage unter den Werk.Shop-Teilnehmer*innen
Welche Erkenntnisse kamen zustande?
Wichtig für einige Teilnehmer*innen war, zu erfahren, wie die Entwicklung von realen KI-Projekten abläuft und wie sie sich und ihre Bank in laufende Projekte einbringen oder eigene Modelle entwickeln lassen können:
- Zum Mitmachen gibt es mehrere Varianten: zum Beispiel als Bank im BVR-Projekt „Smart Data“ oder direkt als Bank mit der Umsetzung eines eigenen Use Cases entweder im Self Service oder mit vollständiger Betreuung durch Atruvia.
- Die gezeigte Vorgehensweise ist vergleichbar mit dem Ansatz, den Tools und der Infrastruktur im Projekt „Smart Data“. Die Komplexität ist im realen Projekt aber deutlich höher: Aktuell arbeiten mehr als 20 Data Scientists von Atruvia, der DZ BANK Gruppe und weiteren Banken an diesem KI-Projekt.
- Entscheidend für den erfolgreichen Einsatz von KI ist Datenqualität. Dies gilt sowohl in der Modellentwicklung als auch in der Modellanwendung: Umfangreich, qualitativ gut, inhaltlich richtig und nicht zuletzt gemäß der Kriterien zum Datenschutz – das alles sind Kriterien, damit Daten sinnvoll genutzt werden können.
Fazit:
Die digitale Transformation ist eine große Chance für Banken und ihre Geschäftsmodelle. Richtig eingesetzt bieten insbesondere KI-Modelle viele Ansatzpunkte für eine bessere Vertriebsstrategie, die sich individueller an den Bedürfnissen der jeweiligen Zielgruppen ausrichten lässt. Pilotprojekte zeigen bereits, dass der gezielte Einsatz von KI eine Erfolgsgeschichte werden kann. Voraussetzung dafür ist, dass Modelle weiterentwickelt, mit Daten hoher Qualität gefüttert werden – und im praktischen Bankalltag mehr und mehr zum Einsatz kommen.
QuantumLeap: Risiken von Quantum Computing!
Mit: Dr. Jochen Dinger und Dustin Lindemann von Atruvia
Beschreibung:
Quantencomputer haben das Zeug dazu, unsere Lebens- und Arbeitswelt grundlegend zu verändern. Denn mit den Superrechnern lassen sich Probleme sehr schnell lösen, wofür bislang noch viel Zeit benötigt wurde. Quantencomputing vereinfacht künftig komplizierte Vorhersagen, Simulationen von komplexen Infrastrukturen und ermöglicht etwa die kurzfristige Entwicklung von Medikamenten. Davon profitieren viele verschiedene Branchen – zum Beispiel die Raumfahrt, die Verkehrslenkung, die Smart-City-Entwicklung, die Materialforschung, die Medizin und die Impfstoffforschung. Doch der Einsatz von Quantencomputern hat auch eine gefährliche Seite, da er die Sicherheit von aktuellen Verschlüsselungsverfahren wie RSA etc. gefährdet: Das liegt daran, dass die Supercomputer die zugrundeliegenden mathematischen Probleme sehr schnell lösen können.
Atruvia untersucht derzeit im Rahmen des vom Bundesministerium für Wirtschaft und Energie (BMWi) geförderten Forschungsprojekts „QuantumLeap“ zusammen mit Partnern die sicherheitstechnischen Herausforderungen, die mit der Verfügbarkeit von Quantencomputern einhergehen. In ihrem Impuls.Vortrag gaben die Security-Experten Dr. Jochen Dinger und Dustin Lindemann einen Einblick in das Projekt und in die komplexe Welt der Supercomputer. „Der Quantencomputer rüttelt an den Fundamenten der kryptografischen Sicherheitsverfahren zur Verschlüsselung et cetera. Wir setzen uns daher rechtzeitig damit auseinander, um möglichst früh den Sprung in die Postquanten-Ära zu schaffen“, sagt Jochen Dinger.
QuantumLeap – das Forschungsprojekt
Die Finanzwirtschaft ist aufgrund der sensiblen Daten zu Finanztransaktionen besonders angreifbar, Quantencomputer könnten herkömmliche kryptografische Verfahren zur Absicherung von IT-Systemen schnell knacken. Deshalb hat das BMWi das Forschungsprojekt „QuantumLeap“ ins Leben gerufen. Hier untersucht ein Gremium aus Expert*innen am Beispiel der Finanzbranche die notwendigen Anpassungen und Herausforderungen bei der Umstellung auf neue kryptographische Verfahren. Gemeinsam entwickeln sie praxisnahe Lösungen – auch für andere Wirtschaftsbereiche, damit sie ihre klassischen kryptographischen Sicherheitsverfahren auf gegenüber Quantencomputern resistente Ansätze migrieren können.
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI), ist es lediglich eine Frage der Zeit, wann Post-Quanten-Kryptografie langfristig zum Standard werden wird. Deshalb sollten Unternehmen frühzeitig und kontinuierlich je nach Anwendungsfall abwägen, ob und wann für sie ein Umstieg auf Quantencomputer-resistente Verfahren sinnvoll ist. So geht der kanadische Mathematikers Michele Mosca derzeit davon aus, dass es bis 2031 mit einer Wahrscheinlichkeit von 50 Prozent einen Quantencomputer geben wird, der heutige als sicher geltende Verschlüsselungsverfahren brechen kann.*
Das BMWi investiert daher insgesamt 878 Millionen Euro in den kommenden vier Jahren, um die praxisnahe Entwicklung und Anwendung von Quantentechnologien und Quantencomputing zu fördern. Dabei geht der Großteil der Mittel (740 Millionen Euro) an das Deutsche Zentrum für Luft- und Raumfahrt (DLR), das den Grundstein für die Entwicklung eines deutschen Quantencomputers sowie entsprechender Software und Anwendungen legen soll. Die Forschungsergebnisse von „QuantumLeap“ werden von Atruvia und weiteren Gremien wie der Deutschen Kreditwirtschaft (DK) genutzt, um die nötigen Arbeiten zur Migration der Post-Quanten-Kryptografie zu initiieren.
* Quelle: https://t3n.de/magazin/quanten...
Mehr dazu:
