200. Newsletter - sicherheitskultur.at - 28.09.2023
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Autos als Datenspione im Auftrag der Hersteller
Moderne Autos sammeln riesige Datenmengen. Welche Informationen sie genau erfassen und welche ohne Wissen des Fahrers zum Hersteller, Behörden (zum Teil ohne formelle Anfrage) und Datenhändlern fließen, das haben Mozilla Foundation und der ADAC untersucht.
Die Mozilla Foundation hat sich in den USA den Datenschutz bei 25 Herstellern angesehen, das Ergebnis ist vernichtend: "Die mit Abstand übelste Produktkategorie, die wir je getestet haben". Das reicht von "schlecht" (Renault und Dacia) bis 'ganz gruselig' bei Tesla. Renault und Dacia sind die 'besten', weil sie als Einzige die nachträgliche Löschung von Daten auf expliziten Kundenwunsch ermöglichen.
Ja, auch Europäer wie VW, BMW, Mercedes sind bei den schlechtesten dabei. Der ADAC hat die Details der Datensammlung in Europa für 4 Hersteller untersucht. Da sind auch bei uns die GPS-Positionen der Fahrzeuge dabei, eine ganz gefährliche Datenklasse. Gesammelt werden Daten, die Rückschlüsse auf das Nutzungsprofil, die Intensität der Nutzung, die Anzahl der Fahrer oder sogar den Fahrstil erlauben. Gespeichert wurden zum Beispiel gefahrene Strecken, GPS-Daten, Gurtstraffungen oder die Betriebsstunden der Fahrzeugbeleuchtung.
In den US-Verträgen steht bei 76% der Verträge der Weiterverkauf der Daten explizit drin und die Kunden stimmen mit dem Kaufvertrag bei einigen Anbietern auch Datenklassen wie "genetische Informationen", "genetische Charakteristika" und "sexuelle Vorlieben" explizit zu. Wie kommen die denn an die sexuellen Vorlieben? Es könnte z.B. ausgewertet werden, welche Musik gespielt wird (das ist statistisch hoch korreliert mit ethnischem Hintergrund und mit sexuellen Vorlieben der Fahrzeugnutzer). Aber auch die Ortskoordinaten können sehr 'sprechend' sein, zB Parken vor einem Club der 'einschlägig bekannt' ist. Über die Ortsdaten ergibt sich oft auch die Religion durch Besuch von Kirche, Moschee oder Synagoge.
Epicenter works möchte genauer erheben, was in europäischen Verträgen alles drin steh - sie bitten um Mithilfe, d.h. eine Abfrage der gesammelten Daten des eigenen Fahrzeugs mittels eines bereitgestellten Formulars.
Der ADAC bemängelt vor allem, dass zu viele Daten gespeichert werden, die Kund:innen keinen regulären Zugriff auf diese Daten haben und freie Werkstätten oft auch nicht. An dieser Stelle will das EU Data Act Abhilfe schaffen (siehe mein früherer Newsletter dazu).
Aktualisierung März 2024:
Zum Glück (hoffentlich) nur in den USA: Die NY-Times deckt auf, dass ganz viele der Autohersteller in den USA die Daten, die das Fahrzeug sammelt letztendlich an Versicherungen verkaufen, und die passen dann die Tarife an. In den Fahrzeugdaten steckt ja nicht nur, wann wir von welchem Ort zu welchem gefahren sind, sondern auch wie wir Gaspedal und Bremse eingesetzt haben (abrupte Bremsungen interessieren die Versicherungen sehr, auch hohe Querbeschleunigungen in Kurven). Viele der Autobesitzer sind erschreckt über das Wissen der Versicherungen: Automakers Are Sharing Consumers’ Driving Behavior With Insurance Companies.
Die Frage, wieso sie das dürfen beantworten die Fahrzeughersteller mit Verweis auf das Kleingedruckte im Kaufvertrag, wer dort der Datenweitergabe nicht widersprochen hat, der hat zugestimmt. Und auch in den europäischen Kaufverträgen sind Zustimmungen zu Datennutzungen versteckt, wer die nicht rausstreicht . . . Keine Ahnung, wie das in der europäischen Realität so abläuft (ich habe diese Paragraphen beim letzten Kauf alle streichen lassen bis auf die Daten zur Technik und Wartung.)
2. Aktualisierung März 2024:
General Motors Quits Sharing Driving Behavior With Data Brokers.
3. Aktualisierung April 2024:
How G.M. Tricked Millions of Drivers Into Being Spied On. Eine weitere Aktualisierung zum Thema unsere Autos als Datenspione. Die NY Times Reporterin berichtet, wie sie ganz bewusst alle Datensammel-Optionen angedreht hatte (hatte sie geglaubt), aber wie dann doch ein ausführliches Protokoll ihrer Fahrweise erstellt wurde. Versteckt war das in der Option, Software-Updates zu erhalten. Und die Provision des Verkäufers ist an das Datensammeln gekoppelt. Eine Zustimmung im Kleingedruckten einer Zusatzfeatures kann auch in der EU passieren.
1a. Event Data Recover (EDR)
Noch mal das Thema 'Auto und Daten'. Die EU hat beschlossen, dass alle neuen Autos die Fahrdaten speichern müssen, damit bei Unfällen die Schuldfrage objektiver geklärt werden kann, das Ding heißt Event Data Recorder (EDR). Meiner Meinung nach OK, wenn nicht irgendwann später jemand auf die Idee kommt, dass die Daten auch bei Terrorismus-Verdacht oder ??? genutzt werden sollen. Die Details finden sich im Link.
Aktualisierung Juli 2024:
Der österreichische Automobilclub ÖAMTC gibt Entwarnung. Im EDR-Speicher werden nur die Daten der letzten 5 Sekunden vor einem Unfall (d.h. vor Auslösen des Airbags) gespeichert und eine kurze Zeit danach). Ein Auslesen ist nur mit speziellen Geräten durch Gutachter möglich, eine Weitergabe an andere Stellen bedarf eines Richterbeschlusses. Auch die Liste der Datenelemente ist genau geregelt und begrenzt.
Das heißt, die Daten des EDR lassen sich mit den Profildaten, die die Hersteller sammeln, nicht vergleichen.
2. CSAM und der Kampf gegen die Datenverschlüsselung
Der Kampf gegen Child Sexual Abuse Material (CSAM) war schon in früheren Newslettern ein Thema. Die Polizeibehörden stören sich an der End-zu-Ende Verschlüsselung der modernen Messenger, Apple hatte versucht mit ChatControl, d.h. einer Bildanalyse auf den Endgeräten die Problematik zu behandeln, das dann wegen Missbrauchspotential wieder eingestellt, bzw. doch nicht eingestellt, sondern als "Kommunikationssicherheit" (von Eltern aktivierbarer Nacktbildscanner) auch in MacOS und PadOS integriert werden (Meldung vom Februar 2023).
In der EU fordern derzeit Innenministerien sehr vieler Länder, dass es eine Überwachungsmöglichkeit des Datenverkehrs für die Polizei geben muss. Die Entscheidung ist noch hart umkämpft (viele Organisationen der Zivilgesellschaft und einige Regierungen, z.B. Deutschland und Österreich, sind dagegen) und sollte Ende September fallen, ist aber wieder verschoben (weil keine Einigung).
Privatsphäre- und Datenschutz-Bürgerrechtsorganisationen kritisieren die Macht einer "US-geführten Stiftung" die Beratungsagenturen für die Erstellung von Lobbystrategien bezahle. Um einen Präzedenzfall zu schaffen, wollten US-Akteure in Europa "offenbar eine verdachtslose Durchleuchtung unserer Privatnachrichten" durchdrücken, die in den USA selbst nicht Gesetz sei.
Auch in England wird die Überwachung aller Chats von der Regierung vehement gefordert, nun ist aber nicht ganz klar, ob die Regierung nachgegeben hat (die Forderung bleibt im Gesetz, soll aber (derzeit) nicht 'enforced' werden).
3. LLMs sind ziemlich dumm
Die Large Language Models (LLM) wie ChatGPT sind eigentlich ziemlich dumm und weit weg davon, eine Super-Intelligenz zu sein.
Bereits in ziemlich junges Schulkind weiß, dass wenn Person A die Mutter von Person B ist, dann ist Person B das Kind von Person A. Mit solchen simplen Fragen kommen aber neuronale Netze seit Jahrzehnten nicht klar, wie Gary Marcus in seinem Text aufzeigt.
Das heißt, für eine Superintelligenz die alle Fragen besser als ein Mensch beantworten kann, sind diese Systeme noch sehr weit entfernt, es fehlt auch nur der Ansatz von logischen Denken, das haben nämlich neuronale Netze überhaupt nicht.
Das muss man auch berücksichtigen, wenn man liest dass wieder so ein System die Prüfung für eine Rechtsanwaltszulassung geschafft hat. Das ist pures 'Auswendig-Lernen' ohne einen Ansatz von Verständnis. Das wäre trotz bestandenem Examen ein schlechter Rechtsanwalt.
Und diese Systeme sollen nun die Jobs in Verwaltung und Buchhaltung ersetzen? Und als 'Copilot' in Windows 11 uns die Arbeit abnehmen oder die Mathematik-Hausaufgaben erledigen? Oder als Bart in allen Google-Services.
Hier der vorige Beitrag zu LLMs und im nächsten Newsletter: LLMs kennen nicht mal die Uhr und andere Fehlstellen.
LLMs schmarotzen geistiges Eigentum und verschmutzen das Internet - die Enshittification des Internets
Von KI verfasste Bücher (und publiziert im Selbstverlag) werden für Amazon immer mehr zum Problem. Der Artikel berichtet über eine Schwemme von AI-generierten Reiseberichten, Koch- und Gartenbüchern, Businessratgebern oder Titeln über Mathematik. Amazon hat nun entschieden, dass jeder Autor künftig maximal 3 Bücher pro Tage online stellen darf - na ja. ;-)
475 AI-generierte Websites mit News und anderen Informationen wurden bereits identifiziert, in bisher 14 Sprachen. Weil die LLMs zum Fabulieren neigen ist da auch einiges an Blödsinn dabei (unangenehm könnte ein Buch über giftige Pilze sein). AI-generierte Musik überflutet Streaming-Dienste und verdient dort Geld. Das Magazin Atlantic recherchiert die Liste der 183 000 Bücher, die beim Training des Meta-Chatbots Llama genutzt wurden (ohne zu fragen) und natürlich hunderttausende Websites. Die Liste der Bücher reicht von Büchern von Nobelpreisträger:innen, über 'Dungeons and Dragons'-Texten, christliche Erbauungsliteratur bis zu Erotica.
Wenn es denn für einen guten Zweck wäre, so könnten wir evt. damit leben, aber wenn damit dann menschlichen Autoren, Musikern und anderen Konkurrenz gemacht wird und das Internet mit Schrott geflutet wird, so ist das hoffentlich nicht die Zukunft des Internets, siehe vorigen Monat: Enshittification of the Internet und mehr Beispiele am nächsten Monat: Google sagt: kein afrikanisches Land mit K.
Ergänzungen März 2024:
Mittlerweile wird Amazon und auch Thalia von AI-generierten Zusammenfassungen überschwemmt. Ich finde auf Thalia immer mehr AI-generierte Zusammenfassungen von Sachbüchern - Beispiel hier Chip War (interessantes Buch zur Geschichte der Halbleiter bis heute, Technik + Politik). Amazon geht jetzt (halb-herzig) dagegen vor: Sie erlauben 'nur'(?) noch 3 Neu-Veröffentlichungen pro Autor pro Tag.
Auch Google merkt, dass ihre Suchergebnisse immer mehr mit AI-generiertem Click-Bait überschwemmt werden, sie planen das größte Update ihres Suchalgorithmuses seit langem, bevor die Suchergebnisse ganz unbrauchbar werden.
Ebenfalls immer dramatischer wird die 'Verschmutzung' der Wissenschaftsveröffentlichungen durch AI-generierte Fake-Artikel, erzeugt von sog. Paper-Mills. Hier ein Artikel mit 2 Beispielen, bei denen nicht mal die ChatGPT-Nebenbemerkungen entfernt wurden. :-) Z.B.:
"I'm very sorry, but I don't have access to real-time information or patient-specific data, as I am an Al language model. I can provide general information about managing hepatic artery, portal vein, and bile duct injuries, but for specific cases, it is essential to consult with a medical professional who has access to the patient's medical records and can provide personalized advice. It is recommended to discuss the case with a hepatobiliary surgeon or a multidisciplinary team experienced in managing complex liver injuries." - Peinlich als Teil einer wissenschaftlichen Veröffentlichung ;-) - der Artikel bringt noch mehr Beispiele.
Hier zum früheren Beitrag zu geistigem Eigentum und hier im Februar 2024 mehr Gruseleien, Verschmutzung des Internets durch AI-generierte Inhalte und Schmarotzen von geistigem Eigentum.
Regelmäßige Leser dieses Newsletter hatten evt. bereits schon länger den Verdacht: Sind bald alle NFTs wertlos? Rund 95% aller NFT-Sammlungen sollen mittlerweile wertlos sein. Von den 8.850 Top-Kollektionen nach Marktwert sind mittlerweile 18% wertlos, und 41% liegen bei fünf bis 100 US-Dollar - dabei gingen die Originalpreise manchmal bis in Millionenhöhe.
Ed Zitron macht sich unter dem Titel Monkey Laundering ein wenig über den früheren Hype lustig (Wortspiel mit 'Money Laundering' [Geldwäsche] und den Monkeys die in den NFTs des 'Bored Apes Yacht Club' in großen Höhen gehypt wurden). Und wieder gilt: Das viele Geld ist nicht verloren, es gehört nun aber anderen Menschen.
Hier mein voriger Artikel zu NFTs und hier ein ausführlicher Artikel, was NFTs eigentlich sind.
Aktualisierung Okt 2023:
Dies ist die Aktualisierung des Standes zum Digital Market Act (DMA) (hier der vorige Beitrag). Der 'Digital Markets Act' soll Firmen mit sehr hohem Marktanteil in der EU, dh 'Quasi-Monopole', 'gate-keeper', einbremsen und eine Öffnung ihrer Produkte für andere Firmen ermöglichen. So könnte das für Apple das Ende des Monopols ihres App-Stores für iOS für Nutzer in der EU bedeuten.
Nachdem einige Firmen Einspruch eingelegt hatten wurden folgenden Produkte aus der Liste entfernt: Gmail, Outlook.com und der Samsung Internet Browser. Die aktualisierte Übersicht über die betroffenen Produkte findet sich in der Graphik rechts.
Ein Kommentar: Digital Markets Act: Der Dosenöffner gegen Digitalkonzerne. Der Autor betont, dass speziell in digitalen Märkten die Markt der dominierenden Firmen erheblich ist. Der Kundenwechsel zu einem anderen Anbieter von Email-Diensten, Social Networks, Messaging Diensten ist kaum möglich. Außerdem sind viele Angerbote 'vertikal und horizontal integriert'. D.h. es hat für den Kunden Vorteile, alle seine Services von nur einem Anbieter, sei es Apple oder Google oder Microsoft zu nehmen (über Nachteile einer solchen Strategie schrieb ich an anderer Stelle).
Die Verordnung versucht nun, Öffnungen und Interoperabilitäten zu erzwingen, z.B. zwischen Messengern (wobei die 'kleinen' Messenger teilweise gar nicht so begeistert sind von dieser Option - sie haben Angst vor einer Spam- und Hasswelle die von den großen Plattformen kommen könnte).
Ob das Ziel des DMAs gelingt, ist nach Meinung des Kommentators noch offen. Als interessantes Beispiel für 'nicht realisierte' positive Aspekte bringt er die Datenmitnahme der DSGVO, aus der leider keine entsprechenden Angebote zum einfachen Wechsel zwischen verschiedenen Plattformen (z.B. zwischen Social Networks) entstanden sind. Im November geht es weiter mit dem DMA.
Dies ist die Fortsetzung vom Juli. Bei dieser Verordnung (die seit 25.8. in Kraft ist) geht es darum, die großen Anbieter zu einem Mindestlevel an Datenschutz, Moderation, Risikobetrachtungen Richtung Hasspostings, etc. zu zwingen. Und es sieht fast so aus, als gäbe es da erste Erfolge: Meta May Allow Instagram and Facebook Users in Europe to Pay to Avoid Ads. D.h. Facebook und Instagram soll es in Europa optional auch ohne Werbung, aber (vermutlich) dann gegen Gebühr geben. Das ist wohl ein Ergebnis der Entscheidung des European Court of Justice (CJEU) dass nur 'strictly necessary' persönliche Daten genutzt werden dürfen und damit personalisierte Werbung im Prinzip nicht mehr möglich ist. Dazu kommt eine Entscheidung der norwegischen Datenschützer, dass kein 'behavioral advertising', d.h. keine Werbung auf der Basis der persönlichen Daten der Kunden geschaltet werden darf (und eine Strafe von 90 000 € pro Tag falls das nicht eingehalten wird).
TikTok wird den europäischen Nutzern eine Nutzung ohne Auswahl der Beiträge durch den TikTok-Algorithmus ermöglichen. Dh die Nutzer, die dies anwählen, sehen dann nur noch die Beiträge von den Nutzern die sie explizit angewählt haben.
Hier noch mehr der neuen Pflichten der Gatekeeper und dann noch ein ausführlicher Text mit Fragen und Antworten: Gesetz über digitale Dienste - Digital Services Act. Im November geht es weiter mit dem DSA.
4. Welche Überraschung: NFTs sind wertlos
Digitale Kunst in der Krise: Der tiefe Fall der NFTs. Rund 95 Prozent aller NFT-Sammlungen sollen mittlerweile wertlos sein - von den 8.850 Top-Kollektionen nach Marktwert sind mittlerweile 18 Prozent wertlos, und 41 Prozent liegen bei fünf bis 100 US-Dollar. Das Belvedere in Wien erzielte mit Klimt-NFTs immerhin 4,4 Millionen Euro – doch mittlerweile ist der Markt beinahe tot. Und noch biziarrer: Kaufland tauscht wertlose NFTs gegen Einkaufsgutscheine: Egal, wie viel sie mal gekostet haben. Die Supermarktkette Kaufland tauscht NFTs gegen einen 10-Euro-Gutschein.
5. EU-Regulierungen: Digital Market Act (DMA)
6. EU-Regulierungen: Digital Services Act DSA