KPMG Security Studie sieht neue Sicherheitsrisiken durch künstliche Intelligenz und das Internet der Dinge
Eine OP von Dr. Roboter, eine Maschine als Filmregisseur, wie gerade erst bei den Filmfestspielen in Cannes vorgestellt, Roboter, die Routineaufgaben in der öffentlichen Verwaltung übernehmen oder Chatbots wie Alexa oder Siri, die uns bestens verstehen und mit uns kommunizieren – was vor wenigen Jahren noch nach bester Science Fiction Unterhaltung klang ist heute bereits Realität. Intelligente Computersysteme können bereits jetzt schon in Teilen genauere und verlässlichere medizinische Diagnosen stellen und dabei helfen, unzählige Krankheiten zu heilen oder zumindest besser zu behandeln. Industrieanlagen könnten bald energieoptimiert gesteuert werden, Wasser und Energie und Internet könnte schneller und sinnvoller verteilt werden und womöglich ließe sich auch die Hungersnot verbannen. Dadurch, dass Algorithmen, intelligente Software und Roboter immer besser dazu in der Lage sind, komplexe kognitive Aufgaben zu übernehmen, eröffnen sich Potenziale, die unser Leben einfacher, bequemer, besser und gesünder und vielleicht in manchen Bereichen auch ein wenig sicherer machen. Die Frage, die sich dabei jedoch immer wieder stellt ist: Welchen Preis müssen wir hierfür zahlen?
KI kein Nischenthema mehr
Viele Technologien, die einstmals wie Spielereien für Technik Nerds schienen, bieten zunehmend einen echten Nutzen, der sie auch für den Massenmarkt attraktiv macht. Unternehmen wie Facebook, Google, Amazon und Microsoft wissen um das immense Umsatzpotenzial und liefern sich derzeit einen Wettstreit darum, wer die fortschrittlichste künstliche Intelligenz auf dem Markt hat. Wer ihn gewinnt, dem winkt eine goldene Zukunft: Man denke nur an die unzähligen Anwendungen, die bereits heute auf Sprachsteuerung setzen – Suchmaschinen, Lautsprecher im Smart Home oder der Bordcomputer im Auto. Dabei ist „KI“ mehr als nur irgendein Softwaretool – KI wird zum Betriebssystem und damit zum Interface der gesamten digitalen Sphäre, die die dysfunktionale Bruchstückhaftigkeit in der heutigen digitalen App-Welt aufgrund unverbundener Einzellösungen, ablösen kann. Das hat auch die Wirtschaft längst erkannt. Aktuelle Studien, wie beispielsweise von Crisp Research und HPE zeigen, dass 80 % der befragten Unternehmen von einen zweistelligen Wertschöpfungsanteil ausgehen bei dem Einsatz von Machine Learning (ML) im Unternehmenseinsatz. 43% platzieren daher KI und ML bereits in ihrer Geschäftsmodell-Strategie.
Doch der vermehrte Einsatz von intelligenten Maschinen und Smart Services führt auch zu einem erhöhten Risiko im Bereich der Cybersicherheit. Die jährliche Studie der KPMG Schweiz „Clarity on Cyber Security“ belegt eine dramatische Zunahme von Cyberkriminalität in der Schweiz und spricht von neuen Gefahren, hervorgerufen durch das Internet der Dinge und die fortschreitende künstliche Intelligenz. Laut den Ergebnissen wurden 88 % der befragten Schweizer Unternehmen in den letzten 12 Monaten Opfer von Cyberattacken. Das bedeutet eine Zunahme von 34 Prozent gegenüber dem Vorjahr. Das zunehmend komplexe Sammelsurium miteinander vernetzter, internetfähiger Dinge – von Haushaltsgeräten über medizinische Apparate und industrielle Produktionsanlagen bis hin zu kritischer Infrastruktur dient dabei den Cyberkriminellen dabei häufig als Einstiegstor. Über die Hälfte der Studienteilnehmer gaben zu, dass sie keinen Überblick über die im Unternehmen eingesetzten smarten Geräte und Services haben, und dass die unternehmensweiten Security- und Compliance Richtlinien das Thema KI und IoT bislang noch nicht einschließen. Hier herrscht also großer Nachholbedarf
Auch die mangelnde Benutzerfreundlichkeit bei den Maßnahmen zur Cybersicherheit stellt laut KPMG eine große Gefahr dar. So gaben 65% der Studienteilnehmer an, dass in ihrem Unternehmen nicht systematisch an benutzerfreundlichen Sicherheitsprozessen gearbeitet würde. Zu einem ähnlichen Ergebnis kam im vergangenen Jahr bereits das Ponemon Institut in einer weltweiten Studie. Knapp die Hälfte der Studienteilnehmer beklagte damals die mühsamen Prozesse bei der Vergabe von Zugriffsrechten, und gab an, dass sie keinen, definierten Prozess für Gewährung von Zugriffen implementiert haben. Infolgedessen entsteht ein Wildwuchs im Berechtigungsmanagement und führt dazu, dass Benutzer mehr Zugriffsrechte haben, als sie für ihre Arbeit benötigen. Eine fatale Entwicklung, denn sowohl
Benutzerfreundlichkeit als die Durchsetzung des Prinzips der „minimalen Rechtevergabe“ sind mitentscheidend, wenn es darum geht, die Cyberbedrohung in den Griff zu bekommen IoT und KI erfordern ein Umdenken im Identity Management. Für die Verwaltung von Benutzeridentitäten und Zugriffsrechten in einer digitalen Wirtschaft reicht eine IT-zentrische Form des Identity Management alleine nicht mehr aus. Ging es früher bei Identity Management im Wesentlichen darum, die Benutzerverwaltung zu automatisieren und den für das eigene Unternehmen geltenden Datenschutz- und Compliance-Richtlinien zu entsprechen, liegt der Schwerpunkt heute eher auf der revisionssicheren Überprüfung. IoT-Systemen – sei es aus wirtschaftlichen Überlegungen, aus technischen Gründen oder weil sie nicht der eigenen Kontrolle unterliegen – wurden zudem oftmals nicht in das Identity Management integriert.
In der digitalen Wirtschaft bliebt die die Automatisierung zwar weiterhin ein Teilaspekt, die Frage der Steuerung und damit der Identity Governance rückt aber in den Mittelpunkt.
Doch was ist Identity Governance genau?
Identity Governance-Lösungen sollen eine richtlinien-konforme Berechtigungsstruktur gewährleisten und nachweisen. Im Fokus stehen hierbei in erster Linie Sicherheitsrichtlinien, wie zum Beispiel eine restriktive Berechtigungsvergabe – auch als „Need-to-Know“ oder „Least Privilege“ Prinzip bekannt. Wichtig ist zu verstehen, dass Identity Governance zwar als Service durch die IT erbracht werden kann, die Verantwortung aber eine unternehmerische Verantwortung ist und nicht an die IT oder gar einen externen Dienstleister delegiert werden kann. Mehr hierzu können Sie auch in unserem Blog „Identity Governance – das Fundament für Vertrauen in der digitalen Welt“ lesen.
