Im Vergleich zur Region Asien-Pazifik verfügen die USA, wo Dubey einen Großteil seiner Laufbahn verbracht hat, über deutlich stärker strukturierte Compliance-Vorgaben und Rahmenwerke in verschiedenen Technologiebranchen. Dort greifen zudem bundesstaatliche Regelungen ineinander. Asien habe zwar ebenfalls eine vernetzte Wirtschaft, und einzelne Länder wie Singapur seien gut reguliert — doch die Unterschiede zwischen den Staaten müssten Unternehmen einkalkulieren.
Als Beispiel nennt Dubey ein Unternehmen mit Sitz in Singapur, das vermutlich zugleich in Indonesien, Malaysia, Thailand, den Philippinen, Vietnam, Indien, China und anderswo tätig ist. „Jedes dieser Länder hat eine sehr unterschiedliche Art, Compliance und Regulierung umzusetzen, und die meisten Anbieter, mit denen man am Ende zusammenarbeitet, stammen aus verschiedenen Ländern dieser Region — und genau da liegt das größte Problem: Man kennt die Reife jedes einzelnen Anbieters nicht", sagt er. Man wisse weder, welche Technik diese Anbieter einsetzten, noch wie die Produkte zusammengesetzt seien, die man in die eigene Plattform einbinde.
Dubey verdeutlicht dies an einem weiteren Fall: Ein US-Unternehmen könnte ein Produkt in Singapur entwickeln und dabei ein chinesisches KI-Modell verwenden — drei Länder mit drei verschiedenen Regelwerken.
Auch Asien hat laut Dubey seine eigene Bedrohungslandschaft mit regionalen Besonderheiten. So würden Unternehmen in Singapur häufig von staatlich gesteuerten Akteuren ins Visier genommen, und die Bank Indonesia habe kürzlich einen schweren Sicherheitsvorfall erlitten. Erschwerend komme hinzu, dass die Kosten für einen Angriff und die Zeit bis zur Ausnutzung weiter sinken.
KI steht im Mittelpunkt des Panels, da Organisationen weltweit — auch in Asien — große Sprachmodelle einführen, die für ihren Betrieb eine enorme Zahl an Drittanbieter-Integrationen erfordern können. In der Session-Beschreibung heißt es, diese vernetzte KI-Lieferkette beschleunige Innovation, erweitere aber zugleich die Angriffsfläche auf eine Weise, für die herkömmliche Programme zum Anbieterrisiko nicht ausgelegt seien. Die Teilnehmer wollen außerdem reale Kompromittierungen, die Bedrohungen für die digitale Lieferkette in Asien sowie die Vorbereitung auf die nächste Welle KI-gestützter Angriffe behandeln.
Als Antwort schlägt Dubey ein dreischichtiges Vorgehen von außen nach innen vor. Die erste Schicht besteht darin, alle Anbieter zu erfassen, mit denen man zusammenarbeitet und verbunden ist. Die zweite Schicht sieht den Aufbau einer Beobachtungs- und Überwachungsebene vor, sobald Anbieter ins eigene Ökosystem aufgenommen wurden, damit bei Sicherheitsproblemen Warnungen ausgelöst werden. Die dritte, am weitesten innen liegende Schicht zielt darauf ab, dass die Organisation prüft, ob die von ihr genutzten KI-Systeme sicher sind, und die nötigen Kontrollmechanismen einrichtet.
Die Black Hat Asia 2026 findet vom 21. bis 24. April im Marina Bay Sands in Singapur statt.
