Dr. Kai Martius über Kryptographie, Cloud und KI

Professor Norbert Pohlmann: 00:00

Herzlich willkommen auf dem Marktplatz IT Sicherheit. Mein Name ist Norbert Pohlmann. Ich spreche mit wichtigen Persönlichkeiten über die Lage der Sicherheit, neue Bedrohungen und Angriffe, innovative IT Sicherheitsmechanismen und die Umsetzung von mehr IT Sicherheit für unsere digitale Zukunft im Podcast Köpfe der IT Sicherheit. So, sehr geehrte Damen und Herren, ich freu mich sehr, in der heutigen Ausgabe Köpfe der IT Sicherheit Doktor Kai Martius zu begrüßen. Doktor Kai Martius ist CTO der Seconet AG und die Seconet AG ist das deutsche IT Sicherheitsunternehmen, was insbesondere im Behördenbereich besonders stark ist.

Professor Norbert Pohlmann: 00:44

Der Slogan der Secondate auf der Webseite lautet digitale Souveränität und Schutz vor Cyberangriffen. Lieber Kai, bitte schilder doch erst mal kurz unserem Publikum, wie Du persönlich zur IT Sicherheit gekommen bist.

Dr. Kai Martius: 01:00

Ja, danke, Noras. Das mache ich gerne. Ich bin schon recht früh mit dem Thema Computer in Verbindung gekommen als Jugendlicher, wie wahrscheinlich viele von uns. Habe dann aber mich für ein Studium der Elektrotechnik entschieden, aber dort auch schon recht bald wieder den Schwenk zu Computern und Informationstechnik, wie das damals hieß, wahrgenommen oder vorgenommen, weil dort dann auch eine ganz interessante Vorlesung über Kryptografie stattfand. Das war Anfang der neunziger Jahre und da war das Thema Kryptografie tatsächlich noch so eine Nischenwissenschaft und eher eine Geheimwissenschaft.

Dr. Kai Martius: 01:39

Das hat mich tatsächlich echt interessiert. Was steckt dahinter? Wie funktioniert Verschlüsselung? Und habe dann während meines Studiums schon so mit Smartcards experimentiert und bin in ganz konkrete Projekte und Fragestellungen reingeraten über Praktika und dann auch meine Diplomarbeit, wo es darum ging, medizinische Daten vor Zugriff zu schützen. Das gab es tatsächlich auch schon Anfang der neunziger Jahre, die Wie kann ich Daten, ganz konkret war das damals ein Krebsregister, davor schützen, dass sie unberechtigt eingesehen werden, aber andererseits auch Ärzten und Wissenschaftlern Zugriff verschaffen, aus diesen medizinischen Daten dann auch Forschung und Fortschritt betreiben zu können.

Dr. Kai Martius: 02:31

In der Zeit bin ich dann auch in die Protokollwelt eingetaucht, die für Verschlüsselung damals aktuellen und gerade neu entstehenden Internet Sicherheitsprotokolle IPSEC und das Schlüsselmanagementprotokoll IK ganz konkret waren, weil wir uns auch von Anfang an Gedanken gemacht haben, wie können wir diese neuen Technologien, das damals aufkommende Internet, dafür nutzen, dann diese Daten auch gut bereitstellen zu können, aber eben auch sicher bereitstellen zu können. Das war eine sehr interessante Zeit, da habe ich auch schon viel Grundlagen gelernt, wie Kryptografie funktioniert, wie Sicherheitsprotokolle, kryptografische Protokolle funktionieren und das hat sich dann noch eine Zeit fortgesetzt. Im Anschluss an das Studium habe ich dann noch in einem Forschungsprojekt gearbeitet, das genau dieses Thema fortführte und habe dort meine Dissertation noch abgelegt bis zum Ende der neunziger Jahre, wo ich dann die Gelegenheit und die Möglichkeit sah und bekam, bei der Seconet einzusteigen. Das war dann der Umstieg ins Berufsleben sozusagen.

Professor Norbert Pohlmann: 03:39

Also bist du schon über 25 Jahre bei der Seconet, oder?

Dr. Kai Martius: 03:42

Wenn man nachrechnet, genau. Oftmals ist das überraschend, vielleicht schon erschreckend, wenn man auf das Eigenalter schaut, aber tatsächlich bin ich bei der Seconet seit neunzehnhundertneunundneunzig.

Professor Norbert Pohlmann: 03:54

Ja, ja, cool, ist doch irgendwie Und dann hast Du dich bei der Seconet halt quasi vom normalen Cybersicherheitsexperten zum CTO hochgearbeitet?

Dr. Kai Martius: 04:05

Ich würde fast sagen, das war gar nicht meine meine ursprüngliche Zielsetzung, hier CTO Vorstand der SICONET zu werden. Das war damals ein kleines Unternehmen, ich glaube wir waren noch unter einhundert Mitarbeitern und sehr autonom jeweils in den Standorten unterwegs. Haben damals 1999 den Standort in Dresden zu zweit eröffnet, gemeinsam mit Michael Sowiehoi und haben dort begonnen zu schauen, was könnte denn an unserer Kompetenz am Markt gefragt sein. Wir sind da erst einmal ein bisschen beratermäßig unterwegs gewesen. Ich erinnere mich da an ein erstes Projekt, wo es darum ging, biometrische Verfahren für die Authentifizierung in 1 Hochsicherheitsumgebung zu nutzen und dort die damals aktuellen und verfügbaren Verfahren zu vergleichen und da eine Beratungsprojekte zu haben, den Kunden zu beraten, welche Verfahren da wie geeignet sind.

Dr. Kai Martius: 05:09

Das Ganze hat sich aber recht schnell dann tatsächlich wieder auf mein ursprüngliches Themengebiet verlagert, als es darum ging, IP Technologie für den Hochsicherheitsbereich nutzbar zu machen. Da begann dann auch die Geschichte von Sina. Aber das ist eine eigene Geschichte.

Professor Norbert Pohlmann: 05:27

Gut, aber vielleicht kommen wir jetzt mal zum Inhalt oder so. Wie beurteilst du jetzt so als, sagen wir mal, Fachmann, Du hast ja jetzt erzählt, Du bist jetzt ja dann schon dann schon weit über 30 Jahre in dem IT Sicherheitsbereich. Wie beurteilst Du die Lage jetzt zurzeit der IT Sicherheit?

Dr. Kai Martius: 05:46

Das ist eine facettenreiche Frage, so würde ich das mal nennen. Jetzt könnte ich anfangen und zum Beispiel auf den Lagebericht des BSI verweisen. Das ist immer ein interessantes Dokument, ehrlich aktualisiert und es macht sicherlich auch mal vielleicht gar nicht so viel Spaß, aber zumindest ist es interessant, das mal rückblickend zu betrachten, wie sich die IT Sicherheit oder die Einschätzung der Lage auch aus BSI Sicht über die Jahre entwickelt und in der Tat ist die ja nicht sehr rosig. Wir hören immer von steigender Bedrohungslage, von steigenden Verletzlichkeiten, Vulnerabilities in den Systemen, von Anzahl von Vorfällen, die da steigen, das ganze Thema Phishing, das ist ja alles ein absolut breites Feld von Angriffsszenarien, das da stattfindet. Ein Stück weit relativiert ist das sicherlich auch damit zu begründen, dass einfach die Masse an Informationstechnik und an Technologiebreite, die sich in den letzten 20, 25 Jahren entwickelt hat, quasi statistisch schon dazu führt, dass die Anzahl der Angriffe steigt, die Anzahl der Vulnerabilities steigt, aber letztendlich ist es tatsächlich schon auch rückblickend auf die Zeit, die ich in dem Bereich tätig bin, muss ich sagen, da nicht viel Fortschritt erreicht worden in der Breite, was die Absicherung unserer IT Systeme und die grundlegenden Sicherheitsmechanismen anbelangt.

Dr. Kai Martius: 07:28

Man hat sich da sehr stark auf die Erkennung von Angriffen, also auf eher die reaktive Maßnahmen fokussiert in der IT Sicherheitsindustrie, die grundlegende Sicherheit von IT Systemen zu verbessern. Da ist wenig passiert. Da sind wir immer noch eigentlich in dem Zustand, der zu Beginn meiner Karriere herrschte. Wir haben Betriebssysteme, die monolithisch sind. Wir haben sehr große Code Basen, die sicherheitsrelevant sind und die dann auch entsprechende Fehler aufweisen.

Dr. Kai Martius: 08:02

Ich denke, wir müssen uns Gedanken machen, wie wir die Grundlagen der sicheren Systemkonstruktion wiederentdecken und wie wir das möglichst in die Breite bringen.

Professor Norbert Pohlmann: 08:13

Aber das ist ja genau, sagen wir mal, das, was die Sina Technologie ja zur Verfügung stellt. Also ihr bietet ja genau Technologien, die halt eigentlich so aufgebaut sind, dass die Angriffsfläche reduziert wird oder man viele Widerstand gegen Angriffe halt aufbaut. Genau, also heißt das, dass ihr eure eigenen Technologien nicht so in die Breite verkauft bekommt oder?

Dr. Kai Martius: 08:37

Also der Erfolg der seconet, grade in den letzten Jahren, ist ja auch öffentlich an unserem Zahlenwerk ablesbar. Wir sind ja eine Aktien gesellschaft mit allen Publizitätspflichten. Den will ich überhaupt nicht infrage stellen, im Gegenteil, der ist atemberaubend. Aber ich habe das jetzt mehr so auf die globale Sicht bezogen und ist natürlich eine Sekunde ein kleines Licht. Wir haben heutzutage die ganze Diskussion die großen Techkonzerne und die Macht der Plattform.

Dr. Kai Martius: 09:09

Also der Markt und die Technologiebreite haben sich natürlich noch mal deutlich breiter und größer entwickelt, als das mit unserem Portfolio jetzt der Fall ist. Aber das noch mal ein Stück auf die technische Ebene zu bringen, absolut in der Tat ist das ja auch ein Ansinnen und Antrieb von mir gewesen und ist es immer noch, sichere Konstruktionsprinzipien in unsere Systeme zu bringen und eben in eine Extrameile zu gehen in der Art und Weise, wie die Sicherheit oder die konstruktive Sicherheit der Systeme erzeugt wird. Ich gehe noch einmal kurz zurück auf das Thema Kryptografie, das war mein Ankerpunkt in dem Thema IT Sicherheit, wo ich erst viel gelernt habe und die Algorithmen, die Art und Weise, wie Algorithmen entwickelt werden, die Offenheit mit der Algorithmen entwickelt werden, ist ja ein absolut transparenter Prozess mit viel Akademiabeteiligung. Das erzeugt ja ein großes Maß an Sicherheit und Vertrauenswürdigkeit schon in der kryptografischen Schicht. Deswegen können wir heute auch wirklich gute kryptografische Algorithmen über viele Jahre verwenden, abgesehen jetzt von Post Quantum Kryptografie, was ein Thema für sich ist, aber die Art und Weise, wie Kryptografie entwickelt wird, ist da schon deutlich fortgeschritten.

Dr. Kai Martius: 10:36

Nichtsdestotrotz, die beste Kryptografie nutzt halt nichts, wenn das System drumherum unsicher ist, wenn ich die Schlüssel aus dem Speicher irgendwo auslesen kann, wenn ich schlechte Zufallszahlen habe, wenn ich die Kryptografie einfach umgehen kann, indem ich Schwachstellen im System nutze und auf die unverschlüsselten Daten zugreifen kann, dann nützt mir auch die beste Kryptografie nichts. Deswegen war es für mich von vornherein klar, wenn wir gute Verschlüsselungssysteme bauen wollen, müssen wir auch gute IT Sicherheit im Gesamtsystem leisten. Also müssen wir sicherstellen, dass die Kryptografie auch ihre Wirksamkeit entfaltet. Insofern sind das für mich 2 Seiten 1 Medaille. Gute kryptografische Systeme brauchen auch eine gute, eine sichere IT Plattform.

Dr. Kai Martius: 11:23

Und das war für uns von Anfang an das Konstruktionsprinzip für unsere Produkte. Zum einen Open Source als ein Prinzip der Transparenz zu nutzen. Im Prinzip ähnlich wie die kryptografischen Verfahren in einem offenen Prozess entwickelt werden, ist es auch wichtig, dass die Sicherheits architektur des Systems, auf der diese Verfahren laufen, auf offenen Standards basiert, auf offener Software basiert und das passte auch gerade zu der Anforderung, als wir Sie da entwickelt haben, dass das möglichst viel Open Source Basis nutzen sollte und auch eben aus diesen Transparenzgründen musste. Nichtsdestotrotz, von vornherein war uns auch klar, diese Betriebssysteme, Linux war damals schon State of the Art, hat sich jetzt 20 Jahre weiterentwickelt, 25, aber es ist immer noch ein monolithisches Betriebssystem, deswegen haben wir auch sehr früh begonnen, uns über mikrokernbasierte Betriebssysteme Gedanken zu machen, über Least Privilege Konzepte auch für Betriebssystemkerne. Da gibt es ja auch gute Forschung, auch hier in Dresden aus der Universität, wo ich komme, aber auch anderswo.

Dr. Kai Martius: 12:45

Da haben wir auch gemeinsam Erfahrungen, was das Thema anbelangt. Insofern ist das nach wie vor, denke ich, ein guter Weg oder wäre es ein guter Weg in der Breite solche Konstruktionsprinzipien zu nutzen. Wir tun das mit einem wirklich langen Atem, das in unseren Produkten entsprechend, ja, zu nutzen und bereitzustellen.

Professor Norbert Pohlmann: 13:06

Okay. Genau, Du hast jetzt erklärt, genau, das ist ja auch, sagen wir mal, gut nachvollziehbar und das ist ja auch eure Stärke, dass ihr diese Technologien zur Verfügung stellt. Aber genau, was müssten wir denn jetzt tun oder was müssen die Anwendungsunternehmen tun, die sich ja schützen sollten gegen die vielen Angriffe, die Du auch schon erwähnt hast? Was müssten die denn tun, damit sie sich halt wirklich besser schützen können?

Dr. Kai Martius: 13:29

Die Endnutzer meinst Du jetzt?

Professor Norbert Pohlmann: 13:30

Ja, also die Firmen, die sie schützt, also die 3000000 Firmen in Deutschland, die warm, die mein ich, ja.

Dr. Kai Martius: 13:36

Ja, hier würd ich mal den Spieß umdrehen. Also die armen Nutzer in Anführungsstrichen, die haben ja Die Technologie ist heutzutage sehr komplex, die war schon immer recht komplex, sie wird immer komplexer in ihrer Vielfalt, in ihrer Vernetzung und so weiter. Ich glaube, es liegt primär an den Unternehmen, gute Produkte, sichere Produkte bereitzustellen, in der Breite bereitzustellen, letztlich eingebaute Sicherheit zu haben, architekturelle Sicherheit. Den Unternehmen jetzt Maßnahmen aufzuerlegen, ihr müsst noch hier einen Sensor und dort eine Detection und da ein CM bauen und alles Mögliche, das muss man leider heute. In der idealen Welt wäre mein Wunsch, dass die Hersteller anfangen, ihre Systeme sicherer zu konstruieren, eben nicht mehr so viel Vorfälle zu haben und den Nutzern nicht so viel Arbeit oft zu erlegen, diese Systeme überhaupt sicher einzusetzen.

Dr. Kai Martius: 14:40

Nichtsdestotrotz, das ist ein Wunsch Traum vielleicht für den Moment. Im Moment ist es tatsächlich so, dass wir in 1 Landschaft leben, wo tatsächlich viele Sicherheitslücken jeden Tag auftauchen, wo viele Angriffe auftauchen, die auch deswegen erfolgreich sind, die zum Teil auch nicht über technische Maßnahmen, sondern über die Benutzer kommen. Man sagt ja auch, dass der Mensch das schwächste Glied in der Kette ist. Also letztendlich die Nutzer auszubilden, Awareness zu schaffen, was für Risiken überhaupt bestehen, wie sie mit den Risiken umgehen, wie sie sich halbwegs sicher in dieser in diesem Umfeld bewegen. Ich denke, das ist allererster Schritt, wo ja ja auch als Hochschule einiges tut, was aber, glaube ich, noch deutlich stärker in der Breite und im und früher anfangen muss, Risiken besser einschätzen zu können, weil ich glaub, das ist einfach auch ein grundlegendes Defizit zwischen der realen und der virtuellen Welt.

Dr. Kai Martius: 15:47

In der realen Welt haben wir halt ein paar 1000 Jahre Evolutionsgeschichte hinter uns, wo wir die Risiken der realen Welt relativ gut kennen. Was passiert, wenn da Feuer ist? Sonst sollte ich mich nicht daran verbrennen und so weiter. Die Risiken in der virtuellen Welt haben wir gerade 20, 30 Jahre Erfahrungshorizont und das ist einfach zu wenig, dass das schon quasi ins Rückenmark übergegangen ist beim Menschen.

Professor Norbert Pohlmann: 16:17

Wenn ich jetzt darüber nachdenke, genau, also sag mal, ich hab ja verstanden, also eure Sina Lösung ist ja, dass ich Notebook mir kaufe, wo halt einfach dann die Mikrokerns schon drauf gespielt sind, also wo ich quasi System kaufe. Also ich muss mir nicht irgendwie was kaufen und aufladen, sondern ich krieg von euch System zur Verfügung gestellt, was halt dann von der Architektur dann deutlich sicherer ist als die monolithischen Betriebssysteme, die ich mir dann so einfach kaufe und dann selber verantworten muss. Aber die Frage ist, warum kauft das eigentlich nicht jeder? Das ist ja eine Technologie, die ja nachweislich deutlich sicherer sind, aber eigentlich müsste doch dann jedes Unternehmen in Deutschland son Sina Notebook kaufen. Oder ist das zu kompliziert oder zu teuer oder oder wo wo liegt die Herausforderung?

Dr. Kai Martius: 17:07

Das ist vielschichtig. In der Tat ist das sicherlich auch ein Thema der administrativen Aufwände. Ich habe vorhin ein Idealbild gezeichnet, also auch da sind wir natürlich noch lange nicht, muss ich sagen, wie man ein sicheres System auch wirklich super komfortabel bedient. Oftmals gibt es da halt auch nur Entweder oder Entscheidungen. Entweder ich muss halt irgendwie eine PIN eingeben, Besitz und Wissen zu präsentieren oder ich muss keine eingeben, dann habe ich halt einen Sicherheitsfaktor weniger.

Dr. Kai Martius: 17:42

Und wenn wir halt da bin ich wieder bei meinem Statement von vorher, das Thema Risiko versus Bequemlichkeit, Risikoeinschätzung versus Bequemlichkeit ist halt bei vielen Nutzern auch nicht so weit ausgeprägt zu sagen, okay, ich merk mir jetzt eine PIN oder trag noch eine Smartcard mit mir herum. Für Ihr Haus tun Sie das, nehmen Sie einen Schlüssel mit, lassen Sie sich hier nicht offen stehen. Für Ihren Rechner ist es halt schwierig. Aber in der Tat ist das tatsächlich auch ein systemisches Thema und vor allem auch 1 der installierten Basis, will ich das mal nennen. Natürlich sind auch alle Unternehmen schon seit 20, 30 Jahren mit IT unterwegs, haben ihre Rechenzentren, haben ihre bestehende Infrastruktur, haben ihre Mechanismen, wie sie Desktopsysteme beschaffen, wie sie ihre Anwendungen verwalten und so weiter.

Dr. Kai Martius: 18:34

Da großflächig mit einem System reinzugehen, was nochmal eine extra Sicherheitsschicht einzieht, ist schon ein initialer Aufwand, den viele Unternehmen scheuen. Da braucht es auch sicherlich noch einfache und automatisiertere Methoden, mit solchen sicheren Systemen dann tatsächlich auch in Bestandsumgebungen zu kommen. Vielleicht hilft uns da der Trend zur Cloud, sage ich mal, weil dort die Endsysteme wieder weniger funktional werden. Dort habe ich meistens nur noch browserbasierte Anwendungen, aber wenn wir in die reale Welt schauen, viele Unternehmen haben, und auch Behörden erst recht, haben noch Legacy Anwendungen, klassische Anwendungen, die halt auf dem Desktop laufen. Eine Cloud Migration ist auch kein Switch komplett in die Cloud, sondern das ist ein Migrationsprozess.

Dr. Kai Martius: 19:30

Insofern müssen wir schauen, dass das halt über gewissen Zeitraum passiert dann.

Professor Norbert Pohlmann: 19:35

Inwieweit ist der Fachkräftemangel, also Fachkräftemangel eine Herausforderung oder Problem für die Unternehmen, sich richtig zu schützen? Also Du hast jetzt nur davon gesprochen, dass die die eigentlichen Nutzer ausgebildet werden Das hab ich verstanden, da hast Du auch gut argumentiert. Aber genau dieser Fachmängelkraft, also Fachmängelkraftmangel im Bereich IT Sicherheit, ist das auch Problem aus deiner Sicht?

Dr. Kai Martius: 20:02

Das ist wie in allen Bereichen ein Problem, weil einfach die Spezialisten für bestimmte Themen immer knapper werden und das beginnt ja schon bei der eigentlichen klassischen IT Administration, bei denen IT Sicherheit auch immer nur ein Randthema war und immer noch ist. Deswegen ist die Lage der IT Sicherheit auch in den Unternehmen ja so, wie sie ist, weil eben die Administration und die Funktionalität oder Funktionsfähigkeit der Umgebung erst mal von ansteht, völlig verständlich. Wenn ich dann noch etwas zusätzlich machen muss, das sicher zu administrieren oder zu betreiben, dann scheitert es ja heute schon fast immer an Personal. Und das wird halt durch die Komplexität der Gesamtumgebung noch gravierender. Deswegen ist es tatsächlich ein valides Argument zu sagen, eine IT, die von professionellem Personal gemanagt wird, was auch mit einem starken Fokus auf IT Sicherheit dieses Management macht, ist allemal besser als der Rechner unter dem Schreibtisch vom Chef, der irgendwie nebenbei, von wem auch immer gemanagt wird, also der das nebenbei macht letztlich.

Dr. Kai Martius: 21:15

Insofern diese Tendenz, Cloud Plattformen zu nutzen mit dem Argument, das wird sicherer als bisher, das ist nicht von der Hand zu weisen und das ist auch ein valides Argument. Die Frage ist, welche Kontrolle habe ich dann noch über meine Anwendung, welche brauche ich noch über meine Anwendung. Das ganze Thema Souveränität und Lock in Effekte, das ist aber noch einmal eine neue Baustelle. Vielleicht führt das heut zu weit, ja.

Professor Norbert Pohlmann: 21:42

Genau, Du hattest ja eben von dem BSI Lagebild gesprochen. Ich hatte gestern im Gespräch mit Claudia Plattner. Der kommt übrigens am elften Elften, der Neue.

Dr. Kai Martius: 21:50

Oh. Was

Professor Norbert Pohlmann: 21:52

da halt passiert. Das ist ja in paar Tagen. Aber wenn man die Zahlen sieht, also die aktuellen Zahlen sind ja jetzt zu Hitze rausgekommen, ist ja der Schaden mit 202000000000 jetzt nur im Bereich von Cybercrime bemessen worden und das Investment dagegen aber nur mit 11800000000.0. Also es ist, sagen wir mal, Siebzehntel des Schadens investieren wir in IT Sicherheit. Genau, ist das jetzt gut oder glaubst Du, wir müssen deutlich mehr investieren, damit wir dann halt auch wirklich auch uns besser schützen können?

Dr. Kai Martius: 22:26

Eigentlich Top Business Case für jedes Unternehmen, ne. Ja. Ja. Da ja, also kann man erst mal fragen, wie kommen die 200000000000 zustande, aus welchen arithmetischen, aus welcher Arithmetik, aber ob das 200, einhundertfünfzig oder 300 sind, der Schaden ist immens, das glaube ich auch. Nur ist leider das ganze Thema ähnlich wie ein Versicherungsunternehmen, wenn man so will, oder einen Versicherungsaspekt betrachten.

Dr. Kai Martius: 22:58

Solange nichts passiert, kostet es mich nichts. Wenn etwas passiert, dann ist das meistens ein Desaster. Insofern komme ich zurück auf die Frage dieser Risiko. Glaube ich, ist einfach die Awareness, wie groß ist ein Risiko 1 Cybervorfalls bisher nicht so ausgeprägt. Wenn meine Werkhalle abtrennt, das kann ein Unternehmer ganz gut einschätzen, wie viel Wert dabei verloren geht und wie groß das Risiko ist.

Dr. Kai Martius: 23:27

Dann gibt es halt eine Feuerversicherung. Wahrscheinlich sind viele Versicherungen auch zwingend wie Haftpflichtversicherung und so was. Insofern, das ist ein Thema, glaube ich, wo eben dieses Risikobewusstsein noch größer werden muss und was meiner Einschätzung nach auch langsam größer wird, weil wir halt auch desaströse Vorfälle sehen, wo tagelang, monatelang nichts mehr geht in der Verwaltung. Das sind ja diese Landkreise, die da angegriffen wurden, Kommunen, wo Unternehmen pleite gehen. Die Meldung häufen sich auch gefühlt, weil ihre Produktion ausfällt.

Dr. Kai Martius: 24:05

Insofern glaube ich, ist einfach die Wahrnehmung, wie risikoreich das ohne so eine Investition in die Sicherheit ist. Die wächst, aber ist anscheinend noch nicht groß genug.

Professor Norbert Pohlmann: 24:19

Ja gut, aber ich mein, wenn man die Zahlen sieht und wenn man sagen mal die Stimmen bei 202000000011.8 Investment, wenn ich das Investment verdoppeln würde. Und genau, wenn dann meinetwegen ich nur die Hälfte an Schaden hätte, dann hätte ich ja mal locker 80000000000 gewonnen. Also sagen wir mal, wenn wir den Schaden, den wir sehen, als gesellschaftlichen Schaden sehen und wir als Gesellschaft alle investieren würden, würden wir ja was bewegen können. Aber genau, das hat’s ja schon gesagt, wenn jedes einzelne Unternehmen Return of Investment rechnen will und noch nie angegriffen worden ist, dann gibt’s keinen Case, ja, also Aber als Gesellschaft gibt es den Case, ja. Also als Gesellschaft kann ich Return on Investment relativ gut berechnen, aber die Gesellschaft ist nicht oder trägt grade nicht die Verantwortung, jetzt hier mehr Geld zu investieren.

Dr. Kai Martius: 25:09

Also gibt’s ja ähnliche Fälle, gerade jetzt im Umfeld Klimawandel, Zwangsversicherungen für Hochwasserschutz oder Sturmschäden oder so was, Gebäudeversicherung. Kann man vielleicht mal als ähnlichen Fall oder ähnliche Situationen darstellen, wo man eben so ein Versicherungskonzept macht und sagt: Wir investieren alle in so eine Versicherung gegen Cyberangriffe hier, gegen Klimawandel da und haben am Ende weniger Schäden beziehungsweise auch eine bessere Schadensdeckung. Ist jetzt, wie jeder Vergleich hinkt, aber letztlich tatsächlich eine interessante Diskussion, wie kann man das als Gesellschaft schultern. Ist das ein Thema überhaupt, was staatlich letztlich aus Steuermitteln finanziert werden müsste? Wie weit greift das dann in diese Unternehmensinfrastruktur und ins Private hinein?

Dr. Kai Martius: 26:06

Da sind sicher viele Fragen offen. Mir wäre es wesentlich lieber, die Awareness steigt, dass es also ein Risiko gibt. Und mir wäre noch lieber, wie ich vorhin sagte, dass wir auch an den Ursachen dieser Situation was machen als Anbieter so 1 Technologie.

Professor Norbert Pohlmann: 26:23

Ich habe noch 2 abschließende Fragen, die stelle ich jetzt mal direkt zusammen. Wenn wir jetzt ein bisschen in die Zukunft gucken, dann ist natürlich KI ein Riesenthema und das ist ja die Frage, was glaubst du, wie weit wird die KI hilfreich sein, damit wir uns besser schützen können, jetzt auch in der defensiven Absicherung? Und der zweite Aspekt, das hattest Du eben schon mal auch erwähnt, ist Cloud. Also wir gehen ja von aus, dass die Zukunft ja Cloud ist und inwieweit wird uns die Cloudanwendung zukunftsorientiert helfen, uns dann deutlich besser zu schützen?

Dr. Kai Martius: 26:58

Ja. Fangen wir mit Letzter Mal an. Wie gesagt, ich glaube, das Argument ist absolut valide, dass diese Cloud Infrastrukturen, die Technik, die da in den Rechenzentren steckt, die Rechenzentren an sich, in ihrem physischen Schutz deutlich besser sind als vieles, was in der Breite im Mittelstand und Privatbereich und im kommunalen Bereich steht, also sicher auch in Großunternehmen in Teilen. Da kann der Betrieb und die Absicherung dieser Infrastruktur deutlich besser werden, wenn wir Cloud Dienste nutzen, was als gegenteiliger Effekt derzeit schon sichtbar ist, fast schon sehr kritisch sichtbar ist, diese Log In Effekte und diese Monopolisierungseffekte, die durch diese Plattformtechnologien entstehen. Ich habe sehr wenige große Cloud Anbieter, die möglicherweise einen guten Job tun, viel besseren als viele im Bereich der IT Sicherheit, ihre eigenen Systeme zu sichern.

Dr. Kai Martius: 28:02

Nichtsdestotrotz, einhundert Prozent Sicherheit gibt es auch da nicht und wenn etwas ausfällt, fällt es großflächig aus. Das haben wir gerade gesehen. Jetzt ist das mehr ein Thema der Resilienz, aber auch das ist ja ein Aspekt von IT Sicherheit, die Verfügbarkeit, dass wir halt jetzt immer mehr abhängig werden von einzelnen Anbietern, dass ihre Infrastruktur funktioniert. Das ist nicht nur ein technischer Aspekt, der ist schon schlimm genug, es ist auch ein politischer Aspekt in der geopolitischen Situation, dass gerade diese großen Anbieter alle nicht in Europa sitzen. Insofern sehe ich das halt mit einem lachenden und weinenden Auge.

Dr. Kai Martius: 28:40

Ich glaube konzeptionell ist das deutlich besser in so einen zentralen oder in so einen Rechenzentren Infrastrukturen und in so einen professionell gemanagten Infrastrukturen möglich, IT Sicherheit zu erzeugen, aber die Nebenwirkungen sind schlecht, die ich gerade so wahrnehme und deswegen müssen wir da an der Stelle auch noch einiges tun, was die Möglichkeit verteilter Cloud Anwendungen 1 standardisierten Cloud Stacks oder 1 standardisierten Cloud Infrastruktur anbelangt, dass dort meine Anwendungen auf unterschiedlichen Cloud Umgebungen laufen. Das ist eigentlich ein ganz anderes Thema als IT Sicherheit, aber in dem Kontext, glaube ich, kann das nur zusammen wieder funktionieren. Dann noch zum Thema AI. In der Tat ein Thema, was die letzten 2, 3 Jahre eine wahnsinnige Entwicklung genommen hat, was auch überaus große Züge von Hype mit sich bringt. Also es ist mein Eindruck, vieles irrational da bewertet wird, aber nichtsdestotrotz der Nutzen und die technischen Fortschritte da sind beeindruckend.

Dr. Kai Martius: 29:51

Die Möglichkeiten von AI sind halt wie bei jedem Werkzeug zweischneidig, also Dual Use, wenn man so will. Die können Angreifer nutzen, die können auch die nutzen, die Systeme sicherer bauen wollen und verteidigen wollen. Im Moment befürchte ich, dass die Angreifer einen größeren Nutzen von AI haben, weil sie das gesammelte Wissen sozusagen von Schwachstellen und Angriffsmethoden nutzen können, ohne viel menschliches Wissen Angriffe zu automatisieren und Angriffe durchzuführen. Die Möglichkeiten sind da vielfältig und wir werden da wahrscheinlich noch einen viel größeren Anstieg von Angriffsszenarien sehen, weil einfach die Automatisierbarkeit und die Durchführbarkeit besser und skalierbarer wird, als das heute mit den wenigen Pentestern oder Angreifern, die über das Wissen selbst verfügen, erfolgen kann. Insofern bleibt das spannend, ob wir die Kurve kriegen, dann auch die Breite der Sicherheit zu gewährleisten.

Dr. Kai Martius: 31:00

So ein bisschen der Kreis, der sich schließt, zu sagen: Wir brauchen wirklich sichere Systeme, weil uns ansonsten diese automatisierte Angriffswelle überrollen wird, umso schneller, umso besser. In dem Sinne kann uns natürlich auch AI helfen in der Konstruktion und Umsetzung sicherer Systeme. Wir nutzen zum Beispiel AI auch im Kontext von formalen Entwicklungs- oder Beweismethoden, dass wir hier Software entsprechend annotieren und auch ergänzen lassen, die uns so ein riesen Ding für die Nachweise von Sicherheitseigenschaften ermöglichen, wo der Entwickler im Prinzip viel Arbeit abgenommen bekommt. Also für solche Zwecke dort schneller und besser sichere Software zu entwickeln, denke ich, steckt auch viel Potenzial dieser Technologie, weil das eben auch ein sehr spezielles Wissen ist, was nur wenige Leute haben. Wenn man das halt jetzt mit Menschen skalieren will, dann ist das halt immer schwierig.

Dr. Kai Martius: 32:07

Also das Rennen ist offen, würde ich sagen.

Professor Norbert Pohlmann: 32:09

Super, ja, vielen Dank für das Teilen deines Wissens mit uns und wir sind am Ende angekommen und ich möchte mich dann noch für das Gespräch recht herzlich bei dir bedanken. Danke dir.

Dr. Kai Martius: 32:22

Danke für die Gelegenheit und viele Grüße.