KI, Ransomware und Patch-Management am Tefo 2023

Immer wenn das Ende des Herbsts näher rückt, flammt bei den Fachhandelspartnern des Schwerzenbacher Distributors Studerus wohl die Vorfreude auf. Denn die Novemberzeit ist auch die Tefo-Zeit. In diesem Jahr findet das Studerus Technology Forum (Tefo) bereits zum 13. Mal statt, wie Managing Director Frank Studerus während seiner Begrüssung des Publikums im Mövenpick Hotel Zürich Regensdorf erwähnte.

Obwohl der VAD Studerus - etwa als Schweizer Herstellervertreter von Zyxel - vor allem im Netzwerkbereich zuhause ist, nimmt das Thema Cybersecurity stets eine wichtige Rolle beim Tefo ein. So wie es auch im Netzwerk selbst ein wichtiges Thema ist. In seiner Begrüssungsrede ging Frank Studerus auf das Thema Updates ein. Wer nicht zeitnah patcht, mahnte der Managing Director, riskiert, Opfer von Cybervorfällen zu werden. Wie man das macht, ist den Unternehmen überlassen. Wie Studerus erklärte, gibt es verschiedene Ansätze und somit auch für jeden eine passende Lösung. Die wohl einfachste: Das System alles selbständig machen zu lassen. Dies sei auch mit Zyxel-Produkten möglich - dies muss aber zunächst in den Konfigurationen aktiviert werden.

Managing Director Frank Studerus. (Source: Netzmedien)

Wer selbst patcht, sollte auch an Ferienabwesenheiten denken. Daher sollte sich ein Team dessen annehmen und sich stets über neue Releases informieren - damit ein kritisches Update nicht untergeht, bloss weil die zuständige Person gerade ausser Haus verweilt. Studerus empfiehlt zudem, Netzwerkanfragen zu nicht kategorisierten Websites standardmässig zu blockieren. Denn Schadprogramme, die einen Rechner infizieren, laden in der Regel weitere Malware aus dem Internet auf den Rechner - und oft richten diese viel mehr Schaden an. Die Websites, die dafür genutzt werden, sind meistens relativ neu, manchmal nur wenige Tage alt, und daher noch nicht kategorisiert.

Zu blockieren, was man nicht will, sei der typische Ansatz, sagte Studerus. "Aber es gibt auch eine Grauzone." Was ist beispielsweise mit der Entwicklerplattform Github? Vor allem technisch versierte Personen würden nichts Böses vermuten und Github entsprechend nicht blockieren. Aber genau das wurde 3CX bei der Supply-Chain-Attacke zum Verhängnis. Die erste Malware lud die weiteren Schädlinge nämlich von Github herunter. "Braucht Ihr Kunde wirklich Zugang zu Github? Vermutlich nicht", beantwortete Studerus seine eigene Frage. Aber weil man sich vor verärgerten Usern fürchtet, blockiert man diese Grauzone nicht. Es kommt zu einer Gratwanderung zwischen Sicherheit und Usability - wo man in welche Richtung pendelt, muss man mit den Endkunden gemeinsam abwägen. Eine gute Lösung könne auch sein, sagte Studerus, dass die Mitarbeitenden im Verkauf, die viele unbekannte E-Mails erhalten, einen schärferen Contentfilter erhalten als andere Mitarbeitende im Unternehmen.

Wenn ChatGPT Fakten halluziniert

Cybersecurity war nicht das einzige große Thema am diesjährigen Tefo. Auch die künstliche Intelligenz (KI) wurde aufgegriffen. Darüber sprach Andreas Krause, Professor für Informatik an der ETH Zürich und Experte im UN-Beratungsgremium für KI, in der Keynote des Tefos. Viele würden das Thema mit Hoffnungen oder mit Ängsten verbinden, sagte Krause. Wie er erklärte, ist KI schlussendlich ein Werkzeug, das zum Guten, aber auch zum Bösen genutzt werden kann. Damit die ausser Kontrolle geratenen Superintelligenzen aus Film und Fernsehen aber nicht von Science Fiction zu Science Fact werden, sollte man die aktuellen Entwicklungen aber im Auge behalten.

ETH-Professofer Andreas Krause. (Source: Netzmedien)

Allerdings braucht eine KI keine Weltherrschaftsambitionen, um Probleme zu verursachen. So halluzinieren ChatGPT und Co. etwa Fakten. Der Chatbot weiss nämlich keine Antworten, stattdessen berechnet er, welches Wort mit der grösstmöglichen Wahrscheinlichkeit auf das vorhergehende folgt - so formuliert er seine Antworten. Das heisst, wenn man eine konkrete Frage stellt, wie etwa "Wie hiess der erste Hund, der auf dem Mond gelandet ist?", erhält man auch eine konkrete Antwort: "Laika". Bislang war allerdings noch kein Hund auf dem Mond. "Man darf die Antworten des Chatbots nicht für bare Münze nehmen. Das ist keine Datenbank, aus der man Antworten ziehen kann, sondern eine Wörtervorhersage", sagte der Professor.

Eine wichtige Frage ist auch der Datenschutz. Gemäss Krause gibt es bereits erste Fälle von Unternehmen, die ihre sensiblen Codezeilen an ChatGPT gaben, damit der Bot sie optimieren kann. Somit wurden diese Betriebsgeheimnisse aber auch Teil der Trainingsdaten der KI. "Diese Technologie wird unzählige Bereiche beeinflussen, und wir müssen einen Weg finden, damit umzugehen", sagte Krause. Hier seien internationale und interdisziplinäre Zusammenarbeit sowie Dialog gefordert. Denn die Frage nach der idealen Zusammenarbeit mit KI lasse sich weder aus rein technologischer, rein politischer noch aus rein wirtschaftlicher Sicht beantworten.

Neue Richtlinien rund um Ransomware am Horizont

Die weiteren Vorträge waren verteilt. In drei Räumen fand jeweils zeitgleich eine Präsentation statt. So konnten sich die Teilnehmenden selbst aussuchen, wofür sie sich am meisten interessieren. Zur Auswahl stand auch ein "Wiederholungstäter": Mark Semmler. Der deutsche Security Consultant war bereits zum dritten Mal bei einem Tefo auf der Bühne. Dieses Jahr sprach Semmler über Ransomware und wie man sich und seine Kunden davor schützen kann. "Im Moment erwischt es eine Firma nach der anderen", sagte er, "und zwar derart krass, dass die Schäden schon richtig bis ins Mark gehen!"

Security Consultant Mark Semmler. (Source: Netzmedien)

Das erforderliche Level an Sicherheit sollte zunächst mit dem Kunden besprochen werden. Welche Sicherheitsbedürfnisse hat der Kunde? Wie verfügbar muss die Infrastruktur sein? Gibt es gesetzliche, betriebliche oder vertragliche Anforderungen, die man beachten muss? Und welche Anforderungen an die Datenintegrität müssen erfüllt werden? Solche Fragen sollten geklärt werden - und zwar "schriftlich, bitte", sagte der Consultant. "Schreiben Sie alle diese Anforderungen auf, dann haben Sie es dokumentiert, und ausserdem ist das eine Beratungsdienstleistung, die Sie verrechnen können!"

Übrigens: Die EU reagierte mit einer neuen Richtlinie auf das wachsende Ransomware-Problem, wie Semmler sagte. Diese heisst NIS-2 und tritt im Oktober 2024 in Kraft. Die darin enthaltenen Security-Anforderungen betreffen auch die Lieferkette. So müssen Unternehmen auch ihre Zulieferer zu gewissen Security-Ansprüchen verpflichten und dies kontrollieren.

"Wenn Ihre Lieferkette oder die Ihrer Kunden nach Deutschland führt, könnte die NIS-2 auch sie betreffen", sagte Semmler. Der Consultant empfahl den Anwesenden daher, sich damit zu befassen, damit sie nicht in einem Jahr von der neuen Richtlinie überrascht werden.

Das Tefo fand wieder im Mövenpick Hotel Zürich Regensdorf statt. (Source: Netzmedien)

Ein kleiner Vorgeschmack auf das weitere Programm

Dies war erst der Vormittag des Tefo 2023. Zu den Highlights, die den Teilnehmenden am Nachmittag noch bevorstehen, gehört ausser weiteren Vorträgen (beispielsweise zu Security Awareness und zur Attacke auf 3CX) auch die Verleihung der Studerus-Projekt-Awards. Drei Projekte sind für die zwei Preise nominiert:

• "Zyxel sorgt für modernes WLAN im Alterszentrum": Die Firma Inconet Technology installierte eine komplette Netzwerk- und WLAN-Lösung für viele Verwendungszwecke (Schwesternruf, TV-System und Bewohner-WLAN) im Alters- und Pflegezentrum Zehntfeld.
• "Gastro-Unternehmen setzt auf WLAN von Zyxel": Weil das Gastro-Unternehmen Seven Group nicht zufrieden mit den Netzwerken in seinen Hotels war, ersetzte Realcom die bestehende Installation durch moderne Netzwerke von Zyxel.
• "Zyxel-WLAN für Hersteller von High-Tech-Glas-Komponenten": Der Hersteller von High-Tech-Glas-Komponenten IMT Masken und Teilungen wollte seine WLAN-Infrastruktur modernisieren; also installierte Sidmar ein flächendeckendes Zyxel-WLAN mit Gastzugang.

Wer dieses Jahr einen Preis gewinnt, lesen Sie hier im zweiten Teil der Berichterstattung zum Tefo 2023. Und wenn Sie wissen möchten, wer vergangenes Jahr ausgezeichnet wurde, erfahren Sie das hier.