232. Newsletter - sicherheitskultur.at - 10.01.2026

von Philipp Schaumann

Letzte Ergänzungen 10.01.2026

Zum Archiv-Überblick

Hier die aktuellen Meldungen:

1. Die Investitionen in generative AI

Man könnte denken, dass die großen Konzerne, wie Meta, xAI [wiki] (die Musk-Gründung zu AI), Oracle und Coreweave [wiki] (Cloud-basierte Infrastruktur für KI), die derzeit in den USA in neue große AI-Rechenzentren und in die Energie für das Training der generativen Modelle investieren, bei der Unsicherheit bzgl. der Zukunft der generativen AI ein erhebliches Risiko eingehen.

Das tun sie aber nur teilweise und nur begrenzt! Hier meine Theorie dazu:

Die Firmen gründen für den Bau der Rechenzentren (mit angeschlossenen Kraftwerken) sog. Special Purpose Vehicle [wiki]). Dadurch vermeiden sie, dass die Ausgaben für die Rechenzentren in ihren eigenen Bilanzen als Verbindlichkeiten (und als Risiko) aufscheinen. Die Financial Times berichtet bereits von Auslagerungen in Höhe von 120 Milliarden US-Dollar. Die NY Times berichtet von erheblichen Zinsen, die von den Geldgebern für solche Investitionen mittlerweile verlangt werden. The Register kommt für 2025 auf Investitionen in generative AI für 1,5 Billionen US$, das entspricht den Kosten des Irak- und Afganistan-Kriegs, zusammen addiert.

Die Firmen die Rechenzentren bauen, wie Meta, xAI, Oracle und Coreweave, sichern sich laut der Financial Times mit komplexen Finanzierungsvereinbarungen vor den Risken ab, die durch die Kredite für den Bau von Rechenzentren benötigt werden. Auch falls die generative AI-Blase platzt und die Rechenzentren nur teilweise ausgelastet werden, so bleibt das Risiko bei den Zweckgesellschaften.

OpenAI, Anthropic, Grok, etc investieren in das Training ihrer generativen Modelle, sie 'verbrennen Strom'. Im Gegensatz zu Rechenzentren, die man sehen und anfassen und bei Bedarf auch für andere Rechenaufgaben verwenden kann, sind die Investitionen in das AI-Training 'verbranntes Geld'.

Natürlich geht derzeit niemand davon aus, dass generative AI wieder verschwindet - bezweifelt wird aber, ob sich ein tragfähiges Geschäftsmodell finden lässt, dass diese gewaltigen Investitionen finanzieren kann. Siehe meine frühere Liste der Business-Optionen für generative AI.

Google, Meta, Microsoft, Amazon, Oracle investieren primär in Rechenzentren, diese bleiben erhalten und selbst wenn sie nicht ganz ausgelastet sind können sie für viele Aufgaben genutzt werden, egal wie das mit LLMs noch weitergeht. Dh egal, wie das mit den generativen LLM-Systemen weitergeht - falls es ein Erfolg wird, sind Google, Meta, Microsoft, Amazon, Oracle mit dabei, falls die LLM-Bubble platzt, so haben diese Firmen Rechenzentren aus der Konkursmasse der anderen Firmen. Nvidia verkauft seine Chips so lange der Bedarf besteht, notfalls auch wieder GPUs [wiki] für Games. Gerade hat Nvdidia neue Chips für PCs vorgestellt, ua für AI-Modelle lokal auf dem Desktop, wie auch für Gaming.

Außerdem stellen Google, Meta und Microsoft sicher, dass, was immer OpenAI, Anthropic, xAI (Grok), etc entwickeln, für OpenAI, Anthropic, xAI, . . . nicht zu großen Profiten führen wird. Diese spezialisierten AI-Firmen werden keine ernsthafte Konkurrenz für das Geschäftsmodell von Meta, Microsoft und Google werden. Das verhindern Google, Meta und Microsoft, indem sie generative AI in ihre eigenen Produkte integrieren und kostenlos anbieten (finanziert durch Werbung). Und bei Microsoft mit seinem Copilot haben die Firmenkunden gar keine Wahl, als zu zahlen. Dh der Markt für die reinen AI-Firmen ist begrenzt, illustriert in der Grafik links.

Das ist so wie beim Goldrausch in Kalifornien vor langer Zeit, den sicheren Gewinn haben jene gemacht, die sich um die Infrastruktur und Versorgung im Goldgräberdorf gekümmert haben: The Gold, the Shovels, and the Switch: Looking Forward at Big Tech’s AI Build-Out.

2. Unsere Abhängigkeit von (US-)Cloud-Anbietern

Bei der Diskussion des Streits um Chatcontrol (automatisiertes Scannen unserer lokalen Dateien auf 'nackte Haut') hatte ich unsere gefährliche Abhängigkeit von (US-)Cloud-Anbietern diskutiert.

Im nun aktuellen Fall hat der Verdacht eines Betrugs mit einer Apple-Guthabenkarte dazu geführt, dass der Betroffene alle Hebel in Bewegung setzen musste, um seine Daten (6TB iCloud-Speicher) und Dienste (zB Email-Zugriff, Apple Entwickler-Account) wieder zurück zu bekommen. Dass der Konzern versucht, Betrügereien zu erkennen ist ja OK (es ging hier um Betrug gegen Apple, nicht gegen den Kunden). Aber nicht OK ist, dass der 'Support' ihm zuerst ausführlich erklärt, dass sie da nichts machen können und damit die gesamten Apple-Geräte des Nutzers (iPhone, iPad, Watch, Macs) quasi wertlos werden. Er verlor den Zugang zu Email, Dateien, etc., das ist nicht OK. Der Vorschlag des Apple-Supports, doch eine neue Apple-ID anzulegen ist auch nicht OK.

Hier der extrem frustrierte Originalton des Betroffenen. Dass er nun wieder Zugriff auf Daten und Dienste hat, liegt vermutlich vor allem daran, dass viele Zeitungen den Fall aufgegriffen haben und er eine gewisse 'Prominenz' in der "Apple-Welt" hat. Wer weiß, wie viele 'reguläre Apple-Nutzer' aus so einer Falle nie wieder rauskommen. Ich berichte über diesen Einzelfall, weil er nur ein Beispiel für die kolossale Abhängigkeit ist, in die wir uns durch die Nutzung der großen zentralen US-Dienste begeben.

Ziemlich dramatisch wurde diese Abhängigkeit durch die US-Sanktionen gegen den Internationalen Strafgerichtshof (IStGH) Ende 2025 demonstriert. Richtern wurde der Zugang zu allen ihren Konten bei US-Anbietern gesperrt, aber auch die Nutzung von US-Kreditkarten, wie VISA oder Mastercard.

Airbus, die ja in heftiger Konkurrenz mit Boeing stehen, ist diese Abhängigkeit auf die Dauer zu gefährlich. Sie wollen mittelfristig ihre ERP-Systeme [wiki] zu europäischen Anbietern transferieren.

Das Thema der digitalen Unabhängigkeit war auch ein großes Thema beim Kongress des Chaos Computer Clubs. Hier der Link zum Thema: Digital Independence Day.

3. Zeit der (Jahres-)Rückblicke

10 Jahre Virtual Reality

Zehn Jahre Virtual Reality. Vor zehn Jahren setzte Virtual Reality zum Sprung in den Massenmarkt an. Bereits 2021 entschloss sich Facebook sogar, seinen Namen in Meta Platforms (siehe Metaverse [wiki]) umzubenennen, weil dies angeblich die große Zukunft im Internet sei und entwickelte seine Virtual Reality [wiki] Platform. Nach dem was ich lese, hat Meta mittlerweile 77 Milliarden US$ in dieses Projekt 'versenkt'.

Der Erfolg ist sehr bescheiden, vielen erscheint das Metaverse als eine modernere Version des 2003 veröffentlichten Second Life [wiki]. Selbst die 'Gamer' blieben erstaunlich konservativ was Virtual Reality betrifft, auch dort hat sie sich nur begrenzt verbreitet. Metas Metaverse-Abteilung steht wohl vor einschneidenden Sparmaßnahmen.

Reisen wird immer digitaler

Der Zwang zum Digitalen begrenzt sich derzeit (noch) auf Vorreiter wie Ryanair, aber der Trend ist ganz klar: Fliegen ohne Smartphone wird immer schwieriger. Laut IATA-Umfrage nutzen immer mehr Passagiere Smartphones für Buchung, Check-in und Zahlung. Auch biometrische Verfahren werden zunehmend akzeptiert. Auch ich selbst nutze lieber die kurze Warteschlange beim digitalen Ausreisecheck als eine lange Schlange ohne Biometrie.

Internet-Traffic 2025

Cloudflare misst 19 Prozent mehr Traffic im Jahr 2025. Google bleibt weiterhin der meistgenutzte Internetdienst (inkl. Youtube). Auf Platz zwei folgen Dienste von Meta. Auf dem dritten Platz landen Apple-Dienste, während Microsoft auf Platz vier steht. Die Crawler [wiki] von Google machen mit Abstand auch den meisten Traffic unter allen Bots im Netz aus. Es sind aber auch andere Crawler im Netz unterwegs. 4,2 Prozent des Gesamtverkehrs ging von KI-Bots aus. OpenAIs Dienste scheinen unter den KI-Produkten am beliebtesten zu sein. Zumindest generiert das Unternehmen den meisten Traffic mit generativer KI. Dem folgen das Claude-Modell von Anthropic, dann Perplexity und Google Gemini. Auch neuere Modelle wie Grok und Deepseek sind in der Liste zu finden. Bei Videostreaming-Diensten liegt Youtube auf Platz eins vor Netflix und Twitch. Dahinter finden sich Disney+, Prime Video und Roku.

Passwort Leaks 2025

Wie jedes Jahr gibt es auch wieder Überblicke über die Passwort-Leaks, dh Passworte, die von 'unsicheren' Websites entwendet wurden. Das ist eine gute Gelegenheit, auch Statistiken zu Passwörtern anzufertigen. Die Website haveibeenpwned.com bietet dankenswerterweise eine Möglichkeit, zu prüfen, ob die eigenen Daten im Netz aufgetaucht sind. Auch meine Daten sind dabei, denn Condé Nast, die Mutterfirma von 'The New Yorker' und 'Wired Magazine' hat sich die Leserdaten abnehmen lassen (zum Glück ohne die Passworte). Die Gen Z ist bei Passwörtern übrigens so schlecht wie 80-Jährige.

Weiter unten ein Beitrag zu Passwort-Managern.

Cyberangriffe 2025

Auch 2025 war kein gutes Jahr für Cybersicherheit: (Automobil-)Konzerne mussten die Produktion stoppen, Handelsketten errechneten dreistellige Millionenschäden, Flughäfen schalteten auf Handbetrieb, Anbieter von Sicherheitslösungen wurden selbst zum Risiko. Quelle des Artikels: Was Firmen aus den Cyberattacken 2025 lernen sollten.

In Großbritannien gab es zwei spektakuläre Ransomware-Fälle: Jaguar Land Rover und Marks and Spencer. Jaguar verlor 196 Millionen Pfund im Quartal und der lange Betriebsstillstand wirkte sich auch drastisch auf die Zuliefererkette aus, die gesamtwirtschaftlichen Folgen in Großbritannien werden auf 1,9 Milliarden Pfund geschätzt. Mein voriger Bericht dazu. Marks and Spencer hatte einen Gewinnrückgang von 300 Millionen Pfund.

Supply Chain Angriffe, dh Angriffe gegen Software-Lieferanten, (hier viele frühere Beispiele) wirken sich meist auf sehr viele Unternehmen aus. So legte ein Angriff auf den Hersteller Collins Aerospace mehrere europäische Flughäfen lahm. Die Software steuert Check-in- und Boarding-Prozesse. Nach dem Angriff mussten Flughäfen wie der BER, sowie Airports in Brüssel und Dublin zeitweise auf manuelle Prozesse umstellen.

Bei Oracle Cloud wurden rund 6 Mio. Datensätze aus Single-Sign-on- und LDAP-Systemen entwendet. Nach Angaben des Angreifers waren dadurch über 140.000 Cloud-Kunden betroffen. Für einen Cloud-Anbieter ist eine so schlechte Mandantentrennung keine gute Empfehlung.

Firewall-Herstellers Sonicwall meldete im September, eine unautorisierte Partei habe auf Konfigurationsbackups der Sonicwall-Firewalls zugegriffen, sämtliche Nutzer des Cloud-backup-Features seien betroffen. Auch solche Fehler sollten vermeidbar sein, ich habe den Eindruck, dass viele große Konzerne an regelmäßigen Pentests [wiki] sparen, mE grob fahrlässig.

In Deutschland wird über Vorfälle, die vor allem auch mittlere und kleinere Unternehmen betreffen, nur begrenzt berichtet. konbriefing.com sammelt seit Jahren Vorfälle in Deutschland und listet für 2025 eine erhebliche Zahl von Angriffen auf Kommunalverwaltungen, Verkehrsunternehmen, Mittelständler und andere Organisationen auf. Denn auch kleinere Unternehmen werden immer öfter Ziel von Ransomware und Erpressung.

Die Bedrohungslage ist breiter, als es die wenigen großen Einzelfälle vermuten lassen, sogar im Gesundheitswesen. Laut einem Überblick zu Ransomware-Angriffen auf Krankenhäuser und Kliniken wurden in den ersten 9 Monaten 2025 weltweit knapp 300 Angriffe auf Einrichtungen des Gesundheitswesens gemeldet. In den USA wurden laut der American Hospital Association mehr als 33 Millionen Patientendatensätze gestohlen.

Die Europäische Kommission ist beunruhigt und hat im Januar 2025 einen Aktionsplan zur Cybersicherheit in Krankenhäusern und bei Gesundheitsdienstleistern vorgestellt. Gesundheitsorganisationen sollen stärker in regulatorische Vorgaben eingebunden werden und die Anforderungen an Backup, Notfallprozesse und Netzwerksegmentierung sollen deutlich steigen - das sind alles wichtige Aspekte der Cyber-Sicherheit.

Auch beim Kongress das Chaos Computer Clubs war IT-Sicherheit ein Thema.

4. Ergänzungen früherer Beiträge

Neujahrs-Bonus in Nordkorea

Das gibt bestimmt einen Neujahrs-Bonus in Nordkorea: North Korea-Linked Hackers Steal $2.02 Billion in 2025, Leading Global Crypto Theft. Das letzte Mal hatte ich im Februar 2025 berichtet, dass die Kryptokriminalität für Nordkorea einen deutlichen Faktor im Staatsbudget darstellt. Auch 2025 war wieder ein gutes Jahr für die Staatshacker.

Insgesamt werden die Verluste der Kryptowährungsnutzer weltweit in 2025 auf 3,4 Milliarden US$ geschätzt, dh Nordkorea dominiert das Geschäft mit Diebstahl von Kryptogeld. Eine andere Schätzung kommt auf 'nur' knapp 2,9 Milliarden Gesamtverluste. Sie bieten auch einen Bericht über alle bekannt gewordenen Krypto-Betrügereien 2025.

Nordkoreanische Home-Office IT-Mitarbeiter

Hier die Fortsetzung des Beitrags vom April 2025 zum Problem der nordkoreanischen IT-Mitarbeiter, die sich als einheimische IT-Experten im Home-Office ausgeben. Diese Mitarbeiter, die in Nordkorea gut bezahlte Positionen haben, sind nicht an dem Gehalt interessiert. Sie versuchen, das jeweilige Firmennetz zu infiltrieren, auszuspionieren, Daten zu stehlen und Ransomware zu platzieren.

Die Sicherheitsabteilung von Amazon versuchte, solche Mitarbeiter in ihrem Netz zu entdecken. Sie haben bei Mitarbeitern im Home-Office die Tastenverzögerung bei Eingaben vermessen und die lag in einem Fall deutlich über den 110 Millisekunden, die bei einer üblichen Remote-Arbeitssituation innerhalb der USA auftreten: Wie Amazon einen nordkoreanischen Undercover-Mitarbeiter enttarnte.

Amazon berichtet von 1800 Bewerbern, die sich letztendlich als Nordkoreaner herausgestellt haben. Zur Verschleierung nutzen die Nordkoreaner umfangreiche "Laptop-Farmen" in den USA, damit keine verräterischen IP-Adressen bei den IT-Firmen aufscheinen. Teilweise werden reale (inaktive) LinkedIn-Konten übernommen, damit die Bewerber einen US-Hintergrund vorspielen können.

Auch für Firmen in Europa ist dies ein Problem, auch dort bewerben sich Menschen aus Nordkorea als IT-Experten (die dann oft wirklich sehr gut arbeiten, da ihre Arbeit teilweise von einem ganzen Team übernommen wird). Firmen, die Remote-Entwickler einsetzen wollen und nicht sehr gründlich vorgehen, holen sich da schnell einen Spion und Erpresser in das interne Netz. Wenn eine Firma ausländische IT-Mitarbeiter einstellen will, die sie nie persönlich kennengelernt haben, so sollte sie streng darauf achten, dass diese in einem separierten Netz - getrennt vom Produktionsnetz - keinen Schaden anrichten können. Jeglicher Code, den sie produzieren, muss auf Hintertüren gecheckt werden.

Hilfestellung bei Selbstmord ist keine freie Meinungsäußerung

Character.AI hatte ja behauptet, dass das Unternehmen für Aussagen ihrer Bots nicht beklagt werden könne, denn auch für den Chatbot würde das Recht auf freie Meinungsäußerung gelten - das wurde von einer US-Bundesrichterin zurückgewiesen. Google und Character.AI zahlen nun bei 7 Klagen wegen Suizidfällen bei Jugendlichen finanzielle Entschädigungen an die Hinterbliebenen. Alle Details im früheren Beitrag.

Pro und Contra staatliches Social Media Verbot

Mein Text zu 'Social Media-Verbot' für Kinder wurde in der vorigen Ausgabe um eine Pro- und Contra-Aufzählung ergänzt.

Auch Macron in Frankreich wünscht ein Social Media-Verbot. Er möchte die Altersgrenze auf unter 15 Jahren setzen. Und Irland, das bald die rotierende EU-Ratspräsidentschaft innehaben wird, plant die Einführung einer EU-Identitätspflicht für Social Media. Damit wird die Diskussion um die Alterskontrolle für Social Media (die Irland bereits eingeführt hat, aber nicht konsequent umsetzen kann) durch eine Klarnamen-Pflicht auch für Erwachsene erweitert.

Leider zeigt sich aber, dass viele Menschen, die Hasspostings absetzen, oft keine Hemmungen haben, das auch mit Klarnamen zu tun. Außerdem kann bei verbotenen Aktivitäten sehr wohl die Identität geklärt werden, auch ohne Klarnamenpflicht für alle. Hier ein alter Artikel von mir zum Thema Klarnamenpflicht (ich weiß nicht, ob man Klarnamenpflicht verhindern kann - auch wenn das keine wirkliche Lösung ist).

Lustig: weitere Experimente mit AI-Agenten

Ein weiterer Versuch, Anthropics KI-Modell Claude für das Organisieren des Getränke-Verkaufs in einer Firmen-Kantine einzusetzen, liefert weitere lustige Ergebnisse.

Transhumanismus und andere bizarre Ideen im Silicon Valley

Im Standard findet sich ein ausführlicher Artikel: Überreiche wollen auch noch ewig leben. Die Tech-Oligarchen aus Sicht eines Volkswirts und Psychotherapeuten: "Mussten antike Helden noch gegen Drachen kämpfen, so genügte früheren Kapitalisten eine exorbitante Vermögensmehrung. Nun suchen Tech-Milliardäre (und Diktatoren in Russland oder China) auch nach Unsterblichkeit."

Ebenfalls im Standard ein Interview mit dem österreichischen Theologen Wolfgang Palaver, der als direkter Kontakt zu Thiel einen tiefen Einblick in die (nach meiner Sicht) abstruse religiöse Gedankenwelt Thiels hat: Antichrist und Apokalypse: Wie sich Peter Thiels Theologie erklären lässt.

Hier mein großer Überblick über die teilweise sehr eigenartigen Ideen der Tech-Brothers: Transhumanismus, Longtermismus, Kosmismus und andere bizarre Ideen.

Dort gibt es jetzt auch einen kurzen Text zum ewigen Leben und einen längeren Text zur 'fixen Idee der Mars-Besiedelung', die Musk und andere Tech-Brothers extrem umtreibt.

Die Flut von AI-Schrott

"AI Slop" [wiki] flutet das Internet, generiert Milliarden von Klicks und spült Millionen in die Kassen anonymer Produzenten: Jedes fünfte YouTube-Video für neue Nutzer ist KI-Schrott. Hier mein voriger Artikel zur Deepfake-Flut.

Bei meinem vorigen Beitrag zu Problemen mit dem "spicy"-Mode von Grok gibt es Ergänzungen zu Nudification fremder Personen.

Passwortmanager

Passwortmanager sind für mich ein essentieller Bestandteil einer sicheren IT-Nutzung. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 10 Passwort-Manager getestet und bei einigen Verbesserungsoptionen bei der Sicherheit gefunden. Aber ihr Fazit ist trotdem: das ist kein Grund, auf Passwortmanager zu verzichten.

Klare Empfehlungen:

Hier mein Artikel zu Passwortmanagern.

5. 39C3, der Kongress des Chaos Computer Clubs in 2025

Wie auch voriges Jahr, fand auch 2025 wieder zwischen Weihnachten und Neujahr der jährliche Kongress des CCC statt. Hier folgen nun einige der Highlights zum Nachlesen oder Nachschauen.

Leicht hackbar: Deutschlandticket-Betrug erreicht dreistellige Millionenhöhe

Für mich eine irgendwie bizarre Geschichte: Es wird ein Deutschland-Ticket eingeführt, das in allen Verkehrsmitteln gilt. Aber der Verkauf der Tickets wird so organisiert, dass jeder kleine Busbetrieb Tickets für alle anderen Verkehrsmittel ausstellen darf. (Zum Vergleich: Das österreich-weite Klimaticket wird zentral für alle Verkehrsbetriebe durch die ÖBB verkauft, die Website scheint professionell gemacht und die Einnahmen werden 'irgendwie' auf die Verkehrsbetriebe umgelegt.)

Ergebnis in Deutschland: Betrug in angeblich 3-stelliger Millionenhöhe. Die Vortragenden haben sich einzelne Verkaufs-Websites angesehen und fanden da zB, dass Webseiten beim Verkauf die eingegebenen IBANs nur auf formale Korrektheit prüfen (dh ob die Prüfsumme korrekt ist [wiki]), aber nicht prüfen, ob zu dieser formal korrekten IBAN auch ein Konto existiert. Eine Woche später fällt der Betrug typischerweise auf, das Ticket wird storniert, aber das Ticket ist längst weiterverkauft. Es ist zwar nun formal ungültig, kann aber überall dort weiter eingesetzt werden, wo Tickets nicht online auf Gültigkeit geprüft werden.

Aber das ist nicht die einzige Betrugsmöglichkeit, die ganzen Details gibt es im Vortrag: All my Deutschlandtickets gone: Fraud at an industrial scale. Auch nachdem die Sicherheitsforscherinnen das Problem gemeldet hatten ist trotzdem noch nichts passiert - anscheinend ist niemand so richtig zuständig.

Hier 2 Artikel: 39C3: Wie Betrüger das Deutschlandticket um Millionen erleichterten und Leicht hackbar: Deutschlandticket-Betrug erreicht dreistellige Millionenhöhe - bizarr.

Deutsche Behördendomains zu kaufen

Noch mal bizarre Bürokratie: Jede neue Regierung nennt diverse Behörden um, so hieß das 'Bundesamt für Migration und Flüchtlinge' (BAMF) bis 2005 'Bundesamt für Anerkennung ausländischer Flüchtlinge' (BAFL). Und aus bafl.de wurde bamf.de - das ist wohl Politik die ich nicht verstehe. Korrekt wäre in solchen Fällen, beide Domains zu behalten und auf die neue Website zu verlinken. Das war wohl zu Beginn auch so, aber für den Weiterbetrieb der alten Domaine ist eigentlich niemand zuständig, sie 'verwaist' und kann von Betrügern übernommen werden.

Dann hat Sicherheitsforscher Tim Philipp Schäfers die Adresse gekauft und wertete für seinen Vortrag die elektronischen Anfragen aus. Er sah tägliche Anfragen von anderen Bundesbehörden, auch Anfragen für aktuelle Software-Versionen - eine sehr gefährliche Situation. Niemand wundert sich da, wenn Behördenrechner mit Schadsoftware infiziert sind und von außen übernommen werden. Auch hier war es nicht einfach, das Problem beheben zu lassen.

Hier zum Vortrag: Verlorene Domains, offene Türen - Was alte Behördendomains verraten und noch ein Artikel: Bundesregierung: Behördendomains als Geheimsache und Schadcodeverteiler.

„Digital Independence Day“

Die Abhängigkeit von den US-Dienstleistern, die derzeit die Anweisungen von Trump exekutieren, siehe die Berichte zu den Account-Sperrungen beim IStGH, beunruhigt nicht nur mich.

Der Chaos Computer Club hat zusammen mit vielen anderen Organisationen zu einem „Digital Independence Day“ aufgerufen. Ziel ist der Wechsel zu Nicht-US Diensten, zB von Whatsapp zu Signal, von Chrome zu Firefox, von X, Bluesky, Grok, Instagram, Tiktok zu Mastodon, von gmail oder hotmail zu einem europäischen Anbieter und von Google als Suchmaschine zB zu Ecosia oder Quant. Oder von Windows auf Linux. An jedem ersten Sonntag eines Monats finden 'Wechselpartys' in den verschiedenen 'Hackerspaces' des CCC, sowie bei weiteren Unterstützern der Initiative statt. Das Ziel ist, auch technisch weniger interessierten Menschen den Umstieg zu erleichtern.

Vorgetragen dazu haben u.a. Marc-Uwe Kling, Autor der „Känguru-Chroniken“ mit Känguru-Rebellion: Digital Independence Day und der kanadisch-britische Autor Cory Doctorow. In seinem Vortrag A post-American, enshittification-resistant internet entwarf Doctorow das Konzept eines „post-amerikanischen Internets“. Doctorow prägte 2022 den Begriff der „Enshittification“ [wiki], der unter anderem beschreibt, dass die Bedingungen für Nutzer in digitalen Plattformen absichtlich immer schlechter gemacht werden, aber es zu umständlich ist, diese zu verlassen. Umständlich ist es auch deshalb, weil ein 'Umzug' von Whatsapp zu Signal voraussetzt, dass die eigenen Kontakte auch umziehen müssten. Hier der letzte meiner vielen Beiträge zu Enshittification.

Doctorow beschreibt, wie die Trump-Regierung die großen Tech-Konzerne unterstützt und wie diese Unterstützung nicht den US-Bürgern generell, sondern nur der extremen Oberschicht zu gute kommt, neues Stichwort ‘K-shaped economy’. Konkret regt Doctorow an, viel öfter den sogenannten Umgehungsschutz (Anti-circumvention) von Programmen und Verfahren auszuhebeln.

Seiner Darstellung nach erfanden die USA diesen Schutz nicht nur, sie können ihn aufgrund ihrer wirtschaftlichen Macht in allen Ländern der Welt durchsetzen, auch in der EU. So schreibt Artikel 6 der überarbeiteten Urheberrechtsrichtlinie von 2001 weiterhin "einen angemessenen Rechtsschutz gegen die Umgehung wirksamer technischer Maßnahmen" vor. Mehr Details in Trump lässt Doctorow von freier Software träumen. Noch ein Artikel: 39C3: „Digital Independence Day“ gegen Tech-Monopole der großen US-amerikanischen und chinesischen Unternehmen.

Hier ein Erfahrungsbericht eines sehr komplexen 'Umzugs': US-Dienste ersetzen: Proton statt US-Cloud.

Wie eine Multiple-Sklerose-Erkrankte die Features ihres Rollstuhls frei schaltete

Wie so ein Knacken von Software-Beschränkungen aussehen kann, wurde im Vortrag Who Needs a 595€ Remote When You Have wheelchair.py? Die Rollstuhlnutzerin "Elfy" mit Multipler-Sklerose hat einen Rollstuhl für 6000€ von der Kasse bekommen, aber zusätzliche Funktionalität, wie zB ein Cruise-Modus mit Wegrollsperre kostet knapp 100€ und ein Upgrade von 6 km/h auf 8,5 km/h weitere 100€. Als IT-Profi hat sie sich die Bezahlschranke angesehen, fand eine Schwachstelle und kann nun mit ihrem Smartphone diese Features nutzen. Die Details des schwachen Sicherheitskonzepts finden sich auch im Artikel Wie eine Multiple-Sklerose-Erkrankte die Paywall ihres Rollstuhls knackte und ihrem Vortrag: Rollstuhl-Security – Wenn ein QR-Code alle Schutzmechanismen aushebelt.

Security Albträume

Mit einer Spur Ironie analysieren 2 Expert:innen den Stand der IT-Sicherheit und enthüllen eine nahe Zukunft, in der Backups zum Leistungssport werden und AI bei Angriff und Verteidigung eine Rolle spielen wird. Ihr Vortrag: Security Nightmares. Der Artikel 39C3: CCC-Hacker fordern Bundesdatensicherungsspiele gegen Ransomware-Albträume bringt eine ausführliche Zusammenfassung der vielen präsentierten Aspekte des Themas.

AI im Krieg

Dies war eine Fortsetzung des Vortrags aus 2024: Der Mythos der „gezielten Tötung”, dieses Jahr mit noch mehr Detailinformationen. Der Einsatz von verschiedenen AI-Systemen durch Israel im Gaza-Konflikt ist gut dokumentiert. Dies geschah mit Hilfe von Whistleblower:innen des israelischen Militärs, Angestellten beteiligter Unternehmen wie Amazon, Google oder Microsoft, sowie internen Dokumenten.

Eingesetzt werden im Gaza-Konflikt 4 AI-Systeme:

Problematisch ist u.a., dass Lavender ziemlich eigenständig (auf Grund eines mit Hilfe von AI bestimmten 'Militant Scores' zwischen 1 und 100) die Entscheidung zur Tötung einer Person trifft und dabei die erwartete Zahl der dabei mitgetöteten Zivilist:innen bereits berücksichtigt (tolleriert werden pro getötete Person mit hohem 'Militant Score' bis zu 100 tote Zivilist:innen). Der Referent sieht durch den Einsatz eines so 'wissenschaftlich' wirkenden Systems die Gefahr einer emotionalen Verlagerung der Entscheidung auf die 'objektive' Software - bei allen Problemen, die AI-Systeme mit sich bringen.

Der diesjährige Vortrag: Programmierte Kriegsverbrechen? Über KI-Systeme im Kriegseinsatz in Gaza.

Auch der britische Guardian hat zum AI-Einsatz im Gaza-Krieg recherchiert: ‘Data is control’: what we learned from a year investigating the Israeli military’s ties to big tech.

AI-generated content in Wikipedia

Mathias Schindler als langjähriger Aktivist der deutschen Wikipedia berichtet über Herausforderungen durch Artikel, die dadurch entstehen, dass Wikipedia-Artikel durch generative AI geschrieben werden. Automatisiert entdeckt hat er solche AI-generierte Beiträge immer dann, wenn im Wiki-Beitrag Buch-Referenz-Quellen genannt werden, die von LLMs 'halluziniert' wurden. Sein Vortrag: AI-generated content in Wikipedia - a tale of caution.

Entdeckt hat Schindler die AI-generierten Texte, wenn die generative AI, die beim Formulieren des Artikels eingesetzt wurde, zur erfundenen Buch-Referenz auch eine ISBN halluziniert hatte. Denn in der ISBN steckt eine Prüfsumme [wiki], und die war meist falsch. Auf diese Weise entdeckte Mathias Schindler viele Wikipedia-Artikel, die entweder komplett AI-generiert sind oder generiert mit Unterstützung durch generative AI.

Falsche Referenzen können aber auch ohne generative AI entstehen, nämlich durch 'circular references': Jemand schreibt einen Wiki-Beitrag über eine fiktive Behauptung. Ein Journalist übernimmt diese Behauptung aus der Wikipedia und schreibt einen Artikel auf der Basis des Wiki-Beitrags. Dieser Zeitungsartikel wird dann nachträglich zum scheinbaren 'Beleg' für die ursprüngliche Behauptung.

Schindler weist darauf hin, dass die Wikipedia eine der Hauptquellen für generative AI ist, und durch solche halluzinierten Artikel 'vergifteten' die AI-Systeme ihre eigene Quelle. Derzeit ist Wikipedia noch sehr oft in der Lage, AI-generierte Artikel zu erkennen, aber vermutlich werden die AI-Systeme besser werden. Dh mehr und mehr solche Artikel werden wohl die Wikipedia 'verschmutzen'. Dahinter kann auch eine 'Agenda' stehen, nämlich der Versuch, durch das Ändern vieler Wikipedia-Artikel 'die Geschichte umzuschreiben'.

Hier noch ein aktueller Artikel zu 25 Jahre Wikipedia und ein etwas älterer mit Kritikpunkten an der Wikipedia.

Die Rolle von AI-Deepfakes in der Propaganda der Rechten

Katharina Nocun spricht über die Bildsprache der Trump-Kommunikation und erklärt, dass Steve Brannons Medienstrategie "Flood the Zone with Shit", nun mit "Flood the Zone with AI-Slop" extrem effizient umgesetzt wird. Auch die kritische Presse fällt auf diese Themenverschiebungen herein und berichtet ausführlich über AI-generierte Trump-Videos statt über die Bürgerproteste. Damit verschiebt sich die Diskussion von der poltischen Thematik zu den AI-Videos.

Diese kommunikativen Tricks werden auch von Rechten, zB der AfD übernommen. AI-generierte Videos werden massenhaft genutzt, um sich über angeblich 'woke' Positionen lustig zu machen und dabei aber implizit ein stramm rechtes Weltbild zu kommunizieren. Oder um mit Fake-Bildern von bedrohlichen Situation rund um das Ausländerthema Angst zu erzeugen und Hass zu generieren. Die AfD arbeitet auch mit AI-generierten Fake-Influencer:innen die konsequent AfD-Positionen vertreten. Als Gesellschaft insgesamt verlieren wir den Unterschied zwischen Fake-News und Realität.

Hier der Vortrag: Wie autoritäre Akteure KI-generierte Inhalte für Social Media nutzen.

Dating für weiße Suprematist:innen

Die 3 Referent:innen berichten über WhiteDate, eine Plattform weißer Suprematist:innen, die sich an Rassist:innen und Antisemit:innen richtet und stramm rechte und rassistische Partner:innen vermitten will. Aber es geht um mehr:

Es geht um 3 Plattformen, die von einer Rechtsextremistin aus Deutschland betrieben werden. Die Betreiberin der Plattformen glaubt an eine Verschwörung gegen die "weiße Rasse", ihr Ziel ist weiße Vorherrschaft und eine „rassisch reine“ weiße Gemeinschaft mit vielen weißen Kindern, die mit traditioneller Rollenteilung erzogen werden.

Die 3 Vortragenden konnten die Plattformen WhiteDate, WhiteChild und WhiteDeal "unterwandern", 3 Plattformen, die von Rechtsextremisten in Deutschland betrieben werden. Diese "Unterwanderung" wurde extrem erleichtert, weil Sicherheit und Datenschutz nicht stark ausgebildet waren.

Die Herkunft der Nutzer ist nicht auf Deutschland beschränkt. Die größte Nutzergruppe ist aus den USA, aber es suchen und finden sich hier "Herrenmenschen" aus vielen Ländern. Hier der Vortrag: Heartbreak Machine: Nazis in the Echo Chamber.

Glückspiel-Sucht und ihre Mechaniken

Die Legalisierung des Online-Glücksspiels in Deutschland im Jahr 2021 und die zunehmende Normalisierung von Glücksspiel und Sportwetten in den Medien haben ein Umfeld geschaffen, in welchem Glücksspielprodukte leichter zugänglich und gesellschaftlich stärker akzeptiert sind als je zuvor. (In Österreich gibt es derzeit für Online-Glücksspiel nur einen legalen Anbieter mit österreichischer Lizenz, nämlich win2day.at. Aber weitere Anbieter (zB aus Malta) sind im Internet leicht zu finden).

Elke Smith, Spezialistin für biologische Psychologie an der Uni Köln beleuchtet, wie moderne Glücksspielprodukte und glücksspielähnliche Spielmechaniken, etwa Lootboxen [wiki] in Computerspielen auch für Kinder, gezielt psychologische und neurobiologische Lernprozesse ausnutzen, um durch längeres Spielen und stärkere Interaktion mehr Umsatz zu generieren. Smith betont, dass Spielsucht meist als individuelles Problem gesehen wird, aber für sie ist es ein gesellschaftliches Problem, mit drastischen Auswirkungen auf Betroffene (oft bis zum Suizid) und ihr Umfeld. (Meine Position: Glückspiel in allen Formen sollte in der ganzen EU verboten werden - die sehr hohen staatlichen Steuereinnahmen sprechen aber wohl dagegen. 😢 Meines Erachtens ist das 'sehr schmutziges Geld.)

Im Fokus des Vortrags stehen dabei die Mechanismen des Verstärkungslernens (Reinforcement Learning [wiki]) und deren Zusammenspiel mit dem dopaminergen Belohnungssystem [wiki]. Es werden Designstrategien vorgestellt, die das Suchtpotenzial von Glücksspielen erhöhen. Der Vortrag will ein wissenschaftlich fundiertes Verständnis dieser Dynamiken vermitteln, Risiken für Individuen und Gesellschaft aufzeigen und die Notwendigkeit von Regulierung und verantwortungsvollem Design diskutieren. Hier der Vortrag: Neuroexploitation by Design: Wie Algorithmen in Glücksspielprodukten sich Wirkweisen des Reinforcement Learnings und dopaminergen Belohnungssystems zunutze machen.

Bei saferinternet.at gibt es Beratungsangebote für Betroffene und Eltern.

Research zu großen Plattformen

EU-Regulierungen (DSGVO, DMA und DSA [alle Links wiki]) verpflichten die großen Internet-Plattformen zu Transparenz bzgl. der Daten, die sie über die Benutzer sammeln. In diesem Vortrag wurden Daten, die auf jeweils unterschiedliche Weise verfügbar sind, miteinander verglichen, um daraus zu lernen, was die großen Plattformen über uns wissen und was sie mit unseren Daten tun.

Ziel der Forschungen ist zB, die Auswirkungen der Plattformen auf das Leben der EU-Bürger und auf unsere Gesellschaft zu untersuchen. Untersucht werden soll zB, ob die oft vermutete Filter Bubble durch die algorithmische Auswahl der Beiträge real ist und ob dies Polarisierung, Radikalisierung und Extremismus bewirkt.

(Anmerkung: Im Dezember hatte ich dazu eine andere Studie gepostet, die Antwort war: JA, ein verstärken der polarisierenden Beiträge polarisierte die Nutzer, eine Reduktion dieser Beiträge reduzierte auch die Polarisierung.)

Die Daten nach dem DSGVO wurden mit Hilfe einer 'Datenspende' von 1064 Dänen gewonnen. Dabei wurden YouTube Histories, YouTube Suchanfragen, YouTube Subscriptions und YouTube Kommentare analysiert. Youtube wurde als Beispiel genutzt - jede Website die persönliche Daten verarbeitet, dh auch Facebook, TikTok, bis hin zu Porn Sites, Zalando, etc. müssen laut EU-Recht diese Daten auf Nutzeranfrage liefern.

Diese Daten, die die Benutzer angefordert hatten, wurden zusammengeführt mit den Daten, die die VLOPs [wiki] (siehe Grafik links) lt DSA Forschern über geeignete APIs zur Verfügung stellen müssen. Dies sind zB Daten über die Moderation, Einstufungen der Beiträge und Relevanz bzgl. Gefährdung Minderjähriger.

Das DMA enthält außerdem (wie auch die DSGVO) die Anforderung, dass eine 'effektive Portabilität' verfügbar sein muss. Das bedeutet, dass Nutzer eines sog. Gatekeeper-Dienstes (siehe Grafik links) ihre Daten in maschinen-lesbarer Form herunterladen müssen, so dass diese Daten (theoretisch) bei einem anderen Dienst eingefügt werden könnnen.

Die gelieferten Daten waren leider oft unvollständig, kryptisch, kaum dokumentiert und erfordern fast archäologische Analyse-Fähigkeiten. Die Daten durch API-Zugriff sind oft unvollständig und/oder falsch. Dh die Rechte, die die EU da für uns erstritten hat sind gut, aber es ist noch viel Spielraum für Verbesserungen. Leider gibt es sowohl in der EU-Führung wie bei den Plattformen starke Strömungen, diese Rechte einzuschränken, siehe den Vortrag zum Digital Omnibus (gleich als nächstes).

Hier der Link zum Vortrag: We, the EU, and 1064 Danes decided to look into YouTube: A story about how the EU gave us a law, 1064 Danes gave us their YouTube histories, and reality gave us a headache. Und hier noch ein Artikel dazu: Wir haben das Recht auf unserer Seite“.

Throwing your rights under the Omnibus

Die Vortragenden Thomas Lohninger von epicenter.works und Ralf Bendrath von der Grünen Fraktion im EU-Parlament berichten, dass die EU-Führung, vor allem die konservative Mehrheit im Parlament, die angeblich 'zu starke Bürokratisierung in der EU' als zentrales Problem unserer Wirtschaft identifiziert hat. Ziel der Konservativen ist die Aufweichung vieler Schutzgesetze die angeblich zu hohem Aufwand in vielen Firmen (vor allem kleineren Firmen) führt. Da geht es zB ganz stark um den Datenschutz, aber auch um die Dokumentationsarbeit die das Lieferkettengesetz bzgl. Einsatz von Kinderarbeit verlangt oder um Verbote von krebserregenden Pflanzenschutzmitteln - all diese Regulierung stören die Konservativen.

Diese Aufweichung soll mit insgesamt 17 sog. Omnibus-Gesetzes-Initiativen umgesetzt werden, eines davon ist der Digital Omnibus. Im Gegensatz zu den konservativen Parteien zeigen Umfragen in der EU, dass eine breite Mehrheit der Bürger der EU sehr wohl für eine konsequente Umsetzung der Schutzgesetze ist, selbst dann, wenn Trump von der EU eine Aufweichung unserer Gesetze erzwingen will.

Einer der kritischen Vorschläge im Omnibus-Paket ist die Schaffung einer neuen Firmengröße "Small Mid-Cap" mit nicht mehr als 749 Angestellten (bzw. evt. sogar bis 1500 Angestellte), für die fast alle Datenschutz-Anforderungen für Firmen dann nicht mehr gelten sollten. Ein Problem dabei: Eine IT-Firma mit 700 Angestellten, die digitale Dienste anbietet und Kundendaten verarbeitet, kann bereits erhebliche Auswirkungen auf die EU-Bürger haben - Whatsapp, als es von Meta gekauft wurde, hatte 55 Angestellte.

Es gibt den Vorschlag einer sehr weitreichenden Aufweichung des Datenschutzes durch Änderung der Definition von 'personal data'. Bisher sind alle Daten geschützt, die direkt oder indirekt mit einer Person verbunden sind, auch pseudonyme Daten [wiki] sind vom Datenschutz betroffen. Diese Änderung könnte zB bedeuten, dass die Daten, die von Datenhändlern über uns gehandelt werden, ohne jeden gesetzlichen Schutz wären. Denn ihre Personen-Verknüpfung wird meist 'nur' über die Advertising ID [wiki] hergestellt. Aber diese Daten sind sehr wohl einer Person zugeordnet. Auch der Handel mit Bewegungsdaten, die zwar keine Personen-ID enthalten, aber sehr sensitive Daten über die Tagesabläufe von Menschen, könnte dann legal werden.

Hier eine weitere geplante Aufweichung: Unternehmen könnten erklären, die Verarbeitung von Personendaten (auch mit Gewinnabsicht) diene der Gewinnung neuer Erkenntnisse und sei deswegen Scientific Research. Firmen könnten die Verarbeitung von Personendaten Scientific Research nennen und hätten damit ein Recht, unsere Persondaten zu verarbeiten. Eine weitere geplante Erleichterung: Training von AI-Systemen soll grundsätzlich als 'Legitimate Interest' frei gegeben werden. Dh ein Widerspruch gegen AI-Training mit meinen Daten wäre nicht mehr möglich.

Auch der AI-Act und die Regeln für Open Data Pflichten für Regierungen und Verwaltungen sollen aufgeweicht werden. Hier geht es zum Vortrag: Throwing your rights under the Omnibus - How the EU's reform agenda threatens to erase a decade of digital rights. Hier mein voriger Artikel zum Digitalen Omnibus.

Mein voriger Beitrag zu diesem Thema: Ein EU-Omnibus versucht, den EU-Datenschutz auszuhöhlen.

Digitale Innereien einer Waschmaschine

Nun wird es erst mal sehr technisch und leicht nostalgisch - es geht um die digitalen Innereien von Haushaltsgeräten - auch recht alten, zB aus den 80iger- oder 90iger-Jahren. Waschmaschinen, Geschirrspüler, Wäschetrockner, Kaffeemaschinen, etc haben ein deutlich komplexeres elektronisch-digitales Innenleben als man denken könnte. Der Vortrag berichtet über die Analyse der 'Innereien' einer Miele Waschmaschine und Spaß mit der Miele 'Diagnostic Utility-Software', bzw. dem 'Optical Interface' das einfacher zugänglich ist. Dies gibt Zugriff auf alle Parameter, durch die sich die unterschiedlichen Programme unterscheiden.

Der Vortrag beginnt mit Sicherheitswarnung bzgl. Hochspannung und anderen potentiell gefährlichen Situationen und erklärt dann recht ausführlich, wie die beiden Vortragenden durch 'trial-and-error' Zugang zu den undokumentierten digitalen Innereien bekommen haben, zB den sog. D-Bus und eine Integration in ein modernes Home-Automation-System. Hier zum Vortrag: Hacking washing machines.

10 Jahre Dieselskandal

Rückblick auf 10 Jahres Dieselskandal bei der deutschen Automobil-Industrie mit Hilfe von Bosch-Motorsteuergeräten (ECU). Das Fazit damals: Bosch sah in iher "Akustikfunktion" verschiedene Modi für die Reduzierung von Stickoxiden vor. Die Elektronik von VW bestimmt dann dynamisch im Betrieb, ob diese Umweltschutz-Funktionen zu aktivieren oder zu de-aktivieren sind. Aktiviert wurde der Umweltschutz, wenn die Software davon ausging, das Fahrzeug sei auf einem Prüfstand. In diesem Jahr nun ein Rückblick im Vortrag: 10 years of Dieselgate.

Ein Artikel zu seinem Vortrag in 2015: Schummelsoftware analysiert: Wie Bosch und VW die Dieselautos manipulierten und hier sein 2015 Vortrag: The exhaust emissions scandal („Dieselgate“).

Agentische KI als "sanfter Putsch"

Signal [wiki]-Chefin Whittaker warnt vor dem Einsatz agentischer KI-Anwendungen durch Tools (wie Microsoft Recall [wiki]) in Betriebssystemen. Zukünftige KI-Agenten, die eigenständig Aufgaben im Auftrag des Nutzers übernehmen, funktionieren nämlich nur, wenn sie möglichst viele Kontextinformationen zur Verfügung haben, zB durch Zugriff auf E-Mails, Chats und Dateien. Ziel ist, dadurch ein "kontextuelles Bewusstsein" für den jeweiligen Nutzer zu erlangen.

Agentenbasierte AI-Systeme senden Daten über den jeweiligen Nutzer an das AI-Modell. Der AI-Agent soll dann in der Lage sein, eine Aktion auszuführen, möglicherweise ohne Rückfrage an den Nutzer und mit realen Konsequenzen. Das könnte der Aufruf einer API-Programmschnittstelle [wiki] sein, das Senden von Daten an einen entfernten Server oder das Ändern von Datenbankeinträgen - letztendlich werden in der realen Welt Aktivitäten gesetzt.

Signal-Chefin Whittaker ist sehr beunruhigt. Die hohe Vertraulichkeit, die sich Signal für ihren Instant-Messaging-Dienst als Ziel gesetzt hat, würde durch automatische Screenshots ausgehebelt. Die Integration von Funktionen wie agentenbasierten KI-Systemen werde daher die Beziehung zwischen Anwendungen, Nutzern und dem Betriebssystem grundlegend verändern. Hier eine Zusammenfassung: Agentische KI als "sanfter Putsch" und hier der Vortrag selbst: AI Agent, AI Spy. Und hier zu meinem vorigen Artikel zu AI Agenten.

Sicherheitslücken in Xplora-Kinder-Smartwatches erlauben Zugriff auf alle Geräte

Die Zielgruppe der Xplora-Smartwatches sind Eltern, die wissen wollen wo ihr Kind sich gerade aufhält und mit dem Kind kommunizieren. (Über die Problematik solcher Kinder-Überwachung habe ich an anderer Stelle ausführlicher geschrieben).

In diesem Vortrag geht es um eine spezielle ziemlich weit verbreitete Smartphone von dem norwegischen Anbieter Xplora die mit europäischem Datenschutz werben und sich damit von Apple abgrenzen wollen.

Die Forscher konnten die Uhr in Android-Debug-Modus bringen und dann zeigen, dass die Überwachung und die Kommunikation mit den Kindern auf Grund erheblicher Sicherheitslücken nicht auf die Eltern beschränkt ist. Sie konnten fremde Nachrichten mitlesen, Standorte sehen, aber auch fälschen und beliebige Uhren übernehmen – demonstriert aus der Perspektive einer kinderfressenden Waldhexe, die Kinder in den Wald lockt.

NVIDIA bootchain breaks Tesla Autopilot-chip

Sehr technisch: Die Vortragende wollte eigentlich nur die Hardware-Sicherheitsfunktionen eines älteren Nvidia-Chips Tegra X2 (ein SoC [wiki]) austricksen um das Virtual-Reality-Headset [wiki] Magic Leap One [wiki] eines Freundes vor der De-Aktivierung durch den Hersteller zu bewahren. Nach einigen komplexen Aktivitäten konnte sie damit auch Teslas Autopilot Hardware übernehmen.

Hier ein Artikel zu diesem Vortrag: Nvidia Tegra X2: Hack bringt eigene Software auf alte Tesla-Autopilots und hier der Vortrag selbst: Making the Magic Leap past NVIDIA's secure bootchain and breaking some Tesla Autopilots along the way.

Satellitenunabhängiges Navigationssystem R-Mode

DLR-Forscher haben angesichts von russischen GPS-Störsendern in der Ostsee wie dem Baltic Jammer eine GPS-Alternative entwickelt, die ohne Satelliten auskommt und damit weniger anfällig gegen Störungen von Außen ist. Sie soll im Lauf von 2026 Fahrt aufnehmen wird. Die Details gibt es im Vortrag: Who cares about the Baltic Jammer?. Eine Zusammenfassung findet sich in 39C3: Satellitenunabhängiges Navigationssystem R-Mode soll Ende 2026 starten.

US-Direkt-Zugriff auf europäische Polizeidaten und Biometrie

Die USA fordern im Rahmen des Visa Waiver-Programs [wiki] direkten Zugriff auf europäische Polizeidaten. Das Visa Waiver-Programm der US-Regierung erlaubt es seit 1986 EU-Bürgern (und Bürgern einiger anderer Staaten), statt ein Visum zu beantragen, einen digitalen Antrag auf Einreise zu stellen, dabei Daten zu hinterlassen und dann ohne Visum einzureisen.

Die US-Regierung möchte nun dafür den direkten Zugriff auf europäische Polizei-Datenbanken. Bisher müssen die US-Behörden einen Antrag bzgl. jeder einzelnen zu prüfenden Person stellen. Die neue Forderung ist weitreichend, einen solchen direkten Zugriff gibt es nicht einmal zwischen den EU-Staaten. Betroffen wären nicht nur Reisende, sondern alle Personen, deren Daten bei den Grenzpolizei-Behörden der EU vorliegen. Die EU wird der Forderung wohl zustimmen.

Hier gehts zum Vortrag: Enhanced Border Security Partnership" (EBSP) und hier zu 2 Artikeln zum Thema: Die USA fordern im Rahmen des Visa Waiver Programms direkten Zugriff auf europäische Polizeidaten und USA wollen Zugriff auf Millionen europäischer Polizeidaten.

Digitale Barrierefreiheit

Um den weiten Bereich der Möglichkeiten digitaler Inklusion zu zeigen wird im Vortrag zuerst Kathrin Klapper vorgestellt, die in ihrem Alltag einen Sprachcomputer mit Augensteuerung zum Sprechen nutzt.

Danach geht es um Mechanismen, die digitale Inklusion verhindern - sowohl theoretisch als auch praktisch. Digital Divide bedeutet, dass Menschen auf Grund unterschiedlicher Gründe unterschiedlich gut in die digitale Welt und damit auch die 'reale Welt' eingebunden sind. Dabei können die 4 Parameter unterschieden werden: Wahrnehmbarkeit (Kontrast, Abhängigkeit vom Farbensehen, etc.), Bedienbarkeit (Unterstützung anderer Eingabe- und Steuerungsgeräte, bis zu Augensteuerung), Verständlichkeit (einfache Sprache [wiki]) und Robustheit (werden assistive Technologien durch die jeweilige Software unterstützt). Kathrin Klapper demonstriert, wie sie mit Hilfe der Augensteuerung in Alltag, Freizeit und Beruf effektiv kommunizieren kann.

Dann geht es um die (eigentlich) gesetzlich verpflichtende Barrierefreiheit im Internet. Im Vortrag wird gezeigt, wie die Verantwortlichen für eine Website sich mit Hilfe des Wave-Tools die kritischen Punkte einer Website zeigen lassen können. Dh., der Einstieg in die Gestaltung von barrierefreien Inhalten ist gar nicht so schwer und es lohnt sich, einfach mal anzufangen.

Hier mein Text zum European Accessability Act (EAA), der vorschreibt, dass Websites ab 28. Juni 2025 barrierefrei sein müssten und welche Hilfen es gibt. Hier zum Vortrag: Digitale Inklusion: Wie wir digitale Barrierefreiheit für alle erreichen können.

Blackbox Palantir

Über die Problematik der Software von Palantir habe ich bereits früher berichtet. Das US-Unternehmen ist hochumstritten, auch in Deutschland im Einsatz und seit einigen Gesetzesinitiativen wieder umkämpft. Gründe sind die intransparenten Analysemethoden, die Zusammenarbeit mit autoritären Staaten und die Nähe zur US-Regierung, zB bei den Abschiebungen.

Im Vortrag geht es um den Einsatz von Palantir in Deutschland. Der generische Begriff für die Funktionalitäten der Software von Palantir ist 'automatisierte Datenanalyse'. Es geht darum, dass verschiedene Datenbanken miteinander verknüpft werden und die Software soll aus diesen Verknüpfungen neue Erkenntnisse zu gewinnen. „Das ist mehr als eine Datenabgleich-Möglichkeit, es geht um komplexe Predicted-Policing - beziehungsweise Voraussage- und Analysesysteme". Die Nachvollziehbarkeit der Ergebnisse gehe dabei verloren: „Dann stellt sich am Ende die Frage: wie ist der Computer jetzt zu dem Ergebnis gekommen, dass da eine Verbindung besteht oder dass die Person gefährlich sein könnte?

In den Datenbanken der Polizei finden sich aber auch Nicht-Kriminelle, zB Personen die Opfer einer Straftat waren oder eine Straftat gemeldet haben. Auch Menschen, die in einer Funkzellenabfrage (IMSI-Catcher [wiki] ) automatisiert erfasst wurden, können sich da finden. Dies kann problematisch sein, falls in einem solchen automatisierten Tool falsche Schlüsse gezogen werden - möglicherweise auf Grund von (impliziten) Vorurteilen (zB Migrationshintergrund) oder weil sie beruflich Kontakt mit Straftätern haben.

Die Software Gotham [wiki] wird in Deutschland durch einige Länder-Polizeibehörden eingesetzt (NRW, Bayern, Hessen, Baden-Württemberg, in anderen Bundesländern ist der Einsatz in Planung - ebenfalls geplant ist ein bundesweiter Einsatz, trotz des einschränkenden Urteils des Bundesverfassungsgerichts). Durch den Einsatz der Palantir-Software begeben sich die deutschen Behörden in eine weitgehende Abhängigkeit von einem sehr regierungsnahen US-Unternehmens, ein späterer Ausstieg wäre extrem komplex und teuer.

Das US-Unternehmen Palantir ist ua wegen seinem Einsatz bei den Deportationen in den USA hochumstritten und der Einsatz ihrer Software auch in Deutschland seit einigen Gesetzesinitiativen wieder umkämpft. Knackpunkte sind die intransparenten Analysemethoden, die Zusammenarbeit mit autoritären Staaten und die Nähe zur US-Regierung. Hier zum Vortrag: Blackbox Palantir. Der folgende Artikel fasst den Vortrag zusammen: 39C3: Es gibt keine Zahlen zur Wirksamkeit von Palantir.

Der nun folgende Artikel untersucht die zentrale Position der Firma Palantir: Palantir und die unsichtbare Macht der Daten: Die Softwarefirma Palantir gleicht einem US-Monopol der Datenverarbeitung und hat bereits so manche Fäden der Weltpolitik in der Hand. Hier ein Artikel über den Einsatz in Bayern: Bayerische Polizei setzt Palantir-Software auch bei Kleindelikten ein. Genau das hatte das Bundesverfassungsgericht verboten: Die Software ist sehr einschneidend und darf daher nur bei schweren Straftaten und unter strengen Voraussetzungen eingesetzt werden (die Details werden im oben verlinkten Vortrag erklärt).

Jetzt wird es technisch: Machtzentrale Palantir – eine Software lenkt Organisationen. Dieser Artikel untersucht und beschreibt ausführlich und technisch, woraus die Kern-Technologie von Palantir besteht und wie die Datenstrukturen aufgebaut werden.

Drohnenkrieg

Der Vertrag berichtet über die Geschichte und neue Perspektiven des Drohnenkriegs, die sich auf Grund der weltpolitischen Situation ergeben haben: Current Drone Wars.

Chatkontrolle

Der Wunsch der Behörden, unsere Kommunikation zu überwachen, ist leider ein bereits oft erwähntes Thema, es geht um Chat Control. Denn immer wieder versuchen sich Politiker an einem Vorhaben namens Chatkontrolle. Ein Thema, das seit vielen Jahren in der EU beschäftigt. Es geht dabei (primär) um die Bekämpfung von Darstellungen, die sexuelle Gewalt an Kindern zeigen (sog. CSAM - child sexual abuse material [wiki]) durch eine automatisierte Überwachung der Benutzergeräte, aber Wünsche vom Einsatz einer solchen Überwachungsmöglichkeit für andere Bereiche werden von Innenministern in der EU immer wieder geäußert.

Da dies ein Eingriff in die Privatsphäre darstellt, ist diese Initiative (zum Glück) sehr umstritten und konnte bisher verhindert werden, auch wenn immer wieder Anläufe unternommen werden und eine starke Lobby, speziell aus den USA, darauf drängt.

Nicht ganz ernsthaft verleihen die beiden Vortragenden Ehrenpreise zB für die skandalöseste Werbung, die dreistesten Lügen, den schnellsten Lobbytermin und die beste Lobbyfinanzierung.

Markus Reuter und khaleesi führen durch den Gesetzgebungsprozess der EU und die bewegte Geschichte der Chatkontrolle in den letzten Jahren. Ihr Resumé: Chatkontrolle ist ein Zombie, aber noch lange nicht tot. Hier der Vortrag: Chatkontrolle - Ctrl+Alt+Delete.

Der Schutz der Kinder

Kate Sim berichtet über die 'andere Seite' des Missbrauchs. Sie arbeitet seit 15 Jahren an der Verhinderung von sexueller (Online-)Gewalt. Sie beginnt mit einem Überblick über die weltweiten gesetzlichen Akltivitäten zum Schutz von Kindern und anderen. Dabei fällt ihr auf, dass der Schutz der Kinder oft sehr breit definiert ist, aber anderseits auf Online-Aktivitäten begrenzt wird. Dh der intendierte Schutz konzentriert sich immer auf das Entdecken von schädlichen Inhalten (vor allem Bildern, aber manchmal auch Grooming-Chats [wiki]) und deren Entfernung aus dem Netz. Das geht nicht ohne erweiterte Datensammlungen über Internet-Aktivitäten aller Menschen, mit dem damit verbundenen False-Positive Problem.

Kate Sim betont, dass 90% der Fälle nicht Online, sondern im direkten Umfeld des Kindes passieren und in zwei Drittel der Fälle sind es Verwandte mit durchschnittlich 6 Jahren Altersunterschied. Die Fälle im direkten Umfeld passieren typischerweise nicht nur einmal, sondern öfters - oft mit dauernden Schäden für die betroffene Person. Typischerweise werden diese Übergriffe erst sehr viel später einem Erwachsenen berichtet, 66% der Fälle werden nie weiterberichtet. 44% der Täter sind unter 18 Jahre und 68% sind dem Kind persönlich bekannt. Oft fließt auch Geld zwischen Täter und Kind.

Kate Sim berichtet über die Zahlen rund um die US-Aktivitäten gegen Online-CSAM-Aktivitäten. Von der großen Zahl der berichteten CSAM-Bilder (36 Mio Meldungen) bleiben letztendlich 63 000 (dh 0,18%), die reale kriminelle Aktivitäten betrafen. Dh 99% der Meldungen sind 'false positives'.

Kate Sim berichtet über das umfangreiche (kommerzielle) digitale Ökosystem, das rund um Meldungen von CSAM-Material entstanden ist und sich auf child sexual abuse material konzentriert, statt auf child sexual abuse. Denn es gibt neben dem kommerziellen Ökosystem für die Entdeckung und Meldung von Material ein unabhängiges und typischerweise unter-finanziertes Ökosystem, das sich um die Opfer kümmert, zB Helplines und Betreuungsangebote für Opfer. Eine Vermischung der Systeme kann zu Nachteilen für die Opfer führen. Sie berichtet, dass Meldungen an Stellen, die ihrerseits Reporting-Pflichten haben die Lage für die Opfer verschlimmern kann (das betrifft Opfer und auch Täter, die Hilfe suchen).

Ihre Forderung ist, das Hilfe-Ökosystem zu stärken statt sich auf die Entdeckung der Eisbergspitze im Internet zu konzentrieren. Hier ihr Vortrag: Not an Impasse: Child Safety, Privacy, and Healing Together.

Spyware in Europe

Dieser Vortrag berichtet über den Versuch eines spanischen Anwalts, gegen seine Überwachung mit Hilfe der Pegasus-Software vorzugehen.

Bereits 2023 hatte das EU-Parlament versucht, gegen den Einsatz von Spyware gegen europäische Bürger (und durch europäische Regierungen) vorzugehen. Aber statt den Einsatz zu verhindern, gibt es sogar finanzielle Unterstützung für Firmen, die in der EU Spyware programmieren. Hier der Vortrag: Suing spyware in Europe: news from the front!

Light in the Dark(net)

Auch diesmal gab es wieder einen Vortrag zum TOR-Netzwerk: Light in the Dark(net). Der Vortrag beleuchtet die verschiedenen widersprüchlichen Statistiken zur TOR-Nutzung und die Gründe für die Widersprüche. Sein Resumé: was immer ein Zuschauer an Vorurteilen bzgl. Sinn oder Unsinn von TOR hat, er:sie findet dafür Belege in den Statistiken.

Für alle, denen dieses Video zum Darknet zu lang ist, hier ein 10 Minuten Kurzvideo von heise.de: Warum das Darknet nicht nur für Kriminelle ist (und für alle die lieber lesen gibt es auch das Transkript).

Breaching the Great Firewall of China

Es gibt eine censorship measurement community, die experimentell versucht, herauszufinden, was hinter der Zensur-Maschine erlaubt ist und was nicht. In diesem Fall geht es um die chinesische Great Firewall. Die Forscher fanden dabei eine Verwundbarkeit im System, die genutzt werden konnte um auf eine große Menge interner Daten zuzugreifen. Der Vortrag: Tale of Two Leaks: How Hackers Breached the Great Firewall of China.

Navigation mit Sextant früher und heute

Trammell Hudson beginnt mit einer Einführung in die historischen Versuche der Navigation auf Meeren, erklärt Konzepte von Sonnenuhren, erklärt alte und moderne Sextanten und erklärt die grundlegenden Konzepte ihrer Nutzung. Hier der Vortrag: Celestial navigation with very little math.

Generative KI und Gasindustrie als bedrohliche Allianz

Der Hype um generative KI liefert der Gasindustrie die perfekte Begründung für den Ausbau fossiler Infrastruktur - mitten in der eskalierenden Klimakrise: Tech- und Fossilkonzerne investieren massiv in neue Gaskraftwerke für energiehungrige Rechenzentren, denn das sind die einzigen, die ohne langjährige Genehmigungen an das Netz gehen können. Hier der Vortrag: Fossile Industrie liebt KI.

Informationsfreiheit in Österreich

Markus (fin) Hametner und Erwin Ernst "eest9" Steinhammer berichten, dass Österreich nun nach 11 Jahren Kampf endlich ein Informationsfreiheitsgesetz bekommen hat. Sie vergleichen das österreichische IFG mit dem deutschen, zeigen, wofür uns die Nachbarländer beneiden werden und wofür sich Bayern besonders schämen sollte. Hier der Vortrag: Amtsgeheimnis raus, Datenhalde rein.

Machines of Loving Grace

Ein zentrales Thema für Katika Kühnreich ist die sehr menschliche Fähigkeit, Geschichten zu erzählen und Geschichten zu glauben. Es sind Geschichten, die unser Selbstbild als Menschen bestimmen, die Regeln des menschlichen Zusammenlebens und unser Verhältnis zur Natur in allen Ausprägungen.

Ideologien nutzen diese Affinität zu Geschichten. Der gemeinsame Glaube an eine spezifische Geschichte erzeugt einen Gruppenzusammenhang, der positiv empfunden wird. Als spezifische Geschichte greift sie den Beginn des Faschismus heraus, der mit dem Futurist Manifesto von Marinetti [wiki], 1909, begann [übrigens ein sehr schlimmer Text, siehe der Wikipedia-Link]. Von dort schlägt sie den Bogen zu Kybernetik [wiki], den Ideen von 'denkenden Maschinen' (Maschinendämmerung) und den Ideen von Elon Musk, Sam Altman und anderen “Tech Bros”, die mit Konzepten und Geschichten von "künstlicher Intelligenz" Menschen beeinflussen und kontrollieren möchten. Siehe weiter oben: Transhumanismus und andere bizarre Ideen im Silicon Valley.

Hier der Vortrag: All Sorted by Machines of Loving Grace? "AI", Cybernetics, and Fascism and how to Intervene. Katika Kühnreich ist als Sinologin auch Spezialistin für die Social Credit Systeme in China.

Coding Dissent: „Kunst allein reicht nicht aus“

Künstlerin und Hackerin Helena Nikonole hat Kameras in Russland gehackt und und über deren Lautsprecher ein Manifest gegen den russischen Angriffskrieg in der Ukraine verbreitet. Sie ist Medienkünstlerin, unabhängige Kuratorin und Doktorandin an der Universität für angewandte Kunst Wien, wo sie zu grossen Sprachmodellen und politischen Ideologien forscht. Auf dem Congress hat sie ihre Arbeiten an der Schnittstelle von Kunst, Aktivismus und Technologie vorgestellt. Hier ein Interview mit Helena Nikonol: „Kunst allein reicht nicht aus“. Und hier ihr Vortrag beim Kongress: Coding Dissent: Art, Technology, and Tactical Media.

Computer Vision in der Kunst

Machine Vision (dh die Verarbeitung visuell Inputs) liegt für Thomas Knüsel irgendwo an der Schnittstelle zwischen Machine Learning und Deep Learning. Er sieht die Anfänge von Machine Vision bereits ca. 1958 mit frühen algorithmischen Ansätzen - bereits 1974 gab es dann Buchstaben-Erkennung, OCR (Optical Character Recognition [wiki]) bis zu den heutigen Anwendungen mit neuronalen Netzen.

Und dann kommt Thomas Knüsel sehr schnell zu seinem eigentlichen Thema: Dem Einsatz von maschinellem Sehen für künstlerische Werke. Hier der Vortrag: Machine Vision - Vom Algorithmus zum Baumpilz im digitalen Metabolismus.

Algorithmic Art

Auch der nächste Vortrag beschäftigt sich mit der Geschichte von Computer-Kunst. Enna Gerhard and Frieder Nake beginnen im Jahr 1965 mit sehr frühen Ausstellungen in D und den USA zu computer-generierter Kunst, bzw. algorithmischer Kunst. Die beiden steigen ziemlich tief in den frühen Beginn der algorithmischen Kunst / Computer Kunst ein. Ein nächster Schritt, den die beiden diskutieren, sind computer-generierte Autopoems. In den 80iger Jahren wurden dann auch graphische Bildschirme für künstlerische Arbeiten eingesetzt.

Hier der Vortrag: 1965 + 60 Years of Algorithmic Art with Computers.

. . . und der Rest der Vorträge?

Das ist nur ein kleiner Ausschnitt der Vorträge vom Kongress in 2025, die vollständige Liste gibt es auf media.ccc.de.