Digital People: Fünf Fragen, fünf Antworten. Folge 8: Prof. Dr. Jörn Müller-Quade

Professor Dr. Jörn Müller-Quade ist Leiter der Forschungsgruppe „Kryptographie und Sicherheit” am KIT und Direktor am FZI. Er ist Sprecher und Initiator des Kompetenzzentrums KASTEL. Seine Forschungsschwerpunkte sind unter anderem sicheres Cloud Computing, sichere Mehrparteienberechnung, Sicherheitsdefinitionen und -modelle, sowie Hardware-Vertrauensanker.

1. In den vergangenen Jahren ist die Bedrohung durch Cyberangriffe immer weiter gestiegen und gewährleistete Cybersicherheit ist wichtiger denn je. Vor welchen Herausforderungen stehen wir hier aktuell?

Die Digitalisierung erfasst immer mehr Lebensbereiche und wir werden immer abhängiger von IT-Systemen. War es früher “lästig”, wenn ein Computer mit einem Virus infiziert war, so könnte es in Zukunft (lebens-)bedrohlich sein. Digitalisierung und Vernetzung eröffnen beispielsweise neue Angriffsmöglichkeiten auf die zukünftige Energieversorgung, die womöglich zu Instabilitäten im Stromnetz führen könnten. Der Bestseller Blackout von Herrn Elsberg beschreibt solch ein Szenario und es ist nicht absurd. Eine wissenschaftliche Untersuchung zu Blackouts wurde übrigens durch das vom ITAS betriebene Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag erstellt. Aber auch der Verkehr der Zukunft oder die Fabrik der Zukunft können Opfer von Cyberangriffen werden. Solche komplexen Systeme wirksam zu schützen und die Konsequenzen von Angriffen auf kritische Infrastrukturen einzudämmen, ist eine der größten Herausforderungen der Cybersicherheit. Mit dem Kompetenzzentrum KASTEL am KIT stellen wir uns genau diesen Herausforderungen.

2. Wie kann man sich Ihrer Meinung nach am besten vor Hackerangriffen durch künstliche Intelligenz (KI) schützen? Wie bereiten Sie die Studierende darauf vor?

In der IT-Sicherheit und vor allem in der Kryptographie geht man von einem planvollen und bösartigen Angreifer aus, der intelligenter als man selbst ist. Dies macht die IT-Sicherheit auch so faszinierend. Geht man mit dieser Sicht, die wir auch Studierenden vermitteln, an Sicherheitsfragen heran, dann ändert sich durch KI nicht so viel. Wenn man aber Schutzmaßnahmen nur entlang von Vorfällen der Vergangenheit entwirft, so hat der Angreifer immer einen Vorsprung, wenn er sich etwas Neues ausdenkt und dieses Katz-und-Maus-Spiel wird sich durch KI zugunsten des Angreifers verschieben. Zusätzlich wird es Angriffe geben, wie etwa personalisierte Phishing-Mails, die man mit KI massenhaft produzieren kann, in der Vergangenheit mussten das Menschen machen.

3. Künstliche Intelligenz wird in den Medien oft als Bedrohung angesehen. Welche Chancen kann sie auch eröffnen?

Natürlich kann man KI auch zur Verteidigung von IT-Systemen einsetzen. Etwa bei der “Intrusion Detection” wird durch KI schneller klar, ob ungewöhnliche Vorkommnisse im Firmennetz ein Angriff sind. Die Erkennung von Phishing-Mails wird sich stark verbessern. Da aber Angreifer und Verteidiger KI verwenden ist noch nicht klar, wem es mehr nutzt. Ich habe hier leider einen Verdacht. Insbesondere glaube ich, dass IT-Sicherheitsmethoden keinesfalls NUR mit KI funktionieren sollten.

4. Wie sehen Sie die Entwicklung von Künstlicher Intelligenz und Lernenden Systemen in den nächsten fünf Jahren?

Hier werden noch einige Dinge passieren, die uns in Erstaunen versetzen, Dinge, die wir jetzt nicht für möglich halten. Vielleicht sind wir nicht mehr weit davon entfernt, dass eine Maschine den Turing-Test besteht, sich also so natürlich unterhält, dass menschliche Tester sie nicht von einem echten Menschen unterscheiden können. Aber in den nächsten fünf Jahren werden auch die Grenzen von KI-Systemen deutlich werden. Menschen versuchen Kausalitäten zu verstehen und derzeitige KI-Systeme funktionieren hauptsächlich über Korrelationen (weshalb sie auch so viele Daten zum Lernen benötigen). Schon jetzt sieht man mitunter groteske Fehlleistungen von KI-Systemen. Was KI-Systeme können und wo wir (noch) auf andere Techniken bauen sollten, das wird in den nächsten Jahren klarer.

5. Zum Schluss noch eine „persönliche“ Frage – zur Digitalisierung Ihres Alltags: Welche Maßnahmen ergreifen Sie im beruflichen und privaten Alltag, um sich sicherer im Internet zu bewegen?

Ich glaube das weitgehende Trennen von beruflicher und privater IT ist wichtig, um meine beruflichen Daten zu schützen. Zusätzlich sollte man grundlegende Regeln beachten, etwa die Software aktuell halten, gute Passwörter verwenden und dasselbe Passwort nicht mehrfach verwenden. Bei BSI-fuer-buerger.de bekommt man noch mehr nützliche Hinweise. Diese sollte man beherzigen, denn “mir passiert schon nichts” ist der falsche Ansatz.

(NL01/2020)