Cybersicherheit im Zeitalter der Künstlichen Intelligenz
Foto: Unsplash / Adi Goldstein
Im Zuge einer Strategy Session der Atlantik-Brücke im Vorfeld der Münchner Sicherheitskonferenz diskutierten Cybersicherheits-, KI- und Technologie-Expertinnen und -Experten über das Spannungsfeld von Cybersicherheit und Künstlicher Intelligenz. Als Sprecherinnen nahmen die folgenden Persönlichkeiten an der Veranstaltung teil: Jan Hiesserich, Vice President Strategy & Communications, Aleph Alpha; Sergej Epp, CSO, Palo Alto Networks; Ludwig von Reiche, Managing Director, NVIDIA GmbH; Annika Hauptvogel, Head of Technology & Innovation Management, Siemens; Srdan Dzombeta, Partner, Head of Cybersecurity Europe, EY; Tim Maurer, Senior Director for Cybersecurity Policy, Microsoft; Paul Vixie, Deputy CISO, AWS. Julia Friedlander, Geschäftsführerin der Atlantik-Brücke, moderierte die unter der Chatham House Rule geführten Diskussion.
Für den durchschnittlichen Konsumenten digitaler Dienste hat die Entwicklung Künstlicher Intelligenz in den vergangenen eineinhalb Jahren einen Quantensprung gemacht. Mit dem Zugang zu großen Sprachmodellen wie ChatGPT – und inzwischen zahlreichen weiteren – hat sich vielen eine neue Welt eröffnet, deren Möglichkeiten, aber auch Gefahren, die meisten Laien kaum überblicken können. Die Herstellung täuschend echter Videos etwa gibt der Allgemeinheit jedoch eine vage Idee, welche kommerziellen Potentiale, aber auch welche Risiken sich hinter der rasanten Entwicklung (generativer) Künstlicher Intelligenz verbergen.
Ein Wendepunkt in der Geschichte
Auch die Expertinnen und Experten der Strategy Session der Atlantik-Brücke waren sich einig, dass wir uns möglicherweise an einem Wendepunkt in der Geschichte befinden: Künstliche Intelligenz könnte das menschliche Zusammenleben so nachhaltig verändern wie der Buchdruck im 15. Jahrhundert. Für die Cybersicherheit birgt das neue Risiken – bzw. neue Möglichkeiten für Cyber-Kriminelle und staatliche Akteure mit feindseligen Absichten –, aber auch Chancen. So könnte KI-geschriebener Code menschliche Fehler minimieren und Angriffsflächen in digitalen Infrastrukturen reduzieren. Die Gefahren hingegen reichen von Identitätsdiebstahl über Deep Fakes bis hin zu neuen Möglichkeiten der Erpressung.
Ein wesentliches Problem für die Cybersicherheit liegt in der fundamentalen Asymmetrie zwischen Cyber-Angreifern und Cyber-Verteidigern. Zum einen haben Verteidiger sehr viel zu verlieren und nichts zu gewinnen, wobei sie nicht einmal wissen, was sie zu verlieren haben. Anders sieht es bei den Angreifern aus: Sie wissen sehr genau, auf was sie es abgesehen haben und was sie dementsprechend zu gewinnen haben im Falle einer erfolgreichen Attacke. Zum anderen sind die Kosten für eine effektive Cyberabwehr sehr viel höher als die für Cyberangriffe.
Vertrauen durch einheitliche Standards?
Wie können wir uns – egal ob als Privatperson oder global agierendes Unternehmen – im Zeitalter der Künstlichen Intelligenz also vor zunehmenden und sich verändernden Gefahren schützen? Zunächst war sich die Runde darin einig, dass ein viel stärkeres Bewusstsein für Cybersicherheit bei Kunden digitaler Produkte geschaffen werden müsse. Hier liege die Verantwortung auch bei den Herstellern. Außerdem müsse es grundsätzlich darum gehen, Vertrauen in Künstliche Intelligenz und die Sicherheit von KI-Technologien zu schaffen. Die Hersteller hätten dabei die Pflicht, verantwortlich mit der Verbreitung neuer Technologien umzugehen – und bei Sicherheitsbedenken mit dem Ausrollen zu warten, bis diese minimiert sind.
Daneben gibt es eine politische Verantwortung, die Sicherheit neuer Technologien zu gewährleisten und dadurch Vertrauen zu schaffen. Mit dem AI Act, dem inzwischen auch das Europäische Parlament zugestimmt hat, hat die Europäische Union vorgelegt. In den USA hingegen sind die Regeln sehr viel loser und basieren oft auf Freiwilligkeit, wie etwa der „Blueprint“ des Weißen Hauses für eine „AI Bill of Rights“. Wichtig für eine gute Regulierung sind aus Sicht der Fachleute zwei Aspekte: Sie muss möglichst einheitlich sein, und sie sollte sich auf Ergebnisse, nicht auf Technologien fokussieren.
Doch auch die beste Regulierung, betonten insbesondere die Vertreter der Unternehmen, die KI-basierte Produkte anbieten, habe zwei Schwachstellen: Zum einen sei sie immer reaktiv und komme deshalb „zu spät“, nämlich dann, wenn schon ein Schaden vorliegt. Zum anderen werde es immer kreative Köpfe mit nicht immer guten Absichten geben, die Wege finden, eine Regulierung zu umgehen.