202. Newsletter - sicherheitskultur.at - 30.11.2023

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Eine Erklärung, was in der derzeitigen IT-Technologie grundlegend schief läuft

Titelbild Power and Progress Titelbild Macht und Fortschritt
Simon Johnson, Daron Acemoğlu:
Power and Progress - Our Thousand-Year Struggle Over Technology and Prosperity
Macht und Fortschritt - Unser 1000-jähriges Ringen um Technologie und Wohlstand

 

Es geht um das Buch von Simon Johnson und Daron Acemoğlu: Power and Progress, auf deutsch: "Macht und Fortschritt - Unser 1000-jähriges Ringen um Technologie und Wohlstand".

Die beiden renomierten Wissenschaftler (1x Wirtschaft + 1x Geschichte) haben die Technologie-Geschichte nach Machtverschiebungen durch neue Technologien untersucht. Sie untersuchen die Frage, wem die Innovationen jeweils zugute gekommen sind.

Sie betrachten nicht nur bekannte Beispiele wie Dampfmaschinen und Elektrizität, sondern auch die vielen Produktivitätsfortschritte in der Landwirtschaft seit einigen Tausend Jahren.

Die Antwort ist, dass die jeweiligen Gewinner ganz davon abhängen, wie die jeweilige Technologie eingesetzt wird.

Ob und unter welchen Umständen technische Produktivitätsfortschritte mit 'dem Volk' geteilt werden oder ob die Ungleichheit erhöht wird, das ist jeweils eine bewusste gesellschaftliche Entscheidung - in der Geschichte der technischen Fortschritte wurde typischerweise leider meist die Ungleichheit erhöht.

Produktivitätssteigerungen können neue Jobs erzeugen, das ist aber nicht zwingend. Nur wenn durch die Produktivitätssteigerungen eine Konkurrenz um Arbeitskräfte entsteht, dann verbessert sich die Lage der Arbeitskräfte. Das Abwandern der Arbeitskräfte dorthin, wo sie besser bezahlt werden, wurde traditionell oft juristisch verhindert (Leibeigene, Sklaven). Ergebnis der Produktivitätssteigerungen war bei Verhindern von Abwanderung das Anwachsen der Ungleichheit.

Dass der technische Fortschritt in den letzten 200 Jahren auch zur Verbesserung des Lebensstandards 'des Volks' geführt hat, das wurde hart erkämpft - Stichwort Organisation der Arbeiter, Gründung von Gewerkschaften, etc.

Nun zu den modernen Informationstechnologien:
Die Autoren unterscheiden zwischen IT-Anwendungen, die für Arbeitskräfte nützlich sind und ihnen ermöglichen, ihre Aufgaben effektiver zu erledigen (wie Navis, Taschenrechner, Textverarbeitung, Spread-sheets, Datenbanken, etc.) und anderen Entwicklungen, die dem Ziel dienen, die Arbeit von Menschen vollständig zu übernehmen.

Der derzeitige Trend geht leider primär zur zweiten Gruppe, weil diese Anwendungen durch das Einsparen von Arbeitsplätzen schnelle Gewinnsteigerung versprechen. Auch wenn es um die Zukunft von AI geht steht derzeit das Einsparen von Arbeitskräften im Vordergrund, siehe die vielen Beispiele von Entlassungen, die mit AI begründet werden. Natürlich wird auch an unterstützender AI gearbeitet, z.B. bei Diagnostik, aber das große Geld geht in die Ersetzung von Arbeitskräften.

Deutlich wird dies in der Zielsetzung, 'autonome Intelligenzen' zu implementieren. Als Beispiel: Das große Endziel bei IT im Auto ist nicht, das Autofahren weniger anstrengend, dafür aber sicherer zu machen, sondern die Fahrer komplett zu ersetzen - darin besteht der schnellste Automatisierungsgewinn, speziell im Bereich Taxis und LKW-Fernverkehr wo die Fahrer ein großer Kostenfaktor sind.

Noch ein Beispiel: Self-Checkout Kassen - eine erfahrene Kassiererin ist um ein vielfaches schneller und die Geräte sind sauteuer. Trotzdem finde ich mehr und mehr solche, für mich lästigen und nervigen, Installationen.

Die englische Ausgabe des Buches ist übrigens beträchtlich günstiger im Preis als die deutsche Übersetzung - Übersetzungen sind teuer, solange sie nicht mittels AI erzeugt werden. ;-)

Eine gute Fortsetzung dieses Themas findet sich im Dezember: ein Beitrag zu 5 möglichen AI-Zukunfts-Szenarien. Daron Acemoğlu hat übrigens (zusammen mit anderen) den Wirtschaftsnobelpreis 2024 bekommen.

 

2. LLMs können nicht logisch denken, aber können wir Menschen das denn?

Titelbild: Thinking, Fast and Slow Titelbild Schnelles Denken, langsames Denken
Daniel Kahneman:
Thinking, Fast and Slow
Schnelles Denken, langsames Denken

Diese Frage, ob wir Menschen logisch denken, untersuchte der Nobelpreisträger Daniel Kahneman in Thinking, Fast and Slow, bzw. Schnelles Denken, langsames Denken.

Kahnemans Punkt: Die allermeisten unserer Entscheidungen werden aus dem Bauch gefällt = er nennt das "schnelles Denken" ohne großen Energieverbrauch. Nur wenn wirklich notwendig, dann können sich Menschen zu logischen Denkschlüssen aufraffen mit einem deutlich höheren Energieverbrauch.

Dass LLMs (Large Language Models, z.B. ChatGPT) an logischen Herausforderungen scheitern (z.B. 'Wenn A identisch mit B ist, dann muss B identisch mit A sein', siehe auch die Versuche, eine Uhr zu deuten und viele andere Fehler) habe ich in früheren Newslettern in vielen Beispielen dokumentiert.

Der Digital Humanity Kongress in Wien "Can Machines Save the World?" am 16. und 17.11. behandelte auch dieses Thema. Der vorige Link geht zum Programm, hier die Life streams zum Nachschauen: Donnerstag und Freitag.

Interessante Aspekte zum Denken von Menschen und Maschinen habe ich speziell mitgenommen von Edward A. Lee: (ab 5:03:30 am Donnerstag).

Ein für mich überraschender Punkt war:
LLMs / d.h. neural networks sind viel näher an menschlichen Gehirnen als ich bisher angenommen hatte. Beide nutzen im Gegensatz zu unseren herkömmlichen Computern keine Wenn-Dann Logik, sondern arbeiten sprachlich, dh. eigentlich aus einem Bauchgefühl auf Grund von früher erlerntem - sie nutzen, wie wir Menschen beim 'Fast Thinking' die digitale Version von 'Assoziationen nach dem Bauchgefühl'.

Rationales Denken, wie wir es z.B. in der Mathematik und anderen Wissenschaften brauchen, entsteht im menschlichen Gehirm als emerging property - das zu trainieren ist bei uns Menschen die (manchmal mühsame) Aufgabe von Schulen und Unis.

Auch bei LLMs sind durch riesig wachsenden Trainingsaufwand immer wieder überraschende logische Schlussfolgerungen entstanden, z.B. ein scheinbares Verständnis für das Konzept von Zahlen und Mathematik-Aufgaben (bei ChatGPT 3.5 deutlich schwächer als GPT 4). Edward A. Lee verglich das logische Denkvermögen von ChatGPT 3.5 mit dem eines Schülers und das von GPT 4 mit dem seiner Studenten - auch die machen (wie wir alle) mehr oder weniger häufig Denkfehler - so wie die derzeitigen LLM-Systeme eben auch. Sie arbeiten nicht so zuverlässig, dass man sie für Aufgaben verwenden sollte, bei denen die Korrektheit von Fakten essentiell ist. 'Hallucinate' wurde vom Cambridge Dictionary zum 'Wort des Jahres 2023' erklärt.

Edward A. Lee und andere Referenten betonten, dass die Forderung nach "Explainable AI" (dh neuronale Netze, die erklären können, warum sie genau so entschieden haben) ins Leere geht. Wir Menschen sind extrem gut darin, unsere Bauchentscheidungen nachher rational zu rechtfertigen - die gegenteilige Entscheidung ginge ebenso, das ist in zahlreichen Experimenten demonstriert worden. Das könnten die LLMs genauso - und nichts wäre gewonnen.

Die Konklusion von Edward Lee und anderen Referenten: LLMs sind gute 'Assistenten', die Anregungen geben können, Texte formulieren, sprachlich verbessern oder zusammenfassen. Neuronale Netze können auch andere Aufgaben aus dem Bauchgefühl heraus lösen: Nicht nur Schach, Go und Poker, sondern sogar eine ziemlich gute und energiesparende Wettervorhersage.

Sie sind aber nicht geeignet zum Recherchieren von Fakten, zB in Suchmaschinen, dort sind sie eine Katastrophe (genau so schlecht, wie wenn Menschen aus dem Gedächtnis, bzw aus dem Bauch Fakten erklären müssen).

Gefährlich sind LLMs in den Händen von jungen Menschen - es besteht die große Gefahr, dass diese deren Output für Realität halten. Genau aus diesem Grund gehören LLM-Inhalte auch nicht in Social Networks.

Einige Referenten betonten, dass eine Trennung von AI-Kritik und Kritik am derzeitigen System von Silicon Valley Tech-Oligopolen mit Tech-Mogulen notwendig ist.

AI und LLM Systeme wären wohl deutlich weniger gefährlich, wenn die Macht über den Einsatz dieser Systeme anders verteilt wäre - das schließt für mich direkt an den vorigen Artikel in diesem Newsletter an. Und das leitet dann auch gleich über zum nächsten Kapitel, nämlich dem verwirrenden 'Drama' um OpenAI'.

Die Frage, welche intellektuellen Aufgaben ein Computer und welche wir Menschen besser lösen können, das untersucht Gary Marcus beruflich - die Details finden sich in

Siehe auch: B. F. Skinner:
The real problem is not whether machines think but whether men do.
The mystery which surrounds a thinking machine already surrounds a thinking man.

Skinner ist bekannt für die (berühmt/berüchtigte) Skinner-Box [Wikipedia] für operante Konditionierung (Lernen auf Grund von Belohnungen oder Bestrafungen - bei Tieren und Menschen), die heute in Form von Social Networks täglich und großflächig im Einsatz ist (mit den positiven Triggern: Repost, Retweet, Like, Share, Boost, etc. lösen mittels Dopaminausschüttung Suchtverhalten aus).

 

3. Was ist eigentlich los bei OpenAI?

Die Firma OpenAI, die mit ChatGPT im letzten Jahr einen regelrechten AI-everywhere-Hype gestartet hatte, war in den letzten 2-3 Wochen täglich in der Presse. Der als charismatisch beschriebene Sam Altman, gefragter Gast bei vielen Regierungen und Tech-Konferenzen, wurde zuerst gefeuert, dann doch nicht, dann war er kurz bei Microsoft und ist nun wieder zurück bei OpenAI.

Hier mein begrenztes Verständnis nach dem Studium vieler Artikel: Um diese ehrgeizigen Ziele als non-profit implementieren zu können besteht OpenAI eigentlich aus 3 Firmen: OpenAI, Inc ist non-profit, das kontrolliert und besitzt OpenAI GP LLC, die wiederum über eine Holding Company im Besitz der Angestellten und Investoren ist. Die Holding Company besitzt und kontrolliert die for-profit OpenAI Global, LLC (bei der auch Microsoft eine Beteiligung hält - hier die Details der Firmenkonstruktion). In der OpenAI Global, LLC hätten jetzt weitere 86 Milliarden USD zugeschossen werden sollen, aber mit dem Zusatz, dass die Einzahler das bitte als Spende betrachten sollen, nicht als Investition in ein Unternehmen. Gary Marcus schrieb:

...The whole nonprofit-hybrid model, introduced in 2019 (the company was originally pure non-profit) was always a ticking time bomb, because the people trying to make money were never going to have a perfect relationship with those in the nonprofit that were charged with keeping the world safe. Safety and financial return were always going to be in tension. In hindsight, the recent drama was an accident waiting to happen.
...... The fact that the prospectus for 86 USD billion warned that the whole thing should be viewed “as a donation” doesn’t seem to have much deterred the investors, but it should have.

Noch eine Einschätzung: Machtkampf bei OpenAI: Sam Almighty. Der Autor geht davon aus, dass sich die Kommerz-Fraktion gegen die 'Vorsichtigen' durchgesetzt hat, die 'AI zum Wohle der gesamten Menschheit entwickeln wollten' (siehe Mission-Statement). Und auch Microsoft hat seinen Einfluss erhöht. Oder wie die NY Times sagt: A.I. Belongs to the Capitalists Now. Der Standard kommentiert: Silicon Soap: Wie "Game of Thrones" im Zeitraffer.

Aktualisierung Jan. 2024:
Die NYT berichtet: OpenAI Quietly Deletes Ban on Using ChatGPT for “Military and Warfare”. Das viele schöne Geld, das sich beim Militär verdienen lässt . . . Im Februar 2024 gibt es meinen nächsten Update zu OpenAI, es gruselt immer mehr.

 

4. Neues zu EU-Regulierungen (DMA, DSA, eIDAS, Data Act, AI Act, Chatcontrol)

Digital Market Act (DMA)

Der 'Digital Markets Act' soll Firmen mit sehr hohem Marktanteil in der EU, dh 'Quasi-Monopole', 'gate-keeper', einbremsen. Die wehren sich nun teilweise und wollen einzelne ihrer Angebote ausgenommen haben: Apple sagt, dass sein App Store ausgenommen werden soll, Meta legt bezüglich seines Facebook-Messengers und -Marketplaces Einspruch ein und TikTok wehrt sich gegen die grundsätzliche Einstufung (weil sie Newcomer sind und eh gegen die Großen kämpfen).

Aktualisierung Jan. 2024:
Das DMA besagt, dass der App-Store von Apple eine unerlaubte Monopolisierung darstellt. Nun reagiert Apple darauf, aber die Reaktion wird von Kritikern als 'totale Farce' bezeichnet. Für die Nutzung eines unabhängigen App-Stores fallen Gebühren an, die in ähnlicher Höhe liegen wie der hohe Anteil an allen Einnahmen im regulären App-Store. Ein anderer Artikel: Digital Markets Act: Dreist, dreister, Apple. Das wird noch spannend werden.

Zum Thema DMA ist dies die Fortsetzung des Beitrags vom September, im Februar 2024 gibt es die nächste Aktualisierung zum DMA.

 

Digital Services Act (DSA)

Der Digital Services Act (DSA) hat eine ähnliche Zielgruppe von marktbeherrschenden Firmen und verlangt ein Mindestlevel an Datenschutz, Moderation, Risikobetrachtungen Richtung Hasspostings, etc. (dies ist die Fortsetzung vom September).

Nachdem Meta für die Dienste Instagram und Facebook in einigen EU-Ländern benutzer-bezogene Werbung (dh Tracking) verboten wurde sollen diese beiden Dienste, falls ohne Werbung gewünscht, in Zukunft Geld kosten und zwar kräftige 10 bis 17 Euro pro Monat. Die Datenschutzorganisation Noyb reicht Beschwerde gegen Meta wegen neuen Abomodells ein. Sie nennen das eine "Datenschutzgebühr".

Außerdem mahnt die EU-Kommission Berlin und andere Mitgliedstaaten zu schnellerer Umsetzung - so lange zB die Benennung der nationalen Koordinatoren für digitale Dienste fehlt und ohne entsprechende lokale Begleitgesetze kann nicht viel durchgesetzt werden.

Das ist ähnlich zum Datenschutzgesetz: Recht gute Regelungen, aber die Durchsetzung ist extrem mühsam, weil einige Länder (vor allem Irland) die Durchsetzung sabotieren.

Aktualisierung Dez. 2023:
Die Webseiten Pornhub, Stripchat, XVideos wurden auch als VLOPs (very large online platform) eingestuft und fallen künftig unter die höheren Auflagen des EU-Digital Services Act DSA. Das heißt zum Beispiel, dass sie eine Altersverifikation einführen müssen, das ist extrem herausfordernd, wenn gleichzeitig anonymer Zugriff gewünscht ist.

Noch ein Ergebnis des DSAs: Damit die österreichische Gesundheitskarte E-Card auf die Smartphones kommen kann, muss Apple die NFC-Schnittstelle frei geben. Dazu soll Apple in 2024 mittels DSA gezwungen werden. Danach kann es auch andere Bezahl-Apps auf iPhones geben. Im Februar 2024 gibt es die Fortsetzung zum DSA.

 

eIDAS-Verordnung (digitale Identität - eIDAS) - mit vielen Aktualisierungen

Das ist eine extrem gemischte Geschichte. Es geht um einen einheitlichen digitalen Ausweis in der EU. Organisationen wie epicenter.works haben es geschafft, dort eine Reihe von guten Privacy-by-Design-Features hinein zu reklamieren, z.B. dass es keine permanente Personenkennung von Geburt bis Tod geben soll. Und wer gegenüber Nicht-Behörden z.B. nur sein Alter nachweisen muss, der kann dies mittels der zukünftigen App tun ohne Namen, Geburtsdatum und anderes zu zeigen (selektive Preisgabe von Daten - zero-knowledge-proof).

Dazu ein Recht auf Pseudonymität, das es erlaubt, ein von der Wallet generiertes Pseudonym zu verwenden, das nur lokal gespeichert wird und nicht trackbar ist (dieses Recht kann jedoch durch nationales und EU-Recht eingeschränkt werden) - (selektive Offenlegung, Zero-Knowledge und Unverknüpfbarkeit). Außerdem soll es keinen Zwang zur Nutzung geben - alle Dienste müssen auch ohne Wallet nutzbar sein.

Nun zu dem großen Knackpunkt: in diese Verordnung wurden "Qualified Website Authentication Certificates" (QWAC) eingebaut. Dies sind staatlich ausgestellte Web-Root-Zertifikate, die von allen Browsern ohne Warnung akzeptiert werden müssen. Das ist eine Option für alle EU-Mitgliedstaaten, Man-in-the-Middle Angriffe zu implementieren: eine Einladung zur Überwachung der Bürger, durchgesetzt durch die Innenminister:innen, denen dieser ganze Datenschutz wohl zu viel war.

Aktualisierung Feb. 2024:
Zu dem Punkt der QWACs (Qualified Web Authentication Certificates) wurde letztendlich ein Kompromiss verabschiedet: Die Staaten dürfen solche Zertifikate ausstellen, die Browser dürfen sie aber, wenn sie einen Grund dafür sehen, auch wieder blockieren. Das Problem dabe ist, dass die Browser-Anbieter erst mal entdecken müssen, dass ein solches Zertifikat missbraucht wird.

Aktualisierung Jan. 2024:
Thomas Loninger von epicenter.works spricht über die Lobbyarbeit der NGOs: "Please Identify Yourself! What to expect of Europe's ubiquitous digital identification infrastructure".

Aktualisierung März 2024:
Nun auf deutsch und nur 20 Min. eIDAS und ähnliche Systeme - was sind die Risiken (ab 3:12).

Aktualisierung Juni 2024:
Ich habe weiter oben berichtet, dass eIDAS eine Erfolgsgeschichte für die Kooperation zwischen der Zivilgesellschaft und den EU-Behörden sei: Es wurden sehr gute Privatsphäre-Features in die Verordnung eingebaut. Nun kommt von epicenter.works, die bei den Verhandlungen aktiv waren, eine bestürzte Meldung: eIDAS: Vertrauensbruch statt Datenschutz.

Es geht um die technischen Leitlinien für die "European Digital Identity Wallet" und dort steht statt der versprochenen "Pseudonymität" bei nicht-staatlichen Abfragen (z.B. beim Zutritt zu einer Disco) nun ein "Pseudonym-Anbieter" drin, der bei Bedarf die reale Identität des Bürgers offen legen kann. Die Details finden sich im Link, dort gibt es noch andere Kritikpunkte an den technischen Leitlinien.

 

Data Act

Ziel dieser Verordnung ist, dass jeder EU-Bürger Zugriff auf alle Daten erhalten soll, zu deren Erzeugung er beigetragen hat, zB die Daten, die sein modernes Auto erzeugt und kontinuierlich an den Hersteller liefert (dieser Abschnitt ist die Fortsetzung vom Juli) - hier mehr zu den Daten, die Autos erzeugen. Aber auch zwischen Unternehmen und Behörden sollen Daten fließen, dort wo die Daten personen-bezogen sind, müssen sie anonymisiert oder pseudonymisiert werden (außer bei Katastrophen wie Überschwemmungen und Waldbränden oder "zur Erfüllung eines gesetzlichen Auftrags".

Außerdem steckt im Data Act ein 2. Versuch zu Daten-Mobilität. Schon im Datenschutzgesetz (DSGVO) war eine Portabilität zwischen Anbietern gefordert worden. Übrig blieb aber nur das Recht, seine Daten zB aus den Social Networks herunterzuladen. Die Option, sie dann wo anders hochzuladen wurde von keinem Anbieter implementiert. Nun kommt ein 2. Anlauf: Anbieter von Cloud-Diensten müssen weitgehende Kompatibilität mit offenen Standards oder Programmierschnittstellen (APIs) für alle auf dem Markt verfügbaren einschlägigen Services herstellen (und diesmal nicht nur für Personendaten) - Industrievertreter sind nicht begeistert. Sehr interessiert daran sind z.B. die unabhängigen Reparatur-Werkstätten. Schauen wir mal, was daraus wird - die nächste Aktualisierung im Dezember.

 

EU AI Act

Die Verhandlungen sind kurz vor Schluss noch mal ordentlich ins Stocken geraten. Es geht um die Frage, ob Systeme wie ChatGPT und andere LLMs (sog. 'Foundation Model', 'Basismodelle', die (noch) keinen speziellen Zweck haben, vom Gesetz betroffen sein sollten - eigentlich klar, darum geht es ja. Aber Lobbyisten aus Deutschland, Frankreich und Italien wollen dafür sorgen, dass diese Systeme rausfallen. Der Hintergrund: der französische Startup Mistral wird von einem früheren Staatsekretär vertreten und Aleph Alpha aus Deutschland hat ebenfalls gute Verbindungen zur Politik. Es ist gut möglich, dass die Lobbyisten, die einzelne Firmen schützen wollen, das Gesetz nun so verwässern, dass es witzlos wird.

Die drohende Verwässerung wollen viele Experten nicht hinnehmen. Es gibt 2 offene Briefe, einen an die deutsche Regierung. Viele Wissenschaftler rund um AI-Forschung sehen die Option, die Foundation Models von der Regulierung auszunehmen als große Bedrohung. Sie befürworten den Kompromissvorschlag Tiered Approach (der bereits vorliegt und hinter dem Link ausführlich erläutert wird). Es geht um "Ensuring that risks of systems like ChatGPT deployed at large scales are regulated", dh die wenigen großen Anbieter müssen die Risiken ihrer Modelle analysieren und beheben, Forschung und kleine Start-ups bleiben von den aufwendigen Risikobetrachungen verschont. Hoffen wir, dass das Parlament sich durchsetzen kann.

Noch eine neue Entwicklung: Die EU Kommission hat einen AI Pact vorgeschlagen. Die großen AI-Player sollen aufgefordert werden, bereits vor dem In-Kraft-Treten des AI Acts freiwillig eine Reihe von Maßnahmen zu implementieren.

Dieser Abschnitt ist die Fortsetzung vom Juli 2023 - im nächsten Monat kommt die vorläufige Einigung.

 

 

Chatkontrolle / Chatcontrol / CSAM

Das Thema ist leider nicht tot zu kriegen. Es geht angeblich darum, Kinder vor CSAM (CSAM=child sexual abuse material) und Grooming zu schützen - aber es läuft alles darauf hinaus, entweder ende-zu-ende-verschlüsselte Verbindungen zu verbieten oder auf allen IT-Geräten eine Erkennungssoftware einzusetzen.

Trotz heftigem Widerstand vieler NGOs und auch der EU-Juristen, die sagen, dass dieser Eingriff in die Privatsphäre vor den Gerichten nie halten wird, ist das scheinbar nicht tot zu kriegen. Die Innenminister:innen der EU-Staaten (plus Geheimdienste und Polizeibehörden) sind sehr daran interessiert und Europol und andere haben bereits gefordert, dass das natürlich auch auf andere Verbrechen ausgeweitet werden muss (Pornografie, Migration und Drogen werden genannt) - gruselig.

Haupt-Lobbyist scheint eine US-NGO Thorn zu sein, die zufällig eine Software anbietet, die angeblich solche Inhalte sicher erkennen kann. Thorn wird geleitet von US-Schauspieler Ashton Kutcher, der offenbar enormen Einfluss auf die EU-Kommissarin Ylva Johansson genommen hat (es gibt viele peinliche Chats zwischen den beiden), EU Abgeordnete sind wütend. D.h. derzeit ist noch alles offen.

Die richtige Antwort auf das CSAM-Problem wäre das, was jetzt auch bereits recht gut funktioniert: "Take It Down". Bereits früher hatte ich berichtet, wie das False-positive Problem eine solche flächendeckende Überwachung zum Scheitern verurteilt. Hier sind die Stellen, bei denen verbotene Inhalte im Internet gemeldet werden können.

Dieser Abschnitt ist die Fortsetzung vom Dezember 2022.

Aktualisierung Dez. 2023:
Mal eine gute Nachricht: So wie es jetzt aussieht ist der Plan der Überwachung aller Handy-Kommunikation erst mal gescheitert. Die EU-Staaten finden keine gemeinsame Position zum Gesetzentwurf der EU-Kommission. Trotz vieler Verhandlungen wird sich der Rat dieses Jahr nicht mehr einigen. Damit wird das Gesetz vor der EU-Wahl im Juni voraussichtlich nicht mehr beschlossen - sehr gut! :-)

Die Details berichten auf dem Chaos Computer Congress 3 Menschen, die am Scheitern aktiv beteiligt waren: Chatkontrolle - Es ist noch nicht vorbei! - Eine Tragödie in X Akten. Das 'noch nicht vorbei' bezieht sich darauf, dass Polizei und Geheimdienste in einigen EU-Ländern die Ende-zu-Ende-Verschlüsselung und die Abhörsicherheit unserer Geräte wirklich nicht passt und dass die Keule mit "aber die armen Kinder" bestimmt wieder rausgeholt wird.

Außerdem wurde im Dezember eine Statistik zur bisher (und auch noch weiter) geltenden Regelung der freiwilligen Chatcontrol veröffentlicht (freiwillig bedeutet in diesem Fall, dass die Dienstleister entscheiden, ob sie die Kommunikation ihrer Kunden auswerten, Facebook, Instagram, Google, Microsoft und X tun dies). Ergebnis ist, dass sich nicht viel sagen lässt: jede Firma berichtet andere Punkte, das große Problem der false-positives wird nicht analysiert. Befürworter wie Gegner können sich für sie passende Aspekte herauspicken.

Aktualisierung im Februar 2024
Eine Klage russischer Telegram-Nutzer könnte ein Schlag gegen ChatControl sein. In 2017 hatte Russlands nationale Sicherheitsbehörde FSS dem Messengerdienst Telegram auferlegt, eine Hintertür dieser Art zu schaffen, um Aktivitäten in Bezug auf Terrorismus aufklären zu können. Dagegen haben russische Nutzer beim Europäischen Gerichtshofs für Menschenrechte (EGMR) geklagt und gewonnen. Das Gericht sieht die Aushebelung von Verschlüsselung als Menschenrechtsrisiko. Dieses Urteil legt den Polizeibehörden denen die Ende-zu-Ende-Verschlüsselung ein Dorn im Auge ist, einen weitere Hürde in den Weg. Dies wird sich hoffentlich auch bei den Diskussionen zu ChatControl und evt. auch der neuen gefährlichen UN Cybercrime Convention auswirken.

Aktualisierung im Juni 2024
Im Juni 2024 scheiterte (zum Glück) der nächste Anlauf für die Chatcontrol.