215. Newsletter - sicherheitskultur.at - 31.12.2024

von Philipp Schaumann

Hier die aktuellen Meldungen:

1. Betrug mit fremden IBAN

Anlass des ersten Beitrags ist der Artikel Verbraucherzentrale warnt vor aktueller Paypal-Betrugsmasche. Die Überschrift und der Aufhänger sind leicht verwirrend, denn es geht bei dieser Betrugsmasche nicht um Paypal, sondern einfach darum, dass jeder, der meine IBAN kennt, diese IBAN beim Shoppen als Abbuchungskonto angeben kann.

Das ist für viele Meschen verblüffend, aber um von einem fremden Konto einen Betrag abzubuchen brauche ich keine Abbuchungsermächtigung sondern nur die Kenntnis der jeweiligen IBAN. Und IBANs sind nun mal nicht vertraulich, haben auch keinen Schutz durch einen Code oder so.

Warum wird das trotzdem nicht im großen Maßstab ausgenutzt? Weil der Bankkunde, von dessen Konto unerlaubterweise abgebucht wurde, das Geld von seiner Bank einfach zurückfordern kann. Vorausgesetzt, der betrogene Kunde checkt seine Kontobewegungen und bemerkt es.

Der Artikel sagt, dass man seine IBAN nicht zu weit verbreiten sollte, aber mit jeder Überweisung die ich tätige wird meine IBAN übermittelt. Firmen haben ihre IBAN oft gleich im Briefkopf. Die Lösung (wie bereits gesagt): Kontobewegungen checken und bei Fehlern reklamieren.

2. Ist der Westen bezahlten Influencern hilflos ausgeliefert?

China und Russland scheinen die Macht von Social Network-Influencern besser verstanden zu haben als unsere Gesetzgeber im Westen. Viele Details zu den Auswirkungen auf unsere Demokratie finden sich in The growing influencer problem to national security.

Auf internationaler Ebene passieren in Bezug auf Social Networks 2 Dinge gleichzeitig: die Influencer in China und Russland werden dort stark reglementiert, sie müssen sich registrieren, bzw. mit Klarnamen auftreten und sind unter strenger inhaltlicher Aufsicht.

Gleichzeitig bezahlen und beschäftigen beide Länder eine große Zahl von Influencern, um im Westen 'Unruhe zu stiften' und eine russland-freundliche Politik zu propagieren oder sogar durchzusetzen. Ein Beispiel sind Influencer, die versuchen, die Unterstützung der Ukraine durch die USA zu untergraben.

Ein extremes Beispiel sind die Wahlen in Rumänien und Moldavien, bei denen pro-russische Kandidaten durch bezahlte Influencer extrem unterstützt wurden. Das war so erfolgreich, dass in Rumänien der bis dahin unbekannte pro-russische Kandidat die Mehrheit der Stimmen im 1. Wahlgang bekam. Die EU hat sich eingeschaltet und eine Untersuchung gegen TikTok eingeleitet. Der Vorwurf ist, dass TikTok das große Netz von automatischen Bots nicht blockiert hat, das den pro-russichen Kandidaten gepusht hat. Ebenso wurde die Frage gestellt, wieso TikTok nicht gegen die - nach ihren eigenen Regeln - unerlaubte politische Werbung vorgegangen ist. Die rumänische Wahlbehörde annulierte den ersten Wahlgang.

In Spanien wird an einem Gesetz zum Einbremsen der Social Networks gearbeitet, nachdem Influencer mittels Falschmeldungen dafür gesorgt hatten, dass eine Untersuchung gegen die Ehefrau des Premierministers eingeleitet wurde.

Im Sommer wurden in Großbritanien Rassenunruhen vor allem über Social Network angeheizt, ohne dass die Regierung effektiv gegensteuern konnte.

Eines der Probleme ist, dass die traditionellen Medien immer stärker an Relevanz verlieren. Die Grafik von Pew Research zeigt, dass im Durchschnitt in den USA mittlerweile 21% ihre Nachrichten von Social Media beziehen, in der Altersgruppe 18-29 sind es 37%. Influencer haben damit einen unverhältnismäßig großen Einfluss auf die öffentliche Meinung und das nutzen die totalitären Regierungen für ihren Kampf gegen unsere Demokratie aus.

Die Zahlen zum Social Media-Konsum sehen bei uns nicht besser aus, siehe unten.

3. Algorithmen ungeeignet gegen Sozialhilfebetrug

Lighthouse Reports hat schon wieder 'zugeschlagen'. Sie deckten diesmal auf, wie die schwedische Sozialversicherungsbehörde jahrelang heimlich diskriminierende Algorithmen gegen Menschen einsetzte, die kranke Kinder zu pflegen haben und daher Anspruch auf Unterstützung haben. Die Datenanalyse ergab, dass der Algorithmus besonders häufig Frauen, Migrantinnen, Geringverdiener und Menschen ohne Hochschulbildung als potenzielle Betrüger markierte. Die Folgen für die Betroffenen waren gravierend: Zahlungen wurden vorläufig ausgesetzt, aber nur wenige Fälle landeten tatsächlich vor Gericht, noch seltener wurde ein tatsächlicher Vorsatz festgestellt.

Lighthouse Reports deckten in ihrer gründlichen Analyse auf, dass die Trainingsdaten bereits ungeeignet waren, auf statistisch falschen Prämissen beruhten und dass bereits die grundlegende Annahme von weit verbreitetem Sozialhilfebetrug falsch war. Hier der Link zur detaillierten Vorgehensweise von Lighthouse Reports.

Hier zu früheren Beiträgen zu ungeeigneten Algorithmen: Stadtverwaltung von Rotterdam und andere algorithmische Katastrophen.

4. Haushaltsroboter, leicht gruselig

Eine Firma in den USA plant den ersten humanoiden Roboter, der so wie in Filmen, alle Arbeiten in einem Haushalt übernehmen kann. Technisch klappt das mit den derzeitigen AI-Systemen derzeit (noch?) nicht, denn Haushalte und die Aufgaben darin sind extrem vielfältig und erfordern ein erhebliches Verständnis unserer Umwelt.

Die Robotics-Firma Prosper glaubt, die Lösung gefunden zu haben. Die Roboter sollen mit Call-Centern in Billiglohn-Ländern verbunden sein und durch die Augen des Roboters sehen die Menschen im Call-Center den Haushalt und erkennen, was zu tun ist. Der Artikel fragt: If most robots still need remote human operators to be safe and effective, why should we welcome them into our homes?

Im Artikel wird vermutet, dass es für die meisten Menschen leicht gruselt, wenn sie sich vorstellen, dass sich hinter der Kamera der Maschine ständig wechselnde fremde Menschen verbergen, die alles beobachten, bewerten und vermutlich auch dokumentieren, was in ihren Wohnungen passiert. Mich erinnert diese Idee an das mittlerweile abgedrehte "Just Walk Out"-Experiment von Amazon in den USA. Hinter den ommipräsenten Kameras im Laden war nicht nur ein AI-System, sondern waren auch über 1.000 Menschen in Indien, die versucht hatten, zu entscheiden, wie viele Dinge die Menschen in die Einkaufswagen getan hatten.

5. Das Ökosystem der KI-Basismodelle

Für alle, die sich umfassend über die Hintergründe des derzeitigen AI-Booms (oder AI-Hypes) informieren wollen, hat die Bertelsmann Stiftung detailliertes Schulungsmaterial erstellt: Das Ökosystem der KI-Basismodelle: Wie Daten, Energie und menschliche Arbeit KI-Basismodelle formen

Es werden nicht nur die Grundlagen und Funktionen dieser Modelle erklärt, sondern ihre Probleme thematisiert: Hohe Ressourcenkosten, verzerrte und verzerrende Datensätze und die Arbeitsbedingungen der Menschen, die deren Entwicklung ermöglichen. Die Wissensseite zeigt die komplexen Zusammenhänge hinter den Anwendungen auf und lädt dazu ein, diese Zusammenhänge bei der Entwicklung und Nutzung der Tools stärker mitzudenken.

Grundlagenwissen: Wie funktionieren Basismodelle und wofür werden sie genutzt?
Deep Dives – Erklärung verschiedener Arten von Basismodellen: Von Sprach- über Bild- bis zu multimodalen Modellen.
Herausforderungen: von verzerrten Trainingsdaten über hohen Ressourcenverbrauch bis hin zu den Arbeitsbedingungen der Menschen, die diese Systeme ermöglichen.
Exemplarischer Vergleich von sieben konkreten Basismodellen - anhand von Kategorien, wie z. B. Modellarchitektur und Größe, Trainingsdaten, Ressourcenverbrauch, Datenschutz.

Für alle Menschen, die in Schulen erklären müssen, was generative AI denn tut und ob das gut für uns ist, hat der Klett-Verlag kostenlose Lehrmaterialien zum Thema KI zur Verfügung gestellt. Das Interesse in den Schulen ist groß, ich hatte bereits mehrere entsprechende 'Kurz-Auftritte'.

Die Website socialmediawatchblog.de hat einige Gedanken zu generativer AI formuliert, die ich weitgehend teile.

Hier zum vorigen Beitrag rund um Wie funktionieren die generativen AI-Systeme?

6. Ergänzungen früherer Beiträge

Auch Apple kann es beim Thema CSAM nicht allen recht machen

Es geht um CSAM (child sexual abuse material). Apple hatte ein automatisches System eingeführt, das solches Material auf den Geräten der Apple-Nutzer erkennen sollte. Das wurde heftig kritisiert und zwar wegen des Risikos, dass Menschen fälschlicherweise in Verdacht geraten können (hier Beispiele für solche false-positives) und dass eine solche Technologie auch für andere Überwachungen eingesetzt werden kann.

Apple hat nun wegen der Kritik die CSAM-Erkennung gestoppt und wurde nun auf 1,2 Milliarden US$ verklagt. Die Kläger sind frühere Opfer die u.a. befürchten, dass ihre früheren Bilder weiter im Internet verteilt werden. Die Kläger wollen erzwingen, dass Apple (und alle anderen) so ein System (wieder) einführen müssen.

Gleichzeitig versuchen immer noch viele der EU-Innenminister eine automatisierte Auswertung der digitalen Dialoge zu erzwingen. Hier der vorige Beitrag zu CSAM.

Zum Diebstahl moderner PKWs

Im vorigen Newsletter hatte ich berichtet, dass eine deutsche Innenministerin die Diebstahlsicherungen der modernen Fahrzeuge für zu gut hält. Der ADAC wiederspricht in einem Test. Die Details dazu, wie PKWs mit elektronischen Schlüsseln gestohlen werden, finden sich in der Ergänzung des vorigen Beitrags (siehe voriger Link).

Datenleck bei VW: Bewegungs- und Kundendaten von 800.000 E-Autos ungeschützt im Internet

Dass die Autohersteller gern mehr oder weniger heimlich möglichst viele Fahrzeugdaten sammeln, hatte ich bereits früher berichtet. Aber es geht auch noch schlimmer.

Volkswagen sammelt, speichert und verarbeitet auch die GPS-Daten, die den genauen Standort des Fahrzeugs übermitteln. Mit den Daten kann man Bewegungsprofile der Besitzer erstellen. Sie zeigen, wo die Personen sich wann und wie lange aufhielten - ob Zuhause, am Arbeitsplatz, in einer Kirche oder Synagoge, im Sportverein und anderswo. Bewegungsprofile sind NIE anonym (hier ein Video von mir zu De-Anonymisierung) - aber in diesem Fall sind sie sogar bequem mit E-Mail-Adresse, Anschrift und Handynummer verknüpft.

Bei den Betroffenen Fahrzeugen mit dabei waren die Chefs großer Konzerne, Polizeifahrzeuge und Nachrichtendienste wie der Bundesnachrichtendienst (BND). Der CCC schreibt: "Das Problem ist, dass diese Daten überhaupt erhoben und über einen so langen Zeitraum gespeichert werden. Dass sie obendrein schlecht geschützt waren, setzt dem Ganzen nur die Krone auf."

Love Scams / Krypto-Scams / Nordkorea

Schon recht lange war bekannt, dass die Quelle der meisten Love-Scams hoch-professionalisierte extrem abgeschottene Lager in Kambodscha, Burma und Myanmar sind, in denen Zwangsarbeiter dazu verpflichtet werden, Menschen in Europa und USA über Liebes-Turteleien dazu zu bringen, entweder direkt Geld zu überweisen oder in Krypto-Scams zu investieren.

In meinem früheren Bericht zum Thema Love Scams habe ich nun 2 Hintergrund-Berichte zu diesem Zwangslagern ergänzt.

Noch eine Ergänzung zum früheren Beitrag zu Krypto- und Love Scams (zur Erklärung der Begriffe: Krypto-Scams sind Betrügereien mit angeblichen Krypto-Investitionen. Oft laufen Love-Scams (dh Betrug im Rahmen von Online-Dating) auch auf angebliche Krypto-Investitionen hinaus. Der Vorteil von Kryptobetrug bei Love Scams ist für die Betrüger, dass die Opfer sich oft sogar hoch verschulden für diese angeblich extrem ertragreichen Investitionen).

Fast zwei Drittel aller gestohlenen Kryptogelder wanderten 2024 nach Nordkorea. Ganz aktuell: Die Staatshacker erbeuteten in Japan Bitcoin für mehr als 300 Mill. US$. Dieser Angriff war kein Love-Scam, sondern ein gewöhnlicher Phishing-Angriff über LinkedIn. Die staatlich gesteuerte Hackergruppe Lazarus hat alle Angriffstypen im Repertoire.

Nordkorea hat es ja nicht ganz leicht, Geld für den Staatshaushalt zu beschaffen. Seit 2007 macht Cybercrime einen immer wichtigeren Anteil aus, legendär ist der Coup gegen die Zentralbank von Bangladesh. Der Artikel Cyber-Krieger: Eliteeinheit und soziale Elite beschreibt, dass bereits 2007 eine 6.000-Personen-starke Cyber-Armee aufgebaut wurde, die seitdem viele Erfolge feiern konnte. Beim Diebstahl von Kryptowährungen allein soll Nordkorea von 2017 bis 2023 umgerechnet drei Milliarden US-Dollar erbeutet haben, das ist aber nur ein kleiner Teil der kriminellen Aktivitäten.

Eine Analyse sagt, dass der Gesamtwert weltweit gestohlener Kryptowährungen in 2024 um 21% auf 2,2 Milliarden US$ gestiegen ist, 61% davon floss in den Staatshaushalt von Nordkorea. Auch in Österreich gilt Finanzbetrug als "Wachstumsbranche", besonders mit Bitcoin und Co. Wenn das Bewerben der Krypto-Börsen nicht über Love-Scams abläuft, dann werden oft prominente Social Network Influencer eingesetzt.

Interessanter Angriff über Whatsapp

Immer wieder was Neues: Die Betrüger senden ein SMS und simulieren dabei die Telefonnummer, unter der Whatsapp SMS verschickt. D.h. das Smartphone zeigt als Absender 'Whatsapp' an. Dann wird das Opfer angeleitet, in die Whatsapp-Einstellungen zu wechseln, um dort unter "Verknüpfte Geräte" ein neues Gerät hinzuzufügen - das Gerät des Betrügers. Und der sperrt als erstes alle Geräte des Opfers aus. Der Account ist weg. Die Details hier. Und hier Tipps zu Phishing.

Kinderfotos auf Instagram oder Facebook

An anderer Stelle verlinke ich einen guten Artikel über die Problematik, wenn Eltern Fotos ihrer Kinder in Social Networks wie Instagram oder Facebook posten (d.h. außerhalb des engeren Familienkreises). Der Artikel beschreibt, welche rechtlichen und ethischen Aspekte die Eltern vorher bedenken sollten.

Generative AI-Systeme statt Suchmaschine

Es scheint einen neuen Trend zu geben, generative AI-Systeme, das sind Systeme wie z.B. ChatGPT, als Zukunft der Suche im Internet zu präsentieren. Wer den Newsletter regelmäßig liest, der weiß, dass ich da einige Bedenken habe.

Hier ein paar Artikel dazu: OpenAI macht Google mit Suchmaschine Konkurrenz. Das finde ich bedenklich, weil man mit Google (oder den alternativen Suchmaschinen) eben Links auf Websites bekommen, aber mit ChatGPT (u.ä.) bekommt man direkt eine Antwort, aber man weiß nicht, ob man ihr vertrauen kann: AI search could break the web. Beispiel: KI-Antworten von Google, Perplexity und Co verbreiteten rassistische Falschinformationen.

Klarna ersetzt Kundendienst durch Chatbots

Der Zahlungsdienstleister Klarna berichtet, dass sie seit 1 Jahr niemanden mehr einstellen, weil KI bereits die Arbeit von 700 Vollzeitkräften übernommen habe. Sie berichten, die Kundenzufriedenheit sei auf gleichem Niveau geblieben - Konsumentenschützer sind sich nicht sicher.

Klarna gilt übrigens durch ihre Ratenkauf-Angebote auf ganz vielen Websites ('gleich kaufen, später zahlen') als eine der großen Schuldenfallen für junge Menschen.

Kostenlos: ÖIAT-Online-Schulungen

Kostenlose Online Schulungen beim Österreichischen Institut für angewandte Telekommunikation (ÖIAT). Hier die kommenden Termine und Themen - alle diese Schulungen sind empfehlenswert (ich nehme an vielen davon teil).

Die Termine und Themen der Kurse ab Oktober: (Abends, entweder 18:30 - 20:00 oder 17:00 - 20.00)

13. Jan. |Sicher kaufen & verkaufen über Kleinanzeigenplattformen

20. Jan. | Soziale Netzwerke - unsere täglichen Begleiter

27. Jan. | „Wie werd ich Millionär!“- Vorsicht vor Pseudo-Coachings im Internet

03. Feb. | So bezahlen Sie sicher im Internet!

24. Feb. | Identitätsdiebstahl - Wie Sie sich und Ihre Daten schützen

03. März | Digitale Mediennutzung - Wie kann ich mein Kind gut begleiten?

10. März | Deepfakes - KI-manipulierte Inhalte (er)kennen lernen

Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email - wie gesagt: m.E. sehr empfehlenswert.