217. Newsletter - sicherheitskultur.at - 28.02.2025

Letzte Ergänzungen 17.01.2026

von Philipp Schaumann

Themen-Überblick aller Newsletter

Hier die aktuellen Meldungen:

1. Ein digitaler Putsch

Zuerst eine Ergänzung zum Artikel im vorigen Newsletter über Transhumanismus und Longtermismus als Philosophie der Silicon Valley Herrscher. Ganz in diesem Sinne ist Musks Entscheidung zu sehen, die ↑(opens in a new tab)US Entwicklungshilfe USAID komplett und ersatzlos einzustellen. Was zählen denn die derzeit lebenden Menschen gegen die riesige Zahl der möglichen zukünftigen Generationen?

Außerdem ein paar Gedanken zu dem '↑(opens in a new tab)digitalen Putsch' in den USA. Heute können ein Staat und seine Behörden ganz ohne Panzer und Blutvergießen entmachtet werden, einfach, indem die Putschisten die ↑(opens in a new tab)Administrator-Rechte bei den Verwaltungsrechnern übernehmen, die bisherigen Benutzer sperren, Daten löschen oder manipulieren, oder Zahlungen stoppen. Das Entscheidende dabei ist, dass auf diese Weise ↑(opens in a new tab)Zahlungen gestoppt werden können, selbst wenn nur das Parlament diesen Stopp hätte anordnen können. So könnten Zahlungen für einzelne Firmen oder Personen, die Musk oder jemand anderer für anti-MAGA hält, sehr einfach blockiert werden.

Boeing rechnet damit, dass die ↑(opens in a new tab)Entwicklung der 'Mondrakete SLS' durch Boeing bald beendet sein wird - Boeing hat bereits eine beträchtliche Zahl der Raketen-Techniker entlassen. Was der Artikel nicht erwähnt: Ich wäre sehr überrascht, wenn die US-Mondpläne nicht auf Raketen von SpaceX umgestellt, bzw. gleich durch Mars-Pläne ersetzt würden. Wenige Tage später wird gemeldet: ↑(opens in a new tab)Musk will die Raumstation ISS "so bald wie möglich" vom Himmel holen und das Geld stattdessen für die Besiedelung des Mars ausgeben.

Außerdem gewinnt Musk auf diese Weise ↑(opens in a new tab)Zugang zu vertraulichen Firmen- und Personendaten die für eigene Zwecke verwendet werden können. Das Finanzministerium verlautet, dass das Musk-Team ↑(opens in a new tab)"nur Lesezugriff" auf Zahlungsdaten habe, dem widersprechen aber andere Berichte.

Die Horrorstories aus den USA gehen immer weiter: ↑(opens in a new tab)An der Grenze zum Staatsstreich: Wie Elon Musk die USA ausweidet. Ohne eine klar definierte Rolle hat der reichste Mann der Welt in kurzer Zeit den US-Regierungsapparat komplett unterwandert, er schließt eigenmächtig Behörden, feuert Beamte und greift auf hochsensible Daten und Systeme zu, richtet neue Zugriffsberechtigungen ein (und hebelt damit Sicherheitskonzepte wie getrennte Rollen und 4-Augen-Prinzip aus) und zieht sogar sensible und persönliche Daten für AI-Training ab. Beamte mit Erfahrung (auch in Sicherheitsfragen) werden massenhaft entlassen. Sogar Mitarbeiter der Behörde, die ↑(opens in a new tab)für die Sicherheit der Kernwaffen zuständig ist oder für das Funktionieren der Hochspannungsnetze.

Ganz vieles davon verstößt offensichtlich gegen Gesetze. Gerichte haben begonnen, diese Vorgänge durch einstweilige Verfügungen zu stoppen, aber wenn Zugänge zu den Systemen erstellt sind und Daten abgezogen, dann ist das Kind bereits in den Brunnen gefallen, Unbefugte (ohne die üblichen Sicherheitsüberprüfungen, ohne Erfahrung in diesem kritischen Systemen) haben Zugriff zu den Daten.

Ein Beispiel für den Diletantismus: ↑(opens in a new tab)"Zusammengeschustert": Behörden-Website von Doge gehackt.

Ausländische Geheimdienste sind vermutlich eifrig dabei, nach Sicherheitslücken in den neuen Zugriffen zu suchen um auf die Daten zuzugreifen. Das ist eine extremes Sicherheitsrisiko für den ganzen Staat. 2 Artikel aus Sicht von IT-Security und Compliance: ↑(opens in a new tab)AI and Civil Service Purges, ↑(opens in a new tab)DOGE as a National Cyberattack

Falls jemand glaubt, das wäre einfach Chaos ohne Konzept, nein, hier zum großen Plan dahinter: ↑(opens in a new tab)“Project 2025”: Wie Trump dem Plan zur Aushöhlung der Demokratie folgt. Die Website vergleicht den Plan und was davon bereits erreicht wurde.

2. Zugriff auf iPhone-Backups und andere Behördenwünsche, zB Chat Control

Die Innenminister der EU versuchen ja immer wieder, unter dem Vorwand 'Schutz von Kindern', Stichwort CSAM, ein Aufweichen der sicheren gegenseitigen Verschlüsselung in Chat-Programmen wie Whatsapp, Signal und anderen zu erreichen.

Großbritannien unternimmt nun einen anderen Versuch zum Aufweichen der Vertraulichkeit: Apple soll die seit 2022 eingeführte ↑(opens in a new tab)Advanced-Data-Protection-Funktion wieder abschalten. Diese Funktion bietet iOS-Nutzern eine optionale End-to-End-Verschlüsselung für ihre iCloud-Backups. Dadurch kann selbst Apple nicht auf die so verschlüsselten Dateien zugreifen. Dh. Apple kann derzeit, bei Benutzern, die diese Funktion aktiviert haben, bei Behördenanfragen keine Daten der iOS-Nutzer herausgeben, egal aus welchem Land die Anfrage kommt und wie viel Druck dieses Land auf Apple ausüben kann.

Das stört die britische Regierung, sie verlangt eine Aufweichung. Aber dann hat auch jedes andere Land die Möglichkeit, die Daten von iOS-Nutzern anzufordern. Ob die britische Regierung mittels des ↑(opens in a new tab)Investigatory Powers Act von 2016 auch Daten von beliebigen Bürgern weltweit (mit oder ohne Begründung) anfordern kann oder möchte, ist nicht ganz klar. Siehe auch die schlechten Nachrichten zur UN-Cybercrime Convention die Russland initiiert hat und wohl auch durchsetzen kann.

Etwas später die Entscheidung von Apple: ↑(opens in a new tab)Apple turns off iCloud encryption feature in UK. Apple erklärt, sie würden diese Sicherheitsfeature nun für Benutzer in Großbritannien nicht mehr unterstützen. Wir werden sehen, ob nun andere Länder auch so etwas fordern.

Schweden hat sich ganz schnell gemeldet, sie wünschen sich eine ↑(opens in a new tab)Hintertür (Backdoor) in end-to-end-verschlüsselten Systemen wie ↑(opens in a new tab)Whatsapp (wiki) und vor allem ↑(opens in a new tab)Signal (wiki). Signal hat bereits verkündet, dann sie sich in diesem Fall lieber aus dem Land zurückziehen würden. Jetzt kommt die Ironie: Das schwedische Militär nutzt Signal für interne Kommunikation und ist ganz stark gegen jegliche Aufweichung der Sicherheit von Signal.

Im Zusammenhang mit jedem terroristischen Anschlag kommt die Forderung nach mehr Überwachungsmöglichkeiten. Dafür gibt es technisch 2 Optionen:
Die erste Option ist die ↑(opens in a new tab)Quellen-TKÜ (wiki). Damit kann in Deutschland das Gerät eines explizit genannten Verdächtigen nach richterlichem Beschluss 'infiziert' werden und Daten auf dem Gerät können 'aus der Ferne' ausgelesen werden. Das klappt natürlich nur, wenn die Person bereits unter einem Verdacht steht. Dies war z.B. beim Attentäter von Villach offenbar nicht der Fall.

Sehr unglücklich ist, dass EU Länder, hier zB Italien, wenn sie diese Möglichkeiten der Überwachung haben, diese dann gegen Journalisten und Aktivisten statt gegen Schmugler, Drogenhändler und Terroristen einsetzen: ↑(opens in a new tab)Italian investigative journalist and two activists alleged to have been targeted by Paragon Solutions spyware. Und etwas später auch ein deutsprachiger Artikel: ↑(opens in a new tab)Italiens Geheimdienste spähten Aktivisten mit Paragon-Spyware aus. Die Software wurde wohl gegen den italienischen Investigativjournalisten Ciro Pellegrino, mindestens einen weiteren Journalisten und gegen Aktivisten der NGO Mediterranea eingesetzt. Mittlerweile soll Italien die Verträge mit dem US-amerikanischen-israelischen Anbieter gekündigt haben und die USA haben alle lokalen Paragon-Rechenzentren geschlossen. Aber Paragon hat nun in vielen anderen Ländern Rechenzentren eröffnet, vor allem in Afrika, aber auch in Europa (die tschechische Firma FoxITech hängt irgendwie da drin). ↑(opens in a new tab)Predator spyware alive despite US sanctions.

Die zweite technische Lösungsoption für die Überwachung der Kommunikation von Menschen läuft über die Anbieter des Kommunikationsdienstes. Sie sollen gezwungen werden, eine technische Lösung zu schaffen, so dass sie auf die Klartextdaten der Kommunikation zugreifen und dadurch an Behörden weitergeben können.

Der CERT.at-Artikel ↑(opens in a new tab)Chat Control vs. File Sharing behandelt die technischen Optionen, die die Anbieter von Whatsapp, Signal, etc. hätten, wenn Regierungen sie zwingen würden, die Inhalte der Dialoge preis zu geben.

Das Beispiel, das im Artikel verwendet wird, ist ↑(opens in a new tab)Napster (wiki), der Filesharing-Dienst. Ursprünglich ein zentraler Service, aber nachdem Behörden immer wieder Daten über Filesharing-Aktivitäten forderten wurde das Protokoll auf innovative Weise so umgestellt, dass die Zentrale von Napster keine Informationen über das Filesharing-Geschehen hat. Analog dazu ließe sich auch das Protokoll von ↑(opens in a new tab)Signal (wiki) auf eine komplett dezentrale Lösung, zB analog zum ↑(opens in a new tab)Fediverse (wiki) oder ↑(opens in a new tab)Matrix (wiki) oder ↑(opens in a new tab)Jabber (wiki) umbauen. Die Details im Artikel.

Anderseits hat die Cybersicherheitsbehörde der USA allen Benutzern verschlüsselte Kommunikationskanäle stark angeraten, da die herkömmlichen Telefonsysteme in den USA seit gut einem Jahr ↑(opens in a new tab)von der chinesischen Hackergruppe Salt Typhoon bundesweit unterwandert sind. Bisher konnten die Angreifer aus den Systemen noch nicht 'vertrieben' werden. Es wird von Milliardenkosten für den Austausch der alten Router-Hardware gesprochen.

Ergänzungen zu Überwachungssoftware gegen Journalisten im Juni.

3. Kryptokriminalität und Nordkorea - Kryptoforensik

Nordkorea hat es auf Grund der Sanktionen ja nicht ganz einfach, seine Devisen für seine Staatsfinanzen zu verdienen. Schon seit Jahren spielen daher staatliche Cyberkriminelle eine wichtige Rolle bei der Finanzierung des Staatshaushalts, zB auch bei der Finanzierung der Kernwaffenentwicklung.

Die Staatshacker, in diesem Fall die sehr prominente Gruppe die im Westen Lazarus genannt wird, hat einen Riesen-Coup gelandete: ↑(opens in a new tab)Größter Kryptoraub aller Zeiten: Cyberkriminelle erbeuteten fast 1,5 Milliarden Dollar bei Bybit.

Die Kryptobörse möchte (verständlicherweise) so viel wie möglich von dem Geld zurück bekommen, sie setzt einen ↑(opens in a new tab)'Finderlohn' von 10% aus. Auf diese 150 Mio. USD stürzen sich alle sog. Kryptoforensiker. Wie sie versuchen das Geld zurückzuholen, das wird im folgenden ↑(opens in a new tab)Interview mit einem Kryptoforensiker erklärt. Denn, wie ich an anderer Stelle erklärt habe, sind Kryptozahlungen nicht anonym, sondern nur pseudonym.

Hier mehr zu den nordkoreanischen Staatshackern: die Gruppe ↑(opens in a new tab)Jumpy Pisces arbeitet mit Ransomware. Oder: ↑(opens in a new tab)Nordkoreanische Hacker TraderTraitor erbeuteten in Japan Bitcoin in Millionenhöhe. Oder: ↑(opens in a new tab)Nordkorea verblüfft mit High-Tech-Cyberangriffen und ↑(opens in a new tab)Nordkorea bezahlt Kernwaffen mit gestohlener Kryptowährung.

Das geht schon ziemlich lange so: Legendär ist aus 2016: ↑(opens in a new tab)Cyberdiebstahl von 101 Millionen US$ am 4. Februar 2016, ein recht komplexer Angriff, denn 100 Mio USD kann man ja nicht einfach so transferieren ohne Spuren zu hinterlassen - hier die Geldwäschetechnik: "Das in die Philippinen überwiesene Geld wurde weiter in Spielcasinos transferiert und verschwand dann in dunklen Kanälen".

Ergänzung April 2025:
Eine der in der IT-Industrie schon älteren Bedrohungen ist, dass IT-Menschen aus Nordkorea sich mit falschen Identitäten von westlichen Unternehmen als Remote-Software-Entwickler anstellen lassen. Ziel ist es, durch eine tolle Arbeitsleistung (oft arbeiten mehrere Menschen mehr oder weniger rund um die Uhr) möglichst viele "Rechte" in den Unternehmenssystemen zu bekommen. Dadurch kann Schadsoftware (wie Ransomware) platziert oder Daten extrahiert werden. Beides bietet dann Erpressungspotential. Details in ↑(opens in a new tab)DPRK worker scheme expands to Europe after US crackdown.

Ergänzung Dez 2025:
Das gibt bestimmt einen Neujahrs-Bonus in Nordkorea: ↑(opens in a new tab)North Korea-Linked Hackers Steal $2.02 Billion in 2025, Leading Global Crypto Theft. Auch 2025 war wieder ein gutes Jahr für die Staatshacker.

4. Ergänzungen früherer Beiträge

Die Krypto- Love-Scam Lager in Myanmar

Ergänzung zu den Scam-Lagern in Myanmar: Thailand, das bisher die Myanmar-Provinzen in denen sich die Scam-Lager in Myawaddy, Payathonzu und Tachileik befinden mit Energie versorgt hat, hat ↑(opens in a new tab)nun den Strom abgedreht. Das trifft aber natürlich die ganze Bevölkerung, ist also keine wirkliche Lösung. Ohne Energie gibt es auch kein sauberes Trinkwasser, das ist wirklich eine brutale Intervention.

Ergänzung März 2025:
Das ist leider aber nicht das Ende dieser Zwangsarbeitslager - mit Hilfe von Starlink sind die Lager wieder online. Mehr Details gibt es im März-Newsletter.

Das hatte gefehlt: Watchlist-internet.at: ↑(opens in a new tab)Geswiped, geflirted, getäuscht? Vorsicht vor Love Scams auf Dating-Portalen. Wie kann man so etwas erkennen, speziell bei Freunden und Freundinnen, und wie kann man ihnen helfen?

Virtual Friend gibt Hilfestellung zu Selbstmord

Triggerwarnung:
Das folgende Thema kann für einige Leser verstörend und schädlich sein. Wer psychische Probleme hat oder Selbstmordgedanken kennt, dem werden die Kontaktadressen der Selbsthilfedienste dringend empfohlen.

Der Markt für virtuelle Girl- und Boyfriends boomt angeblich. Die Chatbots sind aber nicht ganz ungefährlich: ↑(opens in a new tab)AI chatbot told a user how to kill himself—but the company doesn’t want to “censor” it. Zum Glück war der Mensch in diesem Fall kein depressiver Nutzer, sondern ein Wissenschaftler, der aber von dem Vorschlag zum Selbstmord, einschließlich konkreten Vorschlägen für die Durchführung ziemlich geschockt war. Und dies ist nicht der erste Fall, sowas kann immer wieder passieren und hat wohl auch bereits zu Selbstmorden und Selbstverletzungen geführt (viele Details im verlinkten Artikel und auch in der Wikipedia). Die Anbieterfirma ↑(opens in a new tab)character.ai (wiki) will an ihren Chatbots nichts ändern.

Ergänzung Mai 2025:
Die Anwälte von character.ai behaupten nun im Gerichtsverfahren, dass das Unternehmen selbst nicht beklagt werden kann, denn auch für ↑(opens in a new tab)Chatbots würde das Recht auf freie Meinungsäußerung gelten.

Ergänzung April 2025:
Tenor des Artikels ↑(opens in a new tab)AI companions are the final stage of digital addiction ist, dass diese 'virtuellen Beziehungen' die ultimative 'Digital-Sucht' erzeugen können. 'Virtual friends' gehen auf die Interaktionen des jeweiligen Nutzers ein und haben so ein viel größeres Suchtpotential als Tiktok, Instagram und die Messaging Apps je bieten können. Einer der Anbieter, character.ai, berichtet, dass sie bereits 20 000 Anfragen pro Sekunde verarbeiten, das wäre ein Fünftel des Suchverkehrs auf Google. Und da diese 'Interaktionen' viel persönlicher sind als alle anderen Internet-Interaktionen und erhebliches Suchtpotentiel haben, dauern sie auch deutlich länger, das ist das Ziel der Betreiber. Das ist nämlich ideal um stark personalisierte Werbung zu platzieren (die AI erstellt ja implizit in den Dialogen eine ausführliche Persönlichkeits-Analyse).

Einer der Anbieter, Botify AI, hat übrigens auch minderjährige 'Freunde' im Angebot).

Ergänzung Juli 2025:
Gar nicht gut: Auch ChatGPT kann sehr gefährlich sein: ↑(opens in a new tab)ChatGPT gab Hilfestellung zu Selbstverletzung, Mord und Satanismus.

Hier ein früherer Hintergrundartikel zu virtual friends. Im Juni 2025 geht es weiter mit den virtual friends, der Trend scheint sich auszuweiten und zwar bei beiden Geschlechtern - viele neue Details. Der Trend scheint viele neue Gefahren zu bringen.

Wer psychische Probleme hat oder Selbstmordgedanken kennt, dem werden die Kontaktadressen der Selbsthilfedienste dringend empfohlen.

Ergänzung Nov. 2025:
OpenAI kommt unter Druck durch eine hohe Zahl von gut dokumentierten Selbstmordfällen und stationären Einweisungen, ausgelöst durch ChatGPT. Gruselige Details werden nun öffentlich. Auch, dass das Problem OpenAI offenbar wohl bewusst war, aber man wollte die Version GPT-4o, um die es hier geht, schnell auf den Markt bringen, um eine Antwort auf Google Gemini zu haben. GPT-4o sei entwickelt worden, "um die Interaktion durch emotional immersive Funktionen zu maximieren". Hier die Details, auch der Interaktionen der Opfer.

Ergänzung Jan. 2026:
Hilfestellung bei Selbstmord ist keine freie Meinungsäußerung

character.ai hatte ja behauptet, dass das Unternehmen für Aussagen ihrer Bots nicht beklagt werden könne, denn auch für den Chatbot würde das Recht auf freie Meinungsäußerung gelten - das wurde nun von einer US-Bundesrichterin zurückgewiesen. Google und character.ai legen nun 7 Klagen wegen Suizidfällen bei Jugendlichen durch weitreichende ↑(opens in a new tab)Vergleiche mit den Hinterbliebenen bei, dadurch vermeiden sie einen Urteilsspruch.

Gruselig: ChatGPT hat für einen selbstmordgefährdeten Mann ein Selbstmord-Schlaflied gedichtet: ↑(opens in a new tab)ChatGPT wrote “Goodnight Moon” suicide lullaby for man who later killed himself. Auf der Wikipedia gibt es nun eine Seite mit ↑(opens in a new tab)Deaths linked to chatbots.

Bedienfehler und Ladendiebstahl an den SB-Kassen - AI als Lösung?

Wie ich lese, haben die immer häufiger anzutreffenden Selbstbedienungskassen in unseren Supermärkten das ↑(opens in a new tab)Problem großer Fehlerzahlen: KI-gestützte Überwachungs- und Analysetools werden nun eingesetzt, um die angeblich hohe Zahl von (beabsichtigten oder unbeabsichtigten) Bedienfehlern erkennen zu können. Es geht um vergessenes Scannen, das Vertauschen von Artikeln oder Scan-Codes, etc.

Auch eine automatische Alterskontrolle soll mithilfe von KI durchgeführt werden, es geht wohl um Alkohol und Zigaretten. Ich mag diese Kassen ja eh nicht, aber durch KI werden sie für mich nicht sympatischer. Hier der frühere Artikel zur Zukunft des Bezahlens im Einzelhandel.

Familien-Spyware mit hilfreichem Kundendienst

Die Spionage-App mSpy vermarktet sich als Werkzeug für besorgte Eltern, die wissen wollen, was ihre Kinder auf dem Smartphone tun. Darüber kann man trefflich streiten, m.E. sollte so was nur mit Wissen der Kinder passieren, 'gegenseitiges Vertrauen' nennt sich so was. Siehe auch: ↑(opens in a new tab)Fremder packte Kinder am Arm: Sollen Eltern Volksschulkinder tracken?

Aber geleakte Nachrichten des ↑(opens in a new tab)Kundendienst von mSpy zeigen nun, dass auch der ausdrückliche Wunsch, Partner oder Partnerinnen illegal zu überwachen beim Kundendienst von mSpy auf viel Verständnis und Hilfsbereitschaft stößt. Die Anrufer bekommen nicht Ärger, sondern Ratschläge. Der Kundendienst hilft gerne, wenn man den eigenen Partner stalken will.

So findet und ↑(opens in a new tab)stoppt man solche privaten Spionage-Apps, bzw. mit diesen Sicherheitseinstellungen verhindert, bzw. erschwert man die Installation durch andere Menschen.

Aber Achtung: wer von Regierungen überwacht wird, das ist eine andere Liga - diese Apps kann man mit einfachen Tricks nicht entdecken. Mehr zum Thema Spyware in Familien und der Politik in einem früheren Newsletter.