Borderlines : Neue Einflüsse und Grenzen der Security
Derzeit bergen etliche Schlagzeilen potenzielle Herausforderungen für Security-Teams. Von Social-Hacking-Angriffen auf KI-Instanzen, nachgemachte Generalschlüssel zum Microsoft-„Königreich“ oder der Beantragung von Versuchen zu Gehirn-Maschine-Schnittstellen bis hin zu zahlreichen weitreichenden geopolitischen Krisen mit Auswirkung auf Organisationen, die tausende Kilometer entfernt sitzen. Die Grenzen dessen, was Security-Verantwortliche und -Expert:inn:en leisten sollen, können oder müssen, erscheinen wieder einmal im Fluss zu sein – unser Autor betrachtet in Ergänzung seines
„Mögest Du in interessanten Zeiten leben“, lautet eine alte chinesische Verwünschung. Aus Sicht der IT-Security, Cyber- oder Informations-Sicherheit ist dieser Fluch längst wahr geworden. Vor zwei Jahrzehnten war die Arbeit eines IT-Security-Experten noch eher übersichtlich (wenn auch nicht weniger spannend): Die klassischen Bedrohungen waren Passwort-Erschleichungen per E-Mail, Viren in E-Mail-Anhängen und „normale Hacker“.
Heute begegnen uns Angriffe auf Lieferketten, Social-Hacking über Bewerbungsportal-Informationen von Mitarbeitern, rechtliche Vorgaben wie das KRITIS-Gesetz, verwundbare Schlüsseltechnologie, die man nicht ersetzen kann, und ISO-Vorgaben zur sicheren Programmierung – ganz zu schweigen von „regulären Jahrhundertaufgaben“ wie ein Security-Operations-Center (SOC) zum Laufen zu bringen, Rund-um-die-Uhr-Incident-Response (man weiß ja, dass die digitale Burg nicht mehr sicher ist) und eine Digitalisierung bis ins letzte Lagerregal, über die sich vielleicht auch Angreifer in die Firma schleichen könnten.
Viele heutzutage durchaus (auch) sicherheitsrelevante Aufgaben sind inzwischen „irgendwo“ in Unternehmen oder Behörden verortet. Als Beispiel möge hier die Verwaltung von Firmen-Facebook-Accounts genannt sein, um neue, vor allem junge Bewerber anzulocken. Möglicherweise macht das die Personalabteilung oder die Unternehmens-Kommunikation oder …?! Kontrolliert dort aber auch jemand, ob etwa ein Praktikant nach seinem Abgang aus der Firma noch das Passwort für die offizielle Onlinedarstellung via Social Media auf seinem privaten Handy hat?
Oder als zweites Beispiel: Wenn künstliche Intelligenz (KI) genutzt wird (kriegt der CISO das überhaupt gesagt?), wer kümmert sich dann um die daraus erwachsenden Risiken? Und damit sind nicht nur die technischen Risiken gemeint, sondern zum Beispiel auch solche durch neue Gesetze oder Dinge, wie „verseuchte“ Lerndatensätze oder Algorithmen (ein Beispiel auf dem Gebiet der Bildbearbeitung/Gesichtserkennung liefert etwa [2]).
Wie kann man dieses Chaos der Informationen und Anforderungen für die Informationssicherheit Herr werden? Der Autor hat versucht, hierzu ein Schema zu finden, und schlägt vor, die neuen Herausforderungen in mehrere Kategorien einzuteilen.
Geopolitik/Aktivismus
Im Oktober 2023 entflammte zwischen Israel, der Hamas und Hisbollah sowie dem Gazastreifen und den umliegenden Ländern ein neuer Nahostkonflikt, der weltweit Betroffenheit erzeugt. Dieser Konflikt entwickelte schnell eine Eigendynamik, die weit über die betroffenen Länder hinausging: Menschen in aller Welt schlugen sich auf die ein oder andere Seite – auch mit Auswirkungen auf die (IT-) Sicherheitslage an unerwarteten Stellen, was in Anbetracht der schrecklichen Ereignisse in der öffentlichen Wahrnehmung teils eher unterging. Hier sollen dafür drei Beispiele genannt werden: So stürmte im Oktober ein Mob von hunderten Menschen den Sicherheitsbereich eines Flughafens in Dagestan, um dort Jagd auf gerade gelandete Israelis zu machen. Unabhängig von der schrecklichen Tatsache an sich ist die Stürmung eines Hochsicherheitsbereichs aufgrund von Ereignissen in einem Drittland der Albtraum eines jeden Security- oder Safety-Experten, der sicherlich in keinem Incident-Handbuch vorgesehen ist.
Doch der neue Nahostkonflikt hatte auch weitere Auswirkungen auf internationale Firmen. Die Kommunikationsplattform X (ehemals Twitter) wurde zur Hochburg der Desinformation – Anhänger verschiedener Fraktionen posteten teilweise Ausschnitte aus Videospielen, die als angeblich „echte Videodokumente“ die Gräuel der einen oder anderen Seite darstellen sollten. Da der neue Eigner Elon Musk hier nicht steuernd eingriff (was auch gar nicht mehr geht, da der Dienst nach seiner Sanierung [aka Massenentlassung] keine Mitarbeiter mehr dafür hat), drohen dem Dienst in Europa für das Verbreiten unwahrer Nachrichten extrem hohe Strafen [3]. Die Videoplattform TikTok steuerte hier indessen rechtzeitig dagegen, um einer Strafe zu entgehen, und löschte innerhalb einer Woche eine halbe Million Videos mit ungewollten Inhalten zum Nahostkonflikt [4] – ein enormer technischer wie personeller Mehraufwand.
Zwar nahmen die Folgen für die IT-Security durch den Nahostkonflikt völlig neue Dimensionen an, doch ist die Idee solches Cyber-Activism nichts wirklich Neues: Schon 2001 brachten Aktivisten eine Angriffssoftware in Umlauf, die zu einem bestimmten Zeitpunkt das Webportal einer großen deutschen Fluglinie angriff, um per Distributed-Denial-of-Service-(DDoS)-Angriff gegen Abschiebungen abgelehnter Flüchtlinge zu protestieren. Allerdings verhält sich die Auswirkung von damals zu heute wie eine Epidemie zu einer Pandemie: 2023 ist etwa TikTok ein weltweit vertretener und genutzter Dienst – Protest beziehungsweise Desinformation sind global, nicht mehr lokal.
Juristische Aspekte
Dass sich Security-Experten auch „gelegentlich“ mit juristischen Problemen herumschlagen müssen, ist ebenfalls bekannt. Allerdings hat der Aufwand hierfür gewaltig zugenommen: Waren es früher noch einfache Dinge wie die Angreifbarkeit des elektronischen Anwaltspostfachs, bei denen eine „einfache Info“ an die Rechtsabteilung reichte, kam irgendwann zum Beispiel die Nutzung von Social Media durch das Unternehmen hinzu – mit allen damit verbundenen Fragen zum Datenschutz oder einer sofortigen Reaktion auf Hasskommentare.
Richtig aufwendig wurde es dann für einige Security-Abteilungen mit dem sogenannten KRITIS-Gesetz, das konkrete Eingriffe in das Unternehmen, wie die Bildung eines SOC oder einer Risikoanalyse für jedes Projekt, vorsah.
Doch dies war erst der Anfang: Aktuelle Meldungen liefern zahlreiche Beispiele, bei denen politische oder juristische Vorgaben unglaublichen Aufwand erzeugen. So versucht die Politik (anscheinend indirekt über das BSI) etwa Druck auf die Deutsche Bahn auszuüben, um frisch erneuerte Netzwerkkomponenten des umstrittenen chinesischen Herstellers Huawei auszutauschen – was 40 % des operativen Netzwerks der DB erfassen soll [5].
Ein anderes Beispiel ist die Strafe von 1,2 Mrd. €, welche die Europäische Datenschutzbehörde gegen Facebooks Mutterkonzern Meta im Mai 2023 verhängt hat, weil Daten europäischer User in die USA weitergeleitet werden. Die Analyse solcher Datenflüsse kann sicherlich nicht nur die Rechtsabteilung durchführen – da muss die IT (-Security) ganz viele Maßnahmen erklären. Hätten Security/Datenschutzabteilung hier auch proaktiv eingreifen sollen/müssen? Wie viel Erfolg hätten solche Aktivitäten gegenüber der Geschäftsführung gehabt?
Ein weiteres Beispiel ist die Ende-zu-Ende-Verschlüsselung in der Kommunikation. Der Autor erinnert sich noch an einen Fall in seinem Berufsleben, in dem ein Mitarbeiter dienstlich in ein Land im Nahen Osten reisen musste, welches Ende-zu-Ende-Verschlüsselung – und somit das auf den Laptops verwendete VPN – verboten hatte. Damals ging es nur um eine Ausnahmeregelung für einen einzelnen Mitarbeiter. Anders sieht es jedoch aus, wenn ein neues Gesetz in einem Land eingeführt wird, das es einem dort ansässigen internationalen Unternehmen fast unmöglich macht, seine Niederlassung weiter zu betreiben.
Großbritannien hat unlängst die „Online Safety Bill“ [6] verabschiedet. Das in der Presse zynisch auf „Playbook for Dictators“ getaufte Gesetz fordert manchen Medienberichten und Analysen zufolge nicht nur, dass bestimmte technische Änderungen, möglicherweise sogar jeder (Security-) Patch betroffener Hersteller/Anbieter erst von einer Genehmigungsbehörde freigegeben werden muss [7,8], sondern sah eine Zeit lang auch vor, dass zukünftig jegliche Ende-zu-Ende-Verschlüsselung durch staatliche Stellen (und Hintertüren) aufbrechbar sein sollte [9]. Dies führte zu Aussagen von Managern der großen Telekommunikationsdienste, beispielsweise Signal und Apple (Facetime), sich dann aus England zurückziehen zu wollen. Man kann sich vorstellen, wie dieses Thema nicht nur die jeweiligen Manager, sondern auch die Rechts- und die Security-Abteilung beschäftigt hat. Was das neue Gesetz in der Praxis letztlich wirklich bewirken kann und wird, erscheint derzeit schwer einschätzbar.
Technische Herausforderungen
Technische Herausforderungen an die Security-Abteilung lassen sich in zwei Kategorien einteilen: Zum einen das Versagen einer Schlüsseltechnologie, die überall im Einsatz ist (entweder durch einen Fehler, regulative Vorschriften oder fehlende Patches), zum anderen neu einzuführende, vielleicht erst mal obskur wirkende Technologien oder Prozesse.
Ein einfaches Beispiel ist das Support-Ende von Windows 10 im Oktober 2025 und die damit verbundene Hardware-Herausforderungen für Windows 11: Das „neue“ Betriebssystem benötigt eine CPU mit mindestens 2 Kernen, mindestens 1 GHz Taktfrequenz und 64 GByte Festplattenkapazität (alles machbar), aber auch eine bestimmte Mindestauflösung und -größe des Monitors (die viele Laptops nicht besitzen) sowie eine DirectX-12-fähige Grafikkarte und einen Trusted-Platform-Module- (TPM)-2.0-Chip. Schätzungen zufolge erfüllen rund 30– 40 % aller PCs/Laptops diese Bedingungen nicht. Auf der Microsoft-Website heißt es hierzu: „Wenn Ihr Gerät diese Anforderungen nicht erfüllt, können Sie Windows 11 möglicherweise nicht auf Ihrem Gerät installieren. Versuchen Sie es stattdessen mit einem neuen PC.“
Der Austausch von PCs und Laptops ist sicherlich noch ein vergleichsweise „kleines Problem“ – problematischer ist es, wenn eine Schlüsseltechnologie angreifbar wird: Mitte dieses Jahres gelang es einer chinesischen Hackergruppe, einen Masterkey von Microsoft zu stehlen, mit dem sie – bildlich gesprochen – erfolgreich Nachschlüssel für Azure, Outlook.com und Windows 365 anfertigen konnten [10]. Zwar gab es gewisse Gegenmaßnahmen und eine anfangs sehr zögerliche Kommunikation zu dem Incident seitens Microsoft, dennoch ist der Vertrauensverlust in diese heute nicht mehr wegzudenkenden Schlüsseldienste erschüttert. Hinzu kam, dass die Erkennung und Behebung eines firmenspezifischen Incidents nur durch die Kombination von zusätzlich bei Microsoft buchbaren Schutz- beziehungsweise Analysemaßnahmen sowie Anweisungen für das firmeneigene Security-Incident-und-Event-Management (SIEM) bestanden – beides ist mit hohen Kosten und erheblichem Aufwand verbunden.
Organisatorisches Schwachstellenmanagement
Weitere nennenswerte Vorfälle – zu nicht ganz so bedeutenden Anwendungen – waren 2023 unter anderem Schwachstellen bei der Verarbeitung des (Browser-)Grafikformats WebP mit einer Kritikalität von 10/10 und im Archivprogramm WinRAR, die jedoch vermutlich nicht nur dieses Tool betrifft, sondern auch etwa 400 weitere Programme.
Wer ist in einer Organisation eigentlich zuständig für Informationen zu Schwachstellen und deren Behebung? Betrachtet man die WinRAR-Schwachstelle: Angenommen ein Security-Experte im Unternehmen liest täglich die News und findet entsprechende Hinweise. Versteht er aber wirklich, ob und wo die 400 potenziell betroffenen Programme in seiner Firma möglicherweise eingesetzt sind? Werden die tatsächlich alle zentral von einer IT-Einheit betreut? Oder gibt es Bereiche, die sich etwa selbst administrieren oder Schatten-IT akzeptieren?
Schwachstellenmanagement ist dabei bereits aufgrund der verbreiteten Nutzung von Softwarebibliotheken und intransparenten Supply-Chains eine reale Herausforderung für jede IT-(Security)-Abteilung.
Updates und Patches sind auch sonst ein interessantes Phänomen. Apple präsentierte circa 2015 eine 17.000 US-$ teure AppleWatch in Gold – vor Kurzem wurde nun der Support für das OS dieser Uhr eingestellt. Das bedeutet aber auch, dass im Rahmen der Apple Policy diese teure Edition einer Uhr nicht mehr in Fachgeschäften repariert wird. Natürlich haben Firmen nicht standardmäßig solche Uhren im Portfolio für die Ausrüstung von Mitarbeitern – aber es ist dennoch ein gutes Beispiel für den plötzlich (oder vielleicht auch angekündigterweise) eingestellten Support für ein System. Für kostspielige Folgen ist es letztlich egal, ob wenige sehr hochpreisige oder viele weniger teure Dinge betroffen sind. Es kann zudem auch sein, dass ein Update ganz andere Probleme mit sich bringt: So zeigen einige Android-Smartphones seit Kurzem (was auf einen Patch schließen lässt) die Google-(Such-)App irrtümlich als Virus an.
Neue Besen machen Arbeit
Herausforderungen für IT-Security-Abteilungen sind quasi in jeder neuen Technologie zu finden. Egal ob es sich um eine sehr spezielle Anwendung der Personalabteilung handelt oder das elektronische Anwaltspostfach der Hausjuristen – es gibt immer eine neue Software, Verfahrensweise oder auch nur Idee, die dem CISO die Tränen in die Augen treibt und mit der er sich bisher noch nicht beschäftigt hat.
So bieten die Deutsche Post und DHL seit Kurzem eine „digitale Briefmarke“ mit NFT-Zertifikat an (für ca. 10 € statt 1,60 €). Der Autor behauptet mal keck, dass sich die meisten CISOs, wenn sie nicht privat darin investieren (z. B. in die NFT-Sammelbildkarten von Donald Trump zu je 100 US-$ das Stück?), nie mit Kryptowährungen und Non-Fungible-Tokens (NFT) beschäftigt haben. Vermutlich könnte man mehrere Menschen aus der Security-Abteilung über Monate hinweg nur auf dieses Thema ansetzen, um es wirklich zu durchdringen. Als wäre das nicht genug, gab es kürzlich eine Analyse, in der 70 000 NFT-Kunstsammlungen analysiert wurden [11]: 95 % davon haben demnach inzwischen einen Wert von exakt 0 €.
Daraus könnte man die böse Frage ableiten: Wenn nun der Manager einer Firma beschließt, NFTs herauszugeben, und der CISO beginnt, sich einzulesen – was soll er tun, wenn er sieht, dass hier in ein nutzloses Hypewort investiert wird? Sind wirklich nur „Confidentiality, Integrity, and Availability“ sein Job? Oder sollte er nicht doch versuchen, Schaden abzuwenden, auch wenn die Umstände nicht wirklich Teil seiner Jobbeschreibung sind? Der Autor selbst war zumindest immer ein CISO mit Leib und Seele, der auch über den eigenen Tellerrand hinausgehende Gefahren (z. B. Klimaänderungen mit langfristigen Standortgefährdungen) von seinen Arbeitgebern abwenden wollte – aber das ist eine Frage der Philosophie.
Künstliche Intelligenz
Ein weiteres großes Thema ist die künstliche Intelligenz (KI). Hier kommen verschiedene Aspekte ins Spiel, wie beispielsweise die Verantwortung für die Entscheidung eines Algorithmus. Wenn ein selbstfahrendes Auto „entscheiden muss“, ob es ein Kind überfährt oder lieber einen Unfall mit einem anderen Auto verursacht: Trägt das Auto die „Schuld“? die Herstellerfirma? der Programmierer? (vgl. [12]) Ein Unterpunkt ist auch die Verlässlichkeit der Aussagen einer KI: So nutzte unlängst ein Anwalt in den USA ChatGPT, um Präzedenzfälle suchen zu lassen – vor Gericht stellte sich dann heraus, dass der Chatbot alle Fälle erfunden hatte [13].
Ein weiterer Aspekt der Cybersecurity – Stichwort „Integrität der Daten“ – ist ein Projekt, die Suche in Datenbanken an natürliche Sprache anzupassen, die eine KI in SQL-Befehle umsetzt. Derzeit liegt die Trefferquote der KI bei 60–70 %, was laut einem Manager von Oracle ein sehr guter Wert ist, der kaum noch zu steigern sei [14].
Neben falsch funktionierenden Algorithmen und „vergifteten“ Datensätzen (vgl. [15]) lässt sich KI auch nutzen, um vorsätzlich falsche Informationen zu generieren (Deep Fakes, z. B. Fotos oder Videos) – oder auch zur Erzeugung sehr gut gemachter Phishing-Mails (die z. B. Bezug auf den Linkedin-Eintrag des Mailempfängers nehmen) oder sogar Ransomware [16].
Gerade Falschnachrichten dürften bald schon zu einem echten Problem werden, prophezeit der Autor: Derzeit hat beispielsweise der beliebteste TikTok-Influencer 52 Millionen Follower – das ist etwa das Fünffache der auflagenstärksten Zeitung der Welt (Yomiuri Shinbun in Japan). Man vermag nicht zu erdenken, welchen Einfluss und welche Marktmacht dieser Influencer (oder sein gekaperter Account) auch für negative Zwecke hätte, wenn er Deep Fakes auf seinem TikTok-Auftritt verteilen würde. Donald Trump brachte schließlich – ganz ohne Deep Fakes, nur mit der Macht seiner Worte und falschen Behauptungen – vor zwei Jahren tausende Menschen dazu, das US-Kapitol zu stürmen. Hier schließt sich dann auch wieder der Bogen zur derzeitigen Geopolitik.
Auch die (europäische) Gesetzgebung hat die KI auf dem Schirm. Derzeit wird eine EU-Verordnung geplant, die den Einsatz von KI stark reglementiert [17]. Gleichzeitig stürzen sich viele Unternehmen in die Welt der KI, um zum Vorreiter zu werden und marktwirtschaftliche Vorteile zu genießen. Wer sollte hierbei der Rufer in der Wüste sein? Vielleicht die Security-Abteilung? Das müssen Sie entscheiden!
Fazit
Security befindet sich momentan im Umbruch: Ein „über Nacht“ aufkommendes Gesetz, wie vielleicht die englische Online Security Bill, kann ganze Standorte beeinflussen oder gar dichtmachen. Zunehmend versagt Schlüsseltechnologie, die überall im Einsatz ist. Parallel dazu kommen in immer kürzeren Abständen völlig neue Technologien auf den Markt (z. B. Elon Musks Neurolink Gehirn-Maschinen-Interface), deren Auswirkungsanalyse länger dauert als die Entwicklung zur Marktreife! Geopolitisch prägen derzeit zwei Kriege mit allen daraus resultierenden Auswirkungen die Welt.
In den letzten zwei Jahrzehnten hat die Cybersecurity an Bedeutung gewonnen – in den vergangenen zwei Jahren stieg diese Änderung nochmals exponentiell an. Wichtige Themen drohen nun aber an der IT-Security vorbeizugehen, weil man nicht mehr die Zeit hat, um sie zu verfolgen – oder weil man bestimmte Dinge gar nicht auf den Schirm hat.
Was lässt sich tun? Die Ratschläge aus seinem Beitrag von Ende 2021 [1] möchte der Autor hier erweitern: Der erste Schritt ist, die Security-Abteilungen drastisch zu erweitern. Dies kann nur gelingen durch die Kombination von sinnvoller Bezahlung und neu erwecktem Appetit auf die Cybersecurity (die traditionell unsexy wirkt) – und vielleicht verstärkten Anstrengungen, um selbst Fachkräfte auszubilden oder ihre Ausbildung zu fördern.
Zweitens muss sich jede Organisation die Zeit und Fachkompetenz nehmen, sich zu fragen, welche der vier Bereiche, die hier aufgeführt wurden, für sie von Interesse sind. Möglicherweise ist die Geopolitik für einen lokalen Marmeladenhersteller nicht so wichtig wie für eine international agierende (und im Nahen Osten vertretene?) Firma? Priorisieren Sie daher diese Themengebiete für Ihr Unternehmen!
Drittens: Überlegen Sie, ob die IT-Security nur Vertraulichkeit und Integrität von Information sowie die Verfügbarkeit von Diensten bedient oder umfassender aufgestellt sein soll. Der Autor hat in seiner Ausbildung zum CISO gelernt, dass Security das sogenannte TAHOI-Prinzip umfasst: alle Auswirkungen aus den Bereichen Technical Failure, Acts of God (Naturkatastrophen), Human Error, Organisational Error und Intentional Act (Vorsatz). Aus Sicht des Autors trifft TAHOI auf alle hier genannten Beispiele zu!
Viertens (und nur halbwegs ernst gemeint): Wählen Sie einen CISO, der Science-Fiction mag, denn alles von der lügenden KI bis zur Gehirnschnittstelle wurde da schon vor langer Zeit ausgearbeitet.
Letztlich lässt sich nur durch energisches Gegensteuern verhindern, dass die im Eingangszitat erwähnten „interessanten Zeiten“ statt einer spannenden, aber zu bewältigenden Herausforderung zu einem kaum beherrschbaren Fluch werden.
Dr. Sebastian Broecker war lange Jahre als CISO tätig und arbeitet derzeit als freiberuflicher Autor und Referent.
Literatur
[1] Dr. Sebastian Broecker, That`s not my job?!, Wo liegen die Grenzen der Security? Wie kann man der Flut von ausufernden Aufgaben begegnen?, <kes> 2021#6, S. 6
[2] Julian Rodemann, Wenn Obama plötzlich ein Weißer ist, Süddeutsche Zeitung, Juli 2020, www.sueddeutsche.de/wissen/ki-rassismus-obama-1.4962340
[3] Nils Metzger, Elon Musk in der Kritik: Nahost-Konflikt wird Desinformations-Desaster, ZDF Nachrichten, Oktober 2023, www.zdf.de/nachrichten/politik/elon-muskfalschinformation-propaganda-hamas-israel-100.html
[4] pbe/AFP, Der Krieg in sozialen Medien, TikTok löscht eine halbe Million Videos binnen einer Woche, Spiegel Netzwelt, Oktober 2023, www.spiegel.de/netzwelt/apps/hamas-und-israel-tiktok-loescht-eine-halbe-millionvideos-binnen-einer-woche-a-50d9d59b-f5d0-47f6-a4f5-d793bd34b392
[5] Achim Sawall, Sicherheitspolitiker wollen Deutscher Bahn Technik verbieten, golem.de, Oktober 2023, www.golem.de/news/huawei-sicherheitspolitik-will-deutscherbahn-technik-verbieten-2310-178161.html
[6] John Woodhouse, Lorraine Conway, Sally Lipscombe, Online Safety Bill: progress of the Bill, UK Parliament Research Briefing, Oktober 2023, https://commonslibrary.parliament.uk/research-briefings/cbp-9579/
[7] Benjamin Günther, „Online Safety Bill“-Irrsinn: Nicht nur Verschlüsselung, sondern auch Sicherheitsupdates in Gefahr, MacTechNews, August 2023, www.mactechnews.de/news/article/UK-Online-Safety-Bill-Nicht-nur-Verschluesselung-sondern-auch-Sicherheitsupdates-in-Gefahr-183185.html
[8] Ioannis Kouvakas, Changes to UK Surveillance Regime May Violate International Law, Just Security, August 2023, www.justsecurity.org/87615/changes-to-uk-surveillanceregime-may-violate-international-law/
[9] Sian Hewitt, Online Safety Bill: Legislation to stop harmful social media content becomes law, The Standard, Oktober 2023, www.standard.co.uk/news/uk/online-safety-bill-government-whatsapp-internet-socialmedia-b1043431.html
[10] Jürgen Schmidt, Microsofts gestohlener Schlüssel mächtiger als vermutet, heise Security, Juli 2023, https://heise.de/-9224640
[11] jga/dpa, Digitale Kunst – fast alle NFTs sind wertlos, ntv, September 2023, www.n-tv.de/wirtschaft/Digitale-Kunst-fast-alle-NFTs-sind-wertlos-article24415805.html
[12] Georg Borges, Haftung für KI, Ein Überblick über aktuelle und zukünftige Regelungen, <kes> 2023#3, S. 70
[13] Tilman Wittenhorst, ChatGPT erfindet Gerichtsurteile – US-Anwalt fällt darauf herein, heise online, Mai 2023, https://heise.de/-9068180
[14] Harald Weiss, Oracle-Datenbank 23c ist da: SQLAbfragen in natürlicher Sprache, iX online, September 2023, https://heise.de/-9317378
[15] Mirko Ross, Bessere Cybersicherheit für KI, <kes> 2022#3, S. 64
[16] Olaf Pursche, Maik Morgenstern, Super-Malware oder überschätztes Risiko?, Schadprogramme aus der Feder „künstlicher Intelligenz“, <kes> 2023#3, S. 63
[17] European Parliament, EU AI Act: first regulation on artificial intelligence, Juni 2023, www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/