Newsletter

Dies sind die dV-News 18-2023 und die dazugehörenden Artikel und Links. Besorgt über das Verhalten einiger führender Figuren der IT-Szene, diese Ausgabe schlägt eine in den USA bereits lancierte sensible Diskussion vor.

Ein eShermannAct, um das exorbitante Monopol der Big Tech einzuschränken?

Innerhalb von nur zwei Wochen wurden zwei besorgniserregende Beispiele bekannt: Elon Musks Einmischung in den Konflikt in der Ukraine und die Tatsache, dass Facebook und Instagram die Veröffentlichung von Nachrichtenseiten blockierten, die im Zusammenhang mit den aktuellen riesigen Waldbränden im Kanada von vitaler Bedeutung sind. Es ist dringend notwendig, dass die Demokratie solches Verhalten unmöglich macht.

Die USA war Pioniernation im Ölbereich mit dem Sherman Anti-Trust Act vom 2. Juli 1890, um wettbewerbsfeindliches Verhalten von Unternehmen einzuschränken. Damit wurde der Grundstein für das moderne Wettbewerbsrecht gelegt. Der Senator John Sherman aus Ohio sprach Klartext: «Wenn wir nicht wollen, dass ein König unser Land regiert, können wir nicht akzeptieren, dass ein König unsere Produktion, unseren Transport oder den Verkauf unserer Produkte regiert».

Heute geht es jedoch nicht darum, sich gegen die wirtschaftliche Macht bestimmter Unternehmen zu wehren, sondern zu verhindern, dass sie sich unrechtmässig politische Macht aneignen.

Diese Macht lässt sich an verschiedenen Zahlen ablesen, die, obwohl sie nicht immer vergleichbar sind, bereits wichtige Hinweise geben. Was ist z.B. von Apples Börsenwert zu halten, der das BIP von Frankreich, der siebtgrössten Wirtschaftsmacht der Welt, erreicht? Was von seinem Gewinn 2022, der das BIP von mehr als 80 Staaten übersteigt? Apple ist kein Einzelfall und in unseren Beiträgen machen wir uns regelmässig Sorgen über die Machenschaften von Elon Musk, der mit X immer wieder zeigt, dass ihm die Auswirkungen seiner Entscheidungen auf seine Nutzer egal sind. Tesla erscheint sogar als die schlechteste Automarke, wenn es um das Sammeln von persönlichen Daten geht.. Und die Macht, die er sich mit Starlink in der Ukraine angeeignet hat, ist wohl nur ein Vorspiel auf die negativen Auswirkungen seiner dominanten Position mit SpaceX! Und nun erfahren wir noch, dass Meta ebenso fragwürdige Entscheidungen im Zusammenhang mit den Bränden in Kanada getroffen hat?

Wir halten es für unangebracht, dass diese Starunternehmer sich als Staatsmänner aufspielen und mit Präsidenten und Premierministern auf Tournee gehen, die oft von den Cyber-Entwicklungen überfordert sind und die es für schlau halten, sich mit Leuten zu zeigen, die erzählen, was sie wollen, wann sie wollen – wir  haben das in diesem Jahr bereits mehrmals mit Sam Altman, dem Gründer von OpenAI, gezeigt – und die sicher keine Verantwortung übernehmen werden, wenn ihnen die Dinge aus den Händen gleiten. Wir haben bei Facebook gesehen, dass sie nicht vor Geldstrafen zurückschrecken, da ihre Anwaltsbataillone es immer schaffen, die Rechnung zu reduzieren oder zu stornieren, die immer noch weit unter ihren Gewinnen liegt. Wie genial sie auch sein mögen, diese Figuren brauchen klare Grenzen. Staaten, Unternehmen und Einzelpersonen müssen wieder die Kontrolle über ihre Souveränität erlangen. Die Demokratie und das Recht sind in grosser Gefahr.

Kleiner Cyberdigest

Die Themen, die uns in den vergangenen zwei Wochen besonders beschäftigten.

• Vertrauen – ein wichtiges Gut. Wir empfehlen das Heft deftech exploration zum Thema Vertrauen, das vom Bereich für technologische Zukunftsforschung der armasuisse Wissenschaft und Technologie unter der Leitung des hervorragenden Dr. Quentin Ladetto herausgegeben wurde. Eine Pflichtlektüre, um in das Thema einzusteigen.
• Mein Auto verrät mich – Wissen Sie, was Ihr Auto über Sie weiss? Wie können unsere sexuellen Vorlieben und religiösen Überzeugungen für die Hersteller von guten Autos von Interesse sein? Diese Praktiken machen einmal mehr deutlich, dass Daten zu einer billigen Ware geworden sind. Auch hier sind dringende Massnahmen gegen das, was man als Raubbau bezeichnen kann, erforderlich. Und wenn man Ihnen sagt, dass Sie ein Opt-out machen können (wird selten angeboten), dann werden Sie angelogen. Und jedes Schweizer KMU ist verpflichtet, das neue DSG einzuhalten, aber hier…!
• Deutsche Verluste – Laut dem neuen BITKOM-Bericht erlitt die deutsche Wirtschaft im Jahr 2022 Schäden in Höhe von 206 Mrd. Euro (5,3% des BIP) durch Diebstahl von Ausrüstungen und Computerdaten sowie durch digitale und analoge Industriespionage und -sabotage. Im Jahr 2022 verlagerten sich die Angriffe auf Unternehmen in den digitalen Bereich und 70% der Unternehmen waren vom Diebstahl sensibler Daten betroffen oder hatten den Verdacht darauf (+7% im Vergleich zum Vorjahr). 61% klagten über das Ausspähen digitaler Kommunikation (+4%) und die digitale Sabotage von Systemen oder Betriebsabläufen (+8%). Bei den Cyberangriffen steht Phishing mit 31% (+6%) an erster Stelle, gefolgt von Angriffen auf Passwörter mit 29% (+4%) und 28% durch Malware (+3%). 23% der Unternehmen berichten über Schäden durch Ransomware (+11%), während DDoS-Angriffe von 21% auf 12% zurückgingen. Allein die Cyberangriffe machen nun 72% des Schadens für die deutsche Wirtschaft aus, was 148 Mrd. Euro oder 3,8% seines BIP entspricht.

BOOKS & REPORTS
Hier sind die Bücher und Publikation von Interesse, die wir bei unseren Recherchen in den letzten zwei Wochen gefunden haben.

In Kürze

▶︎ Malware-Jagd in den USA – Irgendwo in der IT-Infrastruktur der US-Streitkräfte soll sich eine Malware verstecken, die militärische Operationen stark beeinträchtigen kann.

▶︎ Meldepflicht – Ein US-Gesetzentwurf sieht vor, dass Betreiber kritischer Infrastrukturen die Behörden informieren müssen, wenn sie Schwachstellen entdecken.

▶︎ Internationaler Strafgerichtshof – Ein Staatsanwalt beschloss, Cyberkriminalität als schwere Verbrechen einzustufen, die in seine Zuständigkeit fallen, da sie grundlegende internationale Verbrechen darstellen können. Auch das IKRK erinnerte an die Regeln zur Unterscheidung und Proportionalität der Ziele im Rahmen eines bewaffneten Konflikts.

▶︎ Xplain: nächste Episode – Datenfunde zeigen alle zwei Wochen eine schlimmere Lage.

▶︎ Das Gesicht des Krieges – Die Verfolgung des Konflikts in der Ukraine zeigt, dass bestimmte Konstanten wie Kampfpanzer und Artillerie weiterhin aktuell sind. Aber man lernt auch, wie wichtig es ist, sich ständig anzupassen. Technologische Agilität ist jetzt eine Schlüsselkompetenz

▶︎ Cosmos – Für alle, die vom Weltraum fasziniert sind, gibt es eine neue Serie von atemberaubenden Aufnahmen des James Webb Teleskops.

Wir wünschen Ihnen viele lehrreiche Entdeckungen in den ausgewählten Artikeln und Links und freuen uns, Sie bald wieder zu informieren.

Möchten Sie die Arbeit von digiVolution unterstützen? Schreiben Sie uns an info@digivolution.swiss

Dies sind die dV-News 17-2023 und die dazugehörenden Artikel und Links nach erneut turbulenten 15 Tagen für das Land (1, 2, 3, 4, 5).

BRICS-Gipfel: Was ist mit dem Cyberraum?  

Der jüngste BRICS-Gipfel in Johannesburg muss uns aufrütteln, denn der Aufstieg dieser Gruppe, der nun durch sechs neue Mitglieder, darunter Saudi-Arabien (bisher Verbündeter der USA), intensiviert wird, ist ein strategisches Faktum. Trotz der Herausforderungen und Ungleichheiten innerhalb dieser Gruppe, handelt es sich um einen Wirtschaftsgiganten, der die G7 übertrifft. Und keines ihrer Mitglieder und Partner haben Sanktionen gegen Russland für den Krieg in der Ukraine verhängt. Der «Club» besitzt 44% der weltweiten Ölreserven, 36% der Landfläche (doppelt so gross wie die G7) und 45% der Weltbevölkerung (viermal die der G7). Die Karikatur der Daily Mail vom Oktober 1962, in der nun China statt Russland zu sehen ist, behält somit ihre Relevanz. Doch dieses Mal zeigt Xi Jinpings Finger wohl eher auf die Entdollarisierung als auf Atomwaffen.

Welche Auswirkungen auf die digitale Mutation kann diese «BRICS+»-Allianz haben, welche zum strategischen Konkurrenten für die G7-Staaten und ihre Partner wird, darunter die Schweiz? Vier haben wir festgestellt:

• Globales Netzwerk – Der Westen glaubte an ein Internet als Instrument der demokratischen Errungenschaften. In den BRICS+-Ländern hat sich das Internet im Gegenteil zu einer perfekten Unterstützung für ihre autoritären politischen Systeme entwickelt. Während der Westen versucht, den Technologiegiganten Regeln aufzuerlegen, haben diese Länder das Problem weitgehend gelöst. Wird die Kluft, die sich zwischen BRICS+ und den G7-Staaten auftut, trotzdem noch die Kommunikation zwischen diesen beiden Systemen gewährleisten?
• Standardisierung – Wenn man der Welt seine technologischen Regeln aufzwingt, kann man der eigenen Industrie Vorteile verschaffen. In diesem Zusammenhang hat China mit seinen starken Allianzen die Macht der Standardisierung als Hebel verstanden, auf den es nun sein ganzes Gewicht gegenüber den USA stützt. Europa bleibt in diesem Duell der Titanen hauptsächlich Zuschauer. Wie wird sich dies auf unsere Exportwirtschaft auswirken, wenn der Dollar und der Euro zusätzlich geschwächt werden?
• Mineralrohstoffe – China hat sich in den letzten 40 Jahren mit grosser Intelligenz strategisch positioniert. Der Westen, der darauf fixiert war, billig produzierte Waren zu erhalten, hat sich deindustrialisiert und krankt an zahlreichen Abhängigkeiten. Die BRICS+-Staaten beherrschen mehr als 66% der Stahlproduktion, während die G7-Staaten nur einen Anteil von 12% haben. China allein ist bereits für 76% der Produktion von Seltenen Erden und 54% der Aluminiumproduktion verantwortlich. Da die Nachfrage nach Metallen weiter steigt, sind verschiedene Stress- und Knappheitssituationen zu befürchten. Welche Folgen hat dies für unsere IKT- und Energieindustrie, zumal China auch 85% der weltweiten Produktion von Photovoltaikmodulen kontrolliert?
• Produktion – Die COVID-Krise hat den Westen wachgerüttelt, der nun endlich daran arbeitet, seine strategischen Abhängigkeiten zu reduzieren. In den USA und Europa werden verschiedene Fabriken gebaut, um besondere Kapazitäten, darunter im Halbleiterbereich, wieder herzustellen. Bis die Entscheidungen die erhoffte Wirkung zeigen, werden jedoch noch einige Jahre vergehen. Derzeit entfallen auf Taiwan, das Peking wieder in das chinesische Mutterland eingliedern will, 63% der weltweiten Halbleitergiessereikapazitäten und sogar 90% bei den fortschrittlichsten Systemen (5nm). Und was ist mit einem Konflikt der auch Nordkorea, Südkorea und Japan in den Sog ziehen könnte, da die beiden letzteren auch eine wichtige Rolle in der weltweiten IKT-Produktion spielen. Gibt es den Plan B?

Die Position der westlichen Länder wird immer heftiger in Frage gestellt. Die BRICS+ behaupten zwar, das Völkerrecht und die UNO respektieren zu wollen (die Fakten in der Ukraine und im Chinesischen Meer sprechen eine andere Sprache), wollen aber eine multipolare Welt, d. h. eine Welt, die von der Dominanz der Amerikaner und des Dollars befreit ist. Da das Internet mittlerweile zum Arsenal der sich streitenden Parteien gehört, ist es zwingend notwendig, die vielen Konsequenzen zu antizipieren, die dieses Bestreben die Weltkarten neu zu mischen mit sich bringen wird. Reibungslos ablaufen wird das wohl nicht.

Kleiner Cyberdigest

Die Themen, die uns in den vergangenen zwei Wochen besonders beschäftigten.

• Cyberkriminalität – Wir empfehlen die Lektüre des Berichts des deutschen Bundeskriminalamts (BKA). Eine Zahl ist besonders auffällig: nur einer von zwölf Fällen wird dem BKA bekannt gemacht.
• Die kritischen Infrastrukturen der Schweiz  haben es schwer – Während der Sommer zu Ende geht, beginnen wir wieder an den Energiebedarf des nächsten Winters zu denken und… wir stellen fest, dass unsere Infrastrukturen immer noch nicht cybersicher sind, während eine Kommission des Bundesparlaments herausfinden will, ob KI in diesem Bereich helfen könnte. Was haben das UVEK und die Stromindustrie seit dem Bericht vom Juni 2021 ausser Ankündigungen getan? Der Zusatz zum Informationssicherheitsgesetz, welcher die Betreiber kritischer Infrastrukturen dazu verpflichtet, Cybervorfälle bekannt zu machen, hätte wie das neue DSG am 1. September in Kraft treten sollen. Aber das Dossier geht wieder zurück in den Nationalrat. Kein Kommentar!
• CONNECTED 23 – Eine grossartige Veranstaltung, viel guter Wille, eine ausgezeichnete Organisation, aber ein festlicher und showartiger Ton, der sich angesichts der gefallenen Soldaten in Europa nicht gut mit der nötigen Ernsthaftigkeit in Verteidigungsfragen verträgt. Und wo stehen wir wirklich bei den Versprechungen von Unabhängigkeit, Zuverlässigkeit und Sicherheit im Cyberbereich?

BOOKS & REPORTS
Hier sind die Bücher und Publikation von Interesse, die wir bei unseren Recherchen in den letzten zwei Wochen gefunden haben.

In Kürze

▶︎ Klonen der Stimme – Die Technik und ihre Verfügbarkeit schreiten unaufhörlich voran. Also lassen Sie sich nicht mehr aufnehmen, da Ihre Stimme sonst für bösartige Aktionen verwendet werden kann. Diejenigen, die Angst vor dem Tod haben, können hingegen versuchen, digital unsterblich zu werden.

▶︎ GPT-5 – Sam  Altman, CEO von OpenAI, sagte im Juni, dass eine Nachfolgeversion von GPT noch lange nicht auf der Tagesordnung stehen würde… aber OpenAI setzt bereits einen Webcrawler genau für dieses GPT-5-Modell ein. Lügengeschichten, die Musk würdig sind, als dieser ein sechsmonatiges Moratorium für die Entwicklung von KI forderte, während er zur gleichen Zeit Twitter (oder X) mit derselben KI ausbaute. Wie viele haben die Angst vor dem angeblichen Weltuntergang bemüht, obwohl ihre Motivation nur darin bestand, ihre Mitbewerber auszubremsen. Hoffen wir, dass wir mit SwissGPT etwas Handfestes haben werden.

▶︎ ISO 27001 on YouTube – Sie fragen sich noch, was für ein Standard das ist? Wir empfehlen Ihnen die Webinarserie von Sawyer Miller. Leicht zugänglich, wenn auch mit einer Dauer von fast sieben Stunden. Planen Sie also die Verpflegung ein…! Für diejenigen, die den NIST-Standard für Cybersicherheit bevorzugen, wird das Update 2.0 nach einem langen Konsultationsverfahren ab Anfang 2024 verfügbar sein.

▶︎ Post-Quantum-Cryptography – Während die USA den Schritt hin zu einer Kryptographie angeordnet haben, die den kommenden Herausforderungen gewachsen ist, ist in Europa noch nichts dergleichen zu sehen, geschweige denn in der Schweiz. Ein kompliziertes Erwachen steht bevor!! Und doch verfügt die Schweiz bereits über  eine funktionierende Lösung…

▶︎ Sondage, Achtung Gefahr – Wie wir den Eindruck erwecken, dass wir in Sachen Cybersicherheit weltklasse sind? Ganz einfach… indem man einen Artikel über die Ergebnisse einer Umfrage veröffentlicht, die besagt, dass 63% der Schweizer ziemlich gut in Sachen Cybersicherheit sind, obwohl sie auf 802 Antworten basiert… von wem, wie ausgewählt? Und das soll eine wissenschaftliche Tatsache sein? Hallo!

▶︎ Xplain: nächste Episode – Eine externe Untersuchung wurde nun an eine (qualifizierte?) Anwaltskanzlei vergeben, um bis Ende März 2024 festzustellen, welche Mechanismen den Besitz von Daten des Bundes durch diese Firma geregelt haben. Jüngste Entwicklung: Daten aus dem JORASYS-System (die letzten aus dem Jahr 2023) waren im Darkweb verfügbar. Sie wurden zwar als unvollständig bezeichnet, ermöglichten es Journalisten dennoch, ehemalige Mitarbeiter (die nicht von Bern informiert wurden) aufzuspüren und ihnen Fragen zu stellen. Wann kommen die nächsten Enthüllungen?

Wir wünschen Ihnen viele lehrreiche Entdeckungen in den ausgewählten Artikeln und Links und freuen uns darauf, Sie bald wiederzusehen.

Möchten Sie die Arbeit von digiVolution unterstützen? Schreiben Sie uns an info@digivolution.swiss

Dies sind die dV-News 16-2023 und die dazugehörenden Artikel und Links. Wenn Sie diesen Beitrag lesen, werden die meisten von Ihnen die Ferien hinter sich haben. Erlauben Sie uns einen letzten Sommertraum und einen Appell an alle Führungskräfte, die Folgen der digitalen Mutation und Antifragilität ganz oben auf ihre Agenda zu setzen.

Die Gesellschaft muss lernen, mit einem instabilen System umzugehen

Unsere Gehirne sind nicht darauf ausgelegt, in Wahrscheinlichkeiten zu denken und mit Ungewissheit umzugehen und wir sind auch nicht darauf trainiert, mit komplexen Fragen umzugehen. Die Überbringer schlechter Nachrichten, die, die immer alles ändern wollen, und die Visionäre werden von denjenigen gehasst, die sich nach einer 42-Stunden-Woche sehnen und immer nur ein Problem auf einmal angehen. Aber die digitale Mutation beeinflusst alles und Stabilität und Berechenbarkeit sind in einer hypervernetzten Gesellschaft, in der alles voneinander abhängig ist und Unmittelbarkeit die Regel ist, weitgehend zu Utopien geworden. Die hitzige Diskussion über KI, die durch die Einführung von ChatGPT ausgelöst wurde, ist nur einer der vielen Entwicklungen, die von den laufenden und künftigen Disruptionen zeugen. Die Gesellschaft befindet sich in einem Zustand gleichzeitiger vielfältiger Gleichgewichte (wie ein Quantencomputer, in dem jedes Qubit in mehreren Zuständen von 0 und 1 sogleich existiert) und die zentrale Frage lautet: «Wie gehen wir mit dieser Situation um?».

Einige angelsächsische Akronyme sind populär geworden, um die heutige Welt zu beschreiben: VUCA für volatil, unsicher, komplex und mehrdeutig und BANI für fragil, ängstlich, nichtlinear und unbegreiflich. Die logische, einfache, binäre Welt, die sich im darwinschen Rhythmus weiterentwickelt – ist Geschichte.

Wenn man unsere Organisationen, Gesetze oder unsere Bildung mit dieser Realität vergleicht, muss man feststellen, dass die Kluft immer grösser wird. Was tun wir, um die Folgen der digitalen Mutation wirklich zu bewältigen? Eine Minderheit ist dazu in der Lage, aber die Mehrheit konsumiert die Technologie passiv. Was die Risiken angeht, sind viele Akteureunzureichend vorbereitet und nur wenige verfügen über Eventualplanungen (wenn A passiert, dann mache ich B oder C); viele glauben auch naiv, dass sich die Ereignisse sogar an ihre Regeln halten werden… Die Weltordnung der Nachkriegszeit ist nicht nur am 24. Februar 2022 in der Ukraine zusammengebrochen. Seit 40 Jahren beugt sie sich dem ständigen Druck der digitalen Mutation.

Dieser Wandel hat Fortschritte gebracht, die noch vor zehn Jahren unvorstellbar waren, aber wie wir in unserem letzten Newsletter schrieben, ist es höchste Zeit, dass die Schweiz für sich über eine laufend aktualisierte Analyse der Risiken und Chancen verfügt, die als Grundlage für unsere Entscheidungen dient, um uns an die Welt anzupassen, uns aus dem Grossen Spiel herauszuhalten und ein positiver, vorausschauender Akteur zu sein. Die Welt wird sich nicht an uns anpassen, sondern uns im Gegenteil immer wieder überraschen. Seien wir nicht der Frosch, der zu spät merkt, dass er schon am Kochen ist! Wir sollten aufhören, die Welt als ein Verfahrensproblem zu behandeln, wenn sie in Wirklichkeit zutiefst dynamisch, chaotisch und ungleichmässig ist.

US-General Stanley McChrystal hat die Anpassungsfähigkeit zu einem zentralen Pfeiler seiner Führung gemacht und erklärt, dass «Anpassungsfähigkeit, nicht Effizienz, die Kernkompetenz des Soldaten sein muss». Beim Militär wird die adaptive Planung zentral, um Situationen, die sich immer als komplexer und zufälliger erweisen als erwartet. Wie können wir unsere Welt in Bezug auf nicht oder zumindest kaum vorhersehbare Disruptionen optimieren, die fragile, weil hochspezialisierte Systeme treffen? Indem wir unsere Organisations- und Risikolandschaft genau kennen, Eventualplanungen erstellen, einfach bleiben, unsere Mitarbeitenden regelmässig trainieren und alle auf ihrer Ebene ständig über qualitativ hochwertige Nachrichten verfügt. Angesichts eines wie auch immer ausfallenden Schocks haben alle, die nicht vorbereitet sind, keine Chance auf Erfolg.

Die Schweiz muss mehr als widerstandsfähig, mehr als resilient sein. Sie muss einen Schritt weiter gehen und ihre Antifragilität entwickeln und pflegen. Sie hat die Mittel dazu. Es fehlt ihr nur der Wille.

Und möge uns das Bild und die Gedanken von Bilgin Ibryam, einem leidenschaftlichen Follower von Nassim Nicolas Talebs Theorie der Antifragilität, inspirieren.

Kleiner Cyberdigest

Die Themen, die uns in den vergangenen zwei Wochen besonders beschäftigten.

• Copilot – Wir empfehlen allen Unternehmen und Organisationen, sich die nötige Zeit für die bevorstehende (R)Evolution ihrer Arbeitsmittel zu nehmen, denn Microsoft kommt mit Copilot, einer Anwendung von künstlicher Intelligenz und von OpenAI entwickelten Modellen auf die Office-Software, die von einer grossen Mehrheit der in der Schweiz arbeitenden Menschen verwendet wird. Microsoft hatte den richtigen Riecher und investierte fast 13 Milliarden US-Dollar in diese Entwicklung, da sein Vorsprung vor der Konkurrenz – die bereits stark geschwächt war – nunmehr überwältigend ist. Selbst die New Yorker Börse beginnt, sich über das Gewicht von Big Tech zu erregen. Aufmerksamen Beobachtern werden auch feststellen, dass sich diese Giganten nicht nur für das digitale Feld interessieren. Microsoft interessiert sich auch sehr für die Kernfusion, die gerade einen wichtigen Schritt nach vorne gemacht hat.
• In China investieren – Wer hat gesagt, dass die USA das Land der Paradoxien sind? Auf jeden Fall ist eine Kluft zwischen dem Diskurs der US-Regierung, die bereit zu sein scheint, sich militärisch zu bekämpfen, und der Privatwirtschaft, die erhebliche Summen in chinesische Hochtechnologie investiert, festzustellen. Beachten wir nebenbei, dass das Pentagon als ungeeignet gilt, um in dieser Frage die Führung zu übernehmen, denn für eine erfolgreiche integrierte Abschreckung darf der Hammer auch nicht das Mittel der ersten Wahl sein.
• Lageberichte – In den letzten zwei Wochen haben wir interessante Berichte entdeckt: den Bericht an den US-Kongress über Fortschritte in der KI, den Plan des CIO des US-Verteidigungsministeriums für die Umsetzung der Cyber Workforce, die Entwicklung des Datenschutzrahmens zwischen EU und den USA, den RUSI-Bericht über die Herausforderungen für Versicherungen durch Ransomware, die Cyber-Bedrohungsberichte von Qualys und BlackBerry und schliesslich McKinseys KI-Überblick.

BOOKS & REPORTS

In Kürze

▶︎ Cybersicherheit in der Schweiz – Die Xplain-Affäre schlägt weiterhin leise Wellen, aber die Medien bleiben aufmerksam bei diesem Dossier, das immer noch Überraschungen bereithält und dessen wahre Auswirkungen noch nicht offenbart worden ist. Die Noten, die verteilt werden, sind zu Recht alles andere als positiv.

▶︎ Brasilien – Cybersicherheit ist auch ein Thema für Präsident Lula. Zum Entdecken.

▶︎ Schutz der Privatsphäre – Kinder zeigen oder nicht zeigen? Nicht alle Influencer haben die gleichen ethischen Grundsätze.

▶︎ North Star – Ein Projekt mit dem Auftrag, einen Rahmen für die Formulierung der Grand Strategy der USA zu entwickeln und zu untersuchen, der Ansätze der strategischen Vorausschau zur Verbesserung der Planung einbezieht. Ein Bereich, der in der Schweiz unzureichend entwickelt ist. Ausser bei der Vereinigung futurs.ch.

Und wie so oft, ein kurzer Ausflug ins All… Dieses Mal für einen Seufzer der Erleichterung, denn die NASA hätte beinahe Voyager 2 verloren, nachdem sie ihr ein falsches Software-Update geschickt hatte, das den Datenstrahl um 2° verschob und somit die Kommunikation mit der Sonde verlor. 20 Milliarden km und 37 Stunden, bis das Signal die Sonde erreichte und die Antwort zur Erde zurückkehrte. Die Folgen eines kleinen Stücks Code, das nicht richtig ausgearbeitet wurde….

Wir wünschen Ihnen viele lehrreiche Entdeckungen in den ausgewählten Artikeln und Links und freuen uns darauf, Sie bald wiederzusehen.

Möchten Sie die Arbeit von digiVolution unterstützen? Schreiben Sie uns an info@digivolution.swiss

Dies sind die dV-News 15-2023 und die ausgewählten Artikel und Links.

«Vater, vergib ihnen, sie wissen nicht was sie tun!» (Lukas 23:34)

Wer hätte gedacht, dass ein Newsletter von digiVolution einmal mit einer Bibelstelle beginnen würde, in der Jesus sich an Gott wendet, um die römischen Soldaten zu unterstützen, die ihn gerade gekreuzigt haben? 1945 Jahre später, am 16. Juli um 5:29:45 Uhr, wurde in Los Alamos die erste Atombombe der Geschichte gezündet: Trinity. Ihr Erfinder, Robert Oppenheimer, ist nun Gegenstand eines von der Kritik empfohlenen Films. Trinitybeschleunigte sicherlich die Kapitulation der japanischen Streitkräfte am 15. August 1945, aber die Tragödie der Bombardierung von Hiroshima am 6. August und Nagasaki am 9. August überzeugte ihn von dem verheerenden Potential dieser Art von Waffe. Er war eine der ersten Stimmen, die sich gegen das nukleare Wettrüsten im Kalten Krieg aussprachen.

Die Bombe löste eine geopolitische Disruption aus. Das daraus resultierende Gleichgewicht des Schreckens, da die Russen die Bombe kurz darauf ebenfalls besassen, verhinderte, dass der westliche und sowjetische Block direkt aufeinander losgingen. Das hervorragende Oppenheimer-Spezial des Bulletin of the Atomic Scientists illustriert perfekt, was in dieser Zeit auf dem Spiel stand und dass, allein in den USA, noch immer astronomische Summen in diesen Bereich fliessen.

Was hat der digitale Wandel damit zu tun?

Was passiert, wenn dieser Wandel, wenn auch unter ganz anderen Bedingungen, ein ähnliches Risiko wie Atomwaffen darstellt? Eine zweifellos provokative, aber notwendige Frage. Könnte die Summe der mit dem digitalen Wandel verbundenen Risiken eine (schleichende) Bedrohung für die Menschheit darstellen, die mit Atomwaffen vergleichbar ist? Schleichend, weil im Gegensatz zu diesen Massenvernichtungswaffen, die die Erde in wenigen Minuten verwüsten könnten, die Gefahren und Bedrohungen, die mit dem Cyberraum verbunden sind, unterschiedlich ausfallen dürften. Für den UNO-Generalsekretär ist aber das Risiko vergleichbar und er befürchtet insbesondere eine unkontrollierte Interaktion zwischen den beiden. Wie das Forecasting Research Institute es getan hat, wäre eine gründliche Überlegung nicht fehl am Platz, da derzeit die Menschheit zwischen allen möglichen Annahmen und oft irrationalen Ängsten schwankt.

Wie in früheren Beiträgen erwähnt, lassen sich drei Kategorien von Menschen in Bezug auf der digitalen Mutation unterscheiden: die Technofreaks, die glauben, dass die Technologie alle Probleme lösen wird (damit vergessen sie ihre Rolle in der aktuellen Situation…), die Techneutralen, die IT-Produkte und -Dienstleistungen konsumieren, ohne sich gross Fragen zu stellen, und die Technoskeptiker, die die Technologie vor allem als Risiko betrachten, wobei die fanatischsten unter ihnen alles regulieren und sogar in die Steinzeit zurückgehen wollen. Und natürlich gibt es zwischen diesen drei Kategorien eine ganze Reihe von Variationen, die wir der Fantasie unserer Leser überlassen. Was jedoch interessant ist, ist die Konstante zwischen diesen Kategorien: Der völlige Mangel an Wissen, um die Überzeugungen, Ängste und Annäherungen der einen oder anderen Seite zu bestätigen oder zu entkräften. Im Klartext bedeutet dies, dass die Gesellschaft über keine dynamische und gemeinsame Analyse verfügt, um die Risiken sachlich zu qualifizieren. Infolgedessen handeln die Staaten punktuell und ohne auf die Bedenken von Unternehmen und Arbeitnehmern einzugehen. Das Ergebnis ist eine Flucht nach vorn. Angesichts der potenziellen systemischen Risiken, die mit dem digitalen Wandel verbunden sind, ist diese Passivität der Gesellschaft und der Politiker unverantwortlich. Eine umfassende und seriöse Risikoanalyse der digitalen Mutation ist zwingend erforderlich.

Und ist es zu viel verlangt, dass unser Bundesrat eine allgemeine Politik entwickelt und führt, die mit dem digitalen Wandel Schritt hält? Dann würden wir vielleicht auch verstehen, warum die Schweiz nicht an der Erklärung zur Zukunft des Internets teilnimmt…!

Kleiner Cyberdigest

Die Themen, die uns in den vergangenen zwei Wochen besonders beschäftigten.

• X – Der kleine blaue Vogel wurde von seinem unberechenbaren Besitzer schlecht behandelt. Wird er es zu einem neuen Erfolg wie SpaceX machen oder wird er sein 44 Milliarden teures Spielzeug in die Gosse werfen? Twitter war eine anerkannte Informationsquelle, jetzt können Trolle gegen eine geringe Gebühr ohne Regeln und ohne Kontrolle beliebige Inhalte verbreiten. Es wird sich zeigen, ob Musk es schafft – bevor alle seiner Eskapaden überdrüssig werden – das von ihm skizzierte Instrument daraus zu machen. Wie auch immer das Ergebnis ausfallen mag, schlagen wir bereits zwei Lehren vor: 1) dass der Gesetzgeber einen Rahmen schafft, damit die allgemeinen Geschäftsbedingungen der Dienstanbieter einfacher werden und 2) ein Mechanismus, der die Nutzer dazu zwingt, sie zu lesen und zu verstehen, bevor sie sich in völliger Unwissenheit in die Abhängigkeit von Verantwortlichkeiten begeben, die sie überfordern. Wann haben Sie, liebe Leserinnen und Leser, solche Bedingungen vollständig gelesen?
• Cyberbedrohung – Sowohl der Angriff auf Microsoft als auch derjenige auf Xplain zeigen, dass die Folgen eines Cybervorfalls zu minimieren (oder zu verbergen?) ist nach wie vor ein beliebter Trend. Am Ende erweisen sich die Sorgen jedoch immer als viel ernster als angekündigt. Ein wenig mehr Ehrlichkeit und Bescheidenheit in der Krisenkommunikation wären angebracht. Eine weitere Erkenntnis der letzten zwei Wochen ist, dass böswillige Akteure faul werden; sie sparen sich die komplexe Verwaltung einer Verschlüsselungsinstanz und wenden zunehmend die Methode der encryptionless extortion attacks an. Dies ist zwar eine Sorge weniger für die Opfer, ermöglicht es aber den Angreifern, eine leichter zu handhabende Form des Angriffs zu vervielfachen.
• QUANTUM – Wenn sich die Ankündigungen der Koreaner in Bezug auf eine mögliche Supraleitung bei Raumtemperatur und -druck bestätigen (es gibt noch Zweifel), wird es eine enorme Beschleunigung in Richtung eines kommerziellen Quantencomputers geben. Eine letzte Warnung vor dem Übergang zu einer Post-Quantenkryptographie. Denn verschlüsselte Daten, die heute gestohlen werden, können morgen entschlüsselt werden.

BOOKS & REPORTS

En bref

▶︎ Weisses Haus – Die Cyberinitiativen überschlagen sich mit einem Programm zur Kennzeichnung der Cybersicherheit für Smartgeräte und Gesprächen mit der KI-Industrie, um sie auf einen (unserer Meinung nach naiven) Pfad der Tugend zu führen, um die amerikanischen Konsumenten zu schützen…

▶︎ OPSEC – Und wieder wurden Soldaten getötet, weil sie die vielen Fallen nicht verstanden haben, die man ihnen mit einem Smartphone stellen kann. Dieses Mal über Tinder.

▶︎ ChatGPT wird dümmer – Es wurde angenommen, dass die Zeit ihre Qualität verbessern würde, aber Forscher zeigen, dass sich ihr Verhalten verschlechtert, anstatt sich zu verbessern.

▶︎ Typischer Schweizer Einwohner – So sieht uns eine KI: wenig Frauen und eine alles andere als junge Bevölkerung.

Das James-Webb-Teleskop feiert seinen ersten Geburtstag, fasziniert weiterhin die Wissenschaftler und liefert erstaunliche Einblicke in das Universum. Wann werden wir endlich ernsthafte Diskussionen über seine anderen Bewohner führen?  Auf jeden Fall sind die Beobachtungen unerklärlicher Phänomene zahlreich und die Debatte wird in den USA mit einem Hearing vor dem Kongress entfacht (siehe das Mapping der RAND Corporation) während derselbe Kongress den Weltraum – der im Zentrum des digitalen Wandels steht – als Teil der kritischenInfrastrukturen fördern will.

Möchten Sie die Arbeit von digiVolution unterstützen? Schreiben Sie uns an info@digivolution.swiss

Dies sind die dV-News 14-2023 und eine Auswahl an ausgewählten Artikeln und Links.

Die Beherrschung unserer Digitalisierung, ein Weg voller Hindernisse und Dilemmas

Die folgenden Gedanken sind das Ergebnis einer Sommerträumerei, einer dieser Momente, in denen man die Gedanken schweifen lässt. Im Laufe der Nachhollektüre von Büchern, die auf dem Tisch liegen und auf bessere Zeiten warten, und in der Flut von Beiträgen, die wir alle zwei Wochen analysieren, hat sich das Gefühl in unseren Köpfen eingeschlichen, dass in Helvetien einiges nicht stimmt.

Gemäss dem holistischen und systemischen Ansatz, der die Arbeit von digiVolutionauszeichnet, sind wir erneut zum Schluss gekommen, dass die Schweiz nicht erwarten kann, den digitalen Wandel und ihre Cybersicherheit zu meistern, wenn sie weiterhin siloweise handelt und wie ein toter Hund, der sich von der Wasserströmung treiben lässt, abwartet was andere tun, um sich ohne Ambitionen oder Visionen an deren Politik anzupassen.

Die folgende Tabelle, die (noch) nicht das Ergebnis einer rigorosen Recherche ist und deren Struktur und Vollständigkeit natürlich stark verbesserungsfähig ist, verfolgt eine allgemeine Fragestellung, wenn auch beschränkt auf die dargestellten Variablen. Wo stehen wir (blaue Punkte), wohin bewegen wir uns (orangefarbene Punkte) und wohin sollten wir uns bewegen(grüne Punkte).

Aus dieser Darstellung ergeben sich drei wesentliche Feststellungen:

• Die Unterschiede zwischen den dargestellten Zuständen sind gross. Der Grund dafür liegt insbesondere in folgenden Tatsachen: Die Reife der Schweizer Gesellschaft im Bereich der Digitalisierung ist wenig bekannt; das Niveau, das wir erreichen wollen, unsere Ambitionen und die öffentliche Politik sind oft unbestimmt, nicht kommuniziert, fast ohne Umsetzungsmittel oder werden dem (praktischen) Ermessen unserer liberalen Doktrin überlassen; schliesslich sind angesichts einer dynamischen digitalen Mutation und einer instabilen geopolitischen Lage selbst vernünftige Prognosen schwierig und es wäre zwingend notwendig, viel mehr in Antizipation und Prospektiv zu investieren.
• Das Spektrum ist breit, zu breit, werden einige sagen, aber er stellt die Realität dar, und wenn wir diese Gleichung lösen wollen, dann braucht es zuerst eine möglichst genaue und aktuelle Kartographie aller Fakten. Daran arbeitet digiVolution seit über 2 Jahren und wir würden uns freuen, wenn unsere Politiker dies aufgreifen würden. Es ist höchste Zeit! In diesem Sinne ist die Einschätzung von Nationalrätin Bellaiche, die Direktorin von SWICO, beunruhigend: «Digitalisierung galt im Parlament lange als Nischenthema. Ihre bahnbrechende Bedeutung für unsere Gesellschaft haben nur wenige vorausgesehen»! Befinden sich unsere Volksvertreter in einer Paralleldimension und wurden sie nur durch den ChatGPT-Hype geweckt?
• Diese Feststellungen erfordern eine Überprüfung der Gouvernanz auf Stufe Bund. Digitalisierung darf nicht als sekundäre Priorität behandelt werden, die auf viele verschiedene Akteure gestreut wird. Ein Bundesminister für Digitales, wie es einige Kantone bereits tun, ist eine Selbstverständlichkeit, die sich durchsetzen muss, ebenso wie ein(e) Gesundheits-, Verkehrs- oder Finanzminister(in). Wie wir bereits mehrfach geschrieben haben, ist die Digitalisierung kein einfacher Gebrauchsgegenstand mehr, sondern ein lebenswichtiger Bereich der Gesellschaft, der eine(n) Chef(in) mit erheblichen Mitteln braucht. Mit offenen Augen!

Illustration: Greg Perry, Toronto Star

Kleiner Cyberdigest

Die Themen, die uns in den vergangenen zwei Wochen besonders beschäftigten.

• XPLAIN – Die Enthüllungen und Erkenntnisse in dieser Angelegenheit werden jede Woche schlimmer. Es wird nun alles aufgedeckt: die Adressen unserer Bundesräte, Daten des Nachrichtendienstes des Bundes, ein substanzieller Auszug aus der Hooligan-Datenbank von 2015… Und was noch? Am Ende erfährt man, dass dieses doch erfahrene Unternehmen, das so sensible Informationen besitzt (wenn auch nur vorübergehend), in Sachen Sicherheit alles andere als vorbildlich ist.
• KI – Die von ChatGPT ausgelöste Welle ebbt nicht ab und es gibt immer noch die grosse Kluft zwischen den Techno-Optimisten, die glauben, dass die Menschheit die Oberhand gewinnen wird, wie bei anderen Technologien in der Vergangenheit, und den Techno-Kritikern, für die die Risiken viel zu gross sind, um das Ganze auf die leichte Schulter zu nehmen. Dies ist auch unsere Meinung, da wir Naivität nicht als verantwortungsvolle Politik halten.
• China, das (wieder) Angst macht – Es bedarf keiner hellseherischen Fähigkeiten, um vorherzusagen, dass China zu einem relevanten Schwerpunkt für den Westen wird, der in seinen Grundlagen und Werten immer mehr konkurrenziert wird. Unsere Nachrichtendienste klopfen regelmässig auf ihre Finger. Nichtsdestotrotz setzen diese, auch in der Schweiz, ihre aggressive Spionagepolitik fort. Vor kurzem haben sie noch Microsoft und wieder die US-Regierung ins Visier genommen und üben nun zunehmend Druck auf die Lieferkette für strategische Metalle aus. Der Handelskonflikts mit den USA – mit immer grösseren Folgen für Europa – wird nicht abnehmen.

BOOKS & REPORTS

Hier sind die Bücher und Publikation von Interesse, die wir bei unseren Recherchen in den letzten zwei Wochen gefunden haben.

En bref

▶︎ USA – Die neue Cybersicherheitsstrategie hat jetzt einen Umsetzungsplan.

▶︎ EU – Der schwierige Weg der Europäer in Sachen Souveränität(en), denn natürlich ist es nicht nur das Thema Cyber, das Brüssel beschäftigt.

▶︎ OPSEC – Erneut musste ein Soldat mit seinem Leben bezahlen, weil er seine Informationen nicht schützen konnte, indem er zuliess, dass die STRAVA-App seine Joggingstrecken enthüllte; dabei hatten sich 2018 im Irak alle über die Amerikaner lustig gemacht, aber nichts gelernt.

▶︎ Japan – Diesmal war es Nagoya, der grösste Hafen des Landes der einen lähmenden Angriff mit Lösegeldforderung erlitt; sind unsere kritischen Infrastrukturen stärker?

Wir wünschen Ihnen viele lehrreiche Entdeckungen in den ausgewählten Artikeln und Links und freuen uns darauf, Sie bald wiederzusehen.

Dies sind die dV-News 12-2023 und eine Auswahl an ausgewählten Artikeln und Links.

Wendepunkt, Scheideweg, kritische Schwelle, Knackpunkt, Zäsur…

Nach der jüngsten Welle von Cyberangriffen auf die Schweiz (und es ist sicherlich noch nicht zu Ende), Medvedevs Drohungen, als Vergeltung für die Nord Stream-Sabotage Unterseekabel anzugreifen, den zahlreichen Engpässen in der Versorgungskette, angefangen bei der Stromversorgung im nächsten Winter, und den immer unerträglicheren Konsequenzen der Cyberkriminalität ist das Gesamtbild des digitalen Raums, gelinde gesagt, beunruhigend.

Es gibt viele Situationen, die kritisch werden und in Kombination miteinander einfacheskalieren könnten. Wenn man bedenkt, wie viele dunkle digitale Wolken über der Gesellschaft schweben, ist es schwer, optimistisch zu sein. Dennoch verhalten sich die meisten Menschen und Organisationen so, als ob sie diese Lage nicht sehen würden. Das ist seltsam, wenn man bedenkt, wie hoch die durchschnittlichen Kosten eines Cybervorfalls sind und ihre sichtbaren und unsichtbaren Konsequenzen. Und wie hoch werden die Gesamtkosten des Cyberangriffs auf Xplain tatsächlich sein?

Dieser Fall zeigt wieder einmal eine unumgängliche Realität in der Cybersicherheit auf: Antizipation ist alles, aber ohne genaue Kartografie der Gegenwart und der Vergangenheit mit ihren Verwundbarkeiten und Altlasten kann keine glaubwürdige und nachhaltige Risikoanalyse und Strategie entwickelt werden. Der Misserfolg ist dann nicht nur vorprogrammiert, sondern im Falle eines Zwischenfalls erwartet die Verantwortlichen ein Albtraum, da sie nicht wissen, wo sie anfangen sollen. Und das ist die Realität; glaub uns!

Natürlich hat das digitale Ökosystem der Schweiz viele Stärken, aber es wird immer wichtiger und dringender, dass wir auf die Gefahr eines Tipping Point eingehen, der durch das Zusammentreffen all dieser Herausforderungen entstehen könnte.  Wie will die Gesellschaft, und unser Land im Besonderen, auf diese Lage antworten? In diesem Beitrag haben wir nur einige wenige genannt, aber die Liste ist lang und die derzeitige abwartende Haltung, der fehlende kollektive Wille, diese Probleme wirklich anzugehen, erscheint uns besonders unverantwortlich. Wir sitzen auf einer tickenden Zeitbombe, über die wir im Übrigen nur sehr unvollkommen Bescheid wissen, einer Art «digitalem San Andreas Graben», aber wir tun weiterhin so, als ob das keine Rolle spielt. Eigentlich fehlt ein grundlegendes Nachdenken über die digitalisierte Gesellschaft. Wollen wir es korrigieren bevor wir den Punkt des Zusammenbruchs erreichen? Was wir derzeit, tun heisst eine digitale Flucht nach vorn.

Kleines Cyberdigest

Die Themen, die uns in den vergangenen zwei Wochen besonders beschäftigten.

• XPLAIN – Viele Details des Cyberangriffs auf die Firma aus Interlaken sind nun bekannt. Und je tiefer man gräbt, desto schlimmer scheint die Situation zu werden, da nun sensible Daten über Gerichtsfälle und Personen, darunter auch unsere Bundesräte, bekannt werden. Das ist nicht schön und erfordert nun einen politisch-strategischen Krisenstab «Datenabfluss». Hoffentlich wird dieses Debakel der Schweiz einen ähnlichen Schock versetzen, wie Estland 2007, das seitdem Cyberklassenbester geworden ist. Und seien wir ehrlich: Ein bisschen Cyberkosmetik wird dieses Mal nicht ausreichen. Es ist ein nationales Projekt, das auf allen Ebenen in Angriff genommen werden muss. Es ist vorbei mit dem Glauben, noch verschont zu sein und zu kichern, wenn andere getroffen werden. Die Schweiz muss mindestens einen Gang höher schalten.
• Grundrechte – Am 19. Juni hat der Kanton Genf mit 94% Zustimmung ein Recht auf digitale Integrität in seiner Verfassung verankert. Ein historischer Schritt, der hoffentlich bald auch in der Bundesverfassung seine Spiegelung finden wird.
• Elektronisches Patientendossier (EPD) – Im Prinzip ist es natürlich lobenswert, dass der Bundesrat Druck ausübt. Es gibt aber noch viele unbeantwortete Fragen in diesem Sektor, der durch eine Vielzahl von Akteuren und 26 Kanonen «atomisiert». Die kürzlich bekannt gewordenen Fälle zeigen, dass die Cybersicherheit im Gesundheitssektor tief ist, obwohl er ein bevorzugtes Ziel von Kriminellen ist, die das Leid ihrer Opfer nicht berührt. Die besten Standards zu fordern und sie gesetzlich zu verankern ist natürlich ein Muss (what else?), aber es ist keine Garantie. Und was ist mit der Synchronisation mit der e-ID? Wer wird (im Detail und nicht nur «Gesundheitsprofis» und «für Forschungs-zwecke») und wie Zugang zu diesen Daten haben? Und werden sie zentralisiert? Denn im Falle eines Grossangriffs droht dem gesamten Gesundheitssektor ein systemischer Ausfall…

BOOKS & REPORTS

Hier sind die Bücher und Publikation von Interesse, die wir bei unseren Recherchen in den letzten zwei Wochen gefunden haben.

In Kürze

▶︎ China ist als Hauptquelle für APT-Angriffe (Advanced Persistant Threats) bestätigt. Im ersten Quartal 2023 soll sie für 79% der Angriffe aus staatlichen Quellen verantwortlich sein. Der Bericht von Trellix Advanced Research vom Juni zeigt eine Zunahme von Angriffen auf den Finanz-, Telekommunikations- und Energiesektor.

▶︎ Das U.S. Government Accountability Office GAO stellt fest, dass die Digitalisierung alle Prozesse und Vorgänge bei der Herstellung und industriellen Kontrolle von Atomwaffen durchdringt, dass die National Nuclear Security Administration NNSA und ihre Lieferanten jedoch auch nach mehreren Jahren noch in einem frühen Stadium der notwendigen Anstrengungen sind. Dies ist eine interessante Perspektive für ein Land, das traditionell von allen Seiten angegriffen wird und 5’500 Atomwaffen besitzt…

Die desaströsen Angriffe auf die Colonial Pipeline und SolarWinds relativieren (ein wenig) einige der heftigen Angriffe auf die Cybersicherheit in der Schweiz.

Wir wünschen Ihnen viele lehrreiche Entdeckungen in den ausgewählten Artikeln und Links und freuen uns darauf, Sie bald wiederzusehen.

Dies sind die dV-News 12-2023 und eine Auswahl an Artikel und Links.

Belagerte Schweiz – Endlich wach werden und auf Realismus setzen

Es gibt etwas, das wir bei digiVolution nicht gerne tun, nämlich zu sagen: «Wir haben gewarnt»! Im Zusammenhang mit dem Angriff auf die Firma XPLAIN schrieben wir vor zwei Wochen als Reaktion auf die Behauptung, dass keine Betriebsdaten offengelegt worden seien: «Das wahre Ausmass wird sich später zeigen». Und was für eine Überraschung… solche Daten sind in die freie Wildbahn gelangt. Es ist nun die Aufgabe des NCSC, den Schlamassel zu lösen, die übereilte und aufgrund unprofessioneller Kommunikation Richtigstellungen und Korrekturen zu veranlassen.

Die Firma Bobst gab im April bekannt, dass sie von einem Cyberangriff betroffen war, blieb aber optimistisch. «Unsere Verteidigung war sehr effektiv» und «soweit wir wissen, haben wir keinen Datenverlust erlitten». Am 9. Juni berichteten jedoch mehrere Medien, dass sensible Daten tatsächlich entwendet wurden und nun im Dark Web verfügbar sind. Hoffen wir, dass die Gemeinde Bex mehr Glück hatte…!

In dieser Woche, höchstwahrscheinlich im Zusammenhang mit dem russisch-ukrainischen Konflikt und der Rede von Präsident Zelensky im Parlament, führten mehrere DDoS-Angriffe, für Laien «Distributed Denial of Service» genannt, zu einer vorübergehenden Nichtverfügbarkeit verschiedener Online-Dienste, insbesondere in den Städten Lausanne, Zürich, St-Gallen, Freiburg und Basel-Stadt, sowie am Genfer Flughafen. Sogar die ehrwürdige Schweizerische Bankiervereinigung wurde Opfer der Angriffswelle, die gegen die Schweiz schwappte. Die Folgen scheinen sich auf den Imageschaden und das Vertrauen in unsere Institutionen zu beschränken, ihre Cybersicherheit gewährleisten zu können. Werden wir weiterhin Glück haben?

Eine frustrierende Situation, denn zumindest eine bewährte Lösung hätte die Auswirkungen dieser Angriffe drastisch reduziert. Es ist SCION und das Anapaya GATE, eine Schweizer Lösung, die an der ETH Zürich entwickelt wurde und die seit Anfang des Jahres verfügbar ist und insbesondere gegen DDoS schützt, indem es die Dienste für Cyberkriminelle unsichtbar macht. Ja, die Schweiz ist das erste Land, das – sofern es sie richtig nutzt – über eine nationale Internetinfrastruktur verfügt, die in der Lage ist, die Sicherheit massiv zu erhöhen.

Betrachtet man das Glas halb leer, so schmerzen die vielen Vorfälle im Juni. Es ist ärgerlich, dass nach allem, was über die Cyberbedrohung gesagt wurde, wichtige öffentliche Einrichtungen und Firmen immer noch so schlecht reagieren und sogar bewusst machen, dass sie nicht wissen, wo ihre Daten liegen und wie sie verwaltet werden… Und das zweieinhalb Monate vor dem Inkrafttreten des neuen Datenschutzgesetzes?

Wenn man das halbvolle Glas betrachtet, wurde der Schaden glücklicherweise begrenzt und man kann nur hoffen, dass es the last wake up call für die Schweizer Führungskräfte war. Trotz andauernder und stark vereinfachter Kritik macht die Bundesverwaltung den Job und verbessert sich laufend über Inputs eines mutigen NCSC, dessen Mittel wohlgemerkt immer noch viel zu gering sind. Es sollte viel schneller gehen, aber wer die Komplexität der Bundesdienste und ihre zahlreichen Legacy-Elemente kennt, weiss auch, wie lange es dauert, grundlegende Änderungen vorzunehmen.

Ja, es wird immer und immer wieder Zwischenfälle geben und unser Motto bei digiVolution lautet: «Ein Cyberangriff zu erleiden ist keine Schande. Es ist eine Schande, nicht darauf vorbereitet zu sein!»

Unsere Empfehlungen sind einfach. Es geht darum:

• endlich ÜBERALL die bekannten und verfügbaren Massnahmen umsetzen,
• diejenigen BESTRAFEN, die diese Massnahmen nicht innerhalb einer angemessenen Frist umsetzen (zur Erinnerung ist Fahrlässigkeit ein strafrechtliches Vergehen),
• Entscheidungsträger und ihre Stäbe in Krisenmanagement AUSBILDEN und keine Informationen mehr weitergeben, die sich als falsch erweisen, sobald die tatsächliche Realität vorliegt; man muss den Mut haben, «Ich weiss es noch nicht» zu sagen.

Am Ende dieser zwei verflixten Wochen fühlt sich die Schweiz ein wenig wie kürzlich die George-Washington-Brücke in New York während der Brandkatastrophe in Kanada an. Es wäre gut zu handeln, bevor es noch schlimmer wird. Nicht?

Für diejenigen, die nicht wissen, wo anfangen, verfügt digiVolution über erstklassige strategische Kompetenzen, um sie zu begleiten.

Zukunft der Sicherheit in der digitalen Gesellschaft

Wir haben es bereits in früheren Ausgaben vermerkt: Wenn die Prognosen zur Cyberkriminalität eintreffen, wird sich der Schaden weltweit bereits 2025 auf fast 10,5 Billionen $ oder 10% des Bruttoweltprodukts belaufen. Auf die Schweiz bezogen ist das so, als ob sie das 16-fache ihres Armeebudgets aus dem Fenster werfen würde und alles deutet darauf hin, dass die Höllenfahrt noch nicht zu Ende ist. Einfach unerträglich! Die USA scheinen die einzigen zu sein, die diese Abwärtsspirale erkannt haben und sie durchbrechen wollen, deren letale Auswirkungseit 50 Jahren bekannt ist. Selbst wenn die USA ihr Ziel erreichen (im Wesentlichen geht es darum, der gesamten IT-Industrie, die ein halbes Jahrhundert des Libertarismus hinter sich hat, an die Kandare zu nehmen), wann wird wo welcher Effekt spürbar sein? Bei digiVolution denken wir über innovative gesellschaftliche Lösungen nach, die dieser Dringlichkeit und den zahlreichen Herausforderungen der digitalen Mutation gerecht werden, insbesondere auch der demographischen Entwicklung, deren Folgen noch weitgehend unbekannt sind.

Hierfür BENÖTIGEN WIR MATERIELLE UNTERSTÜTZUNG. Bitte kontaktieren Sie uns.

Kleines Cyberdigest

Die Themen, die uns in den vergangenen zwei Wochen beschäftigten.

• Duplizität – Kann man den Chefs der Tech-Giganten noch glauben? Die Welt ist in Aufruhr, weil führenden Industriellen plötzlich ethische Flügel gewachsen sind. Anscheinend von ihren Erfindungen überwältigt, forderten sie eine Pause bei der Entwicklung der KI, während hinter den Kulissen einige die Flucht nach vorn fortsetzten. Da erklärt einer dem US-Kongress, welche absolute Gefahr die KI darstellt und wie notwendig ihre Regulierung ist. Vier Monate zuvor hatte er jedoch in einem Interview, das auf wundersame Weise aus dem Netz verschwand, dasgenaue Gegenteil behauptet. Glücklicherweise hat das Internet Archive es wieder gefunden.
• Einweihung des Innovationszentrums UNLIMITRUST – Am 6. Juni wurde die Schweiz durch SICPA, den Weltmarktführer für Sicherheitsdruckfarben für Banknoten und Hauptakteur für sichere Authentifizierungs- Identifizierungs- und Rückverfolgbarkeitslösungen, um einen erstklassigen Campus bereichert. Unlimitrust ist der erste Hub, der sich mit der Entstehung der Vertrauenswirtschaft befasst, einem wesentlichen Bereich, der wie die Resilienz und die Souveränität immer weiter abnimmt. SICPA bietet der Schweiz mit Unlimitrust ein sehr wertvolles Instrument an, um sich in die richtige Richtung zu entwickeln. Danke.
• Der Verein FUTURS – Am 13. Juni wurde dank einer Gruppe von Enthusiasten unter der Leitung von Dr. Quentin Ladetto, dem Verantwortlichen für prospektive Forschung bei armasuisse, diese Vereinigung gegründet, um die Zukunftsforschung, die Erforschung neuer Ideen und den positiven Umgang mit Ungewissheit zu fördern und zu entwickeln. Es war ein sehr schöner Abend, an dem die Insights zeigten, dass der Verein futurs einem echten Bedürfnis entspricht. Vielleicht gelingt es uns (digiVolution ist bereits Mitglied), das Zitat von Pierre Dac Lügen zu strafen: «Prognosen sind schwierig, besonders wenn sie die Zukunft betreffen!».

• Privatsphäre – Vor zwei Wochen waren wir besorgt über den Entwurf eines EU-Gesetzes, der von der spanischen Regierung vorgelegt wurde und von Technologieunternehmen verlangen würde, ihre Plattformen auf illegale Inhalte zu untersuchen und dafür die Kryptographie zu schwächen. Ist die Schweiz ein besserer Schüler? Nicht mit dem Kanton Thurgau der eine gesetzliche Bestimmung einführen wollte, die es der Polizei erlaubt hätte, ohne richterlichen Beschluss auf das Mobiltelefon jeder Person zuzugreifen. Und wie werden die Daten aus der Digitalisierung der Autobahnvignette
  verwaltet? Hoffen wir, dass die Recherche zur Nutzung der persönlichen Daten der Kunden durch grosse Schweizer Wirtschaftsakteure einen Schritt in die richtige Richtung bringt.

BOOKS & REPORTS

Hier sind die Bücher und Publikation von Interesse, die wir bei unseren Recherchen in den letzten zwei Wochen gefunden haben.

In Kürze

▶︎ Die CIA wusste dank Holland, dass die Ukrainer planten, die Nordstream-Gaspipelines zu sabotieren. Haben sie das getan Antwort von Dmitry Medvedev, ehemaliger Präsident Russlands und stellvertretender Vorsitzender des Kreml-Sicherheitsrates: «Wenn wir von der erwiesenen Komplizenschaft der westlichen Länder bei der Zerstörung der Nord Stream-Pipelines ausgehen, gibt es für uns keine Einschränkung, nicht einmal eine moralische, um davon abzusehen, die Kommunikationskabel unserer Feinde auf dem Meeresgrund zu zerstören». Ein weiteres Thema, das wir seit den ersten Tagen des Krieges behandelt haben, ist die Frage, ob die Schweiz ihre Eventualplanung für den Fall eines solchen Ereignisses vorgenommen hat.

▶︎ In den USA wurde eine schwere Verletzung der Privatsphäre festgestellt und von ODNI, dem Büro der Nationalen Direktorin für Nachrichtendienste, Frau Avril Haines, gemeldet. Die Ergebnisse sind zwar nicht überraschend, aber das Ausmass ist bemerkenswert. Was ist der Grund für all dies? Die Behörden können die Bürger nicht ausspionieren, also… kaufen sie die Daten vom Privatsektor.

Wir wünschen Ihnen viele lehrreiche Entdeckungen in den ausgewählten Artikeln und Links und freuen uns darauf, Sie bald wiederzusehen.

Dies sind die dV-News 11-2023 und eine Auswahl an Artikel und Links. Bevor wir uns dem Thema der letzten zwei Wochen zuwenden, gratuliert das digiVolution-Team Florian Schützzur bundesrätlichen Wahl als erster Direktor des künftigen Bundesamtes für Cybersicherheit ab dem 1. Januar 2024. Wir wünschen ihm alles Gute und werden alles tun, um ihn bei seiner Mission zu unterstützen. Eine erfreuliche Entscheidung, denn wie wir auf LinkedIn schrieben, ist der Mann kompetent, bescheiden und engagiert und es wäre verheerend gewesen, den Chauffeur mitten in der Fahrt zu wechseln! weiterlesen

Dies sind die dV-News 10-2023 und eine Auswahl an Artikel und Links und einer Reflexion darüber, wie man sich vor der zunehmend unkontrollierbaren Bedrohungen der Sicherheitsherausforderungen des digitalen Wandels schützen kann.

Die Vorstellung einer Cyber-Zerschlagung vergessen

Lassen Sie uns eine provokative Diskussion riskieren… Gibt es einen anderen Weg als den Kampf der Hähne auf ihrem Misthaufen? Es ist ein gewagtes Bild, aber wir müssen feststellen, dass wir uns in einer unlösbaren Situation befinden, die unweigerlich zum Scheitern führt.

Zuerst einmal stehen wir im Vergleich zu unseren Mitbewerbern und Gegnern in einer dyssymmetrischen Position. Unsere Stärken sind qualitativ vergleichbar, aber quantitativ weit unterlegen, und am Ende gewinnt immer der Grösste. Es ist nur eine Frage der Zeit. Man kann alle erdenklichen Massnahmen ergreifen, aber die Erfahrung zeigt, dass Cyberangreifer sich schnell anpassen und neue Technologien oft besser nutzen als Verteidiger. Wir befinden uns auch in einer asymmetrischen Situation, weil wir uns nicht auf der gleichen Ebene bewegen. Die Verteidiger sind die einzigen, die sich an die Regeln halten, und die Angreifer wissen, was sie tun können und was nicht. Sie wissen auch, dass die Besserwisser sie desavouieren werden, sobald sie die Grenzen überschreiten, die wir allerdings nur unserer unendlichen Naivität zu verdanken haben.

Die zu Jahresbeginn von STATISTA veröffentlichten Zahlen zeigen, dass der weltweite Schaden durch Cyberkriminalität von 8’440 Milliarden US-Dollar im Jahr 2022 auf 23’820 Milliarden US-Dollar in 2027 ansteigen wird (somit fast ein Viertel des weltweit produzierten Bruttosozialprodukts…). Dies sind wahrlich sehr pessimistische Zahlen, aber sie sind Ausdruck der Realität, auch in der Schweiz und trotz anhaltender Investitionen in die Cybersicherheit. Es ist, als würde man versuchen, ein Boot, das immer mehr Wasser leckt, mit einem zu kleinen Eimer zu auszuschöpfen. Am Ende kentert es doch noch. Das NCSC und die Schweizer Cybersicherheitsindustrie machen einen bemerkenswerten Job, sie sind oft auf der Höhe der technologischen Innovation und internationale Polizeikräfte zerschlagen regelmässig kriminelle Banden, aber es hilft nichts, der Schaden steigt unaufhaltsam. Manchmal werden sogar Schadsoftware bereits bei der Produktherstellung implantiert…! Wenn es so weitergeht, wird der Schaden unerträglich werden. Kann man auf einen Trendwechsel hoffen? Die folgenden neun branchenspezifischen Thesen (bei digiVolution verfolgen wir 25 Branchen) besagen das Gegenteil.

Nach Einschätzung des französischen Generalstabschefs hat der geostrategische Kontext das klassische Kontinuum von Frieden – Krise – Krieg verlassen und ist in eine Schleife von Wettbewerb – Herausforderung – Konfrontation eingetreten. Die Welt befindet sich daher viel häufiger in einer Konfliktsituation, die zwar so nicht genannt wird, aber auf allen Ebenen sehr real ist, was den Verlust von Macht, Souveränität, Märkten usw. angeht, mit neuen Vorgehensweisen, in denen sich strategische Einschüchterung, Mehrdeutigkeit, Gewalt usw. vermischen.

In diesem Rahmen, die oben genannten Thesen – und wir sprechen dabei noch nicht von der Energiefrage, die wieder aufkommen wird – zeigen, dass das Wasser im Schiff unaufhaltsam steigt. Natürlich müssen wir weiter schöpfen, um den Untergang zu verlangsamen, aber das wird nicht ausreichen, wie wir bereits wissen. Was sollen wir angesichts seines unaufhaltsamen Kenterns tun?

Die Antwort ist bei weitem nicht einfach mehr Technologie, mehr Cybersicherheit oder mehr Regulierung.  Wir bei digiVolution arbeiten daran, Antworten darauf zu finden, und laden alle Gutgesinnten und diejenigen die verstanden haben, was auf dem Spiel steht, dazu ein, unsere Arbeit zu unterstützen.
NIMM KONTAKT MIT UNS AUF!

Von DALLE-E erstelltes Bild einer «Gruppe, die über Lösungen für den Umgang mit Cyberbedrohungen nachdenkt».

Cyberaktualität

Die Schüsselthemen, die uns in den vergangenen zwei Wochen beschäftigten.

• Digitale Souveränität – Die Diskussion in der Schweiz geht trotz der Passivität von Bern weiter und das ist erfreulich. Besonders erfreulich ist die Initiative der lateinischen Kantonemit einer guten Definition des Begriffs «Souveränität»: «Die Fähigkeit der Behörden, ihre strategische Autonomie zu bewahren, d.h. materielle und immaterielle Güter und digitale Dienste, die Wirtschaft, Gesellschaft und Demokratie beeinflussen, autonom zu nutzen und zu kontrollieren». Wir würden es begrüssen, wenn das Wort «Behörden» durch «Instanzen» ersetzt würde, da alle betroffen sind, vom Einzelnen bis zum Staat, aber dies ist bereits ein sehr positiver Schritt. Eine Initiative des Vereins Innovate Switzerlandbehandelt auch dieses Thema, aber hier ist unsere Begeisterung viel gedämpfter, da das erklärte Ziel darin besteht, «eine verantwortungsvolle Nutzung von Daten und Public-Cloud-Technologie in der Schweiz zu fördern und die Innovationsfähigkeit des Landes zu stärken». Hier fehlt jegliche Idee von Souveränität und die Zusammensetzung des Komitees, das den Text verfasst hat, lässt vermuten, dass die Lehren aus dem Fiasko vonGaia-X, dem europäischen Cloud-Projekt, das mit der Ankunft der GAFAMs zu kollabieren begann, nicht gezogen wurden.
• Neues Datenschutzgesetz nDSG – Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat eine allgemeine Erklärung zum neuen Gesetz veröffentlicht. Aber 3,5 Monate vor Inkrafttreten des Gesetzes gibt es immer noch keine Antwort auf die Frage, ob das nDSG mit der europäischen DSGVO gleichwertig ist (ist die EU nicht unser wichtigster Wirtschaftspartner?), und es gibt immer noch keine konkrete Hilfe in Form von Vorgehensweisen, konkreten Empfehlungen, Hilfsformularen, etc. Fahrlässig! Aber die Gebühren sind festgelegt! Doch angesichts der explosionsartigen Zunahme von KI-Anwendungen die den Umgang mit Daten täglich komplizierter machen, könnten Unternehmen und Institutionen einige Werkzeuge gut gebrauchen.
• Europa in Kürze – Die souveräne Cloud könnte zur Arlésienne 4.0 werden. Der Data Act stösst auf Gegenwind, da Unternehmen um ihre Wettbewerbsfähigkeit fürchten. Wir werden ein neues Akronym lernen müssen: ECCC für das European Cybersecurity Competence Centre and Network, das gerade in Bukarest eröffnet wurde. Es bleibt zu hoffen, dass die Aktivitäten dieses Zentrums sich von den nationalen Stellen, der ENISA, dem CCDCOE oder dem Hybrid CoE unterscheiden und einen echten Mehrwert bieten werden. Zuletzt sollten wir das Manifest der JEDI – Joint European Disruptive Initiativezur Kenntnis nehmen, die die europäischen Staaten um eine DARPA-ähnliche Initiative versammeln will, um den Kontinent wieder in die Reihe der technologischen Mächte zurückzuführen, insbesondere durch eine agile Regierungsführung, weg von den ineffizienten europäischen Standards und um eine begrenzte Anzahl von strategischen Themen herum.

BOOKS & REPORTS

In Kürze

Bei TikTok drehte sich die Diskussion bisher um den Datenschutz und die individuelle Manipulation von Inhalten, aber das Schlüsselproblem liegt im Empfehlungsalgorithmus, der es China ermöglicht, ein Massenprofil der Nutzer zu erstellen und gross angelegte Beeinflussungsoperationen durchzuführen. Mit COVID hatte die Schweiz 9 Millionen Virologieexperten und mit ChatGPT sind wir alle zu KI-Experten geworden. Um diesen Titel zu verdienen, sollten wir uns die Zeit nehmen, uns über seine Identität zu informieren (1, 2, 3). Und wer erinnert sich vom Cyberangriff auf SolarWinds, der bis heute der grösste bekannte CyberSupplyChain-Angriff ist? Es gibt nun einen detaillierten Bericht, der die Vorgehensweise der Russen aufzeigt.

Und unsere Faszination für die Weite des Weltraums ist ungebrochen. Wir laden sie ein, den ersten Asteroidengürtel zu bewundern, den das James Webb Space Telescope (JWST) ausserhalb unseres Sonnensystems entdeckt hat.

Wir wünschen Ihnen viel Spass beim Entdecken der ausgewählten Artikel und Links und freuen uns darauf, Sie bald wiederzusehen.

Dies sind die dV-News 09-2023 und eine Auswahl an Artikel und Links mit einer neuen Reflexion über Vertrauen, inspiriert vom Hype, der ChatGPT ausgelöst hat, aber ohne dessen Nutzung.

weiterlesen