208. Newsletter - sicherheitskultur.at - 31.05.2024

von Philipp Schaumann

Hier die aktuellen Meldungen:

1. 'Find-my-Device', Apple Airtags und Stalking

Es geht um 'Find-my-Device'-Geräte, FMD-Geräte. Am bekanntesten sind die Apple 'Airtags', die seit 2021 auf dem Markt sind, aber es gibt solche Tracker auch von vielen anderen Anbietern. Der vorgebliche Zweck der Tracker ist das Finden von Dingen die man verlegt hat, z.B. Schlüsseln - hier mein ausführlicher Artikel zu Airtags und ähnlichen Tracking-Angeboten und den Herausforderungen, die sie bringen.

Das Problem mit allen diesen Trackern ist, dass sie sich auch sehr gut für Stalking eignen, d.h. das unerlaubte digitale Verfolgen einer Person, egal ob in einer Beziehung, einer Ex-Beziehung oder einfach so. Dafür muss der:die Stalker:in lediglich den Tracker in den Rucksack oder am Fahrzeug des Opfers platzieren und schon wird der Standort automatisch gemeldet.

Die meisten Trackern arbeiten über Bluetooth. Wer ein modernes iPhone besitzt, der:die wird seit einiger Zeit automatisch benachrichtigt, wenn ein fremdes Bluetooth-Gerät sich über eine längere Zeit in seiner Nähe befindet: Tracking-Alarm. Für Android-Nutzer funktionierte das bisher nicht, bzw. nur über spezielle Apps.

Nun kommt es in 2024 endlich zu einer Zusammenarbeit zwischen Apple und Google bzgl. Warnungen vor Bluetooth-Trackern. Die neue Tracker-Warnung wird für iOS ab Version 17.5 und auf Android ab Version 6.0 verfügbar sein. So weit, so gut.

Nun die schlechte Nachricht: dies funktioniert nur für neue Tracking-Geräte, die sich an einen neuen FMD-Standard halten, und das sind bisher nur wenige. Für die bisher und derzeit verfügbaren Tracker funktioniert das immer noch nicht. Um die Non-Standard Tracker aufzuspüren wird immer noch eine separate App benötigt, z.B. die kostenlose App AirGuard der TU Darmstadt (zu finden in den App-Stores).

Hier mein Übersichtsartikel zu Tracking und Stalking und hier kommt ein ausführliches Interview mit einer Teilnehmerin bei den Verhandlungen des IETFs mit Google und Apple. Sie berichtet über die hohe Komplexität der Problematik und Details der Verhandlungen.

Aktualisierung Juni 2024:
Auch die Secorvo News nehmen sich das Themas an. Sie empfehlen 2 Produkte mit denen man testen kann, ob das eigene Gerät Stalkerware enthält ("TinyCheck" von Kaspersky und "SpyGuard"). Außerdem verlinken sie auf eine Hintergrundanalyse zur Stalkerware "TheTruthSpy".

Außerdem verlinken sie noch mal auf die Software der TU Darmstadt AirGuard, mit der auch Alternativprodukte zu AirTags, z.B. von Samsung, Chipolo oder Tile erkannt werden können. AirGuard ist, im Gegensatz zur Apple Version, auch auf älteren Systemen verfügbar. (Der Link zu AirGuard könnte verwirren, der führt zum Quellcode auf GitHub, ganz einfach installieren kann man die App über die App-Stores.)

2. Das Web wird gründlich umgebaut

Das Web, wie wir es bisher kennen, wird nun drastisch umgebaut, denn "überall ist jetzt AI drin". Microsoft-Chef Nadella erklärt uns, es ginge immer darum, mit Technologie "magische Erfahrungen" zu schaffen, na ja.

Google und Microsoft wollen die Suche im Internet nun "magisch" machen. Bei beiden Such-Anbietern lesen die AI-Systeme die Webseiten durch, fassen sie zusammen und beantworten die Anfragen der Kunden direkt, ohne Verlinkung auf die Website. Diese Form der Suche ist derzeit bei Google erst in den USA als Grundeinstellung im Einsatz, kommmt aber auch zu uns. Microsoft hat das auch verkündet und gerade hat mir die europäische Quant-Such-App auch eine AI-Zusammenfassung angeboten. Wobei die AI-Systeme teilweise Webseiten zusammenfassen, die bereits selbst von anderen AI-Systemen erzeugt wurden, d.h. die Fehler pflanzen sich fort. Ein Stichwort dazu ist Enshittification.

Nachteil für die Ersteller der Webseiten ist, dass nun außer der AI niemand mehr ihre Texte liest, sie als Autor verloren gehen und z.B. Zeitungen weniger Werbung ausspielen können.

Vorteil für die Benutzer ist, dass man sich nicht mehr lange Texte durchlesen muss, sondern kurze knappe Antworten bekommt - ein Problem dabei ist, dass diese Antworten immer wieder mal falsch sind, im Netz wird darüber gelacht. Die AI-Systeme können z.B. nicht erkennen, ob ein Inhalt z.B. von einer Satire-Website stammt oder von Verschwörungstheoretikern. Sehr unangenehm kann es werden, wenn Fragen zu medizinischen Themen falsch beantwortet werden. Wer haftet, falls jemand dabei zu schaden kommt?

Aktualisierung ein paar Tage später:
Google rolls back AI search feature after flubs and flaws. Es sind wohl noch eine ganze Reihe mehr peinliche Fehler aufgedeckt worden, das wird auch Google zu riskant und sie engen den Anwendungsbereich ein.

Hier das Ergebnis eines Tests von Correctiv: Wie Chatbots in Politik-Fragen vor der EU-Wahl versagen:
Zur Europawahl schreibt Googles Chatbot selbst bei einfachsten Fragen wie der nach dem Wahltermin nichts.
Microsoft Copilot kennt die Spitzenkandidatinnen und -kandidaten der Parteien mal gar nicht, mal denkt er sich welche aus.
Und ChatGPT schlägt uns erfundene Telegram-Kanäle als Informationsquelle vor.

Vermutlich müssen die Nutzer dann auch keine komplizierten Entscheidungen treffen, in welchem Online-Shop eingekauft werden soll, auch das kann bestimmt die AI entscheiden. Für altmodische Menschen wie mich, die weiterhin Links auf Websites wollen, gibt es bei Google eine gut versteckte Option unter dem Namen "web". Ich finde ich diesen Umbau des Webs nicht wirklich lustig, die Konzerne üben noch mehr Kontrolle darüber aus, wie wir das Internet erleben.

Auch die EU-Kommission findet diese Entwicklung nicht lustig. Mit Bezug auf den DSA(Digital Services Act) verlangt sie, dass Microsoft erklären soll, was sie gegen die Halluzinationen der AI-Systeme (d.h. die falschen Ergebnisse) tun wollen, z.B. bezüglich der Fehler bei Fragen zu Wahlthemen, wo z.B. falsche Auskünfte über frühere Wahlergebnisse geliefert werden.

3. Und immer weiter Ransomware

In einem früheren Newsletter hatte ich berichtet, dass die Ransomware-as-a-Service Gruppe Lockbit durch eine konzertierte Aktion der Polizeibehörden stark in Bedrängnis gekommen sei. Dann sah es bald so aus, als wäre sie wieder aktiv, nun wurde die Website im Darknet wieder übernommen und der angebliche Chef identifiziert - er behauptet, das wäre nicht er. Es spricht aber alles dafür, dass die enttarnte Person auf jeden Fall auch tief in kriminellen Cyber-Aktivitäten steckt, viele Details finden sich im vorigen Link.

Aber vereinzelte Schläge gegen Ransomware-Akteure dürfen nicht darüber hinweg täuschen, dass das nur einzelne kleine Nadelstiche gegen eine boomende weltweite Industrie sind. Die Ransomware-Industrie verdient sich weiterhin eine goldene Nase, ausreichend viele Unternehmen und Behörden wollen das Geld nicht ausgeben, das für effektive Sicherheitsmaßnahmen notwendig wäre: "es wird uns schon nicht treffen und dann zahlen wir eben".

Gesetzliche verordnete Gegenmaßnahmen

Aber eine solche Einstellung befördert natürlich die Ransomware-Industrie. Nun hat die englische Regierung ein Gesetzespaket vorgeschlagen (UK Government To Consider Licensing Ransomware Payments):

alle Ransomware-Vorfälle müssen gemeldet werden
Zahlungen sind nur erlaubt, nachdem sie von der zuständigen Behörde genehmigt wurden
Betreiber von sog. 'kritischer Infrastruktur' dürfen nie bezahlen.

Der letzte Punkt könnte z.B. Angriffe auf 'kritische Infrastruktur' uninteressant machen, der zweite Punkt würde den Verhandlern ein neues Argument liefern: "die Regierung erlaubt uns eine so hohe Zahlung nicht". Der Staat New York hat bereits ähnliche Regelungen, auch in den europäischen Regeln für kritische Infrastruktur ist ähnliches enthalten, z.B. die verpflichtende Meldung.

3 Erfahrungsberichte und 3 grundlegende Tipps

Und noch mal Ransomware: im schon oft empfohlenen Secorvo Newsletter wurde diesen Monat auf 3 Erfahrungsberichte zu Ransomware-Angriffen verwiesen: Angriff auf die Südwestfalen-IT und British Library: LEARNING LESSONS FROM THE CYBER-ATTACK . Und ein 6-teiliger MDR-Podcast zu dem Vorfall im Landkreis Anhalt-Bitterfeld.

Der Kommentar von Secorvo: Die Ursachen der drei Vorfälle ähneln sich: unzureichend gesicherter Fernzugriff, keine Netz-Segmentierung, fehlende Offline-Backups, viele Legacy Systeme und nicht zuletzt Budget- und Personalmangel. Wirksame Schutzmaßnahmen wären in allen drei Fällen möglich gewesen – hoffentlich lassen sich das Behörden und Unternehmen eine Lehre sein. Die meisten Angriffe hätten sich durch Maßnahmen vereiteln lassen, die seit Jahrzehnten bekannt sind und längst gängige Praxis sein sollten (jetzt wird es etwas technisch :-( ):

1. Network Segregation: Eine strukturierte Aufteilung der über das Netz erreichbaren Server und Peripheriegeräte in VLANs, die konsequente Nutzung von DMZ-Rechnern und ein physikalisch getrenntes Backup-Netz erschweren viele Angriffe deutlich oder machen sie sogar unmöglich.

2. Complexity Reduction: Eine große Vielfalt an Systemen und Anwendungen, Betriebssystemvarianten und Geräten erschwert es, Software und Hardware in einem möglichst sicheren Zustand zu betreiben. Wer Komplexität verringert gewinnt Überblick und hat mehr Zeit für Härtung und zügige Updates.

3. Need to know: Wer Zugriffsrechte und die Erreichbarkeit von Servern und Peripheriegeräten auf das Erforderliche beschränkt, begrenzt den Schaden, den ein Angreifer anrichten kann – unnötige Admin-Rechte, Schreibrechte, Berechtigungen nach Aufgabenwechsel oder Ausscheiden - gehören beschnitten

Für Privatleute sieht der Ransomware-Schutz so aus: Daten offline sichern (z.B. separate Festplatte), keine Anhänge öffnen bei denen auch nur ein minimaler Zweifel an der Seriosität besteht, auf keine Links klicken die man in Mails, SMS oder persönlichen Postings zugesendet bekommt (außer man kennt die Website bereits) und die Software des Smartphones oder Laptops aktuell halten.

Hier zum großen Überblicksartikel zu Ransomware.

4. Deepfakes, Recht am eigenen Text, Stimme und Bild und AI-Kriminalität

Vor einiger Zeit hatte ich über Deepfakes und Kriminalität berichtet, z.B. Telefonanrufe mit täuschend echten Stimmen und Deepfake Betrug. Beim Klonen von Stimmen durch neuronale Netze gibt es (leider) große Fortschritte. Ein Journalist des Magazins Atlantic war bei der Firma ElevenLabs und hat sich angesehen, wie sie einen Avatar mit seiner Stimme erzeugen, die seiner Meinung nach ziemlich überzeugend ist: My Journey Inside ElevenLabs' Voice-Clone Factory. Das Unternehmen ist sich bewusst, was Kriminelle mit diesem Tool anrichten können, aber der Fortschritt . . . . . Seine künstliche Stimme war alles andere als monoton, konnte sich automatisch auf Situationen einstellen und erscheint durchaus in der Lage, z.B. eBooks automatisiert ohne menschliche Sprecher zu erzeugen.

In diesem Zusammenhang hat sich eine vertrackte Situation rund um die Schauspielerin Scarlett Johansson entwickelt. Sie spielte/sprach 2013 im Film 'Her' ein AI-System mit verführerischer Stimme, in die sich der männliche Protagonist verliebt. Aus diesem Grund hat wohl OpenAI mehrmals bei ihr angefragt, ob das neue OpenAI-System ChatGPT4o ihre Stimme haben könnte - sie hat immer wieder Nein gesagt. Interessanterweise klingt die AI-Stimme 'Sky' (eine der Stimm-Optionen) trotzdem sehr ähnlich wie ihre. OpenAI sagt, das wäre eine andere Schauspielerin, nun haben sie aber 'Sky' vom Netz genommen. OpenAI ist dafür bekannt, es mit dem geistigem Eigentum und ähnlichen immateriellen Dingen nicht so genau zu nehmen, es laufen viele Klagen.

Viele AI-Experten sind mittlerweile ziemlich wütend: "OpenAI's entire business model is based on large-scale theft of images, voices, and copyrighted intellectual property."

Überall ist jetzt "AI drin", auch Liebesbetrug, Love-Scams werden nun durch AI 'effektiver' gemacht. Einer der Tricks ist der Einsatz von AI-generierten Videos (deepfakes). Dadurch können Videos von nicht-existierenden 'Partnern' erzeugt werden, die sogar in Video-Calls glaubhaft 'rüberkommen'.

Das erinnert an den CEO-Betrug, bei dem ein Buchhalter in eine Video-Konferenz eingeladen wurde, wo die AI-generierten Kollegen ihm vermittelten, dass die geforderte Geldüberweisung OK sei.

5. Aktualisierungen früherer Beiträge

Das Microsoft Security Desaster

Im vorigen Newsletter hatte ich über das Microsoft Security Desaster des letzten halben Jahres berichtet. Jetzt wurde von ganz oben (wohl auch auf Druck der staatlichen Behörden, siehe voriger Bericht) die Reißleine gezogen: "Sicherheit über alles": Microsoft verspricht nach scharfer Kritik die große Kehrtwende. Neue Funktionen und Unterstützung älterer Systeme sind künftig nur mehr untergeordnet.
Die neue Initiative erinnert an 2002, die Trustworthy-Computing Initiative, bei der Bill Gates die Freigabe des Windows XP-Nachfolgers Windows Vista bis 2007 verzögerte, dafür aber z.B. in 2004 Windows Update erheblich verbesserte, so dass seit diesem Zeitpunkt Sicherheitsupdates automatisch heruntergeladen und installiert werden.
Jetzt hat sich ein ehemaliger US-Bundesbeamter in einem Interview zur Situtation mit Microsoft geäußert. Er erklärt: Microsoft is a national security threat, says ex-White House cyber policy director. Die Marktposition von Microsoft bei Bundesbehörden in Verbindung mit der derzeit unzureichenden Sicherheit stellt für ihn eine Sicherheitsbedrohung dar. Er kritisiert auch, dass Sicherheitsfeatures, wie der Zugriff auf Log-Daten, oft nur gegen erheblichen Aufpreis zu haben sind.
Auch das bundesdeutsche BSI ist mittlerweile 'unrund': Die Behörde hat ein Verwaltungsverfahren gegen Microsoft eröffnet.
Selbstbedienung beim Einkauf

Im November 2023 hatte ich über Selbstbedienungsläden von Amazon berichtet, bei denen die Kassen am Ausgang durch ganz viele Kameras und AI-Software ersetzt wurde. Das Experiment wurde eingestellt, weil die Automatisierung eine Illusion war. Über 1.000 Menschen in Indien waren damit beschäftigt, Kamera-Feeds zu überwachen und zu korrigieren. 70% der Käufe erforderten eine menschliche Überprüfung. Hinzu kamen hohe Kosten und verärgerte Kunden wegen späten und/oder falschen Abrechnungen. Die Details finden sich im vorigen Link.
Kryptowährungen: Nun auch Ether-ETFs

Im Januar hatte ich berichtet, dass die US-Börsenaufsicht grünes Licht gegeben hat für einen ETF, der den Bitcoin-Kurs nachbildet. Nun wird dies auch für die Kryptowährung Ether genehmigt. Hier gibt es alle Details, auch was ETFs eigentlich sind.
AI Act

Im März war mein letzter Beitrag zum AI Act. Nun ist er wirklich entgültig verabschiedet worden und es gibt Hilfestellungen bei der Implementierung. Die ist z.B. der AI Act Explorer, der beim Navigieren durch das Gesetz helfen soll. Da gibt es die Möglichkeit von Zusammenfassungen, einen Compliance Checker, der helfen soll zu klären, welche Teile für eine spezifische AI-Software relevant sind, und vieles anderes.
Außerdem gibt es einen AI Pact. Das ist eine EU-Initiative, bei der Firmen die vom AI Act betroffen sind an Arbeitsgruppen teilnehmen können. Ziel ist, bei der späteren Gültigkeit des Gesetzes nicht unvorbereitet vor einem riesigen Berg von Arbeit zu stehen (so wie es vielen Firmen bzgl. der DSGVO gegangen ist - viele Firmen haben die Vorbereitungszeit ignoriert und in den letzten Monaten ist dann Hektik ausgebrochen).
Deepwater Horizon Katastrophe im Golf von Mexiko

2010 war die große Ölkatastrophe im Golf von Mexiko, Deepwater Horizon von BP, jetzt soll in dieser Tiefe wieder an vielen Stellen gebohrt werden - ich bin mir nicht sicher, dass das eine gute Idee ist, sollten wir nicht aus dem Öl eher aussteigen? Die Details: BP, Big Oil Return to the Gulf Of Mexico. Remember Deepwater Horizon Spill?

Ulrike Herrmann: Das Ende des Kapitalismus

6. Ulrike Herrmann: Das Ende des Kapitalismus

Das Buch von Ulrike Herrmann betrifft nicht direkt meine Kernthemen IT-Security, Datenschutz, Überwachung, Datensammlung, aber es geht um die Frage, wie es mit unserem Wirtschaftssystem und dem Klima irgendwie positiv weitergehen könnte.

Die Autorin beginnt damit, die Ursprünge unserer heutigen Form des Wirtschaftens im England des 18. Jahrhunderts zu erklären: Wegen der Knappheit von Arbeitskräften (z.B. auf Grund der Pest) waren die Löhne vergleichsweise hoch und dadurch rentierte es sich, Maschinen zu entwickeln um Arbeitskräfte einzusparen. Das war noch deutlich vor der Erfindung des Dampfmaschinen. Die in England gut erreichbare Kohle wurde bereits ab 1600 zum Heizen, für Erz- und Salzerzeugung eingesetzt, aber erst ab 1712 als Krafterzeuger.

Die Autorin räumt dann mit einige Mythen rund um den englischen Wohlstand der vorigen Jahrhunderte auf um dann auf die Kernfrage zu kommen: ist 'grünes' Wachstum, d.h. ein einfacher Ersatz von fossiler Energie mit erneuerbarer Energie und einem immer weiter ansteigenden Konsum, mit dem damit verbundenen Verbrauch von Rohstoffen möglich. (Das wollen uns viele - auch grüne - Politiker erklären).

Ihre Antwort ist ein klares Nein. Auch durch noch so clevere und 'grüne' Technologien wird es nicht möglich sein, den heutigen Konsum von Gütern (und Bequemlichkeiten wie Flugreisen) immer weiter zu steigern. Weder eine drastische Verbesserung von Solarzellen noch die Digitalisierung wird unseren Konsum und das Klima gleichzeitig retten können.

Sie postuliert, dass es eine Reduktion des Konsums brauchen wird. Selbst ein Stagnieren des Konsums wäre mit der derzeitigen Form des Kapitalismus (investieren durch Kredite, die verzinst zurückgezahlt werden müssen) nicht kompatibel.

Daraus folgert die Autorin jedoch nicht, dass die Menschheit 'verloren' sei. Sie berichtet über die englische 'Kriegswirtschaft' des 2. Weltkriegs. Die Unternehmen blieben in Privatbesitz, wurden privat geführt, aber die Regierung ordnete an, was produziert werden sollte, teilte Arbeitskräfte und Rohmaterial zu und schaffte es, das Land ohne Not für die Bevölkerung durch den Krieg zu bekommen. Im Gegenteil, durch Rationierung und Zuteilung der Lebensmittel ging es den ärmeren Teilen der Bevölkerung teilweise besser als vor und nach dem Krieg.

Fraglich ist für mich aber, wie so ein Programm in einer Demokratie implementiert wreden könnte. Denn eine Partei mit diesem Wahlprogramm hätte wohl keine guten Chancen, eine Mehrheit zu bekommen wenn gleichzeitig die anderen Parteien behaupten, dass man nur auf die Technik vertrauen müsse und die Verbrenner bald auch klima-neutral sein würden.

Die Mehrheit unserer Generation scheint erst mal nur an sich selbst zu denken: die Kinder werden die Probleme, die wir ihnen eingebrockt haben, gefälligst selbst lösen müssen. ⟨schluchz⟩

7. Kostenlos: ÖIAT-Online-Schulungen

Kostenlose Online Schulungen beim Österreichischen Institut für angewandte Telekommunikation (ÖIAT). Hier die kommenden Termine und Themen - alle diese Schulungen sind empfehlenswert (ich nehme an vielen davon Teil).

Die Termine und Themen der neuen Kurse: (Abends, entweder 18:30 - 20:00 oder 17:00 - 20.00)

4. Juni | Jugendliche unter Druck: Selbstdarstellung und Schönheitsideale im Internet

11. Juni | Betrugsfallen im Internet erkennen

18. Juni | Was kann ich gegen Cyber-Mobbing tun?

10. Sept. | Wie wehre ich mich gegen Hass im Netz?

17. Sept. | Digitale Mediennutzung: Wie kann ich mein Kind gut begleiten?

25. Sept. | "Cybergrooming" | Safer-Internet-Fachstelle digitaler Kinderschutz

1. Okt. | Sicher unterwegs in Sozialen Netzwerken

8. Okt. | Wie schütze ich mein Kind vor Cyber-Grooming?

22. Okt. | Mein digitaler Fußabdruck – was weiß das Internet über mich?

5. Nov. | Deepfakes: KI-manipulierte Inhalte (er)kennen lernen

12. Nov. | Sicheres Online-Shopping

19. Nov. | Digitale Spiele: Was findet mein Kind so toll daran?

Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email - wie gesagt: m.E. sehr empfehlenswert.