|
Liebe Leserinnen und Leser,
in dieser Ausgabe geht es um die Notwendigkeit, Passworte regelmäßig zu ändern, die Beschränkung der Macht von KI-Systemen, Auswirkungen von DeepSeek und Hilfestellung bei der Wahlentscheidung. Das Thema im Fokus beschreibt, wie man durch die Wahl der richtigen Programmiersprache viele Fehler bei der Softwareentwicklung und damit Sicherheitsprobleme vermeiden kann. In den GI-Meldungen geht es um unser Informatik Festival 2025 in Potsdam, wir zeigen die neuen Grand Challenges, vermelden stolz, dass es künftig ein Pflichtfach Informatik in Rheinland-Pfalz geben wird, weisen auf die BWINF-Rekorde und das Positionspapier zur Situation des wissenschaftlichen Nachwuchses hin und bitten um Entschuldigung für Performance-Probleme in unserem internen Bereich nach dem Versand der Beitragsmitteilungen. Im Fundstück geht es wieder einmal darum, etwas zu malen – heute: Musik.
Wir wünschen Ihnen viel Spaß mit dieser Ausgabe.
auf gi-radar.de weiterlesen
Passwortänderung die x-te + Reglementierung von KI-Systemen + Sicht auf DeepSeek + Wahlhilfetools + Programmiersprache Ada + Informatik Festival 2025 + Grand Challenges 2025 + Pflichtfach Informatik + Rekorde in den Bundesweiten Informatikwettbewerben + Situation des wissenschaftlichen Nachwuchses + Performanceproblem im Mitgliederbereich + draw.audio
KURZMITTEILUNGEN
Passwortänderungstag (Spiegel). Der 1. Februar ist der Änderung des Passwortes gewidmet. Alljährlich geht dann durch die Medien, man solle besonderes Augenmerk auf sein Passwort legen und dieses regelmäßig ändern. Das BSI und viele Expertinnen und Experten sehen das allerdings anders. weiterlesen
Einsatz von KI-Systemen mit Social Scoring und unannehmbaren Riskien verboten (ZEIT). Anfang Februar trat ein Gesetz in Kraft, durch das der Einsatz von Tools mit den genannten Eigenschaften in der EU verboten wird. Unternehmen sind gefordert, den Grad der Risiken einzuschätzen und das System entsprechend einzuschränken. weiterlesen
DeepSeek schockiert und verspricht Chancen (Wirtschaftswoche). Vor kurzem präsentierte China sein Sprachmodell DeepSeek. Die Börse, insbesondere die US-amerikanischen Tech-Aktien, rauschten in den Keller, man sah die eigene KI-Forschung nahezu in der Bedeutungslosigkeit verschwinden. Die Technologie, mit der DeepSeek arbeitet, wurde veröffentlicht und kann nun leicht angepasst und weiterentwickelt werden. Darüber hinaus scheint es so zu sein, dass die Trainingskosten niedriger sind als bei vergleichbar leistungsfähigen Modellen. Dies könnte auch für Europa eine Chance bedeuten. weiterlesen
Chattend zur Wahlempfehlung kommen (heise). Am 23. Februar wird ein neuer Bundestag gewählt. In kürzester Frist muss man sich nun eine Meinung bilden, wer die eigene Stimme verdient. Bekannt ist mittlerweile sicherlich der Wahl-O-Mat von der Bundeszentrale für politische Bildung. Aber es gibt auch andere Tools, neuerdings sogar einen Chatbot, der einem bei der Wahlentscheidung hilft. Trotzdem: die Nutzung des eigenen Hirns sollte immer auch eine Option sein. weiterlesen
THEMA IM FOKUS
Was macht unsere Software so angreifbar? Die überwiegende Zahl der technischen Systeme bestehen zu großen Teilen aus Software. Die Zuverlässigkeit und Sicherheit dieser Systeme hängt daher stark von der Zuverlässigkeit und Sicherheit ihrer Softwarebestandteile ab. Und genau hier liegt ein erhebliches Problem: Die zunehmend starke Vernetzung und eine große Zahl bekannter Schwachstellen in verwendeter Software macht unsere Systeme angreifbar.
Tatsächlich sind Cyberangriffe mit erheblichen Auswirkungen fast schon normal. Eine Bitkom-Studie vom 5.8.2021 über Cyber-Kriminalität geht von einem Gesamtschaden von 223 Milliarden Euro pro Jahr für die deutsche Wirtschaft durch Diebstahl, Spionage und Sabotage aus, mehr als doppelt so viel wie noch 2018/19. Die Studie zeigt, dass 2020/21 neun von zehn Unternehmen von Cyberangriffen betroffen waren.
Das gefährdet nicht nur Unternehmen, sondern in besonderem Maße auch kritische Infrastruktur, Lieferketten, die Industrie als Ganzes und vernetzt agierende Systeme wie autonome Fahrzeuge.
Aber was genau macht unsere Software so angreifbar?
Die CISA (Cybersecurity and Infrastructure Security Agency) publiziert regelmäßig Hinweise auf Schwachstellen in der Software von technischen Systemen und hat einen Katalog ausgenutzter Sicherheitsprobleme erstellt. Auch das CVE-Programm veröffentlicht einen solchen Katalog, auf dessen Basis die Top 25 Most Dangerous Software Weaknesses zusammengefasst und hervorgehoben werden. Schaut man sich diese Top-25-Schwachstellen an, findet man sich permanent wiederholende Probleme vor allem in zwei Bereichen.
Der erste umfasst alles, was es ermöglicht, sich mit falschen Identitäten und manipulierten Daten Zugriff zu einem System zu verschaffen: ungenügende Passwortabsicherung, inkorrektes Benutzermanagement, unsichere Übertragung sensibler Informationen, mangelhafte Validierung von Inputdaten. Selbst „Hard-coded Credentials“ tauchen immer noch in dieser Liste auf.
Der zweite betrifft Implementierungsfehler: falsche programmtechnische Realisierung und fehlende Prüfung von Code. Ganz oben dabei sind Fehler bei der Speicherverwaltung: „Out-of-bounds Read & Write”, „Buffer Overflow”, „Null Pointer Dereference”, „Use After Free”, usw. Sowohl Microsoft als auch Google Chrome bestätigen, dass ungefähr 70% der von ihnen adressierten Schwachstellen auf unsicheren Umgang mit Speicher zurückgehen.
Und dieses Problem kann man hauptsächlich als eine Frage der eingesetzten Programmiersprache betrachten. Denn es tritt vor allem dann auf, wenn keine geeigneten Speicherabstraktionen zur Verfügung stehen. Das ist ein Grund für das Informationsblatt zu sicheren Programmiersprachen der NSA von 2022, das für Sprachen mit sicherer Speicherverwaltung plädiert, unter anderem für die Sprache Ada.
Aus gutem Grund: Programmiersprachen wie Ada können durch strenge Typisierung und umfangreiche Compiler- und Laufzeit-Prüfungen ganze Klassen von Fehlern systematisch von Grund auf vermeiden. In Ada ist ein Array kein Pointer auf das erste Element, sondern eine semantische Struktur, die Indextypen und Grenzen des Arrays untrennbar beinhaltet. Lese- und Schreiboperationen werden sowohl vom Compiler als auch zur Laufzeit geprüft.
12 der Top-25-Schwachstellen wären durch die Verwendung von Ada und deren syntaktische und semantische Prüfung durch den Compiler und das Laufzeitsystem ausgeschlossen, lassen sich also allein durch die Wahl der Programmiersprache vermeiden - und das unabhängig von Programmierfehlern. Sieben weitere Schwachstellen lassen sich durch korrekte Authentifizierung, Autorisierung und Passwortabsicherung vermeiden.
Was erschreckend ist, dass der Großteil trotzdem regelmäßig unter den Top 25 auftaucht, obwohl es für keine einzige Schwachstelle davon eine Ausrede gibt. Es sind in aller Regel die gleichen, allgemein vorher bekannten Fehler, die Software so angreifbar machen – Fehler, die wir kennen und von denen wir wissen, wie sie zu beheben sind. Dass vorhandene Erkenntnisse in der Praxis schlicht nicht umgesetzt werden, liefert Jahr für Jahr die möglichen Angriffsvektoren für Cyberangriffe und gefährdet technische Systeme vom Smart Home bis zur kritischen Infrastruktur, verbunden mit immensen Kosten.
Um diese Gefährdung effektiv, wirtschaftlich vertretbar und nachhaltig zu beheben, reicht eine singuläre Reparatur einzeln erkannter Schwachstellen nicht aus. Es muss Grundsätzliches in der Implementierung umgestellt und bei allen Beteiligten ein Sicherheitsbewusstsein entwickelt werden – bei denjenigen, die programmieren, auf Managementebene, aber auch in Politik und Gesellschaft.
Der Wunsch der Fachgruppe Ada für ein sicheres Jahr 2025 lautet daher: Mehr Security by Design, mehr Sorgfalt in der Benutzerverwaltung und bei Kommunikationsprotokollen und Augen auf bei der Wahl der Programmiersprache. Wir empfehlen natürlich Ada.
Beigesteuert wurde dieser Beitrag von Tobias Philipp (Sprecher), Christina Unger (stellvertretende Sprecherin), Dr. Hubert B. Keller sowie Fachleute von Ada Deutschland e.V. Vielen Dank!
GI-MELDUNGEN
Informatik Festival 2025 in Potsdam. Wiesbaden war toll, aber jetzt plant unser Event-Team schon längst das nächste Informatik Festival: Am 16. September (Geburtstag der GI!) geht es los in Potsdam mit einem umfangreichen Programm zum Leitthema "The Wide Open: Offenheit von Source bis Science". Die Workshops stehen fest, und ab jetzt ist die Registrierung für die INFORMATIK 2025 geöffnet. weiterlesen
Grand Challenges 2025 veröffentlicht. Nach zehn Jahren hat die GI erneut einen Blick in die Zukunft geworfen und definiert, was aus ihrer Sicht die drängenden Probleme in der Informatik sind. Herausgekommen sind fünf große Herausforderungen aus ganz unterschiedlichen Gebieten. Wir stellen diese in Informationsmaterialien und bestellbaren Postern dar und freuen uns, wenn Sie sie an Ihren Institutionen breit bekannt machen! weiterlesen
Pflichtfach Informatik in Rheinland-Pfalz. Noch ist Informatik kein Pflichtfach in Rheinland-Pfalz, aber dies wird sich nun sukzessive ändern. Bereits zum Schuljahr 2025/2026 wird Informatik als Pflichtfach in ersten Schulen eingeführt, ab 2028 ist es verpflichtend für alle Schulen. Es geht voran! weiterlesen
BWINF-Rekorde. Im vergangenen Jahr haben die bundesweiten Informatikwettbewerbe wieder diverse Rekorde aufgestellt. So viele Jugendliche wie nie haben sich an den Wettbewerben für die unterschiedlichen Altersstufen beteiligt. Wir freuen uns sehr und hoffen, dass daraus viele Studierende der Informatik erwachsen. weiterlesen
Positionspapier zur Situation des wissenschaftlichen Nachwuchses. Der wissenschaftliche Nachwuchs, auch Mittelbau genannt, ist ein wichtiger Teil des Lebens und Lehrens an der Hochschule. Nicht nur, dass der Nachwuchs dort forscht und Karriere macht, auch in der Lehre ist er essenziell. Dieser Wichtigkeit trägt die aktuelle Situation jedoch nicht immer Rechnung. Was sich ändern muss, damit die entsprechenden Stellen interessant bleiben, hat der GI-Beirat Junge Wissenschaft zusammengetragen. weiterlesen
Performance-Probleme nach Versand der Beitragsmitteilung. Nach unserer E-Mail an Sie über die Bereitstellung der Beitragsmitteilung kam es leider zu Problemen mit der Leistungsfähigkeit unseres Mitgliederbereichs. Einige Mitglieder haben uns darauf hingewiesen und wir haben das Problem im Laufe des Tages beheben können. Bitte entschuldigen Sie die Unannehmlichkeiten. weiterlesen
Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Schauen Sie rein, es gibt da immer wieder Neues oder auch ältere Fundstücke.
FUNDSTÜCK
draw.audio. Dieses Mal stellen wir Ihnen einen webbasierten Audio-Sequenzer vor, der aus der Begeisterung für Synthesizer und Webentwicklung entstand. Die Anwendung bietet unter anderem auswählbare Tonleitern, verschiedene Wellenformen, Effekte und LFOs, präsentiert sich in einem großzügigen Grid-Layout und besticht durch ein modernes Design sowie leicht zugängliche Modulationssteuerungen. Schön umgesetzt! Zum Fundstück (draw.audio)
Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!
Dies war Ausgabe 372 des GI-Radars vom 07.02.2025. Zusammengestellt hat diese Ausgabe Dominik Herrmann, der schon in seiner Kindheit mit computerbasierten Audio-Synthesizern gespielt hat. GI-Geschäftsführerin Cornelia Winter hat die Mitteilungen und Meldungen zusammengetragen. Das nächste Radar erscheint am 21. Februar.
Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch via X unter @informatikradar zukommen lassen.
|
