210. Newsletter - sicherheitskultur.at - 31.07.2024
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Der Handel mit unseren sehr persönlichen Daten
Wenn ich in Schulklassen über Privatsphäre und IT-Sicherheit rede, so beginne ich meist mit dem Thema 'Wer kennt eure Standort-Daten?'. Und dann kommt bald meine Frage 'Was weiß ich von Euch, wenn ich die Standort-Daten über eine ganze Woche habe?'.
Dann kommen wir darauf, dass ich ziemlich viel weiß: Wo sie wohnen, wo sie zur Schule gehen, was sie nach der Schule tun, ob sie manchmal nicht zu Hause schlafen, ob sie am Wochenende in einer anderen Wohnung sind. Durch die Kenntnis des Wohnorts und des Tagesaufenthalts sind die Daten typischerweise auch nicht mehr anonym (was sie angeblich sein sollen).
Und bei Erwachsenen weiß der Auswerter der Daten dann oft auch Krankheiten, ob eine Schwangerschaft vorliegt und seit wann, manchmal die sexuelle oder die politische Orientierung.
Dies alles hat netzpolitik.org an Hand der konkreten Datensätze von 11 Mio Deutschen über 2 Monate demonstrieren können. Sie bekamen die 11 Milliarden Datensätze als Probe sogar kostenlos von einem Berliner Datenhändler.
Und ja, da sind Schwangerschaften, Klinik-, Bordell- und Swingerclub-Besuche drin, psychische Erkrankungen, Entzugskliniken, das volle Programm. Verknüpft werden die einzelnen Standort-Daten mittels der sog. "mobile advertising ID". Die sieht z.B. so aus "4f186o16-ka91-0561-q65t-95to6hq0oqh9".
iOS und Android erzeugen diese Werbe-ID in jedem Smartphone. Mittels dieser Kennung lässt sich auch im Datensatz prüfen, ob die eigenen Bewegungsdaten enthalten sind - der Link führt zur Anleitung. Falls die eigenen Daten in diesem Probe-Datensatz nicht enthalten sind, so ist das keine Entwarnung, das sind ja nur einige Beispieldaten. Wie ich versuchen kann, meinen Standort weniger zu teilen, das findet sich hier: So stoppt man das Standort-Tracking am Handy. Das sind die Tipps, die ich in den Schulklassen auch erzähle.
Ist das legal? Ich denke schon. Denn vermutlich stammen die Daten aus Smartphone-Apps die Zugriff auf den Standort haben (z.B. Wetter-Apps) und die Nutzer:innen haben bei der Installation der Standortabfrage und der Weitergabe der Daten an 'Partner-Unternehmen' zugestimmt.
Der Sprecher der zuständigen Berliner Datenschutzbeauftragten widerspricht. Er hält das für "nicht-rechtskonform", weil keine "informierte Einwilligung" vorliege. Aber machen können sie trotzdem nichts, weil das Berliner Unternehmen, das die Beispieldaten zur Verfügung gestellt hat, nur Zwischenhändler sei. :-(
Aus solchen Standortdaten werden dann Profile errechnet und dann wissen die Unternehmen, wer für welche Werbung ansprechbar sein könnte. Wenn ausgewertet wird, wer beim Disconter einkauft und wer eher hochpreisig unterwegs ist, so ist auch das Einkommen abschätzbar. Die Daten zeigen, wer Öffis fährt und wer nur im eigenen Auto unterwegs ist und alle anderen Lebensgewohnheiten.
Die gruseligen Details finden sich in Databroker Files: Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland.
Auf diese Weise 'erkaufen' wir (als Gesellschaft) uns die tollen kostenlosen Dienste im Internet. Und wir finanzieren den unglaublichen Reichtum der teuersten Firmen der Welt und ihrer unfassbar reichen Investoren und Eigentümer (ja, das sind 3000 Milliarden).
Sogar ein US-Senator ist beunruhigt: US-Senator schaltet Pentagon ein. Denn auch Geheimdienstmitarbeiter der NSA und US-Soldaten sind erfasst.
Aber das ist nicht der einzige Datenhändler, der unsere Daten verkauft: Belgischer Datenmarktplatz veröffentlicht die Passdaten von Tausenden im Netz.
2. Wie sicher ist heute Internetbanking?
Die kurze Antwort: Eigentlich sehr sicher. Aber wie schaffen es dann Betrüger immer wieder einmal, solche Schlagzeilen zu verursachen: Hacker erbeuteten 2,9 Millionen Euro von Kärntner Bankkonto?
Kurze Antwort: Indem sie Opfer finden, die die Nachrichten, die ihnen die Bank zusendet, nur überfliegen, aber nicht wirklich lesen. Die lange Antwort findet sich an anderer Stelle auf meiner Website: Angriffe auf Internetbanking, liebevoll mit Ablaufgrafiken beschrieben.
3. Gesichtserkennung im ungeeigneten Einsatz
Die Bertelsmann-Stiftung berichtete in ihrem Newsletter über 2 Beispiele von ungeeignetem Einsatz von Gesichtserkennung.
In den USA wurde 2020 ein unbescholtener Amerikaner auf Grund eines alten Führerscheinfotos für einen Diebstahl verhaftet, inhaftiert und letztendlich vor Gericht frei gesprochen, denn außer dem schlechten Foto gab es keine Hinweise dass er der Täter sei. Nun, nach langen Kämpfen vor Gericht hat er erreicht, dass die Polizei in Detroit weitere Beweise finden muss und nicht allein auf Grund eines alten, schlechten Fotos Menschen verhaften kann. Nicht rein zufällig hat es auch hier wieder einen 'People of Color' getroffen - Bilderkennungsalgorithmen arbeiten nur bei heller Haut optimal.
Das zweite Beispiel spielt in London und ist noch etwas mehr in Richtung Science Fiktion: 'Smart Station' - AI gesteuerte Erkennung von Emotionen. Alter, Geschlecht und Emotionen sollen automatisiert erkannt werden. Dadurch soll unerwünschtes Verhalten wie Rennen, Schreien oder Rauchen, sowie potenzielle Diebe entdeckt werden. Noch ein kritischer Artikel dazu: UK train stations trial Amazon emotion recognition on passengers.
Oder das hier: Supermärkte in Alabama, Oklahama und Texas verkaufen Munition im Automaten, identifiziert wird der Käufer mittels Gesichtserkennung. Die Geräte heißen "AARM" (Automated Ammo Retail Machines).
Hier mein voriger Beitrag zur Gesichtserkennung.
4. 4x AI: AI in Asylverfahren, Produktivitätssteigerungen durch AI, kostenlose AI-Bildgeneratoren, What is AI?
AI in Asylverfahren
Schon wieder fast lustig: Olaf Scholz hat vorgeschlagen, dass zur Beschleunigung von Asylverfahren AI eingesetzt werden sollte. Netzpolitik.org hat daraufhin ChatGPT befragt, ob das denn eine gute Idee sei. Dabei stellt sich heraus, dass ChatGPT vernünftiger ist als der Bundeskanzler. Das AI-System führt 7 bedenkenswerte Aspekte an, warum das keine gute Idee sei, aufgeteilt in ethische, rechtliche und praktische Überlegungen, die Details im Artikel.
Produktivitätssteigerungen durch AI
Es mehren sich die Stimme, die dem gegenwärtigen AI-Hype kritisch gegenüber stehen - aktuell eine Studie von Goldmann Sachs "Gen AI: Too Much Spend, Too Little Benefit?" - eine kritische Zusammenfassung des Textes findet sich hier: Edward Zitron- Pop Culture.
Die ganz kurze Zusammenfassung ist: die Kosten für den Aufbau der geplanten Infrastruktur für Generative AI, d.h. für LLM- und Bilder-Generier-Systeme sind zu hoch für den erwartbaren Produktivitätsgewinn aus dem Generieren und Übersetzen von Texten und dem Generieren von Bildern. D.h es geht nicht um AI grundsätzlich, sondern die generativen Systeme wie ChatGPT. Diese generativen AI-Systeme werden derzeit in alle Suchmaschinen, Office Programme und vieles andere eingebaut. Das erfordert extrem teure Chip-Investitionen (daher der extrem hohe Kurs von Nvidia - derzeit ganz oben bei den teuersten Aktienfirmen der Welt) und auf Grund des extremen Stromverbrauchs in den Rechenzentren einen drastischen Ausbau der Stromerzeugung in den USA (von der unklar ist, wie diese relativ kurzfristig bewerkstelligt werden könnte). Für die geforderten Investitionen reden wir über Beträge in der Größenordnung von Tausenden von Milliarden, d.h. auf deutsch Billionen, in US-Englisch trillion - sehr verwirrend.
Dieser extreme Stromverbrauch betrifft vor allem die sog. generativen AI-Systeme und LLMs wie ChatGPT. Andere AI-Systeme, z.B. die Bildauswertung in der Medizin, Schachspielen oder die Unterstützung von Bio-Chemikern bei der Analyse von Proteinstrukturen sind weniger anspruchsvoll, was Energie und Chips betrifft, vermutlich auch, weil es davon keine Massenanwendung gibt.
Einer der Experten sagt: "what trillion dollar problem will AI solve?" ... "replacing low-wage jobs with tremendously costly technology is basically the polar opposite of the prior technology transitions [he's] witnessed in the last thirty years."
D.h. er hat den Eindruck, dass die Befürworter der generativen AI schlecht bezahlte Jobs durch sehr teure Infrastruktur ersetzen wollen - typische Investitionserfolge gehen in die andere Richtung: teure Jobs oder teure Infrastuktur durch preisgünstige Technik ersetzen.
Beispiele für die Ersetzung von schlecht bezahlten Jobs durch teure Technologie bringe ich in meinen Newslettern. Die Universitäten sind ein gutes Beispiel dafür, wie generative AI z.B. derzeit in der Lehre eingesetzt wird (bei den Lehrenden und den Lernenden), ohne dass die Industrie damit das große Geld verdienen kann: "Von KI lernen, mit KI lehren": Die Zukunft der Hochschulbildung".
Das sind nicht die 'Killer-Apps' auf die die High-Tech-Industrie wartet. Für die High-Tech-Industrie ist nämlich seit den Smartphones nichts mehr wirklich Neues erfunden worden, wofür sich alle Menschen neue Geräte zulegen möchten: Auch viele Jahre alte Smartphones und Laptops erfüllen immer noch ihren Dienst.
Ganz skeptisch ist der Energie-Experte. Er sieht nicht, wie in den nächsten Jahren in den USA die vielen benötigten Kraftwerke entstehen könnten, auch dort erfordert dies aufwendige Genehmigungsverfahren. Vor allem auch für die Stromleitungsinfrastruktur, die in den USA nicht den besten Ruf hat.
Signifikant erscheint, dass diese kritischen Positionen von Goldmann Sachs kommen, die typischerweise nicht investitionsfeindlich sind und technischen Neuerungen eher positiv gegenüber stehen. Weitere kritische Positionen zur Sinnhaftigkeit der immensen Investitionen in generative AI berichte ich 2 Monate später.
Kostenlose AI-Bildgeneratoren
Hier der Link zu einem Vergleichstest von 10 kostenlosen KI-Bildgeneratoren (für alle, die damit rumspielen möchten): kostenlose KI-Bildgeneratoren im Vergleichstest.
What is AI?
In MIT Tech Review gibt es einen umfassenden Artikel (60-90 Min. Lesezeit) zur Frage 'What is AI?'. Die Frage beantworten kann der Autor natürlich auch nicht, denn niemand kann dies.
Aber der Artikel ist eine umfassende Darstellung des Themas AI. Er beginnt mit Argumenten zur Frage, ob die Systeme die wir heute als AI bezeichnen, hier vor allem die Large Language Models (LLMs), denken können. Oder ob sie einfach 'nur' extrem komplexe und clevere mathematische Modelle sind.
Der Text berichtet über die Auseinandersetzung zwischen den Experten in den letzten Jahren und hinterfragt deren Argumente kritisch. Er fragt, ob 'human-like behaviour' den wirklich mit 'human-like intelligence' gleich zu setzen sei.
Eine der großen Fragen ist: Werden diese Systeme (und ihre Weiterentwicklungen auf der Grundlage der statistischen Sprachmodelle) irgendwann verstehen, was die Sätze bedeuten, die sie ausgeben? Dann könnten man behaupten, das wäre AGI (artificial general intelligence).
Im 2. Teil des Artikels geht es dann um 7 Jahrzehnte zurück, als McCarthy den Begriff 'artificial intelligence' in einem Projekt-Antrag zum ersten Mal verwendete, über 'Symbolic AI' bis zu den heutigen neuronalen Netzen.
Zuletzt geht der Artikel noch auf die ideologischen Hintergründe einiger der Proponenten ein. Denn es ist leider eine Tatsache, dass die Entwicklung von AI weitgehend gesteuert wird von einigen wenigen Menschen in Silicon Valley und ihren Ängsten, Wünschen und Ideen (transhumanism, extropianism, singularitarianism, cosmism, rationalism, effective altruism, longtermism). Es erscheint wenig wahrscheinlich, dass die Investoren dieser Firmen sehr daran interessiert sind, Ziele wie Abbau der Ungleichheit in der Gesellschaft, eine faire Verteilung der verbleibenden Arbeit nach der Automatisierung aller Jobs zu lösen, ihre Philosophien gehen weiter über so simple Fragestellungen hinaus.
Hier zu meinem vorigen Beitrag zu generativer AI. Und das Thema wird natürlich fortgesetzt.
5. Das Crowdstrike-Windows Desaster
Es geht um den weltweiten Ausfall vieler Windows-Systeme durch die Anti-Malware-Software von Crowdstrike am 19.Juli. 8,5 Mio. Windows-Geräte im kommerziellen Einsatz wurden durch ein fehlerhaftes Update einer Sicherheitssoftware von Crowdstrike zum Absturz gebraucht. Und zwar so, dass eine einfache Wiederherstellung nicht möglich ist. Viele Firmen, Flughäfen, Krankenhäuser standen still.
Das ganze ist eine dramatische Demonstration der Abhängigkeit unserer Gesellschaft von global vernetzten technischen Systemen, es zeigt, welche Auswirkungen reine Nachlässigkeit haben kann. So ungefähr stellen sich Militär-Experten den Beginn eines chinesischen Angriffs auf Taiwan vor: Gleichzeitig mit dem Beginn der Invasion fallen in der westlichen Welt ein großer Teil der Computer-Systeme aus und die US-Armee ist hilflos, siehe "What Cyberwar might look like". Es gibt übrigens Hinweise darauf, dass China ganz konkret an dieser Option arbeitet, Stichwort ist Volt Typhoon.
So eine Nachlässigkeit dürfte nicht passieren wenn ein Unternehmen eine solch wichtige Rolle in der weltweiten IT-Landschaft spielt - eigentlich wissen wir, welche Testprozeduren notwendig wären um so etwas zu verhindern. Es ist aber trotzdem passiert, d.h. irgendwas in dem Zusammenspiel von Microsoft und Crowdstrike ist dramatisch falsch aufgesetzt. Verblüffender Zufall: Crowdstrike-CEO George Kurtz hat offenbar Erfahrung mit versehentlichen DDoS-Angriffen auf seine Kunden. 2010 war er Chef von McAffee, und da ist etwas ähnliches passiert. Crowdstrike kann nicht nur Windows-Systeme lahm legen, im April soll es Debian Linux betroffen haben. Es wird berichtet, dass die Unternehmenskultur bei Crowdstrike nicht die beste sei.
Ed Zitron bringt hier eine gute Zusammenfassung des riesigen weltweiten Ausfalls. Ed Zitron sieht die Ursache in dem was er manchmal 'Rot Economy', manchmal 'Shareholder Supremacy' nennt. Was er damit meint: Produktqualität und Kundenzufriedenheit stehen bei den Prioritäten des oberen Managements bei ziemlich vielen Firmen ganz weit unten. Wichtig ist der Aktienkurs, der wird angehoben durch Reduktion der Personalkosten und durch Wachstumszahlen, egal, wie die entstehen. Die Details im Artikel selbst.
Hier der Link zu einer Illustration, die einige der Herausforderungen zeigt, weshalb dieser Fehler nur sehr mühsam, d.h. zumeist händisch für jeden einzelnen Rechner recht umständlich zu beheben ist - der Bericht beinhaltet nicht mal die Fälle, in denen Bitlocker installiert ist, dann wird es noch viel ungemütlicher.
Angeblich waren es 'nur' rund 8,5 Millionen Microsoft-Geräte, das sind alle Installationen der kostenpflichtigen Software "Falcon Sensor" von Crowdstrike. Ausgewirkt hat sich das Problem aber offensichtlich auf einen großen Teil der gesamten Infrastruktur (denn irgendwie ist heute ja alles vernetzt).
6. Fußball-Europameisterschaft nur mit Smartphone
Das ist eine altes Thema von mir: Immer mehr Aktivitäten sind ohne Smartphone nicht mehr möglich. Manchmal wird sogar eine recht aktuelle Version des Geräts und ein gewisser Technologie-Standard vorausgesetzt. Außerdem haben wir hier wieder mal die ganz langsame Abschaffung der Anonymität, wie beim Verlust des anonymen Reisens.
Hier die Geschichte: Ticket-App der UEFA teilt Standortdaten der Nutzer mit Polizeibehörden. Eintritt zu den Stadien bei der Fußball-Europameisterschaft in Deutschland gab es nur mit digitalen Tickets, und ein Ausdrucken der Tickets war nicht möglich. Es ging auch nicht mit einem digitalen Dokument mit einem QR-Code, es musste eine spezielle App installiert werden und da musste der Standort freigegeben werden (siehe Thema 1 zu den Standorten).
Die Standortdaten waren wohl auch der Hauptgrund, denn diese Daten wurden mit den Polizeibehörden geteilt, vermutlich aus Sicherheitsgründen. Für den Fall dass etwas passiert, hätte die Polizei gern die Identitäten von allen Menschen die zu dieser Zeit an diesem Ort waren. Das ist irgendwie verständlich, aber für mich auch irgendwie beunruhigend.
Hier mein nächster Beitrag zum Digitalzwang.