190. Newsletter - sicherheitskultur.at - 30.11.2022

von Philipp Schaumann

Hier die aktuellen Meldungen:

1. Probleme mit Chatcontrol und das Problem von Monokulturen

Dieser Artikel ist eine Warnung an alle IT-Nutzer, die zu stark auf die bequeme Welt der Cloud-Dienste setzen. Die konkrete Geschichte betrifft Microsoft, aber bei Apple und Google kann das genauso passieren, oder bei Dropbox oder Amazon. Alle diese Dienste durchsuchen ihre Clouds (OneDrive, iCloud, Google Drive) nach Bildern die sexualisierte Gewalt gegen Kinder darstellen könnten. Dabei gibt es natürlich 'false positives' (siehe mein früherer Beitrag zu diesem Problem).

Der Artikel Automatisierte Scans: Microsoft sperrt Kunden unangekündigt für immer aus handelt von so einer Geschichte. Der Betroffene verborgt sein Handy an seine Schwester, die fotografiert ihr Kind am Strand. Diese Bilder werden irgendwann später auf OneDrive geladen, dort von Microsofts AI-System analysiert und fälschlich als Kinderpornografie eingestuft.

Microsoft sperrt seinen Account. Der Betroffene verliert den Zugang zu seinen Mails, Kontakten, Terminen, allen seinen Dateien (er hatte BitLocker aktiviert und den Wiederherstellungsschlüssel nicht lokal, sondern im Onlinekonto gespeichert), sein Office 365-Familienkonto, die Xbox-Bibliothek. Sein Microsofts Authenticator geht nicht mehr und damit alle Accounts die damit verbunden sind. Vermutlich waren auch alle seine Passworte für alle übrigen Accounts verloren.

Nach über einem Jahr wird er von dem Verdacht freigesprochen, aber seine Daten bekommt er trotzdem nicht zurück. Dagegen kann er klagen, aber die Dienste gehen oft bis in höhere Instanzen, das kann drei bis sieben Jahre dauern.

Wie kann man sich da schützen? Wichtig ist m.E. dass man so gut wie möglich Monokulturen vermeidet. Z.B. sollte man den wichtigsten Mail-Account nicht bei Apple, Google oder Microsoft haben wenn man gleichzeitig einen Cloud-Dienst dieses Anbieters nutzt (es bieten sich deutsche Anbieter wie mailbox.org oder Posteo an).

Eine lokale Speicherung seiner Daten auf einer externen Offline-Festplatte (oder SSD) ist ebenfalls immer eine sehr gute Idee, auch für den Fall von Ransomware. Alle Passworte verwaltet man in einem Passwort-Safe, den man ebenfalls lokal offline sichert. D.h. je breiter man seine Dienstleister streut, desto weniger Abhängigkeiten entstehen.

Die Geschichte erinnert an meinen vorigen Newsletter: Wenn Bürger nur eine einzige App haben, so ist das saublöd, in dieser App gesperrt zu werden.

Hier mein früherer Überblicksartikel über die Brüsseler Chatcontrol Pläne (die Suche nach verfänglichen Bildern direkt auf den Geräten, vor allem Handys) zu erzwingen): Chatcontrol gegen 'sexualisierte Gewalt gegen Kinder' und mein früherer Artikel zu Cloud-Diensten: Cloud-Dienste als mittelalterliches Feudalsystem.

Ein ähnliches Cloud-Probleme gibt es im Bereich der Kryptowährungen. Besitzer von Kryptotokens können diese am bequemsten in einer Crypto Exchanges (CEX) aufbewahren lassen. Die speichern die Schlüssel für den Besitzer. Nachteil: wenn die Börse gehackt wird oder die Tokens veruntreut werden, so sind sie futsch. Profis speichern die Schlüssel daher lokal, entweder in sog. Kryptowallets, d.h. lokal in Hardware oder Software. Nachteil: wenn man diese verliert oder den PIN vergisst, so sind die Token auch futsch. Die Details: Wie kann ich meine Kryptowährungen sicher aufbewahren? Das bringt uns zum nächsten Desaster . . .

2. Der Niedergang des FTX-'Imperiums'

Der angeblich charismatische (aber recht eigenartige) Sam Bankman-Fried hat sein FTX-'Imperium' (mit ca. 130 vernetzten Firmen) 'komplett abgeschossen'. FTX ist/war eine Kryptobörse (siehe CEX) im vorigen Artikel. Bankman-Fried hat wohl die Tokens seiner Kunden genutzt, um damit anderweitig zu spekulieren, z.B. für seine Firma Alameda Research. Das ist schief gegangen und jetzt ist alles futsch - die Firmen sind pleite, 'seine' Währung ist abgestürzt und die Guthaben der Kunden stehen nur noch auf dem virtuellen 'Papier'.

Die Sache hat Potential, noch viel weitere Kreise zu ziehen. Denn offenbar haben andere Kryptofirmen ebenfalls in dieser Währung angelegt und sie kommen jetzt auch in Probleme wenn deren Kunden versuchen, ihre Werte in den Wallets wieder zu richtigem Geld zu machen, dazu fehlt (derzeit) die 'Liquidität'. Denn Kryptowährungen können nur verkauft werden, wenn gleichzeitig andere Menschen diese Währung kaufen.

Beim Handel mit Kryptowährungen kommen leider nicht nur reiche Spekulanten zu Schaden, sondern auch Menschen die vielleicht unvorsichtig waren (indem sie z.B. überhaupt Kryptowährungen gekauft haben, oder die dann ihre Wallet nicht selbst gespeichert haben sondern einer Börse wie FTX überlassen, oder die Wallets selbst gespeichert haben, aber dann das Gerät verloren, oder auf Betrüger reingefallen sind und nie Kryptogeld für ihr 'richtiges' Geld bekommen haben).

Außerdem kann es noch ganz andere Menschen oder Institutionen treffen, weil ja die ca. 130 Firmen rund um die FTX auch mit Krediten von 'regulären' Banken finanziert wurden. So wie die Sub-prime Krise der US-Banken eben auch weitere Kreise gezogen hat. Berichte besagen, dass es bis zu 1 Million Geschädigte geben könnte und weite Teile der gut vernetzten Kryptoszene mitgerissen werden könnten. Die Krypto-Firmen BlockFi, Celsius Network und Voyager Digital hat es bereits erwischt. (Update Juli 2023: Celsius Ex-CEO Alex Mashinsky Is Arrested.)

Im Oktober gibt es dann Berichte vom durchaus bizarren Gerichtsprozess zu FTX.

Ein schwacher Trost für alle Opfer von Krytowährungsverlusten: das Geld ist nicht verloren, aber es gehört jetzt jemandem anderen - das Geld der Späteinsteiger bekommen die Früheinsteiger, die sich ihr Guthaben früh genug haben auszahlen lassen. Wenig überaschend sind Gewinn und Verlust sehr ungleich verteilt, wie die NY Times berichtet: Crypto Crash Widens Divide Between Rich and Amateur Traders.

Einige gute Erklärungsartikel von Ed Zirkon dazu: Sam Bankrun-Fraud und 1 Woche später: The Sky Is Falling. Hier ein voriger Beitrag zu Krypto-Problemen und hier mein nächster Beitrag.

3. Das Twitter-Desaster

Ebenfalls von Ed Zirkon ist dieser gute Artikel Billionaire Brain Damage

Ob Twitter diese Übernahme überleben wird und falls ja, in welcher Form, das ist noch ziemlich offen. Ed Zirkon fragt sich, was im Gehirn von Elon Musk vorgehen könnte. Musk ist ein Mensch, der so 'unendlich' reich, so vollkommen abgehoben ist dass er weder sich noch seine Mitmenschen 'spüren' oder ihre Überlegungen nachempfinden kann:

"Trying to understand billionaires defies most logic, because so many of the things we do are done with the white noise of decision-making - can we afford this? Should I do this? Will this be good for my career, or health? . . . . . . Musk can burn several of his companies to the ground and likely still have so much money that he can eradicate every ounce of friction that a human being can experience. . . . . . This situation is so terribly depressing because we are watching someone who does not perceive or experience stakes of any kind play with the lives of millions of people."

Wir alle / die meisten von uns begleiten Musk auf seinem öffentlichen Ego-Trip - es scheint, als lenke er einen 44 Milliarden teuren Lastwagen in Zeitlupe gegen eine Wand und das zelebriert er als öffentliches Spektakel. Er hat keine Ahnung wie Twitter funktioniert und jede seiner Entscheidungen wird getweetet bevor sie noch den Mitarbeitern bekannt ist. Siehe Musk's Kobayashi Maru. Am 19.11. dann von Ed Zirkon: The Fraudulent King.

Ebenfalls interessante Fragestellung: Was haben sich die Banken gedacht, als sie Elon Musk 13 Milliarden geliehen haben? 2 Punkte in der Antwort: Erstens war die Entscheidung der Banken bereits im April und die Krise der High-Tech Branche war noch kein Thema (siehe nächster Abschnitt). Außerdem haben sie zwischen 150 - 200 Mio US$ an Gebühren kassiert, das ist ja auch Geld. Der Plan der Banken war wohl, die Kredite zügig 'weiterzugeben', derzeit will sie nur niemand.

Oder ist das Problem größer als Twitter und die Kryptobranche?

Weil aber Twitter und die Kryptowährungen derzeit nicht die einzigen Technologiefirmen sind, die ordentlich kriseln, so sprechen eine ganze Reihe von Kommentatoren von 2022 als dem Jahr des Absturzes der Technologiefirmen (der Link führt auf einem entsprechenen Podcast bei der NY Times). Neben Twitter reduzieren ja auch Facebook/Meta (das noch nicht so richtig weiß, was es mit dem von ihm gehypten Metaverse auf sich haben könnte) und sogar Amazon ihre Belegschaften recht drastisch (Über 11.000 Mitarbeiter müssen bei Facebook gehen. Amazon wird über 10.000 Mitarbeiter vor die Tür setzen, Google will ebenfalls 10.000 Mitarbeiter kündigen).

Die Kryptofirmen und ihre Währungen 'kränkeln' recht ordentlich und einige Kommentatoren fühlen sich an den 2000 dotcom crash (das Platzen der Dotcm Blase, siehe Wikipedia ) erinnert. Vom Hype im Kunst als NFTs und als Geldanlage, zusammen mit dem web3-Thema ist (derzeit) nicht mehr viel übrig. Da ich selbst den Sinn und Wert vieler dieser Aktivitäten nicht so recht gesehen hatte bin ich nicht wirklich enttäuscht.

Ab hier ging es nun stetig bergab mit Twitter, aber mein nächster Bericht kommt erst im Juli 2023, nach dem Umbennung in X.

4. Mastodon im Fediverse als dezentrale Alternativ-Plattform

Man kann derzeit viel über einen möglichen Wechsel zur Twitter-Alternative Mastodon lesen. Hier einige Punkte dazu:

Für Twitter-Nutzer eher ungewohnt, weil dezentral, ohne Werbung und ohne Empfehlungsalgorithmen. D.h. man sieht die Postings von den 'Kontakten' plus die 'Timeline' der 'lokalen Instanz'.

Mastodon besteht nämlich aus einer Föderation einzelner Server, jeweils mit eigenen Regeln, adminstriert durch (üblicherweise) ehrenamtliche Admins. (Das wird oft mit dem Konzept von Email verglichen: es gibt viele Anbieter mit unterschiedlichen Konzepten, aber man kann Mails von allen anderen Anbietern empfangen. Hier ein Interview mit 2 Mastodon Admins)

Jeder Server hat seine eigene 'Timeline' (in der alle Postings dieser Instanz angezeigt werden), aber die Nutzer können auch Menschen 'folgen' die auf anderen Servern gehostet sind (sofern Teil der jeweiligen Federation). Und Menschen können ihre Accounts zwischen Servern verschieben, bzw. Accounts auf mehreren Servern haben, wenn sie an den Timelines interessiert sind.

Ob eine Instanz mit einer anderen Instanz föderiert wird, das entscheidet typischerweise ein 'Gremium', bzw. der:die Admin. Der:die Admin ist auch zuständig für das Blockieren von Spammern, Trollen, Hasspostern, etc. und das passiert üblicherweise täglich und aktiv. (Die Trump-Platform 'Truth Social' könnte, rein technisch, in der Föderation 'mitspielen', ist natürlich aus guten Gründen nicht mit den Instanzen von denen hier die Rede ist, eingebunden - chaos.social listet und begründet hier ihre Sperr-Entscheidungen).

Die Auswahl eines Servers auf dem man selbst posten möchte erfolgt, indem man sich mit Hilfe diverser Filterfunktionen eine Instanz aussuchen kann (oder hier). Dann kann man sich für eine Instanz entscheiden, die den eigenen Interessen und Vorlieben entspricht (aber letztendlich ist es egal, weil man ja allen Nutzern der ganzen Föderation folgen kann).

Manche Server in der Liste erlauben sofortiges Anlegen eines Accounts - andere haben wg. 'Überfüllung' oder 'Überforderungen der Admins' ein System mit Antragstellung, bzw. Empfehlung eines bestehenden Mitglieds.

Die Instanzen listen jeweils (typische) Teilnehmer auf, hier einige wenige Beispiele:

US Journalisten: https://journa.host/explore
deutsche Bundesbehörden auf der eigenen Instanz social.bund.de
'Techies' auf https://social.tchncs.de/explore
Menschen in Wien https://wien.rocks/explore
Menschen in Freiburg: https://freiburg.social/explore
Menschen in Dresden: https://dresden.network/explore

(einige Instanzen finanzieren sich übrigens über Gebühren, was ich grundsätzlich nicht für schlecht halte - wer nicht das Produkt sein will, der sollte der zahlende Kunde sein - ich zahle für meine mailbox.org Mailbox)

Der folgende Link beantwortet 10 Fragen und Antworten zu Mastodon

Was ist Mastodon?
Wie funktioniert Mastodon?
Wie viele Nutzer:innen sind dort ungefähr angemeldet?
Was ist das Fediverse?
Wie kann ich mich bei Mastodon anmelden?
Wie kann ich eine eigene Instanz kreieren?
Gibt es Apps für Mastodon?
Warum sollte man überhaupt Mastodon nutzen? Wer ist denn da schon?
Wer hat meine Daten?
Wie finanziert sich Mastodon?

Gute Tipps von netzpolitik.org: z.B. Mit den Tools Fedifinder oder Debirdify kann man seine Twitter-Kontakte nach Erwähnungen von Mastodon-Accounts durchsuchen. Auf 'instances.social' oder 'fediverse.party' kann man Vorschläge zu den eigenen Vorlieben finden. Man kann dort etwa gewünschte Sprachen oder die Instanzengröße wählen. Ausgehend davon schlägt der Assistent dann passende Instanzen vor.

Ein paar Kriterien (die aus meinem Umfeld gepostet wurden) auf social.tchncs.de:

Privacy: e.g. server in EU (and good contact information!!)
Performance: mid-sized userbase, good uptime
Robustness: enforced house-rules (Check several timelines/blocklists etc., see if rules are enforced.)

Wer über diese Fragen lieber ein Video sehen will, so gibt es eine Stunde in der heiseshow: "Twitter im Chaos - wird sich jetzt Mastodon durchsetzen?" Dort berichten Redakteure auch von ihren eigenen Erfahrungen, den Vor- und Nachteilen und was für Twitter-Nutzer ungewohnt ist.

Und im Standard: So legt man einen Account bei der Twitter-Alternative Mastodon an.

Vielleicht auch interessant: Ein Artikel eines Mastodon Admins über die guten und schlechten Aspekte: Über das Betreiben einer Mastodon-Instanz. Netzpolitik.org berichtet hier über die Entwicklung von Mastodon durch die Elon Musk Aktivitäten.

Im Juli 2023 schreibe ich dann wieder über Mastodon, Anlass ist die Entscheidung von Meta, dass das Twitter-Konkurrenz-Produkt Threads (vermutlich) kompatibel zu Mastodon werden soll. Dies löst in der Mastodon-Moderator:innen-Community einige Diskussionen aus.

5. Social Network oder Social Media, Sündenfall 2009 und Sündenfall 2012

Ich muss zugeben, dass ich diese beiden Begriffe sehr oft schlampig verwendet habe. Hier jetzt die Unterschiede:

Social Network beschreibt ein System, mit dessen Hilfe man mit seinen Kontakten kommuniziert. Ein Beispiel dazu ist z.B. Facebook bis 2009. Ein anderes Beispiel sind die Gruppen, die man in Messaging Apps wie Whatsapp und Signal einrichtet, oder auch Twitter wenn der Modus aktiviert ist, bei dem nur die Nachrichten von den Menschen gezeigt werden, die man selbst selektiert hat (und nicht die sog. Timeline). D.h. bei Social Networks entscheidet der Benutzer, welche Postings er oder sie sieht und nicht ein Algorithmus.

Ein krasses Beispiel für Social Media ist TikTok. Jeder sieht die Nachrichten, die der Algorithmus für diese Person ausgewählt hat. Solch ein Modus wurde 2009 von Facebook eingeführt um zu erreichen, dass jeder Nutzer mehr Inhalte bekommt als von den eigenen Kontakten generiert werden. Ziel ist, die Verweildauer zu erhöhen und damit die Werbeeinnahmen zu steigern. Mehr dazu habe ich an anderer Stelle geschrieben: 2009: Der Sündenfall der Social Networks und die Radikalisierung des öffentlichen Diskurses -
(TL;DR): 2009 stellte Facebook auf algorithmische Entscheidung was ein:e Nutzer:in sieht um und ab 2012 gingen Facebook und dann auch andere an die Börse und brauchten 'Wachstum um jeden Preis'.

Ein Artikel im Atlantic dazu: The Age of Social Media Is Ending. Der Artikel bringt viele interessante Aspekte, auch wenn ich bei dem derzeitigen Erfolg von TikTok mit dem Untergang von Social Media nicht sicher bin).

Meine Zusammenfassung: Probleme wie Hasspostings, Fake News, etc. sind mehr ein Problem von Social Media und nicht von Social Networks im engeren Sinne.

6. EU-Regulierungen: Das Digital Services Act (DSA) tritt in Kraft

Das Digital Services Act (DSA), das Gesetz über digitale Dienste, ist am 16. November 2022 in Kraft getreten (siehe meine früheren Artikel). Wirkungen werden wir aber so schnell nicht spüren, denn das startet mit einer 15-monatigen Phase der Berichterstattung zu den angebotenen Diensten (Online Marktplätze, Online Plattformen, Suchmaschinen) und den aktiven Nutzern pro Monat. Daraus folgt eine Kategorisierung der Diensteanbieter aus der sich dann ab 16. Februar 2024 Verpflichtungen ergeben werden. Die meisten Verpflichtungen bekommen Dienste mit mehr als 45 Millionen aktive Nutzer pro Monat.

Ziele sind Bekämpfung illegaler Inhalte, Schaffung größerer Transparenz, Einschränkung unlauterer Beeinflussung und Schutz von Minderjährigen. Ein großes Thema sind personalisierte Werbung und den Einsatz von Algorithmen bei sogenannten Empfehlungsroutinen. Der Einsatz von Dark Patterns wird untersagt, das sind z.B. so (falsche) Hinweise wie "nur noch 2 Plätze verfügbar". Hier mehr Details: Digital Services Act: Was Europas neues digitales Ökosystem für Firmen bedeutet.

Ein Ergebnis ist bereits klar: Ab dem 17. Februar 2024 werden wir erstmals europaweit verbindliche Standards für den Umgang der Plattformen mit rechtswidrigen und problematischen Inhalten (z.B. 'Hasspostings') - die lokalen Ländergesetze wie derzeit in Ö und D sind damit außer Kraft, z.B. das österreichische Kommunikationsplattformen-Gesetz (KoPl-G), das 2020 als Teil des Hass-im-Netz-Pakets erlassen wurde und die Firmen müssen nach einheitlichen Regeln gegen Hasspostings vorgehen.

Ich bin mal gespannt, was sich bis zum Start in 2024 in den Online-Diensten dann tun wird. Immerhin hat ja die DSGVO m.E. durchaus positive Wirkungen gezeigt (wenn wir von den schrecklichen Cookie-Bannern mal absehen). Hier die Fortsetzung zum DSA.

Ebenfalls zu EU-Regulierungen: Ich hatte früher über den geplanten Cyber Resilience Act der EU berichtet, hier jetzt Details zu Smartphone Updates: EU verpflichtet Smartphone-Hersteller zu fünf Jahren Updates. Die neue Vorschrift soll aber erst Ende 2024 in Kraft treten, d.h. das dauert alles noch. (Hier übrigens ein sehr interessanter Vergleich zu den derzeitigen Updates bei Smartphones: Android vs. iPhone: Wie viel besser ist Apple bei Updates wirklich?

7. Onlinebetrug-Simulator

Online-Betrug, im Sinne von gefälschten Webshops oder einfach mittels Phishing sind ein Problem im Internet. Um sich selbst oder die Kollegen im Unternehmen für die Gefahren von Fake-Shops und Phishing-Emails zu sensibilisieren und im Bereich der Cyber-Sicherheit zu schulen, hat die AK Niederösterreich in Kooperation mit der Universität Wien den Onlinebetrug-Simulator ins Leben gerufen.

Beim Phishing-Test werden über 4 Monate immer mal wieder Fake-Phishing Mails versendet, auf die man besser nicht klicken sollte. Die vom Phishing-Training versandten Nachrichten werden nicht gesondert als Trainingsnachrichten gekennzeichnet - beim Enrollment gibt es Tipps zum Erkennen der Phishs. Und auch wer fälschlich klickt wird zu den Erkennungstipps weitergeleitet.

Im Online-Shop Test gibt es 3 Shops, einer deutlich Fake, einer gut gefälscht und eine schlampige Arbeit. Durch Vergleichen kann man sehen/lernen, worauf man achten sollte.