22 minute read
Wie können sichere digitale Identitäten den Menschen nähergebracht werden? ......................Seite
Das Forschungsprojekt wurde 2020 vom Bundesministerium für Wirtschaft und Klimaschutz (damals noch das BMWI) aus einer Reihe von Projekten im Zuge eines Innovationswettbewerbs zum Thema sichere digitale Identitäten ausgewählt. Es ist nun eines von insgesamt vier geförderten Schaufensterprojekten. Ziel von SDIKA ist es, sichere digitale Identitäten in eine breite Anwendung in der Bevölkerung zu bringen. Das Förderprojekt wird von der Stadt Karlsruhe als Konsortialführer und dem FZI Forschungszentrum Informatik in Karlsruhe sowie 12 weiteren Partnern durchgeführt. “Die Idee hinter dem Projekt ist, zu erforschen, wie man die Akzeptanz solcher digitaler Identitätslösungen steigern kann”, erklärt Jan Sürmeli, Abteilungsleiter im Bereich Innovation, Strategy and Transfer beim FZI. Es habe in der Vergangenheit schon mehrere gute Ansätze zum Thema sichere digitale Identitäten gegeben, jedoch seien diese nie wirklich angenommen worden, so Sürmeli. Aus diesem Grund werde nun zum einen die Interoperabilität solcher Lösungen gesteigert und zum anderen auf regionale Schaufensterprojekte gesetzt, um den Nutzen sichere und souveräne Lösungen nachvollziehbarer zu demonstrieren.
Breiter Anwendungsbereich
Obwohl es sich bei SDIKA um ein regionales Schaufensterprojekt handelt, ist das Projekt schnell gewachsen und konnte auch überregionale Partner für sich gewinnen. “Wir sind mit sechs Partnern in die Wettbewerbsphase gestartet und sind mit mittlerweile vierzehn Partnern um einiges größer geworden”, so Sürmeli weiter. Dies habe sich aus dem breiten Anwendungsbereich des Projektes ergeben. So zählen jetzt auch überregionale Partner, wie zum Beispiel die Metropolregion Rhein-Neckar oder das Zentrale Knochenmarkspender-Register Deutschland, dazu. Auch in den Bereichen Mobilität, E-Government, Gesundheit, Digitales Planen und Bauen sowie Digitale Stadtgesellschaft ist das Schaufensterprojekt vertreten. In diesen Anwendungsbereichen sollen bereits entwickelte Identitätslösungen erprobt werden. Ein Anwendungsbeispiel im Bereich E-Government ist der Karlsruher Pass. Dabei handelt es sich um eine Berechtigungskarte für sozial und finanziell schwache Bürger in Karlsruhe, welche dadurch verschiedene Vergünstigungen erhalten. “Dies ist momentan ein rein papierbasiertes Verfahren, an dem knapp 16.000 Bürger teilnehmen. Durch SDIKA wird dies zum einen digitalisiert und zum anderen wird auch die digitale Identität eingeführt, welche es den Menschen erlaubt, auch barrierefreien Zugang zu digitalen Einkaufsmöglichkeiten zu erlangen”, erklärt Dr.-Ing. Sascha Alpers, Abteilungsleiter im Bereich Software Engineering beim FZI. So können sich rabattberechtigte Bürger zum Beispiel per App eine Eintrittskarte für den Karlsruher Zoo kaufen, ohne auf den Rabatt verzichten zu müssen. Dies geschehe mithilfe der sogenannten digitalen Wallet, so Alpers.
Mehr Akzeptanz für digitale Identitäten
Wie können sichere digitale Identitäten den Menschen nähergebracht werden?
(BS/Tim Rotthaus) In dem Projekt “Schaufenster Sichere Digitale Identitäten Karlsruhe”, oder kurz SDIKA, steht die Souveränität der Nutzerinnen und Nutzer an erster Stelle. Aus diesem Grund entwickelt SDIKA eine Identitätslösung, welche es den Bürgerinnen und Bürgern ermöglichen soll, selbst zu entscheiden, wie ihre digitale Identität verwaltet wird.
Alles zur Hand haben
Doch wie genau können diese sicheren digitalen Identitäten abgerufen werden? Das eigens entwickelte SDI-X-System soll mithilfe eines Open-Source Adapters ermöglichen, digitale Identitäten verschiedener Ausgabestellen in unterschiedlichen Anwendungsfällen zu nutzen. Der SDI-XAdapter bildet die Schnittstelle zwischen der Akzeptanzstelle, also dem Dienst, bei dem sich der Nutzer identifizieren will, und der digitalen Wallet, in welcher die digitale Identität gespeichert ist. Der Vorteil diese Systems ist, dass der Nutzer selbst auswählen kann welche Form der Identifizierung bevorzugt wird. Das SDI-X-System ermöglicht es jeder Akzeptanzstelle, speziell auf alle in dem sogenannten Ökosystem verfügbaren Identitätslösungen zuzugreifen. So können Menschen, aber auch Unternehmen selbst entscheiden, welche Lösung sie bevorzugen. “Im Beispiel des Karlsruher Zoos wäre die Möglichkeit nun, über den eingebundenen SDIX-Adapter meinen Karlsruher Pass, digital, als Nachweis zu hinterlegen”, erklärt Alpers weiter. Dieser Anwendungsbereich sei natürlich um einiges breiter. So könne man mit dem System auch andere Nachweise, wie zum Beispiel eine Fahrerlaubnis oder eine Mitgliedschaft in einem Verein, erbringen. Sicherheitsbedenken
Eine große Herausforderung des Projekts sei natürlich, die Sicherheit und Authentizität der in der digitalem Wallet gespeicherten Daten zu gewährleisten, so Alpers. Durch ein kryptografisches Verfahren würden die einzelnen Nachweise von dem ausstellenden Organ verifiziert werden. “Man kann sich diesen Vorgang wie einen Brief vorstellen, der mit Wachs versiegelt wurde. Sollte jemand irgendwas an dem Nachweis verändern, würde in dem Moment das digitale Siegel brechen. So kann die Akzeptanzstelle nachvollziehen, dass der Nachweis gültig ist." Ein weiterer Vorteil dieses Verfahren ist auch, dass großer Wert auf Datensparsamkeit gelegt wird. Es werden nur nötige persönliche Daten weitergegeben. “Zum Beispiel soll einer Autovermietung nur gezeigt werden, dass der Mieter eine gültige Fahrerlaubnis besitzt, irrelevante Daten werden jedoch nicht weitergeleitet”, erklärt Wolfgang Toppazzini, Ansprechperson und SDIKA-Konsortialführer der Stadt Karlsruhe.
Einfacher Zugang für alle
Bei einem so breit aufgestellten Projekt wie SDIKA stellt sich die Frage, wie zugänglich die Funktionen des digitalen Wallets für die Bürger sind. Auch hier legen die Stadt Karlsruhe und das FZI großen Wert darauf, die Akzeptanz in der Bevölkerung zu steigern. Toppazzini versichert, dass schon seit Beginn des Projekts die Bürgerbeteiligung sehr wichtig gewesen sei. “Wir sind nicht auf einer grünen Wiese gestartet und haben nur für uns selbst geplant. Das Feedback der Nutzer war uns von Anfang an sehr wichtig und wird auch in zukünftige Planungsprozesse mit einbezogen." Momentan wird lokal aus Karlsruhe ein Querschnitt aus der Bürgerschaft erstellt, um regelmäßig an Feedback zu gelangen. So erhoffen sich die Betreiber des Projekts auch, die Akzeptanz innerhalb der Bevölkerung zu erhöhen.
Die nächsten Schritte
Momentan befindet sich SDIKA noch in der Umsetzungsphase und hat eine Laufzeit von drei Jahren. Eine öffentliche Nutzung ist noch nicht möglich, da in Teilabschnitten noch geforscht wird. Dr. Sascha Alpers ist jedoch zuversichtlich, dass bald auch öffentliche Nutzungsmöglichkeiten und am Ende auch finale Nutzungsmöglichkeiten den Bürgern zur Verfügung stehen. “Wir bauen das Produkt nach und nach für einzelne Anwendungsfälle auf. Der Projekterfolg hängt auch für mich davon ab, wie viele Leute wir am Ende damit erreichen”, so Alpers.
Sichere digitale Identitäten in Sachsen
Papierbasierte Nachweise hindern digitale Verwaltung
(Prof. Dr.-Ing. Jürgen Anke/Prof. Dr. Stefan Handke) Für zahlreiche Vorgänge in der Verwaltung müssen Bürgerinnen und Bürger sowie Gewerbetreibende Dokumente einreichen, um ihre Identität sowie ihre Anspruchsgrundlagen nachzuweisen. Dazu gehören Verfahren im Meldewesen, der Wirtschaftsförderung und Sozialleistungen. Bei der digitalen Nutzung solcher Verwaltungsdienstleistungen müssen diese Dokumente umständlich eingescannt und hochgeladen oder als Kopien per Post versendet werden. Zur Identifikation ist die Nutzung der eID-Funktion des neuen Personalausweises vorgesehen. Falls dies nicht angeboten wird, ist die Erstellung eines Benutzerkontos notwendig, z. B. als Servicekonto der Bundesländer.
Neue technische Standards und Entwicklungen schaffen das Potenzial für einen vereinfachten Umgang mit digitalen Nachweisen nach dem Prinzip der selbstbestimmten Identitäten (SSI – Self Sovereign Identity). Kernelement sind digitale Nachweise, die Angaben über eine Person oder einen Sachverhalt überprüfbar machen. Dazu werden kryptografische Verfahren eingesetzt, die den Herausgeber von Informationen eindeutig bestimmbar machen und Manipulationen verhindern. Solche Nachweise können Bürgerinnen und Bürger z.B. in einer App auf dem Smartphone speichern, die als digitale Brieftasche dient. In einem digitalen Verwaltungsvorgang können benötigte Nachweise angefragt werden. Dabei entscheiden die Nutzerinnen und Nutzer selbst, ob sie die gewünschten Daten für den jeweiligen Zweck freigeben oder nicht.
Modellregion Sachsen
Das Schaufensterprojekt “IDIdeal” (www.id-ideal.de) hat das Ziel, den Umgang mit digitalen Nachweisen in realen Geschäfts- und Verwaltungsprozessen in Sachsen zu erproben. Ein Konsortium aus 15 Partnern unter Leitung der HTW Dresden ist eines von vier Projekten im Programm “Sichere Digitale Identitäten” des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK). Ab Ende 2022 sollen Bürgerinnen und Bürger erste Anwendungen in Verwaltung, Mobilität und Handel unter Nutzung standardisierter IDDienste praktisch ausprobieren können. Damit verbessern sich Komfort und Datenschutz für Bürgerinnen und Bürger, da umständliche Registrierungen entfallen und Transparenz über die Bereitstellung eigener Daten entsteht. Das Verbesserungspotenzial für Verwaltungen besteht insbesondere in einer deutlichen Vereinfachung von Prüfprozessen, da die bereitgestellten Daten bereits verifiziert sind. So können Fachverfahren deutlich beschleunigt werden. Um dem Charakter des Schaufensters gerecht zu werden, sollen mithilfe von Demonstratoren die Möglichkeiten von selbstbestimmten Identitäten erlebbar gemacht und die Akzeptanz dieses Konzepts bei der Bevölkerung getestet werden.
Anwendungsfelder in Kommunen Die meisten Kontakte zwischen Wirtschaft, Verwaltung und einzelnen Bürgerinnen und Bürgern finden auf kommunaler Ebene statt. Daher konzentrieren sich die Partner im Projekt “ID-Ideal” zunächst auf häufig genutzte Anwendungsfälle in den Großstädten Dresden und Leipzig. Hierzu gehören unter anderem der gesamte Prozess zur Initiierung und Durchführung von Bürgerentscheiden, die Nutzerverwaltung von städtischen Bibliotheken oder das Antragsverfahren für kommunale Sozialpässe, die zur Inanspruchnahme von Ermäßigungen berechtigen. Alle Fachverfahren werden dabei als SSI-Anwendungen konzipiert, die den verwaltungsspezifischen Anforderungen an Ordnungsmäßigkeit, Rechtmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit genügen. Verwaltung als Gewinner der Digitalisierung Im Mittelpunkt vieler Digitalisierungsprojekte steht die Nutzerperspektive. Bürgerinnen und Bürger sollen Angebote nutzen können, die aufgrund ihrer Bedienfreundlichkeit und ihrer Sicherheit auf möglichst große Akzeptanz stoßen. Das Projekt “ID-Ideal” legt darüber hinaus aber auch ein Augenmerk auf die verwaltungsinterne Perspektive. Besonders berücksichtigt werden
daher die Interessen des Personals, das mit der Erledigung von Aufgaben in den Fachverfahren betraut ist. Die Akzeptanz für die neuen Anwendungen soll dadurch gefördert werden, dass VerwaltungsmitProf. Dr.-Ing. Jürgen Anke (links) ist Professor für arbeiter in ihrer Softwaretechnologie und Informationssysteme so täglichen Arbeit wie Leiter der AG Digitale Dienstleistungssyste tatsächliche Verme an der HTW Dresden. Prof. Dr. Stefan Handke besserungen er(rechts) ist Professor für Verwaltungsmanagement fahren. Hierzu der Fakultät Wirtschaftswissenschaften an der HTW gehören z. B. die Dresden. Foto: BS/Peter Sebb, HTW Dresden Entlastung von manuellen Prüfvorgängen oder zeitaufwendigen Fehlerkorrekturen in der Antragsbearbeitung. Die Nutzung der digitalen Prozesse soll dabei keineswegs dazu führen, dass die menschliche Tätigkeit in der Verwaltung ersetzt wird. Vielmehr sollen die Qualität der Aufgabenerledigung und die Arbeitszufriedenheit der Beschäftigten im Öffentlichen Dienst gesteigert werden. Blick in die Zukunft durch das "ID-Ideal"-Schaufenster Eine moderne Verwaltung mit zufriedenen Mitarbeiterinnen und Mitarbeitern wird zunächst durch das “ID-Ideal”-Schaufenster zu sehen sein. Der Blick durch das Fenster erlaubt aber gleichzeitig auch einen Ausblick auf die Zukunft. Nach der Erprobung von Anwendungsfällen in einigen Modellkommunen werden auch sogenannte Follower-Kommunen eigene Erfahrungen mit den neuen Prozessen machen. Hierfür werden Leitfäden erstellt, die Empfehlungen für das Projektmanagement und die Anpassung interner Verwaltungsprozesse beinhalten. Diese Handreichungen stützen sich auf Erkenntnisse und Erfahrungen aus dem Projekt und sollen später allen Verwaltungen in Deutschland zur Verfügung stehen. Mit dem Ansatz der Interoperabilität, also der Möglichkeit, verschiedene Techniken in unterschiedlichen Organisationen nutzen zu können, sollen die SSI-basierten Anwendungen damit eine weitreichende Nutzung über das Projekt hinaus erfahren.
Die Gefahr von Deep Fake
Manipulation von biometrischen Merkmalen
(BS/Paul Schubert) Mediale Identitäten sind zum Alltag geworden. Fingerabdrücke, Sprach- und Gesichtserkennung sind Features der meisten neuen Smartphones zur Sicherung von persönlichen Daten. Durch Deep Fakes werden diese eingebauten Sicherheitsmechanismen fragil. Ohne Sicherheitsmaßnahmen kann unsere mediale Identität bald überall verändert werden.
Mediale Identitäten repräsentieren Individuen in einem digitalen Medium. Anhand biometrischer Merkmale wie der Stimme oder dem Gesicht werden Bürgerinnen und Bürger identifi zierbar. Mittlerweile gebe es diverse Techniken zur Manipulation dieser Identitäten, warnt Matthias Neu, Experte für biometrische Verfahren beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Durch Face Swap, Face Reenactment, Text to Speech und Voice Conversion gelingt es Kriminellen, biometrische Merkmale zu manipulieren, Zugang zu digitalen Geräten zu erhalten oder sich online als eine andere Person zu authentifi zieren. Dabei sei die Deep-Fake-Technologie noch relativ jung, betont Neu, die Digitalisierung schreite jedoch voran und damit auch das Anwendungs- und Gefahrenpotenzial. Täuschend echte Sprache
Beim 18. Deutschen IT-Sicherheitskongress des BSI zeigte der Experte, wie in der Praxis eine Manipulation vonstattengehen könnte: Mit einem Voice-Conversion-Programm sprach er einige Worte zum Test auf. Danach wandelte das Programm seine Sprache in die der Zielperson um. Heraus kam ein Statement mit der Stimme von BSI-Präsident Arne Schönbohm. “Dazu braucht man nur eine etwa fünfminütige Sprachaufnahme und dann kann das Programm die Sprache umwandeln”, erklärt Neu. Das Gefahrenpotenzial dieser Technologie ist riesig. Als Gegenmaßnahmen nannte der Experte Aufklärung und Awareness über die Technologie sowie die Verwendung von Authentifi zierungsnachweisen wie der kryptografi schen- Sicherung von Medien. Auch technische Anwendungen wie Multifaktor- und Mehr-Personen-Authentifi zierung sollten genutzt werden, um das Gefahrenpotenzial einzudämmen. Des Weiteren fordert Neu auf, hier einen gesetzlichen Rahmen zu schaffen: “Wir brauchen eine klare KI-Regulierung durch die EU-Kommission.”
Verhaltensbasierte Authentifizierung hilfreich
Ferner solle die Detektion dieser Techniken gestärkt werden. Durch medienforensische Untersuchungen sollte die Manipulation bereits auf Pixelebene detektiert werden, erklärt der BSI-Experte. Auch verhaltensbasierte Authentifi zierung sei als relativ sicher einzustufen. Dennoch werde die Manipulationsgefahr von Deep Fake bei Wirtschaft und Verwaltung bisher unterschätzt: “Detektionsmöglichkeiten von Deep Fakes müssen gefördert und präventive Maßnahmen ergriffen werden, wir müssen auch die Qualität der Sicherheitstools stärken. Die Bedienbarkeit der Werkzeuge zur Erstellung von Deep Fakes wird immer einfacher, hier muss gegengesteuert werden”, schlussfolgert Neu.
SSI – Nukleus der Staatsmodernisierung
Innovative und sichere Selbstkontrolle
(BS/Michael Sasdi) Die herausragende Bedeutung digitaler Identitäten für die Verwaltungsmodernisierung bedarf gerade an dieser Stelle keiner besonderen Erwähnung. Wir wollen kurz skizzieren, warum wir dabei voll auf die selbstsouveräne Identität (SSI) setzen.
Das Ökosystem der digitalen Identitäten ist groß: Zur Wahrheit gehört aber auch, dass keine der bisher etablierten Lösungen nachhaltig überzeugt hat. Umständlich, unverständlich oder schlicht nicht vertrauenswürdig sind häufi ge Anwenderreaktionen. Es braucht deshalb ebenso alltagstaugliche, wie sichere Lösungen. Postbürokratisch innovativ und nach vorne schauend.
SSI fördert digitale Souveränität
Was ist ein Identifi kationsprozess? Wir legen einen Nachweis vor, der Empfänger prüft die Echtheit und erteilt daraufhin bestimmte Berechtigungen. Wir sind es gewohnt, diese Kette mit der Vorlage des Personalausweises abzukürzen und damit regelmäßig viel zu viele Informationen zu offenbaren. SSI ermöglicht es für Personen, Organisationen oder Maschinen, eine digitale Identität zu erzeugen und selbst zu kontrollieren. Und darüber hinaus erlaubt sie die Kontrolle darüber, wie unterschiedlichste persönliche sowie amtliche Nachweise geteilt und verwendet werden. Wenn beispielsweise ein Gastronom die Volljährigkeit zu prüfen hat, gehen ihn Geburtsort oder Augenfarbe des Gastes eigentlich nichts an. Nicht einmal das genaue Alter wäre relevant. SSI ermöglicht, tatsächlich nur die spezifi sche Frage der Volljährigkeit nachzuweisen und sicher zu bestätigen. Herzstück der SSI-Technologie für Anwender ist die Wallet, die digitale Brieftasche. Nutzer laden dafür ein sogenanntes Creden-
Mit einer selbstsouveränen Identität sollen nur die Daten weitergegeben werden, die für die Zielstelle wirklich vonnöten sind. In der Wallet – also der digitalen Brieftasche – sind dann zwar viele Informationen eingespeichert – der Nutzende kann allerdings selbst entscheiden, welche Daten er an wen freigeben möchte. Foto: BS/ar130405, pixabay.com
tial einer staatlich autorisierten Organisation wie der Bundesdruckerei (über die Online-Funktion des Personalausweises), in eine Wallet-App. Überall dort, wo Nachweise erforderlich sind, kann dann der entsprechende Nachweis eindeutig mit der Identität verknüpft werden. Um solche Nachweise zu laden oder im physischen Raum zu teilen, wird ein QR-Code eingelesen. Der Nutzer entscheidet selbstbestimmt darüber, welche der abgefragten Informationen er teilen möchte. Selbstverständlich können Nachweise implementiert werden. So wie ein Polizist auch seinen Dienstausweis vorlegt, ist ein Request des Nachfragers nur mit einem gültigen Zertifi kat möglich.
SSI nutzt etablierte Technologie
Um Vertrauen und Transparenz beim Bürger zu ermöglichen, nutzt SSI im besten Fall internationale Standards (DIF, W3C), Interoperabilität, Open Source und die Blockchain. Diese hat in den vergangenen Jahren die wohl größte und intensivste Sicherheitsüberprüfung in der Geschichte der IT durchlaufen, Stichwort: Bitcoin. Vor allem Cyber-Kriminelle oder ganze Staaten versuchen seither erfolglos, die Technologie zu knacken. Das macht die Technologie um Blockchain nicht nur resilient, sondern antifragil. Die SSI-Blockchain kennt weder die eigentliche Identität noch die digitalen Nachweise der Nutzer. Sie überprüft Echtheit, Ursprung und Unversehrtheit der Identitätsdaten. Es werden nicht die Credentials selbst, sondern lediglich die Schemata und die genutzten Schlüssel hinterlegt. Auch Zugriffe werden nicht auf der Blockchain gespeichert. Ob ein Ausweis ausgestellt wird oder 80 Millionen – die Blockchain enthält kein einziges Byte zusätzlich. Sie beinhaltet schlicht keine personenbezogenen Daten und ist damit konform mit den europäischen Datenschutzgrundsätzen. Auch die Anwendung kann sicher aufgesetzt werden: Falsche QR-Codes zur Identifi zierungsaufforderung können jederzeit vom Nutzenden überprüft und aufgedeckt werden. Diese Deep Links bestehen aus Domain und Pfad. Nutzer können diese Anfrage zulassen oder ablehnen. Insbesondere bei hoheitlichen Nachweisen wird gleichzeitig das Extended Validation (EV)SSL-Zertifi kat der Domain ausgewertet, um die sogenannten “Man-in-the-Middle”-Attacken zuverlässig auszuschließen. SSI ermöglicht es, Nachweise (hoheitliche wie privatwirtschaftliche) alltagstauglich zu kombinieren und selbstbestimmt zu nutzen: vom Gesundheitszeugnis bis zum Stadionticket. Jede Institution, die Zertifi kate erstellt, sollte diese Nachweise im SSIÖkosystem digital zur Verfügung stellen. Das kann der Nukleus für eine effi ziente und vor allem souveräne digitale Zukunft sein.
Michael Sasdi ist Leiter der Blockchain Community in der Geschäftsstelle für den Öffentlichen Dienst der SVA System Vertrieb Alexander GmbH.
Foto: BS/SVA System Vertrieb Alexander GmbH
Wir suchen zum nächstmöglichen Zeitpunkt zur Verstärkung unseres Teams in Berlin einen
Seminarmanager (all genders) in Vollzeit
Die Cyber Akademie ist ein Aus- und Fortbildungszentrum für die Kompetenzbereiche IT-Sicherheit, Datenschutz, Business Continuity und Digitalisierung.
Das Fortbildungsangebot ist zielgruppen- und sektorenübergreifend und unabhängig von der Größe der jeweiligen Organisation. Entscheidungsträger*innen, Experten*innen, Fachkräfte und Einsteiger*innen werden in praxisnah gestalteten Präsenzseminaren, Workshops und Webinaren von erfahrenen Dozenten*innen geschult. Die Cyber Akademie ist selbst Kompetenzträger und identifiziert gemeinsam mit dem Programmbeirat die aktuellen Bedarfe und Wissenslücken in Politik, Wirtschaft und Gesellschaft. Im Austausch mit den Dozenten*innen werden die Schulungsinhalte entsprechend angepasst und fortentwickelt.
Haben wir Ihr Interesse geweckt? Dann senden Sie uns bitte ihre vollständigen Bewerbungsunterlagen mit Angabe Ihrer Gehaltsvorstellung inkl. Startbeginn an bewerbung@cyber-akademie.de
IHRE AUFGABEN: • Allgemeine telefonische, persönliche und schriftliche Kundenberatung in den o.g. Bereichen • Kommunikation und Korrespondenz mit
Seminarteilnehmern,
Fachbereichen und externen Dienstleistern • Evaluation und Qualitätssicherung der
Seminare sowie Mitarbeit bei der Weiterentwicklung der Prozesse im Bereich Seminarmanagement • Projektbezogene Unterstützung von
Marketingmaßnahmen • Administrative Tätigkeiten, statistische
Auswertungen
WIR BIETEN: • Sie arbeiten in einem kollegialen Team mit kurzen Entscheidungswegen • Möglichkeiten der Weiterbildung • Flexibilität • Leistungsgerechtes Entgelt IHR PROFIL: • Abgeschlossenes Studium oder
Berufsausbildung oder vergleichbarer Abschluss • Sehr gute Deutschkenntnisse in Wort und
Schrift sowie gute Englischkenntnisse • Strukturierte, selbstständige und lösungsorientierte Arbeitsweise • Teamfähigkeit • Gute Kommunikationsfähigkeit • Hohe Belastbarkeit • Organisationsgeschick • Zuverlässigkeit • Sicherer Umgang mit MS Office, insbesondere Excel
Jetzt bewerben!
Behörden Spiegel: Was ist das Zentrum für vertrauenswürdige Künstliche Intelligenz (ZVKI) und was ist das Ziel der Einrichtung?
KI ohne Vorurteile
ZVKI möchte Rahmen für gesetzliche Grundlagen für IT-Systeme schaffen
Margraf: Mithilfe von KI-Systemen werden Entscheidungen getroffen, die erhebliche Auswirkungen auf unser Leben haben. Denken Sie z.B. an autonomes Fahren, medizinische Forschung, Bewerbungsmanagement oder auch Bürger/-innen-Beteiligung. In allen diesen Bereichen werden Systeme der Künstlichen Intelligenz genutzt. Ziel des Zentrums ist es, Vertrauen in diese Systeme zu schaffen, indem wir Anforderungen an die Systeme formulieren und vor allem die technischen Grundlagen schaffen, diese Anforderungen umzusetzen und nachweisen zu können. Aktuell sehen Bürger/-innen KI-Systeme zum Teil aus gutem Grund sehr skeptisch, weil vielen Menschen die Funktionsweise dahinter nicht klar ist, aber eben auch, weil KI-Systeme viele der wichtigen Anforderungen noch nicht umsetzen.
Behörden Spiegel: Was sind das für Anforderungen?
Margraf: Dazu zählt zuallererst der Schutz der personenbezogenen Daten. Lange Zeit ist man davon ausgegangen, dass in KI-Systemen personenbezogene Daten so stark “abstrahiert“ werden, dass sie nicht mehr rekonstruiert werden können. Das ist aber falsch. Dazu kommt das Ziel, die Systeme erklärbar zu machen. Also transparent darzustellen, wie KI-Systeme zu ihren Entscheidungen kommen, damit es auch Nutzende, die sich wenig mit technischen Details beschäftigen, nachvollziehen können. Dann muss sichergestellt werden, dass die Systeme diskriminierungsfrei arbeiten, also bestimmte Personen oder Gruppen nicht benachteiligen. Die letzte Anforderung ist die IT-Sicherheit der KI-Systeme. Dabei wollen wir Cyber-Angriffe verhindern, die dafür sorgen könnten, dass die Systeme zu falschen Entscheidungen kommen könnten.
(BS) Die Nutzung von KI-Systemen birgt ein enormes Potenzial für Wirtschaft und Verwaltung, muss allerdings technisch sicher ausgestaltet werden. Das Zentrum für vertrauenswürdige Künstliche Intelligenz (ZVKI) möchte dafür die notwendigen Rahmenbedingungen schaffen. Prof. Dr. Marian Margraf ist an dem Projekt mit mehreren Kooperationspartnern beteiligt und erklärt, auf welche Bereiche sich das ZVKI fokussiert und inwiefern KI-Systeme im Bewerbermanagement diskriminierungsfrei ausgestaltet werden. Das Gespräch führte Paul Schubert.
Behörden Spiegel: Wie können denn Dritte prüfen, dass KI-Systeme bestimmte Anforderungen erfüllen?
Behörden Spiegel: Eine große Aufgabe des ZVKIs ist es, den Bürger/-innen den Nutzen von Künstlicher Intelligenz nahezubringen. Wie kann so etwas gelingen?
Prof. Dr. Marian Margraf ist Professor für Informationssicherheit an der Freien Universität Berlin und Abteilungsleiter am Fraunhofer AISEC. Foto: BS/Fraunhofer AISEC
Margraf: Indem man Vertrauen schafft. Da würde ich vor allem den Schutz der personenbezogenen Daten voranstellen. Wenn ich KI-Systeme nutze, möchte ich nicht, dass meine Daten, z. B. durch Anfragen an das KI-System, rekonstruiert werden können. Und ich möchte mir natürlich auch sicher sein, dass KI-Systeme die richtigen Entscheidungen treffen, z. B. beim autonomen Fahren. Behörden Spiegel: Bitte erläutern Sie das näher.
Margraf: Beim autonomen Fahren treffen KI-Systeme Entscheidungen, um sicheres Fahren zu garantieren: Ein Stoppschild sollte als Stoppschild erkannt werden und nicht als Vorfahrtsschild. Um hier Vertrauen zu schaffen, müssen Sicherheitskriterien klar definiert werden. Hier muss beispielsweise verhindert werden, dass Angreifer/innen durch gezieltes Einschleusen von Bildern KI-Systeme manipulieren können. Dann könnte ein Stoppschild zum Beispiel als ein anderes Schild erkannt werden und die Systeme könnten dementsprechend anders reagieren. Hier ist es unsere Aufgabe als ZVKI, technische Lösungen zu erarbeiten, sodass solche Angriffe auf KI-Systeme nicht möglich sind.
Behörden Spiegel: Was ist Ihnen bei der Nachvollziehbarkeit der Entscheidungen von KI-Systemen wichtig? Margraf: Denken Sie zum Beispiel an die Partizipation von Bürger/-innen bei der Befragung zu gesellschaftlichen Prozessen. Wenn ich dort Eingaben tätige und das KI-System aber aufgrund der Wünsche vieler anderer Personen zu einer Entscheidung kommt, die ich nicht mittrage, dann möchte ich wissen, warum mein Vorschlag nicht übernommen wurde. Es muss also für die Nutzer/-innen zurückgespielt werden, warum das System diese Entscheidung getroffen hat und warum auf dieser Grundlage weitergearbeitet wird.
Behörden Spiegel: Vorhin sprachen Sie auch davon, dass KI-Systeme diskriminierungsfrei arbeiten sollen. Wie kann ich mir so etwas vorstellen?
Margraf: Man könnte zum Beispiel im Bewerbungsmanagement dazu kommen, Bewerber/innen mit Migrationshintergrund anhand ihres Namens einfach vorab auszusortieren oder männliche Bewerber zu präferieren. Ich bin kein Jurist, aber meines Erachtens sollte sich schon aus dem Grundgesetz ableiten, dass hier KI-Systeme nicht diskriminieren dürfen. Die Frage ist, wie setzen wir das technisch um und wie kann die Umsetzung nachgewiesen werden.
Behörden Spiegel: Aber bevor etwas gesetzlich reguliert werden kann, muss doch erst sichergestellt werden, dass das technisch überhaupt möglich ist, oder?
Margraf: Korrekt. Hier müssen wir den Gesetzgeber befähigen, überhaupt gesetzliche Grundlagen zu schaffen, indem wir klären, dass diese Anforderungen technisch überhaupt umsetzbar sind, wie sie konkret umgesetzt und nachgewiesen werden können. Genau dies ist ein wichtiges Ziel unseres Zentrums.
Behörden Spiegel: Wer ist in dem Zentrum involviert und übernimmt welche Aufgaben und was ist Ihre Rolle dabei?
Margraf: Insgesamt sind an dem Zentrum vier Institutionen beteiligt. Dazu zählen die Fraunhofer-Institute für Angewandte und Integrierte Sicherheit AISEC und für Intelligente Analyse- und Informationssysteme IAIS, die Freie Universität Berlin (FU) und das iRights.Lab als Konsortialführer im Projekt. Neben der Projektleitung führt iRights. Lab auch eigene Arbeiten durch, arbeitet z. B. die wissenschaftlichen Erkenntnisse für die Allgemeinheit, Politik und Wirtschaft auf. Mit meiner Arbeitsgruppe an der Universität und am Fraunhofer AISEC klären wir dabei vor allem technische Fragen. Dabei wollen wir die Grundlagen erarbeiten, wie man die vier genannten Anforderungen tatsächlich in den KI-Systemen umsetzen kann. Dafür möchten wir auch Werkzeuge entwickeln, damit Entwickler/-innen diese Anforderungen unproblematisch in ihre Systeme integrieren können.
Margraf: Dafür wollen wir ein Zertifizierungsschema mit Prüfkriterien erarbeiten. Das soll erkennen, inwiefern die vier Anforderungen nachweisbar in die KI-Systeme implementiert wurden. Dazu müssen wir natürlich auch Zertifizierungs- und Evaluierungsstellen in das Projekt integrieren. Diese Prüfkriterien entwickeln wir also nicht alleine.
Behörden Spiegel: In welcher Phase des Projektes steht das Zentrum aktuell?
Margraf: Noch sind wir in der Anfangsphase. Der Mittelgeber, das Bundesministerium der Justiz und für Verbraucherschutz (BMJV), hat uns zunächst für zwei Jahre finanziert. Die Idee dabei ist, den Start des Zentrums zu finanzieren. Ziel ist es natürlich, weitere Mittelgeber mit in das Projekt zu holen. Da denke ich vor allem an die Zivilgesellschaft und die Industrie. Wir wollen die gesamte Forschungsarbeit nicht nur intern durchführen, sondern weitere Beteiligte aus Wirtschaft, Verwaltung, Zivilgesellschaft und Wissenschaft in das Projekt holen.
Behörden Spiegel: Wie sieht die weitere Zukunftsplanung des Zentrums aus?
Margraf: Wir möchten langfristig der Ansprechpartner in Deutschland werden, wenn es um Vorteile, Herausforderungen und Lösungen im Bereich Künstlicher Intelligenz geht. Dazu soll auch die Zusammenarbeit mit der Industrie gestärkt werden, indem wir die Anforderungen an die KI-Systeme zusammen diskutieren und Lösungen erarbeiten.
Ukraine rekrutiert IT-Armee
(BS/Paul Schubert) Der Krieg in der Ukraine findet nicht nur physisch auf dem Schlachtfeld statt. Auch im Digitalen bekämpfen sich die Ukraine und Russland mit Cyber-Attacken. Ukrainische Vertreter/-innen rufen nun vermehrt zur Hilfe aus dem Ausland auf. Gerichtet sind diese Anfragen vor allem an die Zivilgesellschaft. Die sogenannte “IT-Army” unterstützt die Ukraine dabei mit Angriffen auf russische Institutionen und Infrastruktur. Das Vorgehen sei allerdings “ethisch und rechtlich fragwürdig”, heißt es von deutschen Sicherheitsbehörden.
Bereits einen Tag vor dem Beginn des Krieges in der Ukraine seien massive Hackerattacken von russischer Seite aus gestartet worden, schildert ein ukrainischer IT-Sicherheitsexperte aus Kyiv bei einer Veranstaltung des G4C German Competence Centre against Cyber Crime (G4C). In einem Workshop des Vereins stand vor allem die Situation in der Ukraine und in Deutschland im Vordergrund. Der ukrainische Cyber-Experte – welcher aus Kyiv zugeschaltet wurde - berichtete von zahlreichen Störungen bei ukrainischen Regierungsseiten. Die Bandbreite der Attacken erstreckten sich auf Distributed Denial of Service (DDoS), Phishing, Defacement und Deep Fake, so der Experte. Auch die Kommunikation mit Messenger-Diensten sollten behutsam getätigt werden: “Es gibt keinen Messenger, der für die Kommunikation sicher ist, weder WhatsApp noch Telegram, man muss aufpassen, was man schreibt.” Mittlerweile habe sich die ukrainischen Regierung Hilfe von außen gesucht. So solle die IT-Infrastruktur durch globale Cyber-Kompetenz beschützt werden, sagte der Ukrainer. Des Weiteren seien Aufrufe gestartet worden, eine “IT Army” zu bilden. Aktuell würden sich etwa 277 Menschen aktiv beteiligen. Sie folgten dabei einem Aufruf des ukrainische Vizepremiers und Minister für digitale Transformation, Mychajlo Fedorow auf Twitter. Die IT-Spezialisten aus aller Welt greifen seit einigen Tagen russische IT-Infrastrukturen, Banken, Regierungswebseiten und staatstreue Medien an.
Hacker drohen mit Vergeltung
Die russische Ransomwaregruppe Conti hat bereits Vergeltungsmaßnahmen angekündigt, sollten sich die Attacken auf Kritische Infrastrukturen in Russland ausweiten, erklärte eine Vertreterin einer Cyber-Sicherheitsbehörde. Deutsche Sicherheitsbehörden bewerten die Aktionen der IT Army und deren “Hacktivism” für kritisch: “Man muss bedenken, dass diese Attacken aus der Cyber-Zivilgesellschaft der Ukraine nicht helfen und die Atmosphäre eher erschweren”, sagte die Behördenvertreterin. Zudem wären die Maßnahmen “ethisch und rechtlich” fragwürdig. Auch ein Vertreter einer deutschen Strafverfolgungsbehörde bewertet die Aktivitäten der Hackergruppierungen kritisch: “Durch diese Angriffe besteht die Gefahr, dass in Russland ansässige Ransomwaregruppen als Reaktion auf die Cyber-Angriffe vermehrt eingesetzt werden.” Anhänger der IT Army vermelden derweil die ersten Erfolge: so seien russische Staatsmedien, das Verteidigungsministerium und Banken massiv durch die Cyber-Angriffe beeinträchtigt worden. Allerdings ließen sich diese Informationen schwer durch unabhängige Stellen verifizieren, erklärt der Kriminalbeamte. Derweilen konnte die Häufung der Cyber-Attacken auf die ukrainische Infrastruktur durch deutsche Behörden bestätigt werden. Aktuell bestehe für Deutschland allerdings keine akute Gefährdung aufgrund der Entwicklungen in der Ukraine, heißt es aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Allerdings soll es Störungen bei Satelliten gegeben haben, welche zu einer eingeschränkten Kommunikation bei der NATO-AWACS-Flotte führten. Sicherheitsexperten vermuten, dass die Ursache dafür ein russischer Angriff auf die Kommunikation der ukrainischen Armee gewesen sei. Nun wächst die Angst, dass Schadsoftware bereits vor Monaten in die technischen Geräte der westlichen Infrastruktur geschleust werden könnte.
