Der rasante technologische Fortschritt ist für jeden von uns eine Herausforderung, insbesondere für politische Entscheidungsträger im öffentlichen Sektor, die traditionell eher folgen als führen. Anfang des Monats bot die Black Hat Europe-Konferenz in London die Gelegenheit, direkt von mehreren (grötenteils) britischen Regierungsmitarbeitern und anderen Personen zu hören, die für die Beratung europäischer Regierungen zur Cybersicherheitspolitik zuständig sind.
Verspätete Vorschriften und fehlende Pferde
Alle Regierungen scheinen darunter zu leiden, reaktiv zu sein - die "Stalltür zu schließen, wenn das Pferd schon weggelaufen ist", ist ein guter Ausdruck, um die meisten politischen Entscheidungen zu beschreiben. Nehmen wir als Beispiel die aktuellen Diskussionen über künstliche Intelligenz (KI): Politiker fordern lautstark eine Regulierung und Gesetzgebung, um sicherzustellen, dass KI ethisch und zum Wohle der Gesellschaft eingesetzt wird. Dies geschieht jedoch erst, nachdem es KI bereits seit vielen Jahren gibt und sie in vielen Technologien in irgendeiner Form eingesetzt wird. Warum also warten, bis sie auftaucht und für ein Massenpublikum verfügbar wird, um eine Diskussion über ethische Standards zu beginnen? Hätten wir das nicht schon früher tun müssen?
Ein anderes und vielleicht besseres Beispiel ist die Gesetzgebung rund um verbraucherorientierte Geräte des Internets der Dinge (IoT). Die britische Regierung hat 2023 eine Verordnung veröffentlicht, in der spezifische Cybersicherheitsanforderungen für Gerätehersteller festgelegt sind. Ähnliche Gesetze gibt es in der Europäischen Union, und Kalifornien hat bereits 2020 Anforderungen an die Hersteller eingeführt. Die Festlegung von Standards und Leitlinien für Hersteller von IoT-Geräten hätte wahrscheinlich schon 2010 erfolgen sollen, als es weniger als eine Milliarde IoT-verbundene Geräte gab - zu warten, bis es im Jahr 2020 10 Milliarden Geräte gab, oder noch schlimmer, wenn es im Jahr 2023 fast 20 Milliarden Geräte gibt, macht die Durchsetzung dessen, was bereits auf dem Markt ist, unmöglich.
Gelernte Lektionen oder noch zu machende Fehler?
Die Diskussion des britischen Regierungsteams auf der Black Hat beinhaltete, dass sie sich jetzt auf die für IoT-Geräte in Unternehmen erforderlichen Standards konzentrieren. Ich bin mir sicher, dass die meisten Unternehmen bereits beträchtliche Investitionen in vernetzte Geräte getätigt haben, die als IoT-Geräte eingestuft werden, und dass jede jetzt verabschiedete Norm unmöglich im Nachhinein durchgesetzt werden kann und wenig bis keine Auswirkungen auf die Milliarden von Geräten haben wird, die bereits im Einsatz sind.
Normen und Politik dienen einem Zweck, und ein wichtiges Element ist die Aufklärung der Bevölkerung über die korrekte Nutzung und Einführung der Technologie. Ich bin mir sicher, dass die meisten Verbraucher inzwischen wissen, dass für jedes Gerät ein eindeutiges Kennwort festgelegt werden muss und dass es unter Umständen häufiger Software-Updates bedarf, um die Sicherheit zu gewährleisten. Ich bin gespannt, ob sie diese Ratschläge befolgen!
Das Problem mit der Politik und dem Pferd, das bereits geflüchtet ist, könnte darin bestehen, dass die Wähler nicht verstehen, warum sich ihre Regierung mit Dingen befasst, von denen sie noch nie gehört haben. Stellen Sie sich vor, die politischen Entscheidungsträger hätten bereits 2008 damit begonnen, Gesetze für das Internet der Dinge oder vernetzte Geräte zu erlassen, bevor die meisten von uns überhaupt daran gedacht haben, dass wir unsere Wohnungen mit Geräten füllen könnten, die in Echtzeit miteinander verbunden sind. Die Medien und die Wähler hätten die Gesetzgeber für eine Verschwendung von Steuergeldern für etwas gehalten, von dem wir noch nicht einmal gehört hatten. In einer perfekten Welt wäre 2008 jedoch ein guter Zeitpunkt gewesen, um Normen für IoT-Geräte festzulegen. Genauso hätte die ethische Nutzung der KI diskutiert werden sollen, als die Technologieunternehmen mit der Entwicklung von Lösungen begannen, die sich die Technologie zunutze machen, und nicht erst, als sie anfingen, Produkte und Dienstleistungen auf den Markt zu bringen.
Gedanken in letzter Minute
Die erste Hälfte der Veranstaltung diente dazu, zu erläutern, auf welche politischen Maßnahmen und Bereiche sich die britische Regierung konzentriert, während die zweite Hälfte eine offene Frage- und Antwortrunde mit den Teilnehmern war. Diese zweite Hälfte galt als "in the room", so dass die politischen Entscheidungsträger mit den Teilnehmern offen diskutieren konnten, ohne dass die Gefahr bestand, dass das Besprochene an die Öffentlichkeit gelangt. Im Einklang mit den Wünschen der Redner und der anderen Teilnehmer werde ich mich daher nicht zu dem äußern, was nach der "in the room"-Erklärung diskutiert wurde.
Für das Protokoll möchte ich jedoch anmerken, dass ich mit der Einführung einer Backdoor für die Verschlüsselung nicht einverstanden bin, auch wenn ich dies nicht im Raum geäußert habe.