204. Newsletter - sicherheitskultur.at - 31.01.2024

von Philipp Schaumann

Hier die aktuellen Meldungen:

1. Bargeldobergrenze von 10.000 Euro

Die EU hat nun im Kampf gegen professionelle Geldwäsche Bargeldobergrenzen beschlossen (jedes Land darf niedrigere Grenzen beschließen, aber nicht höhere). Die Grenze ist 10.000 Euro pro geschäftlicher Transaktion, wer mehr als 3.000 Euro in bar bezahlt, wird sich ausweisen müssen. Schon bisher mussten Banken, Casinos u.ä. Institutionen verdächtige Aktivitäten den Behörden melden, diese Auflage bekommen jetzt auch Kryptowährungsbörsen, Luxusgeschäfte, Juwelier:innen, Kunsthändler:innen, sowie Profi-Fußballvereine und Spieler:innenvermittler. Es geht um den Kauf von Premium-Automobilen, Booten und Yachten sowie Kunstobjekten - ich halte diese Grenze für sehr großzügig, im Geschäftsverkehr zwischen Unternehmen sollte Bargeld keine wirkliche Rolle spielen. Transaktionen zwischen Privatpersonen sind nicht umfasst, die Oma darf also dem Enkel auch weiter einen Betrag über 10.000 Euro schenken und auch private Gebrauchtwagenkäufe sind nicht betroffen. Hier noch ein Artikel mit Details: Kampf der Geldwäsche: EU beschließt strengere Regeln.

Trotzdem schleichender Zwang zum Smartphone

So weit, so gut, aber lästig finde ich es, wenn Bargeld an anderer Stelle komplett ausgebremst wird: Keine Barzahlung in Hamburger Bussen. Ich hatte nach meinem Asien-Urlaub von Lokalen berichtet, in denen man nur mittels Smartphone etwas zu essen bekommt. Zum Glück gab es ausreichend alternative Lokale, das 'Problem' war sehr begrenzt.

Anders ist es aber, wenn das eine Behörde, die ein Monopol für Dienstleistungen hat, wie die öffentlichen Busse in Hamburg dies tut. Dort kann man nur noch per App oder mit einer Prepaid-Karte bezahlen. Begründet wird dies mit dem Aufwand für die Busfahrer, Geld zu kassieren. Anderseits wird berichtet, dass pro Bus und Tag zuletzt nur noch zehn Fahrgäste überhaupt ein Ticket bar bezahlt haben - d.h. die Belastung für die Fahrer:innen ist wohl begrenzt. Und die Prepaid-Karten sind wohl derzeit knapp.

Ein verwandtes Thema: Die Deutsche Bahn (DB) will ab Mitte 2024 die Bahncard nur noch in digitaler Form via App anbieten und auf die Variante aus Plastik verzichten. Die Erklärung: Angeblich nutzen bereits 60% die digitale Bahncard über die Navigator-App - die anderen, zB Menschen ohne Smartphone (Kinder) haben dann keine Bahncard mehr. Die Navigator-App ist für Menschen mit Sehbehinderung aber nur schwer nutzbar. Ein anderer Artikel berichtet, dass in einigen Landkreisen die Schüler ab 2024 keine Schülertickets auf Papier oder Plastik mehr bekommen, sondern eben ein Smartphone brauchen.

2. Wie geht das weiter mit den Supermarktkassen?

Im Oktober Newsletter hatte ich vom Trend zur Selbstbedienung berichtet (den ich kritisch sehe, unter anderem, weil oft die Bedienoberfläche und die grundsätzliche Bedienung so schlecht programmiert sind, dass sie selbst für Menschen ohne Einschränkungen oft nicht einfach zu nutzen sind - hier zum vorigen Beitrag zu European Accessibility Act).

Heute 2 neue Artikel dazu: Britische Supermarktkette 'Booths' dreht Selbstbedienungskassen ab, der menschliche Kontakt sei für ihre Kunden wichtig.

Dann eine Nachricht aus Berlin, die in die umgekehrte Richtung geht: REWE experimentiert mit 'kassenlosem Einkauf'. Das ist eine Weiterentwicklung des bisher von REWE getesteten 'Pick-&-Go-Systems' mit Abrechnung über die "Pick&Go"-App. Im ganz neuen System wird der Barcode weder von den Angestellten noch vom Kunden gescannt, der Kunde nimmt sich das was er/sie braucht aus dem Regal, geht zum Kassenbereich und zahlt dort an einem Kassenterminal die Summe die errechnet wurde. Das klappt angeblich sogar mit Dingen aus dem Backregal.

Der Schlüssel liegt in einigen Hundert Kameras an der Decke. Sie beobachten jeden Kunden bei seinen Aktivitäten zwischen den Regalen. Angeblich funktioniert das System komplett ohne Identifizierung des jeweiligen Kunden - REWE sagt, es fände eine Skelettkontrolle statt - ich vermute, es geht um Gait-Recognition, dh eine Analyse der Bewegungen, vor allem des Gangs. REWE weist am Eingang zu diesen Läden stolz darauf hin, dass 'keine Gesichtserkennung' verwendet wird - nun ja. Netzpolitik.org nennt dies ein 'überspezifisches Dementi' - wer sich im Netz die Datenschutzerklärung ansieht, der merkt sehr schnell, dass da ganz automatisch sehr viele Daten anfallen.

Na ja, ich weiß nicht so recht, ich habe kein gutes Gefühl.

3. UN Cybercrime Convention - der nächste staatliche Angriff auf das bisherige Internet

Eigentlich klingt das irgendwie harmlos, ist es aber leider nicht. Wir haben bisher die Budapester Konvention des Europarats gegen Cybercrime. Das reicht aber den totalitäten Staaten nicht als Kontrolle über ihre aufmüpfigen Bürger. Daher hat Russland 2019 eine Resolution gegen Online-Verbrechen und Computerkriminalität in die UN-Generalversammlung eingebracht. Der vollständige Titel ist "International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes".

Das Problem ist, dass dann laut aktuellem Entwurf, alle "Verbrechen", die eine Strafvollzugszeit von mindestens vier Jahren vorsehen, auf Basis der Konvention verfolgt werden. Dies könnte es Staaten ermöglichen (oder erzwingen), elektronische Beweise auszutauschen, sowie in Bereichen polizeilich und justiziell zusammenzuarbeiten, bei denen es um "Verbrechen" wie Homosexualität und kritische journalistische oder politische Arbeit geht. Zusätzlich führt die Präambel 'Terrorismus' als Straftatbestand an, ohne diesen genau zu definieren.

Offen ist auch die Definition von 'cyber-abhängigen' Verbrechen (cyber-dependant) gegenüber 'cyber-ermöglichten' Verbrechen (cyber-enabled). Im zweiten Fall inkludiert die Regelung auch alle Aktivitäten, bei denen etwa ein Smartphone genutzt wurde, z.B. journalistische Recherche. Das geht weit über die Straftatbestände hinaus, die die derzeitige Cybercrime Konvention abdeckt. Speziell eine Erweiterung auf jede strafrechtliche Handlung, bei der ein Computersystem verwendet wurde, wäre eine riesige Erweiterung.

Eine Entscheidung durch Mehrheitsabstimmung könnte dazu führen, dass die vielen Stimmen von diktatorischen Staaten in der UN diese Cybercrime Regelung durchsetzen. Sie werden dann auch darüber entscheiden, wie wichtig Menschenrechtsstandards in unserem Bereich bleiben.

Aktualisierung Februar 2024:
IT-Sicherheitsforscher protestieren gegen geplante UN-Cybercrime-Konvention. Der aktuelle Entwurf könnte dazu führen, dass die Suche nach Zero-Day Verwundbarkeiten generell kriminalisiert werden könnten.

Aktualisierung März 2024:
Sehr gute 20-minütige Erklärung (auf deutsch) von einer Teilnehmerin der Verhandlungen - ab 25:05 - oder ein Interview mit ihr: "Hart umkämpft, ohne Resultat". Hoffentlich wird nichts aus dieser Entwicklung.

4. Bitcoin ETFs - was ist das und haben wir das gebraucht?

In den USA wurden börsennotierte Fonds zugelassen, die direkt in Bitcoin investieren, sogenannte Bitcoin-Spot-ETFs. Genehmigt wurden elf Anträge, unter anderem von Investment-Schwergewichten wie Blackrock und Fidelity. Das heißt, Menschen können Bitcoin zu den aktuellen Preisen kaufen und verkaufen und so damit spekulieren, so bequem wie bei Aktien oder Anleihen. Der Käufer bekommt lediglich ein Zertifikat, das besagt, dass man Anspruch auf die gekaufte Menge X hat, keine Mühen mit Wallets und Sicherheitsschlüsseln, die man verlieren oder sich abnehmen lassen kann. Die doppelt-virtuellen Bitcoins liegen im (Aktien-)Depot des Käufers. Möglich ist so etwas (derzeit) in Europa (noch?) nicht.

Unter den 11 offiziellen Anbietern solcher Depots liegt dann noch mal ein komplexes 'Ökosystem' von Firmen, die das Ganze durchführen und auf jeder Ebene 'finanziell mitschneiden', d.h. Gebühren erheben. Diese Firmen verfolgen den 'richtigen' Bitcoin-Kurs, passen den ETF-Kurs zeitnah an, verwalten die Wallets für die 11 Firmen und kaufen, bzw. verkaufen, je nach Bedarf - bestimmt ein einträgliches Geschäft. Und wie immer gilt: egal ob die Kunden gewinnen oder verlieren, die Gebühren werden immer fällig.

Der von vielen erwartete Kursanstieg von Bitcoin blieb bis jetzt aus, im Gegenteil. Bitcoin-Puristen haben nicht vor, diese Fonds zu nutzen, ideologisch sehen sie das als 'Verrat an den Bitcoin-Konzepten' einer Währung ohne regulatorische Kontrollen und Auflagen.

Mein voriger Beitrag zum Kryptothema war im April 2023.

5. Digital Identity Systems in der EU

Bei diesem Thema geht darum, dass alle EU-Bürger alle ihre Dokumente in einer App aufbewahren und vorzeigen können - aber nicht müssen - siehe mein früherer Beitrag zu eIDAS. Thomas Loninger von epicenter.works, der an der Lobbyarbeit zu diesem Thema stark beteiligt war, spricht in einem Vortrag über Digital Identity Systems, global und speziell auch über das System, das wir in der EU sehr bald bekommen werden. Sein Vortrag lautet: "Please Identify Yourself! What to expect of Europe's ubiquitous digital identification infrastructure".

Loninger vergleicht das indische Aadhaar-Projekt einer vollständigen digitalen Erfassung der Bevölkerung mit der geplanten Implementierung in der EU, in die kritische NGOs, zusammen mit kritischen Abgeordneten, es geschafft haben, viele sehr gute Features in das Design einzubauen. So wird die Nutzung dieses Systems am Smartphone optional sein, alle Dienstleistungen müssen auch ohne dieses System verfügbar sein.

Für alle, die die Vorteile nutzen wollen ist wohl einer der besten Vorteile, dass das System in der Lage sein wird, sehr selektive Auskünfte zu geben: Zum Beispiel ist eine Altersverifikation möglich, ohne dass die entsprechende Stelle mein Geburtsdatum erfährt und darüber vielleicht eine Tracking-Option erlangen könnte (Zero-Knowledge-Proof). Für alle Dienstleistungen, die nicht an meine Identität gebunden sind, wird es ein Recht auf Pseudonymität geben. Ebenso soll ausgeschlossen sein, dass eine Kette von Verifikationen erstellt wird: Wenn ich heute mein Alter nachweise und morgen wieder, so kann die verifizierende Stelle nicht identifizieren, dass ich gestern auch schon da war. Wir werden aber aufpassen müssen, dass diese tollen Features nicht irgendwann, z.B. aus Gründen der 'nationalen Sicherheit' ausgehebelt werden.

Aber es konnten von den NGOs nicht alle Wünsche durchgesetzt werden: Open Source wird es nur teilweise geben. Zwar können die Stellen, gegenüber denen ich z.B. das Alter nachweise, mich nicht tracken, aber die zentralen Regierungsserver wissen sehr wohl, wo ich mein Alter nachgewiesen habe. Wenn mich das stört, muss ich weiterhin den Personalausweis dafür nutzen, aber dann gebe ich der prüfenden Stelle natürlich meine volle Identität. In Österreich ist ID Austria eine erste frühe und unvollständige Implementierung des kommenden Systems.

Zur Erheiterung oder zum Gruseln
Der Midjourney prompt steht am Kopf des Tweets: Old wise man hugging unicorn.

Nein, das Horn ist nicht das einzige Problem in der Grafik ;-) - das 'Weltverständnis' der Systeme ist ganz nahe an Null

6. Aktualisierungen zu früheren Themen

Die virtuellen AI Girlfriends boomen.
Wieder scheitert AI beim fairen Aufdecken von Sozialhilfebetrug.
Immer mehr Inhalte in Netz sind AI-Translated Trash.
Noch etwas, das wir nicht gebraucht haben: AI-generierte Deepfake Videos und Telefonanrufe im kriminellen Einsatz: virtuelle Entführungen und Fake Anrufe von Politikern.
Ich hatte über das tolle Mission Statement von OpenAI berichtet. Dort stand u.a. auch drin, dass ihre Systeme nicht für militärische Zwecke eingesetzt werden dürfen. Die NYT berichtet nun: OpenAI Quietly Deletes Ban on Using ChatGPT for “Military and Warfare”. Das viele schöne Geld, das sich beim Militär verdienen lässt . . .
Geschätzte 40 Milliarden US$ Schaden durch Stablecoin-Betrug seit 2022.
Das DMA besagt, dass der App-Store von Apple eine unerlaubte Monopolisierung darstellt. Nun reagiert Apple darauf, aber die Reaktion wird von Kritikern als 'totale Farce' bezeichnet. Ein anderer Artikel: Digital Markets Act: Dreist, dreister, Apple. Das wird noch spannend werden.
Eine Bestandsaufnahme zum 2 Jahre alten Problem Log4Shell / log4j. So etwas läuft unter Supply Chain Attack - Angriff in der Kette der Zuliefer. Hier ein aktuelles Beispiel: MavenGate Attack Could Let Hackers Hijack Java and Android via Abandoned Libraries. Von solchen Angriffen gab es in den letzten Jahres sehr viele. Solche Angriffe sind für die Angreifer sehr interessant. Mit einem Schlag gibt es Tausende bis zu viele Millionen verwundbare Rechner im Netz. In diesem Fall geht der Angriff über Bibliotheken, die keinen Support mehr haben, aber in vielen Apps weiter aktiv sind.

Kostenlos: ÖIAT-Online-Schulungen

Auch weiterhin kostenlose Online Schulungen beim Österreichischen Institut für angewandte Telekommunikation (ÖIAT). Hier die kommenden Termine und Themen - alle diese Schulungen sind empfehlenswert (ich nehme an vielen davon Teil).

Die Termine und Themen der neuen Kurse: (jeweils Montags 18:30 - 20:00)

12. Februar | Betrugsfallen & Fakes im Internet

11. März | Wie schütze ich mich vor Identitätsdiebstahl?

Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email - wie gesagt: m.E. sehr empfehlenswert.