Cybersecurity : Cloudera-Experte Anthony Behan fordert mehr Maßnahmen der EU

Die Industrie nähert sich langsam dem Ziel eines digitalen Zwillings. Dabei spielt die Datensicherheit eine wichtige Rolle. Was ist zu beachten, wenn Daten aus unterschiedlichsten Quellen zusammengeführt werden?

Anthony Behan: Der digitale Zwilling besitzt das Potenzial, außergewöhnliche Erkenntnisse über das Verhalten von Menschen und Maschinen zu gewinnen. Dabei zieht jeder digitale Zwilling andere Schlussfolgerungen. Außerdem kann die Wiedergabetreue der Zwillinge unterschiedlich ausfallen. Das kann man sich wie ein digitales Bild eines realen Objekts vorstellen – manchmal ist es sehr scharf mit vielen Pixeln, und manchmal ist es hingegen unscharf, wie eine schlechte Zoom-Verbindung. Die Detailgenauigkeit des Zwillings-Prozesses entscheidet über den Wert der gewonnenen Erkenntnisse und dadurch zugleich über die einhergehenden Sicherheitsrisiken und sonstigen Gefahren. So müssen Compliance-Risiken von Beginn an berücksichtigt werden – für viele Dienstleister stehen deshalb Aspekte wie der Datenschutz im Vordergrund. Zudem können Künstliche-Intelligenz (KI)- Algorithmen, die auf einer Kombination aus den Daten Dritter mit dem digitalen Zwilling basieren, zur Voreingenommenheit führen. Es bestehen dabei auch Sicherheitsrisiken: so wurde beispielsweise bereits mehrfach berichtet, dass autonome Fahrzeuge aus der Ferne „gekapert“ wurden. Schließlich ist der digitale Zwilling ein Computersystem, für das die gängigen Sicherheitsvorkehrungen getroffen werden müssen, von der Zugriffskontrolle bis hin zur Verschlüsselung, Protokollierung, Rückverfolgbarkeit und Prüfbarkeit. Und dabei ist zu beachten, dass der Mensch in der Regel das schwächste Glied in digitalen Sicherheitssystemen ist: Prozesse, Governance und kontinuierliche Optimierung sind deshalb wichtig.

Die EU verfolgt mit GAIA-X eine eigene Dateninfrastruktur. Was erwarten Sie von dieser Initiative im Bereich der Datensicherheit?

Behan: Die primäre Herausforderung liegt in der Architektur und Integrität. Gaia-X ist zum Teil eine Antwort auf die Entwicklung des internationalen Geschäfts mit Daten, daher steht das Schaffen einer Grundlage für die Datenverarbeitung in der EU an vorderster Stelle. In vielerlei Hinsicht ist das gesamte Projekt jedoch eine Antwort auf Sicherheitsfragen: es wurde erkannt, dass die Möglichkeit, europäische Datenverarbeitungsprozesse von den USA oder China aus durchzuführen, ein Datenschutzrisiko darstellen kann. Die Sicherheit muss also integriert und gewährleistet werden, denn jegliche Vorfälle würden sich äußerst negativ auf das gesamte Projekt auswirken. Zu den kritischen Aspekten zählen dabei die Einhaltung der Datenschutz-Grundverordnung (DSGVO) für personenbezogene Daten sowie die eindeutige Überprüfbarkeit der Prozesse an den Schnittstellen für den Datenaustausch.

Immer wieder liest man in den Nachrichten, dass ganze Anlagen durch Hackerangriffe lahmgelegt worden sind. Wird das Thema Cybersicherheit in der Industrie immer noch unterschätzt?

Behan: Nein, das denke ich nicht. Doch es ist sowohl schwierig als auch teuer, ältere Anwendungen und Architekturen mit aktuellen Sicherheitsprotokollen nachzurüsten. So sind beispielsweise biometrische und Zwei-Faktor-Authentifizierungsstandards neuere Innovationen und sie lassen sich nicht ohne Weiteres für den Schutz älterer Anwendungen einsetzen. Die Entwicklung des Internet der Dinge (Internet of Things, IoT) hat durch die exponentielle Zunahme der Anzahl der Endpunkte noch mehr Risiken geschaffen. Verbesserte Gateway-Kontrollen und ein gesteigertes Bewusstsein für IoT-Risiken konnten dem aber durchaus entgegenwirken. Zusätzlich adressieren einige der 5G- und anderen regulierten Frequenztechnologien die mit dem IoT einhergehenden Sicherheitsprobleme.

Das Open-Source-Projekt Eclipse IoT ist bestrebt, ein neuer Standard für die vernetzte Industrie zu werden. Wie schätzen Sie das Potenzial dieses Projekts ein?

Behan: Die Entwicklung des IoT steckt noch in den Kinderschuhen, und es gibt zahlreiche Plattformen für das Internet der Dinge, von denen sich bisher keine wirklich durchsetzen konnte. Außerdem ist die „vernetzte Industrie“ keine Industrie! Denn die Automobilindustrie hat ihre eigenen Anforderungen (insbesondere Fahrzeugsteuerung), die Fertigung hat spezifische Anforderungen (Standortintegration), und die Telekommunikationsbranche ist sowohl ein IoT-Konsument (zum Beispiel Fuhrpark) als auch eine Plattform für Elemente des IoT-Ökosystems (insbesondere Transport). Eclipse selbst und der Open-Source-Ansatz sind zwar sinnvoll, aber wenn man sich die Geschichte von OpenSource ansieht, bedarf es der Unterstützung wirtschaftlicher Unternehmen, um eine breite Akzeptanz zu erreichen. Darüber hinaus handelt es sich bei Eclipse nicht um einen einzigen Standard, sondern um viele verschiedene „Projekte“. Einige werden sich als Unternehmensplattformen mit spezifischen Anwendungen durchsetzen, andere werden Innovationsvorhaben und Skunkworks-Ansätze– also Projektvorhaben, welche von einer kleinen Gruppe außerhalb der gängigen Abstimmungsprozesse entwickelt werden – für neue Dienste unterstützen. Wieder andere Bereiche werden von herstellereigenen Lösungen großer IT- und Netzwerkanbieter dominiert.

In einem kürzlich erschienenen Kommentar hat Cloudera dazu aufgerufen, dass Unternehmen mehr auf Zusammenarbeit setzen sollten, um gemeinsam die Cybersicherheit zu erhöhen. Was sind die aktuellen Hindernisse für diesen Vorschlag?

Behan: Nach wie vor bestehen wirtschaftliche Hürden und Wettbewerbshindernisse. Sicherheitsvorfälle führen zu negativer Berichterstattung, möglichen Geldstrafen und anderen Unternehmenskosten, sodass es ein zusätzliches Geschäftsrisiko darstellt, sie öffentlich zuzugeben oder sogar mit anderen Unternehmen oder Behörden zu teilen. Dennoch lernen wir bekanntlich am meisten aus unseren Fehlern. Um ein ausgewogenes Verhältnis zu gewährleisten, muss die EU deshalb einen Weg finden, nachlässige Sicherheitsvorkehrungen zu bestrafen und gleichzeitig die Zusammenarbeit bei der Risikominderung zu fördern.

Welche Perspektiven sehen Sie für KI und maschinelles Lernen (ML) in Europa, wo jedes Land noch seine eigenen Strategien verfolgt? Wird es dadurch nicht schwierig, sich im globalen Wettbewerb gegen die USA und China zu behaupten?

Behan: Für diese Art von Überlegungen gibt es zahlreiche Ansatzpunkte. Unternehmen in ganz Europa beschleunigen ihre KI- und ML-Aktivitäten, um ihr Nutzerverhalten zu verbessern. Wenn Sie mit einem Chatbot in einem digitalen Kontaktzentrum kommunizieren, wenn Pakete zu Ihnen nach Hause geschickt werden, wenn Sie die Wettervorhersage prüfen – hinter allem stehen KI-Anwendungen. Diese werden in Europa seit vielen Jahren entwickelt, in vielen Fällen unabhängig von chinesischer oder amerikanischer Unterstützung. Staaten verfolgen eigene Strategien, beteiligen sich aber auch an der Zusammenarbeit im Rahmen internationaler Normen und rechtlicher Organisationen, darunter die UN und die EU. Dabei ist das europäische Datenschutzrecht nicht nur eine Beschränkung der möglichen Handlungen, sondern sicherlich auch eine Plattform für Innovationen, die viel schneller als in China oder den USA die Zustimmung der Verbraucher finden wird. Weltweit orientieren sich Staaten an Maßnahmen wie der Datenschutz-Grundverordnung, um ihre eigenen Regularien zu entwickeln. Eine echte Herausforderung – und das gilt für alle Länder – ist die Fachkompetenz. Das war bereits vor zehn Jahren bei Big Data so, vor zwanzig Jahren bei der Mobilkommunikation (als Europa einen deutlichen Vorsprung hatte) und vor dreißig Jahren bei der personenbezogenen Datenverarbeitung. Als Reaktion auf diese Herausforderung wird überall das Angebot universitärer und anderer Ausbildungsprogramme erhöht.