184. Newsletter - sicherheitskultur.at - 31.05.2022

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Chatcontrol gegen 'sexualisierte Gewalt gegen Kinder'

Hier geht es um den 'unglücklichen (und untauglichen)' Versuch der EU, ein gruseliges Problem dadurch zu lösen, indem ein anderes Problem geschaffen wird.

Es geht um die sog. Chatcontrol (siehe auch der vorige Newsletter), d.h. um die geplante Anordnung, dass IT-Anbieter einen Weg finden müssen, wie sexualisierte Gewalt an Kindern, d.h. entsprechende Fotos die ausgetauscht werden sollen, aber auch das Anbahnen von sexuellen Kontakten zwischen Erwachsenen und Kindern entdeckt und gemeldet werden sollen.

Wie das funktionieren könnte, das ist nicht ganz klar. Der simple Weg, zumindest was Fotos betrifft, das wäre wenn endlich die von den Polizeibehörden eh nicht geliebte Verschlüsselung bei Messaging-Diensten wie Whatsapp, Signal, iMessage, etc. geschwächt werden würde. Zu Problem 2 gibt es aber selbst dadurch noch keine geniale Lösung.

Weil es in der Zivilgesellschaft (und zum Glück aber auch bei einigen Politikern) ordentlichen Widerstand gegen das Aufweichen der Ende-zu-Ende-Verschlüsselung gibt wird von der EU eine andere Methode angedacht: 'Irgendwie' sollen intelligente Algorithmen auf den Endgeräten Bilder mit sexualisierter Gewalt gegen Kinder erkennen und nur in diesem Verdachtsfall die Bilder an (neu zu schaffende) Behörden weiterleiten. Dagegen wehren sich sogar eine Reihe von Kinderschutz-Organisationen.
Update März 2023: Eine Überwachung von Messengerdiensten würde viele Jugendliche unverschuldet wegen verschickter Nacktbilder kriminalisieren, kritisieren die österreichischen Kinderschutzorganisationen. In 2022 betrafen 1.073 der 1.921 Anzeigen wegen Darstellung sexuellen Missbrauchs von Minderjährigen Personen, die selbst unter 18 Jahre alt sind.
Hier mehr zu Nacktfotos wenn man unter 18 ist, "Stichwort Sexting".

Probleme sind dabei, dass noch niemand eine Idee hat, wie dies auf den Endgeräten ohne eine riesige Zahl von Falschmeldungen (false-positives) passieren könnte, zum anderen, dass viele Regierungen nur darauf warten, eine solche Schnittstelle zur Überwachung ihrer Opposition nutzen zu können.

Letztendlich ist der Versuch untauglich, weil die Profis, die auf diese Weise unglaublich viel Geld verdienen ganz sicher Wege finden werden, die Überwachung zu umgehen (evt. reicht es, statt Handys Linux-PCs zu nutzen), aber viele 'Amateur-Regime-Gegner' in Diktaturen würde es erwischen.

Sehr interessant zum Thema 'sexualisierte Gewalt gegen Kinder' ist das Interview mit dem Leiter des Instituts für Cyberkriminologie an der Hochschule der Polizei des Landes Brandenburg: Die meisten Tatverdächtigen bei 'Kinderpornografie' sind minderjährig. Die Details zu dieser verblüffenden Aussage finden sich um verlinkten Artikel und auch in den nächsten 2 Links:

- "Dass Kinder Nacktbilder bekommen, ist schon fast Normalität" und
"Wenn Sexting zur Kinderpornografie wird".

Ende Mai werden neue Details des Entwurfs bekannt. Er enthält wohl auch eine Altersverifikation. Das ist schwierig ohne Verletzung von Datenschutz und Anonymität. Die Altersverifikation könnte bedeuten, dass Self-Sovereign Identity-Login verpflichtend zum Einsatz kommt, ebenfalls von Datenschützern kritisiert, weil dies das Ende des anonymen Surfens wäre. Außerdem stehen im Entwurf Kontrolle von Appstores und der Zwang von Internetprovidern zu Netzsperren, z.B. wenn Apps den Anforderungen nicht nachkommen und ihre Ende-zu-Ende-Verschlüsselung nicht aushebeln wollen.

Update Anfang Juli 2022: Das ignorierte 'false positive' Problem
Anfang Juli kam noch ein sehr gutes Argument gegen die Chatkontrolle vom sehr empfehlenswerten Newsletter Unstatistik des Monats: Falsch positive Chatkontrolle.
Hier der Punkt: einem Bericht zufolge liegt die Genauigkeit aktueller Grooming-Erkennungstechnologie bei etwa 90 Prozent. D.h. 90% aller Grooming-Aktivitäten werden erkannt. Das ist die 'true positive rate'. So weit OK. Aber viel wichtiger ist die 'false positive rate'. Wenn diese bei sehr ehrgeizigen 0,1% liegen würde, so würden von den rund 3 Milliarden täglichen WhatsApp-Nachrichten allein in Deutschland fast 3 Millionen Nachrichten jeden Tag, als unangemessen fehlklassifiziert. Die müsten wohl von der neu zu schaffenden Behörde manuell verifiziert werden, und diese Zahl ist nur Deutschland und nur WhatsApp, kein Instagram, TikTok, Signal, Telegram, etc. Die Behörden müsste auch alle Sexting-Nachrichten, d.h. einvernehmliche Nacktbilder sichten und bewerten. 'Bei Eingang solcher Meldungen sei Strafbarkeit nach nationalem Recht festzustellen', heißt es im Bericht. Viel Spaß dabei! ;-)

Update August 2022: Das 'false positive' Problem in der Praxis
Die NY-Times berichtet 2 Beispiele wie sich dieses Problem auswirkt: A Dad Took Photos of His Naked Toddler for the Doctor. Google Flagged Him as a Criminal. Es haben sich 2 Väter bei der Zeitung gemeldet. Der eine berichtet, dass er seine gesamten Online Aktivitäten bei Google hat: Gmail, Kalender, Kontakte, Android Handy, Google Cloud als einziger Speicher seines Handys und seiner Fotos, Google Hangout, sogar sein Handyvertrag lief über Google. Dann hatte sein Sohn im Lockdown ein medizinisches Problem, der Arzt bittet um ein Foto und der Vater sendet ein Foto der Genitalregion. Die automatischen Systeme von Google entdecken dies, sperren alle seine Account (inkl. Handy) und melden ihn der Polizei und übergeben dort alle seine Daten. Dort erklärt der Vater die Lage, die Polizei geht durch alle seine Daten (Fotos, Suchanfragen, Chats, Emails) und stellt die Ermittlungen ein. Aber Google weigert sich, die Accounts wieder zu öffnen oder ihm seine Daten zu geben. Fotos, Emails, Termine, alles weg. Weil auch die Handynummer weg ist kann er auch seine Accounts an anderen Stellen nicht recovern.

Im zweiten Fall ist jemand jahrelang zahlender Kunde der Google-Dienste, alles gesperrt, alle Daten weg. Google erklärt, das Thema sei ihnen sehr wichtig und die Google-Accounts sind futsch auch wenn die Polizei erklärt, dass war ein falscher Alarm. Beide Google-Nutzer hatten keine lokalen Sicherungen ihrer Fotos und Daten.

Hier das Ausmaß: Nur Google allein hat 2021 die Accounts von 600 000 Nutzern bei der Polizei gemeldet und über 270 000 Benutzern ihre Accounts gelöscht. Bei solchen Zahlen liegt es nahe, dass das wohl nicht alles Kinderpornographen sind. Hier eine deutsche Zusammenfassung der Fälle: Vater fotografiert nacktes Kind für Arzt: Google meldet Missbrauch.

Das Problem der Abhängigkeit der meisten Nutzer von den großen Cloud- und Diensteanbietern wie Apple, Google, Amazon, Microsoft kann gut mit dem mittelalterlichen Feudalsystem verglichen werden. Der Feudalherr kümmert sich um seine Gefolgsleute, diese sind ihm aber ausgeliefert (außer, sie machen zumindest eine lokale Kopie von allem)- hier mehr zum Internet als Feudalsystem.

Die Tatsache, dass einer der beiden Väter jetzt von gmail zu hotmail gewechselt hat, das zeigt, dass er die Problematik noch nicht ganz verstanden hat. Auch Eva-Maria Weiß auf heise.de hat Bauchschmerzen bei dieser Geschichte: Wer kontrolliert Google? Sie fragt sich, was die Technikkonzerne noch alles mit den Bildauswertungen anstellen.

Die Fortsetzung zu den Problemen von Chatcontrol gibt es im August und im November.

 

2. Wieder mal: VPN-Nutzung - gute Idee oder nicht?

Kurze Antwort: Finger weg davon. Nun der längere Text:
Im Internet liest man öfters Artikel und vor allem Werbung über sog. VPNs, Virtual Private Networks. Die Anbieter preisen sie als Lösung aller Internet-Probleme an: Datenschutz, Sicherheit, Verschlüsselung, ....

Ein ausführlicher kritischer Artikel erklärt die Problematik: Die Qual der VPN-Wahl.
Was tun VPN-Dienste: VPN-Software auf Handy oder PC verschlüsselt die Verbindung vom eigenen Gerät ins Internet und verbirgt daher meine IP-Adresse und damit teilweise) meinen Standort (dies kann hilfreich sein wenn ich Filme schauen will, die in meinem Land nicht lizensiert sind) - das Verbergen meiner IP-Adresse kann aber TOR besser, sicherer und kostenlos, da von Freiwilligen betrieben. Hauptproblem der VPNs ist, dass viele von ihnen vom Verkauf der Nutzerdaten leben.

Siehe auch mein früherer Bericht: Warum VPN-Dienste für die meisten mittlerweile sinnlos und oftmals sogar problematisch sind

 

3. Die geplünderten ukrainischen Traktoren und das Recht auf Reparatur

Viele haben vermutlich die Meldung gesehen: Russische Plünderer haben bei einem John Deere Händler in der Ukraine Traktoren u.ä. gestohlen, der Händler hat daraufhin die Geräte ge"bricked", d.h. in der Firmware gesperrt. Da kommt erst mal Schadenfreude auf, aber so ganz simpel ist gut und böse hier auch nicht verteilt.

Dass der Händler die Traktoren 'bricken' kann verdankt er dem 'VIN-locking' ('vehicle identification number'). Das hat heute leider jedes moderne Auto, viele Smartphones, viele Drucker und auch medizinische Geräte. Ziel von VIN ist, selbständiges Reparieren zu verhindern, die Kunden zu zwingen, immer in die Originalwerkstatt zu fahren, bzw. beim offiziellen Shop die Batterie wechsen zu lassen, etc. Denn die neuen Ersatzteile (oder Druckerpatronen) müssen "entsperrt" werden. Die Details in diesem Artikel von Cory Doctorow: About those kill-switched Ukrainian tractors

Ein Beispiel aus der Pandemie: Bei polnischen Medtronic's PB840 ventilators mussten während der Lockdowns Bildschirme getauscht werden, das verhindert aber dieser Lock. Ein ex-Medtronic-Angestellter hat illegal ausgeholfen und die selbst reparierten Geräte entsperrt. Das ist illegal, auch in der EU, wegen Article 6 der EU Copyright Directive.

Sehr wahrscheinlich werden aber auch die geplünderten Traktoren zum Ernteeinsatz kommen. Die Ukraine ist ein wichtiger Exporteur von alternativer Firmware für John Deere-Traktoren, diese wird vermutlich auch irgendwie ihren Weg nach Russland finden. Das Recht auf Reparatur ist bei den Konzernen nicht beliebt und da es technisch nicht entgültig verhindert werden kann, wird es als illegal erklärt. Die EU bemüht sich aber derzeit, ein besseres 'Recht auf Reparatur' zu verhandeln.

Cory Doctorow hat die ganze Problematik und Absurdität von Copyright bei der Privacyweek 2020 sehr eloquent vorgetragen. Auch damals waren die John Deere-Traktoren bereits ein Thema: Cory Doctorow: WE USED TO HAVE CAKE, NOW WE'VE BARELY GOT ICING.

Die Fortsetzung der John Deere Traktoren-Saga im August.

 

4. Stablecoins und andere Abstürze

In den letzten 8 Wochen kam es zu erheblichen Kursabstürzen bei den Kryptowährungen, sie scheinen sich durchaus nicht unabhängig vom Rest der anderen Geldanlagen zu bewegen - sogar die eigentlich stabilen Stablecoins. Alle Kryptowährungen zusammen haben in den 5 Monaten seit November 2021 den Gegenwert von 1500 Milliarden US$ 'vernichtet'. In wieweit man etwas vernichten kann, dessen Wert nur in der Vorstellung existiert ist noch mal eine andere Frage. ;-)
Zum Unterschied zwischen einer

Thema Stablecoins

Stablecoin sind Kryptowährungen deren Wert an eine konventionelle Währung wie US$ oder Euro oder Yuan gebunden sind, sie stehen nicht so in der öffentlichen Diskussion wie Bitcoin und andere, aber stellen mit 30 Währungen mit einem derzeitigen Gesamtwert (Anfang 2022) von 185 Milliarden US$ einen erheblichen Wert dar.
Nach dem Einbruch der Börsen und dem folgenden Einbruch bei den meisten Kryptowährungen kommen ab ca. Mitte Mai 2022 auch die Stablecoins unter Druck - wenn auch unterschiedlich stark: Abstürzende Kurse und steigende Sorge um Stablecoins. Der Artikel führt aus, dass die an den US$ gekoppelte Luna zwischendurch auf 0,3 US$ stand und sich dann auf 0,5 US$ erholte. (Zwischenzeitlich sogar auf 7 cents statt 1 $ - Hier der Kursentwicklung von TerraUSD und allen anderen Kryptowährungen). Tether hält sich vergleichsweise gut - in Tether sind immerhin 74 Milliarden Dollar investiert.

Noch eine Zahl zu den Verlusten rund um Terra: 38 Milliarden Dollar wurden innerhalb einer Woche vernichtet. (Zur Größenordnung: Russlands internationale Anleihen haben wohl den Wert von 40 Milliarden US$.)

Terra wurde als "sicheres" Investment zu beworben. Auf Telegram hatte Binance mit dem Slogan "Safe and happy" für das Portfolio geworben. Mehrere Regierungen planen, Werbeeinschränkungen für Krypto-Angebote einzuführen. Auch das Werben durch Influencer könnte künftig verboten werden, würden diese nicht auch auf die Risiken solcher Investitionen hinweisen. Viele der Betroffenen sind wohl Kleinanleger die teilweise ihr gesamtes Vermögen auf einen Schlag verloren haben. ... in Korea verloren wohl vor allem Menschen zwischen 30 und 40 Jahren ihre Altersversorge.

Ein Poster in derstandard.at schreibt dazu korrekt:
"Nein, Ihr Geld ist nicht weg ! Es hat nur jemand anderes."
Hier mein voriger Beitrag zu Stablecoins.

Wie verlieren denn Menschen ihr Kryptogeld?

Es gibt verschiedene Arten, bei Kryptospekulationen Geld zu verlieren. Das eine ist der Absturz der Währung selbst (siehe oben), oder aber der Bankrott der Kryptobörse meines Vertrauens. Hier einige Details: Was passiert, wenn meine Kryptobörse bankrottgeht?

Die meisten Anleger:innen kaufen nämlich ihre Coins auf Kryptobörsen wie Coinbase, Binance oder Bitpanda, die dann die Einlagen verwalten. Dort eröffnen sie ein Online-Wallet, genauer gesagt ein "Custodial Wallet". Wer ein solches anlegt, überträgt auch seinen Schlüssel zu den darin enthaltenen Coins, den 'Private Key', an die Börse. Sollte diese pleitegehen, können die Assets als Firmenvermögen betrachtet werden und Anleger*innen verlieren im Ernstfall ihre Einlagen. Die Kryptobörse Coinbase hat gerade vor so einer Situation gewarnt.

Das Geld ist auch weg wenn Hacker in die Börse eindringen und dort alle Schlüssel entwenden, siehe Coincheck 2018 - das passiert immer wieder mal. Oder die Betreiber der Börse sind selbst Gangster.

Oder der:die Kryptoinvestor:in traut diesen Börsen nicht und verwaltet seine:ihre Schlüssel selbst, dann muss er:sie sehr gut darauf aufpassen, siehe die Berichte über Totalverluste.

Woher kommt der Hype?

Woher kommt der augenblickliche Hype um alle Formen von Kryptogeld? Das hängt u.a. mit dem Superbowl in den USA zusammen: Viele Kryptobörsen, einschließlich Crypto.com und FTX, haben den Super-Bowl genutzt, um Werbung für ihre Krypto-Plattformen zu schalten. Für einige der Investoren kommt jetzt eine Ernüchterung: In der Futurezone: Reaktionen auf Terra-Crash: "All meine Ersparnisse verloren". Zitat aus dem Artikel:
"Natürlich, für Leute, die nicht in den obersten 0,1 Prozent sind, ist das ein schwerer Schlag", sagt ein Investor, der 20.000 Dollar verloren hat. "Dennoch geht das Leben weiter und es wird wieder Gelegenheiten geben, um mehr Geld anzusammeln und Profite am Weg einzustreichen. Man darf da nicht zurückblicken, nur nach vorne, und die nächsten Schritte planen."

Die NY Times berichtet, dass die Prominenten die in den letzten Jahren, mit einem Höhepunkt beim US-Superbowl, so kräftig Kryptowährungen beworben haben mittlerweile ruhiger geworden sind: All Those Celebrities Pushing Crypto Are Not So Vocal Now.

Hier jetzt ein sehr gutes Interview mit David Gerard, einem Kenner und Kritiker der Kryptowelt. Es geht um die Probleme des Kryptokonzepts und die Regulierungmöglichkeiten von denen Gerard sicher ist, dass sie kommen werden, weltweit. Regierungen haben nämlich Angst, dass die Kryptospekulanten die reale Wirtschaft zu Fall bringen könnten, ähnlich wie die US-Hauskredit-Spekulanten es 2008 fast geschafft hätten. (Weiter unten ein Beispiel für den Einstieg von US Pensionsfonds in Kryptospekulationen - so etwas macht den Finanzaufsichten Angst). Eine seiner prägnanten Aussagen:
   "Natürlich kann man mit Krypto ein Vermögen machen. Dafür muss man aber ein gefährlicherer Hai sein als die anderen Haie, die die Regeln im Becken gemacht haben."

Was man bei allen Kryptowährungsdingen nicht vergessen darf: die mittlerweile riesigen Werte der Kryptowährungen stehen nicht mal auf Papier, sondern sind rein virtuell - gestützt durch den Glauben, auf diese Weise reich werden zu können. Die durch die exorbitanten Kurssteigerungen entstandenen Beträge können nur in 'richtiges Geld' gewechselt werden, wenn sich genügend andere finden, die 'richtiges Geld' in diese Kryptowährungen umwechseln, es entstehen ja keine wirklichen (physischen) Werte (so wie dies bei Aktien von Industrieunternehmen der Fall sein sollte).

Aktualisierung Januar 2024:
Ein Bericht schätzt die Schäden die durch Stablecoin-Betrug seit 2022 entstanden sind auf 40 Milliarden US$. Das ist ein erheblicher 'Wirtschaftszweig'. :-(

 

Immer wieder was neues in der Kryptowährungsszene:

5. Yield Farming als neue Form von DeFi (decentralized finance) - ein weiteres Pyramidenspiels

Hier eine Definition von Yield Farming
   . . . "a form of crypto investment in which people can buy into 'liquidity pools' that can pay super-high interest rates".
Das fällt wohl in die Kategorie 'if it sounds too good to be true, it probably isn't'.

Wired berichtet über ein überraschend ehrliches Statement dazu in einem Podcast. Der CEO erklärt das Prinzip:

Das ist wie wenn eine Firma ein Kiste baut, die nichts produziert und auch nicht erklären kann, warum diese Kiste je Geld abwerfen würde. Aber die Firma bietet Investoren die Möglichkeit einer Beteiligung an dieser Kiste. Wenn das überzeugend erklärt wird, so führt das optimalerweise zu einer großzügigen Marktkapitalisierung, die eigentlich vollkommen unberechtigt ist. Durch die nun angekurbelten Einzahlungen können den frühen Investoren großzügige Renditen gezahlt werden, die zu mehr Einzahlungen führen. D.h. trotz des eigentlichen Werts von Null erzeugt die Kiste Renditen und (frühe) Investoren verdienen Geld - und wer sagt jetzt, dass das falsch sei?"

Rückfrage des Interviewers: "I think of myself as a fairly cynical person. And that was so much more cynical than how I would've described farming. You're just like, 'Well, I'm in the Ponzi business and it's pretty good.' (Ponzi Scheme = Pyramidenspiel, eine Form des Betrugs) - Die ehrliche Antwort: "I think that's a pretty reasonable response".

Weiter wird berichtet, dass 2 US Pensionsfonds in Fairfax County, Virginia jetzt in Yield Farming einsteigen wollen. Der Kern des Artikels: Ja, man kann (noch) die Kryptoblase vermeiden, indem man nicht in solche Sachen investiert. Aber wenn erst mal die Mainstream-Fonds in Pyramidenspiele einsteigen, so hängen wir alle irgendwie mit drin. Hier das wired-Interview auf deutsch zusammengefasst.

Die Website https://yieldfarming.com/ beschreibt Yield Farming als: "Learn to digitally 'print money' with DeFi (decentralized finance). . . . Welcome to the new world.

Im August gibt es neues aus dem Umfeld von Kryptogeld.

 

6. Bizarres aus der NFT-Welt: Ein Reporter will NFTs ausprobieren und alles ist futsch

Eine recht kurze Episode: In den USA gab es eine Zeitlang das Angebot von NFTs zur Pizzakette Olive Garden. Der Reporter wollte (als Geschenk) ein solches NFT kaufen, Wert 20$, aber gekostet hat es ihn (mit diversen Gebühren) fast 300 $. Und dann klagt Olive Garden wegen Trademark-Verletzung und der Wert ist nun Null. Kurze, aber bizarre Geschichte: I tried to buy an Olive Garden NFT. All I got was heartburn.

Noch eine NFT-Story: Der US-amerikanische Schauspieler Seth Green plant eine TV-Serie mit NFTs als digitale Stars, darunter einem "Bored Ape". Dummerweise ist ihm nun ausgerechnet Fred, der virtuelle Hauptdarsteller der Serie, mittels eines Phishing-Angriffs virtuell abgenommen worden.
Hier mein voriger Beitrag zum Thema NFT.

 

2x Serien von Vorträgen/Infos/Schulungen

Dienstags, nicht ganz regelmäßig, aber sehr interessant für die Zielgruppe IT- und Internet-Laien:

Webinare zu vielfältigen Internet-Themen

Bereits in Newsletter 182 berichtet, aber es gibt immer wieder neue Angebote - z.B. gleich heute:
31. Mai | Mein Ruf im Netz - was weiß das Internet über mich?

Die Termine und Themen: (jeweils 18:30 - 20:00)

Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email.

Digital Humanism

(Fast) regelmäßig, auf eher akademischem Niveau und englisch.
Interessante Vorträge zu Artificial Intelligence und Gesellschaft, typischerweise alle 2 Wochen Dienstags von 17 bis 18 Uhr. Früher war dies in einem Wiener Hörsaal, seit der Pandemie virtuell, nun kommen die Vortragenden aus der ganzen Welt.
Das Programm auf https://dighum.ec.tuwien.ac.at/.

Wer sich (für den Newsletter) registriert bekommt jeweils vorher eine Einladung mit Zoom-Link. Der Youtube Channel (mit den früheren Vorträgen) auf youtube.

 

Landschaft auf dem Kometen Tschurjumow-Gerassimenko
Ein Beispiel für die tollen Landschaften auf dem Kometen Tschurjumow-Gerassimenko

 

Was ganz anderes: Erkundung eines Kometen

Es geht um die Erforschung des Kometen Tschurjumow-Gerassimenko. Dort hat die Sonde Rosetta über 1 1/2 Jahre Fotos gemacht und die müssen nun ausgewertet werden. Dabei kann jede:r mithelfen.

Es geht um 'finde die Unterschiede' zwischen 2 Fotos die (angeblich) die gleiche Stelle zeigen. Das ist oft recht schwierig, z.B. wenn die Aufnahmen aus anderen Perspektiven und/oder mit anderer Beleuchtung (Richtung zur Sonne) aufgenommen wurden.

Wem das aber zu mühsam ist, der:die kann einfach die wilden bizarren Landschaften bestaunen. Die Landschaften sind deutlich komplexer und spannender als auf dem Meteoriten des 'kleinen Prinzen'.

Hier die Website: Rosetta Zoo.