214. Newsletter - sicherheitskultur.at - 30.11.2024
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Bizarr: Der Justizministerin sind die Diebstahlschutzmaßnahmen der PKWs zu gut
Da staune ich: Baden-Württembergs Justizministerin Marion Gentges (CDU) will auf der nächsten Justizministerkonferenz beantragen, dass Strafverfolgungsbehörden auf Anforderung einen Zweitschlüssel zu Fahrzeugen bekommen. Es geht um die 'Verwanzung' von Fahrzeugen, d.h. zur Standortverfolgung, aber auch um die Gespräche aus dem Innenraum. Sie beklagt sich, dass die Diebstahlschutzmaßnahmen der PKWs mittlerweile zu gut seien.
Ich lese hingegen, dass Autos heutzutage mit elektronischen Tricks vergleichsweise leicht zu knacken sind: die Meldung aus 2019 sagt, dass von 273 getesteten Fahrzeugen mit Keyless-Go Technologie nur 4 (Modelle von Jaguar beziehungsweise Land Rover) leicht zu stehlen waren.
Aktualisierung Dez. 2024:
Keyless und mehr: Wie Autodiebe die Fahrzeugtechnik ausnutzen. Also, die Autodiebe haben wenig Probleme mit dem Zugang zu PKWs mit elektronischen Schlüsseln. Die Zahl der Autodiebstähle in Deutschland steigt. In 2023 wurden 15.924 Pkw gestohlen. Vor allem organisierte Banden nutzen gezielt die ditale Fahrzeugtechnik aus. Sie kennen die Schwachstellen der digitalen Schlüssel und hebeln sie aus.
Die wichtigste Schwachstelle sind Funkstreckenverlängerer. Das sind Geräte, die der Fahrzeugelektronik vorgaukeln, der Besitzer wäre in unmittelbarer Nähe und die Tür solle sich öffnen. Dafür braucht es 2 Täter mit 2 speziellen Funkgeräten, jedes besteht aus Empfänger und Sender. Einer der beiden Täter steht in der Nähe des Fahrzeugs und empfängt das Signal, das diese Fahrzeuge ständig auf der Suche nach einem zugeordneten Schlüssel aussenden. Der andere Täter hat eine Funkverbindung zum Gerät des ersten Täters und nähert sich der Haus- oder Wohnungstür. Dort liegt oft der digitale Autoschlüssel. Die Funkverbindung zwischen den Geräten der Täter überbrückt die Strecke zum Fahrzeug, die Fahrzeugtür öffnet sich und der Motor kann gestartet werden weil das Fahrzeug davon ausgeht, dass der Besitzer im Fahrzeug sitzt - mehr Details im oben verlinkten Artikel.
Der ADAC hat 700 Fahrzeuge testen lassen, 90% konnten auf diese Weise geöffnet werden. Hier ein früherer Beitrag zum Datenschutz-Ärger mit modernen Fahrzeugen (Newsletter 200).
2. Gefährlicher Handel mit Bewegungsdaten / Location Tracking
Aufregung beim amerikanischen Militär und der NATO: Datenhändler verkaufen die Bewegungs- und Standortdaten von uns allen und damit auch von den Militärangehörigen die in Europa mit einem Handy unterwegs sind. Das Problem ist anscheinend dem Militär bekannt, aber seit Jahren nicht lösbar.
Bewegungs- und Standortdaten erzählen ganz oft 'interessante Geschichten'. Die gekauften Beispieldaten zeigen in diesem Fall zum Beispiel, wo die NATO-Soldaten wohnen und wo die ukrainischen Soldaten trainieren. Oder sie zeigen die Ein- und Ausgänge von Stützpunkten, Kernwaffenbunkern, die Sicherheitsroutinen und Dienstpläne des Wachpersonals. Sie berichten auch Details des Privatlebens, auch ein Bordellbesuch wurde gefunden. Auch US-Magazine berichten: Anyone Can Buy Data Tracking US Soldiers and Spies to Nuclear Vaults and Brothels in Germany. Im Dezember wird dann berichtet, dass die US-Behörde FTC gegen den Datenhandel vorgeht, im Gegensatz zur EU. Das ist insofern überraschend, weil doch die EU eigentlich die deutlich schärferen Datenschutzgesetze hat.
Bewegungsdaten sind auch dann nicht anonym, wenn sie keine 'Identifier' wie Klarnamen enthalten (hier ein Video von mir zu De-Anonymisierung). Die Kombination aus Schlafort und Arbeitsort ist nämlich meistens eindeutig.
Noch ein Beispiel, diesmal aus den USA: Data broker offers access to voters likely to back right-wing militias. Ein Datenhändler bietet die Kontaktdaten von Menschen, die die Erstürmung des Capitols in Washington unterstützen und vermutlich für gewaltätige Aktionen zu haben sind. Der russische Geheimdienst freut sich über die Liste von potentiellen Saboteuren.
In Europa ist die russische Sabotage im Jahr 2024 ziemlich stark angelaufen. Hier zwei Übersichtsartikel zum derzeitigen russischen Sabotagekrieg gegen den Westen und Russlands Angriffskrieg gegen die Ukraine tobt auch mitten in Europa. Für das Durchtrennen der Unterseekabel in der Ostsee wurde wohl ein chinesisches Schiff beauftragt.
Noch ein Beispiel für Bewegungsdaten-Analyse: Bereits in 2018 konnte gezeigt werden, wie die öffentlichen Daten auf der Website des Fitness-App-Anbieters Strava geheime Militärbasen in Afghanistan aufzeigte, weil die dortigen Soldaten die Fitness-App nutzten. Nun wurde gezeigt, dass mit Hilfe von Strava auch die Aufenthaltsorte von Joe Biden, Donald Trump, Kamala Harris und anderen Politikern zu sehen sind. Nein, nicht weil die Politiker Strava nutzen, sondern ihre Bodyguards.
Es gibt sogar einen Fachbegriff für diese Art von Spionage: ADINT (Advertising-based Intelligence), werbebasierte Aufklärung. Denn Werbung ist das primäre Geschäftsmodell für die Datensammlung und den Datenhandel, dabei fallen aber auch für die Geheimdienste interessante Daten an.
Aktualisierung Januar 2025:
Zur Analyse der deutschen Bewegungsdaten hier noch die illustrierte Version vom Chaos Computer Congress im Dezember:
Databroker Files: Wie uns Apps und Datenhändler der Massenüberwachung ausliefern.
Ebenfalls im Januar dann eine überraschende Wende: Viele der Ortsdaten sind gar nicht von den Apps gesammelt worden sondern werden über Werbeschaltungen gewonnen.
3. Persönlichkeits-Klone von jedermann/jederfrau
Derzeit erst mal nur zu Forschungszwecken: Stanford Universität und Google DeepMind berichten von einem Forschungserfolg. Wenn eine Person 2 Stunden mit einem AI-Modell interagiert, Fragen beantwortet und über Kindheit, Jugend und weitere Entwicklung berichtet, so erzeugen die Wissenschaftler einen virtuellen 'Clone' der Person, die sich in psychologischen Tests sehr ähnlich zur wirklichen Person verhält.
Wofür soll das gut sein? Es geht darum, dass Psychologen manchmal Tests durchführen möchten, die aus ethischen Gründen mit 'echten Menschen' nicht möglich sind. Solche Tests und Experimente sollen nun an diesen virtuellen Replikas durchgeführt werden. Nebenbei könnte die AI bei Bedarf auch noch Stimme, Mimik und Gestik erlernen, auf diese Weise könnten 'virtuelle Personen' entstehen, für die es reichlich legale und illegale Anwendungsfälle geben würde, z.B. der sog. CEO-Betrug.
4. Ergänzungen früherer Beiträge
Dreiste Datenabsauge im Haushalt
Und das hier ist zwar dreist, aber fällt leider nicht mal unter diese beiden EU-Gesetze: Smarte Fritteusen lauschen und senden Daten nach China. Das sind keine Bugs, sondern offenbar Features der smarten Geräte. Fündig wurden die Tester auf Datenschutzlücken nicht nur bei Fernsehern, Lautsprechern und Smartwatches, sondern auch bei Heißluftfritteusen von drei chinesischen Herstellern. So wollten die Steuerungs-Apps aller 3 getesteten Fritteusen den Standort des Nutzers wissen und baten auch, Audioaufnahmen erstellen zu dürfen. Andere persönliche Daten wurden ebenfalls abgefragt und offenbar an Server in China übermittelt. Das steht aber so auch in den Datenschutzbestimmungen, d.h. das ist sogar legal wenn die Kunden das akzeptieren.
Stichwort 'Fernseher': Moderne Datenkraken: Smart-TVs tracken sogar HDMI-Inhalte. Damit ist gemeint, dass die Fernseher von LG und Samsung (und möglicherweise anderen Herstellern) nicht nur mittracken, welche Sendungen die Nutzer schauen, sondern auch dann die Bildschirm-Inhalte auswerten, wenn die Nutzer den Fernseher als großen PC-Bildschirm nutzen. Genutzt werden die Daten für gezielte bildschirmfüllende Werbung wenn der Fernseher nicht aktiv genutzt wird. Hier 2x technische Details. Wichtig: Das Verhalten der Geräte war unterschiedlich abhängig vom Land des Nutzers, man kann nur hoffen, dass das für die EU anders eingestellt ist.
Digitalzwang trifft mangelnde Barrierefreiheit
Wenn Digitalzwang mit Problemen bei der Barrierefreiheit kombiniert wird, ist es ungut. Die Berliner Beauftragte für Menschen mit Behinderungen kritisiert BVG-App. Sie diagnostiziert Defizite bei Alternativtexten, Kontrasten und Sprachausgabe. Dabei ist diese App nur 1 kleiner Baustein auf dem Weg zur verpflichtenden Barrierefreiheit bis Anfang 2025.
Cyber Resilience Act + Liability Directive (Produkthaftungsrichtlinie)
Beim vorigen Beitrag zu diesem Thema liste ich nun ein paar ganz aktuelle Beispiele auf.