IT-Nachwuchsforschung in Österreich

Weitere Magazine

Empfehlungen

Info

Sicherheit von Lieferketten von Christian Luidold Dynamisches Policy Management in Zeiten von KI Policy Management ist für viele ein relativ trockenes Thema. Darin beschrieben stehen in der Regel standardisierte Prozesse oder Aufgaben und Pflichten, welche eine Organisation ihren Mitarbeiter*innen zur Verfügung stellt. Diese Policies dienen neben der Hilfestellung zur Bewältigung von Problemen aber auch der Bereitstellung von Nachweisen über definierte Handlungen zur Erfüllung gesetzlicher Vorschriften. Die IT definiert dabei die eigene Kategorie der IT-Policies, die sich auf Handlungsabläufen von IT-Prozessen und Konfigurationen von Systemen fokussiert. Kommt es somit zu einem Vorfall in einer Organisation so können IT-Policies zum Teil automatische Handlungen durchführen um die Sicherheit der Systeme sowie die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. BIG DATA, KI UND VERNETZTE SYSTEME Die Effektivität der Schutzmaßnahmen von Policies ist abhängig von der Menge an Informationen, welche in die Erstellung dieser einfließen. So wandern in heutigen Organisationen eine Vielzahl an organisationsinternen Daten (bspw. Logs) aber auch externe Daten (bspw. aus Social Media oder Cybersecurity Communities) in den Prozess der Entscheidungsfindung ein. Weitere Analysen erfolgen heutzutage immer öfter unter Zuhilfenahme von KI. Die Anwendungsgebiete sind dabei vielschichtig und reichen von Anomalie-Erkennungen über das Suchen und Einspielen von System- oder Softwareupdates bis hin zu automatisierten Prozessen aus dem Bereich der Business Continuity. GEMEINSAME POLICIES IN DER LIEFERKETTE Einen zunehmend wichtigen Punkt für Organisationen im Bereich der Cybersicherheit nimmt die NIS2-Richtlinie ein. Eine bedeutende Neuerung gegenüber der alten Richtlinie ist die Pflicht, die Sicherheit der eigenen Lieferkette zu berücksichtigen. Dies zwingt verschiedene Organisationen innerhalb einer Lieferkette gemeinsame Policies zu entwickeln, um die gesetzlichen Anforderungen zu erfüllen. Dies kann sich oftmals aber als komplexer herausstellen, als anzunehmen wäre. Unterschiedliche Organisationen stehen vor unterschiedlichen Rahmenbedingungen hinsichtlich Anforderungen, verfügbare Ressourcen, Größe, wie auch Produkte und Dienstleistungen. Durch diese neue Pflicht sind zukünftig eine Vielzahl an Organisationen aufgrund ihrer Position als Lieferant oder Dienstleister für wesentliche bzw. wichtige Einrichtungen indirekt von der NIS2-Richtlinie betroffen. INTERNATIONAL GEFÖRDERTE FORSCHUNG Im Rahmen des aktuell laufenden HEU-Projekts „CS-AWARE-NEXT” wird speziell im Bereich Cybersicherheitsmanagement für Organisationen und lokale (sowie regionale) Netze geforscht. Das Ziel ist die Unterstützung von Organisationen hinsichtlich eines koordinierten kollaborativen Ansatzes zum dynamischen Management von Policies mit Fokus auf Lieferketten. Dabei wurden mehrere Workshops in verschiedenen Europäischen Städten mit Vertretern aus Wirtschaft und öffentlicher Verwaltung durchgeführt, um individuelle Prozesse unter Verwendung eines sozio-technischen Ansatzes abzubilden. Darauf aufbauend wurden die Ergebnisse anhand ihres Potenzials zur Weiterentwicklung und Optimierung in Verbindung mit automatisierten Prozessen im Bereich Business Continuity und Disaster Recovery sowie KI-gestützter Datensammlung, -auswertung und -korrelation analysiert. Daten werden hierbei aus drei verschiedenen Ebenen verwendet: der Organisationsebene (interne Daten wie Logs), der Ökosystemebene (Daten aus der Lieferkette und geschlossenen Communities) sowie der globalen Ebene (Social Media, Behörden, offene Communities). Diese Verbindungen zu einem diversen Set an Datenquellen soll es Organisationen ermöglichen, ihre eigene Resilienz im Bereich Cybersicherheit zu erhöhen, wobei eine integrierte Sammlung an Best Practices, Knowledge Bases und technischen Hilfestellungen den Einstieg in effektivere dynamische Managementprozesse hinsichtlich Policies bereitstellen. C hristiain Luidold ist PhD-Student an der Fakultät für Informatik der Uni Wien. Forschungsschwerpunkt ist Information Security Policy Management und Security Automation 24 OCG Journal | 01 • 2024
Ausgewählte Forschung Schutz der Privatsphäre - datenschutzfreundliche Techniken von Anastasia Pustozerova Differential Privacy for Machine Learning Heutzutage spielt Machine Learning in verschiedenen Branchen eine zunehmend wichtigere Rolle. Im Gesundheitswesen beispielsweise werden große Datenmengen benötigt, um die Vorhersage von Krankheiten zu verbessern oder neue Medikamente zu erforschen. Die Verwendung dieser Daten ist oft mit Datenschutzbedenken verbunden, insbesondere wenn sie sensible Informationen über Einzelpersonen enthalten. Vorschriften wie die Datenschutzgrundverordnung (DSGVO) motivieren darüber hinaus die Forschung im Bereich Privacy-Preserving Machine Learning. Differential Privacy (DP) wurde von Dwork et al. 1 vorgeschlagen, um Datensätze in einer Datenbank mit sensiblen Informationen zu schützen, während gleichzeitig Statistiken über die Daten abgefragt werden können. DP schützt die Privatsphäre der einzelnen Person durch Hinzufügen von Rauschen zu den Abfrageergebnissen. Ziel ist es, dass sich ein Algorithmus bei Daten, die sich nur in einem Element unterscheiden, ähnlich verhält, d. h. ein ähnliches, kaum unterscheidbares Ergebnis liefert. Einer der Hauptvorteile von Differential Privacy ist die Möglichkeit, den Verlust der Privatsphäre zu quantifizieren. Im Jahr 2016 stellten Abadi et al. 2 eine differenziell private Version des Stochastic Gradient Descent (DP-SGD) vor, die nach wie vor eine der beliebtesten Methoden zum Schutz der Privatsphäre im Machine Learning ist. DP kann jedoch in verschiedenen Phasen eines maschinellen Lernprozesses erreicht werden, z. B. durch Hinzufügen von Rauschen zu den Trainingsdaten, zu den Gradienten (wie bei DP-SGD), zur Zielfunktion oder zum fertig trainierten Modell. Das Hinzufügen von Rauschen bei DP zur Verbesserung der Privatsphäre, führt jedoch unweigerlich zu einer Verringerung des Nutzens, weshalb bei der Anwendung von DP ein Kompromiss zwischen Privatsphäre und Nutzen eingegangen werden muss. ANWENDUNGSBEREICHE VON DIFFERENTIAL PRIVACY Differential Privacy ist auch in Szenarien relevant, in denen Daten zunächst dezentral gesammelt und gespeichert werden, aber kollaborativ analysiert werden sollen, z. B. beim föderierten Lernen (federated learning )3 Je nach Anforderung kann Differential Privacy in diesem Umfeld auf verschiedene Weise angewendet werden: • Central DP bezieht sich auf eine Situation, in der ein vertrauenswürdiger Datenaggregator Zugang zu den Rohdaten hat und DP nur auf die Analyseergebnisse anwendet, z. B. das Machine Learning-Modell oder aggregierte Statistiken. • Local DP wird vor der Aggregation angewendet, wenn die Nutzer*innen dem Aggregator nicht vertrauen. Local DP bietet daher mehr Datenschutz als Central DP. Gleichzeitig führt Local DP zu einem stärkeren Rückgang des Nutzens der Daten und der Genauigkeit der Machine Learning-Modelle. • Distributed DP zielt darauf ab, ähnliche Datenschutzgarantien wie bei Local DP zu bieten und gleichzeitig den Verlust an Nutzen auf das Niveau von Central DP zu reduzieren. Distributed DP kann z. B. durch die Verwendung sicherer Aggregationsprotokolle wie Secure Multiparty Computation erreicht werden, verursacht aber auch zusätzliche Rechen- und Kommunikationskosten. Die Verringerung des Nutzens ist eine der größten Herausforderungen der Differential Privacy. Wenn der Nutzen optimiert werden soll, muss besonders darauf geachtet werden, den Parameter für den Verlust der Privatsphäre so zu wählen, dass Differential Privacy die notwendigen Garantien für die Privatsphäre bietet. Es gibt keine gesetzlichen Richtlinien für die korrekte Anwendung von DP, dennoch wird DP bereits aktiv als Methode, z. B. von Apple, Google und Microsoft eingesetzt. Meine Forschung konzentriert sich auf ein besseres Verständnis der Auswirkungen von Differential Privacy auf die Privatsphäre und den Nutzen von Machine Learning-Modellen. Insbesondere analysiere und vergleiche ich verschiedene Strategien zur Anwendung von DP im föderierten Lernen, um optimale Wege zur Nutzung von DP zu finden. Die Erforschung datenschutzfreundlicher Techniken wie Differential Privacy ist für eine nachhaltige Entwicklung des Machine Learning unerlässlich, damit wir als Benutzer nicht mit unserer Privatsphäre für den Fortschritt bezahlen müssen. (Fußnoten auf der nächsten Seite) 01 • 2024 | OCG Journal 25
Seite 1 und 2: OCG Journal Ausgabe 01 • 2024 | C
Seite 3 und 4: Inhalt [ 20 Young Researchers‘ Da
Seite 5 und 6: Young Researchers‘ Day AK IT-Sich
Seite 7 und 8: Young Researchers‘ Day Bluetooth
Seite 9 und 10: Young Researchers‘ Day Sicherheit
Seite 11 und 12: Young Researchers‘ Day Daten aus
Seite 13 und 14: Young Researchers‘ Day Grafik Glo
Seite 15 und 16: Young Researchers‘ Day niedrigem
Seite 17 und 18: Young Researchers‘ Day die Anwend
Seite 19 und 20: Young Researchers‘ Day Julia Made
Seite 21 und 22: Ausgewählte Forschung Abbildung 1:
Seite 23: Ausgewählte Forschung der Anwendun
Seite 27 und 28: Ausgewählte Forschung mous problem
Seite 29 und 30: Ausgewählte Forschung fristigen Un
Seite 31 und 32: Ausgewählte Forschung auch für Cl
Seite 33 und 34: ausfordern und deren algorithmische
Seite 35 und 36: Wettbewerbe Screenshot Java Wiz (c)
Seite 37 und 38: Wettbewerbe OCG Förderpreis-FH 202
Seite 39 und 40: Intern Veranstaltungen und Termine

IT-Nachwuchsforschung in Österreich

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?