Was waren das doch für Zeiten, als wir noch Witze machten wie: „Wenn Autos wie Computer wären, würde der Airbag ´Sind Sie sicher?´ fragen, bevor er aufginge.“ Damals galten Personal Computer als nicht ernst zu nehmende Spielerei. Wer etwas auf sich hielt, arbeitete in einer Hochsicherheitsumgebung am Terminal eines Mainframes. Seitdem hat sich einiges geändert: Es gibt mehr Computer als Autos, die inzwischen selbst fahrende Computer sind, und die Automobilbauer investieren Milliarden Euro in eine gegenüber Cyberkriminellen sichere IT-Umgebung fürs Infotainment, autonomes Fahren und Connected Cars.
Und die Frage „Sind Sie sicher?“ hat heute einen ganz anderen, keineswegs komischen Kontext. „Besorgniserregend“ nennt die neue Präsidentin des Bundesamts für Sicherheit in der Informationstechnik, Claudia Plattner, dies in ihrem Lagebericht. Im Zeitraum von Juni 2022 bis Juni 2023 hat die Behörde täglich rund 250.000 neue Varianten von Schadprogrammen und 21.000 mit Schadsoftware infizierte Systeme registriert. Gleichzeitig würden jeden Tag durchschnittlich 70 neue Sicherheitslücken in Deutschland entdeckt. Dem Hightech-Verband Bitkom zufolge entsteht durch Cyberkriminalität ein jährlicher Schaden von über 200 Milliarden Euro. Claudia Plattner sieht deshalb eine neue Behörde als notwendig an, die ähnlich wie das BKA Cyberkriminalität auf Bundesebene bekämpft und dabei Kompetenzen und Rechte besitzt, wie sie das Bundeskriminalamt hat.
Eine wachsende Bedrohung sieht das BSI durch Künstliche Intelligenz. Über KI-Anwendungen könnten Aktivisten und Angreifer immer einfacher Desinformationskampagnen gestalten und verbreiten. Mit sogenannten „Deepfakes“ erstellen sie authentisch wirkende Materialien und versuchen so die öffentliche Meinung zu beeinflussen. Wird KI zur Programmierung eingesetzt, könnte sich auch die Zahl der Schwachstellen häufen, mahnt das BSI.
Das allerdings lässt sich wohl nur im internationalen Rahmen in Angriff nehmen. Deshalb haben sich diese Woche Vertreter von Unternehmen und Regierungen im britischen Bletchley Park getroffen, um über die globale Sicherheit im KI-Zeitalter zu sprechen. Heraus kam eine gemeinsame Erklärung, die auch die deutschen, US-amerikanischen und chinesischen Vertreter unterzeichneten. Darin heißt es, dass Sicherheitsrisiken von gesellschaftlichem Belang identifiziert und besser bekämpft werden sollten. Der „Aufbau einer jeweiligen risikobasierten Politik in unseren Ländern, um die Sicherheit angesichts dieser Risiken zu gewährleisten“, gehört demnach ebenso zur gemeinsamen Agenda wie das Eingeständnis, dass unsere Ansätze je nach den nationalen Gegebenheiten und den geltenden rechtlichen Rahmenbedingungen unterschiedlich sein können“. Das klingt ziemlich rätselhaft, wenn nicht ratlos.
Denn ob mit dieser Erklärung einem mittelständischen Unternehmen konkret geholfen wird, darf getrost bezweifelt werden. Substantieller dürfte da die Initiative sein, die Microsoft soeben ins Leben gerufen hat. Die Secure Future Initiative soll dazu beitragen, dass gerade durch KI-Hilfe entwickelte Anwendungen höheren Qualitätsstandards genügen, um Angriffen aus dem Cyberspace effizienter zu begegnen. Es sei eine gesellschaftliche Verantwortung, betont Microsofts Präsident Brad Smith. Gerade die Geschwindigkeit, das Ausmaß und die Präzision der letzten Cyber-Attacken verlange eine Antwort. So soll KI bei der Entwicklung dieser Sicherheitsstandards helfen, die einerseits Teil des Microsofts Software-Lebenszyklus werden wird und zum Beispiel Multifaktor-Authentifizierung zum Default-Wert bei neuen Releases werden.
Doch die Sicherheitskonferenz in Großbritannien legt auch die pessimistische Vermutung nahe, dass es keinen Sicherheitsstandard gibt, der nicht mit der entsprechenden Energie geknackt werden kann. Für diese Erkenntnis ist der Bletchley Park eine ideale Standortwahl. Dort enträtselten britische Wissenschaftler und Militärangehörige rund um Turing die deutsche Enigma-Chiffriermaschine und entschieden damit den Seekrieg im Zweiten Weltkrieg für die Alliierten.
Wir brauchen mit Sicherheit mehr Sicherheit. Schon die jetzt seit Tagen in Nordrhein-Westfalen handlungsunfähigen Kommunalbehörden, die nach einem Hackerangriff auf einen Dienstleister offline gehen mussten, zeigen, wie abhängig wir von einer sicheren IT-Infrastruktur sind. Das gilt mit und ohne KI. Solange es „kriminelle Intelligenz“ gibt, werden wir wohl regelmäßig nachrüsten müssen, um die Frage „Sind Sie sicher“ positiv zu beantworten. Und das ist kein Witz.