Schlagwortarchiv für: Cybersecurity

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als “verantwortlich” einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

Vor dem Hintergrund der stetig zunehmenden Gefahren durch Cyberangriffe stehen Unternehmen und Organisationen vor folgenden Fragen:

  • Ist mein Unternehmen ausreichend gegen Cyberangriffe abgesichert?
  • Welche nicht bekannten Lücken und Schwachstellen schlummern in der Unternehmens-IT und gefährden meine Geschäftsprozesse oder stellen ein signifikantes Risiko für mein Unternehmen dar?
  • Wie kann ich die Informationssicherheit in meinem Unternehmen möglichst ohne zusätzliche Kosten erhöhen und auf den Stand der Technik bringen?

Gerade mittelständische und kleinere Unternehmen (KMU) haben oft aufgrund geringer personeller IT-Kapazitäten, fehlender Expertise für IT-Security und begrenzten Budgets Schwierigkeiten, das Thema ganzheitlich anzugehen und die Informationssicherheit durchgängig auf ein angemessenes Schutzniveau zu bringen.

Die Auslagerung von Teilen oder aller wesentlichen Aufgaben für Informationssicherheit an einen externen Spezialisten – ein sogenanntes Security Operation Center (SOC) oder Cyber Defense Center (CDC) – bietet hier einen Lösungsansatz, der flexibel an die Anforderungen jedes Unternehmens angepasst werden kann.

Ein SOC/CDC ist dabei ein auf Informationssicherheit spezialisierter Dienstleister, der an die IT des Unternehmens angebunden ist und als eine Art Sicherheitsleitstelle große Teile oder auch nur selektiv bestimmte Security-Services übernimmt, die normalerweise durch die IT-Abteilung im Unternehmen abgedeckt werden müssten:

  • Sicherheitsbezogene Überwachung der Unternehmens-IT
  • Proaktive Adressierung von Bedrohungslagen durch Threat Intelligence
  • Erkennung und Beseitigung von Schwachstellen in den IT-Systemen und -Prozessen
  • Erkennung und Alarmierung bei Cyber-Angriffen
  • Abwehrmaßnahmen und Schadenbegrenzung
  • Kundenbezogene Unterstützung und Reporting zu Sicherheitsthemen

In den Räumlichkeiten des SOC/CDC-Dienstleister arbeiten dafür im 24×7 Betrieb hochspezialisierte Experten für Cybersecurity, u.a. Security Architekten, Analysten, Forensiker, die wie in einem Kommandostand in realtime auf Bildschirmen sämtliche sicherheitsbezogene Informationen angezeigt bekommen und bei Auffälligkeiten sofort reagieren können.  Die Arbeitsweise ist dabei durch optimale und integrierte Toolunterstützung, hohen Automatisierungsgrad der Analysen als auch durch die optimale Teamstruktur und Kommunikation des SOC-Teams gekennzeichnet.

Je nach konkreter Anforderungslage eines Kunden können verschiedene Service-Modelle der Zusammenarbeit definiert werden, die es ermöglichen, nur bestimmte Teile, oder nahezu alle Sicherheitsleistungen an den SOC/CDC-Dienstleister auszulagern. Die Vorteile der Nutzung eines SOC/CDC liegen dabei klar auf der Hand:

  • Schnelle und wirksame Reaktion durch Automatisierung und Einsatz von Spezialisten
  • Schutz gegen die aktuelle Bedrohungslage
  • Kontinuierliche Dokumentation und Nachvollziehbarkeit
  • Kein Aufbau von internem Personal erforderlich
  • Ganzheitliches Absicherungskonzept und maßgeschneiderte Lösungen möglich je nach Kundenanforderungen
  • Nachweisbare Einhaltung der gesetzlichen Vorgaben und Compliance

Insbesondere für kleinere Unternehmen und Mittelständler (KMU) eröffnet die Auslagerung wesentlicher Leistungen für IT-Sicherheit an einen externen Spezialisten die Möglichkeit zur Erreichung eines hohen Schutzniveaus und IT-Security nach Stand der Technik. Durch die unterschiedlichen Servicemodelle und großer Flexibilität können die Leistungen eines SOC-Dienstleisters ideal auf die Kundenanforderungen zugeschnitten werden. Ein Aufbau zusätzlicher interner Ressourcen bzw. Experten für Informationssicherheit ist in der Regel nicht erforderlich.