214. Newsletter - sicherheitskultur.at - 30.11.2024

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Bizarr: Der Justizministerin sind die Diebstahlschutzmaßnahmen der PKWs zu gut

Da staune ich: Baden-Württembergs Justizministerin Marion Gentges (CDU) will auf der nächsten Justizministerkonferenz beantragen, dass Strafverfolgungsbehörden auf Anforderung einen Zweitschlüssel zu Fahrzeugen bekommen. Es geht um die 'Verwanzung' von Fahrzeugen, d.h. zur Standortverfolgung, aber auch um die Gespräche aus dem Innenraum. Sie beklagt sich, dass die Diebstahlschutzmaßnahmen der PKWs mittlerweile zu gut seien.

Ich lese hingegen, dass Autos heutzutage mit elektronischen Tricks vergleichsweise leicht zu knacken sind: die Meldung aus 2019 sagt, dass von 273 getesteten Fahrzeugen mit Keyless-Go Technologie nur 4 (Modelle von Jaguar beziehungsweise Land Rover) nicht leicht zu stehlen waren.

 

2. Gefährlicher Handel mit Bewegungsdaten

Aufregung beim amerikanischen Militär und der NATO: Datenhändler verkaufen die Bewegungs- und Standortdaten von uns allen und damit auch von den Militärangehörigen die in Europa mit einem Handy unterwegs sind. Das Problem ist anscheinend dem Militär bekannt, aber seit Jahren nicht lösbar.

Bewegungs- und Standortdaten erzählen ganz oft 'interessante Geschichten'. Die gekauften Beispieldaten zeigen in diesem Fall zum Beispiel, wo die NATO-Soldaten wohnen und wo die ukrainischen Soldaten trainieren. Oder sie zeigen die Ein- und Ausgänge von Stützpunkten, Kernwaffenbunkern, die Sicherheitsroutinen und Dienstpläne des Wachpersonals. Sie berichten auch Details des Privatlebens, auch ein Bordellbesuch wurde gefunden. Auch US-Magazine berichten: Anyone Can Buy Data Tracking US Soldiers and Spies to Nuclear Vaults and Brothels in Germany.

Bewegungsdaten sind auch dann nicht anonym, wenn sie keine 'Identifier' wie Klarnamen enthalten (hier ein Video von mir zur De-Anonymisierung). Die Kombination aus Schlafort und Arbeitsort ist nämlich meistens eindeutig.

Noch ein Beispiel, diesmal aus den USA: Data broker offers access to voters likely to back right-wing militias. Ein Datenhändler bietet die Kontaktdaten von Menschen, die die Erstürmung des Capitols in Washington unterstützen und vermutlich für gewaltätige Aktionen zu haben sind. Der russische Geheimdienst freut sich über die Liste von potentiellen Saboteuren.

In Europa ist die russische Sabotage im Jahr 2024 ziemlich stark angelaufen. Hier zwei Übersichtsartikel zum derzeitigen russischen Sabotagekrieg gegen den Westen und Russlands Angriffskrieg gegen die Ukraine tobt auch mitten in Europa. Für das Durchtrennen der Unterseekabel in der Ostsee wurde wohl ein chinesisches Schiff beauftragt.

Noch ein Beispiel für Bewegungsdaten-Analyse: Bereits in 2018 konnte gezeigt werden, wie die öffentlichen Daten auf der Website des Fitness-App-Anbieters Strava geheime Militärbasen in Afghanistan aufzeigte, weil die dortigen Soldaten die Fitness-App nutzten. Nun wurde gezeigt, dass mit Hilfe von Strava auch die Aufenthaltsorte von Joe Biden, Donald Trump, Kamala Harris und anderen Politikern zu sehen sind. Nein, nicht weil die Politiker Strava nutzen, sondern ihre Bodyguards.

Es gibt sogar einen Fachbegriff für diese Art von Spionage: ADINT (Advertising-based Intelligence), werbebasierte Aufklärung. Denn Werbung ist das primäre Geschäftsmodell für die Datensammlung und den Datenhandel, dabei fallen aber auch für die Geheimdienste interessante Daten an.

 

3. Persönlichkeits-Klone von jedermann/jederfrau

Derzeit erst mal nur zu Forschungszwecken: Stanford Universität und Google DeepMind berichten von einem Forschungserfolg. Wenn eine Person 2 Stunden mit einem AI-Modell interagiert, Fragen beantwortet und über Kindheit, Jugend und weitere Entwicklung berichtet, so erzeugen die Wissenschaftler einen virtuellen 'Clone' der Person, die sich in psychologischen Tests sehr ähnlich zur wirklichen Person verhält.

Wofür soll das gut sein? Es geht darum, dass Psychologen manchmal Tests durchführen möchten, die aus ethischen Gründen mit 'echten Menschen' nicht möglich sind. Solche Tests und Experimente sollen nun an diesen virtuellen Replikas durchgeführt werden. Nebenbei könnte die AI bei Bedarf auch noch Stimme, Mimik und Gestik erlernen, auf diese Weise könnten 'virtuelle Personen' entstehen, für die es reichlich legale und illegale Anwendungsfälle geben würde, z.B. der sog. CEO-Betrug.

 

4. Ergänzungen früherer Beiträge:

Dreiste Datenabsauge im Haushalt

Und das hier ist zwar dreist, aber fällt leider nicht mal unter diese beiden EU-Gesetze: Smarte Fritteusen lauschen und senden Daten nach China. Das sind keine Bugs, sondern offenbar Features der smarten Geräte. Fündig wurden die Tester auf Datenschutzlücken nicht nur bei Fernsehern, Lautsprechern und Smartwatches, sondern auch bei Heißluftfritteusen von drei chinesischen Herstellern. So wollten die Steuerungs-Apps aller 3 getesteten Fritteusen den Standort des Nutzers wissen und baten auch, Audioaufnahmen erstellen zu dürfen. Andere persönliche Daten wurden ebenfalls abgefragt und offenbar an Server in China übermittelt. Das steht aber so auch in den Datenschutzbestimmungen, d.h. das ist sogar legal wenn die Kunden das akzeptieren.

Stichwort 'Fernseher': Moderne Datenkraken: Smart-TVs tracken sogar HDMI-Inhalte. Damit ist gemeint, dass die Fernseher von LG und Samsung (und möglicherweise anderen Herstellern) nicht nur mittracken, welche Sendungen die Nutzer schauen, sondern auch dann die Bildschirm-Inhalte auswerten, wenn die Nutzer den Fernseher als großen PC-Bildschirm nutzen. Genutzt werden die Daten für gezielte bildschirmfüllende Werbung wenn der Fernseher nicht aktiv genutzt wird. Hier 2x technische Details. Wichtig: Das Verhalten der Geräte war unterschiedlich abhängig vom Land des Nutzers, man kann nur hoffen, dass das für die EU anders eingestellt ist.

 

Digitalzwang trifft mangelnde Barrierefreiheit

Wenn Digitalzwang mit Problemen bei der Barrierefreiheit kombiniert wird, ist es ungut. Die Berliner Beauftragte für Menschen mit Behinderungen kritisiert BVG-App. Sie diagnostiziert Defizite bei Alternativtexten, Kontrasten und Sprachausgabe. Dabei ist diese App nur 1 kleiner Baustein auf dem Weg zur verpflichtenden Barrierefreiheit bis Anfang 2025.

 

 

Cyber Resilience Act + Liability Directive

Beim vorigen Beitrag zu diesem Thema liste ich nun ein paar ganz aktuelle Beispiele auf.

 

Kostenlos: ÖIAT-Online-Schulungen

Kostenlose Online Schulungen beim Österreichischen Institut für angewandte Telekommunikation (ÖIAT). Hier die kommenden Termine und Themen - alle diese Schulungen sind empfehlenswert (ich nehme an vielen davon teil).

Die Termine und Themen der Kurse ab Oktober: (Abends, entweder 18:30 - 20:00 oder 17:00 - 20.00)

  • 2. Dez. | Rechtzeitig vor Weihnachten: Sicheres Online-Shopping
  • 9. Dez. | Internetkriminalität - Betrugsfallen & Fakes im Internet
  • 16. Dez. | Smartphone, Tablet & Co sicher nutzen!
  • 13. Jan. |Sicher kaufen & verkaufen über Kleinanzeigenplattformen
  • 20. Jan. | Soziale Netzwerke - unsere täglichen Begleiter
  • 27. Jan. | „Wie werd ich Millionär!“- Vorsicht vor Pseudo-Coachings im Internet
  • 03. Feb. | So bezahlen Sie sicher im Internet!
  • 24. Feb. | Identitätsdiebstahl - Wie Sie sich und Ihre Daten schützen
  • 03. März | Digitale Mediennutzung - Wie kann ich mein Kind gut begleiten?
  • 10. März | Deepfakes - KI-manipulierte Inhalte (er)kennen lernen

    • Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email - wie gesagt: m.E. sehr empfehlenswert.