Vibesecurity

24. Mai 2026/0 Kommentare/in Lesenswert /von Michael Fälbl

IT-Security-Ikone Bruce Schneier hat kürzlich in einem lesenswerten Artikel seine Perspektive zu KI & Security niedergeschrieben.

tl;dr:

AI verstärkt Angreifende und Verteidigende, da beide Seiten automatisiert Schwachstellen finden können.
Für die verteidigende Seite bietet KI potenziell mehr Vorteile: Schwachstellen könnten automatisiert identifiziert werden, ihre Behebung kann Teil des regulären Softwareentwicklungsprozesses werden.
Die Möglichkeit für Patches und Updates ist zentral: „If the defense can find, but can’t reliably patch, flaws in legacy software, that’s where attackers will focus their efforts.„
Optimistische Zukunftsszenarien erfordern die Zusammenarbeit und Bündelung finanzieller & personeller Ressourcen, z.B. um Sicherheitslücken KI-gestützt aufzuspüren.

Für den produzierenden Bereich ergeben sich aus meiner Sicht einige Implikationen:

Die zunehmende Verschmelzung von IT & OT erfordert steigende Softwarequalität. Beim IIoT war Security nicht immer prioritär. Das wird sich (schnell) ändern müssen.
Die Software Bill of Materials wird wohl an Bedeutung gewinnen: das langfristige Wissen darüber, welche Software-Bausteine, Frameworks & Co. in der Produktion im Einsatz sind, ist essenziell.
Last but not least: der Bedarf nach firmenübergreifender Kooperation nimmt zu. Das ist kulturell nicht immer einfach, aber nur gemeinsam kann man ausreichend Ressourcen mobilisieren, um Sicherheitslücken proaktiv zu finden und zu beheben.

Sicherheitsberatungsbedarf

25. März 2026/0 Kommentare/in Lesenswert /von Michael Fälbl

Anfang März wurde McKinsey gehackt. Der firmeninterne KI-Chatbot „Lilli“ wurde von einem autonomen KI-Agenten attackiert, der SQL-Schadcode in das System einschleusen konnte – innerhalb von zwei Stunden. Der Agent hatte dadurch Zugang zu >700.000 internen Files und >46 Mio. internen Chat-Nachrichten. Hier die ganze Geschichte: https://codewall.ai/research/how-we-hacked-mckinseys-ai-platform

Die Security-Experten von Security Research Labs beschreiben in einem Blogpost das Problem: KI-Assistenten und -Chatbots werden mit viel Druck und hoher Geschwindigkeit aufgesetzt, gleichzeitig verfügen die Systeme über weitgehende Zugriffs- und Schreibrechte. Dadurch steigt die Angriffsfläche. Hier der ganze Beitrag: https://srlabs.de/blog/hacking-ai-agent

Für Unternehmen und deren Bemühungen um Künstliche Intelligenz sollte Security eine wesentliche Rolle spielen. Gerade im produzierenden Bereich, wo sich IT und OT immer mehr verschneiden, können solche Angriffe abseits vom potenziellen Verlust von Betriebsgeheimnissen & Co. eine echte, physische Gefahr darstellen.

Die McKinsey-Geschichte ist ein wichtiges Warnsignal – in dem Fall wurde der Hack durch CodeWall durchgeführt und entsprechend gemeldet. Beim Angriff eines malignen Akteurs wären die Konsequenzen wohl gewaltig gewesen.

via Logbuch: Netzpolitik

KI: Konsequenzen immanent

3. März 2026/0 Kommentare/in Lesenswert /von Michael Fälbl

Der xkcd-Comic zum Internet Stack (Bild unten; Quelle: https://xkcd.com/2347/) verdeutlicht seit Jahren die Situation vieler Open Source Projekte. Künstliche Intelligenz scheint nun die Fragilität der verschiedenen Projekte weiter zu erhöhen:

▶️ Einerseits steigt durch „AI Slop“ und durch auf Bug Bounties ausgerichtete Agents die Belastung für bestehende Projekte, mit der Konsequenz, dass es potenziell weniger Anreize gibt, echte Security-Probleme zu identifizieren – zu sehen z.B. bei Log4j, nachzulesen u.a. hier: https://www.derstandard.at/story/3000000310498/open-source-projekt-klagt-ueber-massive-belastung-durch-ki-muell

▶️ Andererseits führen Vibe Coding und die KI-gestützte Beantwortung von Fragen zur Dokumentation potenziell zu Schwierigkeiten beim Geschäftsmodell vieler Softwareprojekte, da Anwender:innen mit Entwickler:innen weniger direkt interagieren – zu sehen z.B. bei Tailwind CSS, nachzulesen u.a. hier: https://www.leitmedium.de/2026/01/09/das-drohende-ende-von-opensource-projekten-durch-llms-am-beispiel-von-tailwind/

Für die Weiterentwicklung von Open Source Software, die u.a. auch im Produktionskontext zum Einsatz kommt, kann das ein echtes Problem werden.

Falls jemand schon Beispiele mit direktem Industriebezug kennt, freue ich mich über eine Info!

Szenendiskussion

22. Februar 2026/0 Kommentare/in Hörenswert /von Michael Fälbl

Die ganze Woche schon wird auf Social Media der Einstieg von Peter Steinberger (OpenClaw) bei OpenAI heiß diskutiert. In den meisten Fällen dominiert die Einseitigkeit („Unternehmer werden in Europa mit Füßen getreten„, „Wieder ein Startup Bro, dem Sicherheit egal ist„, etc.). Eine nicht einseitige und hörenswerte Einordnung machen dafür Jakob Steinschaden und Clemens Wasner in ihrem „AI Talk“: https://www.trendingtopics.eu/steinberger-kontroverse/

Too long; didn’t listen:

Beim Fall Steinberger geht es weniger um Startups als um Open Source Softwareentwicklung; der Abgesang auf Europa durch seinen Jobwechsel ist fehl am Platz.
Das ORF-Interview bei Armin Wolf war kritisch und das ist auch die Aufgabe der Zeit im Bild; gleichzeitig gibt es in Österreich ein Problem zu Technologiebildung.
Österreich und Europa sind im Open Source Bereich gut aufgestellt; die Unterstützung für Unternehmen und Geschäftsmodelle ist aber zu gering, häufig bleiben nur Lippenbekenntnisse.

Ergänzung von meiner Seite: im politischen Diskurs steht bei Open Source meistens die öffentlichen Verwaltung im Mittelpunkt. Das ist schon wichtig, aber der potenzielle wirtschaftliche Hebel und die Wertschöpfung durch entsprechende Geschäftsmodelle sind mindestens so relevant. Unser Zugang dazu muss sich ändern, denn gerade im Umfeld der Produktion („Rückgrat der Wirtschaft“, „Hidden Champions“ usw.) gäbe es hier sehr viele Möglichkeiten.

Konferenzraum mit Vortragendem und Teilnehmenden

Workshop „Cyber-Security: Sicherheit im Internet – praktische Maßnahmen“

7. November 2024/0 Kommentare/in eigene Beiträge /von Michael Fälbl

Am 5. November 2024 habe ich im Rahmen der „Digital Überall“-Initiative einen Cyber-Security-Workshop im Schwechater Rathaus organisiert. Der über IRW Consulting vermittelte Trainer Arkadi Jeghiazayan ist seit 10 Jahren selbstständiger Unternehmer und u.a. bekannt aus der Sendung „2 Minuten 2 Millionen“. Er führte die Teilnehmerinnen und Teilnehmer durch verschiedene Aspekte der Internetsicherheit.

Im Workshop konnten die Teilnehmenden ihre persönlichen Erfahrungen einbringen und sich dazu austauschen. Viele haben z.B. bereits leidvolle Erfahrungen mit gefälschten Paketzustellungen oder mit gefälschten Finanzamt- oder GKK-Nachrichten gesammelt. Der Erfahrungsaustausch im Workshop förderte das Sicherheitsbewusstsein der Teilnehmer – die erzählten Geschichten, z.B. rund um versuchte Kreditkarten-Abbuchungen aus den USA oder zu Betrugsversuchen mit dem „Enkeltrick“ waren dabei hilfreich.

Arkadi Jeghiazayan vermittelte anhand von Beispielen praktische Tipps, um sich besser gegen Cyber-Kriminalität zu schützen. Dazu gehörten u.a. folgende drei Ratschläge:

Auf gefälschte Webseiten achten: Immer wieder werden gefälschte Webseiten, z.B. von Fluggesellschaften oder bekannten Marken, von Kriminellen genutzt, um vertrauenswürdige Orte im Internet vorzutäuschen. Ein wichtiges Erkennungszeichen gefälschter Webseiten ist die URL, an ihr kann man Betrugsversuche oft erkennen.
Sichere Passwörter verwenden: Bei Passwörtern ist die Länge ausschlaggebend für ihre Sicherheit. Sie sollten außerdem sicher verwaltet werden, wofür z.B. die Passwort-Speicher von Apple und Google hilfreich sein können. Einfache Zeichenfolgen, z.B. 9876 oder QWERTZ sollten jedenfalls vermieden werden, das gilt auch für einfach erfahrbare Informationen wie Geburtsdaten.
Öffentliche Netzwerke meiden: Die Nutzung öffentlicher WLAN-Netzwerke, z.B. in Geschäften oder Restaurants, sollte generell vermieden werden. Jedenfalls sollten solche Netzwerke nie genutzt werden, um sensible Transaktionen wie Banküberweisungen durchzuführen.

In Zukunft spielt Sicherheitsbewusstsein im Internet eine noch stärkere Rolle. Tools wie ChatGPT & Co. ermöglichen es Angreifern, einfacher individuelle und sprachlich korrekte Nachrichten massenhaft zu erstellen. Dadurch werden Phishing-Versuche tendenziell besser, Social Engineering wird einfacher.

Ende November organisiere ich einen weiteren Workshop für Seniorinnen und Senioren in Schwechat. Dabei geht es um das Thema „Das individuelle Smartphone – Anpassungen für Senior/innen“ – bei diesem Workshop wird Marlene Haider von WerdeDigital.at als Trainerin dabei sein. Details zum Workshop findet man hier.

Wahlprozesswünsche

4. Oktober 2024/0 Kommentare/in Lesenswert /von Michael Fälbl

Der Österreichischer Gemeindebund fordert E-Voting in Österreich.

Zum Thema elektronische Wahl haben 20 Security-Expertinnen und -Experten – darunter z.B. Andrew Appel und Bruce Schneier – im Frühjahr diesen Jahres eine Empfehlung verfasst .

tl;dr: E-Voting kann Vertrauen senken und Security-Probleme verursachen. Besser Papier.

Zwei Auszüge daraus:

„Technology introduces the means of efficient tabulation, but also introduces a manifold increase in complexity and sophistication of the process. This places the understanding of the process beyond the average person’s understanding, which can foster distrust. It also opens the door to human or machine error, as well as exploitation by sophisticated and malicious actors.„

„Hand-marked paper ballots should be the primary means of recording votes. Each polling-place voter, except those who request to use a BMD because they have difficulty marking a paper ballot by hand, should vote by marking by hand an optically scannable paper ballot. Ballot Marking Devices used as assistive devices should print a paper ballot identical in size and format to hand-marked paper ballots.„

Sicherheitsbedenkenreduktion

10. September 2024/0 Kommentare/in eigene Beiträge, Factory-Kolumne /von Michael Fälbl

In meiner Kolumne für das Factory-Magazin beschäftige ich mich mit dem für Industrieunternehmen zunehmend relevanten Thema Security: https://factorynet.at/menschen/trauen-sie-keiner-software-die-sie-selbst-nicht-hacken-koennen/

Trauen Sie keiner Software, die Sie selbst nicht hacken können!

Man solle keiner Statistik trauen, die man nicht selbst gefälscht hat. So lautet eine beliebte Redewendung. Für Außenstehende ist eine Statistik oft eine Blackbox, der man nicht ganz traut. Dem kann man entgegenwirken, z.B. durch Quellenangaben oder durch Einblicke in die Datenbasis. Das schafft Vertrauen. Ähnlich verhält es sich bei Software im Industrie-Einsatz.

Vertrauen ist gut…

Wann verlassen Sie sich auf eine Software? Wird eine Software z.B. von Lieferanten, Kundinnen oder Partnern empfohlen, dann ist das zumeist vertrauensstärkend. Auch Lösungen, die global verbreitet oder bei vielen Unternehmen im Einsatz sind, wird häufig vertraut.

Die breite Nutzung einer Software garantiert jedoch nicht deren Sicherheit. Sicherheitslücken sind auch bei großen Lösungsanbietern keine Seltenheit, wie z.B. der Angriff auf die Firma SolarWinds 2020 zeigte. Auch fehlerhafte Software-Updates können gravierende Probleme verursachen, wie z.B. beim jüngsten Ausfall der EDR-Lösung der Firma Crowdstrike. Viele Nutzerinnen schützen also noch nicht vor Ausfällen oder Schäden.

… Kontrolle besser…

Proprietären Software-Lösungen wird häufig ihre Intransparenz als Sicherheitsdefizit vorgeworfen. Ist der Code einer Software eine Blackbox, dann lässt sich nicht kontrollieren, ob Sicherheitslücken vorhanden sind. Von „Security through obscurity“ raten Security-Experten zumeist ab.

Abhilfe schafft Open Source Software. Der transparente Quellcode einer Software kann dabei helfen, potenzielle Sicherheitslücken schnell zu entdecken und zu schließen. Theoretisch können die eigenen Entwicklerinnen sich selbstständig auf die Fehlersuche begeben und zur Sicherheit der Software beitragen.

In der Praxis ist das aber häufig nicht der Fall. Allzu oft wird die Sicherheit zentraler IT-Infrastruktur durch ehrenamtlich arbeitende Einzelpersonen auf Selbstausbeuterbasis aufrechterhalten. Das kann große Probleme verursachen. Anfang des Jahres wurde z.B. in der Software XZ Utils eine potenziell äußerst gefährliche Hintertür nur durch Zufall entdeckt und geschlossen. Offener Quellcode schützt demnach auch nicht vollständig vor Ausfällen oder Schäden.

… professionelle Validierung und vielfaches Testen am besten.

Gerade in der Produktion wird die Sicherheit von Software in Zeiten vernetzter Fabriken und verschmelzender IT-/OT-Systeme immer wesentlicher. Was kann man also abseits der Anbieterwahl und der Einforderung von Quellcode-Transparenz tun, wenn man möglichst sichere Software einsetzen möchte?

Eine Möglichkeit bieten Normen und Standards. In der Automobilindustrie spielen z.B. die Norm ISO/SAE 21434 oder der TISAX-Standard wichtige Rollen. Durch deren Einhaltung bzw. entsprechende Zertifizierungen können Software-Anbieterinnen Vertrauen schaffen. Standards und bekannte Bedrohungen können auch mit entsprechender Software schon im Produktdesign berücksichtigt werden. Die steirische AVL setzt dabei z.B. auf die ThreatGet-Software, die u.a. vom österreichischen AIT entwickelt wurde.

Darüber hinaus kann die Resilienz einer Software durch die gezielte Schaffung von Extremsituationen und durch darauf aufbauende Anpassungen erhöht werden. Die von Netflix entwickelte Open Source Software Chaos Monkey hilft z.B. genau dabei. Das Prinzip dahinter: gezielte Sabotage zur Erhöhung der Sicherheit. Diese Vorgehensweise empfiehlt auch der renommierte Security-Experte Bruce Schneier.

Schneier wiederum ist namensgebend für „Schneier’s Law“ – einen Merksatz, der auch für produzierende Unternehmen im Zusammenhang mit Software und Vertrauen gilt: Jeder kann ein Sicherheitssystem entwickeln, das so durchdacht ist, dass man selbst sich nicht vorstellen kann, wie man es zerstören könnte.

Softwaresicherheitsmängel

10. August 2024/0 Kommentare/in Lesenswert /von Michael Fälbl

Vor drei Wochen verursachte ein fehlerhaftes Software-Update bei CrowdStrike den Ausfall zahlreicher Windows-Rechner. Die Konsequenzen waren global spürbar, in Österreich kam es u.a. zu Flugausfällen, zu Störungen in Krankenhäusern und zu Einschränkungen im Bankenbereich.

Zwei lesenswerte Artikel zum Thema:

1) Der Security-Experte Bruce Schneier schreibt über notwendige Crashtests und den Bedarf nach mehr Ineffizienz in der Software-Entwicklung, um zerbrechliche Systeme zu vermeiden: https://www.schneier.com/blog/archives/2024/07/the-crowdstrike-outage-and-market-driven-brittleness.html

2) Der Technologie-Blogger Ed Zitron beschreibt die Probleme falscher Anreize im Silicon Valley: wenn die Jagd nach Monopol-Renten zum Haupttreiber wird, dann leidet nicht nur bei Boeing sondern auch im IT-Bereich die Qualitätssicherung: https://www.wheresyoured.at/crowdstruck-2/

Beiträge