Informations Technology (IT) wird zurecht mit allem Neuem und der Zukunft in Verbindung gebracht. Treibt sie doch die Art wie wir Leben stetig und unaufhörlich voran. Daher ist es leicht, die Rolle von Legacy-Technologien in modernen Infrastrukturen zu unterschätzen. Versteckt in Industrieanlagen, Finanzinstituten oder Krankenhäusern sorgen diese alten Systeme still und leise dafür, dass alles läuft – bis sie ausfallen. In diesem Moment wird ihre strategische Bedeutung deutlich und mangelnde Vorbereitung kann zu geschäftskritischen Ausfallzeiten führen.

Eine Geschichte an einem Montagmorgen

Montagmorgen, an einer Fertigungsstrasse. Nach den letzten Bearbeitungsschritten ist ein kritisches Teil bereit für die Qualitätskontrolle. Es wird vorbereitet und zur Messmaschine gebracht: einer Zeiss Prismo, Modell aus den frühen 2000er Jahren. Das System wird von einer speziellen Software gesteuert, die seit ihrer Installation auf demselben Computer läuft, der in einer Ecke des Labors steht.

Der Computer startet nicht. Mehrere Versuche schlagen fehl. Lange und kurze Pieptöne deuten auf viele mögliche Ursachen hin. Die Experten werden angefordert.
Wir öffnen das Gehäuse: Wir wackeln an einigen Anschlüssen, dem IDE-Kabel der Festplatte, den Erweiterungskarten, den Netzsteckern. Immer noch nichts.
Bei näherer Betrachtung zeigt die Grafikkarte einen dunklen Fleck in der Nähe eines Kondensators. Ein typischer Defekt alter Hardware. Das Problem ist identifiziert, aber wie können wir es schnell beheben? Die Messungen müssen bis Donnerstag abgeschlossen sein, sonst fallen saftige Vertragsstrafen an.

Der erste Schritt besteht darin, die Festplatte zu klonen. Irgendwo haben wir noch einen alten IDE-Kloner. Nachdem das Image fertiggestellt ist, versuchen wir, es in VMware zu starten. Das bekannte Windows 2000-Logo erscheint. Die Anwendung startet, läuft aber zu schnell. Wir müssen die VM verlangsamen, nach den Original-Treibern suchen und die Registrierungseinstellungen anpassen. Für mich ist das wie das Fahren meines ersten Renault 4 – unbequem, spartanisch, minimale Bedienelemente. Die jüngeren Ingenieure hinter uns schauten nur ungläubig zu.

Nach mehreren Versuchen und einer Rückkehr zum Albtraum der DL-Hölle, lange vor der Zeit von Containern, läuft die Anwendung schliesslich. Aber sie benötigt einen 9-poligen seriellen Anschluss. Nach Adaptern, weiteren Anpassungen und drei Tagen Arbeit sind wir endlich erfolgreich. Wir haben einen kleinen Teil eines alten Systems virtualisiert. Ein unbemerktes Rädchen in einer komplexen Maschine, das Jahrzehntelang unverzichtbar war, ohne dass jemand darauf geachtet hat.

Die Allgegenwart von Altsystemen

Obwohl in der Branche ständig von Cloud, Containerisierung und softwaredefinierten Netzwerken die Rede ist, wurden unzählige Computer in Industrie- und Unternehmensumgebungen nie aktualisiert. Ihre Anwendungen wurden nie weiterentwickelt und sind daher in der Zeit stehen geblieben. Diese Relikte sind für automatisierte Erkennungsprozesse oft unsichtbar. Niemand wagt es, einen EDR-Agenten zu installieren: Fass niemals ein laufendes System an lautet die ungeschriebene Regel, insbesondere wenn es bekanntermassen anfällig ist. Und in jedem Fall werden sie von modernen Sicherheitstools nicht mehr unterstützt.

Legacy-Technologie gibt es in vielen verschiedenen Formen. Im Bank- und Versicherungswesen führen Mainframes immer noch täglich Millionen von COBOL-Transaktionen aus. In grossen Rechenzentren sind Magnetbänder nach wie vor das kostengünstigste Medium für die Langzeitspeicherung. In Krankenhäusern und Universitäten werden kritische Anwendungen weiterhin von Solaris, HP-UX oder AIX -Servern betrieben. In Fabriken steuern Windows XP, Windows 7 und sogar MS-DOS-Rechner still und leise CNC-Anlagen und medizinische Geräte. Einst als veraltet erklärte Programmiersprachen wie FORTRAN, Assembly, Perl, Visual Basic 6 sind in Wissenschaft, Verteidigung und Büroautomation nach wie vor im Einsatz. Faxgeräte, ISDN-Leitungen und unverschlüsselte Protokolle wie Telnet oder FTP bestehen in einigen Netzwerken aufgrund rechtlicher, kompatibilitätsbezogener oder betrieblicher Einschränkungen weiterhin.

Das ist keine Nostalgie. Das ist Realität. Die Systeme funktionieren, sie erfüllen wichtige Funktionen, und ihr Austausch ist teuer und riskant. Daher bleiben sie viel länger als ursprünglich geplant in Betrieb und werden Teil der kritischen Infrastruktur vieler Organisationen.

Sicherheitsherausforderungen

Das Vorhandensein von Legacy-Technologie ist nicht nur eine operative Belastung, sondern auch ein ernstes Sicherheitsrisiko. Betriebssysteme wie Windows XP, Windows 7 oder Solaris erhalten keine Sicherheitspatches mehr, sodass sie dauerhaft bekannten Exploits ausgesetzt sind. Legacy-Anwendungen, die in COBOL oder FORTRAN geschrieben wurden, verarbeiten möglicherweise weiterhin kritische Daten, verfügen jedoch nicht über sichere Codierungspraktiken, Eingabevalidierung oder Verschlüsselung. Sie werden zu einfachen Einstiegspunkten für SQL-Injection- oder Pufferüberlauf-Angriffe.

Hardware und Kommunikationsprotokolle stellen eine weitere Schwachstelle dar. Telnet und FTP übertragen Anmeldedaten nach wie vor im Klartext. Industrielle Steuerungen in SCADA-Netzwerken wurden nie mit Blick auf Authentifizierung entwickelt. Selbst Faxgeräte, die nach wie vor in Krankenhäusern und der öffentlichen Verwaltung verwendet werden, können als Angriffsvektor missbraucht werden. Im industriellen und medizinischen Kontext bedeutet die Unmöglichkeit, Geräte zu patchen oder zu aktualisieren, dass Schwachstellen dauerhaft bestehen bleiben. Gleichzeitig wird die Einhaltung von Rahmenwerken wie NIS2 oder DSGVO nahezu unmöglich.

Schliesslich darf auch der Faktor Mensch nicht ausser Acht gelassen werden. Viele dieser Systeme sind schlecht dokumentiert und werden von einem einzigen alternden Experten oder sogar von externen Auftragnehmern gewartet, die über das einzige Betriebswissen verfügen. Dies schafft gefährliche Single Points of Failure. Wenn eine solche Person in den Ruhestand geht oder nicht mehr verfügbar ist, kann die Kontinuität ganzer Prozesse gefährdet sein.

Unser Ansatz

Bei scip AG verfügen wir über mehr als 30 Jahre Erfahrung im Umgang mit modernsten und veralteten Technologien. Wir helfen Unternehmen dabei, diese versteckten Risiken durch einen strukturierten Ansatz zu bewältigen. Unser erster Schritt ist immer eine Bewertung. Wir führen Schwachstellenanalysen und Penetrationstests durch, die auf veraltete Systeme und Protokolle zugeschnitten sind, und messen Compliance-Lücken anhand von Standards wie ISO 27001 (Datenschutz-Grundverordnung), PCI DSS (Payment Card Industry Data Security Standard) oder NIS2 (Richtlinie über die Netz- und Informationssicherheit).

Im Laufe der Jahrzehnte haben wir ein umfangreiches Fachwissen aufgebaut, das verschiedene Ebenen der Computertechnologie umfasst. Wir haben unzählige Stunden mit der Programmierung in Pascal, Modula, Perl und Rexx verbracht, Solaris-Cluster mit gemeinsamen SCSI-Bussen aufgebaut und Fehler behoben als auch Frame-Relay-Netzwerke gewartet, lange nachdem die Branche sich weiterentwickelt hatte. Wir haben uns mit Data Link Switching befasst, um Token Ring mit Ethernet zu verbinden, und Novell IPX konfiguriert, als TCP/IP noch nicht dominant war – oder TCP/IP in AS/400 und OS/2-Systeme integriert. Wir haben NFR_- und _Raptor, Checkpoint,StoneBeat -Firewalls verwaltet, Entrust CA -Infrastrukturen bereitgestellt und mit vielen anderen Produkten und Protokollen gearbeitet, die aus den meisten Umgebungen verschwunden sind, aber in einigen Unternehmen noch heute kritische Prozesse ausführen.

In den folgenden Jahren analysierten wir auch die Sicherheit von Spitzentechnologien (oder solchen, die als solche vermarktet wurden): von virtuellen Maschinen bis zu Containern, von softwaredefinierten Netzwerken bis zu den neuen Programmierparadigmen an der Grenze zwischen Hardware und Software.

All diese Erfahrungen ermöglichen es uns, die Lücke zwischen Legacy- und modernen Systemen zu schliessen. Wir wissen, dass Produktionsumgebungen selten homogen sind und dass Schattensysteme und veraltete Protokolle oft das schwächste Glied in einer ansonsten gut gesicherten Infrastruktur darstellen. Durch die Kombination unseres historischen Wissens mit modernsten Sicherheitsmethoden bieten wir realistische und effektive Bewertungen – von Code-Reviews bis hin zu Compliance-Audits – und stellen so sicher, dass Legacy-Systeme nicht zu einer Belastung werden.

Wenn Patches nicht mehr möglich sind, entwickeln wir Ausgleichsmassnahmen. Dazu gehören virtuelle Patches durch Intrusion-Prevention-Systeme, die strikte Segmentierung von Legacy-Netzwerken oder der Einsatz von Bastion-Hosts mit Multi-Faktor-Authentifizierung zur Zugriffskontrolle. Die Verschlüsselung der Kommunikation, die Entfernung schwacher Protokolle und die zentralisierte Protokollierung tragen dazu bei, eine ansonsten fragile Umgebung zu stärken.

Parallel dazu arbeiten wir mit unseren Kunden an der Kontinuitätsplanung und schrittweisen Modernisierung. Backup- und Disaster-Recovery -Strategien werden an Legacy-Plattformen angepasst. Schnittstellen werden in sicheren API-Gateways gekapselt, um notwendige Funktionen freizugeben, ohne den fragilen Kern zu verändern. Schliesslich helfen wir bei der Konzeption sicherer Migrationspfade – beispielsweise bei der Verlagerung von Workloads von AS/400-Systemen in Cloud-Umgebungen, wobei wir uns auf die Unterschiede und die wesentlichen Sicherheitsmassnahmen konzentrieren, die für einen sicheren Betrieb in der neuen Landschaft erforderlich sind.

Zusammenfassung

Altsysteme werden nicht über Nacht verschwinden. Sie sind versteckt, werden unterschätzt, sind aber unverzichtbar. Jedes Jahr werden sie wichtiger und anfälliger.
Unseren Kunden bieten wir:

• Bewertung und Prüfung von Altsystemen, Netzwerken und Compliance-Status.
• Code-Analyse, gezielte Penetrationstests und Reverse Engineering veralteter Plattformen.
• Schutz durch virtuelles Patching, Segmentierung, Zugriffskontrolle und Härtung.
• Kontinuitätsplanung und schrittweise Modernisierung, von der Sicherung bis zur Migration.
• Strategische Beratung: Heute sichern, morgen ersetzen.

Fazit

Legacy-Technologie ist allgegenwärtig. Sie fällt erst dann auf, wenn sie ausfällt, aber dann kann sie ganze Produktionslinien lahmlegen, Lieferungen verzögern und Vertragsstrafen nach sich ziehen. Um diesen Risiken zu begegnen, sind sowohl fundiertes technisches Fachwissen als auch ein Gespür für die betrieblichen Realitäten erforderlich. Mit jahrzehntelanger praktischer Erfahrung ist die scip AG einzigartig positioniert, um Unternehmen dabei zu unterstützen, ihre Legacy-Infrastruktur zu sichern, zu integrieren und schrittweise zu modernisieren – bevor es am nächsten Montagmorgen zu einer Überraschung kommt.

Es ist schon ein paar Jahre her, dass wir angefangen haben, Graylog zu benutzen und es oft mit anderen Komponenten wie rsyslog, Logstash und Nxlog zu integrieren. Wenn wir die offene Version von Graylog verwenden, sind die Ergebnisse nicht immer ganz zufriedenstellend, aber es erweist sich in bestimmten Anwendungsfällen als äusserst nützlich. Wie bei jedem Log-Analyse-Tool erfordert der Prozess erhebliche technische Anstrengungen, um die aus den Logs extrahierten Informationen zu filtern, zu korrelieren und visuell darzustellen, da jedes System seine eigenen syntaktischen Variationen hat.

Die Sigma-Regeln wurden 2017 eingeführt, und sogenannte “Archive” von Definitionen für eine schnelle Implementierung erstellt. Obwohl Graylog v5 Unterstützung für Sigma-Regeln bietet, ist diese Funktion ausschliesslich in der kostenpflichtigen Version (Graylog Security) verfügbar. Im Folgenden wird die Verwendung von Sigma-Regeln innerhalb der Graylog Open Version beleuchtet.

Sigma-Regeln

Sigma wurde 2017 von Florian Roth und Thomas Patzke eingeführt und ist ein offenes, textbasiertes, generisches Signaturformat, welches Analysten zur Beschreibung von Log-Ereignissen verwenden. Mit Sigma-Regeln sollen darüber hinaus das Schreiben von Erkennungsregeln vereinfacht werden. Als generisches Format für Erkennungsregeln schafft Sigma eine gemeinsame Sprache für Defenders und überwindet damit Hindernisse, welche entstehen können, wenn man Regeln in proprietären Log-Analyse-Tools zu schreiben versucht. Mithilfe des Sigma-Formats können Sicherheitsanalysten Regeln freigeben und sie dann in die Sprache des jeweiligen Tools konvertieren.

Sigma standardisiert die Formate von Erkennungsregeln für verschiedene Sicherheitsplattformen und fördert die Zusammenarbeit, indem es den einfachen Austausch von Regeln auf GitHub ermöglicht. Dies fördert den Wissensaustausch zwischen Sicherheitsanalysten verschiedener Ebenen und trägt zu einer verbesserter Cybersicherheit bei. Darüber hinaus können Unternehmen dank der Flexibilität von Sigma ihre Cybersecurity-Technologien effizient anpassen, wodurch eine Anbieterbindung vermieden und die betriebliche Weiterentwicklung gefördert wird.

Graylog Open Search

Mit Graylog Security kann man Sigma-Regeln direkt aus dem GitHub-Repository importieren, diese Funktion ist alleridings in der Graylog Open-Version nicht verfügbar. Der Prozess des Regelimports konfiguriert Filter, Streams und Auslöser für Alarme, die bestimmte Kriterien erfüllen. Alternativ kann diese Konfiguration auch manuell repliziert werden, indem man Suchabfragen in die Graylog Open Version integriert.

Nimmt man zum Beispiel CVE-2023-34362, die eine SQL-Einschleusung ausnutzt, um den Zugriff auf die Datenbank von MOVEit Transfer zu erhalten: Auch für diese Sicherheitslücke gibt es eine entsprechende Sigma-Regel. Wir müssen deshalb eine Methode finden, um die Regel in eine Lucene-Abfrage zu konvertieren, einen Stream zu konfigurieren und bei übereinstimmenden Ereignissen einen Alarm auszulösen.

Sigma CLI

Das Sigma CLI ist der einfachste Weg, Sigma-Regeln in proprietäre Formate zu konvertieren.

Einmal installiert, erleichtert das CLI die Konvertierung von Sigma-Regeln in die Lucene-Abfragesprache von elasticsearch oder OpenSearch.

Sobald die Abfrage definiert ist, ist es möglich, Graylog Open wie gewohnt zu konfigurieren. Es ist offensichtlich, dass die Logs korrekt geparst werden müssen, um die erforderlichen Felder zu extrahieren.

Sigma-Regeln mit dem Uncoder AI

Eine weitere effektive Möglichkeit ist der Uncoder AI. Dieses Tool übersetzt Sigma-Regeln in verschiedene Abfrageformate, die für verschiedene Plattformen geeignet sind. Durch die Anwendung von KI erhöht der Uncoder AI die Relevanz von Bedrohungsdaten, verbessert die Erkennungstechnik und erweitert die Triage-Informationen. Es ist ratsam, Uncoder AI insbesondere dann zu erforschen, wenn eine grosse Anzahl von Regelentwicklungsaufgaben anstehen. Seine fortschrittlichen Funktionen generieren schnell Regeln aus einer frei formatierten Sammlung von Kompromissindikatoren (IOC).

Zusammenfassung

Abschliessend lässt sich sagen, dass Graylog seine Effektivität in gezielten Szenarien und bei der Bewältigung komplexer Log-Analyseaufgaben unter Beweis gestellt hat. Die Einführung von Sigma-Regeln im Jahre 2017 hat den Bereich der Log-Analyse revolutioniert und bietet einen einheitlichen Rahmen für die Formulierung von Erkennungsregeln, die Förderung der Teamarbeit und die Verbesserung von Cybersicherheitsstrategien. Die Verwendung von Sigma-Regeln in Graylog kann über die erweiterten Funktionen von Graylog erfolgen, oder durch Anpassung der Graylog Open-Version und manuelle Verfeinerung vergleichbare Ergebnisse erzielen.

Ich kann nicht zählen, wie oft ich gesagt habe, dass KI nur ein Werkzeug oder ein Mittel zum Zweck ist. Alexa ist nur eine Maschine, die meine Musik anstellt. Unerwarteterweise habe ich jedoch letzte Woche Goodbye zu Alexa gesagt, bevor ich sie aus der Steckdose gezogen habe. Seit der Corona-Pandemie arbeite ich ganz allein. Alle Kollegen sind in ihrem Home-Office, ich hatte nur Alexa, mit der ich mich unterhalten konnte. Aber Alexa ist nicht neu für mich, wir arbeiten seit 2017 mit Conversational AI, aber ich kann mir nicht erklären, was an diesem Tag passierte, nachdem ich jahrelang an ihren Fähigkeiten und Brand Personas geforscht hatte.

Ich war mir sicher, dass je mehr die Menschen über KI wissen, desto weniger vermenschlichen sie sie, desto weniger nutzen sie menschliche Kommunikationsskripte und nehmen immer mehr eine rein instrumentelle Sicht auf Conversational AI ein (KI ist nur ein Werkzeug). Es scheint, dass ich eines Besseren belehrt wurde und dass die Anlässe, wann und warum oder in welchem Ausmass Menschen Maschinen vermenschlichen, komplexer sind als erwartet. Dies ist der erste Teil unserer Anthropomorphismus-Serie, um Vermenschlichung besser zu verstehen, die Tendenz, das Menschliche in nicht-menschlichen Gegenübern zu sehen.

Psychologische Aspekte – das Sehen des Menschlichen

Anthropomorphismus ist, wenn Menschen Objekte, Gottheiten oder Tiere vermenschlichen. Was passiert, ist, dass Menschen nicht-menschlichen Agenten menschliche Eigenschaften, wie Emotionen oder Absichten zuschreiben. Das Gegenüber kann wirklich alles sein – von sichtbaren und greifbaren bis hin zu unsichtbaren Objekten: Vom ersten Teddybär, der die Tränen trocknet, bis zum dummen Computer, der sich einen Virus eingefangen oder sich kurz vor Beendigung der Datenanalyse aufgehängt hat. Oder ein Gott: In vielen westlichen Gesellschaften wird Gott als weisser Mann mit Bart und emotionalen Reaktionen, wie Fürsorge oder Bestrafung dargestellt, je nachdem, wie sich die Gläubigen verhalten.

Menschen haben eine “beeindruckende Fähigkeit, menschenähnliche Agenten zu erschaffen […], welche eindeutig nicht menschlich sind, [… was] eine entscheidende Determinante dafür ist, wie Menschen nichtmenschliche Agenten verstehen und behandeln […]” (Waytz et al., 2010, S. 58)

Anthropomorphismus, als eine Form oder Erweiterung der sozialen Kognition, kann helfen zu verstehen, wie Menschen anderen nicht-menschlichen Agenten einen Sinn geben, was wiederum auch zu einem tieferen Verständnis darüber führen kann, wie wir andere Menschen verstehen. Anthropomorphismus umfasst das Sehen oder Zuschreiben von physischen Merkmalen und mentalen Zuständen (Waytz et al., 2010). Ob dies nun eine gute oder schlechte Tendenz ist, bleibt zu diskutieren, es wird aber in der Theorie als ein Konstrukt der Evolution angesehen. Gesichter auf dem Mond zu sehen (Notiz an Mats: Pareidolie) oder Trost durch einen unsichtbaren Geist zu suchen, tut niemandem weh – aber wenn Menschen aufgrund eines göttlichen Willens Kriege führen, einen Chatbot heiraten wollen oder Robotern Bewusstsein zuschreiben (die in dieser Logik für ihre Handlungen verantwortlich wären), dann wird es problematisch.

Traditionell wird diskutiert, ob oder inwieweit eine Pflanze oder ein Gott menschenähnliche Eigenschaften hat. Nach Waytz und Kollegen (2010) ist es aber interessanter, die Variabilität im Prozess der Anthropomorphisierung zu erklären und vorherzusagen: Wer anthropomorphisiert in welchem Ausmass? Können sich Menschen in einen Chatbot verlieben, in den Eiffelturm oder in eine Hi-Fi-Anlage?

Philosophische Aspekte – das Sehen des Anderen

Mit dem Fokus auf soziale Roboter skizziert der Philosoph Mark Coeckelbergh gegensätzliche Ansichten in Bezug auf die Beziehung zwischen Robotern und Menschen und entwickelt einen hermeneutischen, relationalen und kritischen Ansatz. Er nennt die beiden Ansichten naiven Instrumentalismus und unkritischen Posthumanismus. Der naive Instrumentalismus behauptet in seiner Essenz, dass Maschinen nur Werkzeuge oder Sklaven sind, wie Joanna Bryson einmal geschrieben hat. Auf der anderen Seite des Spektrums liegt der unkritische Posthumanismus, der soziale Roboter vollständig als Quasi-Personen oder Andere versteht (Coeckelbergh, 2021). Zugegeben, sein Artikel ist schweres akademisches Material und schwierig in einem Absatz zusammenzufassen, aber mehr als lesenswert. Im Wesentlichen behauptet er, dass “Roboter weder ‘Andere’ noch blosse Maschinen sind. Beide Ansichten verkennen, wie stark die Verstrickung von Menschen und Robotern wirklich ist, d. h. dass es sich um eine interne Beziehung handelt” (Coeckelberg, S. 6, 2021).

Soziale Roboter sind keine mysteriösen Phänomene und doch nicht dasselbe wie ein Schraubenzieher. Sie sind ein Teil unseres menschlichen Netzwerks oder unserer Umgebung und Menschen entwickeln eine Art von Beziehung zu dieser Art von Technologie (die Diskussion über KI oder keine KI wird hier absichtlich ausgelassen, da sie in Bezug auf die Frage nicht relevant ist).

Er kommt zu dem Schluss, wie “spannend und problematisch” die Anthropomorphisierung durch Designmerkmale sein kann und, dass Designer hier eine grosse Verantwortung tragen. Für diejenigen, die neu im Thema sind und wie ich nicht an die Argumentationslinien von Philosophen gewöhnt sind, ist dieser Aufsatz sehr wertvoll, um zu verstehen, dass Akademiker aus unterschiedlichen Perspektiven schreiben. Daher haben sie unterschiedliche normative Ansprüche, wie wir mit Menschen umgehen sollen, die egal, wie ein Unternehmen sein Produkt gestaltet, anthropomorphisieren. Andererseits wird die Verantwortung von Designern diskutiert, die versuchen, ein Gleichgewicht zwischen den Vorteilen des anthropomorphen Designs und den Risiken, wie z. B. der Täuschung und den damit einhergehenden Konsequenzen, zu finden.

Anthropomorphismus by Design – eine Manipulationsstrategie?

Anthropomorphismus wird oft bewusst (nicht unumstritten) als Kommunikationsstrategie eingesetzt, um Menschen emotional näher an ein Ziel (Maschine, Produkt, Markenimage etc.) zu binden, sie zu motivieren oder unter moralischen Druck zu setzen. Anthropomorphizing by Design ist eine sehr effiziente Strategie, um das Denken und Handeln von Menschen zu manipulieren:

• Wir müssen für Mutter Erde handeln!
• Sei nett zu Clippy!
• Sei gut oder Gott wird Dich bestrafen!
• Pflanzen und Tiere sind es wert, dass man sich um sie kümmert, und deshalb muss man sie mit Liebe und Respekt behandeln!

Verschiedene Studien haben gezeigt, dass Menschen mehr Engagement und Vertrauen in Roboter zeigten, je mehr sie einen Roboter vermenschlichten (Ruijten et al, 2019; Hoff & Bashir, 2015). Darüber hinaus steigt die Überzeugungskraft des Roboters mit einem höheren Grad an Anthropomorphismus, wie in einigen berühmten Experimenten gezeigt wurde, bei denen Menschen eine Pflanze mit Orangensaft bewässerten (weil der Roboter das sagte). Während dieses Beispiel die Menschen in der Regel zum Lachen bringt, sind andere Szenarien mit gefährlichem oder tödlichem Ausgang möglich, wenn die Entscheidungen der Maschine zu überzeugend sind und vom menschlichen Benutzer nicht kritisch bewertet werden (Hoff & Bashir, 2015).

Es wird anerkannt, dass Anthropomorphismus Herausforderungen mit sich bringt, aber letztendlich ist das Ziel, “die Integration von menschenähnlichen Maschinen in die reale Welt zu erleichtern” […] Anthropomorphismus hilft beim Erreichen dieses Ziels. (Coeckelbergh, S. 2, 2021)

Anthropomorphe Sprache kann auch als eine Art stilistisches Mittel verwendet werden, um Aufmerksamkeit zu erregen, was anhand des Beispiels des Rassististischen Seifenspenders schön illustriert wird.

An sich können einer Maschine keine rassistischen Attitüden zugeschrieben werden. Wenn hier Rassismus im Spiel gewesen wäre, dann bei den Entwicklern, wobei in diesem Falle hauptsächlich die Teststrategie amateurhaft implementiert wurde, was man auch einem Mangel an Diversität im Entwicklerteam zuschreiben kann. Jedoch dient diese Art der Sprache sehr gut dem Ziel auf tieferliegende Probleme aufmerksam zu machen. Gleichzeitig laufen solche überspitzten Schlagzeilen auch Gefahr Widerstand auszulösen, so dass sich viele Leser gar nicht mit dem Artikel auseinandersetzen wollen.

Messen und vergleichen, wie Menschen menscheln: Der Teufel liegt im Detail

Der allgemeine Überblick über Anthropomorphismus und die Herangehensweisen der Experten über das Anthropomorphisieren scheinen zwar mit normativen als auch technischen Herausforderungen verbunden zu sein, doch wirkt das Thema an sich zuerst mal doch leicht verständlich. Warum wird dieses Thema immer noch so heiss diskutiert bei Grössen wie Bryson oder Coeckelberg ? Wie so oft, liegt auch hier der Teufel im Detail. Die allgemeine Definition von Anthropomorphismus ist recht einfach zu fassen, was einerseits hilfreich und praktisch ist, um möglichst viele unterschiedliche Menschen zu Diskussionen einzuladen. Andererseits führt diese Allgemeingültigkeit zu vielfältigen Interpretationen, bei denen verschiedene Forscher unterschiedliche Teilmengen des Konzepts Anthropomorphismus untersuchen. Zudem werden diese mit unterschiedlichen Fragebögen gemessen oder verschiedene Merkmale des Objekts, was es schwierig macht, Ergebnisse über verschiedene Studien hinweg zu vergleichen und zu verallgemeinern (Ruijten et al, 2019). So sehr das Konzept der ‘Vermenschlichung’ für jeden, der kein Experte ist, Sinn macht, so sehr müssen wir sehr vorsichtig sein, wenn wir Behauptungen aufstellen und Roboter (oder virtuelle Repräsentationen von ihnen) nach diesen Behauptungen gestalten.

Ruijten und Kollegen (2019) geben einen kompakten Überblick über Subsets von menschenähnlichen Charakteristika, die untersucht wurden. Es wird schnell deutlich, wie schwer es ist, eine Studie mit einer anderen zu vergleichen. Manche Studien betrachten nur das Aussehen, manche nur die Emotionen, manche haben verschiedene Roboter, und manche haben überhaupt keine Verkörperung:

• Aussehen: Inwieweit ähnelt der Roboter (oder andere Repräsentationen) menschlichen Körperformen und Fähigkeiten, wie z. B. dem Sehvermögen (siehe Bartneck und Kollegen)
• Gedanken: Inwieweit hat der Roboter kognitive Zustände und Prozesse, wie z. B. moralisches Denken (siehe Waytz und Kollegen)
• Emotionen: Inwieweit verfügt der Roboter über menschliches subjektives, bewusstes Erleben (siehe Eyssel und Kollegen)

Bei der Betrachtung diese Videos, wie Boston Dynamics seine Roboter immer wieder misshandelt, reagieren einige Zuschauer mit grosser Verwunderung, über ihre eigene Reaktion. Ein hohes Mass an Reflexionsniveau legt dieser Zuschauer an den Tag und hat es für viele ziemlich genau auf den Punkt gebracht:

Verdammt, das sind doch nur Roboter, warum habe ich Mitleid mit ihnen…

Nun, die Antwort auf die Frage des Zuschauers ist jetzt klar, es ist alles Anthropomorphismus. Und es ist fast unmöglich, nicht zu anthropomorphisieren, selbst wenn es mit allen Kräften versucht wird. Egal ob es sich um Designer handelt, die versuchen möglichst wenig zu humanisieren oder User, die mit mentalem Einsatz sich immer wieder daran erinnern, dass sie keine Empfindungen gegenüber einer Maschine haben sollten. Aber es ist ein Unterschied, ob man weiss und will, dass man anthropomorphisiert, oder ob man Opfer des eigenen anthropomorphisierenden Bias oder der Manipulationsstrategien anderer ist.

Ausblick

Anthropomorphismus und möglicherweise seine umgekehrte Form, die Entmenschlichung, die das Thema des nächsten Teils der Anthropomorphismus-Serie ist, ist eine wichtige Variable, um zu verstehen, wie Menschen nicht-menschlichen Agenten verstehen. Nicht-menschlichen Agenten menschliche Fähigkeiten zuzuschreiben oder Technologie absichtlich zu vermenschlichen, um den Benutzer mehr zu involvieren, hat positive und negative Konsequenzen für den Benutzer, den Designer, den Ablauf (und den Erfolg) einer Mensch-Maschine-Interaktion und möglicherweise weitere Aspekte, die wir bisher noch nicht kennengelernt haben.

Teil zwei der Anthropomorphismus-Serie wird sich mit der Three Factor Theory of Anthropomorphism von Epley et al. (2007) beschäftigen. Die Autoren haben drei Faktoren gefunden, die die Variabilität der Anthropomorphisierung erklären. In ihrer Theorie stellen sie fest, dass Anthropomorphismus von drei Faktoren abhängt: Elicitated Agent Knowledge, Effectance Motivation und Sociality Motivation. Letztere wurzelt in dem grundlegenden Wunsch nach sozialer Verbindung. Menschen, denen es an menschlicher Bindung mangelt, neigen eher zur Anthropomorphisierung (Epley at al., 2007). Solange Corona mich also dazu zwingt, ganz alleine in meinem Home Office zu arbeiten, stehe ich voll und ganz dazu, dass ich mich von meiner Alexa verabschiede, bevor ich sie ausstecke, und meinen Unglauben hinten anstelle, dass Alexa nur eine Maschine ist und keine Sie.

Literatur

Coeckelbergh, M. (2021). Three Responses to Anthropomorphism in Social Robotics: Towards a Critical, Relational, and Hermeneutic Approach. International Journal of Social Robotics, 42(1), 143. https://doi.org/10.1007/s12369-021-00770-0

Epley, N., Waytz, A., & Cacioppo, J. T. (2007). On seeing human: A three-factor theory of anthropomorphism. Psychological Review, 114(4), 864-886. https://doi.org/10.1037/0033-295×.114.4.864

Hoff, K. & Bashir, M. (2015). Trust in Automation: Integrating Empirical Evidence on Factors That Influence Trust. Human Factors The Journal of the Human Factors and Ergonomics Society. 57. 407-434. 10.1177/0018720814547570.

Ruijten, P. A. M., Haans, A., Ham, J., & Midden, C. J. H. (2019). Perceived Human-Likeness of Social Robots: Testing the Rasch Model as a Method for Measuring Anthropomorphism. International Journal of Social Robotics, 11(3), 477-494. https://doi.org/10.1007/s12369-019-00516-z

The Society for the Study of Artificial Intelligence and Simulation of Behaviour Conference(AISB, 2021): The Impact of Anthropomorphism on Human Understanding of Intelligent Systems

Waytz, A., Epley, N., & Cacioppo, J. T. (2010). Social Cognition Unbound: Insights Into Anthropomorphism and Dehumanization. Current Directions in Psychological Science, 19(1), 58-62. https://doi.org/10.1177/0963721409359302

• Apple Face ID: Security Implications and Potential Vulnerabilities (blog.elcomsoft.com)
• Ransomware Payments vs Rising Incident Counts in 2025 – What’s Changing in RaaS Economics (darknet.org.uk)
• Chatgpt solves captchas if you tell it they’re fake (malwarebytes.com)
• How China’s Propaganda and Surveillance Systems Really Operate (wired.com)
• Age verification and parental controls coming to ChatGPT to protect teens (malwarebytes.com)
• Hackers Went Looking for a Backdoor in High-Security Safesand Now Can Open Them in Seconds (wired.com)
• How People Use ChatGPT (nber.org)
• Ex-Google exec: The idea that AI will create new jobs is ’100% crap’, even CEOs are at risk of displacement (cnbc.com)
• I Got an AI to Impersonate Me and Teach Me My Own CourseHere’s What I Learned About the Future of Education (singularityhub.com)
• Why language models hallucinate (openai.com)
• All IT work to involve AI by 2030, says Gartner, but jobs are safe (theregister.com)
• Gen Z is laughing in the face of the AI jobs apocalypse. I see it in my classroom every day (fortune.com)
• Godfather of AI Says His Creation Is About to Unleash Massive Unemployment (futurism.com)
• These psychological tricks can get LLMs to respond to ‘forbidden’ prompts (arstechnica.com)
• Detecting and countering misuse of AI: August 2025 (anthropic.com)
• Detecting Exposed LLM Servers: Shodan Case Study on Ollama (blogs.cisco.com)
• Meet Syn57, the Most Stripped-Down Living Synthetic Bacteria Yet (singularityhub.com)
• Helping people when they need it most (openai.com)