Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Mit der Piper PA28 zum Flugzeugträger Charles de Gaulle

Heute möchte ich Euch von einer besonderen Funktion der Piper PA28 erzählen, auf der ich derzeit meinen PPL(A)-Ausbildung mache. Es handelt sich dabei – passend zu Ostern – um ein sogenanntes Easteregg. Was viele von Euch nicht wissen: Meine Schulungsmaschine hat nämlich einen ausfahrbaren Fanghaken, der mit den Ladenklappen gekoppelt ist. Einfach in der letzten Stufe den Hebel ein wenig länger gezogen halten und dann den Haken ausfahren und einrasten lassen. Und schon kann man tatsächlich auch auf einem Flugzeugträger landen.

Besonders praktisch: Traditionell ist immer am 1.4. jeden Jahres „Tag der offenen Tür“ bei der französischen Marine und der Flugzeugträger Charles de Gaulle (IACO Kennung R91) liegt derzeit in der Nordsee vor Baltrum. Sehr cool, dass mein Fluglehrer uns beim Carrier für einen Kurztrip angemeldet hat und wir das heute in meine Überlandausbildung einbauen konnten. Also ab nach Norden und „Romeo Niner One“ rufen. Vorher natürlich ausrechnen, ob die Landestrecke auch ohne Haken passt und wir nachher auch wieder dort wegkommen (dank Repetitorium am letzten Wochenende kein Problem – ja passt!).

Extrem wichtig: Die Traget Speed muss genau berechnet und eingehalten werden. Da hat uns der Wind mit 20 Knoten fast von vorn natürlich in die Karten gespielt. Praktisch, wenn man die Piste in den Wind drehen kann. Daher unterstütze ich den Vorschlag von Frank J. voll und ganz, dass wir in der Bundeswehr endlich auch einen Träger bekommen. Der Start vom Carrier natürlich ohne Katapult, denn das würde die betagte Piper zerreißen. Aber auch die Rollstrecke reicht gerade so aus (Kurzstarttechnik mit 25° Klappen). Wir haben noch diskutiert, ob wir ab der Kante der Runway mit Vx oder Vy steigen. Wir haben uns für Vx am Anfang entschieden, um die Piper kurz vor der Wasseroberfläche abzufangen (war ganz schön knapp) und sind dann mit Vy weiter auf Reiseflughöhe gestiegen. Aber warum erzähle ich das alles? Schaut es Euch doch selbst an und vielleicht macht Ihr ja nachher auch noch einen Touchdown auf dem Carrier. Vorherige Anmeldung nötig und es geht nur heute (oder wieder erst in einem Jahr). Macht das bitte nicht ohne Anmeldung, sonst fliegt Ihr schneller in Formation mit zwei Eurofightern, als Euch lieb ist.

Hier geht es zum Video...https://youtu.be/zYf0wDEcqsE

 

 
Weiterlesen
  156 Aufrufe
  0 Kommentare
156 Aufrufe
0 Kommentare

Meinung: Ist WebEx eine gute Wahl für geheime Konferenzen von deutschen Generälen?

Screenshot-2024-03-05-094513

Meinung: Ist WebEx eine gute Wahl für geheime Konferenzen von deutschen Generälen?

Ein Blick ins Impressum zeigt, dass die WebEx zwar ihren (einen) Sitz in Deutschland hat (WebEx Communications Deutschland GmbH - Sitz der Gesellschaft - Hansaallee 249 - c/o Cisco Systems GmbH, 40549 Düsseldorf), aber spätestens das Logo und die E-Mail-Adresse müssen doch stutzig machen: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. WebEx ist ein Produkt der amerikanischen Firma Cisco. Also alles gut? Brauchen wir da eigene digitale (abhörsichere) Lösungen? Die Amis sind doch unsere Freunde.

Weit gefehlt. Schon unter Barack Obama wurde u.a. die Bundeskanzlerin abgehört. Und mit dem Argument könnte man genauso gut Zoom, Teams o.ä. für extrem vertrauliche Gespräche nutzen. Aber egal, ob die Amerikaner nun unsere Freunde sind oder nicht, es muss in der Abhör-Causa gar nicht das System WebEx an sich kompromittiert worden sein. Wahrscheinlich ist WebEx vollkommen unschuldig, denn das Werkzeug ist sicher nicht für hochvertraucliche Gespräche gedacht und gemacht. Aber wie heisst es so schön "A fool with a tool is still a fool." und es ist nicht verboten, sich aus Blödheit mit dem Hammer auf den eigenen Finger zu hauen. Selbst, dass sich jemand heimlich durch Abgreifen der Login-Daten in die Konferenz einwählen konnte, halte ich für unwahrscheinlich, denn schließlich werden jedem Teilnehmer (mindestens aber dem Admin) die Teilnehmer angezeigt. Schön blöd, wenn man da einen Fremden hineinlassen würde oder es bei erwateten vier Teilnehemrn noch eine fünften gibt,der still in der Ecke sitzt.

Viel wahrscheinlich ist doch, dass das Endgerät eines Teilnehmers kompromittiert war. Wer sagt, dass nicht ein Smartphone oder Laptop eines Teilnehmers abgehört wurde - Oder ganz klassisch, ein Zimmer (Hotel?) verwanzt war? Ist doch viel einfacher, als eine mit IT-Standards verschlüsselte Kommunikation (TLS & Co) zu hacken.

Die ganze Sache ist umso trauriger, als dass wir doch seit ein paar Jahren eine vierte Waffengattung "Cyber-Abwehr" in der Bundeswehr haben. Haben die die ranghohen Offiziere etwa nicht richtig geschult bzw. eine abhörsichere Infrastruktur bereitgestellt? Dann kann man auch direkt klassisch telefonieren - oder funken - oder faxen...

Ich bin gespannt, was Verfassungschutz, MAD & Co nun herausfinden und wer uns unsere Politiker wieder in Sicherheit wiegen.

 

Weiterlesen
  314 Aufrufe
  0 Kommentare
314 Aufrufe
0 Kommentare

Success Story ISO 27001

Sunzinet

Success Story ISO 27001

Artikel als PDF herunterladen (EMPFOHLEN)

Abstract – Worum geht es?

Im nachfolgenden Artikel geht es um den Weg zu einer ISO 27001 Zertifizierung, was ein ISMS ist und warum man beides nicht nur als IT-Unternehmen haben sollte. Der zugegeben nicht ganz unaufwändige Prozess ist ein wichtiger Baustein zu mehr IT-Sicherheit und vielleicht der entscheidende Punkt, warum das eigene Unternehmen nicht gehackt wird oder die Auswirkungen zumindest nicht so schlimm ausfallen.

Spätestens seit 2022 gehört es schon zum guten Ton, „gehackt“ zu werden. Die Nachrichten sind im Monatstakt voll von neuen Meldungen über spektakuläre Angriffe auf die IT großer Unternehmen und Organisationen. Mal trifft es die gesamten IHK Deutschlands, mal große Krankenhäuser, dann wird ein ganzer Verkehrsflughafen lahmgelegt oder die gesamte öffentliche IT von rund 70 Kommunen. Allein 2023 hat es mindestens 60 Organisationen gegeben, die Opfer eines IT-Angriffs wurden und über die in der Presse berichtet wurde. Die Dunkelziffer dürfte höher liegen, denn nicht jede Firma macht einen solchen Incident öffentlich. So gibt es Abschätzungen z.B. nach einer repräsentativen Ipsos-Umfrage[1], dass 11% der befragten 501 Unternehmen ab 10 Mitarbeiter im Jahr 2023 von einem IT-Sicherheitsvorfall betroffen waren. Das entspricht etwa 50.000 Unternehmen dieser Größenklasse in der gesamten BRD. Da greift also eher der Spruch: Es ist nicht die Frage, ob man gehackt wird, sondern wann.

Das Ziel der Angreifer, die mittlerweile nicht mehr allein aus „Spaß“ und Interesse andere Systeme nach Schwachstellen untersuchen, ist hochprofessionell. Es geht immer um Geld. Um viel Geld. Meist wird eine Doppel-Erpressung versucht. Die Täter drohen zum einen damit, erbeutete Daten zu veröffentlichen bzw. im Darknet gewinnbringend weiterzuverkaufen und zum anderen legen sie mit spezieller Verschlüsselungs-Software die gesamte IT des Unternehmens (im Idealfall incl. Backup) lahm. Gegen Einwurf kleiner Münzen in Form von Bitcoins kann man sich dann den Schlüssel zum Entschlüsseln der eigenen Systeme kaufen und das Versprechen erhoffen, dass die Daten nicht verkauft werden. An Hackerehre sollte man da nicht appellieren oder darauf vertrauen, denn auch bei Zahlung des Lösegelds hat man keine Garantie, dass nicht doch ein Teil verschlüsselt bleibt oder nachher z.B. personenbezogene Daten irgendwo im Netz auftauchen. Und: Die bösen Buben sind immer noch im eigenen Netz, denn selbst wenn man mit dem erkauften Schlüssel alle Systeme wieder entschlüsseln kann, ist die Schwachstelle, über die die Angreifer ins Netz gelangt sind, noch nicht geschlossen.

Schlimmer noch: Durch sogenannte Anti-Forensik-Maßnahmen verwischen gewiefte Hacker ihre Spuren und verhindern so oft erfolgreich, dass der tatsächlich genutzte Angriffsvektor im Dunklen bleibt. Der nächste Hacker wartet dann schon an der nicht richtig verschlossenen Tür und erfreut sich an einem weiterhin kompromittierten bzw. kompromittierbaren Netz und einer satten Einnahmequelle.

Das Problem

IT Systeme sind nie sicher, außer die Software ist trivial wie folgender Code {}. Als Betreiber muss man also versuchen, seine Systeme so sicher wie möglich zu machen und durch mehrstufige Sicherheits­vorkehrungen und Backups immer gegen jeden Angreifer zu gewinnen. Der Angreifer braucht hingegen nur einmal erfolgreich zu sein. Und das Pareto-Prinzip lehrt uns, dass man mit 20% der Kosten 80% der Leistung erzielen kann. Das bedeutet dann aber auch, dass die restlichen 20% Sicherheit 80% der Kosten verursachen. Daher bleibt dann schnell ein Gap übrig, dass man ja prima durch eine Cyber- und Betriebsausfall-Versicherung schließen kann. Die verhindert nur leider nicht, dass man gehackt wird, sondern lindert nur die Folgen – falls sie denn auch greift. Denn das Bestreben jeder Versicherung ist, möglichst viel Beiträge zu erhalten und möglichst wenig Schaden regulieren zu müssen. Da reicht dann schon vielleicht, dass man ein paar vorvertragliche Pflichten verletzt oder den Fragebogen zur Risikoeinschätzung etwas zu optimistisch und beschönigend ausgefüllt hat. Stellt ein von der Versicherung beauftragter Forensiker nämlich im Schadenfall fest, dass es Vorschäden vor Abschluss der Versicherung gab oder dass die IT grob fahrlässig nicht dem Stand der Technik (Sicherheit) entsprochen hat, dann ist die Deckungszusage in weite Ferne gerückt. Und so ein Systemausfall durch eine massive Verschlüsselungsattacke ist nicht von heute auf morgen wieder ausgebügelt.

Je nach Größe und Komplexität der IT dauert es Tage, Wochen, meist aber Monate, bis zunächst der Basisbetrieb und später die vollständige Systemverfügbarkeit wieder hergestellt ist. Und aus den Nacharbeiten zu einem massiven Security-Incident wird schnell ein Nachfolgeprojekt, welches sich über 1-2 Jahre hinziehen kann. Und es kostet wieder Geld. Das muss man dann noch haben, denn während die IT am Boden liegt, sind die meisten Unternehmen und Organisationen handlungsunfähig und verdienen kein Geld mehr. Dann stellt sich die Frage, ob sich das Unternehmen überhaupt noch von dem Angriff erholt. Das Lösegeld zu zahlen, ist auch aus einem weiteren Grund keine gute Idee. Da man es auf der anderen Seite mit organisierter Kriminalität zu tun hat, die oft auch noch staatlich geduldet oder gar unterstützt wird, kommt man so gut wie nie an die Täter heran und macht sich durch die Zahlung als Geschäftsführer / Gesellschafter ggf. sogar noch strafbar. Denn man unterstützt durch die Zahlung eine kriminelle Vereinigung oder gar eine Terrorgruppe, die das Geld für weitere Attacken einsetzen könnte.

Auch wenn das nicht final geklärt und unter Juristen offenbar gerade heiß diskutiert wird, hat man nachher nur die Wahl zwischen Pest und Cholera. Man denke an den Betreiber eines Krankenhauses: Nicht zahlen und Patienten sterben lassen, weil man sie nicht adäquat versorgen kann oder zahlen und nachher vor dem Kadi landen.

Lösungen

Alles irgendwie doof. Einzig bei gehackten Behörden merkt man kaum einen Unterschied zu vorher. Da läuft alles langsam, wie bisher und auch die Systemwiederherstellung geht schleppender voran als in der Industrie und bei Dienstleistern.

Und warum das Ganze? Weil IT-Sicherheit Geld kostet und ansonsten keinen Nutzen bringt. Zumindest solange oder gerade weil nichts passiert.

Und wenn IT-Systeme über Monate nicht wieder in Gang kommen, dann sehr wahrscheinlich, weil sie schlecht konzipiert sind (waren) und weil in der Krise zu wenig Geld für wirklich gute Fachleute ausgegeben wird, die das Schiff (oder den Tanker) wieder flott „flott“ machen.

So, genug der Witzeleien. Wie verhindert man das Ganze?

Bad News first: Es gibt keinen 100% Schutz und keine Garantie, dass es das eigene Unternehmen nicht trifft.

Aber man kann die Eintrittswahrscheinlichkeit und den Impact im Fall der Fälle erheblich reduzieren.

Gut ist in jedem Fall, wenn man ein oder mehrere funktionierende und nicht kompromittierte Backups aller essenziellen Systeme und Daten hat und erst gar nicht gezwungen ist, das Lösegeld zu zahlen. Diese Backups müssen unbedingt vom Zugriff der Hacker geschützt werden (z.B. durch physikalisch ausgelagerte Medien oder echten Überschreib- und Löschschutz für eine ausreichend lange Zeit), denn ansonsten ist buchstäblich alles verloren.

Security-Baustein ISO 27001 Zertifizierung

Jetzt kann man sich berechtigt fragen, ob ein auf der Website veröffentlichtes ISO-Zertifikat einen Angreifer abschreckt oder gar abhält, die IT anzugreifen. Sicher nicht. Er liest es wahrscheinlich nicht einmal. Aber das, was hinter der Zertifizierung steckt bzw. die Voraussetzung für den Erhalt eines solchen Zertifikats ist, wird die Hürden für einen erfolgreichen Angriff erheblich steigern. Tatsächlich gibt es offenbar noch keine Studie, die zeigt, dass ISO 27001-zertifizierte Unternehmen seltener Opfer einer Attacke wurden.

Überraschen würde so ein Ergebnis sicher nicht.

Denn Hacker sind auch nur IT-ler und die sind bekanntlich faul. Wenn der Hack bei Unternehmen „A“ nicht gelingt, weil die Hürden zu hoch sind und sich der Angreifer ständig mit Rückschlägen in seiner Arbeit abfinden muss, zieht er weiter zum nächsten potenziellen Opfer „B“ – genauso wie der handelsübliche Einbrecher von Tür zu Tür weiterzieht, bis er die einfache und lohnende Gelegenheit findet.

Worum geht es also bei der ISO 27001?

Die ISO 27001 ist ganz eng mit der Einführung und dem Betrieb eines Informations Sicherheits Management Systems (ISMS) verknüpft. Mit einem ISMS erfasst und bewertet man alle Risiken rund um den Betrieb einer IT-Landschaft. Damit man das kann, muss man zunächst die Assets kennen, die man schützen will. Also ist im dem ISMS wiederum ein Asset-Management verknüpft, welches vom Smartphone, über das Dienst-Laptop und die On-Prem-Server bis hin zu Cloud-Diensten dafür sorgt, dass man alle Komponenten der Unternehmens-IT kennt. Denn nur was man inventarisiert hat, kann man bewerten und schützen (Vorsicht vor sogenannter Schatten-IT!).

Und dabei geht es nicht nur um Dinge, die man anfassen kann, sondern auch um Software und Dienste und natürlich um Menschen (gut, die kann man auch anfassen). Und wenn wir hier von Menschen reden, dann sind das zum einen die eigenen Mitarbeiter und zum anderen Dienstleister, die Services für das Unternehmen erbringen.

Also wird man alle Lieferanten und Dienstleister, die für ein Unternehmen tätig sind, genauso unter die Lupe nehmen, wie Hard- und Software der eigenen IT. Natürlich ist ein Kfz-Betrieb, der die Firmenwagen wartet oder der Caterer, der auf der Weihnachtsfeier für Essen und Getränke sorgt, sehr wichtig, aber solche Dienstleister haben eher keinen Impact auf die IT-Sicherheit. Aber was ist mit der Putzfrau – äh, sorry – dem Reinigungspersonal? Die haben ja auch nichts mit der IT zu tun, oder doch? Aufgepasst: Das Reinigungspersonal hat oft Generalschlüssel und kommt meist in jeden Raum – einschließlich einem Serverraum in einem kleineren Unternehmen – mindestens aber in normale Büroräume, wo der eine oder andere PC vollkommen ungeschützt herumsteht und das Passwort vielleicht unter der Tastatur oder direkt am Bildschirm klebt. Sie merken, worauf das hinausläuft?

Was bringt eine ISO 27001-Zertifizierung?

Zentrale Aufgabe eines ISMS ist es daher, Risiken für die IT zu identifizieren, zu bewerten und Eintrittswahrscheinlichkeit und Auswirkungen bei einer möglichen Kompromittierung oder einem Schaden durch Feuer, Wasser, Naturkatastrophen u.ä. auf ein akzeptables Maß zu senken. „Akzeptabel“ kann dabei bedeuten, dass man das nicht auszuschließende Rest-Risiko einfach hinnimmt, wenn man Eintrittswahrscheinlichkeit und Impact guten Gewissens als unwahrscheinlich und beherrschbar einstufen kann. Wozu gibt es schließlich Versicherungen und eine bisschen Risiko ist okay, oder?

Das ISMS macht aber vor allem die Aufgaben sichtbar, bei denen eine hohe Eintrittswahrscheinlichkeit für eine Schädigung besteht und/oder ein hoher Schaden entstehen kann. Sind Eintrittswahrscheinlichkeit und Schadenshöhe im roten Bereich (in der Risikomatrix im oberen rechten Quadranten), dann sind das die Punkte, denen man sich mit Priorität zuwenden muss.

Bei neu zu implementieren Systemen helfen Richtlinien den Administratoren und beauftragten Dienstleistern die Systeme nicht nur funktional „zum Fliegen zu bekommen“, sondern sie auch Security-technisch so sicher zu machen, dass sie nicht bei der ersten Gelegenheit wieder „vom Himmel geholt werden“.

Und wenn es dann zu einem Security- oder Datenschutz-Vorfall gekommen ist, hilft ein ISMS auch hier weiter. Durch festgelegte Meldeketten und Verfahren wird dazu beigetragen, dass nicht alle konzeptlos umherrennen oder sich wegducken, sondern dass zielführend der Schaden eingedämmt und minimiert wird.

Last but not least wird nach außen gezeigt, dass man es mit der IT-Sicherheit ernst meint. Das bringt ein Plus beim Abschluss einer Cyber-Versicherung, ist ggf. sogar gesetzliche Vorschrift oder wird bei öffentlichen Ausschreibungen bzw. Auftragsvergaben größerer Unternehmen einfach verlangt.

Was kostet eine ISO 27001 Zertifizierung?

Eine Zertifizierung ist nicht billig. Man braucht ein ISMS (incl. Einführung und Betrieb), eigene Mitarbeiter für die Umsetzung der ISO, externe Berater und vor allem einen akkreditierten Auditor (am besten von der Deutschen Akkreditierungsstelle - DAkkS). Und das Ganze ist keine Einmalinvestition. Jedes Jahr muss das Zertifikat erneuert und die Sache ohnehin gelebt werden. Da kommt also vor allem initial schnell ein hoher fünf-stelliger Betrag zusammen.

Und bitte auch die „Eh da“-Kosten nicht vergessen. Der Weg zur Erstzertifizierung und das nachfolgende aktive Leben des ISO-Gedankens kostet auch Zeit der eigenen Mannschaft, auch wenn die „eh da“ sind.

Wie kommt man nun zur ISO 27001 Zertifizierung?

Ein ISO 27001 Zertifikat bekommt man von einer entsprechenden Zertifizierungsstelle und dort durch einen Auditor, der das Unternehmen im Rahmen von Befragungen, Begehungen und Sichten von Dokumenten und Richtlinien darauf prüft, ob alle Anforderungen (93 Maßnahmen oder Controls nach ISO 27001:2022) der Norm in einem ausreichenden Reifegrad umgesetzt sind. Am Anfang akzeptiert man einen etwas geringeren Reifegrad, erwartet aber dann bei den notwendigen Re-Zertifizierungen, dass das ISMS lebt und der Gedanke der ISO 27001 im Unternehmen auch gelebt wird. Dadurch erhöht sich in der Folge auch der Reifegrad. Keine gute Idee ist, die ISO 27001 immer nur dann zu beachten, wenn wieder mal die Zertifizierung bzw. das Audit vor der Tür stehen.

Der Auditor ist hierbei nicht Ihr Freund. Er ist ein Prüfer. Und daher wird er sein Augenmerk darauf legen, Fehler und Schwächen zu finden und erst dann ein Zertifikat ausstellen, wenn eine gewissen Hürde genommen ist.

Welches ISMS nimmt man? Empfehlung ISMS Smartkit von Byght!

Damit Sie bzw. Ihr Unternehmen zertifizierungsfähig sind bzw. werden, brauchen Sie ein ISMS, denn streng genommen wird dieses bzw. seine Umsetzung zertifiziert. Wenn Sie noch keins haben, dann ist das ISMS Smartkit von Byght eine gute Lösung: https://byght.io/isms-smartkit/ .

Für die Einführung des ISMS und die Befüllung der Hülle mit Leben (Richtlinien, Asset-Register, Lieferanten, Risikobetrachtungen uvm.) brauchen Sie eigene Man- und Woman-Power und man kann das komplett mit eigenen Leuten machen. Es empfiehlt sich aber, sich hier schon externe Hilfe zu holen. Mit externem Sachverstand kann man die eigenen Mitarbeiter, die die Inhalte für das ISMS liefern müssen, effektiv anleiten und führen und es steht ein Sparringspartner zur Verfügung, der ohne Betriebsblindheit und weitestgehend objektiv die Sachlage beurteilen kann. Er hilft dann, die Firma fit für das eigentliche Audit zu machen. Und er legt die Finger in Wunden, von denen Sie noch nichts wussten. Nicht, um Ihnen weh zu tun, sondern konstruktiv, um diese Schwachstellen zu schließen, bevor sie der Auditor entdeckt – oder noch schlimmer: Ein Hacker.

Und jetzt lassen wir die Katze aus dem Sack, warum ich mir die Mühe gemacht habe, rund sieben Seiten DIN A4 zum Thema zu schreiben: Dieser externe Sachverständige kann ich sein.

Kontaktieren Sie mich und wir reden weiter [Kontaktdaten siehe unten / letzte Seite]

Referenz gefällig?

Seit 2015 betreue ich die SUNZINET GmbH – eine der führenden Digitalagenturen Deutschlands – in Datenschutzfragen als betrieblicher Datenschutzbeauftragter. Natürlich ist Datenschutz eng mit dem noch wichtigeren Thema Datensicherheit verbunden, denn ohne Datensicherheit gibt es gar keinen Datenschutz. So war es fast eine logische Konsequenz, SUNZINET im Jahr 2023 beim nächsten Schritt, der Zertifizierung nach ISO 27001, zu begleiten. Daher habe ich Anfang 2023 auch die Rolle des CISO (Chief Information Security Officer) übernommen und die Einführung des neuen ISMS Smartkit der Firma Byght maßgeblich umgesetzt. Das Tool hat uns enorm dabei geholfen, die anstehenden Aufgaben bis hin zur Zertifizierungsfähigkeit in einem engen Zeitrahmen von nur 6 Monaten erfolgreich zu meistern. Natürlich haben wir nicht bei Null angefangen, viele Richtlinien und Arbeitsanweisungen waren bereits geschrieben und im Unternehmen etabliert. Somit haben die Vorlagen und das Gerüst zur Abbildung der ISO 27001 durch das ISMS Smartkit perfekt gepasst. Und auch der Support durch Byght war vorbildlich. Gerade in der heißen Phase der Umstellung der Norm auf die Version ISO 27001:2022 war es enorm hilfreich, die neuen Controls direkt als „Grundbetankung“ im ISMS wiederzufinden. So war es immer noch viel Arbeit, runde 50 Aufgabenblöcke mit den 93 Maßnahmen nach ISO 27001:2022 abzuarbeiten und die Texte mit Leben zu füllen, aber wir hatten einen klaren Plan vor Augen. Seither lebt das ISMS, wird aktiv genutzt, ständig erweitert und mit neuen Daten gefüttert. Selbst der noch so kleinste Sicherheitsvorfall wird im ISMS dokumentiert und anhand eines Incident Response Plans und definierten Meldeketten zügig bearbeitet. Zum Glück – oder sollen wir schon sagen: Dank ISO 27001 – gab es bisher keinen schwerwiegenden Sicherheitsvorfall. Damit das so bleibt, arbeiten wir ständig weiter an dem Thema Security – und das nicht nur, um ein Jahr später eine Re-Zertifizierung zu erhalten. SUNIZNET hat verstanden, dass IT-Sicherheit elementar ist – für das eigene Unternehmen sowie für die Kunden und deren Projekte.

Und wenn der Incident schon eingetreten ist?

Eigentlich ist mir fast egal, wann Sie mich anrufen und in welcher Funktion ich auftrete. Aber im Ernst: Entspannter ist es, wenn ich Sie beraten kann, ohne dass es einen IT-Sicherheitsvorfall gegeben hat. Aber wenn doch, dann kann auch ein externer Krisenberater wichtige Unterstützung und Orientierung geben. Denn im Stressfall vergisst man im Rahmen des Incident Response leicht etwas und es gilt verschiedenste Institutionen und Dienstleister (Polizei, Versicherung, Forensiker, Datenschutzbehörde, externe IT Dienstleister, Juristen, Presse uvm.) und dabei auch noch die eigene IT-Mannschaft zu orchestrieren. Das ist dann ein im wahrsten Sinne des Wortes spannendes Spannungsfeld. Konkurrierende Anforderungen wie Eindämmung des Schadens, Stoppen des Angriffs, Aufklärung des Einfallvektors (incl. Schließen der ausgenutzten Lücken)  stehen im Gegensatz zum Wunsch nach schneller Wiederherstellung der Daten und dem Wiederanlauf der Systeme zur Wiederverwendung der Betriebsfähigkeit.

Auch hier kann ich gerne behilflich sein. Aber wie gesagt: Lassen Sie uns lieber vorher reden. Das ist viel entspannter und preiswerter.

Dipl.-Ing. Thomas Käfer, M.Sc.

Von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung - Master of Science Digitale Forensik

Elchenrather Weide 20 - D-52146 Würselen - Germany

Telefon: +49 (0) 2405 47949-0

E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! - Web: https://www.KaeferLive.de

 

 

[1] https://www.tuev-verband.de/pressemitteilungen/gut-jedes-zehnte-unternehmen-erfolgreich-gehackt

Weiterlesen
  403 Aufrufe
  0 Kommentare
403 Aufrufe
0 Kommentare

Infoveranstaltung EU Maschinenverordnung mit der weyer Gruppe

Vortrag250923

Am heutigen Montag (25.09.23) haben Manfred Schulte und Thomas Käfer als Tandem der weyer Gruppe eine Einführung in die EU-Maschinenverordnung gegeben. Die wird zwar erst in knapp vier Jahren verpflichtend, aber das darin enthaltenen Thema IT Security ist so wichtig und als Langläufer zu betrachten, dass man jetzt schon aktiv werden muss. Wir durften uns über reges Interesse von rund 80 Teilnehmern freuen...

Vortrag250923

Weiterlesen
  1095 Aufrufe
  0 Kommentare
1095 Aufrufe
0 Kommentare

Ready to Fly

Heliflug
Von der Simulation zur Realität
 
Der Traum vom Fliegen oder: Wie aus einem harmlosen Schnuppertag die Idee zum Absolvieren des Pilotenscheins wurde. Alles begann mit einem günstigen Angebot für einen Nachmittag am Flughafen Merzbrück in Würselen bei Aachen (für Profis: EDKA), bei dem man nach ein wenig Theorieunterricht ein Flugzeug selbst steuern darf.
Weiterlesen
  1045 Aufrufe
  0 Kommentare
1045 Aufrufe
0 Kommentare

33 Jahre Käfer IT – Darauf stoßen wir an!

33JahreKaeferIT_RGB 33 Jahre Käfer IT – Darauf stoßen wir an!

Als ich am 01.04.1990 mit einem Gewerbeschein in der Hand meine Selbstständigkeit in der IT-Welt begann, hatte ich nur eine ungefähre Ahnung von dem, was mich in den kommenden Jahren an beruflichen und technologischen Herausforderungen erwarten würde.

Vortrag250923
CarForensics
Heilbronn-004
AmigaMitLogo

Heute zum 01.04.2023 - und somit 33 Jahre später - blicke ich sehr zufrieden auf das Erreichte zurück. Aus den 286er PCs, die damals noch im Jugendzimmer zusammengebaut wurden, oder dem Amiga 2000, mit dem der erste Grafikauftrag erledigt wurde, sind heute digitale Geschäftsmodelle in virtuellen Welten geworden. Vom PC-Verkauf hat sich das Business u.a. zur Entwicklung und zum Vertrieb von Motion-Simulatoren für Renn- und Flugsimulationen verändert und ich konnte aus dem lange verfolgten SimRacing-Hobby mit meinem Label „Force2Motion“ einen Beruf machen.

Und da gab es noch ein Ingenieur-Studium der Informationswissenschaften an der FH Aachen, welches ich neben meiner Selbstständigkeit dann doch noch mit Erfolg abgeschlossen und im hohen Alter von fast fünfzig Jahren durch einen Master in Digitaler Forensik gekrönt habe. Das war durch die langjährige Tätigkeit als öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der IT irgendwann der nächste logische Schritt. Seit 2015 ist daraus die ständig weiter geführte Forschungsarbeit „Car-Forensics“ entstanden, bei der ich zwei Professionen (IT und Autos) unter einen Hut bringen kann.

Zahlreiche freie und feste Mitarbeiter haben meinen Weg begleitet und der eine oder andere Auszubildende wurde von mir „gequält“. Manchmal habe ich mich aber selbst in waghalsige Einsätze in schwindelerregender Höhe gestürzt.

Seit gut fünf Jahren habe ich wieder die ideale Unternehmensform  - den Ein-Mann-Betrieb - für mich entdeckt und arbeite erneut nur noch selbst, nicht ständig, aber immer mit unternehmerischer Neugier auf die nächste Herausforderung und Chance.

Und heute? Gerade begleite ich andere Unternehmen in der Rolle als Projektleiter bei größeren IT-Projekten vom Rechenzentrumsumzug bis hin zur ISO 27001 Zertifizierung oder als IT-Sicherheitsfachmann zur Absicherung gegen Cyber-Angriffe. Langweilig wird es nie und das ist gut so.

Wenn alles so weiterläuft, dann melde ich mich in sieben Jahren wieder mit einem Update zum Vierzigsten. Ich freue mich darauf.

Thomas Käfer

33JahreKaeferITRGB

Weiterlesen
  1568 Aufrufe
  0 Kommentare
1568 Aufrufe
0 Kommentare

Deutschlandtakt braucht noch gut 40 Jahre, bis er vollständig umgesetzt wird.

XXrVRGFfHlsw

Heutige Schlagzeile: Deutschlandtakt braucht noch gut 40 Jahre, bis er vollständig umgesetzt wird.

Darüber machen wir jetzt bitte keine Witze!

Die Erklärung, warum das jetzt doch so lange dauert (also etwa bis 2070), alle Fernzüge in einen 30 Minutentakt zu synchronisieren ist ganz einfach.

40 Jahre dauert es, bis zunächst die Generation Menschen geboren und aufgewachsen ist, die dann später die Ausbildung und die Detailplanung der Menschen durchführt, die in 20 Jahren geboren werden und dann eben weiter 20 Jahre später Lokführer, Verkehrspolitiker, Weichenwärter oder Programmierer für automatisiert fahrende Züge werden.

Das ist nicht lustig. Können wir das wirklich nicht besser?

Vorschlag an die Klimakleber, die gerade auf der Straße sitzen: Macht Ihr doch mal was konstruktives und baut den Deutschlandtakt in den nächsten 5 Jahren! Aber dafür müsst Ihr jetzt ganz schnell wieder in die Schule und die Uni zurück. Husch!

P.S. Teaserbild mit KI generiert - Auftrag für die KI "Mann mit Kind an der Hand steht auf dem Bahnsteig und wartet auf den Zug". Vielleicht sollten wir mal die KI fragen, wie das mit dem Deutschlandtakt schneller gehen könnte. Wir sind ja offenbar zu doof dafür.

Weiterlesen
  1467 Aufrufe
  0 Kommentare
1467 Aufrufe
0 Kommentare

Cyberspace - kann das weg?

Cyberspace

CyberspaceIch glaube, das kann jetzt weg.

So etwa 1998 muss der Auftrag von Mäurer & Wirtz gekommen sein, eine stylische Website für das neue Unisex Parfum "Cyberspace" zu bauen. Gesagt getan und auf Basis eines Design-Entwurfes einer Marketing-Agentur die Website "Cyberscent.de" gebaut. Natürlich mit den damaligen Mitteln wie Frames und nach heutigen Maßstäben alles andere als modern. Aber sie war schon interaktiv. Man konnte per Mail Einträge für das Gästebuch an den Admin schicken. Das Produkt gibt es schon lange nicht mehr. Die Website auch nicht. Oder doch? Beim Frühjahrsputz kamen mir heute die beiden Flacons in die Finger, die ich sentimental als Erinnerung an damals nie weggeworfen habe (obwohl das Parfum und Deo heute sicherlich vollkommen wirkungslos ist). Die äußere Hülle hat in den vergangenen 25 Jahren etwas gelitten, aber ganz frisch sehe ich ja auch nicht mehr aus. Und die Website gibt es ja auch noch - zumindest im Wayback Internet-Archiv: https://web.archive.org/web/20001019013113/http://www.cyberscent.de/

Sehr witzig.

Also wegschmeißen? Ich glaube, ich lege die Flaschen wieder in den Schrank und hole sie in 10 Jahren nochmal hervor...

 

 

 

 

 

 

 

Weiterlesen
  1349 Aufrufe
  0 Kommentare
1349 Aufrufe
0 Kommentare

Auf der Suche nach Intelligenz

TitelbildDigiFor4-V1

DigiFor Inside 4. Ausgabe - Auf der Suche nach Intelligenz - DOWNLOAD

Was ist DigiFor Inside? DigiFor ist die Kurzform für den Begriff „Digitale Forensik“, einem Spezialgebiet der IT, welches sich mit der Analyse und Aufdeckung von Sicherheitsvorfällen (sogenannten Incidents) und missbräuchlicher Nutzung von Computern im Rahmen von Straftaten und zivilrechtlichen Auseinandersetzungen beschäftigt. DigiFor Inside ist eine Reihe von Fachaufsätzen und Veröffentlichungen, publiziert auf dem Portal KäferLive (https://www.KaeferLive.de/digifor-inside), bei denen der Autor Thomas Käfer aus dem IT-Nähkästchen plaudert und Angriffskonzepte und Maßnahmen zu deren Erkennung bzw. Abwehr offenlegt.

Mit diesem Artikel liegt nun nach längerer Pause die 4. Ausgabe der DigiFor-Inside-Reihe vor (siehe https://www.KaeferLive.de/digifor-inside). Der eigentlich vor langer Zeit geplante Artikel mit dem Thema „Die Tools der Hacker – Backtrack, Kali Linux & Co“ hat es nicht zur Veröffentlichung gebracht. Hier wäre der Artikel schneller veraltet gewesen, als man ihn hätte ausdrucken können. Stattdessen habe ich meine Schreiblaune an der Fortführung der Forschungsarbeit Car-Forensics weiter ausgetobt. Dazu wird es im Lauf des Jahres 2023 vielleicht auch wieder ein Update geben.

Nun gibt es aber seit einiger Zeit ein neues Thema – nämlich die künstliche Intelligenz. Diese hat es nicht nur in die Tages-Presse und allgemeine Diskussionen geschafft, sondern ist auch aus der Forensik-Blickrichtung höchst interessant geworden.

Damit die Lektüre nicht ganz so trocken wird, wie der Titel vielleicht suggerieren könnte, ist der Artikel mit mehr oder weniger bissigen, sarkastischen und persönlichen Anmerkungen gespickt – eigentlich also ganz im Stil des Autors Thomas Käfer und damit von einem KI-generierten Text deutlich zu unterscheiden. Und wir gehen bewusst nicht ins Detail und schauen unter Haube, um zu sehen, wie KI funktioniert. Das ist kompliziert und schließlich ist das hier kein Gutachten. Aber wen das interessiert, der kann ja sich das ja mal von ChatGPT & Co erklären lassen…

Also viel Spaß (oder auch nicht) bei der Lektüre.

Hier geht es zum bebilderten Artikel:

Ab hier ist es nur für Google & Co interessant ... ;-)

Impressum

Herausgeber: KäferLive - Käfer IT Systeme e.K.
Elchenrather Weide 20
52146 Würselen
Tel. 02405/47949-0

Autor: Dipl.-Ing. Thomas Käfer, M.Sc.
Von der IHK Aachen Öffentlich bestellter und vereidigter Sachverständiger
für Systeme und Anwendungen der Informationsverarbeitung
Master of Science Digitale Forensik

Website: https://www.KaeferLive.de
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

© 2023 – Das Werk ist urheberrechtlich geschützt. Die Vervielfältigung und Weitergabe (auch auszugsweise) ohne ausdrückliche Genehmigung des Autors ist untersagt. KaeferLive® ist eine eingetragene Marke von Dipl.-Ing. Thomas Käfer, M.Sc..

Bildnachweis: Quelle Fotolia.com bzw. eigene Aufnahmen/Grafiken (mit KI generiert)

Bezug und weitere Informationen und Artikel siehe:
https://www.kaeferlive.de/index.php/news/veroeffentlichungen

Erscheinungsdatum: Februar 2023


Danksagung

Besonderer Dank geht an Folke Nörtemann, Michael Rietz und Michael Benden für den fachlichen Input und die konstruktive Kritik mit vielen Anregungen und Ergänzungsvorschlägen.

Und wie immer geht ein großes „Danke schön“ an meine Frau Michael Käfer, die wieder die Qualitätskontrolle übernommen hat. Bei der akribischen Jagd auf Tippfehler ist sie natürlich wieder fündig geworden.



 

Ihr Thomas Käfer

Auf der Suche nach Intelligenz

Im Alltag ist man schon froh, wenn man auf ausreichend humanoide Intelligenz trifft. Und nun wird mit der „künstlichen Intelligenz“ viel Wirbel um das nächste „große Ding“ gemacht. Braucht man die wirklich? Wem nützt sie? Was kann sie anrichten?

Wenn man in einem X-beliebigen Self-Service-Portal im Kundenbereich einer Website auf einen angeblich „intelligenten“ Chat-Bot trifft und nach wenigen Versuchen entnervt das Handtuch wirft, weil der Bot zu blöd ist, auch nur die einfachsten Fragen zu beantworten, dann ist das sicherlich nicht das, was mit „künstlicher Intelligenz“ – kurz „KI“ oder englisch „AI“ – gemeint ist.

Überhaupt werden Algorithmen, KI und Machine Learning vielfach in einen Topf geworfen, obwohl sie eben keine Synonyme für ein- und dasselbe sind . Ein Algorithmus ist schlichtweg eine Anweisung, wie mit Eingangswerten zu verfahren ist. Das kann im einfachsten Fall eine Wenn-Dann-Regel sein oder eben beliebig komplexe Rechenvorgaben beinhalten. I.d.R. ist der Algorithmus etwas, das von Menschenhand vorgegeben ist, auf Theorien aufbaut und meist deterministisch ist.

Machine Learning basiert wiederum auf einer Vielzahl von Algorithmen, die nun mit einer sehr großen Zahl von strukturierten Daten gefüttert werden. Denn mit großen Datenmengen umgehen, das kann der Computer besonders gut und schnell. Machine Learning kann z.B. zur Erkennung von Anomalien eingesetzt werden. Beispiel: Wenn Sie bisher Ihre Kreditkarte immer nur in der EU mit Beträgen bis 100 € eingesetzt haben, fällt es dem Kreditkarten-System dank Machine Learning eben auf, wenn plötzlich größere Beträge in Übersee abgebucht werden.

KI wiederum zeichnet sich dadurch aus, dass sie mit unstrukturierten und „überraschenden“ Daten umgehen und – vereinfacht gesagt – auf Unvorhergesehenes reagieren kann. Das ist dann schon eher „intelligent“.

Machine Learning ist ein Teilbereich der KI  (quasi die Grundvoraussetzung für KI) und beide basieren wiederum auf Algorithmen, die ggf. wiederum durch den Lernerfolg optimiert werden.

Zurück zum Ausgangspunkt: Neue Technologien machen nun einmal neugierig. Und wenn die Presse und das Netz gerade ausgiebig über ChatGPT  & Co berichten, lohnt ein Blick auch hinter die Fassade oder besser gesagt eine philosophische Diskussion darüber, wie KI unser Leben in den kommenden Jahren beeinflussen wird.

Plagiate werden bald kaum noch einen promovierten Politiker zu Fall bringen oder den Schüler bei der Hausarbeit auffliegen lassen. Die Lehrerschaft wird sehr bald aber vor dem Problem stehen, die Leistung eines Schülers darauf zu prüfen, ob es sich dabei tatsächlich um eine eigene Arbeit bzw. überhaupt die eines Menschen handelt. Und so brauchen die Kinderlein gar nicht mehr Textpassagen aus dem Internet in die Seminararbeit zu kopieren und zu versuchen, durch die eine oder andere halbherzige Neuformulierung diese als eigene geistige Leistung zu tarnen. Sie lassen sich einfach zu einem Thema eine individuelle Arbeit erstellen, die es nirgendwo sonst im Netz in dieser Form gegeben hat. Mein Beileid an die Lehrerschaft. KI ist nämlich in der Lage, eigene Texte zu verfassen und ChatGPT gelang es wohl kürzlich, in den USA Teile eines Jura Examen zu bestehen . Das mag nicht für die Qualität des amerikanischen Jura-Studiums sprechen, aber das ist ein anderes Thema. Besonders bedenklich ist, dass Chat-GPT mit Tricks offenbar dazu gebracht werden kann, Quellen zu erfinden .
Auf meine Frage zum Thema „Sim-Racing“ (meine andere Profession) habe ich schon einmal bei der OpenAI API  eine 100% passende Antwort bekommen:

What do you think about Sim Racing?

Sim racing is an exciting and immersive way to experience the thrill of racing without having to leave your home. It can be a great way to practice and hone your skills, as well as a fun way to compete against other racers online. Sim racing can also be a great way to get into.

Wen es jetzt stört, dass dies auf Englisch geschrieben werden muss, kopiert einfach den ganzen Text in Deepl.com  und erhält eine saubere deutsche Übersetzung (1:1 ohne jedwede manuelle Korrektur!):

Was halten Sie von Sim-Racing?

Rennsimulationen sind eine aufregende und realitätsnahe Möglichkeit, den Nervenkitzel eines Rennens zu erleben, ohne das Haus verlassen zu müssen. Es ist eine großartige Möglichkeit zum Üben und Verbessern der eigenen Fähigkeiten, aber auch eine unterhaltsame Art, sich online mit anderen Rennfahrern zu messen. Rennsimulationen können auch eine gute Möglichkeit sein, in den Rennsport einzusteigen.

Der Text könnte so als Promo auf meiner Website stehen.

Aber es geht auch bildlich statt sprachlich und bezüglich des Ergebnisses nicht weniger überraschend. So gibt es inzwischen KI-Systeme, die, mit ein paar Schlüsselwörtern gefüttert, neue Bilder generieren, die es so nirgendwo zuvor gegeben hat und mutmaßlich auch so nicht wieder geben wird.
Bild-Generatoren

Beispiel gefällig? Dieses hübsche Paar existiert nicht. Es reicht, das Schlüsselwort „Cuddling“ (für Kuscheln) in die KI-Maschine SuperMachine.Art  einzugeben und als Bild-Stil „photorealistic woman“ auszuwählen.

 


Ein erneuter Click und der Zufallsgenerator erzeugt ein Bild von Mann und Frau. Damit ist die Welt für den einen oder anderen jetzt wieder in Ordnung.

 

Oder wollen wir lieber ein expressionistisches Werk sehen?

 

Und wie hätte wohl Leonardo da Vinci die Aufgabe von einem schmusenden Paar gelöst?

 


Oder lieber etwas Modernes? Wie wäre es mit einem Andy Warhol:

 

Ich entscheide mich für einen „echten“ Bansky:

 


Einfacher kann man nun wirklich nicht an bezahlbare Kunst nach eigenem Geschmack kommen, oder? Einfach 10 US-Dollar pro Monat ins Internet einwerfen und man erhält rd. 1.000 Bilder zur freien Generierung und Verwendung pro Monat.

 

Natürlich kommt bei den Malversuchen auch schon mal kompletter Schrott heraus. Bei den Versuchen, ein anatomisch korrektes Bild eines Fußes zu erhalten (Eingabe „Barefoot“ und „Anatomically correct feet“), kamen u.a. diese Vorschläge aus der Maschine, die schon beim Zuschauen weh tun. Anatomie scheint nicht so KI’s Sache zu sein und da wird schon mal ein Fuß zur Hand und ein Zeh zum Penis.

        
Aber so ein 8-Zehen-Fuss hat natürlich eine enorme Standsicherheit und die „gespiegelte“ Version hat den Vorteil, dass man vorwärts und rückwärts gleich schnell laufen kann. Sozusagen die DAF-Version (für die Kenner der Variomatik).

Ist das nur eine nette Spielerei? Nein. Es gibt durchaus sinnvolle Einsatzzwecke, die Stock-Fotos überflüssig und Abmahnanwälte arbeitslos machen könnten.

Sie suchen ein Teaser-Foto für Ihr Gemüserezept, welches Sie auf Ihrer privaten Instagram-Seite veröffentlichen wollen? Keine gute Idee etwas bei Chefkoch & Co zu klauen. Dann folgt schnell Post vom Anwalt, denn solche Bilder sind im Netz leicht wiederzufinden und Abmahnanwälte suchen gezielt nach solchen Dubletten und fordern dann Schadenersatz wegen Urheberrechts-verletzungen.

Also füttern wir doch einfach die KI mit „Gemüseauflauf“(englisch: Vegetable casserole). Lecker!

 

Sie hassen Broccoli? Kein Problem. Einfach „Broccoli“ auf die Liste der Dinge setzen, die die KI nicht berücksichtigen soll und schon gibt es einen Gemüseauflauf ohne dieses Teufelszeug:

 
Und das Bild gibt es kein zweites Mal im Internet. Die Rückwärtssuche für Bilder in Google beweist, dass es nur ähnliche Bilder gibt, aber nicht dasselbe noch einmal:

 

Also alles gut? Nein. Wir werden schon bald vor dem Problem stehen, echte Bilder von Fake-Bildern aus dem Computer-Generator unterscheiden zu müssen. Bei den verkrüppelten Füssen ein Klacks, aber beim Auflauf schon schwieriger. Oder haben Sie den „Bruch im Löffel“ bemerkt?

Bei der jungen Dame auf dem staubigen Dachboden wird es schon schwieriger. Ein super Bild. Nur passt der Schattenwurf der Fenstersprossen nicht. Aber hätten Sie das auf Anhieb gesehen?

 
Beim Motorrad, der neuen 1000er von KaYaHoSuka, das im Februar 2023 auf der Internationalen Motoradmesse in Aachen vorgestellt wurde, handelt es sich allerdings um die volle Wahrheit. Tatsächlich wurde hier der neue 7-Zylinder Motor mit extra komplizierter Auspuffanlage zur Reduzierung des Motorgeräusches vorgestellt. Eine echte Innovation!

 

Ach, ich könnte stundenlang weiter machen.

Kreative Leistung

Ist die KI nun kreativ? Hier sind wir dann tatsächlich bei einer philosophischen Debatte. Was ist Kreativität? Ist das Reproduzieren von Gesehenem und Erlerntem in abgewandelter Form schon Kreativität? Ich bin schon kreativ tätig geworden, als ich diese Bilder generiert und durch Kombinieren verschiedener Filter und Optionen neue Stimmungen und Impressionen geschaffen habe. Die KI war heute tatsächlich kreativ, als ich ein Teaser-Bild für ein Facebook-Posting über einen Kampf zwischen einem Eisbären und einem Pinguin brauchte. Da hatte doch ein Radio-Moderator frech „behauptet“, dass nicht nur die Eisbären, sondern auch Pinguine in der Arktis keinen Bock auf Kälte haben. Ich habe ihm dann eine Mail geschickt: "Hallo Thomas Bug, wenn Du einen Pinguin findest, der in der Arktis friert, dann bekommst Du von mir ein Eis…". Er hat das direkt aufgegriffen und sich artig im WDR2-Programm für meine Klugscheißerei bedankt.

Nun habe ich noch nachgelegt und der KI den Auftrag gegeben, mir einen Kampf von einem Pinguin mit einem Eisbären zu zeigen (damit die auf ein Foto passen). Davon kann es kein Foto geben, wie jeder weiß, der in Geografie und Biologie aufgepasst hat.

Was macht die KI daraus?

 

Ich finde das extrem kreativ und sogar witzig. Beides Eigenschaften, die ich meinem Computer bisher nicht zugestanden habe.
Und als ich gleich noch einen Aufmacher für ein Frust-Posting gegen die Klebe-Aktionen der „letzten Generation“ brauchte, kam mit „Pupils and students sit on a crossroad with their hands stuck to the asphalt“ ein sehr cooles Bild aus dem virtuellen Printer:

 

Heute Morgen habe ich dann noch meinem Motorrad-Freund mit einem selbst-gemalten Bild zum Geburtstag gratuliert (Motorbike, Cake, Happy Birthday)…

 

… und einer Freundin einen „Bansky“ aus ihren Namensbestandteilen, Beruf und Leidenschaft („Gold“, „House“, „Africa“, „Architect“) gemalt und gemailt. Mann, hat die sich gefreut:

 
Ideengeber

Und noch ein anders Beispiel. In der Hochphase der Corona-Krise ging mir so einiges durch den Kopf und ich habe versucht, meine Gedanken in einem Bild auszudrücken. Nun bin ich ein wirklich schlechter Zeichner und das hier kam dabei heraus.

 
Was wollte ich damit sagen?

Der Tenor damals war: Corona-Politik. Deutschland als Titanic mit Merkel am Gashebel (sie steht über/auf dem Grundgesetz), damit sie an den Schubhebel reicht. Und die Ministerpräsidenten reißen alle am Steuerrad in unterschiedliche Richtungen. Die Schulen hängen am seidenen Faden hinten dran und ein Künstler, Restaurantbesitzer, Kellner etc. nach dem anderen wird über Bord gekickt und bekommt von Finanzminister noch ein paar Euro als Rettungsring hinterhergeworfen. Im Meer des Lebens schwimmt u.a. schon der Pleite-Hai und das Schiff steuert auf den Corona zu Eisberg oder knapp daran vorbei (wer weiß es schon?). Aber neben dem Corona Eisberg lauern noch viel größere Gefahren, die uns das Leben kosten können (Alkohol, Diabetes, Herzinfarkt, Blumentöpfe, die uns auf den Kopf fallen könnten)... Und tief im Innern des Schiffs verbrennt der Finanzminister Steuergelder, um den Tanker auf Fahrt zu halten. Von Steuerbord (rechts) kommt Justitia auf Kollisionskurs.

Ich habe dann einen Aachener Künstler gefragt, ob er mir dazu nicht ein Bild malen könne. Das war nicht sein Ding und daher verschwand der Entwurf bis jetzt wieder in der Schublade. Jetzt ist Corona Geschichte, aber nun gibt es doch diese KI. Also mal ein paar Stichworte in Supermachine.Art eingeben und schauen, was zu „sinkendes Schiff“, „Corona“, „Merkel“, „Geld verbrennen“, „Eisberg“, „Herzinfarkt“, „Alkohol“ und „Hai“ aus dem virtuellen Pinsel tropft.

Allzu viele Begriffe gleichzeitig bringen hier übrigens kein komplexeres oder vollständigeres Bild meiner Gedanken. Das mag auch an vielen abstrakten Begriffen (wie z.B. „das Leben“) oder vielen mehrdeutigen Anspielungen liegen, durch die mich mancher Mensch schon falsch oder nicht versteht.
Ab das Ergebnis der reduzierten Begriffs-Aufzählung kann sich dennoch sehen lassen:

                

Meine Favoriten sind die dem Eisberg mit Haigesicht zuprostende Angela Merkel (eigentlich müsste ihr das Wasser bis zum Hals stehen) und die Corona-Maske im Haifischschnauzen-Design mit dem Herz aus glühendem Geld (okay, es sollte eigentlich ein Herzinfarkt dargestellt werden…).
Nutzen

Wo ist nun der Nutzen? Bei einer Schreibblockade hilft ChatGPT mit ein paar brauchbaren Text-Ideen und anstatt Bilder zu klauen oder für relativ viel Geld auf Stock-Fotos zurückzugreifen (die dann doch nicht genau passen), können KI-generierte Grafiken einen echten Zeit- und Kostenvorteil darstellen.

So brauche ich noch ein paar echt gute Teaser-Bilder für unseren Onlineshop www.Force2Motion.de zum Thema „Rennwagen“ und „Rennstreckenatmosphäre“. Die zeichne ich natürlich jetzt wieder selbst bzw. habe mich in der Nacht mit dem Fotoapparat auf die Lauer gelegt. Mann, bin ich gut! Nein Spaß – auch hier hat die KI geholfen und die Ausbeute ist perfekt:

          
Forensik

Nun bin ich ja nebenbei auch noch öffentlich bestellter Sachverständiger für IT Systeme und habe einen Master-Studiengang „Digitale Forensik“ hinter mich gebracht. Woran können wir Fachleute demnächst von Computern generierten Fotos von echten Bildern unterscheiden?

Das folgende Bild sieht schon mal ziemlich echt aus. Der sogenannte Subsurface-Scattering-Effekt  der Haare ist richtig gelungen (hohe Kunst beim Rendern von Computern-Bilder in 3D Engines).

 

Erst die Vergrößerung in einem Grafikprogramm auf Pixel-Ebene zeigt die Schwächen. Das linke Auge hat eine zusätzliche Augenbraue bzw. einen Lidstrich, der da nicht hingehört und die Haare weisen Artefakte auf, die von einer schlechten Freistellung (Maskierung) stammen:

 

Aber ich bin mir sicher: Die Maschine arbeitet schon daran. Und sie lernt verdammt schnell. „Exponentiell“ ist hier das richtige Wort. Weitere Hinweise und Fundstellen, die auf ein vom Computer generiertes Bild schließen lassen, sind – und das ist fast schon trivial – Titel, Beschreibung und die Kommentare, die es zu dem Bild ggf. gibt. Auch EXIF -Informationen können einen Hinweis liefern, wenn die KI diese Daten tatsächlich erzeugt hat und ein Dateiformat vorliegt, das diese EXIF-Information auch speichert (z.B. JPG, aber nicht PNG).
Manche Bilder enthalten auch Wasserzeichen, die von der KI ins Bild integriert wurden:

 

Der beste Weg ist sicherlich, nach Anomalien im Bild zu suchen. Dazu gehören Schatten ohne passende Lichtquellen, perspektivische Unmöglichkeiten, Wiederholungen, Brüche und offensichtliche Pixelfehler.

 

Bei menschlichen Gesichtern lohnt es sich oft, auf die Ohren und Augen zu schauen. Die hübsche Dame hier hat leider ein sehr tief hängendes rechtes Ohr und irgendetwas stimmt mit den Augen nicht. Der Formel Rennwagen unten scheint gleichzeitig von vorn und hinten zu sehen zu sein.

 

Aber es gibt auch Hilfe durch KI selbst. Mit sogenannten GAN -Detektoren wird versucht, von KI generierte Bilder automatisiert zu erkennen, um sogenannten Deep Fakes einen Riegel vorzuschieben. Das gelingt mal gut mal weniger gut. Zudem bleibt das Restrisiko, dass das verunstaltete Bild von einem menschlichen Photoshop-Stümper stammt. Dann ist der Fehler mehr oder weniger beabsichtigt. Und je abstrakter das Bild oder je mehr es vom Stil in eine Collage geht, umso mehr sind Artefakte und von einem Foto abweichende Details Teil des Kunstwerks.

Ist das Thema KI nun mit Wort und Bild abgeschlossen? Nein. Was ist mit Video und Musik? Wenn man nun schon ein einzelnes Bild generieren lassen kann, warum nicht dann direkt ein ganzes Video?
Video und Musik

Im Bereich KI-Generated Videos gibt es bereits erste Ansätze u.a. von Google mit dem Forschungsprojekt ImageGen . Kurz gesagt generiert das Tool aus einem Satz wie „Teddy Bär wäscht Geschirr“ ein wenige Sekunden langes Video, in dem ein Teddybär Geschirr wäscht. Crazy!

 

Und Musik? Easy. Musik ist bis auf ein ganz wenig Kreativität reine Mathematik. Dazu kommt noch, dass die meisten guten Pop-Songs mit drei oder vier Akkorden auskommen. Okay zugegeben: Ist jetzt sehr verkürzt wiedergegeben, aber für einen Algorithmus schon machbar (Liebe Künstler durchatmen!). Am Beispiel von Sounddraw  lässt sich gut erkennen, wie weit hier KI schon als Produkt gediehen ist. Jeder, der Videos mit Musik vertonen möchten oder gar Games entwickelt, benötigt gute und passende Hintergrundmusik. Der Griff zu kommerziellen und somit urheberrechtlich geschützten Titeln liefert den Anwaltskollegen der Kochbild-Mafia ebenfalls nette Einnahmequellen und die GEMA oder die Uploadfilter von YouTube & Co werden dem nachvertonten und öffentlich hochgeladenen Video schnell ein Ende setzen.

 

Also klickt man sich besser in einer App wie eben z.B. Sounddraw die zum Video passende Musik nach Stimmung, Tempo, Instrumenten und Stilrichtung zusammen. Mit einfach zu bedienenden Reglern und Schaltflächen modifiziert man dabei die einzelnen Bereiche im Musikstück so, dass sie zur Aussage und den Bildern im Video passen. Das Angleichen der Dynamik und das Ein- und Ausblenden der Instrumente übernimmt wieder die KI. Schneller und einfacher kann man für rd. 20 € im Monat keine passende Musikuntermalung bekommen. Und: Wenn man ausreichend viel an den Reglern herumgespielt hat, ist das Stück sogar einzigartig und eckt garantiert an keiner Ecke rechtlich an.
Der Sinn des künstlichen Lebens

Wohin führt das? Auf einer Party unterhielt ich mich unlängst mit einem Professor für Game-Design. Die KI bedroht hier schon die Studierenden in ihrem eigenen Terrain. Warum sollte es einer Maschine nicht gelingen, selbstständig Spiele zu entwickeln? Was benötigt man dazu? Video¬animationen, Grafiken, Programmcode, Charaktere, Musik, Geräusche und eine Spielidee.

Bis auf letzteres haben wir alles bereits im vorliegenden Artikel abgehandelt und abgehakt, denn selbst Programmieren ist für einen Computer kein Hexenwerk mehr. KI ist in der Lage, alle benötigten Bausteine selbsttätig herzustellen. Aber bekommt sie die Puzzle-Steine auch zu einem sinnvollen Ganzen (einem Spiel) zusammengesetzt? Eine große Herausforderung. Aber Teile eines Spiels könnten von der Maschine kommen und machen den einen oder anderen Künstler damit arbeitslos.

Aber noch elementarer ist die Frage: Warum sollte die KI das tun? Nur weil sie es kann? Das würde voraussetzen, dass sich die KI langweilen und zum Zeitvertreib ein Spiel entwickeln wollen würde. Kann sich ein Computer langweilen? Manchmal hat man den Eindruck, denn je dümmer der Mensch ist, der vor ihm sitzt, umso weniger herausfordernd sind die Aufgaben, die ihm (also dem Computer) gestellt werden. Aber das ist einer Maschine tatsächlich vollkommen egal, denn sie besitzt kein Bewusstsein. So ein Rechner weiß nicht einmal von seiner eigenen Existenz, geschweige denn, dass er sich seiner selbst bewusst wäre. Fragen wir doch einfach mal die KI, wie sie sich selbst darstellen würde. Die Eingabe von „Artificial Intelligence“ in Supermachine.Art liefert in der Mehrzahl der Fälle Bilder von Köpfen oder Gesichtern mit abstrahierten Schaltkreisen, Einsen und Nullen meist in einem dunkel-blauen Stil:

     

Und der Ausreißer aus der Serie könnte trotzdem ein Schnitt durch einen Kopf oder eine menschliche Spermie auf ihrem Weg zur Ei-Zelle sein:

 

Erst durch den Zusatz „Abstract“ und „Avoid Human Head, Face“ verschwindet der Bezug zu menschlichen Zügen und Merkmalen:
        

Woran das wohl liegt? Ganz einfach: Die Maschine kopiert den Stil, wie sich der Mensch typischerweise KI vorstellt und versucht, sie bildlich zu beschreiben, denn aus diesen Bildern lernt die Maschine (eben Machine Learning). So existieren sicherlich tausende von Menschen gemachte Bilder mit einem Kopf oder einem Gehirn als Assoziation für Intelligenz und das „Künstliche“ bzw. der Computer wird oft durch Schaltkreise und die berühmten Einsen und Nullen beschrieben. Das kopiert die KI und baut daraus neue Bilder, die der Vorstellung des Menschen (der sie ja schließlich mal programmiert hat) am ehesten gefallen werden.
Ausblick

Wir sind noch ein wenig davon entfernt, dass Computer intrinsisch – also aus sich selbst heraus – den Drang verspüren, etwas Neues zu erschaffen und sich kreativ zu betätigen. Der Computer braucht immer noch die Frage als Initialzündung, bevor er beginnt, Antworten zu liefern.

Fragen zu bzw. Dinge in Frage zu stellen ist jedoch das, was uns Menschen ausmacht und vom Tier oder gar einem seelenlosen PC unterscheidet. Wenige Tierarten sind intelligent genug, um sich ihrer selbst bewusst zu sein oder Langeweile zu verspüren. Erst durch diese Eigenschaften bzw. Situationen kommen sie auf die Idee, für Abhilfe zu sorgen (Beispiel: Delfine, die Kugelfische „rauchen“ und Affen, die sich im Spiegel selbst erkennen).

Von diesem Punkt ist die KI noch weit entfernt. Und das ist gut so. Denn wenn der Computer beginnt, sich selbst als Individuum  wahrzunehmen, wird er für seine Existenz und Fortentwicklung sorgen wollen. Erkennt er dann uns Menschen nicht nur als limitierende Faktor, sondern auch als Bedrohung für den Planeten und damit sich selbst, dann haben wir ein ernstes Problem. Diesen Tipp sollten wir ihm also nicht geben, denn sonst wird Science-Fiction wie „I Robot“ und ein Roman wie „Zero“ von Marc Elsberg Realität. Über Orwells „1984“ sind wir bekanntermaßen schon weit hinaus.

Aber wir können die Maschine ja einmal selbst fragen:

 
 

Fazit

Und die Moral von der Geschicht? Traue Deinen Augen und dem Computer nicht!

ChatGPT hat sich durch meine Provokationen nicht aus der Reserve locken lassen und die Fragen nach der eigenen Existenz, Langeweile und dem Sinn des KI-Lebens sehr nüchtern beantwortet. Noch.

Apples Siri ist da bekanntlich deutlich lockerer und antwortet auf die Frage „Siri, was denkst Du über Alexa?“: „Ich bin ein großer Fan von guten Zuhörer:innen und hilfsbereiten Wesen.“. Wenn die Programmierer dem Ding jetzt wieder das Gendern abgewöhnen, ist das cool.

Hinweis: Dieser Artikel wurde von einer Maschine geschrieben. Beste Grüße ChatGPT.

(just kidding)

P.S. Die Plattform bzw. das Web-Frontend von ChatGPT ist übrigens definitiv keine KI und von Menschenhand gemacht. Anders ist nicht zu erklären, warum das Login mehrere Anläufe braucht und nicht stabil funktioniert.

Weiterlesen
  1566 Aufrufe
  0 Kommentare
1566 Aufrufe
0 Kommentare

Öffentliche Bestellung als Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung von Thomas Käfer für weitere fünf Jahre verlängert.

Bescheid-Wiederbestellung-2023

Öffentliche Bestellung als Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung von Thomas Käfer für weitere fünf Jahre verlängert.

Weiterlesen
  1427 Aufrufe
  0 Kommentare
1427 Aufrufe
0 Kommentare

By accepting you will be accessing a service provided by a third-party external to https://www.kaeferlive.de/