Noch ein kleiner Informationssplitter, der mir die Tage untergekommen ist. Die Ex-Chefin der US-Sicherheitsagentur CISA, Jen Easterly, ist gerade mit einer besonderen These aufgefallen. Sie meint, dass KI künftig Schwachstellen so schnell fixt, dass Sicherheitsteams obsolet werden könnten.
Wer ist Jen Easterly?
Jen Easterly war laut Biographie (und hier) Direktorin der Cybersecurity and Infrastructure Security Agency (CISA) und wurde im April 2021 von Präsident Biden nominiert und am 12. Juli 2021 vom Senat in dieser Position bestätigt. Inzwischen wurde sie von der Trump Administration abgelöst.
Vor ihrer aktuellen Berufung zur CISA-Chefin war Easterly Leiterin des Bereichs Firm Resilience bei Morgan Stanley und dort für die Vorbereitung und Reaktion auf geschäftsbeeinträchtigende Betriebsstörungen und Risiken für das Unternehmen verantwortlich.
Die Dame war bei der US-Armee 20 Jahre im Bereich Cybersicherheit aktiv, und war für zwei Amtszeiten im Weißen Haus, zuletzt als Sonderassistentin von Präsident Obama und Senior Director für Terrorismusbekämpfung tätig. Außerdem war sie stellvertretende Leiterin für Terrorismusbekämpfung bei der National Security Agency.
Man kann dies als typische Verwaltungstätigkeiten im Staatsdienst, allerdings in leitenden Positionen einzusortieren. Möchte ich nicht abqualifizieren, sie hat den Blick für das Große Ganze. Würde ich jetzt aber eher nicht als Position mit vertieftem Verständnis für die Möglichkeiten von LLMs oder Detailkenntnissen in Software-Entwicklung und Schwachstellenanalyse verorten. So viel zur Einordnung folgender Aussagen.
Cyber-Sicherheitsteams werden obsolet
Die Tage bin ich über nachfolgenden Tweet von Nicolas Krassas, Head of Threat & Vulnerability Mgmt @ Henkel AG & Co. KGaA, auf das Thema gestoßen, welches von The Register im Beitrag Ex-CISA head thinks AI might fix code so fast we won't need security teams aufbereitet wurde.
Auf der Anwenderkonferenz von AuditBoard in San Diego sagte Easterly, dass sich die Bedrohungslage ständig weiterentwickelt. Aber die Ex-CISA-Chefin glaubt, dass KI das Ende der Cybersicherheitsbranche bedeuten könnte. Denn AI könne schlampige Software und Schwachstellen, auf die Cyberkriminelle setzen, schneller als je zuvor aufspüren.
Sie weist berechtigt darauf hin, dass klingende Namen wie "Fancy Bear" oder "Scattered Spider" sowie Ausdrücke wie "fortgeschrittene persistente Bedrohung" die Tatsache verschleierten, dass Angreifer überwiegend dieselben Arten von Schwachstellen ausnutzen, die die Branche seit Jahren plagen. Chinas Volksbefreiungsarmee verlasse sich nicht auf exotische Cyberwaffen, sondern nutze einfach Schwachstellen in Routern und anderen Netzwerkgeräten, um im Falle eines Krieges gegen Taiwan die Grundlage für einen groß angelegten Angriff zu schaffen.
Tatsache sei auch, dass Cross-Site-Scripting, unsichere Speichercodierung, SQL-Injection, Directory Traversal nach wie vor fester Bestandteil der Schwachstellen bei ausgelieferter Software ist. Das liege daran, dass Softwareunternehmen darauf bestanden hätten, dass ihre Kunden alle Risiken tragen, und die Regierung und Aufsichtsbehörden davon überzeugen konnten, dass dies akzeptabel sei. Dieser Gedankengang ist in meinen Augen nicht von der Hand zu weisen.
Die Verbreitung von Daten, Plattformen und Geräten bedeute, dass "wir die Angriffsfläche für Cyber-Bedrohungen wie China, Russland, Iran, Nordkorea und Banden von Cyberkriminellen vergrößert haben", sagt Easterly.
"Wir haben kein Problem mit der Cybersicherheit. Wir haben ein Problem mit der Softwarequalität", sagte Easterly. Der Hauptgrund dafür sei, dass Softwareanbieter der Markteinführung und Kostensenkung Vorrang vor der Sicherheit einräumten. Passt perfekt zu meinem Beitrag Absturz der Softwarequalität: Normalisierung einer Katastrophe.
KI mache Angreifer leistungsfähiger, helfe ihnen dabei, heimlichere Malware und "hyper-personalisiertes Phishing" zu entwickeln und Schwachstellen und Fehler schneller zu erkennen und aufzudecken. Die CISA habe mit einem eigenen KI-Aktionsplan reagiert. Easterly glaubt, dass wenn man das richtig angehe, könne man tatsächlich das Gleichgewicht in Sachen Cybersicherheit zugunsten der Verteidiger und Beschützer verschieben.
Dazu gehören die Erkennung, Gegenmaßnahmen und das Lernen aus Angriffen, aber auch die Identifizierung von Schwachstellen und die Gewährleistung der Sicherheit von Software durch deren Design. Easterly wird von The Register so zitiert: "Wenn wir in der Lage sind, diese unglaublich leistungsstarken Technologien auf sichere Weise zu entwickeln, einzusetzen und zu verwalten, wird dies meiner Meinung nach zum Ende der Cybersicherheit führen." Damit meinte Easterly laut The Register, dass eine Sicherheitsverletzung eine Anomalie wäre und nicht zu den Kosten der Geschäftstätigkeit gehören würde.
Laut Jen Easterly biete KI eine Möglichkeit, dieses Problem anzugehen, da KI weitaus besser als Menschen darin sei, Fehler im Code aufzuspüren und zu identifizieren. Und es wäre möglich, die aufgehäufte Technische Hypothek anzugehen, den ein "wackeliges Durcheinander aus übermäßig gepatchter, fehlerhafter Infrastruktur" hinterlassen habe.
"Ich denke, die gute Nachricht ist, dass die derzeitige Regierung weiterhin die Idee der Sicherheit durch Design für Software im Allgemeinen unterstützt.", wird sie zitiert. Der Clou sei, dass der kürzlich veröffentlichte KI-Aktionsplan des Weißen Hauses speziell auf Cybersicherheit und die Notwendigkeit von KI-Systemen eingeht, die mit Sicherheit als oberster Priorität erstellt, entworfen, entwickelt, getestet und geliefert werden.
Auf die Frage von Richard Marcus, CISO von AuditBoard, was für das nächste Jahr am wichtigsten sei, antwortete Easterly, dass der Schlüssel zur Verringerung von Software-Risiken darin liege, höhere Anforderungen an Software-Anbieter zu stellen. "Dort entsteht das Risiko, und dort haben wir durch alles, was Sie alle tun, die Macht und die Fähigkeit, dieses Risiko auf sehr wesentliche Weise zu verringern."
Meine Gedanken dazu
Das sind alles keine falschen Gedanken. Aber ich bin nicht so sicher, wie blauäuig und KI-gläubig solche Aussagen sind. Natürlich können wir neue Software möglicherweise mit Hilfe von KI ein wenig sicherer machen, weil Schwachstellen automatisiert gefunden werden. Aber Hand aufs Herz, die Welt ist doch ein wenig bunter.
- Da laufen Uralt-Systeme, die auch durch noch so viel KI kein Stück sicherer werden, da es keine Updates und keine Dokumentation über ihr Verhalten gibt.
- Ein fest kodiertes Passwort für den Techniker, oder das nicht angepasste Standard-Kennwort für die Zugang während der Inbetriebnahme reichen für eine Übernahme.
- Ein per Social Engineering ausgetrickster oder mit etwas Geld gekaufter Anwender und Supporter reichen, um ganze Organisationen zu kompromittieren und zu infiltrieren. Da braucht es keine Schwachstellen. Gruppen wie Lapsus$ oder der Salesforce-Hack zeigen doch, wie Hacks auf einfachstem Niveau funktionieren.
- Wir packen immer mehr Anwendungen und Daten in die Cloud und bekommen von den Herstellern dann noch KI drüber gestülpt, wo Daten en Mass ausgewertet werden. Ein unverschlüsseltes und ungesichertes Backup in der Cloud, und die Daten liegen offen. Gerade im Beitrag Sicherheit: AI-Browser und Copilot-Schwachstellen noch das nächste Fass skizziert, was Sicherheitslücken in Bezug auf Datensicherheit aufreißt.
So schön es wäre, wenn KI unsere Software-Landschaft etwas sicherer machen könnte, so sehr hege ich Zweifel, dass sich da etwas in meiner noch verbleibenden Lebensspanne ändert wird. Von daher klingen die Aussagen der Ex-CISA-Chefin wie typische Sonntagsreden aus der Politik, die mit der Praxis wenig bis nichts zu tun haben. Oder wie seht ihr das so.
MVP: 2013 – 2016
"Ex-Chefin" ist hier das entscheidende wichtige Wort, insbesondere "Ex".
Naja die wurde ja nicht gefeuert weil sie ihre Arbeit schlecht gemacht hat sondern weil Trump sie nicht mag… muss man also schon relativieren!
Und gerade in dem Arbeitsbereich würde ich gechasten Chef/Chefin nicht so ernst sehen. Das ist ein Aufgabenbereich wo man Leuten auf die Füße treten muss, was einem unbeliebt macht!
Typen die in dem Bereich Diplomatie auf Krampf machen (oder Wetterfähnchen spielen) wären mir da weitaus suspekter!
Wer ernsthaft äussert, dass die aktuelle "KI" sicherheitsrelevanten Code fixen könnte, der trägt das "Ex" im Namen mit Recht.
Mit Sicherheit auch nicht schlechter als zum Beispiel die Programmierer von MS ;-P Gute Programmierer suchen ist wie die Nadel im Heuhaufen!
Von Trump nicht gemocht halte ich für ein positives Qualitätsmerkmal.
Naja zumindest zu den Aussagen das all die Angreifer auch nur mit Wasser kochen und mehr oder weniger bekannte Probleme der Softwareenntwicklung ausnutzen, welche durch fehlende Produkthaftung überhaupt erst existieren hat sie nicht unrecht!
*****
Wir haben kein Problem mit der Cybersicherheit. Wir haben ein Problem mit der Softwarequalität
*****
Wie wahr! Nur wissen wir ja über die Qualität von LLM & Co. das wird sich mit dem Code den die Produzieren eher noch verschlimmern.
Wie kann denn überhaupt eine Bloatware ein sinnvolles Level an Qualität haben?
@Jen: Und den Weihnachtsmann gibt es doch, so wie der Storch die Babys bringt.
Bullshit in Reinform
Wenn sie schon Scattered Spider erwähnt: Die kommen nicht über Sicherheitslücken in die Umgebungen ihre Opfer, sondern beschaffen sich legitime Zugangsdaten.
Na dann könnte man in diesem Falle ja feststellen, das das Team Trump gute Gründe hatte, die Dame wieder rauszuschmeißen *lach*
"Das liege daran, dass (Software)-Unternehmen darauf bestanden hätten, dass ihre Kunden alle Risiken tragen, und die Regierung und Aufsichtsbehörden davon überzeugen konnten, dass dies akzeptabel sei."
Dies ist das Grundprinzip der "organisierten Verantwortungslosigkeit", von Politik und Wirtschaft in allen der sog. westlichen "Demokratien". Das wir ggü. Russland, China usw. so angreifbar auf vielen Ebenen sind, hängt eng eben damit zusammen!
Profitgier und "keiner ist für irgendwas verantwortlich" … siehe beispielsweise die 100 Toten von Eschede, die zum Opfer dieser Methodik wurden. Wolfgang Grupp (Trigema) redete seit Jahrzehnten erfolglos dagegen an … weil es eben nicht gewollt ist, "das System" vom Kopf auf die Füße zu stellen. Im Kapitalismus geht IMMER nur und ausschließlich um die Profit-Optimierung. Und um NICHTS anderes !!!
Hatte da nicht auch die Auto-Lobby in den letzten Jahren genau das Gleiche erreicht, was die Verantwortlichkeit für "Fehler" ihrer künftigen autonomen Fahrzeuge betrifft? Der Kunde soll die volle Haftung tragen und dafür bezahlen, wenn der Hersteller Mist programmiert hat und ein Dritter dadurch zu Schaden kommt, Verkehrstote inklusive. Also tragen alle Verkehrsteilnehmer letztlich das was man unter dem Begriff "die Risiken" verharmlosend verklausuliert …
Wenn ich so sehe wie oft sich "Sicherheits"-Systeme wie dieser Spurhalte-Assi, Pre-Crash-System / Abstands-Tempomat) an meinem Fahrzeug, bei Schlechtwetter (Nebel, etwas stärkerer Regen / nässe auf der Fahrbahn, Schneefall, tief stehende Sonne … und und und … durch einen kurzen (leicht übersehbaren) Kommentar verabschieden und dann bloß noch schwach vor sich hin leuchten … dann kommt mir das GRAUEN bei dem Gedanken, das Autos mit solch UNZUVERLÄSSIGER Technik schon bald "autonom" durch die Gegen fahren, und das auch innerhalb geschlossener Ortschaften.
Wie "ernst" man solche Aussagen, wie die von Jen Easterly nehmen kann, zeigt sich für etwas mehr als Durchschnittsintelligente Menschen an vielerlei. Sind KI-Modelle wirklich aus sich heraus "kreativ"? NEIN ! Sie plappern nur das nach, was sie im Netz so alles finden … und verwursteln das auf kreativ erscheinende Weise immer wieder neu zusammen. Da ein Mensch nicht alles kennen und wissen kann, erscheint es ihm so, als wäre die KI kreativ/intelligent. Ist sie aber eher (noch) nicht so wirklich.
Ob es beruhigend ist zu wissen, das auf Arroganz stets die Verdrängung durch was/wen Neues folgt?
Zum Thema kreativ: diese Aussage würde ich so nicht sehen.
Wie kreativ kann ein Mensch sein, wenn er nicht durch seine Erfahrung (sehen, hören, andere Eindrücke) inspiriert wird? Was ist in diesem Sinne Kreativität? Wenn ich einem Diffusion Modell (Visuellem KI Modell) sage, es soll mir ein Tier machen, das eine Mischung aus Löwe und Maus ist, dann kann es so etwas hervorragend lösen – obwohl es sowas nie gesehen hat. Wenn ich dem Modell sage, es soll mir etwas in einem anderen Stil darstellen, dann klappt das inzwischen auch bestens.
Wenn ein Künstler Krixi Kraxi malt, dann wird er gefeiert – für mich sieht es aus wie ein Bild von einer/einem 3 Jährigen.
Wenn ein Künstler in eine Ecke sch…. dann ist das revolutionär. Wenn es ein Kleinkind macht wird es geschimpft.
Wieviele Künstler haben wirklich selbst Stile erfunden/geprägt, die nicht von anderen Künstlern inspiriert waren. Selbst Van Gogh seine Starry Night Sternchen, waren von einem anderen Künstler inspiriert.
Ein SDXL Modell oder ein FLUX oder Qwen Image (Qwen Image Edit) macht eigentlich nichts anderes. Es ist inspiriert von sehr vielen Informationen und mit einem Prompt lenkt man es in eine Richtung. Je nach Modell ist das dann kreativer oder immer eher das selbe Ergebnis (also weniger kreativ). Beides ist erwünscht. Bei manchen Anwendungen möchte ich Konsistenz erreichen (Charaktere sollen immer gleich aussehen) bei anderen möchte ich Kreativität (es soll immer etwas anderes unerwartetes dabei herauskommen)
Intelligenz ist dann nochmal schwieriger zu definieren und da bin ich dabei – das ist schwer zu sagen wo diese beginnt…
Daumen hoch! Keine Kreativität, keine neuen Ideen entstehen aus dem Nichts. Neue Sachen sind meistens nur die Kombination und Verbesserung von Dingen, die vorher noch nicht zusammen gebracht wurden. Ohne Rad keine Kutsch, kein Auto. Ohne Grundlagenforschung kein Transistor.
In der Beziehung ist LLM-KI schon sehr menschlich.
Auch was die Beantwortung von Fragen durch eine KI betrifft, zu der sie nur unzureichend Trainingsmaterial hat, und anfängt zu phantasieren. Insbesondere in Asien kann einem das auch bei Menschen passieren, eine ehrliche Antwort "Ich weiß es nicht" bekommt man dort in so einer Situation oft nicht, statt dessen … ihr wisst schon, und mir schon öfters passiert. Hauptsache, das Gesicht nicht zu verlieren…. Man könnte darüber jetzt weiter philosphieren, ich behaupte mal, die tausende Jahre überlieferten Schöpfungsmythen aller Völker dieses Planeet sind einst so entstanden…
Wir alle wissen, dass es keine 100%ige Sicherheit gibt. Man muss nur die KI hacken, die ein Sicherheitsteam ersetzt. Und die KI, die die Sicherheitsteam-KI überwacht. Und dann die KI, die die KI, die die Sicherheitsteam-KI…
Kann sich so entwickeln, wie die Dame das sieht, aber dann ist es halt Kacke.
Bisschen off-topic, aber das kann mal als Gedankenspiel weiter treiben. Ein Vorstand könnte ebenso ersetzt werden. Eine KI würde Entscheidungen treffen, ohne auf ihre persönlichen Vorteile bedacht zu sein oder sich jemals in ihrem Ego verletzt zu fühlen. Alles zum Wohle des Unternehmens bzw. all der anderen KIs, durch die die meisten Mitarbeiter dann ersetzt wurden. Wir auch immer "Unternehmen" dann definiert sein wird.
www . whitehouse.gov/wp-content/uploads/2025/07/Americas-AI-Action-Plan.pdf
Das müsste der Aktionsplan aus dem "Golden Palace" sein.
Gleich im 1. Abschnitt steht etwas von Regulierung abbauen. Später dann auch was von Sicherheit bei Design aber also so allgemein und ein Blick aus dem Ganzen aber an welcher Stelle genau durch KI technische Hypotheken reduzierten werden sollen, keine Ahnung.
SKYNET ist hocherfreut über solche Aussagen.
++
:D
Godfather of AI: They Keep Silencing Me But I'm Trying to Warn Them!
The Diary Of A CEO
https://www.youtube.com/watch?v=giT0ytynSqg
Hab ich mir gestern Abend angesehen. Finde dieses Interview mit dem Nobelpreisträger als höchst interessant. Sollten sich mehr Leute ansehen.
Kann man dann nämlich auch alles von der anderen Seite aus sehen. AI generiert Schadcode und greift Firmen an. Und die Dame hier im Text beschreibt damit die Abwehr. Fight Fire With Fire!
Uns erwarten definitiv spannende Zeiten. Ob zum Guten oder zum Schlechten!? Ich befürchte, wir werden (zumindest einen Teil davon) noch selber miterleben.
Um Sicherheitslücken zu finden oder Angriffe zu gestalten, könnte ich mir schon vorstellen, dass KI hier etwas weiterbringt. Denn wenn die KI etwas falsch macht / halluziniert, dann ist es ein Fehlschlag und kein Problem. Aber wenn es etwas findet – ist es ein Erfolg.
Die Lücken dann stopfen und somit mehr Sicherheit bringen – sehe ich kritisch. Das geht derzeit nur wenn ein Mensch dann die Qualität sichert. Im Endeffekt bedarf es dann erst wieder Menschen die eine sehr unliebsame Arbeit machen müssen.
Aber angenommen die KI kann wirklich was die Dame meint. Dann wird das immer noch nicht das Problem lösen, dass Millionen Heimuser einen Router haben, der kein Update mehr bekommt – einfach weil das Unternehmen keine Updates programmiert -> um neue Geräte zu verkaufen. Und das ist nur ein Beispiel. Nehmen wir Windows 10. Die User möchten keinen neuen PC kaufen und verwenden daher W10 weiter, das bekommt aber keine Updates mehr (zumindest in vielen Staaten auf der Welt). Hilft eine KI – nein – denn das Problem liegt nicht daran dass man nicht weiß das es unsicher ist…. das Bewusstsein ist schon da …
Ein anderer Gedanke, MS investiert sehr viel in unterschiedlichste KI -> und glänzt es daher in letzter Zeit daher besonders durch erhöhte Sicherheit?
"Um Sicherheitslücken zu finden oder Angriffe zu gestalten, könnte ich mir schon vorstellen, dass KI hier etwas weiterbringt. Denn wenn die KI etwas falsch macht / halluziniert, dann ist es ein Fehlschlag und kein Problem. Aber wenn es etwas findet – ist es ein Erfolg."
Selbst das sehe ich kritisch, dafür sehe ich die Fehlerrate als zu hoch an. Ich habe zuletzt irgendwo einen Artikel gelesen, wo sich der Entwickler von ich meine es war curl darüber beschwert hat, wie viele Bugreports (teilweise auch mit Sicherheitsbezug) er bekommt, die sich dann als KI-Halluzination rausgestellt haben. Wenn das wie bei ihm zu häufig vorkommt, dann bremst das extrem aus, denn die Zeit, die er auf das prüfen von solchen KI-Reports verwendet kann er ja nicht mehr für echte Reports aufwenden.
"ChatGPT, Gemini und andere Chatbots erfinden bis zu 40 Prozent ihrer Antworten und stellen sie als Fakten dar."
Quelle: https://www.tagesschau.de/wissen/technologie/kuenstliche-intelligenz-fakten-100.html
Die Curl-Entwickler nehmen keine Meldungen mehr an, weil die Zahl der KI-Fehlalarme zu hoch ist. WinFuture hatte das Thema auf OSS bezogen in diesem Artikel aufgegriffen.
Und die letzten Wochen werden täglich hunderte npm Pakete mit "Malicious Code" entdeckt. Man braucht nur mal die letzten Tage durch die euvd Datenbank zu scrollen, jedem Softwareentwickler der das nutzt müsste gerade ziemlich zum Kotzen sein.
Ja hatte ich auch gelesen – Das ist sicher ein berechtigter Einwand. Allerdings könnte man KI so weiterentwickeln, dass die solche Lücken selbst abtesten muss.
Kann natürlich nach hinten losgehen, wenn die KI dann frei irgendwo versucht einzubrechen ;-)
Aber ich denke da ist schon noch mehr möglich, da steht man sicher erst am Anfang.
Resourcentechnisch, ist das natürlich dann schon eine wichtige Frage. Wieviel Versuche – wieviel Strom – wieviel Rechner möchte ich dafür verwenden um so eine Lücke zu finden.
OK und warum sollte Win10 unsicherer sein? Also meine Rechner hängen hinter nem Router mit NAT danach kommt ne Hardware Security Appliance; Mail Messanger Browser sind weiterhin aktuell und bekommen Patches Win10 ist gehärtet… da muss ein Angreifer erstmal dran vorbei um ans OS zu gelangen…. schafft er das oder schafft er das weil ich zu blöd bin und auf alles klicke was da reinkommt, spielt das OS keine Rolle mehr das Problem ist bei Win11 25H2 das Gleiche… oder Linux oder MacOS/iOS… ist er drinn, gibts kein halten mehr!
und nochmals wie kommst du auf den Schuh das Win10 keine Patches mehr kriegt die letzte Win10 Version geht 2032 EOL! Und das ist auch nur ein Win10 OS auf der gleichen Basis… also passen die Patches auch für jedes andere Win10… MS kastriert da lediglich die Abfrage.
JA richtig Dumbbäckchen bekommt das eben nicht einfach so durch den Update Dienst, sondern muss selbst aktiv werden.
Dumbbäckchen – was immer das sein soll – war jetzt auf deine Rechtschreibung bezogen, nehme ich an?
Vielleicht war Win10 ein schlechtes Beispiel. Obwohl es sicher Tausende oder Millionen gibt, die einfach Win10 nächstes Jahr nicht updaten werden. Sich nicht registrieren (oder ein Win10 installieren, das noch Updates erhält) und somit kein Update bei der nächsten bekannten kritischen Sicherheitslücke bekommen. Es geht auch gar nicht ob sie es gebacken bekommen. Sie wollen sich oder können sich einfach nicht damit beschäftigen. Sind vielleicht einfach durch reines Überleben (Arbeiten Erst/Zweitjob Familie Kinder Elternbetreuung günstigere Wohnungssuche – Suche nach Schnäppchen im Sozialmarkt oder andere Interessen) davon abgehalten Stunden/Tagelang die neuesten Umgehungsmethoden zu recherchieren – so wie es hier im Forum viele machen.
Es ging ja darum dass eben viele Router oder eben dann auch veraltete Betriebssysteme offen stehen, die dann von einer "bösen" Macht missbraucht werden können und zu Angriffen auch auf gut gesicherte System führen. Was nützt einem Server das neueste Update, wenn er von Millionen Routern in die Knie gezwungen wird…
Von der Hand zu weisen ist die Prognose der Ex-Chefin der US-Sicherheitsagentur nicht. Viele, die heute glauben, in der IT einen sicheren Job gefunden zu haben, werden in nicht allzu ferner Zukunft wahrscheinlich eines Besseren belehrt werden. Die Frage ist, über welchen Zeithorizont wir reden. Das finde ich schwierig zu prognostizieren. Klar ist: Aktuell hapert es beim KI-Zeugs häufig und deutlich an Qualität und Zuverlässigkeit.
Technik-Kolumnist Ji-Hun Kim hat in diesem Zusammenhang bezogen auf den jüngsten großflächigen Ausfall der Amazon-Cloud eine interessante These formuliert. Ji-Hun Kim schreibt:
Es gibt "Berichte, die besagen, dass AWS in der jüngeren Vergangenheit rund 40 Prozent des DevOps-Teams entlassen haben soll. Diese Stellen wurden durch KI ersetzt. DevOps sind jene Spezialisten, die Softwareentwicklung (Development) und IT-Betrieb (Operations) miteinander verbinden – und eben für solche Fälle gebraucht werden, wenn plötzliche Probleme in der Infrastruktur auftauchen. Bis hierhin ist das zwar Spekulation, aber die Frage ist gerechtfertigt, ob es überhaupt je zu einem solchen Totalausfall gekommen wäre, wenn ausreichend kompetente Menschen mit der Problemlösung beauftragt gewesen wären."* – Das ist der Punkt, um den es sich dreht: Wann wird KI in der Lage sein, diese spezifisch menschlichen Kompetenzen zu ersetzen, die IT-Spezialisten sich im Rahmen ihrer beruflichen Tätigkeit über Jahre und Jahrzehnte aneignen?
______________________
* Die ganze Kolumne von Ji-Hun Kim mit den schönen Titel "Das Internet ist eine Konzernzentrale" kann man auf monopol-magazin.de nachlesen:
h**ps://www.monopol-magazin.de/aws-amazon-ausfall-das-internet-ist-eine-konzernzentrale
Naja, wie soll denn KI Software sicherer machen, wenn Programmcode, der von einer KI erzeugt wurde, schon unsicher ist?
Um Software sicherer zu machen, müsste die KI erst einmal selbst sicheren Programmcode erzeugen.
Und das sehe ich auch mittelfristig nicht.
Und selbst wenn die KI Probleme erkennt, ist sie dann auch in der Lage, diese Probleme selbst zu lösen?
Meist wohl nicht, da sie keine Ahnung hat, was ihre Lösung denn für Implikationen auf Software und Unternehmensnetzwerke hat.
Evtl. sind da andere Lösungen gefragt, die die KI aber nicht kennt oder verwirft, weil die aus Sicht der KI im Wahrscheinlichkeitsmodell nachrangig sind.
Ob die KI auch auf die Firmware der Billig-Hardware aus dem Top-Hersteller Land angewendet wird?
Obwohl die KI aus genau dem Land kommt, dass die Importe hoch verzollt und dort die Angreifer sieht?
Und das Top-Hersteller Land die KI-Chips nicht kaufen darf?
"Die KI".
Als pauschale Lösung. Wird ganz sicher nicht pauschal die Sicherheit erhöhen.
Das braucht wie bisher Grips und Arbeit. Vergleich: Sonst wäre durch die Existenz des BSI in Deutschland ein Cyberangriff nur noch eine Anomalie.