198. Newsletter - sicherheitskultur.at - 31.07.2023

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Ist der KI-Hype schon wieder vorbei?

Die Zugriffe auf die Website von OpenAI sind von Mai auf Juni um rund zehn Prozent gesunken. Zudem deutet sich an, dass die Nutzungszeit pro Besuch nachlässt. Der Reiz des Neuen ist wohl für die breite Öffentlichkeit verflogen.

Anderseits verzeichnet ChatGPT seit März anhaltend mehr Zugriffe als Microsofts Suchmaschine bing.com – und das, obwohl diese ebenfalls einen KI-Chatbot enthält, der im Gegensatz zu Googles Bard auch in der EU verfügbar ist. Und die Zugriffe anderer Programme auf platform.openai.com sind von Mai auf Juni um 3,1 Prozent gestiegen. D.h. das Interesse der Neugierigen lässt nach, aber immer mehr neue Tools und Anwendungsfälle entstehen: KI-Tools für die Musikproduktion, für die Videoerstellung, und mit rows.com eine AI-Alternative zu Microsofts Excel. Irgendwie muss wohl eine Hoffnung bestehen, dass Servergebühren von ca. 700.000 $/Tag über Linzenzgebühren irgendwann mal wieder verdient werden.

Generative AI ist ja mittlerweile fast überall irgendwie drin: In der Microsoft Swiftkey-Tastatur für Android, für die Protokollerstellung in MS Teams Premium, bei Google integriert in über 25 Produkte wie Maps, Docs, Gmail, Sheets und dem Google Chatbot Bard (wobei Google natürlich nicht ChatGPT, sondern die eigene generative AI PaLM 2 nutzt).

Im Rahmen einer Ringvorlesung an der Universität Erfurt hat Sebastian Meineck zehn Gefahren der aktuell gehypten KI-Systeme aufgezählt und argumentiert: Nicht intelligente Maschinen sind das Problem, sondern der menschliche Blick auf Technologie.

Das heißt, meine Antwort auf die Frage 'Ist der KI-Hype schon wieder vorbei?' ist: Nur oberflächig vielleicht, aber in versteckter Form unterwandern die algorithmischen Systeme, egal ob wir sie AI oder anders nennen, weiterhin viele Aspekte unseres Lebens. :-(

Gary Marcus hat Zweifel am kommerziellen Erfolg der generativen AI Systeme (Large Language Models): What if Generative AI turned out to be a Dud?

Seine Punkte: Er denkt, dass viele Software-Entwickler sich helfen lassen werden (Fehlersuche ist eine ihrer wichtigsten Skills, dh Fehler im Code korrigieren sie einfach). Die nächste Zielgruppe könnten Werbetexter sein, die z.B. eine große Menge von Text erstellen müssen (vor allem, um Suchmaschinen zu beeindrucken), bei denen die Qualität des Texts keine Rolle spielt. Diese beiden Gruppen könnten Benutzer sein die auch bereits sind, Geld für die Nutzung zu zahlen. Schüler werden die Tools gern für Hausarbeiten nutzen, aber ob die dafür Geld ausgeben solange kostenlose Open Source angeboten verfügbar sind, hält er für fraglich.

Gary Marcus vermutet, dass die begeisterten Investoren evt. diese Systeme mit einem 'Durchbruch' bei AGI (artificial general intelligence) verwechseln (einem System das ALLE Denk-Aufgaben besser löst als jeder Mensch). Solange man sich aber auf die Antworten der Systeme nicht verlassen kann (die sog. Halluzinationen), sind sie für die meisten Aufgaben wohl eher wertlos - bis schädlich, siehe die verrückten Beispiele weiter oben. Einen leicht anderen Zugang hat Techno-Kritiker Mark Hurst, er hält die derzeitigen AI Systeme für so etwas wie Spartelmasse: Sie helfen bei der Lösung des einen oder anderen kleinen Problems, 'kitten' eine Formulierung aber lösen keine wirklichen Probleme.

Hier mein voriger Beitrag zu den Large Language Models. Im nächsten Newsletter geht es weiter zu LLMs mit der Frage, ob LLMs politisch neutral sind und dann auch noch unter dem Schlagwort: Enshittification of the Internet.

 

2. Kündigungen, mit AI begründet

Die Fortsetzung des Themas aus den vorigen Monaten. Die aktuellen Berichte sind widersprüchlich. In den USA geht der Stellenabbau angeblich zurück, es gab fast keine Kündigungen mehr wegen KI.

Anderseits -
CEO feuert 90 Prozent der Kundensupport Mitarbeiter und ersetzt sie durch einen Chatbot. Ich hoffe, die Kunden fühlen sich weiterhin fürsorglich und qualifiziert betreut, ich bin mir aber nicht sicher. ;-)
Goldman Sachs prognostiziert 300 Million Jobs Will Be Lost Or Degraded By AI. (Mit 'degraded' ist wohl gemeint, dass aus einem qualifizierten Fachjob ein auslagerbarer Teilzeit-Job wird, z.B. das manuelle Trainieren von AI-Systemen).

Aktualisierung Dez. 2024:
Seit etwa einem Jahr stellt der schwedische Zahlungsdienstleister Klarna keine neuen Mitarbeiter mehr ein. Besonders beeindruckt zeigt sich Klarna beim Einsatz von KI-Assistenten im Kundenservice, die angeblich bereits die Arbeit von 700 Vollzeitmitarbeitern übernehmen können, die Kundenzufriedenheit sei auf gleichem Niveau geblieben.

Das überrascht mich, denn Konsumentenschützer berichten immer wieder von zahlreichen Beschwerden. Erst im September erhielten Kunden offenbar Mahnungen, obwohl sie die Waren entweder nicht erhalten oder ordnungsgemäß zurückgeschickt hatten,

Klarna gilt übrigens durch ihre Ratenkauf-Angebote auf ganz vielen Websites ('gleich kaufen, später zahlen') als eine der großen Schuldenfallen für junge Menschen.

 

3. Wie geht es weiter bei den Twitter-Ersatz-Produkten?

Dies ist die Fortsetzung meines Beitrags vom November 2022 zu Twitter - das ja jetzt X heißt - der Wahnsinn geht weiter. Trotz der vielen Entlassungen und erratischen Detail-Entscheidungen (und nun das 'Rebranding' zu X) ist das System immer noch 'irgendwie am Leben'. Aber die Konkurrenz wird stärker.

Meta hat nun, wie erwartet, einen Twitter-Klon namens Threads gestartet. Twitter hatte noch nie richtiges Geld verdient, aber seit der Übernahme durch Elon Musk geht es dort wirklich steil bergab. Der Twitter-Mitgründer Jack Dorsey hatte recht bald Bluesky gegründet - das ist jedoch immer noch 'invite-only'.

Eine Reihe der Nutzern sind zu Mastodon im Fediverse umgezogen, andere sind geblieben, weil so ein Umzug nur Sinn ergibt, wenn der Rest der Kontakte auch mitzieht. Diese Problematik will Meta umschiffen, indem der neue Dienst Threads mit Instagram integriert ist. Jeder Instagram-Nutzer (außerhalb der EU) kann sofort mit Threads starten und nimmt alle seine Instagram-Kontakte mit.

Aber es geht nicht nur um Namen, Nickname und Kontakte. Wichtiger sind für Meta die Übertragung der Werbekategorien in denen diese Nutzer eingeordnet sind. Denn natürlich soll auch im neuen Dienst benutzerbezogene Werbung geschaltet werden (hier die teilweise gruseligen Kategorisierungen der Werbebranche). Deswegen startet Threads (erst mal) ohne die EU-Nutzer (denn die Datenweitergabe verstößt gegen EU-Recht).

Ob die Nutzer den neuen Dienst annehmen, wird man sehen. So wie bei Instagram und Facebook sollen Nutzer von Threads auch "empfohlene Inhalte" von Nicht-Kontakten in ihren Feed gespielt bekommen. Da geht es vor allem um professionelle Influencer, denen Meta einiges an Geld gezahlt hat damit sie Threads sofort mit 'Inhalten' füllen, d.h. vor allem (oft belanglosen) Meinungen. Hier eine recht vernichtende Kritik von Ed Zitron. (Warnung: Ich nutze weder Instagram noch Twitter, kann daher nur wiedergeben, was ich lese).

Ein weiterer Schachzug von Meta ist, dass Threads auf dem Protokoll ActivityPub basiert. Dies bedeutet, dass in Zukunft evt. Verbindungen aus Threads heraus zu Plattformen wie Mastodon möglich werden könnten. Inhalte könnnten zwischen den Plattformen dynamisch fließen. Auch das eigene Profil, inklusive aller Follower könnte zu einer anderen Plattform im Fediverse mitgenommen werden.

Die Fediverse-Community ist gespalten, ob sie das wirklich möchten (falls Meta das wirklich freischaltet). Wie das in der Praxis aussehen würde, und ob ehrenamtliche Adminstrator:innen von Mastodon-Instanzen diese Schnittstellen nutzen wollen, bleibt abzuwarten. Viele Moderator:innen fürchten, dass wenn sie 'ihre' Plattform Richtung Meta öffnen, von dort viel unmoderierter 'Schmutz' reinkommt. Damit fühlen sich viele der ehrenamtlichen Moderator:innen überfordert. Ein detaillierter Bericht über die internen Diskussionen in der Fediverse/Mastodon Community: Meta’s Threads Could 'Make or Break' the Fediverse.

Ich persönlich habe schon lange die Meinung vertreten, dass die Zukunft eines 'vernünftigen' Social Networking in dezentralen Plattformen liegen sollte, aber natürlich nicht finanziert durch benutzer-bezogene überwachungsbasierte Werbung - vielleicht auf einer öffentlich-rechlichen Basis.

 

4. Digitales Zentralbankgeld, brauchen wir das?

Ab ca. 2020 sind Pläne für digitale Zentralbankwährungen (CBDC) der große Renner, einige Länder haben diese mittlerweile testweise implementiert, vor allem China. Auch die EZB will den Zug nicht verpassen.

Nun gibt es Neuigkeiten zu den Plänen eines digitalen Euros. Die Diskussion darum ist nun um ein Konzeptpapier bereichert worden, das digitale Zahlungen beschreibt, die sich aus Sicht der Nutzer kaum von Zahlungen mit Kredit- oder Debitkarten unterscheiden (aber aus Geld-Philosophen Sicht: 'Giralgeld' der Banken gegen 'richtiges' Geld der Zentralbank, hier Details dazu). Der digitale Euro soll sogar anonym sein (was bei digitalen Zahlungen technisch nicht ganz einfach, aber möglich ist), und deswegen aus Geldwäschegründen auf eine maximale Menge pro Zahlung begrenzt werden. Und sogar Zahlungen von Person zu Person (dh wohl 'Smartphone zu Smartphone').

Eine solche Anonymität trauen viele US-Politiker ihrer Zentralbank nicht zu, daher wird es wohl keinen digitalen Dollar geben (z.B. Angst, dass damit Waffenkäufe oder der Kauf fossiler Treibstoffe verhindert werden könnte).

Eine 'smart currency' mit 'scripting' wie in Industriekreisen gewünscht, soll der digital Euro wohl auch nicht werden - sondern eher ein ganz banaler Ersatz für die bisherigen elektronischen Zahlungsmöglichkeiten - einige Banken und Zahlungsdienstleister sind leicht beunruhigt.

Warum also? Einige denken, dies könnte die Macht der jetzigen (oft US) Online-Zahlungsdienstleister einbremsen. Aber irgend jemand wird weiterhin die Kassen der Geschäfte mit Lesegeräten und entsprechender Software ausstatten müssen, und es braucht Software und Server, die den digitalen Euro zwischen Smartphone, Kasse und der Zentralbank 'bewegt'.

Um auf die Ausgangsfrage zurück zu kommen: Ich weiß es nicht. Ich persönlich bin Bargeldfan und mit meinen digitalen Optionen für Zahlen im Internet und gelegentlich auch im Laden ausreichend bedient. Ob die EU einen digitalen Euro braucht, das weiß ich nicht, bisher habe ich das mich überzeugende Argument noch nicht gefunden.

Dies ist die Fortsetzung eines früheren Newsletters und anderer Stelle gibt es viel mehr zu CBDCs (Zentralbankgeld, digital) generell.

Im nächsten Newsletter mehr zu Bargeld und zum gemischten Erfolg von digitalem Zentralbankgeld in China.

 

5. Neues zu EU-Regulierungen: Digital Market Act (DMA), AI-Act, Data Act, Digital Services Act, Cyber Resilience Act

Digital Market Act (DMA)

Zum Thema DMA ist dies die Fortsetzung aus dem März-Newsletters. Der 'Digital Markets Act' soll Firmen mit sehr hohem Marktanteil in der EU, dh 'Quasi-Monopole', 'gate-keeper', einbremsen. (Eine ähnliche Zielgruppe hat auch der 'Digital Services Act' DSA, siehe weiter unten. Aber beim DSA geht es aber primär um die Handlungen, wie z.B. Moderation, Risikobetrachtungen Richtung Hasspostings, etc.)

Die Liste der ursprünglich vom DMA Act betroffenen Firmen:

Aktualisierung Sept: 2023:
Nachdem einige Firmen Einspruch eingelegt hatten wurden folgenden Produkte aus der Liste entfernt: Gmail, Outlook.com und der Samsung Internet Browser. Die aktualisierte Übersicht über die betroffenen Produkte findet sich in der Graphik rechts.

Für Apple bedeutet dies vermutlich das Ende des Monopols ihres App-Stores für iOS für Nutzer in der EU. Hier geht es weiter mit dem DMA.

Data Act

Dieses Datengesetz behandele ich im Newsletter zum ersten Mal. Der EU Data Act ist der Versuch, die Nutzung von Daten die digitale Geräte ständig erzeugen (z.B. auch die Daten, die bei modernen Autos [oder anderen digitalen Geräten] ständig erfasst und zu den Herstellern übertragen werden) zu regulieren und fair zu gestalten. Fair sowohl für Konsumenten, aber vor allem auch für die Industrie und den Handel: Einigung über Data Act der EU für Big-Tech-Unternehmen.

Da geht es z.B. um die Frage, wem gehören die Daten, die ein Gerät produziert? Es geht (nicht nur, aber auch) um den B2B Bereich (z.B. auch um Windräder), also nicht um personenbezogene Nutzungsdaten. Im Grunde ist der Vorstoß nicht schlecht, weil der 'Handel' mit einem neuen Gut Daten reguliert wird, es also Spielregeln gibt, die es noch nicht gab. So versuchen derzeit z.B. die Automobilhersteller die Nutzung der detaillierten Nutzungsdaten 'ihrer' Automobile zu monopolisieren, aber Nicht-Vertragswerkstätten, Versicherungen, Verkehrsplaner und andere hätten auch gern Zugriff: Was der Data Act der EU im Detail bedeutet.

Dabei sollen neben Regelungen zum Umgang mit Verbraucher- und Unternehmensdaten auch Schutzvorkehrungen gegen illegalen Zugriff gewährleistet werden. Unternehmen wie Siemens und SAP hatten dagegen vor einer möglichen erzwungenen Weitergabe von Geschäftsgeheimnissen gewarnt, US-Techkonzerne kritisierten eine Beeinträchtigung des internationalen Datentransfers. Welche Chancen und Risiken das birgt wird sich bestimmt noch zeigen, aber das wirtschaftliche Potential ist angeblich erheblich. Im November geht es weiter zum Data Act.

AI Act - die Regulierung von algorithmischen Systemen

Das ist die Fortsetzung vom Mai Newsletter. Dort wurde berichtet, dass der Entwurf viele Hürden genommen hat und nun im Stadium des Trilogs ist. D.h. EU Rat, EU Parlament, and EU Commission diskutieren nun den Entwurf der vom EU Parlament verabschiedet wurde. Dabei steht außer der Struktur und dass es ein Gesetz geben soll, eigentlich im Prinzip alles zur Diskussion. Auch alle Lobbyisten, sowohl die von der Industrie wie auch die NGOs geben noch mal ihre Meinungen zu allen Streitfragen kund (der Industrie geht es meist zu weit, den NGOs (und auch mir) zu wenig weit). Details zum aktuellen Stand finden sich im AI Act Newsletter #34.

In den USA haben sich überraschenderweise nun 7 große Firmen in AI-Umfeld gegenüber der Biden Administration für freiwillige Selbstverpflichtungen ausgesprochen: Google, Meta, OpenAI, Anthropic, Inflection und Microsoft. Sie wollen die Risiken ihrer Systeme bewerten lassen und die Ergebnisse veröffentlichen, die Systeme gegen "Cyber-Gefahren" absichern und entsprechende Standards schaffen. Wasserzeichen soll künftig KI-generierte Inhalte erkennbar machen. Das Wie bleibt aber bisher offen. Evt ist das Ziel lediglich, strengere verpflichtende Gesetze (analog zum AI Act) zu verhindern.

Der Artikel Technologie und Innovation brauchen auch Verbote argumentiert, dass neue Technologien immer aus 2 Komponenten bestehen: der Technik und dem Umfeld. Das Umfeld kann eine Marktsituation, aber oft eben auch eine Regulierung sein. Diese Kombination ist oft der Grund, dass 'technischer Fortschritt' entsteht. Der Autor verwendet den Vergleich mit der Dampfmaschine, deren Konzeption nach Hero von Alexandria erst mal wieder sehr lang in Vergessenheit geriet, aber seit Ende des 15. Jhdt. bereits mit ersten Patenten dokumentiert wurde. Aber erst nach dem Fire Engine Act 1698 (und anderen Veränderungen) begann der kommerzielle Durchbruch. (Viele Details im Age of Invention-Blog. Noch mal Vergleich mit Dampfmaschinentechnologie und Referenz auf die 'freiwillige Regulierung' in den USA: Mit Volldampf ins KI-Zeitalter?) Ich bin übrigens ein Fan von Regulierungen. Im November geht es weiter zum AI Act.

'Digital Services Act' DSA

Der 'Digital Services Act' DSA hat eine ähnliche Zielgruppe wie der DMA. Aber beim DSA geht es aber primär um die Handlungen, wie z.B. Moderation, Risikobetrachtungen Richtung Hasspostings, etc. Siehe auch mein voriger Bericht dazu mit einer Auflistung der wichtigsten Inhalte. Die 'Neuigkeit' dazu ist, dass die Verordnung nun nach der Zeit des Übergangs wirklich gilt (Amazon und Zalando wehren sich gerichtlich). Inhaltlich wurde nun eine Methodologie der Risiko-Audits veröffentlicht - das heißt, es geht was weiter, aber es ist mühsam solche komplexen Themen, betrieben von Firmen-Giganten, zu regulieren.

Im nächsten Newsletter dann die Meldung, dass Tiktok und Meta der EU erste Zugeständnisse machen.

Cyber Resilience Act

Beim Cyber Resilience Act geht es um den Schutz digitaler Geräte vor Cyberangriffen. Hersteller sollen künftig verpflichtet werden, z.B. für eine gewisse Zeit Sicherheitspatches anzubieten. Die Verordnung ist allerdings noch früh im Diskussionsstadium: ein erster Entwurf wurde nun dem EU Parlament übergeben.

Hier ein voriger Beitrag dazu, in einem früheren Newsletter mehr inhaltliche Details. Die Fortsetzung im Dezember 2023.