[00:00:00] Herzlich willkommen zum AI First Podcast. Wir haben hier in den letzten Folgen immer über die Potenziale gesprochen, die durch künstliche Intelligenz entstehen. Und heute wollen wir die Technologie auch mal von einer anderen Seite betrachten denn KI ist eine Dual-Use-Technologie. Wir können sie einsetzen um viel Gutes damit zu erreichen Zu tun. Gleichzeitig kann KI aber auch eingesetzt werden, um damit Schaden anzurichten, insbesondere im Internet und Cybercrime bzw. Cybersecurity ist das Oberthema für unsere heutige Folge und ich konnte dafür Niklas Hanitsch als Gast gewinnen, der vom Hintergrund her Anwalt ist, aber mittlerweile seit vielen Jahren die Firma Secure aufbaut, eine Automatisierungsplattform für Security und Compliance-Themen damit tief im Thema ist. Schön, dass du da bist, Niklas. Niklas: Danke Felix, dass ich da sein darf. Felix: Gib uns doch mal einen [00:01:00] Überblick, wie sieht denn die aktuelle Bedrohungslage aus und wie hat sich Cybercrime so über die letzten Jahre entwickelt? Vielen Niklas: rauszoome, so in die letzten 20 Jahre schaue, dann lagen die Wachstumsraten pro Jahr konstant immer so zwischen 15 und 30 Prozent. Also es gibt einige Quellen, die benutzen dafür den Ausdruck exponentielles Wachstum. Ich glaube, das ist mathematisch da nicht ganz zutreffend aber es Ja, ich würde eher von besorgniserregendem rasantem Wachstum sprechen und jedenfalls sind die Konsequenzen für die Wirtschaft so oder so, ob exponentiell oder nicht, sind die katastrophal. Genau. Felix: Ja bei Cybercrime habe ich immer so das Gefühl, es betrifft mich ja eigentlich gar nicht Das passiert [00:02:00] bei anderen, aber bei mir passiert das gar nicht Und ich weiß noch, an früheren Unternehmen, da gab es ja auch immer wieder so Programme wo wir getestet worden sind, ob wir auf Niklas: Vielen Dank. Felix: brauche unbedingt die Kontodaten, weil ich eine Überweisung machen muss oder so ähnliche E-Mails kamen dann und dann wurde getestet wer reagiert da drauf oder klickt auf irgendwelche Links. Ist das das, was man heute unter Cybercrime fassen würde oder was zählt alles in dieses Thema rein? Niklas: Ja, definitiv Also das gehört, was du gesagt hast, gehört definitiv dazu. Man spricht von einem Gesamtschaden in 2024, der zum Beispiel auf solche Attacken zurückzuführen ist, von 180 Milliarden Euro in der Bundesrepublik alleine. Das wiederum ist Teil eines größeren [00:03:00] Gesamtschadens von 270 Milliarden Euro. Und da sind dann auch Diebstahl Industriespionage, Sabotage und so weiter, die eben auch... Mittlerweile viel über Cyberattacken passieren, sind da drunter aber Cyberattacken konkret machen von diesem Gesamtschaden ungefähr 67% aus und weltweit ist das ein bisschen schwieriger zu beziffern, deswegen habe ich mir heute mal selber die Mühe gemacht, da ein bisschen zu rechnen und das auch irgendwie in ein Verhältnis zu setzen, damit man sich da was drunter vorstellen kann. Also wenn wir sagen, in Deutschland alleine gibt es 180 Milliarden Euro Schaden oder gab es im letzten Jahr einen Schaden von 180 Milliarden Euro. Deutschland ist ja die viertgrößte Volkswirtschaft und hat ungefähr 4,5 Prozent Anteil am globalen BIP. Felix: Vielen Niklas: jetzt natürlich ein bisschen vereinfachter Rechnung weil manche Länder sind stärker Agrar dominiert und im Agrarsektor gibt [00:04:00] es also ein Mechanischen Trecker kann man nicht so gut hacken Deswegen aber einfach mal so als Vergleich. Wenn man jetzt diesen Anteil von Deutschland am globalen BIP 4,5 Prozent mal 22 rechnen würde, dann käme man auf einen globalen Schaden von 4 Billionen Euro. Also wenn das ungefähr die gleiche Scale wäre wie in Deutschland, also wenn der Schaden in anderen Ländern ungefähr die gleiche Scale wäre wie in Deutschland. So eine Billionen Euro sind ja tausend Milliarden und eine Milliarde sind tausend Millionen. Jetzt habe ich mir mal heute den Spaß gemacht zu recherchieren was es kostet Kosten würde zum Beispiel den Welthunger zu besiegen. Da gibt es eine Studie der Uni Bonn die sagt, wenn wir jährlich 93 Milliarden US-Dollar investieren würden, dann hätten wir bis 2030 den Welthunger besiegt. Felix: [00:05:00] Vielen Niklas: hätten wir noch, um 4 Billionen zu erreichen, hätten wir noch ein bisschen Budget sozusagen. Also da habe ich überlegt was gibt es sonst noch für Probleme auf der Welt? Es gibt 2,4 Milliarden Kinder und Jugendliche zwischen 0 und 18 Jahren auf der Welt. Wenn wir jedem davon ein iPad kaufen wollen würden, dann würde das ungefähr 720 Milliarden Euro kosten. Hätten wir immer noch einiges an Budget drin Und damit hätten die Zugang zu quasi unbegrenzter Bildung, ja, und Felix: Vielen Niklas: jetzt noch versuchen würden, jedes Dorf der Welt mit grünem Strom zu versorgen, dafür würden sich die geschätzten Kosten auf 1,7 Billionen Euro belaufen. Das heißt, wir könnten auch noch einen Weltraumfahrstuhl bauen, die geschätzten Kosten dafür sind 100 Milliarden Dollar. So, und wären immer noch nicht bei den 4 Billionen, das heißt, wenn wir es schaffen würden, [00:06:00] Cyberattacken durch effektives Bekämpfen um 80, 90 Prozent auf ein Minimum zu reduzieren, dann könnten wir den Welthunger besiegen, dann könnten wir jedes Kind mit digitaler Bildung und grünem Strom versorgen, wir könnten einen Weltraumfahrstuhl bauen und hätten immer noch wahrscheinlich genug Geld, um zum Mars zu fliegen und einen Fusionsreaktor zu bauen. Felix: Wahnsinn. Danke. danke, dass du das mal ins Verhältnis gesetzt hast. Also klar, natürlich vereinfachte Rechnung aber es zeigt einfach schön die Dimensionen auf und was man mit der gleichen Energie, die in Cyberattacken Fließt und der Schaden der dadurch entsteht was man damit auf der anderen Seite Gutes bewirken könnte. Also unterstreichen wir die Relevanz des Themas. Niklas: Ja, vorausgesetzt natürlich, dass das Geld, was da eingespart wird, dann auch zweckdienlich eingesetzt wird und nicht auf Elons Sparbuch landet oder so. Felix: Klar. Weiß man denn, von [00:07:00] welchen Niklas: Vielen  Felix: ausgehen. Wer hat da ein möglichst großes Interesse entweder andere Unternehmen oder Organisationen lahmzulegen zu schaden oder finanziell davon zu profitieren? Oder gibt es dazu gar keine Informationen Niklas: Da gibt es natürlich schon gewisse Informationen zu. Also hinter sehr vielen der Attacken werden staatliche Akteure vermutet, die das in den seltensten Fällen selber machen, sondern die beauftragen dann irgendwelche privaten Kriminellen dafür, das zu machen. Felix: Dank. Niklas: Welt Länder, aus denen ja verhältnismäßig eine große Anzahl von Cyberattacken kommen. Allerdings aber auch einfach hier [00:08:00] aus dem Inland oder Umland kommen auch sehr, sehr viele. Felix: Das macht dann natürlich Sinn, dass in den letzten Jahren Cybersecurity als Disziplin immer größer geworden ist, wenn der Anteil der Cyberattacken immer Niklas: Untertitelung ZDF Felix: jetzt kommt noch KI ins Spiel, womit all das noch skaliert werden kann und nochmal auf ein ganz, ganz anderes Level kommt. Da sprechen wir gleich noch drüber. Aber lass uns nochmal über Cybersecurity als Disziplin sprechen. Auch hier wieder... Ich sehe Cyber Security Niklas: Vielen Dank. Felix: würde ich mal sagen. Wie siehst du das denn? Also wer [00:09:00] managt denn seine Cyber Security wirklich aktiv und was gibt es da für Unterschiede und für wen ist das auch relevant? Niklas: Also das hast du eigentlich ganz richtig betrachtet Zunächst mal würde ich Cyber Security einfach als geschäftskritische Funktion bezeichnen, in egal welchem Unternehmen und egal welcher Größe, ähnlich einer Personalabteilung oder Finanzbuchhaltungsabteilung oder eben auch IT-Abteilung, die Cyber Security ja schützen soll. Und der Unterschied zwischen Konzernen und KMUs ist im Wesentlichen dass... Sich Konzerne dafür eine eigene Abteilung leisten, während das bei KMUs in der Regel ja, als Unteraufgabe der IT-Abteilung behandelt wird und erschwerend kommt dann noch hinzu, dass bei vielen KMUs die IT selbst noch ausgelagert ist, zum Beispiel an ein IT-Systemhaus und die müssen das dann sozusagen [00:10:00] mitmachen, in Anführungszeichen und, ja, also, Natürlich ist es immer besser, wenn sich Spezialisten mit eigenem Budget um so ein wichtiges Thema kümmern, aber ich freue mich schon über jeden Geschäftsführer der das Thema überhaupt als geschäftskritisch erkannt hat und irgendwas zu machen ist definitiv hier besser als gar nichts zu machen. Ja und natürlich müssen auch die Maßnahmen irgendwie im Verhältnis zum erwirtschafteten Umsatz des Unternehmens stehen, das ist ja klar. Das ist quasi, kann man sich vorstellen, wie ein Bundeshaushalt der Bundesregierung, der soll ja auch irgendwie einen bestimmten Prozentsatz für Verteidigungsausgaben beinhalten Nur, dass man das Unternehmen in der Regel keine Schutz macht, wie in den letzten Jahren die USA haben, die uns die Verteidigung abgenommen haben, sozusagen, und deswegen konnten die Unternehmen es sich nicht leisten, ihr [00:11:00] Verteidigungsbudget in Kickertische oder irgendwelche unproduktiven Versorgungsposten zu stecken, sondern es sollte sich einfach jedes Unternehmen selbst um seine Verteidigung in dem Fall eben vor Cyberkriminellen schützen. Felix: Wie sieht denn so eine Grundverteidigung aus und was braucht man dafür? Niklas: Ja also, ach so, was ich vielleicht noch sagen kann, nochmal auf das Beispiel von gerade zu sprechen zu kommen. Also ich habe jetzt hier gerade das so ein bisschen mit Kriegsparteien verglichen. Cyberkriminelle sind aber eher... Oft eher wie einfache Einbrecher als wie wirkliche Kriegsparteien, die ja in der Regel irgendwelche strategischen Interesse Felix: Vielen Niklas: normale Einbrecher, die Felix: Dank. Niklas: ein. [00:12:00] Das heißt, das gilt da das Gesetz des geringsten Widerstandes Das kann man sagen, deswegen nochmal um meine These zu unterstreichen, dass irgendwas zu machen definitiv besser ist als nichts zu machen. Aber jetzt zu deiner Frage, ich glaube Also Hauptaufgabe von Cyber Security ist eben der Schutz von IT-Systemen von Netzwerken und von Daten und dazu ist erstmal ein entsprechendes Risikomanagement erforderlich auch hier egal in welcher Größe die Organisation ist, das müssen alle machen und dieses Risikomanagement das... Das führt dann in der Regel dazu, wenn du deine Risiken erkannt und analysiert hast, dass du präventive Maßnahmen, also zum Beispiel abschreckende Maßnahmen, wie die, die ich gerade genannt habe, also im Vergleich die Alarmanlage auf dem Dach und den Wachhund, detektive Maßnahmen oder [00:13:00] reaktive Maßnahmen treffen kannst. Genau Das heißt, du wirst in der Regel erstmal analysieren, was ist wirklich geschäftskritisch und schützenswert in deiner Organisation, was darf auf gar keinen Fall ausfallen, weil ansonsten der Betrieb stillsteht oder das Licht ausgeht. Da hatten wir letztes Jahr auch ein paar Fälle in Deutschland. Warta hat zum Beispiel ich glaube, fünf Wochen aufgrund von einer Cyber-Attacke den Betrieb lahmgelegt und dann gab es noch so einen Land-Maschinen-Hersteller, der auch irgendwie weltweit hier auch im Stillstand wegen der Cyber-Attacke und, ja, TeamViewer glaube ich auch, die sind, glaube ich sogar aus dem TechDAX geflogen, oder nee, Vata ist aus dem MDAX geflogen, glaube ich und TeamViewer hatte zumindest auch sehr stark im Börsenkurs eingebüßt. Egal, jedenfalls... Diese Maßnahmen, die ich eben [00:14:00] angesprochen habe, die man festlegt, um seine Risiken zu mitigieren, die können technischer oder auch organisatorischer Natur sein. Technischer wie zum Beispiel eine Firewall oder organisatorischer wie... Das Aufsetzen von einem Rechte und Rollenkonzept oder auch ganz physisch einfach ein Zettel auf dem steht, wer hat einen Schlüssel fürs Büro und hat er den auch zurückgegeben, nachdem die Person irgendwie bei mir gekündigt hat und so. Das sind alles Sicherheitsmaßnahmen oder Beispiele Und eine Sichtschutzfolie auf deinem Laptop kann auch so eine Maßnahme sein. Ich weiß nicht, wie viele Geschäftsgeheimnisse ich schon auf irgendwelchen ICE-Bahnfahrten mitlesen durfte. Und das stellt dann wiederum auch... Felix: wenn da jemand die Folie drauf hat. Niklas: Ich nicht. Ich freue mich über jeden, der eine drauf hat. Ja, und das [00:15:00] wiederum also diese Trennung quasi technische und organisatorische Maßnahmen, das stellt im Prinzip auch die Schnittmenge Cyber Security und Informationsmaßnahmen Da. Informationssicherheit ist nämlich das, womit ich mich tatsächlich noch stärker beschäftige. Also Informationssicherheit ist ein bisschen holistischer als reine Cybersecurity. Cybersecurity ist ein großer Teil davon. Ich würde sagen, 80 Prozent meiner Arbeit ist, ich beschäftige mich mit Cybersecurity-Maßnahmen und die anderen 20 Prozent sind vielleicht organisatorisch Aber als solches bin ich quasi Teil einer sogenannten GRC, Governance Risk und Compliance Einheit. Was das ist, das erkläre ich später nochmal. Und genau, ja, was kann man sonst noch? Genau, du hast gefragt, welche Einheiten es sozusagen im Cyber Security Management in der Organisation gibt. Genau, wie [00:16:00] gesagt, GRC ist eine Einheit Ansonsten gibt es noch das sogenannte Security Operations Center, kurz SOC, S-O-C. Und das kann man sich so vorstellen, also die machen Threat Hunting, das heißt, die versuchen, die Verbrecher zu jagen. Also wir sind sozusagen heutzutage dadurch, dass es so viele... Unermesslich viele Angriffe und auch verschiedene Arten von Angriffen gibt, sind wir einfach dazu übergegangen, anzunehmen, dass die Bösewichte schon über unsere Zäune hinweg sind und quasi im Haus sich schon befinden. Und Aufgabe eines SOCs ist sozusagen, aktiv nach denen im Haus zu suchen. So kann man sich das vorstellen. Felix: Vielen Niklas: So, das ist eine Einheit ja, und dann gibt es noch ganz viele andere, App Security, Identity und Access Management, Cloud Security und so weiter und so fort, also das [00:17:00] sind alles so die, das sind alles die, Offiziellen Einheiten einer Cyber Security Einheit die Konzerne haben und ich würde später noch ein bisschen was dazu erzählen wie KMUs, die sich das eben so nicht leisten können, das eben mit Hilfe von AI ein bisschen Teile davon auch wahrnehmen können. Felix: Ja, genau. Lass uns das mal noch runterbrechen man sich da gut und möglichst pragmatisch aber trotzdem effektiv mit der zur stehenden Technologie aufstellen kann. Ich würde jetzt gerne mal Niklas: Vielen Dank. Felix: Wir können ja KI heute nutzen, um alle möglichen Dinge auf einem ganz neuen Scale zu machen, also Content at Scale zu produzieren oder Anfragen at Scale zu beantworten oder viele Daten at [00:18:00] Scale zu analysieren und da kann ich mir Niklas: Vielen Felix: kann, auch nutzen kann at Scale, um Schaden zu vermeiden Anzurichten. Und so ein paar Anwendungsfälle sind für mich total einleuchtend Also ich kann zum Beispiel viel personalisierter und authentischer Phishing-E-Mails schreiben, von verschiedenen Parametern, die die Wahrscheinlichkeit optimieren, dass Menschen da draufklicken oder darauf reagieren. Ich kann mir auch vorstellen, dass man jetzt mit Deepfake Content mehr machen kann, also dass man irgendwie eine Art von Videos oder Audiospuren erstellt, die sich wirklich sehr echt anhören wie du zum Beispiel, weil jemand sich dieses Podcast Recording genommen hat, damit deine Stimme synthetisiert hat und mit dieser Stimme eine Sprachnachricht an einen Kollegen von dir schickt und dich in einer Notlage Beschreibt und irgendwas von dem Kollegen fordert, was wiederum [00:19:00] Zugriff auf bestimmte Daten gibt, die eigentlich nicht rauskommen sollten. Sowas kann ich mir vorstellen, aber ich glaube, das ist nur die Spitze des Eisbergs wahrscheinlich. Führ uns doch mal durch, welche typischen Anwendungsfälle siehst du da und wie nutzen cyberkriminelle KI heute? Ja Niklas: Ja, also du hast schon die wichtigsten Fälle im Wesentlichen Felix: Vielen Niklas: Und da hätte ich zum Beispiel, also das ist jetzt hier kein Aufruf zu Straftaten oder so, sondern einfach, da mache ich mir Sorgen drum, dass sowas passiert. Ich komme ja von der Anwaltsschiene sozusagen. Das heißt, ich habe mich viel mit irgendwelchen Software-Lizenzen und Lizenzverträgen und so weiter [00:20:00] beschäftigt Und in den allermeisten Tools, IoT-Tools, in den meisten Software-Codes und so, ist Teil... In Teilen Open-Source-Code enthalten. Und Open-Source ist ja einfach frei nutzbarer Code. So, und der ist aber nicht komplett frei nutzbar, sondern der ist in aller Regel, ja, unterliegt der auch bestimmten Lizenzvereinbarungen Zum Beispiel der sogenannten GNU, General Public License und da in dieser GNU gibt es bestimmte Pflichten für die Hersteller oder auch in Verkehrbringer von zum Beispiel IoT-Geräten oder auch von Software. Dass du zum Beispiel eine sogenannte Written Offer machen musst, das heißt, du musst die, also das hat so ein bisschen Copyright, Copyleft Hintergründe, das heißt, die Hersteller und Verkehrbringer, die müssen den [00:21:00] Teil der Open Source, des Open Source Codes, den die verwendet haben, den Käufern oder den Nutzern anbieten. So, das heißt, wenn ich jetzt Deinen Code, den du hast, habe und gerade irgendwelche IoT-Geräte die irgendwelche Leute in irgendeiner Garage zusammengebaut haben und dann bei Amazon verkaufen oder so, aber die dann Teil deines Heimnetzwerks ist, wenn ich über dieses Written Offers an deinen Code komme, dann kann ich... Ja, kann ich AI nutzen, um diesen Code auf Schwachstellen zu analysieren und so dann eben deine Systeme zu hacken als ein Beispiel. Felix: Mhm. Niklas: Das heißt quasi Nutzung von AI, um Code zu analysieren, um irgendwelche Zero-Day-Exploits, das sind quasi Exploits, die dem Hersteller selbst noch nicht bekannt sind. Felix: Dank.[00:22:00]  Niklas: aller Regel wegen Sicherheitsupdates. Und Zero-Day-Exploits sind quasi die, die dem Hersteller selbst noch nicht bekannt sind. Solche kann ich eben mit KI finden. Dann kann ich KI selbst nutzen. Also unsere Entwickler, wir sind ja eine Softwarefirma, unsere Entwickler die sind auch jetzt schon AI-Augmented. Das heißt, die nutzen bestimmte AI-Agents um schneller und besser zu programmieren und weniger Fehler zu machen. Und teilweise stammen auch ganze Code-Passagen von uns aus KI. Und das heißt, wenn ich KI nutzen kann, um auf der hellen Seite der Macht Code zu schreiben, dann kann ich den genauso nutzen, um Malware-Code zu schreiben. Und ja, dann hast du ja selber schon so Voice und Video-Modelle Agents oder software angesprochen ich war meine zeit lang zwei jahre strafverteidiger als als solcher war [00:23:00] ich auf cyberkriminalität spezialisiert und Und in diesem Umfeld Strafverteidigung hatte ich auch hier und da entweder selbst oder von Strafverteidiger-Kollegen von mir mit diesem Enkeltrick zu tun. Der dürfte ja vielen bekannt sein. Felix: Vielen Dank Niklas: gibt es jemanden der soll mithilfe dieses Enkeltricks mit ganz... Professionellen callcenter in dem echte menschen saßen ins in summe knapp eine milliarde euro ergaunert haben in deutschland schweiz und luxemburg so dafür waren aber also da waren noch echte menschen am telefon Wenn ich mir jetzt vorstelle, wie das mit KI at scale funktioniert, gerade ältere Leute, die tun sich wahrscheinlich noch schwerer damit zu erkennen, ob am Telefon eine richtige Person oder eben eine KI [00:24:00] ist. Und wenn die sich dann auch noch tatsächlich so anhört wie die Stimme von meinem Angel, dann wird es irgendwann wirklich gefährlich würde ich sagen. Felix: Ja, und das in Kombination mit Modellen die immer besser darin werden, auch Emotionen zu erkennen. Und auf diese Niklas: Vielen. Felix: und auch dann könnte man ja die Stimmenlage und ähnliches immer weiter darauf optimieren, die möglichst größte Conversion Rate zu erzielen, was in dem Fall dann ein Schaden wäre, der entstehen würde. Ja, und eben dann die dessen ja, das ist das, was mir Sorgen bereitet, wenn du sagst die Zero-Day-Exploits, dann könnte ich ja von tausenden Herstellern parallel mir diese Codes besorgen, oder, und mehr oder weniger parallel auf Schwachstellen prüfen, diese finden, wo die Schwachstellen aufweisen und dann genau dort in die Systeme reingehen wenn [00:25:00] ich es so richtig verstanden habe. Niklas: Ja, 100 Prozent. Und das passiert auch. Felix: Hm. gucken Niklas: Vielen Dank. Felix: du denn, wie sich das weiterentwickeln Niklas: Vielen Felix: Kunden die Voice-Modelle zeige die aktuellen Video- und Avatar-Modelle, ist oft noch so das Feedback so, ja, also bei Voice ist es schon so, ja, okay, ist schon... Echt sehr, sehr gut auch fast keine Latenz mehr. Man kann ein sehr natürlich klingendes Gespräch führen mit KI-Modellen. Bei Videos insbesondere, wenn Avatare nachgemacht werden und die nicht gefeintuned sind, dann erkennt man das gerade schon noch, dass es eben kein echter Mensch auf der anderen Seite ist, aber auch hier spulen wir ein Jahr vor, dann wird das nicht mehr Der Fall sein. Wie blickst du denn darauf? Also ich sehe da halt massives [00:26:00] Missbrauchspotenzial und ich sehe aktuell auch wenig Bewegung dagegen, die Nutzer auch schützen das zu erkennen, beziehungsweise es irgendwie schwieriger machen, diese Modelle irgendwie für Missbrauch zu nutzen. Niklas: Ja, also ich glaube, dass einfach Identity- und Access-Management ein immer, immer wichtigeres Thema werden wird. Alle kennen ja 2FA-Projekte Also Zwei-Faktor-Authentisierung, das heißt mittlerweile schon MFA, Multifaktor-Authentisierung, weil es werden sicherlich einfach immer mehr Faktoren hinzukommen müssen und dann letztendlich Lässt es sich wahrscheinlich irgendwann nicht mehr vermeiden dass auch ein biometrischer Faktor irgendwie mit dazukommen wird, um Leute zu authentisieren Das heißt, keine Ahnung, Iris-Scan oder sonst was. Und auch das wird man irgendwann irgendwie hacken können. Und dann wird man noch weitergehen [00:27:00] müssen. Ich glaube, das ist eine Richtung, die man wahrscheinlich... Die kann man wahrscheinlich nicht mehr zurückgehen und das ist natürlich aus Datenschutzgesichtspunkten wieder bedenklich, aber ich sehe auch keine andere Lösung dazu, als dass wir immer mehr biometrische Identifikationsflüsse mit einbauen. Felix: Siehst du sonst die Möglichkeit, dass sich ein Cyberkrimineller mit einem Avatar, der so aussieht wie du, weil er die Videospur von diesem Podcast hatte und daraus einen eigenen Avatar trainieren konnte, sich dann einloggt in ein Videocall Niklas: Dank. Felix: so aussieht wie du und an diesem Videocall teilnehmen kann und dadurch eventuell geheime, sensible Informationen abtankt Wäre das theoretisch denkbar, wenn nicht ausreichende Sicherheitsmaßnahmen ergriffen werden? Niklas: Ja, das ist eben das [00:28:00] Kritische. Wenn nicht ausreichende Sicherheitsmaßnahmen ergriffen wurden, dann auf jeden Fall. Bei mir in der Firma würde ich sagen, hoffentlich nicht. Felix: Hoffentlich alles andere würde mich wundert Niklas: Ja aber ja, also in vielen Firmen passiert das. Und ich meine... Felix: schon würdest du sagen, ja Niklas: Ja, also Phishing-Attacken das brauchst du ja in den meisten Fällen noch nicht mal. Phishing-Attacken sind ja oft viel niedrigschwelliger und funktionieren trotzdem. Du hast ja eben selber gesagt, also klar kann ich KI nutzen, um meine Phishing-Attacken einfach noch authentischer wirken zu lassen, aber Ja, solange eine Mail nicht wirklich aus dem Unternehmensnetzwerk selbst rauskommt, das ist schon mal so der erste Faktor auf den Menschen ja geschult werden zu achten aber selbst das ist heute teilweise kein [00:29:00] hundertprozentiger Schutz mehr. Ich glaube, Angriffe von innen werden zunehmen, gerade bei größeren Organisationen und gerade in Verbindung mit dem, was du eben gesagt hast, also die Voice- und Video-Tools werden immer mächtiger und immer besser und große Firmen heiern überall auf der Welt Remote-Worker Remote-Developer und so und das haben ja von... Wenn Nordkoreaner versucht, sich eine Anstellung auf diesem Wege in Organisationen zu finden, dann haben die halt wirklich eine Unternehmensdomain und können damit machen, was sie wollen. Felix: Und dann wäre ein Weg nach vorne raus zu sagen, wenn ich mich morgens an meinem PC einlogge dann muss ich einmal in die Kamera schauen, dann wird meine Iris ausgelesen und damit authentifiziere ich mich, bevor ich überhaupt in diese IT-Systeme reinkomme. Niklas: Ja, zum Beispiel. Klar aber ich [00:30:00] glaube, es wird immer mehr so Getika-mäßig werden. Und zwar, das dauert dann wahrscheinlich noch ein bisschen, aber irgendwann werden wir uns wahrscheinlich mit unserer DNA irgendwie authentizieren müssen. Felix Schlenther: Kurz in eigener Sache. Wenn dir der AI First Podcast gefällt und du mehr spannende Inhalte und hochkarätige Gäste hören möchtest, dann freue ich mich über deine Unterstützung. Mit einer Fünf-Sterne-Bewertung und einem Abo für den Podcast hilfst du uns sichtbarer zu werden und AI First weiterzuentwickeln. Für dich und die gesamte Community. Ich danke dir. Felix: Okay, dann lass uns mal jetzt auf die Seite schauen. bin ja optimistisch Niklas: Dank. Felix: da eher zum utopischen Szenario als zum dystopischen. Aber ich finde es auch wichtig, dass wir mal die Schattenseiten beleuchten und das nicht unter den Tisch fällt. Also finde ich schon extrem herausfordernd was da jetzt schon möglich ist und noch auf uns zukommen wird und damit entsprechend [00:31:00] umzugehen und sich abzusichern. Wie kann man denn jetzt KI... Um dagegen anzutreten und sich selbst zu schützen vor Cyberangriffen. Niklas: Genau, also wir haben ja eben schon so ein bisschen über die einzelnen Funktionen gesprochen, die es in einer professionellen Cyber Security Organisation gibt und im Prinzip gibt es mittlerweile für fast jede dieser Aufgaben die diese Funktionen übernehmen, Aufgaben Irgendein KI-Tool oder meistens sogar mehrere KI-Tools, zum Beispiel beim Threat Detection, also das, was eben Aufgabe zum Beispiel des SOC ist, da gibt es mittlerweile diverse Tools, die auf Grundlage von Machine Learning Models so Baseline Behaviors analysieren, also nach meinem Laienverständnis Wie die Rechenprozesse, wenn alles in Ordnung ist, in deinem Arbeitsspeicher aussehen. Darauf werden die trainiert und geben dann eben Alarm wenn [00:32:00] irgendwie was nicht mehr normal aussieht. So, und dann... Ja, können diese Systeme teilweise auch direkt das befallene System vom Netz trennen oder so, dass wir dann direkt eine Incident-Response-Maßnahme, wofür in einer großen Organisation auch wieder Menschen verantwortlich sind, dann kann KI auch Angriffe simulieren teilweise und gucken, wie dein System darauf reagiert und dadurch neue Schwachstellen aufdecken oder, ja, KI kann helfen, Malware und Phishing zu erkennen. Again-Line-Vorständnis ich bin ja kein wirklicher Softwareentwickler ich bin nur ein etwas nerdiger Anwalt der sich mal in der Schule selber so ein bisschen Programmieren beigebracht hat und dann eben die Idee hatte, ein Unternehmen in dem Bereich zu gründen, aber es gibt schon andere Möglichkeiten Insbesondere auch bei uns die das deutlich alles besser und tiefer verstehen als ich. Aber nach meinem [00:33:00] Laienverständnis die ersten Antiviren-Softwares, die Funktionsweise von denen war im Prinzip eine große Blacklist oder ein großer Blacklist-Filter. Das heißt, ja, und diese große Blacklist die hat im Prinzip die Hash-Werte der bekannten Malware-Dateien enthalten. Und wenn irgendeine Datei in System kommt, von deinem system ausgeführt werden sollte geguckt entspricht dieser hat ist dieser herr schwert von dieser datei bekannt und steht er auf dieser blacklist und wenn ja dann wurde der wurde die anwendung sozusagen blockiert dann gibt es noch andere die haben dann die anwendung in der gesicherten umgebung ausgeführt und geguckt was haben die dann für prozesse gemacht und von sind die so sehen die so aus wie es Normal sein sollte. Und all das kannst du natürlich auch mit KI-enabled-at-scale machen. Genau. Und ansonsten kann KI drauf trainiert werden. Das passiert ja jetzt auch von [00:34:00] Spam-Filter und so weiter. Ja, Phishing-Mails und verdächtigte Nachrichten Zu erkennen oder beim Patch-Management kann KI helfen, dir zu zeigen, welche deiner Systeme Schwachstellen haben oder nicht auf dem neuesten Stand sind. Vulnerability Scanning. Mein Passwortmanager zum Beispiel, der weist mich ständig darauf hin, wenn meine Passwörter irgendwie Ja, oder welche meiner Passworte nicht mehr sicher sind oder auch irgendwie kompromittiert sind teilweise, dann muss ich die ändern und so. Das sind halt alles Maßnahmen, bei denen KI unterstützen kann, deinen Security-Standard zu heben. Man muss halt nur nutzen dafür. Felix: Und würdest du sagen, dass diese Sag mal, KI-basierten Fähigkeiten oder Features immer mehr in bestehende IT-Systeme integriert werden oder sind das eher Standalone-Produkte? Siehst du da einen Trend? Niklas: Teils teils. [00:35:00] wird oder wem auch immer mittlerweile auch angeboten, das ist auch eine meiner Predictions, wo wir gerade davon sprechen für dieses Jahr. Ich glaube, dass sich Firmen immer mehr auf den Kundennutzen konzentrieren müssen, weil vieles einfach zu einer Selbstverständlichkeit wird, weil eben Microsoft das einfach mit anbietet. Und... Aber viele Sachen, die sind einfach so ein Special Case. Dafür wird es auch weiterhin immer Standalone-Produkte geben. Genau. Vielen Dank. Felix: ja auch viel mit KMUs zusammen. Wer managt denn dort die Cyber Security Themen? Niklas: Bei KMUs, wie ich eingangs schon gesagt hatte, macht meistens die IT irgendwie mit oder eben die ausgelagerte IT das Systemhaus mit oder eben so Anbieter wie wir. Felix: Ja von den [00:36:00] Use Niklas: Vielen Dank. Felix: so in dem Clip gezeigt, ja, ich habe Genug Zeit und werde sie nutzen, um den Leuten hier auf den Geist zu gehen und ihre Zeit zu klauen, die sie nicht mit Scamming verbinden können. Für wie hältst du das? Niklas: Ja, ich habe das Video auch gesehen und auch Tränen gelacht. Das ist richtig cool. Das kann man sich bei YouTube ansehen Empfehle ich auch jedem. Felix: Vielen Niklas: erstmal ist das einfach ein interessanter Gedanke zu sagen, was kann man denn proben Aktiv machen, um Angreifern das Leben schwer zu machen. Und in die Richtung habe ich selber bisher noch nicht wirklich gedacht. Aber ich [00:37:00] glaube, wenn man da kreativ ist und es vielleicht sogar ein unternehmerischer Case ist sich anzugucken, was machen Wie die Phishing, also was für verschiedene Phishing-Attacken gibt es und auf welchem Wege erreichen die mein Unternehmen und wie kann ich dann vielleicht, wenn ich die gefiltert habe, nicht einfach nur melden, oh, hier, das ist eine Phishing-Attacke, die lasse ich gar nicht durch, sondern wie kann ich dann irgendwie eine Nachricht zurücksenden, um die Leute irgendwie in die Irre zu führen oder so. Das ist eigentlich ein ganz cooler Gedanke. Ja, ich glaube, das macht tatsächlich auch noch, also zumindest... Kenne ich keinen, der das so macht, aber vielleicht machen wir das ja irgendwann. Felix: Okay, ich habe jetzt viel verstanden oder noch besser verstanden wie groß die Bedrohung eigentlich von Cyberangriffen ist und dass diese Bedrohung tendenziell eher wachsen wird, insbesondere durch die Skalierung Niklas: Vielen Dank. Felix: Intelligenz und es wichtig ist, sich dagegen aufzustellen, aber auch [00:38:00] verstanden dass Konzerne Dort ihre Governance und Risk-Einheiten haben, ihre Security Operations Center. Glaube ich total daran, dass das hilfreiche Funktionen sind, um dagegen bestehen zu können. Jetzt mal Mittelständler nachgedacht und du arbeitest ja auch viel mit KMUs, da gibt es ja diese Ressourcen gar nicht und diese Möglichkeiten, weil die Unternehmen nicht so groß sind. Wie kann ich mich denn als KMU entsprechend aufstellen? Niklas: Ja genau. Ich hatte ja eingangs gesagt, dass es bei KMUs in aller Regel Sache des IT-Departments ist oder eben bei ausgelagerten IT-Departments das Systemhaus ist Das sozusagen mitzumachen und Oder ich kann eben explizit Auftragnehmer wie uns zum Beispiel mit dem Thema Cyber Security betreuen und wir helfen KMUs [00:39:00] insbesondere, also wir sind spezialisiert auf KMUs, so auf mittelgroße KMUs, ganz kleine nicht unbedingt, aber mittelgroße Das hat einfach eher was damit zu tun. Man muss sich halt auf irgendwas spezialisieren und wir haben uns jetzt eben auf Mittelgroße spezialisiert, weil alle haben ein bisschen, nutzen ein bisschen andere Tools, haben ein bisschen andere Schwerpunkte und so und so Deswegen haben wir uns eben in diesem Bereich spezialisiert. Und was genau machen wir dann mit diesen mittelgroßen KMUs? Wir helfen denen beim Aufbau eines sogenannten Informationssicherheitsmanagementsystems das wiederum ist. Bei großen Unternehmen Aufgabe des GRC Teams, also Governance Risk und Compliance. Und ja, bei KMUs heißt das im Prinzip, wir helfen denen dabei, erstmalig überhaupt eine Sicherheitsstrategie aufzusetzen und dann eben verbindliche Standards und Policies zu etablieren und auch wiederum Risiken zu identifizieren und zu bewerten Und Maßnahmen zur [00:40:00] Mitigation dieser Risiken festzulegen. Das können alle oben genannten sein. Also das kann die Einführung von unterschiedlichen Cyber Security Tools oder oder oder sein. Dann helfen wir dabei, die Teams zu enablen und zu trainieren, diese Maßnahmen dann am Ende auch umzusetzen Ja, wir messen dann auch die Einhaltung und die Wirksamkeit dieser Maßnahmen und überprüfen ob erfahrlerlichenfalls irgendwie noch zusätzliche Kontrollmaßnahmen angeordnet werden müssen. Dann liegt das ganze Berichtswesen bei uns. Das heißt, wir machen sozusagen Continuous Monitoring über die Effectiveness und erstellen dann auch Berichte, wie effektiv was ist und wenn wir da irgendwie Schwachstellen oder So erkennen, dann empfehlen wir eben da, wo man ansetzen kann, um es noch effektiver zu machen. So, und das machen wir eben weitestgehend Bürokratiekram, der damit eben sonst einhergeht, Das machen wir automatisiert, angefangen von der Erstellung [00:41:00] individualisierter Policies bis hin zur Risikoerkennung und dem Risikomanagement und so. Und das ist das, was sonst teilweise riesige Beratungsprojekte sind, wo aber am Ende teilweise nicht wirklich sehr viel Mehrwert generiert wird, sondern eben quasi nur bürokratischer Aufwand und diesen bürokratischen Aufwand quasi auf, Null zu reduzieren, dass man sich wirklich mit den wesentlichen Punkten also dem aktiven Risikomanagement beschäftigen kann, das ist dann das, was wir unseren Kunden abnehmen. Felix: Klasse Wer dabei Unterstützung braucht, meldet euch bei Nick Das und zum Abschluss würde ich gern von dir noch erfahren. Wie blickst du denn auf die nächsten zwölf Monate in der AI-Welt? Wir haben jetzt Niklas: Vielen Felix: ist GBT 4.5 rausgekommen, glaube ich das erste Mal eher eine Enttäuschung gewesen, die Geschwindigkeit ja echt an, also [00:42:00] wahnsinniges Wettrennen in dem Markt, du hast gesagt, ihr nutzt auch KI schon in euren eigenen Prozessen Produkten und so weiter, wo Siehst du die Entwicklung in den nächsten zwölf Monaten?  Niklas: ich mich am meisten freue, ist tatsächlich was... Open AI jetzt zum Beispiel mit Deep Research vorgemacht hat, dass aus Agenten nicht einfach nur Automatisierung oder das, was früher einfach nur Automatisierung in meinen Augen war, also, keine Ahnung, diese ganzen Transkribierungsagenten und so, die wir alle mal jetzt in unseren Meetings mit dabei haben, das ist ja... Also das ist cool, das hilft, das will ich jetzt gar nicht kleinreden das ist super nützlich und hilfreich, aber es ist für mich kein Wow-KI, sondern es ist eigentlich nur Automatisierung. Und Deep Research ist für mich das erste wirklich coole greifbare Beispiel, wie [00:43:00] ein echter KI-Agent aussehen kann, der sozusagen einen Befehl nimmt, Dann auf ein LLM zugreift, mit dem Befehl dann irgendwas mithilfe dieses LLMs macht und mir dann selber Entscheidungen trifft und mir dann ein besseres KI-gestütztes Ergebnis zurückgibt. Und das ist, das glaube ich, werden wir dieses Jahr noch deutlich stärker sehen und das ist, glaube ich, das, wo wirklich der Zauber auch drinstecken wird von KI. Und da freue ich mich drauf. Felix: Vielen Dank, Niklas, für deine Zeit, dass wir einmal durch das Thema Cybercrime und Cybersecurity mit AI durchgegangen sind und ich bin gespannt, wie sich das entwickelt und hoffe, dass wir für sämtliche Bedrohungen, die uns durch die Technologie entgegenstehen auch die passenden Lösungen finden. Vielen Dank. Niklas: Danke dir auch.