Wo die Effizienz der Resilienz im Weg steht - und umgekehrt

Gobugfree hat am 30. November 2023, dem ersten Tag seines Events Gohack23, zum Symposium in die Fernfachhochschule Schweiz (FFHS) am Schweizer Bahnhof geladen. Es ist der erste derartige Event, den das Unternehmen veranstaltet. "Da weiss man nie so recht, wie es rauskommt", sagte Christina Kistler, Chief Commercial Officer bei Gobugfree, zum Auftakt des Symposiums. Die dreitägige Veranstaltung soll Aufmerksamkeit für das Thema Cybersicherheit und ganz konkret für Ethical Hacking erzeugen - nicht nur unter Cybersecurity-Spezialisten, sondern in der ganzen Bevölkerung, wie Kistler sagte. 

Mit der Ausbildung gegen den Fachkräftemangel

Tobias Häberlein von der FFHS gab zunächst Einblicke in den im Herbst 2023 gestarteten Bachelor-Studiengang Cyber Security. Der Studiengang sei technisch ausgerichtet und decke alle Aspekte der Cybersecurity ab, erklärte Häberlein. Der Fokus liege auf dem Programmieren. Insgesamt dauere das Studium 9 Semester, wobei ein Semester 20 ECTS umfasse. Die FFHS bewege sich damit in Zwei-Drittel-Geschwindigkeit verglichen mit anderen Hochschulen, erklärte Häberlein. Dies sei beabsichtigt, da viele Studierende nebenbei noch bis zu 80 Prozent arbeiten würden. Ende November 2023 hatte die FFHS ausserdem eine Passerelle für den Bachelorstudiengang Cyber Security vorgestellt, die erstmals im Februar 2024 starten soll. Sie richtet sich an Cyber Security Specialists mit eidgenössischem Fachausweis oder Absolventinnen und Absolventen des Cyber-Lehrgangs der Armee.

Letzterer dauert 40 Wochen, wie Major Gregor Hofer von der Schweizer Armee erklärte. 16 Wochen davon würden die Rekrutinnen und Rekruten dabei mit der technischen Ausbildung verbringen, die Bereiche wie Monitoring, Kryptologie, und das Programmieren abdecken soll. Nach 4 Wochen in der Unteroffiziersschule und weiteren 5 Wochen technischer Ausbildung folge das Herzstück des Lehrgangs, sagte Hofer: der 12-wöchige praktische Dienst. Dabei würden die Rekrutinnen und Rekruten das Geschäft im Kommando der Armee "on the job" kennenlernen. Es sei auch möglich, den praktischen Dienst ausserhalb der Kasernenmauern zu absolvieren, etwa in den SecOps-Zentren der Post oder der Swisscom. 

Welche Cybersecurity-Ausbildungen in der Schweiz ausserdem zur Verfügung stehen, erfahren Sie hier.

Der grösste Feind der Resilienz

Im Anschluss war Raphael Reischuk am Zug, Co-founder des Nationalen Testinstituts für Cybersicherheit NTC. Seine Keynote, die erste des Events, trug den Titel "Rethink Cybersecurity!". In den Medien sei in diesem Kontext häufig vom Begriff Cyberresilienz die Rede. Doch was ist überhaupt Resilienz? Reischuk nutzte Bambus als Metapher: "Wenn der Panzer drüber fährt, steht er immer noch. Wenn man ihn abschneidet, wächst er schnell nach." Das würden viele auch von der IT erwarten. 

Raphael Reischuk, NTC. (Source: zVg)

Resilienz sei die Fähigkeit, sich von Zuständen zu erholen, die wir nicht möchten, führte der Experte aus. Die Fähigkeit, sich an Disruptionen, die unser Leben verändern, zu adaptieren. "Die Dinosaurier waren nicht resilient", scherzte Reischuk. Aber woran scheitert die Resilienz in der Praxis? Wenn die IT Bambus sein soll, warum gibt es dann Vorfälle wie jene bei Xplain oder Conceivis?

Um diese Frage zu beantworten, bediente sich Reischuk eines Zitats von Autor William Galston aus der Covid-Zeit: "Hat das ewige Streben nach Effizienz, das das Businessdenken in den letzten Jahrzehnten dominiert hat, dazu geführt, dass das globale ökonomische System angreifbarer für Schocks geworden ist?" Anstelle des ökonomischen Systems könne man in das Zitat auch das Cyber-Ökosystem einsetzen, sagte Reischuk. Effizienz sei die optimale Anpassung an die aktuelle Situation. 

Keine Puffer mehr

Aus der Leidenschaft heraus, Effizienz und Wachstum zu treiben, habe die Menschheit in den letzten 20 Jahren ständig die Puffer entfernt, die uns vor solchen Schocks schützen. Als Beispiele nannte er etwa das aktuelle Just-in-Time-Manufacturing, bei dem Produkte entsprechend der Nachfrage produziert werden, nicht früher. Dabei dürften dann Pannen wie jene des Cargo-Schiffs Evergreen im Suez-Kanal nicht passieren. Die Einsparungen und reduzierten Kapazitäten in Spitälern seien ein weiteres Beispiel - dann dürfe Covid nicht passieren. 

Anderswo hätten die Menschen hingegen Resilienz der Effizienz vorgezogen. Das beste Beispiel sei unsere Demokratie. Sie sei extrem ineffizient, sagte Reischuk, aber dafür resilient gegenüber anderen Systemen. Eine Diktatur sei sehr effizient, aber nicht resilient. Auch der Föderalismus respektive der Schweizer "Kantönligeist" seien ein gutes Beispiel für ein ineffizientes, aber resilientes System.

In der IT werde eben oftmals die Effizienz vorangestellt. Reischuk nannte etwa Uniformität in der Infrastruktur: Wenn jeder das gleiche Gerät, das gleiche Betriebssystem etc. nutze, könne ein Angreifer mit einem Schlag alles ausschalten. Natürlich sei es ineffizient, wenn eine Person Windows verwende, eine andere Linux und wieder eine andere Apple - es wäre jedoch sicherer. 

Reischuk griff schliesslich auch das Thema künstliche Intelligenz auf. Dass es dafür Regulierung brauche, sei für ihn klar, wenngleich er kein Moratorium wolle. Die Forschung müsse weitergehen, man müsse die Technologie gründlich testen und evaluieren. Dies untermauerte auch die Kernaussage des Experten. So stehe man im Leben häufig vor der Entscheidung, eine Situation kurzfristig (Effizienz) oder langfristig (Resilienz) zu optimieren. Wo die richtige Mischung und Balance liege, müsse jeder für sich selbst entscheiden.

Der nächste Schritt für die künstliche Intelligenz

Die zweite Keynote des Abends gehörte Isabel Steiner, Lead Engineer bei AlpineAI. Das Unternehmen möchte mit der Schweizer LLM-Alternative SwissGPT dem mächtigen ChatGPT die Stirn bieten. Im Vorfeld habe wohl jemand behauptet, es komme eine Speakerin von OpenAI, sagte Steiner zum Einstieg. Vielleicht seien deshalb so viele Leute gekommen, scherzte sie. Doch das Publikum lauschte auch der AlpineAI-Ingenieurin aufmerksam.

Viele Menschen hätten entweder ein utopisches oder ein dystopisches Verhältnis zur Zukunft, sagte Steiner. Auf der einen Seite stehe eine Armee von Robotern, die uns das Leben erleichtern, auf der anderen Maschinen wie aus "Terminator", die uns auslöschen wollen. Sie selbst glaube an keines der beiden Szenarien.

KI sei heute noch sehr spezialisiert, führte die Expertin aus. Sie erwähnte Chatbots wie ChatGPT und Bard, Tools für Image Recognition, selbstfahrende Autos, wie sie Tesla testet, Agrarroboter für die Landwirtschaft oder den Pöstler-Roboter, an dem die Post bastelt. Doch ein Agrarroboter könne keine Post austragen und der Pöstler-Roboter kein Gemüse pflanzen. 

Hier kommt künstliche allgemeine Intelligenz ins Spiel (Artificial General Intelligence, AGI), wie Steiner ausführte. Der Begriff beschreibt eine theoretische Form der KI, bei der eine Maschine über eine dem Menschen gleiche Intelligenz verfügen würde. Steiner selbst glaube fest daran, dass es so weit kommen würde, sagte sie - und es sei auch nicht mehr so weit entfernt.
 
OpenAI will übrigens kürzlich einen Durchbruch auf dem Weg zu AGI geschafft haben, wie ein internes Memo zeigen soll. Die Entwicklung soll auch im Zusammenhang mit der kurzzeitigen Entlassung von CEO Sam Altman stehen.

AGI könne alle Aufgaben lösen, die der Mensch lösen kann, und vielleicht sogar noch besser, erklärte Steiner von AlpineAI. Handlungsfelder gebe es viele - so etwa das Office Management. Eine AGI sei zum Beispiel imstande, eine kaputte Glühbirne zu erkennen. Daraufhin müsste die Maschine selbstständig Lösungsstrategien entwickeln, um die kaputte Leuchte auszutauschen. Sie werde Strategien vergleichen und die entsprechende auswählen, mit anderen Systemen kommunizieren und kollabieren. "Eine Maschine, die all das kann, wird auch ein Eigenleben entwickeln", prophezeite Steiner. 

Isabel Steiner, Lead Engineer bei AlpineAI. (Source: zVg)

AGI schmeisst den Laden und schützt die Grenze

Selbstinitiative, Autonomie, Kreativität, Verhandlungsgeschick und Taktik seien alles Attribute einer künftigen AGI. Heute seien Menschen noch die Strategen hinter der KI - man danke an das Prompten bei ChatGPT - in Zukunft könnte es aber auch strategische Maschinen geben, wie die Expertin sagte. Sie malte mehrere Bilder davon, wie das aussehen könnte. Eine "Retail AGI" könnte etwa selbstständig ein Geschäft im Fachhandel betreiben und Einkauf, die Betreuung des Webshops und die Logistik völlig ohne den Menschen übernehmen. 

In der Cyberkriminalität könnte eine "Dark Evil AGI" selbstständig Ziele für Cyberangriffe evaluieren, Strategien erarbeiten und angreifen. Und eine AGI für den Grenzschutz könne selbstständig Prozesse entwickeln, gefahren erkennen und abwehren. Wie der Mensch müsse aber auch eine KI bzw. AGI kontinuierlich lernen - anhand von Feedback und neuen Daten sowie anhand von Belohnung und Bestrafung. Durch all diese Interaktionen werde die AGI auch unweigerlich eine Persönlichkeit entwickeln.

Gute und schlechte Seiten der AGI

Steiner betonte aber auch die Risiken, die mit derartiger Technologie einhergingen. Die Hacker-AGI von vorhin könne etwa neue Schwachstellen erkennen, automatisch herausfinden, welche Firmen die entsprechenden Stacks verwenden und sie gezielt angreifen. Die "Grenzschutz-AGI" würde womöglich häufig negative Erfahrungen mit Personen aus ähnlichen Kreisen machen und in Folge aggressiv gegen Personen aus diesen Kreisen agieren - so, wie es auch der Mensch bereits tut.

Unter dem Strich könne AGI durchaus positive Auswirkungen auf die Menschheit haben, sagte Steiner - etwa in Sachen Kreativität, Innovation oder dem Interesse, die Welt zu verbessern. Auf der anderen Seite könne auch die Technologie anfällig für Krankheiten oder Anzeichen von Wahn sein, bestechlich werden, radikale Inhalte erzeugen oder schlichtweg überfordert sein - eben auch so wie der Mensch. 

"Es wird immer Böses geben, aber ich hoffe, dass das Gute überwiegen wird", bilanzierte Steiner schliesslich - "und dass es, wie in unserer Welt, beides gibt."

Security kennt keine Parteifarbe

Dritter und letzter Keynote-Speaker war Franz Grüter, Nationalrat und VR-Präsident von Green.ch. Als Rechenzentren-Betreiber sei Green Teil der kritischen Infrastruktur und daher ebenfalls mit dem Thema Cybersicherheit beschäftigt, sagte Grüter. Unter den Parlamentariern gebe es leider nur wenige, die sich mit dem Thema befassen, sagte der Nationalrat - nur etwa 7 bis 8. Dabei arbeite man in diesem Bereich gut zusammen, und denke dabei nicht in Parteifarben.

Auch Grüter kam auf das Thema KI zu sprechen. Die erste Frage an ihn sei bei diesem Thema immer die nach neuen Gesetzen und Regulationen. Er wünsche sich jedoch eine andere: "Wie gelingt es uns, sicherzustellen, dass wir auch in Zukunft innovativ bleiben und an vorderster Front bei der Technologie dabei sind?" Natürlich brauche es irgendwann Regulation, doch letztlich werde leider oftmals die Innovation hintangestellt. Europa sei Weltmeister im Regulieren, während die USA und China bei der Innovation die Nase vorne hätten. Wenn man solche Trends verschlafe, wäre man in Zukunft womöglich auch hier wieder von US-amerikanischen Technologien abhängig. "Setzen Sie sich ein, dass wir auch hier in der Schweiz vorne mit dabei bleiben und innovativ bleiben", appellierte Grüter an das Publikum.

Nationalrat Franz Grüter. (Source: zVg)

KI werde in Zukunft zahlreiche Lebensbereiche beeinflussen, war sich auch Grüter sicher. Bereits jetzt sei etwa der Einfluss in Sachen Ethik und Urheberrecht spürbar. Der Nationalrat hob die Vernehmlassung zum umstrittenen Leistungsschutzrecht hervor, dass Nachrichten-Snippets im Internet kostenpflichtig machen soll. Auch ChatGPT stelle beim Ausspucken von Suchergebnissen oft eine Zusammenstellung aus urheberrechtlich geschützten Inhalten zusammen. Viele Juristinnen und Juristen würden sich bereits damit beschäftigen, bei wem in diesem Fall die Kosten liegen sollten. Er persönlich habe dazu eine liberale Haltung, sagte Grüter, und wolle nicht, dass für Snippets Geld bezahlt werden müsse.

Des weiteren nannte Grüter die Vergabe von Krediten in den USA, wo die Kreditwürdigkeit schon nahezu ausschliesslich von KI geprüft werde. Er stellte die philosophische Frage, wozu es überhaupt noch einen den Menschen brauche, und ob wir alles der KI überlassen sollten. Er hatte noch ein weiteres Beispiel parat: Roboter wie jene von Boston Dynamics, die in Zukunft in bewaffneten Konflikten eingesetzt werden könnten. "Wer entscheidet, ob der Abzug gedrückt wird?", sagte Grüter. Dies seien inzwischen konkrete Fragen und keine Science Fiction mehr. Er nehme an, dass sich auch die Schweizer Armee diese Fragen werde stellen müssen. 

Nach einer Podiumsdiskussion mit Expertinnen und Experten aus verschiedenen Bereichen lud Gobugfree zum Apero. Am zweiten und dritten Eventtag lässt der Veranstalter die Systeme seiner Partner im Rahmen einer Bug Bounty Challenge auf Herz und Nieren prüfen.