kurz notiert

Manipulierte Bilder, Videos und Sprachausgaben sind nach Einschätzung des BSI Risiken, denen mit geeigneten Vorsichtsmaßnahmen begegnet werden sollte. So kann zum Beispiel die Authentizität von Texten und Nachrichten durch Verschlüsselungsverfahren nachgewiesen werden, mit denen man ihre Urheberschaft technisch belegen kann. Von besonderer Bedeutung ist die Aufklärung der Nutzer:innen über die Fähigkeiten künstlicher Intelligenz. Durch die sprachlich oftmals fehlerfreie Textgenerierung entsteht häufig der Eindruck eines menschenähnlichen Leistungsvermögens und damit ein zu großes Vertrauen in die KI-generierten Inhalte. Dafür zu sensibilisieren ist eine wichtige Maßnahme. Eine entsprechende Handreichung für Verbraucher:innen wird das BSI in Kürze veröffentlichen.

Unternehmen oder Behörden, die über die Integration von LLMs in ihre Arbeitsabläufe nachdenken, sollten darüber hinaus eine Risikoanalyse für ihren konkreten Anwendungsfall durchführen und die im Positionspapier genannten Risiken dahingehend evaluieren, ob diese für ihre Arbeitsabläufe eine Gefahr darstellen. Darauf aufbauend sollten existierende Sicherheitsmaßnahmen angepasst werden. Grundsätzlich sollten KI-Sprachmodelle aus Sicht des BSI derzeit als Werkzeuge betrachtet werden, deren Ergebnisse, etwa bei der Erstellung von Programmcode oder Texten, durch eine menschliche Intelligenz überprüft werden sollten.

Internationale Cyber-Sicherheitsbehörden fordern sichere IT-Produkte

Qualitätsmängel in Soft- und Hardware-Produkten erhöhen die Angriffsfläche für Cyber-Kriminelle und gefährden damit ganze IT-Infrastrukturen. Das BSI appelliert daher an die Hersteller von IT-Produkten, Sicherheitsaspekte bereits bei der Entwicklung stärker zu berücksichtigen und die Geräte in einer sicheren Konfiguration auszuliefern. Gemeinsam mit seinen Partnerbehörden in den USA (CISA), Kanada (CCCS), Großbritannien (NCSC UK), den Niederlanden (NCSC NL), Australien (ACSC) und Neuseeland (CERT-NZ) hat das BSI daher Mitte April Empfehlungen an IT-Hersteller veröffentlicht, die Grundsätze „Security by Design“ und „Security by Default“ stärker in ihre Produktentwicklung zu implementieren, und gibt Hinweise zur Umsetzung.

Dr. Gerhard Schabhüser, Vizepräsident des BSI: „Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft. Das BSI fordert daher die Hersteller auf, IT-Sicherheit von Anfang mitzudenken und es den Anwenderinnen und Anwendern durch eine sichere Vorkonfiguration so einfach wie möglich zu machen, ihre Produkte sicher zu nutzen.“

Die via www.cisa.gov/resources-tools/resources/secure-by-design-and-default verfügbare Handreichung richtet sich an Hersteller von IT-Produkten und zeigt anhand konkreter Beispiele auf, wie wichtig ein hoher Stellenwert der IT-Sicherheit bei der Entwicklung und Auslieferung der Produkte ist. Daneben fordern die Cyber-Sicherheitsbehörden auch, dass die sicherheitsrelevanten Produkteigenschaften für Verbraucher:innen erkennbar und verständlich sein sollen. In Deutschland steht dazu das IT-Sicherheitskennzeichen des BSI zur Verfügung, das entsprechende Orientierung bietet. Mit dem Cyber-Resilience-Act stellt zudem auch die Europäische Union die Cyber-Sicherheit von IT-Produkten über ihren gesamten Lebenszyklus in den Mittelpunkt der aktuellen Gesetzgebung.

Die gemeinsame internationale Veröffentlichung verdeutlicht aus Sicht des BSI, dass Fragen der IT-Sicherheit nur im Verbund mit gleichgesinnten internationalen Partnern gelöst werden können. Sie unterstreicht zudem die Bedeutung des Themas und den dringenden Handlungsbedarf.

Technische Richtlinie Servicekonten veröffentlicht

Das BSI hat nach erfolgreicher Pilotierungsphase des „Föderierten Identitätsmanagements Interoperable Nutzerkonten in Deutschland“ (FINK) die zugehörige Technische Richtlinie TR-03160 „Servicekonten“ zur Anwendung durch Bund und Länder veröffentlicht.

Die Interoperabilität der Nutzerkonten ermöglicht die deutschlandweite Authentifizierung von natürlichen Personen durch den Austausch von Authentifizierungsinformationen zwischen Nutzerkonten des Bundes, der Länder sowie deren Postfächern. Hierdurch können Verwaltungsleistungen des Bundes und der Länder mit jedem Nutzerkonto in Anspruch genommen und Bescheide zugestellt werden. Der Austausch der Daten erfolgt unter Zustimmung der Nutzer:innen.

Zu den Verwaltungsleistungen, die nach dem Online-Zugangsgesetz online bereitgestellt werden, zählen zum Beispiel BAföG Digital und Elterngeld Digital. Mit einem Nutzerkonto des Bundes oder eines der Länder können sich Nutzer:innen sicher dort anmelden.

In ihren ersten beiden Teilen behandelt die technische Richtlinie die Identifizierung und Authentisierung sowie das interoperable Identitätsmanagement von Bürgerkonten. Weitere Teile der technischen Richtlinie werden derzeit erarbeitet und befassen sich unter anderem mit dem interoperablen Identitätsmanagement für Postfächer.

Nutzer:innen werden sicher gegenüber Online-Diensten und Fachverfahren auf dem erforderlichen Vertrauensniveau identifiziert und die Authentizität ihrer Daten wird gewährleistet, wenn die Nutzerkonten von Bund und Ländern die Technische Richtlinie TR-03160 einhalten, die auf www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03160/tr-03160.html verfügbar ist.