Berichten zufolge plant der englische National Health Service (NHS England), die meisten seiner öffentlichen Quelltext-Repositories auf „Privat“ umzustellen, warnt die Free Software Foundation Europe (FSFE) aktuell. Das scheint als Reaktion auf die Sorge zu erfolgen, dass öffentliche Quelltext-Repositorys mittels Künstlicher Intelligenz auf Schwachstellen untersucht werden könnten.

Die FSFE gibt in einer Meldung dazu an, dass eine interne Richtlinie mit dem Titel „SDLC-8“ erfordere, öffentlich zugängliche Repositories auf „Privat“ umzustellen, außer in Fällen, in denen eine explizite Ausnahme genehmigt wird. Die FSFE sieht darin einen Schritt in die falsche Richtung. Bereits veröffentlichte Repositories offline zu nehmen schützt nicht davor, dass Angreifer bereits aufgesetzte Systeme, Abhängigkeiten, Schnittstellen und Binärdateien analysieren.

Depublizieren macht Code nicht „ungesehen“

Das Depublizieren der Quellcodes mache diesen nicht ungesehen – ebenso wenig entfernt das bereits existierende Kopien. Zudem handele es sich um keine effektive Sicherheitsmaßnahme. Stattdessen entferne der Schritt eine fundamentale Säule der Sicherheit, nämlich die Möglichkeit von unabhängigen IT-Experten, IT-Forschern und anderen öffentlichen Institutionen, den Code zu inspizieren, weiterzuverwenden und zu verbessern sowie Sicherheitslücken darin zu melden, erörtert die FSFE.

Johannes Näder, Senior Policy Project Manager bei der FSFE, äußerte sich auch dazu: „Das Zurückziehen von öffentlich zugänglichem Code ist keine Sicherheitsstrategie. ‚Security by Obscurity’ gilt schon seit Langem nicht mehr als wirksame Sicherheitsmaßnahme. Die Umstellung von Repositorys auf den privaten Modus schützt die NHS-Systeme nicht. Sie schränkt lediglich ein, wer bei der Suche nach und Behebung von Problemen helfen kann.“

Gegenüber The Register sagte ein NHS-England-Sprecher, dass es sich lediglich um eine temporäre Maßnahme handele, um die Cybersicherheit zu stärken und abzuwägen, welche Auswirkungen die rasanten Entwicklungen der KI-Modelle haben. Man werde weiterhin Quellcode veröffentlichen, wenn es einen klaren Bedarf gebe.

Eine der Kernforderungen der FSFE ist, dass aus öffentlichen Mitteln finanzierte Software als freie Software veröffentlicht werden soll. Die bisherigen NHS-Richtlinien sähen das bislang ebenso vor. Neuer Source-Code für öffentliche Dienste sollte offen und wiederbenutzbar sein, da öffentliche Dienste auf öffentlichen Geldern fußen. Die Vorgaben für UK-Behörden sehen das ebenso vor, mit nur eng begrenzten Ausnahmen. Die FSFE fordert daher den NHS England auf, alle Richtlinien zu standardmäßig als privat behandelten Quellcode zurückzuziehen und sich dazu zu bekennen, dass freie Software der Standard für öffentlich finanzierte Software bleibe.

Die FSFE hatte im März dieses Jahres Probleme mit einem Zahlungsdienstleister zur Spendenabwicklung gemeldet. Dafür wurde eine Lösung gefunden.

(dmk)

Während die Zweifel an der Finanzierung einer Übernahme von eBay durch GameStop wachsen, hat der dafür verantwortliche GameStop-CEO Ryan Cohen angekündigt, im Erfolgsfall drastisch Stellen bei eBay streichen zu wollen: „Ich könnte das Geschäft von meinem Haus aus führen […] eBay braucht nicht 11.500 Angestellte“, erklärte der Geschäftsmann in einem Interview mit dem Podcast TBPN. Kostensenkungen seien die einzige Möglichkeit, das Geschäft von eBay effizienter zu machen. Vorher hatte ein anderes Interview für Aufsehen gesorgt, weil Cohen auch auf mehrmalige Nachfragen hin nicht erklären wollte oder konnte, woher die fehlenden rund 16 Milliarden US-Dollar für die Übernahme kommen sollen.

Dass GameStop eBay für 56 Milliarden US-Dollar übernehmen will, hat der US-Videospielhändler am Wochenende publik gemacht. Dabei war der bekannte Online-Marktplatz vor der Bekanntmachung rund 46 Milliarden US-Dollar wert, GameStop lediglich 12 Milliarden. Laut GameStop stehen für die Übernahme Barreserven in Höhe von 9,4 Milliarden US-Dollar und eine Finanzierungszusage über 20 Milliarden US-Dollar von der Bank TD Securities zur Verfügung. Im Rahmen des Übernahmeangebots hat GameStop zudem mitgeteilt, bereits fünf Prozent der Aktien an eBay zu halten. Der Videospielhändler verspricht darin auch noch, die jährlichen Kosten bei eBay nach einer Übernahme innerhalb von 12 Monaten um insgesamt zwei Milliarden US-Dollar zu senken.

In dem Interview mit CNBC hat Cohen nicht ausgeführt, woher das fehlende Geld für die Übernahme kommen soll, sein Unternehmen hat vorher erklärt, dass der Rest aus eigenen Aktien finanziert werden soll. Die müssten dafür aber extrem verwässert werden. Bei Bloomberg hat der Ex-Investmentbanker Matt Levine inzwischen vorgerechnet, dass der Aktienkurs von GameStop in diesem Fall enorm fallen würde. Sollte die eBay-Übernahme trotzdem gelingen, würden eBay-Aktionäre einen viel größeren Anteil an dem entstandenen Unternehmen halten. Gewissermaßen würde eBay damit GameStop übernehmen und nicht umgekehrt. Levine weist zudem darauf hin, dass GameStop im Moment weder über das Geld noch die Aktien verfügt, mit denen der Kauf finanziert werden soll.

(mho)

Analytics-Spezialist SAS hat auf seiner Kundenkonferenz Innovate den AI Navigator vorgestellt. Die neue Stand-alone-Plattform für KI-Governance soll Unternehmen helfen, KI-Projekte, Modelle und Agenten zentral zu erfassen, Richtlinien anzuwenden und Freigaben zu dokumentieren. SAS beschreibt die Plattform als Werkzeug, um KI-Assets über ihren gesamten Lebenszyklus hinweg zu verwalten und auch externe Modelle sowie Open-Source-Komponenten in eine zentrale Governance einzubeziehen. Die Plattform soll sichtbar machen, welche KI-Tools im Unternehmen überhaupt genutzt werden, welche Modelle zugelassen sind, wer worauf zugreifen darf und welche Use Cases von der Pilot-Phase in die Produktion übergehen sollen.

SAS adressiert damit vor allem ein Organisationsproblem, das in vielen Firmen längst größer geworden ist als die Frage nach dem nächsten LLM: Fachabteilungen, IT und Einkauf beschaffen oder testen parallel verschiedene KI-Dienste, oft ohne gemeinsamen Überblick und ohne einheitliche Leitplanken. Im Gespräch mit iX beschrieb Kristi Boyd, Trustworthy AI Specialist bei SAS, diese Sichtbarkeit als die erste Voraussetzung für jede Art von Governance. „Der Navigator schafft Transparenz über die Silos hinweg, etwa wenn HR ein Tool eines Anbieters nutzt und die IT parallel mit ähnlichen Modellen desselben Herstellers experimentiere“, war einer ihrer Hinweise.

Ihr Kernsatz lautete: „You can’t govern what you don’t see.“ Das bedeutet, dass der AI Navigator nicht die großen Probleme einer länder- und branchenspezifischen KI-Regulierung löst, denn diese unterscheiden sich in ihren Rechtsrahmen, den Aufsichtsverfahren und Risikoprofilen viel zu stark. Boyd bestätigte, dass Governance „je nach Region, Branche und Risikohaltung unterschiedlich ausfalle“ und dass es „oft weniger an Regeln fehle als an deren Auslegung und der operationalen Umsetzung“.

Governance skalieren – nicht Chaos

Damit ist der AI Navigator keine universelle Compliance-Schicht für sämtliche KI-Vorgaben in allen Märkten. Er ist eher ein Steuerpult für den firmeninternen Regelraum. Dort aber könnte die Plattform von Nutzen sein: Sie soll KI-Assets inventarisieren können, interne Policies bündeln, Audit-Trails nachvollziehbar machen und dabei helfen, Entscheidungen über Pilotprojekte, Produktiv-Vorgaben und Verantwortlichkeiten aus der E-Mail- und PowerPoint-Zone herauszuholen.

Boyd formuliert das so: „Ohne ein zentrales System skalieren Unternehmen am Ende nicht Governance, sondern Chaos.“ Hinzu kommt, dass SAS den AI Navigator auch als Mittel gegen Schatten-KI positioniert, denn in vielen Unternehmen nutzen Mitarbeitende ChatGPT, Copilot, Claude oder Spezialtools lange bevor rechtliche, organisatorische und sicherheitsrelevante Fragen sauber geklärt sind. Die Plattform soll hier zunächst Ordnung in die eigene KI-Nutzung bringen – aber nicht sämtliche regulatorischen Spezialfälle automatisch lösen.

Die großen Governance-Probleme werden ausgelagert

Sobald es um die großen Governance-Probleme, wie nationale Besonderheiten, branchenspezifische Vorgaben oder die Auslegung einzelner Regeln geht, endet naturgemäß der Bereich, der mit einer generischen Plattform abgedeckt werden kann. SAS verweist hierbei zu Recht auf Partner und auf die Erweiterungsmöglichkeiten der Plattform. Das ist ein klares Eingeständnis der Realität: KI-Governance besteht eben nicht nur aus Technik, sondern auch aus juristischer Interpretation, Branchenwissen und lokaler Aufsichtspraxis. Verfügbar sein soll der SAS AI Navigator ab dem dritten Quartal 2026.

Die Erwartungen an eine plattformübergreifende, allgemein umfassende Governance-Lösung sind groß. Tatsächlich aber adressiert der AI Navigator vor allem den kleinsten gemeinsamen Nenner: interne Sichtbarkeit, interne Regeln, interne Freigaben. Das ist nicht sonderlich spektakulär, aber ein solider, sinnvoller Ansatz. Denn bevor die komplizierten Vorgaben einzelner Länder und Branchen sauber abgebildet werden können, muss zunächst klar sein, welche KI bereits im eigenen Haus im Einsatz ist.

(axk)