192. Newsletter - sicherheitskultur.at - 31.01.2023

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Noch mal Thema Apple und Datenschutz

Dies ist eine Ergänzung zum vorigen Newsletter in dem es um die Ambivalenz der Apple-Aktivitäten ging, positiv die neue iCloud Ende-zu-Ende-Verschlüsselung und das Einschränken der Datensammelei in den iOS-Apps durch "App Tracking Transparency". Negativ ist, dass Apple trotz immenser Gewinne jetzt selbst verstärkt in das Geschäft mit personalisierter Werbung einsteigen will. Und das ziemlich scheinheilig und durch die Hintertür.

Als scheinheilig kann man sehen, dass Apple nun beginnt kostenlose Schulungen zum Datenschutz anzubieten. In den Schulungen wird wohl erklärt, wie die iCloud-Verschlüsselung aktiviert wird und wie das Datensammeln in den Apps blockiert wird.

Der Artikel schreibt: "Clever, aber nicht ganz ethisch". Tim Cook propagiert Privatsphäre als fundamentales Menschenrecht, erschwert daher allen anderen Firmen das Tracking der Apple Nutzer. Aber Apple darf 'seine' Nutzer weiterhin tracken und verkauft dann personalisierte Werbung.

Damit trickst er die Marktführer in diesem Bereich, Google, Meta und Amazon aus. Vier Milliarden Dollar setzt Apple bisher mit dem Werbegeschäft um. In Frankreich und Deutschland löste dies kartellrechtliche Untersuchungen aus und die französische Datenschutzbehörde verpflichtete Apple im Jänner zur Zahlung von acht Millionen Euro Strafe.

Apple erklärt das hauseigene Werbetargeting zu "Personalisierung", bei anderen Anbietern wird es als 'böses Tracking' bezeichnet. Noch ein Artikel dazu: Apple verdient dank Privatsphäre-Features Milliarden mit personalisierter Werbung.

Ein Laie könnte denken, solche Tricks seien evt. eine Verzweifelungsaktion eines Unternehmens dem es finanziell richtig schlecht gut, z.B. Twitter, siehe etwas weiter unten. Aber Apple ist die teuerste AG der Welt (siehe die Grafik im nächsten Abschnitt) und ungeheuer profitabel. Apple sollte solche Aktionen nicht unbedingt nötig haben, aber die Gier ist unersättlich.

 

2. Neues von den Silicon Valley Tech-Giganten

Die großen Tech-Giganten im Silicon Valley klagen, es ginge ihnen schlecht und deswegen müssten sie in großem Stil Mitarbeiter entlassen - und das tun sie in sehr schlechtem Stil: "Schlag ins Gesicht": Wie sich Tech-Riesen aktuell unschön von ihren Mitarbeiterinnen trennen.

Da kommt dann von Google oder Twitter schon mal über Nacht ein Email und wer dieses Mail nicht vor der Arbeit öffnet der:die merkt dann erst beim versuchten Zutritt zum Gebäude, dass die Zutrittskarte nicht mehr gilt - kein Verabschieden von den Kollegen möglich - so weit - so stillos.

Eine sehr prononzierte Meinung dazu hat Ed Zirkon in Google Should Fire Sundar Pichai. Er hat da mE ein paar sehr interessante Punkte.

Der andere Tech-Konzern mit Massenentlassungen ist natürlich Twitter, ein Spezialfall. In heise.de wird versucht, die Frage zu klären, wie steht es eigentlich um die Finanzen von Twitter und Musk steht. Hier eine Finanz-Analyse: Warum Musks Twitter-Kauf so ein Desaster ist?

Kurze Zusammenfassung: die Sache ist deutlich komplizierter als der Finanzlaie denken könnte - da sind einerseits die eingebrochenen Werbe-Einnahmen, aber drastischer könnte sich zB auswirken, dass viele Angestellte Aktienoptionen haben (was finanztechnisch für Twitter recht vorteilhaft war weil das kein 'richtiges' Geld ist, die Aktien wurden einfach 'frisch gedruckt'). Das muss nun in Bargeld zu dem hohen Musk-Übernahmekurs 'abgelöst' werden. Eine Hauptbelastung für Twitter ist aber, dass Musk in Twitters Namen 13 Milliarden Kredite aufgenommen hat um die Übernahme zu finanzieren (d.h. er hat Twitter teilweise gekauft, indem er in Twitters Namen Kredite aufgenommen hat, ja das geht). Die Zinsen dafür ist nun eine der Hauptherausforderung für Twitter und letztendlich für Musk.

Aber das Fazit des Artikels: Wie auch immer die Twitter-Übernahme für das Unternehmen Twitter und seine restlichen Angestellten ausgeht: Sorgen um seine private Finanzlage muss sich Elon Musk derzeit nicht machen.

Ergänzung in den Wochen nach dem Bericht: (wenn der Damm mal gebrochen ist, dann machen die kleineren Tech-Firmen das auch gern nach . . . .)
- Dell streicht mehr als 6.600 Stellen, die Belegschaft soll um 5 Prozent reduziert werden
- Paypal entlässt 2.000 Mitarbeiter, das Onlinegeschäft hätte sich normalisiert
- SAP wird 3.000 Stellen abbauen
- Sophos schrumpft um 10 Prozent (450 Stellen)
- Salesforce entlässt ein Zehntel der Belegschaft, also bis zu 7.300
- Spotify kündigt 600 Beschäftigten
- Zoom streicht Jobs: 1.300, Team um etwa 15 Prozent zu reduzieren
- Disney+ verliert erstmals Nutzer, 7.000 Mitarbeiter müssen gehen - etwa 3 Prozent der weltweiten Belegschaft sollen wegfallen
- Ebay streicht weltweit 500 Stellen - Insgesamt werden vier Prozent der Belegschaft abgebaut

 

3. Wie geht es weiter mit den Large Language Models?

Dies ist quasi die Fortsetzung meines Dezember-Artikels zu ChatGPT und den Large Language Models. Ich hatte dort berichtet, dass die Ergebnisse (für eine Maschine) beeindruckend und viele Kommentatoren hin und weg sind. Einige sehen die Zukunft der Journalisten und des Lehrerberufs bedroht (und versuchen die Systeme in den Schulen zu verbieten), andere reden vom Ende der traditionellen Suchmaschinen.

Aber: das System macht für eine Suchmaschine zu viele Fehler und es verhält sich sehr menschlich: Wenn ChatGPT eine Antwort nicht kennt, so erfindet es einfach irgend etwas. Das hängt mit dem Konzept zusammen: Das ist 'nur' ein Statistik-System, es berechnet das wahrscheinlichste nächste Wort eines Satzes, mehr nicht. Das System ist nicht intelligent, nicht mal 'künstlich intelligent' - es kann z.B. nicht logisch Schlussfolgern.

Außerdem hatte ich berichtet, dass es erste Ideen in Richtung Kommerzialisierung gäbe: beim Suchmaschinen-Marktführer Google schrillen (angeblich) die Alarmglocken. Einige fürchten, dass Menschen lieber gleich ChatGPT nach einer Antwort fragen statt zu versuchen, bei Google einen Link zu finden, der die Antwort enthalten könnte. Microsoft (einer der aktiveren Unterstützer von OpenAI, den Entwicklern von ChatGPT) steigt bereits ein: ChatGPT soll es richten: Microsoft baut KI in Suchmaschine Bing ein.

Dazu nun ein neuer Artikel: Chat GPT: Warum die künstliche Intelligenz kein "Google-Killer" ist.

Ja, Microsoft setzt auf KI statt das Metaverse, sie stellen ihre Aktivitäten bei Mixed Reality ein (auch wenn Mark Zuckerberg immer noch auf sein Metaverse setzt) und verstärken ihre bisher schon starken Aktivitäten bei OpenAI, den Entwicklern von ChatGPT.

Trotzdem muss sich Google von diesen Entwicklungen nicht bedroht fühlen - die sind nämlich durchaus ganz vorn an der Spitze dabei. Selbst OpenAI warnt vor überzogenen Erwartungen. Das ist eben eine Fabuliermaschine und keine Wissensbasis. Und der Stromverbrauch dieser Systeme ist enorm - mittlerweile wird berichtet, dass die kostenlose Nutzung von ChatGPT wegen langen Antwortzeiten nur noch begrenzt möglich ist und ein Abo-Modell ist in Arbeit. Der verlinkte Artikel sieht die Ankündigung von Microsoft als geschicktes Marketing - auf der Hype-Welle mitreiten.

An anderer Stelle behandele ich andere Themen zu Artificial Intelligence, z.B. müssen wir Angst haben vor der Machtübernahme durch eine Artificial Intelligence?, die 3 Robotergesetze von Asimov und warum sie nicht funktionieren, short History of Computing, AI and Robotics und ebenfalls primär historisch: Turing Test und andere Aspekte von Artificial Intelligence.

Im Februar geht es weiter mit den LLMs am Beispiel des 'Siegeszugs' von ChatGPT.

 

4. Credential-Stuffing - jede:r muss auf die Passworte aufpassen

Hier eine mehr oder weniger übliche Meldung: Datenleck bei Paypal: Angreifer hatten Zugriff auf Nutzerkonten.

Offenbar konnten die Angreifer auf rund 35.000 Konten zugreifen. Das besondere an diesem Angriff ist jedoch, dass Paypal eigentlich gar nichts dafür konnte, denn die Angreifer haben sich aus anderen Leaks Benutzernamen und Passworte (vermutlich) gekauft und dann einfach bei Paypal wiederverwendet, in der Hoffnung, dass die Benutzer dort das selbe Passwort nutzen wie in der anderen Website. Statistiken zeigen, dass etwa 0,1 % der kompromittierten Anmeldedaten, die bei einem anderen Dienst versucht werden, zu einer erfolgreichen Anmeldung führen. 0,1 % klingt nicht nach viel, aber bei z.B. 1 Million Adressen reicht das dann doch.

Hier der Link auf eine Website die ständig über solche Leaks berichtet. Nicht immer werden bei diesen Leaks auch Passworte entwendet, fast alle Website machen es heute richtig und speichern keine Passworte in Klartext, sondern 'salzen' und 'hashen' sie vor dem Speichern (die Details hier).

Manchmal finden sich in den Leaks wirklich die Passworte im Klartext oder sie sind so schlecht 'gehasht' oder so kurz, bzw. einfach, dass sie geknackt werden können. Falls nur die Benutzernamen entwendet werden, so können Angreifer trotzdem versuchen, die Passworte zu erraten. Statistiken zeigen, dass typischerweise schon mit 5 Versuchen ca. 75% aller Accounts 'geknackt' sind.

Was kann jede:r tun? Auf entsprechenden Website nachschauen, ob der eigene Account in solchen Leaks enthalten ist, z.B. beim Hasso-Plattner-Institut oder Have I been pwned. Falls ja, bitte die Passworte ändern. Natürlich ist 2-Faktor-Authentisierung eine gute Sache, jede:r der das aktiviert hat ist von solchen simplen Angriffen wie oben beschrieben verschont.

Wo nur ein Passwort eingesetzt wird, so ist es essentiell, dass dieses Passwort nicht auf mehreren Websites verwendet wird (Recycling ist gut, aber nicht für Passworte ;-) ). Recycling war ja genau das Problem der 35 000 Menschen bei Paypal.

Wie kann man sich die üblicherweise mehr als 100 Passworte merken, die man auf Shopping-Websites, Impf-Websites, Zeitungsabos, Social Networks und vielen anderen Stellen so ansammelt? Dafür braucht es einen Passwort-Manager. Auf meiner hier verlinkten Website habe ich einige Artikel dazu mit Testberichten und Empfehlungen.

Eine große Unterscheidung zwischen den Angeboten sind die Lösungen, die nur auf 1 Gerät installiert werden gegenüber den sog. Cross-Plattform Angeboten. Letzteres bedeutet, dass die Passworte vom Laptop auch alle auf dem Handy verfügbar sind. Das ist bequem, hat aber den Nachteil, dass die Passworte zwischendurch in irgendeiner Cloud gespeichert werden müssen - und das erfordert mehr Vertrauen als ich habe.

Ich mag die Cross-Plattform daher nicht, ich habe getrennte Lösungen für PC und Smartphone, aber das ist eine Frage der Bequemlichkeit.

Ein schlechtes Beispiel: Einer der Anbieter einer Cross-Plattform-Lösung, Lastpass, hat sich kürzlich die Kundentresore abnehmen lassen und dann hat sich herausgestellt, dass die Daten nicht ganz optimal verschlüsselt waren - ziemlich ungut.

Es gibt da übrigens noch eine weitere Lösung die mir zwar nicht gut gefällt, aber immer noch besser ist als die Wiederverwendung von Passworten auf mehreren Websites: Verwaltung der Passworte im Browser, aber in Verbindung mit einem Master-Passwort. Da kommt bei mir keine Begeisterung auf, speziell weil die Passworte wohl zwischen verschiedenen Geräten synchronisiert werden können (d.h. die gehen durch eine Cloud), aber besser als identische Passworte auf mehreren Websites erscheint es immer noch.