Schlagwort: Security

News KW40-2023: Stöhnen über DSGVO, Handlungsbedarf bei kritischen Infrastrukturen und KI-News

Welche Themen beschäftigen derzeit Wirtschafts- und IT-Fachpresse? Hier unser Überblick:

Deutsche Unternehmen stöhnen über die DSGVO | Computerwoche
BSI-Umfrage: Kritische Infrastrukturen haben Nachholbedarf bei IT-Sicherheit | heise online
Microsoft startet KI-Assistent Copilot | Handelsblatt
ChatGPT: Generative KI befindet sich auf dem Weg ins Tal der Ernüchterung, Gartner | Computerwoche
Auch Amazon und SAP setzen auf GenAI | FAZ & Wirtschaftswoche

Am Ende des Blicks in den Markt möchte ich noch auf ein neues wöchentliches Experten-Briefing der FAZ zu KI, Digitalisierung und weiteren Digitalthemen hinweisen, das man sich als Newsletter abonnieren kann.

Deutsche Unternehmen stöhnen über die DSGVO

Der Bitkom hat gerade eine repräsentative Umfrage zum Thema DSGVO durchgeführt. Das Ergebnis: Die Unternehmen finden das Regelwerk zu kompliziert, fühlen sich kaum in der Lage, den Anforderungen hinterher zu kommen oder die eigenen Mitarbeiterinnen und Mitarbeiter zu schulen. Auch gab jedes befragte Unternehmen an, dass wegen der Datenschutzanforderungen Projekte gescheitert oder gar nicht angegangen worden seien. Der Bitkom fordert deshalb eine Vereinfachung und Vereinheitlichung der Vorschriften, so die Computerwoche.

BSI-Umfrage: Kritische Infrastrukturen haben Nachholbedarf bei IT-Sicherheit

Eine Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt, dass Betreiber kritischer Infrastrukturen in Deutschland bei der Umsetzung der gesetzlichen IT-Sicherheitsvorgaben noch Nachholbedarf haben. Dies gilt insbesondere für organisatorische Maßnahmen wie die sichere Dokumentenerstellung und die Einführung von Security Operations. Als Hauptgründe für die unvollständige Umsetzung der gesetzlichen Anforderungen gelten Personal- und Geldmangel. Insbesondere KMU und Betriebe mit geringer oder mittlerer Vertrautheit mit den Gesetzen beklagen zudem die Zeitknappheit und zu kurzfristige Änderungen.

Die Umfrage zeigt auch, dass die Bedrohungslage für kritische Infrastrukturen in Deutschland weiter zunimmt. Sieben von zehn Unternehmen nehmen nach eigenen Angaben eine erhöhte IT-Bedrohungslage wahr. Die Ergebnisse der BSI-Umfrage zeigen, dass die IT-Sicherheit kritischer Infrastrukturen in Deutschland weiter verbessert werden muss. Dies erfordert die Bereitstellung von ausreichenden Ressourcen und die Schaffung geeigneter Rahmenbedingungen für die Umsetzung der gesetzlichen IT-Sicherheitsvorgaben, so der Bericht auf heise online.

Microsoft startet KI-Assistent Copilot

Microsoft hat seinen neuen KI-Assistenten Copilot vorgestellt und sich ehrgeizige Ziel gesetzt: „Als ich vor 30 Jahren gestartet bin, wollten wir Computer in jeden Haushalt bringen. Heute wollen wir Copilot in jedes Gerät bringen“, so Microsoft-Chef Satya Nadella. Der Assistent soll in Windows 11 und den Office-Programmen integriert werden und unter anderem Texte verfassen, Übersetzungen durchführen, E-Mails schreiben und Präsentationen erstellen, aber auch komplexe Aufgaben erledigen können.

Microsofts KI-Assistent Copilot wird ab dem 1. November in Word, Excel und Teams für Firmenkunden verfügbar sein. Privatkunden erhalten den Assistent später im Jahr. Analysten gehen davon aus, dass der Markt für KI-Assistenten in den nächsten Jahren stark wachsen wird und Microsoft und Google um die Vorherrschaft in diesem Bereich ringen werden.

Überraschend diese Grafik, die das Handelsblatt in seinem Beitrag zu Copilot eingebunden hat. Demzufolge hat Google im Markt für Bürosoftware weltweit den höheren Marktanteil, weltweit, wohl aber nicht in Deutschland.

ChatGPT: Generative KI ist aktuell auf dem Höhepunkt der Erwartungen, aber befindet sich auf dem Weg ins Tal der Ernüchterung

In Gartners Hype Cycle für aufstrebende Technologien befindet sich Generative KI derzeit auf dem Höhepunkt der Erwartungen, berichtet die Computerwoche. Dies bedeutet, dass diese Technologie von vielen als vielversprechend betrachtet wird, aber noch nicht vollständig ausgereift ist. ChatGPT, das von OpenAI. entwickelte und von Microsoft gesponsorte Sprachmodell, hat in den letzten Jahren für Aufsehen gesorgt, da es in der Lage ist, qualitativ hochwertige Inhalte zu erstellen, Texte, Codes, Skripte, Musikstücke, E-Mails, Briefe usw. zu generieren.

Allerdings ist ChatGPT noch in der Entwicklung ist, macht durchaus Fehler und kann auch missbraucht werden, beispielsweise um gefälschte Nachrichten oder bösartige Software zu erstellen. Es ist wichtig, sich dieser potenziellen Risiken dieser Technologie bewusst zu sein. Laut Gartner wird Generative KI in den nächsten Jahren wahrscheinlich einen „transformativen Nutzen“ erzielen. Allerdings ist es auch möglich, dass die Technologie aus genannten Gründen vorerst ins Tal der Ernüchterung stürzt, bevor sie sich auf einem realistischen Level der produktiven Nutzung etablieren kann.

Auch Amazon und SAP setzen auf GenAI

Doch nicht nur OpenAI, Microsoft und Google beackern das Feld der Generativen KI. Beispielsweise waren auch Amazon und SAP in den vergangenen Tagen mit ihren Plänen in den Schlagzeilen. Mit einem strategischen Milliarden-Investment in Anthropic will Amazon in Sachen KI zu Microsoft und Open AI und Google aufschließen. Im Gegenzug für das Investment werden die Amazon Web Services zum bevorzugten Cloud-Provider für Generative-AI-Lösungen von Anthropic, so berichtet die FAZ.

Auch SAP startet mit Joule seinen eigenen Sprachbot. Kunden sollen mit seiner Hilfe Daten quer durch alle SAP-Anwendungen abfragen können. Joule erschließt dabei nicht generell verfügbare Daten aus dem Internet, sondern fokussiert sich auf die in der SAP-Software schlummernden Firmendaten. Joule verstehe den betriebswirtschaftlichen Kontext und werde Geschäftsabläufe von Unternehmen und die Arbeitsweise ihrer Mitarbeitenden tiefgreifend verändern. So zitiert die Wirtschaftswoche den SAP-Vorstandschef Christian Klein.

Die FAZ startet wöchentliches Experten-Briefing zu KI, Digitalisierung und mehr

Zum Abschluss dieser Ausgabe sei noch auf D:Economy, eine neuen Informationsdienst der FAZ hingewiesen. Jeden Mittwoch verschickt ein Redaktionsteam rund um Holger Schmidt einen ausführlichen Newsletter und informiert zu aktuellen Themen rund um KI, digitale Transformation, Plattformökonomie oder auch Mobility. Dies ist eine hervorragende Quelle, um über all diese Themen informiert zu bleiben. Die Artikel sind danach auch online verfügbar. Für manche Beiträge braucht man allerdings ein F+-Abonnement.

News KW36-2023 zu Software und Betriebsrat, Cloud, Daten in die USA …

Unsere Zusammenfassung der interessantesten News: Der überforderte Betriebsrat und Software, Illusion Sicherheit und Cloud, Daten in die USA und mehr.

Welche Themen beschäftigen derzeit Wirtschafts- und IT-Fachpresse? Hier unser Überblick:

Was Unternehmen bei der Einführung der KI beachten sollten | Handelsblatt
Das ewige Update: Immer neue Software und KI überfordern Betriebsräte | Handelsblatt
Sicherheit in der Cloud ist nur eine Illusion | Wirtschaftswoche
Daten in die USA schicken? Das müssen Unternehmen und Behörden jetzt beachten | heise
Microsoft löst Teams aus Office-Paketen heraus | Der Spiegel
Deutsche Unternehmen halten Gefahr aus China für unterschätzt | FAZ

Außerdem befinden sich am Ende des Blicks in den Markt noch einige kurze Hinweise auf weitere interessante Nachrichten.

Was Unternehmen bei der Einführung der KI beachten sollten | Handelsblatt

Im Bereich der Künstlichen Intelligenz (KI) erkunden Unternehmen wie McKinsey, Bosch und dm Möglichkeiten zur Verbesserung der Wissensarbeit. 70 Prozent der IT-Abteilungen befinden sich laut Gartner in der Erkundungsphase für generative KI-Modelle wie ChatGPT und testen, wie gut die GenAI-Werkzeuge für die Suche und Zusammenfassung von Inhalten aus unstrukturierten Daten wie Texten und Präsentationen, zur Erstellung von Inhalten wie Text, Bild und Video, den Kundenservice per Chat oder das Erstellen von Programmcode geeignet sind. Trivial sei die Einführung nicht: Programme wie ChatGPT produzierten regelmäßig Fehler, seien eine Herausforderung für den Datenschutz und bräuchten stichhaltige Daten. Das Handelsblatt fasst wichtige Fragen und Antworten in einem Überblick zusammen. Mehr hier im Beitrag des Handelsblatts.

Das ewige Update: Immer neue Software und KI überfordern Betriebsräte | Handelsblatt

Ein ganz besonderen Themas greift das Handelsblatt auf: Wenn neue Software in Unternehmen eingeführt wird, muss der Betriebsrat zustimmen, wenn die Software das Verhalten oder die Leistung der Arbeitnehmer überwachen könnte. Dies fällt unter das Mitbestimmungsrecht des Betriebsrats. Doch Software aktualisiert sich heutzutage in immer schnelleren Abständen, neue Versionen sind immer weniger nachvollziehbar – weil sie sich von den firmeneigenen Servern in die Cloud von Anbietern wie Amazon, Microsoft oder Google verlagern. Die Betriebsräte sind meist überfordert. Derzeitige Gesetze und Vorschriften sind oft nicht ausreichend, um den Datenschutz in der Ära der KI zu gewährleisten. Deshalb wird über ein umfassenden Beschäftigtendatenschutzgesetzes diskutiert. Hier ist der Bericht des Handelsblatts.

Sicherheit in der Cloud ist nur eine Illusion | Wirtschaftswoche

Thomas Kuhn kommentiert hier in der Wirtschaftswoche unter der Überschrift Sicherheit in der Cloud ist nur eine Illusion! den Datendiebstähle und anderen Vorkommnisse bei Cloud-Anbietern. Sein Resümee:

„Shared Responsibility“, geteilte Verantwortung, heißt der Begriff, dessen Brisanz vielen Cloud-Nutzern nicht bewusst ist. Die Anbieter sind demnach zwar für die Verfügbarkeit der Infrastruktur zuständig, die Verantwortung für die Sicherheit der Daten und Anwendungen aber bleibt weiter bei den Kunden.

Daten in die USA schicken? Das müssen Unternehmen und Behörden jetzt beachten | heise

Das EU-US Data Privacy Framework ist ein neues Datenschutzabkommen zwischen der EU und den USA, das seit dem 10. Juli 2023 in Kraft ist. Es soll den Datentransfer in die USA unter bestimmten Bedingungen erlauben. Die Datenschutzkonferenz (DSK) hat Anwendungshinweise für Unternehmen, Behörden und Bürger veröffentlicht, die Daten in die USA übermitteln oder ihre Rechte wahrnehmen wollen. Das Abkommen ist jedoch umstritten und könnte erneut vor Gericht landen, berichtet heise.

Microsoft löst Teams aus Office-Paketen heraus | Der Spiegel

Microsoft löst die Verflechtung seines Videokonferenz-Programms Teams mit der Bürosoftware Office auf, um Bedenken der EU-Wettbewerbshüter auszuräumen und bietet künftig eine günstigere Office-Version ohne Teams an, während die Einbindung von Teams-Konkurrenzprodukten verbessert wird. Die EU hat die Maßnahmen zur Kenntnis genommen, lehnte jedoch einen weitergehenden Kommentar ab. “Bestehende Kunden können entscheiden, ob sie in ihren bisherigen Verträgen bleiben oder in die billigere Version ohne Teams wechseln”, schreibt Der Spiegel. Bestehende Kunden müssen also nichts ändern, um Teams wie gehabt zu bisherigen Konditionen zu nutzen. Nur Neukunden können Office ohne Teams erwerben. So what …

Größte Übernahme seit 5 Jahren: SAP kauft Softwaremanagement-Firma Leanix | Handelsblatt

SAP hat das Bonner Software-Start-up Leanix gekauft. Mit der Plattform von Leanix können Unternehmen ihre IT-Landschaft “vermessen”. Das System verzeichnet weitgehend automatisch, welche Programme in welchen Versionen zum Einsatz kommen und ob einige davon veraltet sind. Gründer und Chef André Christ bezeichnete das Konzept mal als “Google Maps für die IT”. Die Übernahme ist für SAP der größte Deal seit rund fünf Jahren. Die Deutsche Telekom gehört zu den bisherigen Investoren, die nun vom Verkauf profitieren. Der Kaufpreis entspricht marktüblichen Bewertungen und wird bei der Übernahme mit knapp 1,2 Milliarden Euro bewertet. Mehr hier im Handelsblatt.

Deutsche Unternehmen halten Gefahr aus China für unterschätzt | FAZ

Laut einer repräsentativen Umfrage des Digitalverbands Bitkom unter 1002 Unternehmen aus verschiedenen Branchen werden Russland und China immer stärker zur Basis für Cyberangriffe auf die deutsche Wirtschaft. 46% der betroffenen Unternehmen konnten einen Angriff nach Russland zurückverfolgen, während 42% aus China angegriffen wurden. Dies ist ein Anstieg gegenüber 2021, als 23% der Opfer russischer und 30% chinesischer Angriffe waren. Der Vizepräsident des Bundesamtes für Verfassungsschutz, Sinan Selen, warnte auf einer Pressekonferenz, dass staatlich gesteuerte Kampagnen aggressiver und agiler vorgehen würden. Die Angreifer würden schnell und oft die verwendete Infrastruktur wechseln, ihre Attacken verschleiern und hätten einen langen Atem. Der Schaden beträgt laut Bitkom 206 Milliarden Euro, wie die FAZ hier berichtet.

An Zero Trust führt kein Weg vorbei – Simon Taylor (Microsoft) und Dominik Bredel (Kyndryl) im Gespräch

Die aktuellen weltpolitischen Geschehnisse zwingen nicht nur Staaten, sondern auch Unternehmen jeder Größe dazu sich mit der Sicherheit seiner IT auseinander zu setzen. Hierbei wird immer wieder das Konzept „Zero Trust“ angesprochen. Doch was genau ist „Zero Trust“. In folgenden Kyndryl Talk erklären Dominik Bredel – Associate Partner bei Kyndryl und Simon Taylor – Cloud Security Architekt bei Microsoft das Konzept Zero Trust.

Viel Spaß beim Anschauen:

Die IT-Welt hat sich in den letzten Jahrzenten stark verändert. Im vergangenen Zeitalter der Großrechner wurden Daten von many-to-one transportiert. Heute in Zeiten von Hybrit- und Multicloud werden Daten an unzählbaren Punkten gesammelt und weiter transportiert (many-to-many). Diese Daten, die überall entstehen müssen, geschützt werden. Hier kommt das Konzept von Zero Trust ins Bild. Eine Umfrage des Cyber-Security Insider zeigt, das Zero Trust kein Buzzword ist, sondern eine Security Konzept, für modernen IT-Landschaften.

Zero Trust ist ein Security Konzept in 5 Domänen – Identitäten, Geräten, Netzwerken, Anwendungen und Daten. Diese beschreiben, welche Mechanismen und Methoden wo eingesetzt werden müssen, um einen moderne IT-Landschaft zu betreiben. Dabei sind drei Leitlinien zu betrachten, welchen in den Kernen des Konzeptes Zero Trust stehen:

Verify explicitly – Das Einbeziehen aller verfügbaren Datenpunkte bei der Autorisierung und Authentifikation.
Least privilege access – Die Einschränkung der Nutzerzugängen auf das geringste Minimum.
Assume breach – Die Annahme, dass es einen Security Breach geben wird. Sodass alle Systeme nach der Minimierung der Ausbreitung des Schadens aufgestellt werden können (Segmentierung).

Abschließen erläutern die Experten, welche Maßnahmen jedes Unternehmen umsetzen kann, um mit der Implementierung des Konzeptes Zero Trust zu starten:

Stärkung der Credentials: Verwenden Sie starke Credentials in Verbindung mit Multi-Faktor-Authentifizierung
Reduzierung der Angriffsflächen: Implementieren Sie ein conditional access, welches Zugriffe erlaubt/ limitiert nach Usern, Geräten, Anwendungen um Lokationen.
Setzen Sie SSO und Self-services Portale ein, um den Aufwand der User bei der Nutzung des Zero Trust Konzeptes zu minimieren.

Wenn Sie noch weitere Fragen haben, können Sie sich gerne an Simon oder Dominik wenden:

Simon Taylor: Microsoft Cloud Security Solution Architect
Dominik Bredel: Associate Partner Security & Resiliency

CIOKurator.News #55: FinOps und Public Cloud, Automatisierung und Cloud-Architekten und vieles mehr

Auch in dieser Woche kursieren wir wieder die aktuellen Meldungen der deutschen IT-Presse. Unser Kollege Viktor Greve bewertet FinOps als Mittel, die Kosten der Public Cloud im Griff zu behalten. Viktor wird als IT Architekt sicher auch das Thema Automatisierung und Cloud-Architektur interessieren. Das Handelsblatt und die Computerwoche berichten über die Initiative von SAP, mit No Code und Low Code Software durch Anwender entwickeln zu lassen. Weiterhin blicken wir einmal mehr auf Künstliche Intelligenz, verschiedene Aspekte von Cybersecurity und unseren Kunden Symrise, der seine digitalen Arbeitsplätze durch Kyndryl modernisieren und betreiben lässt.

Abenteuer in Click-Bait County und warum Zero-Trust Architekturen nur ein Teil der Lösung sind

Ich halte mich für einen security-affinen Menschen. Meine Systeme (IT/IoT) zu Hause halte ich auf dem aktuellen Firmware- und Patch-Level. Geräte, die von den Herstellern nicht mehr unterstützt werden, müssen gehen. Mein Heimnetzwerk besteht aus mehreren Segmenten (VLANs) und WLANs (SSIDs) um verschiedene Nutzer und Geräte Gruppen halbwegs voneinander getrennt zu halten. Mindestens einmal im Jahr testet unser Arbeitgeber unsere Reaktion in einer Phishing Simulationen. Und ich habe schweren Herzens mein privates Antivirus Abonnement des bekannten schweizerisch/russischen Anbieters nicht verlängert.

Aber die Zeiten ändern sich. In den letzten Wochen und Monaten hat sich die Sicherheitslage nicht nur offiziell eingetrübt (z.B. Cyber Sicherheitslagebild Ukraine des BSI, Cyber Threat Reports des NCSC oder die ShieldsUp initiative des CISA, Avasant Radarview). Ich bin bei meinen privaten Streifzügen durch das Internet vermehrt in un-eindeutigen Situationen gelandet.

Gerade diese Woche irritierten mich Emails eines großen Paketdienstes in meiner Firmen-E-Mail, in denen ein Paket aus England angekündigt wurde, das ich nicht erwartet habe. Dann war da die sehr ähnliche E-Mail in meinem privaten Postfach desselben Paketdienstes, die sich dann aber nach 2x hinschauen doch als Phishing Versuch herausgestellt hat. Zuletzt kam auf meiner präferierten News Seite die Werbeeinblendung eines bekanntermaßen seriösen Shops für das eine e-Bike das ich seit einigen Wochen recherchiere und das leider ausverkauft ist. Hier ging es allerdings nicht zu dem Shop, sondern zu einer der Gewinnspiel Seiten zweifelhaften Rufes – das e-Bike wird warten müssen.

Alle drei Vorfälle sind mir im Gedächtnis geblieben, weil sie mich Zeit gekostet haben, weil trotz der ganzen technischen Absicherungen meiner E-Mail-Dienste und Arbeitsgeräte doch das Misstrauen mitfährt und ich am Ende froh war “rechtzeitig” (das hoffe ich zumindest) erkannt zu haben, dass es sich entweder um eine korrekte oder halt eine gefälschte Nachricht handelt.

Sie sind mir aber auch im Gedächtnis geblieben, weil ich glaube, relativ gut auf solche Vorfälle vorbereitet zu sein. Viele Jahre in der IT-Industrie, einige Jahre in besonders sensitiven Bereichen meiner Kunden und schließlich der jahrelange Drill meines Arbeitgebers schaffen in solchen Situationen das Gefühl von Routine. Aber ich weiß, dass meine Familie trotz aller technischen Maßnahmen, die ich ergriffen habe, nicht so gut geschützt ist. Ich weiß, dass viele meiner Freunde und Bekannte nicht den gleichen Drill hatten. Und ich weiß, dass viele meiner Kunden Ihre Umgebungen zwar seit Jahren härten und testen, moderne Sicherheitsarchitekturen und Information Security Management Systeme aufbauen und trotzdem werden Ihre Mitarbeiter nicht die gleichen Chancen haben Angriffe zu erkennen und abzuwehren, wie ich heute.

Auch modernste Sicherheitskonzepte/-architekturen wie Zero-Trust oder State-of-the Art Informationssicherheits-Prozessframeworks (ISMS) sind am Ende auf das richtige Handeln des Faktor Mensch angewiesen.

Ich finde es daher wichtig, dass Kyndryl Ihnen nicht nur hilft Ihre Umgebungen technologisch und konzeptionell abzusichern, sondern dass wir genauso hersteller- und anbieterunabhängig mit Ihnen den Schutz Ihrer Mitarbeiter planen, umsetzen, überprüfen und verbessern.

Für uns bei Kyndryl ist es wichtig das Sicherheitsrisiko Mensch in Ihrer spezifischen (Arbeits-)Umgebung zu reduzieren. Dabei sind Themen wie Phishing und Social Engineering genauso wichtig wie klare Vorgaben und Prozeduren. Der Erfolg kann sich dabei nur einstellen, wenn die Mitarbeiter die Maßnahmen nicht als zusätzliche Belastung empfinden, sondern Ihrerseits ein Verständnis für die spezifischen IT Sicherheit Risiken ihres Arbeitsplatzes entwickeln.

Zero Trust – always verify – das sind die technischen Schlagworte. Als Menschen müssen wir das erst erlernen. Lassen Sie uns dabei helfen.

(Hendrik Müller-Hofstede)

CIOKurator.News #52: Wie bekommen wir die Supply Chain und Logistik in den Griff, Hyperscaler und Cloud, SAP und Microsoft

In unseren heutigen News werfen wir einen Blick in die Lieferketten und die Logistik, die sich aufgrund des Ukraine-Kriegs und von Cyberbedrohungen besonderen Herausforderungen gegenüber sehen. Das BSI warnt vor einer nie dagewesenen Bedrohungslage, die Logistiker fahren die IT-Sicherheitsmaßnahmen hoch. Thomas Landolt von Kyndryl fordert zu Recht, dass der CIO nicht zuletzt wegen des Themas Sicherheit eine viel wichtigere Rolle in der Supply Chain spielen sollte. Er fordert eine datengetriebene Plattform mit soliden IT-Sicherheitsvorkehrungen.
Währenddessen wachsen die Hyperscaler weiter, während sich europäische Anbieter eher in Nischen tummeln. Banken digitalisieren wohl zu langsam, kämpfen aber auch mit Vorschriften, gerade wenn sie in die Cloud wollen, um digitaler zu werden.
Schließlich werfen wir noch einen Blick auf die Quartalszahlen von Microsoft und SAP. SAP-CEO Klein hofft auf den Wendepunkt durch Cloud-Wachstum. Bei Microsoft rücken die Umsätze rund um Azure immer mehr ins Zentrum.
Viel Spaß bei der Lektüre!