Prof. Dr. Hannes Lubich
Prof. Dr. Hannes Lubich, Jahrgang 1961, arbeitet seit 2009 als Professor für Informatik im Institut für Mobile und Verteilte Systeme der Hochschule für Technik an der Fachhochschule Nordwestschweiz (FHNW) in Brugg-Windisch. Er hat während 10 Jahren an der ETH geforscht und hat nebst vielem mehr das Schweizerische Hochschulnetz (SWITCH) und dessen Sicherheitszentrum (SWITCH-CERT) mit aufgebaut. Hannes Lubich ist Alumnus des IMD in Lausanne und der Wharton School of Management (Philadelphia). Er war 7 Jahre Chief Information Security Officer (CISO) der Bank Julius Bär und ist heute Berater für IT-Systeme, Netzwerke und IT-Sicherheit. Im Interview mit Xecutives.net nimmt Prof. Dr. Hannes Lubich Stellung zu generellen Fragen zur Sicherheit bei der Nutzung von IT. Er zeigt auf, wie er selber IT nutzt, wo Gefahren lauern und wie man sich auch als Durchschnittsmensch vor Angriffen und Eingriffen auf eigene Daten schützen kann. Er zeigt auf, was KMU in Sachen Sicherheit beachten sollten, Unternehmen, die in Bezug auf IT oft nur mit wenig Kapazitäten arbeiten müssen. Lubich stellt in Bezug auf den Umgang mit persönlichen Daten fest, dass wir heute einerseits eher sorglos mit mobilen Geräten/Apps für sehr verbindliche sowie kritische Anwendungen und den damit verbundenen Datenfreigaben umgehen, dass wir aber andererseits auch immer mehr dem wachsenden Interesse und Datenhunger von informationsverarbeitenden Firmen, Aufklärungsdiensten und Kriminellen, in einer zunehmend komplexen und intransparenten IT-Welt, ausgesetzt sind.
Xecutives.net: Herr Lubich, Sie haben während 10 Jahren an der ETH geforscht, waren Dozent, haben das Schweizerische Hochschulnetz (SWITCH) und dessen Sicherheitszentrum (SWITCH-CERT) mit aufgebaut, waren 7 Jahre Chief Information Security Officer (CISO) der Bank Julius Bär, als Berater für namhafte Firmen tätig und lehren heute als Professor an der FHNW. Das alles kann man über Sie im Internet erfahren. Daneben gibt es einige Bilder von Ihnen, ein paar Videos, Fachbeiträge, Referenzen von Firmen. Wenn man Sie «googelt», findet man vor allem berufliches und auch einen Verweis: »Some results may have been removed under data protection law in Europe». Kontrollieren Sie Ihren informationellen „Fussabdruck“ im Internet aktiv?
Prof. Dr. Hannes Lubich: Ja, durchaus – ich nutze automatisierte Suchfunktionen, um eine gewisse Kontrolle darüber auszuüben, was über mich im Internet publiziert wird. Nicht immer ist dann eine Löschung oder Korrektur möglich, aber in vielen Fällen funktioniert dies durchaus. Zudem achte ich darauf, welche Informationen ich über mich und mein Umfeld überhaupt preisgebe.
Xecutives.net: Man sagt, Sie hätten kein Smartphone. Was sind die Gründe hierfür?
Prof. Dr. Hannes Lubich: Ich nutze in der Tat seit geraumer Zeit ein „Feature Phone“, also ein Telefon, mit dem man eben nur telefonieren und SMS senden und empfangen kann. Allerdings wird dieses Telefon obsolet werden, sobald mein Schweizer Provider die alte Dualband-Technologie deaktiviert. Daneben besitze ich für bestimmte Anwendungsfälle ein Smartphone, jedoch keines der gängigen Hersteller, um die Wahrscheinlichkeit eines Angriffs zu reduzieren. Über dieses Gerät nutze ich aber keine geschäftlich oder privat sensitiven Funktionen.
Xecutives.net: Und nutzen Sie selber soziale Netzwerke wie etwa Xing, Facebook oder LinkedIn?
Prof. Dr. Hannes Lubich: Ich nutze Xing bereits seit 2004 und habe sogar noch eine vierstellige Mitgliedsnummer. In Xing verwalte ich meinen Lebenslauf, diskutiere in einigen moderierten oder geschlossenen Benutzergruppen mit und verwalte meine geschäftlichen Kontakte, solange dadurch keine vertraulichen Informationen ausgetauscht oder gespeichert werden. Ich verzichte hingegen auf alle anderen Social Media-Plattformen, da sie weder für mich relevante Funktionen haben, die Xing nicht abdeckt, noch irgendeinen anderen für mich erkennbaren Mehrwert schaffen. Jedoch untersuche ich andere Social Media-Plattformen mit Hilfe von Pseudonymen und schaue, ob dort durch Dritte Informationen über mich publiziert werden.
Xecutives.net: Zur Zeit der Fichen-Affäre ging man wegen persönlichen Daten noch auf die Barrikaden. Heute sind über viele Menschen mehr Daten übers Internet zugänglich als man in Fichen finden kann. Wie erklären Sie sich diesen fast schon saloppen Umgang mit persönlichen Daten im Netz, über die man selber stolpern kann und die schliesslich für viele Zwecke, vor allem für wirtschaftliche und auch politische Zwecke, genutzt werden, wie das auch die politischen Vorgänge in der Türkei schön gezeigt haben, um nur ein Beispiel zu nennen?
Prof. Dr. Hannes Lubich: Hier sind mehrere Faktoren im Spiel: erstens ist für uns oft nicht transparent genug, welche Daten und welche sich daraus erzeugbaren Meta-Daten über uns vorhanden sind und täglich neu erzeugt werden. Wer liest schon aufwändig erstellte AGBs von Dienstanbietern so genau, um diese Frage jederzeit präzise beantworten zu können?! Zweitens besteht eine erhebliche Asymmetrie des Wissens, der Ressourcen und der Innovationskraft zwischen den Organisationen, die Geld mit unseren Daten verdienen, und den betroffenen Einzelpersonen. Diese Organisationen sind zudem im Unterschied zur Fichen-Affäre nicht mehr staatliche Einrichtungen in einem klar definierten rechtlichen Umfeld, sondern sehr grosse Quasi-Monopolisten in einem internationalen Kontext. Drittens werden wir durch Komfort, Zusatzdienste und das Versprechen einer Vergütung oder Vorzugsbehandlung regelrecht von Kindesbeinen an dazu verführt, unsere Daten in Abonnementen, Loyalitätsprogrammen und anderen Mitgliedschaften preiszugeben. Schliesslich haben wir viertens oft den Eindruck, man habe ja nichts zu verbergen und der Schutz der Privatsphäre sei daher nicht relevant. Dies ist jedoch ein gefährlicher Trugschluss, wenn ich nicht weiss, welche Daten in welcher Qualität wann durch wen zu welchem Zweck mit anderen Daten verbunden und ausgewertet werden.
Xecutives.net: Der Gesetzgeber hinkt auch hier, ähnlich wie in Bezug auf Blockchain, ein Thema, auf das ich Sie noch ansprechen möchte, offenbar immer ein paar Jahre hinterher. Die Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 gilt, ist ein Versuch, dieses Problem wenigstens ein wenig in den Griff zu bekommen. Das Ausarbeiten und Erlassen von Gesetzen ist aber ein langwieriger Prozess. Bis ein Gesetz erlassen wird, hat sich die technische Welt schon wieder verändert. Wie nehmen Sie diese Spannungen zwischen Regulierungen und neuen Technologien wahr?
Prof. Dr. Hannes Lubich: Das Recht war bisher traditionell immer nachvollziehend. Es wurden in der Menschheitsgeschichte immer wieder neue und durchaus invasive Technologien eingeführt. Die Gesellschaft brauchte dann einige Zeit, um ihre Normen anzupassen und u.a. festzustellen, was der gesetzlichen Regelung bedarf, um den immer möglichen Missbrauch zumindest einzudämmen und auf ein akzeptables Mass zu reduzieren. Hatte die Gesellschaft jedoch früher mehrere Generationen Zeit für diese Adaption der Kultur und Nutzungsregeln (Beispiele: Buchdruck, Automobil, Radio, Telefonie, Fernsehen), geschieht dies heute so rasch, dass sich der nötige gesellschaftliche Konsens und seine Ausprägung in den Rechtsnormen kaum noch bilden kann. Zudem reicht ein Gesetz in der heutigen komplexen Welt nicht mehr aus, um ausreichende Rechtssicherheit zu erlangen. Wir benötigen einerseits nachgelagerte Ausführungsvorschriften wie Verordnungen und andererseits eine richterliche Auslegung in einem entsprechenden Gerichtsverfahren durch mehrere Instanzen, bis klar ist, welche Interpretation des Rechts nun wirklich gilt. Addiert man zu dieser Problematik den immer rascheren technologischen Wandel sowie die Problematik der zunehmenden internationalen Vernetzung von Systemen und Anwendungen, mit allen nachgeordneten Fragen der Anwendbarkeit, mit nach wie vor starken nationalen Rechtsordnungen und nationaler Strafverfolgung, wird klar, dass sich diese Problematik künftig weiter verschärfen wird.
Xecutives.net: An Unternehmen in der Schweiz und in Europa werden heute grosse Anforderungen in Sachen Datenschutz gestellt. Was ist Ihre Erwartung in Bezug auf deren Verantwortung, wenn es um unsere Daten und deren Sicherheit geht?
Prof. Dr. Hannes Lubich: Diese Firmen haben gegenüber Einzelpersonen eine stark erweiterte Verantwortung, da sie einerseits die Daten vieler Individuen verwalten und nutzen, oder diese in einem Schadenfall verlieren oder preisgeben. Andererseits müssen sie aufgrund ihrer Aufbau- und Ablauforganisationen in der Lage sein, die zu Recht geltenden Auflagen bezüglich Datensicherheit und Datenschutz einzuhalten – sowohl zum Schutz der ihnen anvertrauten Daten, als auch im Sinne der Wahrung eines Wettbewerbsvorteils gegenüber ihren Mitbewerbern. Schliesslich muss man sich auch vor Augen führen, dass Daten in diesem Kontext eine eigentliche „Währung“ im Rahmen eines expliziten oder impliziten Vertrags sind. Der Nutzer stellt seine Daten zu einer zuvor vereinbarten Art der Nutzung zur Verfügung. Dafür muss der Dienstanbieter und Datennutzer gewährleiten, dass diese Daten mit zumutbarem Aufwand vor missbräuchlicher Verwendung, Weitergabe, Verfälschung usw. geschützt sind. Geht ein Dienstanbieter mit so grosser Flächendeckung wie Facebook derart unvorsichtig mit den anvertrauten Daten um, wie dies jüngst bekannt wurde, ist durchaus nachvollziehbar, wenn die Betroffenen, aber auch die Politik, hier Fragen zur Wahrnehmung der nötigen Sorgfaltspflicht stellen.
Xecutives.net: Sind Daten einmal im Netz, dann ist es oft schwierig, diese wieder vom Netz zu bekommen. Der Löschprozess in sozialen Netzwerken ist oft kompliziert und auch wer löscht, sieht dann doch immer wieder seine Daten irgendwo kursieren. Daraus hat sich heute ein eigenes Business Modell entwickelt, „Webhygiene“, das dem Reputation Management zugeordnet werden darf. Können Sie den Prozess erläutern, mit dem man Einträge löschen lassen kann und was hierbei die Probleme und Herausforderungen sind?
Prof. Dr. Hannes Lubich: Das Löschen von Daten ist in vielen Rechtskontexten als Teil des Datenschutzgesetzes durchaus verankert. Das Problem ist einerseits der Aufwand, bei jedem Halter einer Kopie dieser Daten in seinem Rechtskontext die Löschung zu veranlassen und zu beweisen, dass man zu dieser Handlung ermächtigt ist. Andererseits kann es Datenhalter geben, die bewusst oder zufällig in Ländern operieren, welche keine entsprechenden Datenschutzgesetze haben oder umsetzen. Daher hat sich im schnelllebigen Internet rasch eine eigene kleine „Industrie“ gebildet, die mit Vollmacht eines Betroffenen versucht, diese Löschungen zu veranlassen. Eine Garantie für den Erfolg gibt es dabei jedoch nicht und der zeitliche und finanzielle Aufwand ist nicht unerheblich. Schliesslich gibt es auch hier wieder das Problem der „Meta-Daten“, die aus einer ggf. nur temporären Korrelation von Datensätzen neu entstehen. Wem gehören nun diese Daten, wer kann und darf sie nutzen, weitergeben usw.? Das muss bei Bedarf im Einzelfall geklärt werden, wobei zu beachten ist, dass permanent neue Datenquellen entstehen. Jüngstes Beispiel ist das eCall-Notrufsystem in Neufahrzeugen, welches Daten über das Fahrzeug (und damit implizit über den Lenker oder die Lenkerin) erzeugt und bei Bedarf an den Hersteller oder eine Notrufzentrale übermittelt. Weitere Beispiele sind Fitness-Tracker und andere mobile Geräte mit Datensammlungs- und Kommunikationsfähigkeiten.
Xecutives.net: Ein guter Kollege und CIO erklärte mir vor kurzem seine „Heimtechnik-Sicherheitsinstrumente“, die der einer Bank ähnlich oder gar besser sind. Das bekommen jedoch am Computer technisch nur Menschen hin, die hierfür ein sehr grosses Verständnis haben. Das Netz ist voll von Beispielen, wie sich Hacker mit einfachsten Mitteln (sog. «Social Engineering») Zugang zu meinen Daten verschaffen können (siehe z.B. https://www.youtube.com/watch?v=lc7scxvKQOo). Wie kann ich mich als Nichtspezialist am einfachsten gegen solche Machenschaften schützen?
Prof. Dr. Hannes Lubich: Es stimmt, dass wir Informatiker noch am ehesten in der Lage sind, und auch sein sollten, unsere eigenen Systeme und Infrastrukturen ausreichend zu schützen. Ob dies immer und überall der Fall ist, bezweifle ich jedoch. Allerdings bezahlen wir für diesen gegenüber dem „Durchschnitt“ besseren Schutz. Zu denken gilt es an die Beschaffungskosten der entsprechenden Hilfsmittel und an die zeitintensiven und erheblichen Wartungsaufwände. Dazu kommen durchaus auch Einbussen bei der Funktionalität, der Einfachheit der Benutzung und der Leistungsfähigkeit der Systeme. Beschäftigt man sich wie ich mit Risiko-Management, Informationssicherheit usw., sind diese Aufwände noch höher, einerseits, weil man mehr über mögliche Angriffswege weiss und auch durchaus zum Opfer gezielter Angriffe werden kann, andererseits, weil man bei bekanntwerdenden Datenverlusten auch eher einen entsprechend hohen Image-Schaden erleiden kann.
Xecutives.net: Eltern und Lehrpersonen treibt die Frage um, was sie ihren Kindern beibringen müssen, damit sie sicher mit den neuen Technologien umzugehen lernen. Was empfehlen Sie Eltern, die in der Regel auch keine IT-Experten, aber Nutzer neuer Technologien sind?
Prof. Dr. Hannes Lubich: Die heutige Elterngeneration gehört oft noch der Gruppe der digitalen „Immigranten“ an, die das Internet und die darauf basierenden Anwendungen und Geräte erst als Erwachsene kennengelernt haben. Die Kinder gehören jedoch zur ersten oder zweiten Generation der „digital natives“, die mit diesen Technologien aufgewachsen sind, sie also bedienen können und einfach voraussetzen, dass das Internet (im Sinne eines „Grundrechts“) vorhanden ist und alle Dienste über ein Smartphone erreichbar sind. Einerseits gilt hier, dass diese Eltern ihren Kindern in diesem Bereich wenig beibringen können oder sogar weniger wissen, als ihre Kinder, was jedoch sinngemäss wohl für alle Eltern und ihre Kinder in allen Generationen zutrifft, zusätzlich noch zum Phänomen, dass Kinder den wohlmeinenden Ratschlägen ihrer Eltern meist nur begrenzte Aufmerksamkeit schenken.
Andererseits hat die jeweils „junge“ Generation meist noch ein sehr schwach ausgeprägtes Risikobewusstsein, da ihnen möglicherweise noch nichts „passiert“ ist und weil sie meinen, noch wenig zu verteidigen oder zu verlieren zu haben. Für physischen Besitz, Geldwerte usw. mag dies zutreffen, für Daten, die in einem Internet, das nichts vergisst, lange Zeit sichtbar und vernetzbar sind, trifft diese Annahme jedoch nicht zu. Ein „dummes“ Bild von der Matura-Feier kann dann durchaus auch 20 Jahre später noch über den Erfolg einer Bewerbung entscheiden. Hier kommt vor allem den Schulen eine besondere Verantwortung zu, diese Aspekte als Teil der „Internet Literacy“ geeignet zu vermitteln und einzuüben. Entsprechende Hilfestellungen (z.B. über die Fachstelle inmedias an der Pädagogischen Hochschule der FHNW (https://www.imedias.ch/) sind aber vorhanden und sollten systematisch genutzt werden.
Xecutives.net: Grosse Firmen haben qualifiziertes Personal, das regelmässig auch Schulungen in Sachen Sicherheit organisiert. Im KMU-Bereich ist das Bewusstsein für Bedrohungen weniger ausgeprägt, um es einmal neutral zu formulieren. Was sind die häufigsten Unterlassungen, die Ihnen in der Praxis begegnen und begegnet sind?
Prof. Dr. Hannes Lubich: In einem Land wie der Schweiz liegt ein substantieller Teil der Innovationskraft bei den KMU. Jedoch sind gerade diese Firmen gegenüber Sicherheitsproblemen besonders anfällig, einerseits, weil dort zu wenig Know-how und Bereitschaft zur durchaus mühsamen und aufwändigen Auseinandersetzung mit diesen Themen in den Firmenleitungen besteht, andererseits, weil das dort nach einem erfolgreichen Angriff illegal abfliessende geistige Eigentum rasch zu so grossen wirtschaftlichen Verlusten und rechtlichen Konsequenzen führen kann, so dass das KMU im Gegensatz zu einem Grossunternehmen in seiner Existenz unmittelbar bedroht ist.
Dennoch ist festzuhalten, dass das Datenschutzgesetz, die Einhaltung der nötigen Sorgfaltspflichten, die Einrichtung und Aufrechterhaltung der nötigen Governance und Compliance usw. nicht optimal sind, sondern auf gesetzlichen Verpflichtungen beruhen. Hier liegt der Ball einerseits bei den Firmenleitungen und Verwaltungsräten, dies einzufordern und zu überwachen, andererseits muss die Firmenkultur und Führung ausreichend auf die richtige Balance zwischen Risikoabwägung und Chancennutzung hinwirken. Ergänzend müssen auf Basis einer zyklisch zu wiederholenden Risikoeinschätzung und nachgelagerten Tests und Übungen dann technische, organisatorische, rechtliche und vertragliche Massnahmen getroffen und überwacht werden, um das Risiko-Niveau auf einem zuvor als angemessen definierten Stand zu halten. Darüber hinaus muss das Unternehmen neben dieser Risikoprävention zur Verringerung der Eintretenswahrscheinlichkeit von Schäden auch in der Lage sein, rasch und angemessen auf akute Bedrohungen im Sinne der Verringerung des Schadensausmasses zu reagieren. Für jeden dieser Teilaspekte sind auch für KMU heute sinnvolle und ausreichende Hilfsmittel, Beratungsstellen und „best practices“ verfügbar. In einem Rechtsstreit nach einem Schaden würde sich also künftig ein betroffenes Unternehmen fragen müssen, warum durchaus zumutbare und branchenübliche ICT-Schutzmassnahmen nicht getroffen wurden.
Xecutives.net: Wie sollte ein Manager, der selber vielleicht wenig IT-Erfahrung hat, Ihres Erachtens seine Führungsverantwortung in Bezug auf IT-Sicherheit wahrnehmen? Welche Fragen muss er stellen und welche Antworten muss er erhalten?
Prof. Dr. Hannes Lubich: Erstens muss sich die betroffene Person ausreichend für das Thema interessieren und auch Zeit für die eigene Weiterbildung und Information investieren, auch im Sinne des Gesamt-Risiko-Managements des Unternehmens, in dem IT-Risiken nur eine Quelle von Schäden oder Chancen darstellen. Zweitens muss sich die Führungsperson bei Bedarf Hilfe holen, vorzugsweise bevor ein Schaden auftritt. Ergibt sich aus dieser Aktivität Handlungsbedarf, muss ein umsetzbarer und im Betrieb auch realistisch aufrecht zu erhaltender Massnahmenplan definiert und realisiert werden. Schliesslich müssen alle Mitarbeitenden stufengerecht eingebunden und bezüglich Kompetenzen und Verantwortlichkeiten geschult und motiviert werden. Im Bereich der Bewusstseinsbildung kommt dem Vorleben durch das Management zudem eine grosse Bedeutung zu. Verstösst die Firmenleitung selbst gegen definierte Sicherheitsmassnahmen, macht das schlechte Beispiel rasch Schule. Gute Kommunikation, gutes Krisen-Management und die Fähigkeit zur Verbesserung durch das Lernen aus Fehlern runden dann das Gesamt-Dispositiv ab. Viele Firmen haben eigentlich bereits die dafür nötigen Instrumente, nutzen sie jedoch nicht konsequent. Schliesslich muss die Firma aber auch bereit sein, erkannte Missbräuche und Fehlverhalten nicht nur zu erkennen, sondern auch mit entsprechenden und gar unpopulären Massnahmen zu beantworten.
Xecutives.net: Blockchain ist zurzeit in aller Munde. Wenn man den Protagonisten des sog. «Crypto Valleys» glauben schenkt, existieren unsere pekuniären Mittel, das Grundpfand unseres Hauses, unsere Hypothek und unsere Altersvorsorge in Zukunft bald nur noch als sogenannte «Tokens» in digitalen Geldbörsen. Es ist schwierig einzuschätzen, wo das alles hinführt und wie es uns tangieren wird. In Anbetracht dessen, dass sich aber viele schon nicht mehr an das Passwort ihres E-Mail-Kontos erinnern können, scheint mir die ganze Angelegenheit etwas euphorisch. Wie sehen Sie die zukünftige Entwicklung?
Prof. Dr. Hannes Lubich: Hier herrscht momentan einen regelrechte „Goldgräberstimmung“, wie wir sie schon in vielen Industrien und auch in der IT erlebt haben. Neben der Nutzung von „distributed ledger“-Techniken wie Blockchain, die viele Abläufe in der Tat verändern werden, wird hier aber insbesondere im Bereich kryptologischer Währungen mit den überzogenen Erwartungshaltungen der potentiellen Nutzer viel Schindluder getrieben. Entsprechend rasch wird dieser Teil der „Blase“ auch irgendwann zu Recht platzen. Zudem mögen die Algorithmen noch so gut und sicher sein, die Programmierung, der Betrieb der zugrundeliegenden Systeme und die Neigung der Nutzer zu unsicherem Verhalten sind weiterhin wesentliche Schwachstellen, die künftig zu durchaus öffentlichkeitswirksamen Schäden und dem Ruf nach Verboten oder Regulation durch den Staat führen werden. Leider ist zu erwarten, dass dadurch auch die durchaus sinnvollen Basistechnologien zumindest temporär in Mitleidenschaft gezogen werden. Diese haben aber dennoch das Potential für eine signifikante Veränderung und Verbesserung digitaler Abläufe in Behörden, in Firmen und auch im privaten und gesellschaftlichen Umfeld. Welche Mechanismen und Anbieter sich hier in welchen Teilbereichen durchsetzen werden, ist aber derzeit noch weitgehend unklar. Und so herrscht weiterhin „Sturm und Drang“.
Xecutives.net: Diese neuen technischen Errungenschaften haben Einfluss auf uns Menschen, auf unsere Gesellschaft. Was stellen Sie fest, wenn Sie mit jüngeren Menschen zusammenarbeiten, im Rahmen Ihrer Dozententätigkeit aber auch in Unternehmen. Sind das andere Charaktere als zur Zeit, als Sie noch Student waren?
Prof. Dr. Hannes Lubich: Ja, hier stelle ich in der Tat Veränderungen fest. Jedoch ist dies aber wohl gleichermassen mit den veränderten Bedürfnissen der jüngeren Generation als auch mit der Veränderung meiner durch das fortschreitende Alter beeinflussten Wahrnehmung erklärbar. Die breite Verankerung der technologischen Affinität in der Gesellschaft, die Bereitschaft und Möglichkeit, in der virtuellen Welt auch mit geringen Ressourcen Chancen zu erproben und Risiken einzugehen (beispielhaft sichtbar an der wachsenden Anzahl von Startup-Unternehmen im IT-Bereich gegenüber Startups in der produzierenden Industrie) sind aber sicher Beispiele für diesen Wandel. Es wird, solange dadurch keine für Staat, Wirtschaft und Gesellschaft versorgungs- und überlebensrelevante Elemente zu sehr geschwächt werden, interessant und spannend werden, diese Entwicklung zu beobachten.
Xecutives.net: Herr Lubich, wo sehen Sie in Bezug auf die nächsten technischen Entwicklungsstufen, die sicher kommen werden, Chancen, aber auch Risiken, die Sie beruflich und persönlich beschäftigen?
Prof. Dr. Hannes Lubich: Momentan beschäftigen mich neben der wachsenden Kluft zwischen der illegalen bzw. kriminellen Nutzung von Systemen und Daten und den Möglichkeiten der Erkennung, Behebung und Strafverfolgung zwei Themenbereiche besonders. Erstens ist dies die Nutzung von Methoden der künstlichen Intelligenz und des maschinellen Selbstlernens bei autonomen oder teilautonomen Systemen, einschliesslich der Frage moralisch-ethischer Entscheide durch Systeme und der Definition und Aufrechterhaltung der nötigen technischen, juristischen und gesellschaftlichen Kontrolle und global vernetzten Echtzeit-Umgebungen. Auch hier wird für mein Empfinden rascher auf der technologischen Seite geforscht und entwickelt, als es für die Ausübung der nötigen „Governance“ richtig wäre.
Zweitens beschäftigt mich, ebenfalls eher aus Sicht des Risiko-Managements, das „Internet der Dinge“. Hier werden einerseits viele neue Subsysteme eine Unmenge von Daten über Menschen und ihren Zustand, ihr Verhalten und ihre Absichten erzeugen und bereitstellen. Andererseits werden durch das IoT kritische und bisher in der realen Welt angesiedelte Abläufe virtuell verfügbar, vom Öffnen und Schliessen einer Tür bis hin zur Steuerung ganzer Kraftwerke, Fahrzeuge usw. Dadurch erhalten Schäden, die bisher in der virtuellen Welt verursacht und bei Erkennung ggf. durch einen „Patch“ oder eine andere Korrektur wieder in Ordnung gebracht werden konnten, eine (möglicherweise irreversible) Ausprägung in der physischen Welt. Auch hier ist die IT-Industrie, auch die Menge der potentiellen Anwender, von den Möglichkeiten zur Erweiterung der vorhandenen Funktionalität, von der Einfachheit der Integration komplexer Systeme und vom Einspar- und Synergiepotential begeistert. Entsprechend positive Beispiele, wie die technologische Unterstützung des selbstbestimmten Wohnens im Alter, die automatische Notfallauslösung bei sich ankündigenden medizinischen Problemen usw. werden derzeit stark propagiert. Jedoch stellt sich für mich auch hier die Frage, wie rasch diesem (möglicherweise irreversiblen) Trend gefolgt werden soll und für welche Abläufe der Mensch, angesichts der oft genug bewiesenen Unzulänglichkeiten technischer Hard- und Software-Systeme, dennoch unbedingt die Kontrolle und Entscheidungsfähigkeit behalten sollte.
Zum Glück hat sich der Mensch auch bei früheren Einführungen gesellschaftsverändernder Technologien als das adaptivste Glied der Kette erwiesen. Die Frage ist nur, ob das auch für die nächste technologische Revolution mit den Teilkomponenten „Internet der Dinge“, „künstliche Intelligenz“ und „komplette Vernetzung multifunktionaler mobiler Endgeräte“ auch noch gilt, oder ob Isaak Asimov’s Vision einer von Maschinen unauffällig beeinflussten, gesteuerten und versorgten Menschheit (inklusive dem Schutz der Menschen vor sich selbst) gerade ein Stück näher rückt.
Xecutives.net: Sehr geehrter Herr Professor Lubich, ich bedanke mich für die Zeit, die Sie sich für dieses Interview genommen haben und wünsche Ihnen bei Ihren Studienprojekten weiterhin viel Erfolg!
(C) 2018 by Christian Dueblin. Alle Rechte vorbehalten. Anderweitige Publikationen sind nur mit ausdrücklicher Genehmigung des Autors gestattet.
