209. Newsletter - sicherheitskultur.at - 30.06.2024
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Und immer wieder Chatcontrol
Beim Thema Chatcontrol geht es darum, dass die Polizeibehörden den guten alten Zeiten nachtrauern, als Telefone technisch ganz einfach abgehört werden konnten. Sie fordern daher auch bei den sicheren Messenger Systemen wie Signal, Whatsapp, Threema eine Option, mit der sie die Inhalte der Kommunikationen mitlesen können. Die Innenminister:innen übernehmen unter dem Schlagwort "Going Dark" diese Wünsche, z.B. in Deutschland und in Österreich (obwohl in der Regierungsvereinbarung stand, dass beide Parteien dagegen seien).
Als Vorwand wird oft der Schutz Minderjähriger bemüht (Stichwort: CSAM [Wikipedia]), aber intern ist ganz klar, es geht um alle Straftaten, auch Europol hat das offen erklärt. Nun gab es unter dem Ratsvorsitz Belgiens wieder mal einen neuen Vorstoß, aber dann zum Glück von Österreich, Deutschland, den Niederlanden, Tschechien und Polen verhindert werden konnte, alle anderen Länder haben kein Problem mit dem Aufweichen der Sicherheit der Messenger-Systeme.
Das ist aber leider wieder nur ein Zwischensieg für die verschlüsselten Systeme, es wird erwartet, dass der nächste Ratsvorsitze, Ungarn, das Thema bestimmt wieder aufrollen wird.
Aktualisierung Dez. 2024:
Auch Apple kann es beim Thema CSAM nicht allen recht machen. Apple hatte ein automatisches System eingeführt, das solches Material auf den Geräten der Apple-Nutzer erkennen sollte. Das wurde heftig kritisiert (auch von mir) und zwar wegen den Risiken, dass Menschen fälschlicherweise in Verdacht geraten (false-positives) (hier gibt es Beispiele für false-positives) und dass eine solche Technologie auch für andere Überwachungen eingesetzt werden kann.
Apple hat nun wegen der Kritik die CSAM-Erkennung gestoppt und wurde nun auf 1,2 Milliarden US$ verklagt. Die Kläger sind frühere Opfer die u.a. befürchten, dass ihre früheren Bilder weiter im Internet verteilt werden. Die Kläger wollen erzwingen, dass Apple (und alle anderen) so ein System (wieder) einführen müssen.
Gleichzeitig versuchen immer noch viele der EU-Innenminister eine automatisierte Auswertung der digitalen Dialoge zu erzwingen.
Hier der vorige Artikel zu Chatcontrol und im Oktober geht es um die Generierung von Missbrauchsdarstellungen durch generative AI (gruselig).
2. Sicherheitsupdates für Smartphones und das Windows 10-Ende
Auch im Zusammenhang mit den EU Initiativen wie Produkthaftungsrichtlinie, Ecodesign oder dem Recht auf Reparatur ist ein wichtiger Aspekt, wie lange es Sicherheitsupdates für die elektronische Geräte gibt.
Bisher war es bei Android so, dass die großen Anbieter Samsung und Google als Minimum 7 Jahre Support (zumindest für die wichtigen Geräte) garantiert haben. Nun hat Apple endlich auch eine Garantie genannt, aber nur 5 Jahre vom ersten Erscheinen eines Gerätes, z.B. iPhone 15. Üblicherweise gab es bei Apple dann meist doch 7 Jahre, aber eben nicht garantiert.
Das große Problem bei Android ist die extreme Zerklüftung des Marktes. Es gibt neben ein paar großen Anbietern viele kleinere Hersteller, die eine Vielzahl von Geräten am Markt haben und sich nicht leisten können, für Geräte die nicht oft verkauft wurden, Updates zu liefern.
Auch unter dem Aspekt: "Elektroschrott und Nachhaltigkeit" ist das eine unschöne Situation. Weil eigentlich ein 5 oder 7 Jahre altes Handy (genau wie ein 7 Jahre altes Laptop) den Dienst immer noch mit nur ganz wenigen Einschränkungen erfüllt.
Mindestens so schlecht für die Umwelt ist aber, was Microsoft mit dem Ende des Supports für Windows 10 Systeme und dem 'Zwang' zu Windows 11 anrichtet (keine Windows 10 Sicherheits-Updates mehr nach Oktober 2025). Und Microsoft bietet kein Upgrade auf Windows 11 an, solange PC oder Laptop nicht bestimmte Hardwareanforderungen erfüllen. Dazu gehört Speichergröße und vor allem der Computerchip des TP-Moduls Version 2.0. Die 4 Geräte, die ich zu Hause betreue, erfüllen das alle nicht, funktionieren aber unter Windows 10 noch ohne Probleme. In einem Jahr sind sie Elektroschrott - ja, ich weiß, ich könnte auf Linux wechseln, aber ich bin zu bequem, noch mal neu mit dem Lernen anzufangen. Laut einer Studie sind 43 Prozent aller Firmen-Geräte davon betroffen - das wird ein riesiger Berg Elektroschrott nächstes Jahr. :-( Zumindest werde ich mir gebrauchte Geräte kaufen (refurbished).
3. DMA (Digital Markets Act) und DSA (Digital Services Act) beginnen Wirkungen zu zeigen
Langsam beginnt das Digital Markets Act Wirkung zu zeigen - hier mein voriger DMA-Beitrag.
LinkedIn stellt die Werbung auf Basis persönlicher Daten ein. Von Pornhub, Xvideos und Stripchat wird verlangt, "die Verbreitung illegaler Inhalte und geschlechtsspezifischer Gewalt" zu verhindern und Verfahren für die Alterskontrolle einzuführen. (Letzteres ist eine fast unmögliche Aufgabenstellung, ohne dass die Privatsphäre verletzt wird. Allerdings bieten die zukünftigen digitalen Ausweise der EU solche Funktionalitäten, d.h. die Bestätigung eines gezielten Datenelements ohne Identitätspreisgabe - zero-knowledge-proof.)
À propos 'Digitale Ausweise'
Ich hatte im früheren Newsletter berichtet, dass eIDAS eine Erfolgsgeschichte für die Kooperation zwischen der Zivilgesellschaft und den EU-Behörden sei: Es wurden sehr gute Privatsphäre-Features in die Verordnung eingebaut. Nun kommt von epicenter.works, die bei den Verhandlungen aktiv waren, eine bestürzte Meldung: eIDAS: Vertrauensbruch statt Datenschutz.
Es geht um die technischen Leitlinien für die "European Digital Identity Wallet" und dort steht statt der versprochenen "Pseudonymität" bei nicht-staatlichen Abfragen (z.B. beim Zutritt zu einer Disco) nun ein "Pseudonym-Anbieter" drin, der bei Bedarf die reale Identität des Bürgers offen legen kann. Die Details finden sich im Link, dort gibt es noch andere Kritikpunkte an den technischen Leitlinien.
DMA-Ärger für Apple
Apple ist in Bezug auf das DMA ziemlich 'unrund' - hier die Kritikpunkte der EU-Komission. Die erzwungene Öffnung für fremde App-Stores schmerzt Apple sehr, obwohl sich letztendlich in der Praxis nicht viel geändert hat.
Apple "Private Cloud Compute"
Aber Apple hat nun angekündigt, dass die neuen AI-Features mit dem persönlichen Assistenten, der alle meine ganzen Geheimnisse kennt, (aber sicher nicht ausplaudern wird) (vorerst) nicht in der EU angeboten werden: KI-Feature "Apple Intelligence" kommt vorerst nicht nach Europa.
Einige weitere iOS 18-Features, die für Nutzer von MacOS und iOS durchaus praktisch sind, werden auch nicht in der EU verfügar sein: "Apple schmollt" schreibt ein Kommentator dazu - 'Bestrafung' der Apple Kunden in der EU wegen den 'bösen EU-Behörden'.
Um die Apple-AI-Feature ohne Verlust der Privatsphäre zu implementieren verspricht Apple eine Verschlüsselung der Daten auf dem lokalen Gerät und zwar so, dass zwar der AI-Prozessor in den Rechenzentren Zugriff hat, aber keiner der Apple Techniker und keine der Polizeibehörden, auch über richterliche Anordnung nicht - wie das klappen könnte, ist noch nicht ganz klar.
Aktualisierungen Juli 2024:
Mittlerweile wurde das Konzept geprüft und überwiegend positiv bewertet, z.B. von Secorvo News und von Bruce Schneier.
Zugriff auf NFC bei iOS
Ein langer Kampf: Banking-Apps auf Android dürfen schon sehr lange Zeit eine Zahlung über NFC implementieren, Apple hat das bisher verweigert. Nun gibt Apple nach: Apple gibt Apple-Pay-Zwang auf und entgeht Milliardenstrafe.
Noch ein Ergebnis des DMA: Emulatoren für Retro-Games sind nun auf iOS erlaubt. Es geht um Spiele wie z.B. Pac-Man Space Invaders, Pinball oder Indiana Jones and the Fate of Atlantis.
Ärger für Microsoft, auch ohne DMA-Bezug
Ohne direkten Bezug zu DMA ist die Wettbewerbsklage gegen Microsoft in Bezug auf MS Teams - hier geht es um Kartellrecht. Slack hatte sich beklagt, dass durch die Kopplung von MS Teams mit MS Office 365 und Microsoft 365 der Markt eingeschränkt ist - der Teams-Konkurrent Slack würde noch mal extra Geld kosten.
Im April 2024 kündigte Microsoft an, die Teams-Software weltweit aus der Office-Suite herauszulösen, aber der EU geht das nicht weit genug. Sie hält "weitere Verhaltensänderungen für erforderlich, um den Wettbewerb wiederherzustellen".
In allen diesen Fällen drohen erhebliche Strafen. Mir gefällt das Vorgehen der EU gegen die großen Tech-Konzerne eigentlich sehr gut. :-)
DSA-Ärger für X
Auch X (vormals Twitter) kommt unter Druck: Hohe Geldstrafe droht: EU hält blauen Haken auf X für irreführend. Der Vorwurf gegen X ist, dass der Haken für 'verifizierte Accounts' irreführend sei, denn die Verifizierung kann man sich gegen eine geringe monatliche Gebühr einfach kaufen, kein Nachweis ist nötig. Die EU Komission sieht im blauen Haken ein 'Dark Pattern', zusätzlich Verletzungen von Transparenz der Werbung und Datenzugang für Forscher.
Elon Musk freut sich auf eine juristische Auseinandersetzung. "We look forward to a very public battle in court, so that the people of Europe can know the truth". Eigentlich wäre aber der nächste Schritt, die EU Dokumente zu studieren und dann eine schriftliche Stellungnahme abzugeben. Aber das ist nicht der Stil von Musk.
Ergänzung Okt. 2024:
Ein Vertreter der Gesellschaft für Freiheitsrechte (GFF) zieht eine positive Bilanz des ersten Jahres: Ein Jahr Digital Services Act: "Ich bin jetzt nicht mehr so machtlos".
Hier mein voriger Beitrag zum DSA.
4. Aktualisierungen früherer Themen
Entzauberung von AI im Kundeneinsatz (oder doch nicht?)
An 100 Orten in den USA hatte McDonald’s beim Bestellen in den Drive-Thru Durchfahrten AI-Systeme im Einsatz. Das scheint nicht ganz optimal geklappt zu haben: McDonald’s ends AI drive-thru trial as fast-food industry tests automation.
Ein anderer Artikel bringt Details: Wenn die KI bei McDonald's Speck zum Eis packt. Das Problem waren wohl viele Verständnisprobleme, Missverständnisse und fehlerhafte Bestellungen - den AI-Systemen fehlt einfach unser grundlegendes menschliches Verständnis. Nutzer haben die fehlerhaften Bestellungen auf Tiktok ausführlich dokumentiert.
Anscheinend haben aber nicht alle Fast Food-Ketten so schlechte Erfahrungen gemacht; die NY Times berichtet, dass andere Ketten, wie Wendy's, mit ihren AI-Bestell-Systemen zufrieden sind. Hier zum früheren Artikel zu Automatisierung im Kundenservice.
Hier zu meinem vorigen Beitrag zu generativer AI. Und das Thema wird natürlich fortgesetzt.
Schutz gegen Stalking
Auch die Secorvo News nehmen sich des Themas Stalking (Wikipedia) an. Als Gegenwehr gibt es 2 Produkte mit denen man testen kann, ob das eigene Smartphone Stalkerware-Software enthält ("TinyCheck" von Kaspersky und "SpyGuard"). Außerdem verlinken sie auf eine Hintergrundanalyse zur Stalkerware "TheTruthSpy".
Sie verlinken auch noch mal auf die Software der TU Darmstadt AirGuard mit der auch Alternativprodukte zu AirTags, z.B. von Samsung, Chipolo oder Tile erkannt werden können. AirGuard ist, im Gegensatz zur Apple Version, auch auf älteren Android-Systemen verfügbar. (Der Link zu AirGuard könnte verwirren, der führt zum Quellcode auf GitHub. Ganz einfach installieren kann man die App über die App-Stores.)
Hier zum früheren Artikel zu Stalking und AirTags.