16.12.2022

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

Okay Güler ist Cybersecurity-Experte und Founder vom deutschen Startup Cloudyrion. Im brutkasten-Interview erklärt Güler, warum jedes Startup Cybersicherheit beachten muss und wie es das kostengünstig schafft.
/artikel/cybersecurity-fuer-startups
Okay Güler ist Cybersecurity-Experte und Founder von Cloudyrion. (c) Cloudyrion

Spätestens nach dem Start des Russland-Ukraine-Kriegs hat Europa erkannt, dass Konflikte im Jahr 2022 nicht mehr nur an der Kriegsfront, sondern auch im Cyberraum ausgetragen werden. Spricht man von Cyberwar, denken viele an verfeindete Länder, die gegenseitig kritische Infrastrukturen angreifen. “Dabei wird es nicht bleiben. Der Cyberkrieg wird sich vermehrt auf die schwächsten Mitglieder der Kette fokussieren”, sagt Okay Güler, Cybersecurity-Experte und Gründer von Cloudyrion. Davon seien insbesondere Startups betroffen, die sich zu wenig mit IT-Sicherheit beschäftigen.

Für viele Unternehmen – auch für Startups – ist es dennoch schwierig, ihre potenziellen Schwachstellen im Cyberraum zu erkennen. ”Wenn die grundlegenden Security-Hausaufgaben nicht von Anfang an gemacht werden, bedeutet es deutlich mehr Aufwand, diese nachzuholen. Häufig erfährt man erst im Nachhinein, dass es eine Bedrohung oder einen Verstoß gab, dann ist es meistens zu spät”, erklärt der Experte weiter. Im Rahmen des brutkasten-Interviews gibt Güler Tipps für Startups, die ihr Wissen zum Thema Cybersecurity erweitern möchten.

Cybersecurity als Mindset-Thema

Viele Menschen sind der Meinung, dass das Thema Cybersecurity streng mit der Technologie verknüpft ist. “Das ist nicht ganz richtig”, erklärt der Experte und definiert den Begriff IT-Sicherheit wie folgt: ”Cybersecurity fängt viel früher an und ist eine Mentalitätssache, die auf menschlicher Ebene ansetzt. Es geht um die Menschen, die mit der Technologie arbeiten”. Ziel sei es, das Mindset der Menschen zu ändern und verstärkt Awareness dafür zu schaffen, intrinsisch das Richtige zu tun und präventiv zu arbeiten.

Warum ist das Thema Cybersecurity für Startups wichtig?
Güler
: Genauso wie Großkonzerne bieten Startups mit ihren IT-Lösungen Angriffsflächen an. Bei Jungunternehmen besteht die Herausforderung darin, dass man eventuell das Know-how nicht im Team hat, da man auf andere Bereiche fokussiert ist oder nicht aus der IT-Branche kommt. Schützt man diese Angriffsflächen nicht, kann das zum Innovationskiller werden.

Welche Einstellung haben Startups gegenüber Cybersecurity?
Cybersicherheit ist etwas, das man nicht anfassen kann und das nicht direkt zu mehr Umsatz führt. Sie wird als potenzielle Hürde wahrgenommen. Jungunternehmen möchten fürs Erste ihre Produkte auf den Markt bringen, Kund:innen gewinnen und Cybersecurity später integrieren.

Wann und wie sollen Startups beginnen, sich mit dem Thema Cybersecurity zu beschäftigen?
In der Regel so früh wie möglich bzw. bevor man ein Produkt launcht. Zuerst sollte man mit einer Security-affinen Person die Risiken und Schwachstellen des Produkts identifizieren. Danach folgen Fragen wie: Muss ich meine Daten verschlüsseln? Brauche ich Security-Kontrollen, zum Beispiel einen Malware-Scanner? Welche sind wichtig? Diese Evaluierungen dauern in der Regel eine halbe Stunde. Dadurch weiß ich, was ich vor dem Markteinstieg benötige, damit ich nicht kompromittiert werde und meine Daten verliere.

Welche Tipps kannst du Startups geben, die ein geringes Budget für IT-Sicherheit haben?

  • Awareness durch Training: Es gibt kostenlose Lernportale, über die man Mitarbeiter:innen, die sie sich in diesem Bereich weiterbilden möchten, informieren kann. Investiert man wöchentlich eine Stunde in diesen Bereich, wird sich eine gewisse Sicherheits-Awareness im Team bilden.
  • Technische Maßnahmen: Software-Startups sollen Kontrollen durchführen, um potenzielle Bedrohungen zu identifizieren.
  • GDPR: Falls man sehr viel mit Kund:innen-Daten arbeitet, sollte man sich zum Thema Data Privacy beraten lassen. Das ist ein juristisches Thema, das aber viele Verknüpfungen mit der Technologie hat. Startups sollten sich mehr mit GDPR-Regeln auseinandersetzen und versuchen, so gut es geht diese zu implementieren. Falls sie dennoch Unterstützung brauchen, können sich Startups an europäische Kompetenzzentren für Cybersicherheit wenden.
  • Consulting: Der Einsatz von externen Berater:innen ist hilfreich, aber sehr kostenintensiv. Die Frage ist, ob das Startup ein Budget dafür hat. Wenn ja, würde ich empfehlen, zumindest einen Penetration-Test oder eine Ethical-Hacking-Maßnahme durchzuführen.

Was ist das Schlimmste, das passieren kann, wenn Unternehmen keine starken Cybersecurity-Maßnahmen gesetzt haben?
Üblicherweise hängt es davon ab, welches Produkt man entwickelt. Bei manchen Fällen geht es darum, die Intellectual Property zu schützen. Da besteht die Gefahr, dass man genau das verliert. Die Angreifer können eine Umgebung kompromittieren, sind aber nicht sichtbar. Sie löschen oder klauen keine Daten, sondern beobachten das Verhalten, die Funktionen und adaptieren die exakte Kopie auf einem anderen Mark. Das ist ein großer Innovations-Killer. Auch das Thema Datendiebstahl von Kund:innen ist ein großes Problem. Der Vertrauensverlust, der dadurch entsteht, ist nicht in Zahlen zu fassen. Darüber hinaus kommen rechtliche Themen, dass man teilweise zehn Prozent des Gesamtumsatzes an Strafen bezahlen muss, falls es seitens der Kund:innen zu einer Klage kommt. Hierfür gibt es Versicherungen. Man kann sich gegen Cybersecurity-Angriffe versichern lassen. Diese sind aber mittlerweile nicht mehr so kostengünstig, wie sie ursprünglich waren. Und da stellt sich die Frage: Lohnt sich das für ein Startup, eine solche Versicherung abzuschließen? Für den Fall, dass meine Daten gestohlen werden? Könnte ich als Startup verhindern, dass ich durch die Versicherungssumme nicht komplett bankrottgehe?

Auf welche Bedrohungen sollten sich Unternehmen im nächsten Jahr vorbereiten?
Die Marktlage wird sich im Vergleich zum Jahr 2022 nicht viel ändern. Die aktuellen Threats werden uns auch im Jahr 2023 beschäftigen. Meistens sind es hochgebildete Angreifer, die für kriminelle Zwecke arbeiten. Wenn man sich die Zahlen ansieht, kann mit einem Ransomware-Geschäftsmodell mehr Geld gemacht werden. Aktuell rekrutieren unterschiedliche Player Team-Mitglieder für kriminelle Verzweigungen. Dadurch bilden sich Angreifer-Gruppen. Das ist ein vorhandenes Problem und wird sich auch im Jahr 2023 nicht lösen.

Es fällt deutlich auf, dass wie in vielen anderen MINT-Berufen, wenige Frauen in der Cybersecurity-Branche tätig sind. Woran liegt das und wie bekommt man mehr Frauen in diese Branche?

In vielen europäischen Ländern hat man in diesen Berufsfeldern mit Stereotypen gearbeitet. Der ITler ist ein Nerd, der nur vor dem Computer sitzt, seine Brille auf hat und keine Sozialkontakte kennt. Das hat sehr viele Frauen verschreckt. Man beobachtet das primär im europäischen Raum. Wenn man sich andere Länder im russischsprachigen, chinesischen oder iranischen Raum anschaut, hat man diese Problematik nicht im gleichen Umfang, wie es in europäischen Ländern der Fall ist.

Das hat seinen Anfang auch in der Schule, wo junge Mädchen von diesen Berufsfeldern ferngehalten werden. Das ist sehr schade, weil man dadurch das Potential nicht vernünftig nutzt. Das wieder zu korrigieren geht dadurch, indem man zum Beispiel Kampagnen startet. Man sollte auch Quereinsteiger:innen in dieser Branche unterstützen. Natürlich ist der Weg ein bisschen komplizierter und dauert länger. Man muss auch mehr Geduld haben, aber das wird sich rentieren. Es wird uns nichts anderes übrig bleiben, als diesen Weg zu gehen.

Deine ungelesenen Artikel:
23.12.2024

Neues OpenAI-Modell o3: “Befinden uns auf neuem Terrain”

OpenAI hat ein neues Sprachmodell vorgestellt, das die Diskussionen um Artificial General Intelligence (AGI) wieder anheizt. Was steckt dahinter?
/artikel/openai-modell-o3-artifical-general-intelligence
23.12.2024

Neues OpenAI-Modell o3: “Befinden uns auf neuem Terrain”

OpenAI hat ein neues Sprachmodell vorgestellt, das die Diskussionen um Artificial General Intelligence (AGI) wieder anheizt. Was steckt dahinter?
/artikel/openai-modell-o3-artifical-general-intelligence
Logo von OpenAI
Foto: Adobe Stock

Wenn OpenAI neue Dinge ankündigt, hört die KI-Szene hin. Klar, nicht jede Ankündigung des US-Unternehmens in den vergangenen zwei Jahren hatte dieselbe Tragweite wie jene vom 30. November 2022, als OpenAI den Start eines Chatbots namens ChatGPT verlautbaren ließ. Aber potenziell könnte jede Mitteilung des Unternehmens rund um CEO Sam Altman bahnbrechend sein. Kein Wunder also, dass es für Aufsehen sorgte, als OpenAI Anfang Dezember verlautbarte, zwölf Tage hintereinander neue Dinge vorzustellen.

Schon in der Ankündigung hatte Altman darauf hingewiesen, dass es neben größeren auch kleinere Neuigkeiten sein würden, die OpenAI liefern würde. So kam es dann auch: Zugang zu ChatGPT über WhatsApp oder die Integration in Apple Intelligence waren eher in die zweite Kategorie einzuordnen. Daneben veröffentlichte OpenAI aber auch das neue Modell o1 für ChatGPT – oder Sora, ein Tool zur Videoerstellung.

Den größten Widerhall in der KI-Szene fand allerdings die Ankündigung am letzten der zwölf Tage. Am vergangenen Freitagabend stellte OpenAI sein neues Modell o3 vor. Wichtig dabei: Das Modell ist noch nicht öffentlich zugänglich. OpenAI stellte zunächst einmal nur vor, wie das Modell in unterschiedlichen KI-Benchmarks abschnitt. Aber diese Ergebnisse hatten es in sich.

o3 zeigt starke Performance bei AGI-Benchmark

Vielbeachtet wurde dabei vor allem die Benchmark namens ARC-AGI (Abstraction and Reasoning Corpus for Artificial General Intelligence), bei der zwei Varianten des o3-Modells deutlich bessere Ergebnisse erzielten als die bisher führenden o1-Modelle. Das Ziel von ARC-AGI ist es zu messen, wie sich eine KI im Umgang mit ihr unbekannten Aufgaben schlägt.

Wie die O3-Modelle verglichen mit anderen OpenAI-Modellen abschneiden // Grafik: ARC Prize

Es gibt unterschiedliche Definitionen von AGI. Die meisten davon verstehen AGI aber als ein System, das sämtliche intellektuellen Aufgaben mindestens so gut oder besser als ein Mensch erledigen kann.

Die ARC-AGI-Benchmark wurde von François Chollet konzipiert. Er definiert AGI als ein System, das “in der Lage ist, effizient neue Fähigkeiten zu erwerben und neuartige Probleme zu lösen, für die es trainiert wurde.”

Eine AGI ist also nicht für eine bestimmte Aufgabe trainiert, sondern kann jegliche Aufgaben übernehmen. Es ist weitgehender Konsens in der KI-Szene, dass solche Systeme noch nicht existieren. OpenAI wurde aber beispielsweise explizit mit dem Ziel gegründet, AGI zu erreichen.

Chollet gehört zu den bekanntesten Namen der internationalen KI-Szene. Er hat die bekannte KI-Library Keras entwickelt und seit einigen Jahren für Google tätig. Dem von ChatGPT ausgelösten Hype rund um generative KI steht Chollet seit Anfang an eher kritisch gegenüber, wie beispielsweise auch dieser brutkasten-Bericht wenige Wochen nach Erscheinen von ChatGPT thematisierte.

o3: “Wir befinden uns auf neuem Terrain”

Umso interessanter ist es, was Chollet nun zu den Ergebnissen des o3-Modells bzw. seiner Varianten zu sagen hat. In einem Blogeintrag attestiert er OpenAI, mit dem Modell einen “bedeutenden Sprung nach vorne” erreicht zu haben.

Die Performance des Modells stelle “einen echten Durchbruch” in der Anpassungsfähigkeit und Verallgemeinerung” von KI-Modellen dar”, wenn es darum gehe, wie sich KI-Modelle an neue Aufgaben anpassen könnten. o3 stelle nicht bloß einen “schrittweisen Fortschritt” dar. Vielmehr befinde man sich auf “neuem Terrain”, das “ernsthafte wissenschaftliche Aufmerksamkeit” erfordere.

Aber es ist schon Artificial General Intelligence (AGI)? Hier schränkt Chollet ein: “o3 scheitert immer noch an einigen sehr einfachen Aufgaben, was auf grundlegende Unterschiede zur menschlichen Intelligenz hinweist”. Dennoch befeuerten die Ergebnisse die Diskussion rund um AGI – und manche Stimmen sahen, anderes als Chollet, mit o3 AGI sogar bereits erreicht.

Selbst wenn dem so wäre, wäre es zum jetzigen Zeitpunkt schwer nachzuprüfen: Denn das Modell ist noch nicht veröffentlicht. Forscher:innen im Bereich der KI-Sicherheit können sich für Zugang vormerken lassen. Wann und zu welchen Konditionen das Modell für Endnutzer:innen zugänglich sein wird, ist aktuell noch unklar. Klar ist allerdings schon jetzt, dass die beeindruckenden Ergebnisse bei der ARC-AGI-Benchmark enorme Rechenressourcen erforderten – und dementsprechend teuer waren.

Reasoning-Modelle

Das o3-Modell ist eine verbesserte Version des o1-Modells, welches OpenAI am 4. Dezember veröffentliche und das zuvor bereits in Preview- und Mini-Varianten für ChatGPT-User:innen zugänglich gewesen war. Dieses Modell unterscheidet sich zu dem im Mai 2024 veröffentlichten GPT4o-Modell insofern, als es auf einen “Reasoning”-Ansatz setzt.

OpenAI bezeichnet GPT4o weiterhin als das “vielseitige, hochintelligente Flagship-Modell”, das für die “meisten Aufgaben” die richtige Wahl sei. Die o1-Modelle wiederum referenziert das Unternehmen als “Reasoning-Modelle, die sich bei komplexen, mehrstufigen Aufgaben auszeichnen”.

Enduser:innen von ChatGPT merken dies in der Nutzung vor allem insofern, als sich die o1-Modelle länger Zeit nehmen, Ergebnisse zu produzieren. Diese Modelle “verbringen mehr Zeit mit Nachdenken, bevor sie reagieren”, wie es OpenAI formuliert. In einigen (aber nicht notwendigerweise in allen) Bereichen liefern sie dann deutlich bessere Ergebnisse als die bisherigen Modelle.


Tipp der Redaktion: Die neue brutkasten-Serie “No Hype KI”

No Hype KI
Nach zwei Jahren ChatGPT liefern wir eine Bestandsaufnahme aus der österreichischen Wirtschaft – wo stehen wir wirklich?
Du willst bei "No Hype KI" am Laufenden bleiben?

Trag dich hier ein und du bekommst jede Folge direkt in die Inbox!

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

“Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird”