Amicus Stay Home

Seit sechs Jahren geht der Absatz von Personal Computern und Laptops stetig zurück. Nach den Berechnungen der Gartner Group wurden im zurückliegenden Jahr noch 260 Millionen Rechner verkauft – vor vier Jahren waren es noch 320 Millionen Stück. Lange Zeit war der PC unser bester Freund. Fünf mobile Geräte entfallen inzwischen auf jeden auf der Welt installierten PC. Wenn wir das Haus verlassen, sind es die Tablets, Smartphones und Netbooks, die wir mitnehmen. Zu unserem langjährigen Freund, dem PC, aber sagen wir: „Amicus Stay Home“.

Von dieser Entwicklung profitieren diejenigen, die rechtzeitig auf den Technologiewandel gesetzt haben – allen voran Apple mit dem iPhone und die Anbieter von Android-Geräten wie zum Beispiel Samsung. Wer neben PCs auch Server in der Angebotspalette hat, muss – vorerst – nicht um sein Geschäft bangen, denn in die weltweiten Data Centers wird kräftig investiert. Denn erst die Cloud macht mobile Computing so richtig schön. Nach Einschätzung von McKinsey werden in diesem Jahr 80 Prozent aller bestellten Server in Rechenzentren aufgestellt. Doch auch hier droht ein langfristiger Marktschwenk. Immer mehr Server werden in Asien hergestellt oder als sogenannte „weiße Marken“ zum Selberbauen angeboten. IDC schätzt, dass im Jahr 2020 jeder zweite Server „Marke Eigenbau“ sein wird. Public Clouds werden zum Mainstream. Dem eigenen Rechenzentrum sagen wir „Amicus Ade“.

Kein Wunder: die Cloud-Betreiber bieten ein Sicherheitsniveau, das zu wirtschaftlichen Bedingungen im eigenen Rechenzentrum nur erreicht werden kann, wenn man es konsequent vom Internet abschottet. Aber wo bliebe dann der Mehrwert, der sich aus der Digitalisierung und dem Internet der Dinge ergibt? Cloud Services sind inzwischen unsere liebgewordenen Freunde, zu denen wir sagen: „Amici Stay with Us!“

Aber wir begegnen auch völlig neuen Gefahren in dieser cloudifizierten Welt – und selbst unsere besten Freunde könnten da zu unseren Gegnern werden. Davor warnen jetzt der Hightech-Verband Bitkom, der Bundesverband der Deutschen Industrie und die Deutsche Industrie- und Handelskammer mit Blick auf eine anstehende Entscheidung des Obersten Gerichtshofs in den USA. Darin geht es um den seit Jahren anhängigen Rechtsstreit der US-Bundesregierung mit Microsoft, wonach der Cloud-Anbieter auch dann personenbezogene Daten herausgeben muss, wenn diese außerhalb der USA, also zum Beispiel in Europa, gespeichert sind. Die Begründung im so genannten „New York Search Warrant Case“ ist einfach: US-Unternehmen unterliegen auch dann US-amerikanischem (Zugriffs-)Recht, wenn es sich um Aktivitäten außerhalb der USA handelt.

Microsoft hat die Zeit der Verhandlungen genutzt, um sich zumindest in Deutschland vor dem drohenden Zugriff zu schützen. Zwei Rechenzentren hierzulande wurden in die treuhänderische Verantwortung der Deutschen Telekom gegeben, die nun wirklich kein US-Unternehmen ist und damit per se nicht den Zugriffsrechten der US-Behörden unterliegen kann. Hier gilt: „Ami Stay Out“.

Doch sollte der Oberste Gerichtshof – was zu befürchten ist – eine Entscheidung zugunsten der US-Behörden treffen, dann wäre dies ein tiefgreifender Eingriff in deutsches Datenschutzrecht. Denn wenn sie sich im Falle eines Falles einem Auslieferungsbegehren für personenbezogene Daten aus den USA gegenübersehen, verstoßen sie im Verweigerungsfall gegen US-Recht. Und wenn sie dem Begehren nachgeben, wäre deutsches Recht gebrochen. Dann wäre also der Freund des Freundes Wolf. Oder im schönsten Juristenlatein: „Amicus amicum lupus“.

Dabei haben die Deutschen kaum Rechtsmittel an der Hand, um hier auf den Obersten Gerichtshof in den USA einzuwirken. In einem sogenannten „Amicus-Schreiben“, das in Rule 37 Abs. 1 der Verfahrensordnung des US Supreme Court dritten, nicht direkt am Rechtsstreit beteiligten Personen oder Personengruppen erlaubt, Stellung zu beziehen und zusätzliche Rechtsfragen aufzuwerfen, hat der Bitkom jetzt das Dilemma beschrieben. Zur Zusammenarbeit mit ausländischen Behörden gebe es bestehende Rechtshilfeabkommen, die nicht dadurch umgangen werden dürften, dass US-Behörden unmittelbaren Zugriff auf Daten in Europa verlangen.

Waren das noch Zeiten, als wir unsere Daten auf dem PC gespeichert hatten. Da sind sie zwar den pausenlosen Hackerangriffen aus dem Internet ausgesetzt, vor denen wir uns in der Regel nur notdürftig schützen. Aber wir mussten wenigstens nicht mit der Herausgabe an US-Regierungsbehörden rechnen. Denn „Amicus Stay Home“ bedeutet eben auch: „Ami Stay Out“.

Spekulative Aushorchung

„Kernschmelze“ und „Gespenst“ sind wahrlich nicht zu niedrig gegriffene Schlagworte für das möglicherweise größte anzunehmende Unbehagen der Informationswirtschaft. Wir wissen nicht einmal, wie viele Milliarden Prozessoren mit den jetzt vorgefundenen Sicherheitslücken weltweit im Einsatz sind. Die Chipproduktion seit 1995 – also seit mehr als 20 Jahren – ist sozusagen kontaminiert.

Das Einfallstor, durch das nach Ansicht der Sicherheitsforscher bislang noch kein Angriffsversuch unternommen wurde, ist eine im Grunde äußerst wünschenswerte Einrichtung: „Speculative Execution“ – zu deutsch: „Spekulative Ausführung“ – ist eigentlich ein Klassiker der Prozessorbeschleunigung. Der Chip mutmaßt, welche Daten als nächstes benötigt werden, und lädt sie schon mal runter. Dabei sind dann auch verschlüsselte oder geschützte Daten auf der Hardwareebene unverschlüsselt verfügbar. Meltdown macht sich das zunutze, indem der Prozessor aufgefordert wird, die eigenen Daten sozusagen spekulativ auszuhorchen. Durch Software kann dieser Prozess weder bemerkt noch unterbunden werden.

Eigentlich. Doch seit Monaten arbeiten die großen Anbieter von Betriebssystemen und Geräten an einer softwareseitigen Lösung. Sie sollte eigentlich am 9. Januar – also am Dienstag – weltweit als Update bereitgestellt und in den Data Centern der größten Cloud-Anbieter installiert werden. Doch eine derart weltumspannende Reparatur ließ sich wohl nicht mehr länger verheimlichen. In den USA tauchten erste Berichte von hektischen Update-Aktivitäten auf, die Spekulationen über ein anstehendes IT-Großereignis schürten. Dass es so groß und so niederschmetternd für eine ganze Industrie, ja für unsere komplette Art zu leben, zu arbeiten, zu kommunizieren sein würde – das hatte wohl niemand ahnen können.

Außer jenen Anbietern – darunter Microsoft, Google und Amazon –, deren IT-Ökosphäre durch die Sicherheitslücke in größte Gefahr geraten würde. Seit Juni letzten Jahres – heißt es – arbeiten die Hersteller an einem Software-Update, dass diese Lücke zwar nicht endgültig schließt, aber doch wenigstens schwerer nutzbar macht. Endgültige Sicherheit wird wohl nur ein kompletter Austausch der Hardware bringen. Aber wie soll das gelingen?

Wer jetzt an Dieselgate denkt, ist kein Schelm. Ohne die Möglichkeit der schnellen Hilfe durch ein Software-Update stünde die Welt an einem Abgrund – denn Milliarden Prozessoren kann man nicht einfach mal so eben austauschen. Allein sie zu produzieren, würde die Produktionskapazitäten aller Chiphersteller aufbrauchen. Sie auszutauschen ist in vielen Fällen ebenfalls nicht möglich – wer weiß schon, wo er welchen Chip im Einsatz und am Netz hat.

Da ist es fast ein Segen, dass die Dematerialisierung unserer Produktwelten so weit fortgeschritten ist, dass die notwendigen ersten Sicherheitsmaßnahmen über ein Software-Update erfolgen können. Und es ist zugleich ein Segen, dass inzwischen Hunderttausende Unternehmen ihre Anwendungen nicht mehr im betriebseigenen Rechenzentrum, sondern in der Cloud haben. Dort – und das ist durchaus ein Wettbewerbsvorteil – haben die großen Anbieter wie Microsoft, Google und Amazon längst die Nase vorn. Sie wurden bereits früh durch die Hackerforscher informiert – denn nur sie können es sich leisten, diese extrem aufwändigen Forschungsarbeiten auch zu finanzieren.

Wie komplex das Software-Update ist, zeigt sich daran, dass beispielsweise Microsoft davor warnt, das Update erst auszuführen, wenn auch die Antivirus-Hersteller wiederum ihre Updates bereitgestellt haben. Denn die bestehenden Schutzsoftware-Versionen werden aktiv, wenn nicht unterstützte Aufrufe in den Speicher des Kernels getätigt werden. Erste Antivirus-Anbieter haben allerdings schon reagiert und ebenfalls Updates zur Verfügung gestellt.

Andere Anbieter ziehen jetzt in einem zweiten Schritt nach. Und Millionen von Unternehmen, die ihre Lösungen unverändert im eigenen Betrieb hosten, werden in den kommenden Wochen folgen. Oder nichts tun. So unfassbar das erscheinen mag, aber die Zahl der Menschen, die auch nach Bekanntwerden einer Sicherheitslücke nur schulterzuckend beiseite gehen, ist immer noch erschreckend hoch.

Oh, dabei fällt mir ein: Ich sollte jetzt meinen PC runterfahren und dann das neue Sicherheitsupdate hochladen. Oder gleich alle Daten und Anwendungen einem seriösen Cloud-Anbieter anvertrauen. Und morgen kaufe ich einen neuen Computer – mit bugfreien Prozessoren gegen spekulatives Aushorchen.

Aber erst morgen…

 

Frohe wAInacht

Kein Event im jährlichen (christlichen) Festival-Kalender ist so mit Emotionen überfrachtet, wie die Solemnitas in nativitate Domini, das „Hochfest der Geburt des Herrn“. Unsere Hoffnungen, unsere guten Wünsche, unser gesamter Setzkasten aus Emotionen ist mit diesem 25. Dezember verbunden. Dabei hat in vielen Ländern – wie zum Beispiel in Deutschland – der Vorabend längst die Bedeutung des Weihnachtsfests auf sich vereinigt: es ist der Tag, an dem die Geschenke überreicht werden. Wo dies in der Nacht geschieht und die Geschenke erst am folgenden Morgen ausgepackt werden, heißt der Tag dann auch schon nicht mehr unbedingt Christmas, sondern Boxing Day.

Und der „Auspack-Tag“ weist denn auch schon schamlos auf die ökonomische (und für viele tatsächliche) Bedeutung dieses emotionalen Großkampftages hin: Das Jahresendgeschäft ist inzwischen derart mit dem Tag verknüpft, an dem die christliche Welt ihr größtes Geschenk erhielt, dass Börsenkurse, Kreditgeschäfte, IT-Infrastrukturen und Logistikkonzepte auf diese dem Konsum geweihte Nacht ausgelegt sind. Ohne anschlaggeschützte Weihnachtsmärkte, ohne Retail-Ketten und ohne den Online-Handel wäre das Fest der Geschenke nicht mehr zu meistern.

Grund genug für Lifestyle- und Wirtschaftsmagazine, in der sogenannten stillen Zeit die Stimme fürs Amazon-Bashing zu erheben. „Gelieferte Weihnacht“ hieß es beim Spiegel, „Die Perfide Psychologie des Kaufens“ in der Wirtschaftswoche und die Süddeutsche Zeitung meint, dass die Kunden Amazon längst „ausgeliefert“ sind. Dabei gewinnt der Spiegel mit seinem Titel den Zyniker-Preis, indem er Maria in der Anbetung des Kindes an Umtauschoptionen denken lässt.

Aber den Gipfel der Scheinheiligkeit erklimmt Edeka mit seinem Weihnachtsspot(t) (Link), in dem in einer verödeten, menschenvergessenen Welt ein kleiner anarchisch veranlagter Roboter den Geist der Weihnacht entdeckt. Der Hashtag KeinFestOhne verweist darauf, dass künstliche Intelligenz nicht die menschliche Wärme ersetzen kann. Der Spot übersieht dabei, dass es erst die Artificial Intelligence des Robots ist, die ihn erkennen lässt, worin der Kern des Weihnachtsfestes liegt. Ein treffenderes Beispiel für Machine Learning kann man gar nicht produzieren – auch wenn es wohl unabsichtlich geschah.

Tatsächlich wäre Weihnachten ohne Amazon und Co. ein anderes Weihnachten. Die Süddeutsche Zeitung formuliert es als Vorwurf, aber in Wahrheit ist es eine Leistung: „Amazon macht es den Kunden leicht, sie bekommen genau das, was sie wollen: schnelle Lieferung, ein riesiges Angebot, günstige Preise.“ Und diese Leistung stützt sich auf zwei Pfeiler: Big Data und AI. „Nach jahrelangem Datensammeln kennt der Konzern die Kunden besser als sie sich selbst. Amazon erinnert sich an alles, was ein Kunde je gekauft hat oder kaufen wollte.“ War das nicht genau das, was wir beim Verschwinden des letzten Tante-Emma-Ladens beklagt haben – den Verlust der Individualität. Jetzt bekommen wir sie auf artifizielle Weise zurück.

Big Data Analytics ist unsere moderne Form der Sterndeuterei. Mit künstlicher Intelligenz erkennen wir die Zeichen am Himmel und brechen auf, nicht um dem Erlöser zu huldigen, sondern den Erlösen. Das ist kein Phänomen der Neuzeit. Vor beinahe Tausend Jahren, im Jahr 1038, entschied Kaiser Konrad II., dass der vierte Adventssonntag auf den Heiligen Abend fallen darf. Seitdem gibt es von Zeit zu Zeit so kurze Adventszeiten wie in diesem Jahr. Was damals durchaus im Sinne des personalintensiven Handwerks war, ist heute keineswegs im Sinne des materialintensiven Handels. Er verliert einen der umsatzstärksten Tage im Jahr.

Aber es gibt ja inzwischen Black Fridays und Crazy Mondays. Doch mit jedem dieser verkaufsintensiven Tage verschärfen sich die Herausforderungen an die Logistik. Im stationären Handel müssen die Waren rechtzeitig in den Regalen liegen, im Online-Handel rechtzeitig im Postkasten. Auch das ist ohne künstliche Intelligenz nicht mehr zu meistern. Denn je stärker wir unser Kaufverhalten synchronisieren, umso genauer müssen unsere Handels- und Logistiksysteme auf unser Verhalten reagieren. Der Hashtag „KeinFestOhne“, den Edeka bemüht, bezieht sich auf den Kern von Weihnachten als Fest der Liebe. Aber es ist auch das Fest der Logistik – nd der Hilfe durch Artificial Intelligence.

Frohe wAInachten!

Triple A für Sicherheit

CDU und SPD beschäftigen nach Recherchen der Wochenzeitung „Die Zeit“ jeweils lediglich drei Mitarbeiter, um die parteiinternen IT-Systeme, die naturgemäß hochgradig dezentral strukturiert sind, vor Cyber-Attacken zu schützen. Beim Bundesamt für Sicherheit in der Informationstechnik wurde die Zahl der Mitarbeiter immerhin auf 600 aufgestockt. Doch was ist das schon angesichts von 3700 Fällen, die „in die tägliche Lagebesprechung eingebracht“ wurden.

Ganz anders hört sich die Planzahl von Bundesverteidigungsministerin Ursula von der Leyen an, die neben Marine, Luftwaffe und Heer nun eine vierte Säule „Cyber“ aufstellt, in der 13500 Soldaten Deutschland vor Angriffen aus dem Web-All schützen sollen. Wie schwer es übrigens ist, Fachkräfte im Kampf gegen Cyber-Crime und Cyber-War zu bekommen, beweist die Tatsache, dass die Bundeswehr auf ihre traditionellen Einstellungskriterien verzichtet: Gegen Hacker dürfen auch übergewichtige Couch-Potatoes antreten…

Zehntausende Verteidiger, die von ein paar Dutzend Angreifern in Atem gehalten werden: das klingt nach asynchroner Kriegsführung, nach Guerilla-Taktik und – ein naheliegendes Wort in diesen Tagen – Terror! Dabei entwickelt sich diese kriegerische Auseinandersetzung zwischen Hackern und Hütern zu einem Hochgeschwindigkeits-Gefecht, das ohnehin kaum noch von Menschenhand geführt werden kann. Es geht immer nur um größtmögliche Reaktionsschnelle, mit der das Zeitfenster zwischen Entdeckung eines Sicherheitslochs und Schließung der Lücke so klein wie möglich gehalten werden soll. Deshalb werden immer mehr computerisierte Abwehrmethoden entwickelt, die die Angriffe nicht nur verteidigen sollen, sondern bereits vorhersagen und vorzeitig Maßnahmen ergreifen werden. Schon 2017 wird „Triple A Security“ zu einem der ganz großen Dinger auf der Agenda der IT-Verantwortlichen. Die drei As stehen dabei für Automation, Analytics und Artificial Intelligence.

Bereits heutige Virenscanner erledigen die Abwehr bekannter Viren weitgehend selbständig. Es bedarf jedoch zumeist immer noch des menschlichen Eingriffs, wenn es darum geht, neue Sicherheitsupdates auch tatsächlich zu aktivieren. Bei dem Angriff auf die rund 900.000 WLan-Router der Deutschen Telekom war zu erkennen, dass zu viel Zeit vergeht, bis erstens die neue Software verfügbar war und zweitens auch von den Privatkunden genutzt wurde. Automatisierung soll dieses Zeitfenster nun so klein halten wie möglich, um Hackern nur eine kurze Zeitspanne zu überlassen, in der sie die neuen Lücken nutzen können.

Aber besser noch ist gar keine Zeitspanne zwischen Entdeckung und Bereinigung. Dazu werden mehr und mehr Analysewerkzeuge angeboten, die den Verkehr im Netzwerk und zwischen Endgeräten beobachten und auf Anomalien hin untersuchen. So kann frühzeitig festgestellt werden, dass Abweichungen im Netzverkehr auf das Wirken von Schadsoftware und den Eingriff von außen hindeuten. Gegenmaßnahmen werden also noch schneller ergriffen.

Mit Hilfe lernender Systeme ist es im nächsten Schritt möglich, nicht nur das Verhalten des Netzwerkes, sondern das individuelle Verhalten von Anwendern zu beobachten. Weicht das von der normalen Nutzung ab, schlägt das System Alarm. Lernende Systeme sind dabei in der Lage festzustellen, was ein User üblicherweise tut, und lernen mit jedem Klick dazu. Gleichzeitig sind sie in der Lage, auf der Basis von Nachrichten über neue Angriffe Muster für den eigenen Schutz zu erkennen.

IBMs Watson beispielsweise ist inzwischen auch in der Cyberabwehr aktiv. Das System beobachtet den Verkehr im Netz auf der Suche nach Schadsoftware, „abonniert“ NewsFeeds zu aktuellen Angriffen und entwickelt auf dieser Basis Abwehrstrategien. Dazu gehört auch die automatische Fortschreibung von „weißen Listen“, also die Festlegung, welcher Anwender auf welche Daten und Systemfeatures zugreifen darf.

Mehr Schutz bedeutet freilich immer auch mehr Verlust an Freiheit. Wenn Watson oder andere KI-Systeme das Anwenderverhalten beobachten, könnte man auch sicherstellen, dass nicht im Büro privat gesurft wird, dass keine auffällig großen Dateien versendet werden oder der Zugriff auf nicht freigegebene Anwendungen ersucht wird. Triple A Security bedeutet eben auch Triple A Kontrolle: Ausspähen, Aussperren und Ausmustern.