Hostile Tech – von kriminell bis unbeabsichtigt:

Wie Unternehmen Angriffe abwehren und eigene Fehler vermeiden können

„Feindliche“ Technologie wird in der Regel mit kriminellen Machenschaften assoziiert, wie Ransomware, Datendiebstahl und Computerviren. Aber auch legale und oft allgemein akzeptierte Aktivitäten können von Nutzer:innen als Bedrohung angesehen werden.

Wie können Unternehmen verhindern, dass sie unbeabsichtigt „Hostile Tech“ einsetzen? Und wie können sie sich gegen Cyberangriffe schützen?

„Hostile Tech“ – Eine Frage der Einstellung

Je komplexer Technologie wird, desto mehr Möglichkeiten gibt es, sie zu missbrauchen. Und da sich Menschen bei ihren täglichen Aktivitäten – im beruflichen und privaten Kontext – immer mehr auf Technologien verlassen, sind sie zunehmend unbeabsichtigt negativen oder sogar feindlichen Konsequenzen ausgesetzt. Wenn dann noch ein hoher Automatisierungsgrad hinzukommt, der den menschlichen Einfluss verringert und Entscheidungen in Maschinengeschwindigkeit getroffen werden, steigt die Wahrscheinlichkeit für unerwünschte Aktivitäten.

Aufgrund des breiten Spektrums sollte die Definition für „Hostile Tech“ nicht nur kriminelle Technologien wie Malware und Hacking-Tools umfassen, sondern in einigen Fällen auch Werbung oder Kundentargeting. Ob eine Technologie feindlich ist, kann eine Frage der Perspektive sein. Manche Menschen empfinden Internetwerbung, Tracking-Cookies oder Social-Media-Kampagnen nicht als aufdringlich und sind gerne bereit, ihre Daten dafür einzutauschen, was sie als personalisierte Angebote oder persönlichen Mehrwert wahrnehmen. Andere hingegen installieren Adblocker in ihren Browsern oder meiden Social Media-Plattformen wie Facebook komplett. Die Zustimmung zum Tracking oder zur Sammlung persönlicher Daten ist für einige eine im Grunde automatische, für andere eine wohlüberlegte Entscheidung. 

Darüber hinaus ist nicht jedes Verhalten, das per Definition zu „Hostile Tech“ gehört, beabsichtigt oder gar böswillig. Ein Beispiel dafür sind Verzerrungen in Algorithmen oder maschinellen Lernsystemen. Diese können Vorurteile gegenüber bestimmten Kundengruppen aufweisen, ohne jemals kompromittiert oder absichtlich so konzipiert worden zu sein. 

Konfliktpotential steigt 

Aktuelle Entwicklungen zeigen, dass „Hostile Tech“ immer mehr zu einem relevanten Thema wird – sowohl im Hinblick auf kriminelle Aktivitäten als auch auf beabsichtigte oder unbeabsichtigte Fälle, die von Verbraucher:innen als störend oder bedrohlich empfunden werden:

  • Technologie wird omnipräsent und gleichzeitig wächst die potenzielle Bedrohungsoberfläche. Ein einfaches Beispiel hierfür ist die schiere Anzahl von Angriffsmöglichkeiten: IDC prognostiziert, dass die Zahl der aktiven Internet-of-Things-Geräte (IoT) bis 2025 auf 55,7 Milliarden ansteigen wird. Jedes dieser Geräte birgt potenzielle Sicherheitslücken. 
  • Die Stimmung und das Verhalten der Verbraucher:innen in Bezug auf Werbe- und Marketingtechnologien ändern sich, und die Zweiteilung zwischen denjenigen, die eine umfassende Nutzung ihrer Daten akzeptieren, und denjenigen, die sich mehr Sorgen um den Datenschutz machen, nimmt zu. Eine aktuelle Verbraucherstudie von YouGov in Zusammenarbeit mit Global Witness zeigt auf, dass die Mehrheit der Befragten (57 Prozent) keine personalisierten Anzeigen auf Social Media sehen will, da die Details, auf denen diese beruhen, einfach zu intim seien.
  • Die Besorgnis über die Nutzung und den Einfluss von Social Media in politischen Kampagnen wächst und auch die Kritik daran, wie Social-Media-Kanäle gesellschaftliche Debatten prägen und beeinflussen.
  • Es gibt auch viele Diskussionen um die unbeabsichtigten Folgen, die sich aus dem verstärkten Einsatz von künstlicher Intelligenz und maschinellem Lernen ergeben, wie etwa Vorurteile in Algorithmen. Bedenken über negative Auswirkungen führen zum Beispiel zu Kritik am Einsatz von KI bei der Personalauswahl.
  • Die zunehmende Regulierung rund um Datenerfassung, -speicherung und -nutzung, wie zum Beispiel in der europäischen Datenschutzgrundverordnung (DSGVO), spiegelt die kritische Haltung der Verbraucher und den Wunsch nach Datenschutz wider.

Die Chancen für Unternehmen

Der Schutz gegen vorsätzliches Hacking und gegen Schadsoftware gewinnt immer mehr an Bedeutung. Unternehmen müssen investieren, um zahlreiche mögliche Angriffspunkte gegen finanziell gut ausgestattete und organisierte Gegner zu schützen. Gleichzeitig sind auch andere Dimensionen von „Hostile Tech“ zu berücksichtigen. Unternehmen sollten daher unbedingt darauf achten, Kundenwünsche zu respektieren, also unseriöse Zielgruppenansprachen vermeiden und verzerrte Algorithmen beseitigen. All dies ist nicht nur die richtige Vorgehensweise, sondern trägt zum Vertrauen der Kunden, einem positiven Image und schließlich zu einem erfolgreichen Unternehmen bei. 

Gemäß Angaben von IBM betrugen die weltweit durchschnittlichen Kosten in Verbindung mit einer Datenschutzverletzung im Jahr 2020 3,86 Mio. USD. Im Jahr 2020 wurden in Deutschland Bußgelder mit einem Gesamtbetrag in Höhe von 48,1 Mio. Euro für Verstöße gegen die DSGVO verhängt – ein Anstieg zum Vorjahr um circa 50 Prozent. Da Verbraucher:innen zunehmend sensibler für Verstöße gegen den Datenschutz werden, sind umfassende Maßnahmen zur Datensicherheit für Unternehmen zu einem Unterscheidungsmerkmal und damit Wettbewerbsvorteil gegenüber anderen Unternehmen geworden. Eine kürzlich veröffentlichte Umfrage der Deutschen Gesellschaft für Qualität (DGQ) ergab, dass eine deutliche Mehrheit der Verbraucher:innen Bedenken hat, dass ihre Daten ungewollt an Dritte weitergegeben werden. Fast genauso groß ist die Sorge, die persönlichen Daten könnten ohne vorherige Zustimmung für andere Zwecke verwendet werden.

Schutz gegen Cyberangriffe

Unternehmen sollten wichtige Technologietrends im Blick haben, die den Schutz gegen Cyberangriffe optimieren:

  • Sichere Softwarebereitstellung: Software Pipelines sollten als Hochrisiko-Produktionssysteme behandelt werden – denn das sind sie. Schließlich dienen sie dazu, Software in den Produktionssystemen zu implementieren. Es ist wichtig, sich die Sicherheitsimplikationen von Daten während des Transfers und ruhenden Daten bewusst zu machen. Audit-Trails zur Kontrolle und Aufzeichnung von Änderungen in Prozessen unterstützen die Qualitätssicherung. Unternehmen sollten zudem Lösungen zur Erkennung von Anomalien einsetzen, um sicherheitsgefährdende Vorfälle frühzeitig zu erkennen. Darüber hinaus ist es wichtig, immer auf dem neuesten Stand zu sein, was die Compliance-Regeln für die Region und deren Auswirkungen auf die Systeme anbetrifft. 
     
  • Moderne Berechtigungsprozesse: Zunehmende Cyberbedrohungen und verstärkte Haftung, zusammen mit dezentralisierten Microservices-Architekturen, haben die traditionellen Berechtigungslösungen (AuthZ) stark belastet. Durch Remote Working und die Verlagerung von Anwendungen in die Cloud sind Unternehmen gezwungen, grundlegende Annahmen über Datenzugriff und Netzwerksicherheit zu überdenken. Grenzen, die durch den Standort definiert wurden, verschwimmen und eine reine Autorisierung über den Standort verliert damit ihre Wirksamkeit. Deshalb sollten Unternehmen prüfen, ob sie Ansätze wie Zero Trust, BeyondCorp, BeyondProd und Vectors of Trust übernehmen können. Dadurch können sie ihre Authorisierungslösungen modernisieren und ein breiteres Spektrum an Faktoren in ihre Berechtigungsentscheidungen integrieren. Diese Ansätze gewinnen an Popularität – je nach Branche und Anwendungsfall.
     
  • Quantum-Computing
    Quantum-Computing hat sich als Konzept bewährt, ist aber noch nicht für einen größeren Markt geeignet. Wenn auch das vollständige Spektrum der Anwendungsmöglichkeiten noch nicht klar ist, empfiehlt es sich, die Entwicklung genau zu verfolgen. Es besteht nämlich die Gefahr, dass die Verschlüsselung, die von vielen Systemen – auch dem Internet zugrunde liegenden Systemen – mithilfe von Quanten-Algorithmen, wie dem Shor-Algorithmus, aufgebrochen werden könnte.

Sicherheitskultur entwickeln

Datenschutz und Datensicherheit sind Erfolgsfaktoren für langfristigen Geschäftserfolg. Deshalb sollten Unternehmen Konzepte entwickeln und nutzen, die sowohl das Risiko für Cyberangriffe reduzieren als auch sicherstellen, dass sie mit Kundendaten sorgsam umgehen und Technologie verantwortungsvoll einsetzen. Hier einige Ideen für geeignete Strategien:

Sicherheit geht alle an

Beim Thema Sicherheit gibt es ständig neue Entwicklungen. Die Verantwortung kann nicht bei einer einzigen Person oder Abteilung liegen. Alle Beschäftigten im Unternehmen müssen Sicherheit priorisieren. Genauso wenig kann man einfach eine Sicherheitslösung kaufen, sie installieren und sich als geschützt betrachten. Sicherheitsüberlegungen müssen Teil des Produktlebenszyklus von der Idee bis zur Produktion sein. Audits sollten mit Monitoring verbunden sein: So lassen sich Sicherheitsverstöße proaktiv entdecken, sodass eine schnelle Reaktion möglich ist.

Fokus auf Datenschutz publik machen

Unternehmen sollten klare Richtlinien für den Datenschutz definieren und kommunizieren, z.B. dass Kundendaten nicht weitergegeben oder zweckentfremdet genutzt werden. Damit können sie sich deutlich vom Wettbewerb abheben. Dabei sollte darauf geachtet werden, dass die Richtlinien von Mitarbeiter:innen sowie von Kund:innen vollständig verstanden werden. Ein aktuelles Beispiel für erweiterten Datenschutz: Apple hat bisher standardmäßig Nutzeraktivitäten getrackt und sie mit der Apple ID verknüpft, um personalisierte Werbung auszuspielen. Mit iOS 15 lässt sich nun auch das Tracking von Apples eigenen Diensten deaktivieren; in iOS 14.5 war dies nur für Apps von Drittanbietern möglich.

Nur erforderliche Kundendaten erfassen

Es ist wichtig, nur diejenigen Daten zu erfassen, die wirklich erforderlich sind, um die Dienstleistung zu erbringen (Datensparsamkeit). Das Sammeln und Speichern von Daten, die nicht geschäftsrelevant sind, bedeutet nur eine zusätzliche Belastung für das IT-System und die Compliance-Pflichten des Unternehmens und bietet Hacker:innen sowie anderen Akteuren mit feindseligen Absichten bei Angriffen größere Datenmengen.

Vorurteile in IT-Systemen vermeiden

Seit sich gezeigt hat, dass den KI-Systemen, die unsere Gesellschaft zunehmend prägen, auch Vorurteile („Bias“) innewohnen, wird das Thema ‚Verantwortungsvolle Technologie‘ intensiv diskutiert. Unternehmen sind gut beraten, ein klares Rahmenwerk mit Richtlinien zu entwickeln, die es ermöglichen, Bias in ihren Systemen zu erkennen und zu vermeiden. Grundsätzlich gilt es, ethische Technologiepraktiken zu fördern. Vor kurzem hat die Europäische Kommission den weltweit ersten Rechtsrahmen für KI vorgelegt, der Normen für vertrauenswürdige KI definiert.

In Zukunft werden Unternehmen bei der Entwicklung von kundenrelevanten Systemen und Produkten eine Vielzahl negativer Implikationen berücksichtigen müssen als nur mögliche Datenschutz- und Sicherheitsverstöße. Sie werden begreifen, dass zuverlässige Maßnahmen zur Minimierung unbeabsichtigter technologischer Übergriffe einen Wettbewerbsvorteil darstellen können. Zukunftsorientierte Unternehmen werden sich dadurch auszeichnen, dass sich ihre Haltung zu Fragen der Sicherheit und Ethik nicht nur in Richtlinien niederschlägt, sondern in allem zum Ausdruck kommt, was ihre Teams tun.

 

Erik Dornenburg 160Erik Dörnenburg ist Softwareentwickler und Head of Technology bei Thoughtworks, wo er Kunden bei der Erstellung von Individualsoftware unterstützt. Im Laufe der Jahre hat Erik mit vielen verschiedenen Technologien und Technologieplattformen gearbeitet, immer neugierig darauf, das Potenzial zu verstehen, das sie zur Lösung von Problemen in der realen Welt bieten. Seine Karriere begann in den frühen 90er-Jahren, und seitdem ist er ein Verfechter agiler Werte und von Open-Source-Software.

 

Ken Mugrage 160Ken Mugrage ist Principal Technologist bei Thoughtworks. Als Technology Evangelist liegt sein Fokus auf Schulungen zu DevOps und Continuous Delivery. Er begann seine IT-Karriere Anfang der 90er-Jahre als Systemadministrator bei Seattles erstem Internet-Service-Anbieter. In den folgenden mehr als 20 Jahren bekleidete Ken fast jede Position in einem Softwareentwicklungsunternehmen, vom Entwickler bis zum Leiter eines globalen Entwicklungsteams. Mit dieser Erfahrung berät Ken führende Unternehmen bei der Anwendung der geeigneten technischen Lösungen für Geschäftsprobleme.

 

www.thoughtworks.com/de-de

Artikel zu diesem Thema

Weitere Artikel