188. Newsletter - sicherheitskultur.at - 30.09.2022

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Ethereum jetzt ohne hohen Stromverbrauch - alles gut?

Letzten Monat hatte ich berichtet, dass Ethereum seinen Stromverbrauch um 99,5% senken will. Zuerst die gute Nachricht: Die Umstellung hat geklappt, obwohl technisch so 'verzwickt', dass sie jahrelang geplant wurde. Aber was ändert sich damit nun wirklich beim Thema 'Kryptowährungen und Stromverbrauch'?

Wenig überraschend ist dies nicht gut für das Mining-Business - das Doppelproblem sinkende Kurse und steigende Energiekosten machen den Krypto-Minern zu schaffen. Riesiger Krypto-Miner Compute North ist pleite: 500 Millionen Dollar Schulden. Aber: Das Mining von Kryptowährungen solle trotzdem vorerst weiterlaufen. Denn die Krypto-Miner haben ja riesige Investitionen in die gigantische Menge von High-end Graphikkarten (GPUs - die sind optimal für mathematische Operationen). Diese GPUs lassen sich ja nicht so einfach abschreiben oder weiterverkaufen. Die NY Times schreibt: ' . . . the merge (d.h. die Umstellung) was a technological marvel, . . . . But crypto will need more than a successful merge to turn its fortunes around.'

Hinter einer Paywall berichtet New Scientist über Details im Mining-Markt: Plan to cut Ethereum energy use sees miners switch cryptocurrencies. Denn die anderen Kryptowährungen betreiben ja weiter 'proof-of-work' und die teuren GPUs (und die Server in den Rechenzentren) können als 'sunken cost' betrachtet werden. Solange noch irgendwo ein gerade noch erschwinglicher Strom verfügbar ist, so können diese GPUs auch weiterarbeiten. New Scientist berichtet über drastisch gestiegene Hashrates (das Maß für Mining-Power, gemessen in Terahashes (Tera für 10^12, nicht zu verwechseln mit Terra - für Erde - die Kryptowährung die vor einiger Zeit komplett abgestürzt ist).

Hier Zahlen aus dem New Scientist Artikel:

Diese zusätzlichen Hashrates reduzieren natürlich die Gewinne aller Miner, d.h. es wird damit gerechnet, dass die großen Miner die kleinen aus dem Markt vertreiben werden. Es wird sich zeigen, wie das alles ausgeht.

Ganz wichtig: die Änderungen bei Ethereum haben selbst für Ethereum keinen der anderen Kritikpunkte behoben, siehe meine früheren Kritikpunkte, z.B. der Einsatz für Betrügereien und die Risiken für den Gesamt-Finanzmarkt. Die NY Times berichtet ganz aktuell: More than $2 billion in digital currency has been stolen in hacks this year, shaking faith in the experimental field of decentralized finance, known as DeFi.

Die Karikaturistin Andrea Maria Dusl hat (in einem leicht anderen Zusammenhang, aber trotzdem treffend) das euphemistisch so umschrieben: " . . . Das Übervorteilen wird als marktübliche Praxis bezeichnet, von modernen Finanzinstrumenten wird geschwafelt, derer sich noch nicht alle Teilnehmer professionell bedienen könnten. . . ." Auch so kann man Opfer von Betruügereien abspeisen.

Hier noch eine Veröffentlichung zum Energie-Mix der Krypto-Miner: Bitcoin mining struggles to go green, research shows: Januar 2022 waren 62% der Bitcoin-Mining-Energie fossilen Ursprungs, ein Jahr davor waren es 65% - es sinkt sehr langsam. Kohle viel von 47% auf 37%, 2022 war es ein Virtel der Energie, ein Jahr davor nur 16%. Nuclear, Hydro, Wind und Solar stiegen von 35 auf 38%, Hydro fiel von 20% auf 15%. Noch ein Detail: Bitcoin-Mining sorgt für 0,1 Prozent des globalen CO2-Ausstoßes. Jetzt könnte man sagen, das sei ja nicht viel. Aber die Klimaerwärmung beruht nun mal auf Millionen, bzw. Milliarden Energieverbrauchern von denen die allermeisten nur einen geringen Beitrag leisten, die Summe macht das Problem.

 

2. Überall 'Data-Leakage', z.B. Staubsauger oder Bewegungsprofile

Amazon hat verkündet, für 1,7 Milliarden US-Dollar den Staubsaugerroboter-Hersteller iRobot übernehmen zu wollen. Als Hintergrund wird vermutet, dass Amazon den Details der Wohnungen der Staubsaugerbesitzer interessiert ist. Die neuen Generationen der Roboter haben Kameras erstellen eine Karte der Räume in denen sie zum Einsatz kommen. Diese Informationen sind für Amazon interessant und ergänzen das, was sie bereits über die Suche auf der Website, das TV-Verhalten auf Prime-Video und das mittels Alexa was so in der Wohnung gesprochen wird.

Sieben Journalisten von Reuters haben den Selbsttest gemacht. Seit 2019 ist Amazon in Kalifornien gezwungen, Kundendaten offenzulegen. Ein Reporter erfuhr, dass es mehr als 90.000 Aufnahmen von Geräten mit Alexa in seiner Familie gab - von allen seinen Familienmitgliedern.

Eine Journalistin musste erfahren, dass Amazon detailliert aufgelistet hatte, was sie auf ihrem Kindle-E-Reader las - inklusive Kochbüchern, woraus die Datensammler bei Amazon Rückschlüsse auf das Ernährungsverhalten der Familie ziehen konnten. Ebenso abgegriffen wurden Kalendereinträge von iPhones.

Mit den gesammelten Daten der sieben Journalisten konnte Amazon deren Körpergröße, Gewicht und Gesundheitszustand ermitteln. Anhand von Stimmenerkennung wurde sogar die Ethnie der Männer und Frauen erfasst, ebenso wie deren politische Einstellung und deren Sozialkontakte.

Datenschützer vermuten, dass diese Daten auch den Behörden zur Verfügung stehen könnten. Amazon ist in den USA sehr bereit, Kundendaten weiterzugeben. Aber das ist evt. gar nicht nötig.

Aus den USA wird berichtet, dass die Polizei 'Bewegungsprofile' einfach von privaten Firmen gekauft hat. Diese Daten gibt es nämlich auf dem 'freien Markt'. Für teilweise schon 7500 US$ pro Jahr können Polizeidienststellen einen Ort und einen Zeitpunkt eingeben und bekommen dann die Handys die dort eingebucht waren. Die Ortsdaten wurden entweder aus tausenden beliebten Apps mehr oder weniger legal gesammelt, oder die Kunden hatten die Datenschutzerklärung irgendeiner Wetter- oder Taschenlampen-App weggedrückt und damit die Daten eh freigegeben (das ist nun mal das Geschäftsmodell der meisten kostenlosen Apps). Hier ein früherer Artikel zum Handel mit Bewegungsdaten. Ja, das betrifft auch uns in Europa. :-(

 

3. Der geplante Cyber Resilience Act der EU

Zur Abwechselung mal eine gute Nachricht: die EU plant ein weiteres Gesetz zur 'schönen neuen IT-Welt'. Das Cyberresilienzgesetz soll Sicherheitsanforderungen für alle Produkte mit Internet-Anbindung definieren, d.h. nicht nur für Smartphones und PCs, sondern die vielen anderen digitalen Objekte, z.B. das ganze hochverwundbare 'Internet of Things', vom Türöffner, über die Überwachungskamera und digitales Spielzeug bis zum 'Smart Home'. Alle diese Geräte leiden derzeit darunter, dass sie oft von außen angreifbar sind, und eine Versorgung mit Sicherheitsupdates ist bei den allermeisten Geräten nicht vorgesehen.

Tausende Kameras sind z.B. im Internet frei erreichbar und werden teilweise für Kunstprojekte verwendet (Beispiele Caroline Buttet: Virtual Peephole, Das Panoptische Prinzip - Surveillance Overload, 'The Follower' vergleicht Posts von Influencer*innen . . , . . . mit Aufnahmen von öffentlich erreichbaren Kameras und noch mal 'The Follower'.

Das neue EU-Cyber Resilience Act will nun erzwingen, dass Softwareaktualisierungen verpflichtend sind, und zwar über die gesamte angedachte Nutzungsdauer, mindestens aber fünf Jahre lang (d.h. z.B. dass alle Android-Handys mindestens so lange mit Updates versorgt werden müssen).

Zitat Vestager: "Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen."

Die Reaktionen aus Wirtschaft und Verbraucherschutz sind überwiegend positiv, auch wenn Details kritisiert werden, z.B. eine längere Übergangsfrist als 24 Monate nach Inkrafttreten der Regeln gefordert wird. Wie die Anbieter von Billig-Importen damit umgehen werden wird spannend sein - aber leider wird das noch einige Jahre dauern bis wir garantierte Updates bekommen. Hier noch ein Artikel: Gesetzentwurf: EU-Kommission will Sicherheitsupdates vorschreiben. Hier der Link zur nächsten Aktualisierung im späteren Newsletter.

 

4. Meta-Entwickler blicken nicht (mehr) durch

Amerikanische Gerichtsdokumente besagen, dass Entwickler von Meta/Facebook ausgesagt hätten, dass sie weder wüssten, welche Daten von den Nutzer gesammelt würden, noch sagen könnten, wo genau in den vielen Systemen diese Daten gespeichert seien und wofür die Nutzerdaten genau verwendet werden.

Wer mit komplexen Systemen zu tun hat, der weiß, dass diese Aussage nicht ganz unrealistisch ist. Den Überblick über die Datennutzung kann man nur behalten, wenn alle Beteiligten konsequente Dokumentationen erstellen.

Anderseits ist so was natürlich nicht ganz in Übereinstimmung mit den Anforderungen des Datenschutzgesetzes. Personen-bezogene Daten müssen beauskunftet werden können, dafür muss das Unternehmen schon wissen, welche Daten wo liegen und was mit denen gemacht wird. Unsere Datenschutzbehörden sollten jetzt aktiv werden, leider wird Meta von Irland betreut und dort gibt es ständig Hinweise auf Überforderungen wie Max Schrems immer wieder eloquent dokumentiert.

 

5. Wie ein Instagram-Account 'verloren' geht und rückerobert werden kann

Eine Freundin eines 'IT-Menschen' hatte sich ihren Instagram-Account abnehmen lassen (simples oder wiederverwendetes Passwort, keine 2-Faktor-Authentisierung). In einem ausführlichen Bericht dokumentiert Jake Moore, wie er mühsam den Account wiedergewinnen konnte. Die Angreifer hatten den gestohlenen Account sehr schnell sehr gründlich abgesichert, z.B. eine 2-Faktor-Authentisierung mit einer Telefonnummer in Nigeria eingerichtet und sogar den Namen des Accounts leicht modifiziert (die Kontakte bleiben erhalten, die sind ja das wertvolle am Account). Dann wurden die Kontakte der Freundin systematisch 'um Geld angegangen'.

Die erste Aufgabe bei der Rückgewinnung bestand darin, den Admins von Instagram zu beweisen, dass die Freundin die rechtmäßige 'Besitzerin' des Accounts sei. Dies geschah recht mühsam mittels Selfie-Videos die mit Videos im Account verglichen wurden. Nachdem sie dann Recovery-Keys hatte begann ein weiterer Kampf. Denn die Angreifer waren auch noch immer im Account aktiv und haben alle Versuche, den Account mit einem neuen Passwort und neuen Recovery-Emails zu versehen, sofort rückgängig gemacht.

Die kurze Zusammenfassung: es war sehr mühsam und die Freundin hat das letztendlich dem "IT-Menschen" überlassen müssen. Zum Schluss das Artikels wird beschrieben, wie so eine Recovery gelingen kann.

Auch wenn man denkt, das sei ja evt. nicht sooooo schlimm wenn man den Facebook-, Instagram-, LinkedIn-, Xing- oder TikTok-Account verliert - gestohlene Accounts werden immer für Betrugsversuche gegen die Kontakte zu verwenden (Betteln um Geld, z.B. weil 'im Ausland bestohlen worden und in einer Notsituation'). Falls so ein Betrug gelingt, so kann dies durchaus eine Belastung für eine Freundschaft sein.

 

6. Was tun gegen 'Hass im Netz'?

Von der Webinar-Reihe zu Fake-News, Cyber-Mobbing und Internetbetrug. Am Dienstag war das sehr interessante Webinar zu Hass im Netz, es gab wieder viele hilfreiche Tipps und Links.

Erst mal die Abgrenzung zu Cyber-Mobbing: Das ist typischerweise ein gruppendynamischer Prozess, als Hass im Netz wird bezeichnet, wenn die Postings entweder anonym/pseudonym oder im Rahmen von Social Networks passieren. Hier detailliertere Erklärungen: Was ist Cyber-Mobbing? Nun zum eigentlichen Thema: Was kann ich gegen Hasspostings tun?

Es wurde erklärt, dass eine Studie gezeigt hat, dass im Internet die Bereitschaft anderer, angegriffenen Personen (egal ob Cyber-Mobbing oder Hatespeech) Unterstützung zu leisten geringer sei als im 'richtigen Leben'. Hier zur Studie Zivilcourage 2.0. Die Unterstützung der angegriffenen Person ein ganz wichtiger Aspekt, denn die Person fühlt sich i.d.Regel allein gelassen in der Gruppe. Gute Reaktionen sind entweder ein privates Unterstützungsangebot oder eine Solidarisierung mit der angegriffenen Person oder die öffentlche Gegenrede (#counterspeech).

Für alle, die solche Angriffe (erst mal) sprachlos machen gibt es 2 interessante Anleitungen mit inhaltichen Hilfestelllungen zu #counterspeech: Bitte-was: Kontern gegen Fake und Hass und schnellerkonter. Bei 'schnellerkonter' kann gewählt werden zwischen "Mich stärken", "Mich solidarisieren" und "Hater:innen konfrontieren".

In Social Networks sollten unangemessene Inhalte auf jeden Fall gemeldet werden. Eine konkrete Anleitung zum Melden und Blockieren auf den Plattformen im gibt es in diesen Privatsphäre-Leitfäden für diverse Social Networks.

Beweissicherung
Gegen viele der Hasspostings kann heute immer besser auch juristisch vorgegangen werden. Dafür ist es wichtig, verwertbare Beweise zu sichern. Screenshots müssen möglichst aussagekräftig sein, d.h. sie müssen den gesamten Kontext zeigen und nicht nur das eine 'böse' Posting, d.h. Datum, Uhrzeit, volle URL, etc., am besten den ganzen Bildschirm (die Seite dafür evt. an einem PC aufmachen, da zeigt die Seite mehr 'Context' als bei einem Handy. Es gibt eine Hilfestellung für die Beweissicherung bei Hass im Netz unter netzbeweis.com. Dort kann eine URL eingegeben werden und dann wird ein digital signiertes PDF-Dokument der entsprechenden Website zurückgeliefert. Dieser Dienst ist kostenlos.

Viele Behörden bei denen Postings und illegales im Netz (zusätzlich zum jeweiligen Netzwerk) gemeldet werden können habe ich auf meiner Seite Hilfe im Internet

Ebenfalls hilfreiche Tipps and Angebote für Deutschland gibt es auf schau-hin.info, z.B. Wie sozial sind soziale Netzwerke? Risiken und Einstellungen im Überblick und 'Kinderfotos im Netz'.

 

7. Webinar-Reihe zu Fake-News, Internetbetrug, etc.

Jeweils Dienstags und sehr empfehlenswert (gern weitersagen, keine Beschränkung der Teilnehmerzahl): Die restlichen Termine der Webinar-Reihe zu 'Herausforderungen im Internet'.

Die Termine und Themen ab September: (jeweils 18:30 - 20:00)

Anmeldung auf academy.oiat.at.