233. Newsletter - sicherheitskultur.at - 24.01.2026

von Philipp Schaumann

Letzte Ergänzungen 25.01.2026

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

1. US-Sanktionen gegen Europäer

Ich hatte im vorigen Newsletter von der europäischen Abhängigkeit von den US-Dienstleistern geschrieben und dabei auch speziell den IStGH-Vorfall erwähnt.

Die Möglichkeit, Menschen von US-Diensten auszuschließen, hat eine juristische Grundlage, die bereits unter Präsident Obama geschaffen wurde, aber für einen anderen Zielkreis. Es ging damals um das Sperren von Personen, denen Menschenrechtsverletzungen vorgeworfen werden. Die Rechtsgrundlage ist der sog. Magnitsky Act [wiki]. Das Gesetz sollte ursprünglich russische Beamte bestrafen, die für den Tod des russischen Steuerberaters Sergei Magnitski verantwortlich waren. Magnitski starb 2009 in einem Moskauer Gefängnis. Durch das Gesetz wurde die US-Regierung ermächtigt, weltweit alle Menschenrechtsverletzer persönlich zu bestrafen, zB ihr Vermögen einzufrieren.

Dieses Gesetz wurde dann auch von anderen Ländern übernommen: Estland,Litauen, Lettland, UK, Kanada, Australien, Kosovo, ... Das EU-Parlament verabschiedete im März 2019 eine Resolution, die damals 28 Mitgliedstaaten aufzufordern, ähnliche Gesetze wie den Magnitsky Act zu erlassen - gegen Menschen oder Organisationen, die für schwere Menschenrechtsverletzungen verantwortlich zeichnen. Hier eine veraltete Liste von betroffenen Personen [wiki].

Trump wendet dieses Gesetz nun auch gegen Europäer wie die Mitglieder des IStGH an. Auch vielen EU-Politikern hat er damit gedroht, falls weiterhin EU-Plattform-Regulierungen wie DMA, DMA und DSGVO gegen US-Unternehmen angewendet werden.

Andere konkrete Drohungen gibt es derzeit gegen Großbritannien: US State Department threatens UK over probe into Elon Musk’s X. Jegliches Vorgehen gegen das skandalöse Verhalten von Grok / X will die US-Regierung nicht tolerieren: ". . . “I would say from America's perspective ... nothing is off the table when it comes to free speech”.

Journalist Dave Keating hat über das Gesetz und seine Auswirkungen auf Europa ein ganzes Buch geschrieben: Dave Keating: The Owned Continent. Zu dem Buch hat er auch eine ausführliche Zusammenfassung geschrieben: The US can destroy a European's life with the swipe of a pen. Von diesem Artikel gibt es wiederum eine kurze deutsche Zusammenfassung: Kein Geld, kein Mail, kein Netflix: So können die USA auch Ihr Leben löschen.

Nach diesem Gesetz können gesperrt werden:

  • - alle Dienste von US-Firmen
  • - US-Kreditkarten, zB Visa / Mastercard / Amex
  • - US-Online-Dienste wie Amazon, Google, Apple, Meta, Microsoft, OpenAI, Netflix, etc.
  • - US-Banken

    • Nicht-US-Banken sind ein Spezialfall: Auf diese kann die US-Regierung mit der Office of Foreign Assets Control-Behörde (OFAC) [wiki] und dem Foreign Account Tax Compliance Act (FATCA) [wiki] Druck ausüben, möglicherweise in Richtung Kontosperrung. Denn die OFAC-Behörde kann Banken in Europa vom US-Devisenmarkt aussperren, was nur wenige Banken riskieren können. Ein bequemer digitaler Euro könnte, wenn gut implementiert, eine Möglichkeit der europäischen Emanzipation sein.

     

    2. Rekord-Betrügereien in 2025

    Für 2025 wird ein weiterer Anstieg der Deepfake-Videos [wiki] mit Prominenten (wie Alexander v.d.Bellen) und betrügerischen "Anlagetipps" in WhatsApp- und Telegram-Gruppen berichtet. Alle Betrügereien rund um angeblich 'geniale' Invstment-Strategien auf den betrügerischen Krypto-Handelsseiten führen letztendlich zum Totalverlust, auch wenn sie eine zeitlang angebliche tolle Gewinne anzeigen (und manchmal sogar erlauben, einen Teil der 'angeblichen Gewinne' auszuzahlen). Etwas weiter unten geht es zu den Tätern dieser Betrügereien.

    Der Falter berichtet darüber, wie es den Opfern der Betrügereien ergeht (die oft ihr gesamtes Vermögen verlieren), wenn sie versuchen, die Polizei auf den Betrug aufmerksam zu machen: Der 120-Millionen-Betrug (in Österreich allein), für den sich niemand zuständig fühlt (zu lesen mit Falter-Probe-Abo). Das Problem: Oft nimmt die Staatsanwaltschaft nicht einmal Ermittlungen auf, der Oberste Gerichtshof in Ö versucht nun, Druck auf die Ermittlungsbehörden auszuüben. Außerdem gibt es einen ausführlichen Podcast (6 Folgen) des Investigativ-Teams von rbb | NDR | Undone: „Legion: House of Scam“

    Nun zu einem anderen Typ von Betrugs-Angriffen: Derzeit boomen falsche Anrufe, zB angeblich von der Polizei oder einer Bank, oft mit angeblich dramatischen Ereignissen (ein Unfall einer nahen Verwandten oder fälschlich abgebuchte hohe Beträge). Diese Anrufe erzeugen ganz gezielt Stress und Panik, der Artikel Warum wir am Telefon leichter getäuscht werden, als wir glauben beleuchtet psychologische Hintergründe. Auch in meinem persönlichen Umfeld wurde mir von solchen Anrufen berichtet, ich selbst habe mehrere Anrufe aus dem Ausland gar nicht erst angenommen. Die vielen (oft gut gemachten) Phishing-Emails registriere ich kaum noch. Watchlist-internet.at bringt ständig aktuelle Warnungen, auch per Email, wenn man möchte.

    Ergänzung:
    Die erfahrene Standard-Journalistin Birgit Wittstock erzählt, wie sie selbst durch eine Verkettung unglücklicher Umstände beinahe ein finanzielles Desaster erlebt hätte: Phishing-Angriff: Eine kleine Geschichte des großen Betrugs. Ende Dezember wurden ihr in Bangkok Smartphone, Debit-, Kreditkarte und Ausweis gestohlen. Wieder zu Hause bekommt sie von ihrer Bank eine neue Debitkarte, aber das Login zu ihrem Bankkonto mit dem neuen Smartphone klappt nicht, sie ist in engem Kontakt mit dem Bank-Helpdesk, aber ohne Erfolg.

    Dann meldet sich eine (falsche) Bankmitarbeiterin, die ihr berichtet, dass von ihrem Konto Geld in die Ukraine überwiesen werden solle - Panik. "Haben Sie in den vergangenen Tagen verdächtige E-Mails oder SMS erhalten?" - Ja, da war was. Dann kommt der Trick der Betrüger: die Aufforderung, die Software "Anydesk" zu installieren um zu prüfen, ob ihr Laptop infiziert sei. Über diese Software bekommen die Betrüger nun Zugriff auf ihren Laptop. Dann merkt sie, dass sie reingelegt wird, sperrt über die (korrekte) 24-Stunden-Hotline ihr Konto, deinstalliert Anydesk, ändert später wieder alle Passwörter. Letztendlich hat sie Glück gehabt: die Betrüger hätten eigentlich genug Zeit gehabt ihr Konto vollständig zu plündern, aber aus unbekannten Gründen sind die Überweisungen der Betrüger gescheitert, sie hat kein Geld verloren.

    Was hätte Frau Wittstock tun sollen, als die (falsche) Bankmitarbeiterin anrief? Danke sagen, auflegen und dann die Hotline-Nummer der Bank anrufen, die im Internet zu finden ist. Aber die Betrüger hatten ihr für Rückrufe bereits ein falsche Hotline-Nummer genannt, die sie dann anrief.

    Erinnerung an einen wilden Online-Hack aus 2012:
    Hier noch der Link zu einer ausführlich dokumentierten Geschichte aus 2012, die einem technik-vertrauten Redakteur der Technik-Zeitschrift Wired passiert ist. Der Angreifer stiehlt dem Redakteur die Kontrolle über seine wichtigsten Online-Accounts (Amazon, Apple, Gmail, ...) und so gut wie alle seine Daten, auch die auf seinen Apple-Geräten zu Hause. Der Redakteur selbst hatte gar keinen (aktiven) Fehler gemacht hat - diese Angriff hätte er aber mit 2-Faktor-Authentisierung [wiki] verhindern können - was speziell für Email-Accounts sehr zu empfehlen ist). Der Artikel ist sehr ausführlich und an seinem Ende habe ich dann noch Infos zu 'Datenwiederherstellung' und andere Hintergrund-Infos verlinkt. Der Angriff zeigt 'optimal' wie der Verlust eines Accounts über 'Passwort-Rücksetzungen' zu einer ganzen Kette von Account-Verlusten führen kann.

    Nun zu einem anderen Betrugstyp: Eine Untersuchung zeigt über 27.000 Werbeanzeigen bei der Google-Suche als Köder für Abo-Fallen. Unter einer Abofalle [wiki] versteht man eine Geschäftspraktik, bei der ein Kunde bei einem vermeintlich kostenlosen Angebot unbeabsichtigt ein kostenpflichtiges Abonnement abschließt. Nach Schätzungen von Verbraucherzentralen in D. geraten monatlich 20.000 Nutzer in derartige Abofallen. Die Firmen machen es dann extrem schwer, dieses 'falsche Abo' zuk kündigen. Bei der Kündigung helfen kann aber zB ombudsstelle.at oder eine der Verbraucherschutz-Organisationen. Ich erwarte von Google, dass sie bei ihren Werbekunden mehr Prüfungen auf Seriosität durchführen. Listen von unseriösen Anbietern gibt es vom Verbraucherschutz in den jeweiligen Ländern.

     

    Die Täter der Betrügereien: Lager mit Zwangsarbeitern

    Bereits im vorigen Januar berichtete ich über die über die Welt verteilten Zwangsarbeitslager (Scam-Center [wiki] / Scam Compounds) für Krypto- und Liebes-Betrügereien. Das sind teilweise riesige Komplexe, siehe die Fotos im vorigen Link und in Kambodscha-Lagern [wiki] oder Myanmar-Lagern [wiki].

    Dort wird eine große Zahl von Menschen mit brutaler Gewalt gezwungen, Menschen in 'reicheren' Ländern mit Hilfe der Übersetzungs- und Formulierungsfunktionen generativer AI um ihr Geld (und oft ihr Vermögen) zu betrügen.

    Der folgende Artikel in der NY Times berichtet (mit ganz vielen Fotos) über den Besuch eines Reporters und Fotografen in einem Scam Compound in Myanmar (nachdem die Anlage von "Rebellen" geschlossen worden war): At This Office Park, Scamming the World Was the Business (share link) - neben den vielen Fotos gibt es viele Details über die Opfer und die psychologischen Tricks der Betrüger.

    Zum riesigen finanziellen Ausmaß des Problems: allein Chen Zhi [wiki], nur einer der Betreiber eines Scam Compounds, hat sich von des US-Behörden bereits im Oktober 2025 eine Krypto-Wallet im Wert von 15 Milliarden US$ abnehmen lassen - dh, es geht da um 'richtig viel Geld'.

    China hat Chen Zhi nun in Kambodscha verhaften und nach China ausliefern lassen. Spekuliert wird, dass China gegen ihn vorgegangen ist, weil zu viele chinesische Bürger betroffen waren. Das klingt wie eine gute Nachricht, aber es könnte bewirken, dass sich die Betreiber der Arbeitslager in Südost-Asien mehr auf westliche Länder als Ziel ihrer Betrügereien und den 'globalen Süden' als Herkunftsländer für ihre 'Arbeiter' konzentrieren werden.

    China wurde erstmals in 2023 aktiv: Chinesische Bürger hatten versucht, aus einem Compound in Myanmar auszubrechen und waren ermordet worden (dazu Gerüchte, dass 4 davon chinesische Undercover-Polizisten waren). Dies führte zu chinesischen Aktivitäten und dann zu einigen Verhaftungen. Die nächste große chinesische Aktion war 2025: Auslieferung der Betreiber nach China, Gerichtsprozess, 11 Todesurteile + 11x lebenslänglich, plus weitere 5 Todesurteile im November.

    Dh., die chinesischen Aktionen zeigen, dass mächtige Staaten dafür sorgen können, dass gegen solche Lager vorgegangen wird. Für Myanmar und Kambodscha scheint das aber nur China zu gelingen, in Thailand und Philippinen könnten auch die USA entsprechenden Einfluss haben (wenn genug Interesse bestände).

    Der Standard bringt einen sehr ausführlichen Bericht über die engen Verknüpfungen zwischen Militärregime in Myanmar und den dortigen Scam-Zentren: Wie Scam-Zentren in Myanmar das Militärregime mitfinanzieren. Der Artikel berichtet auch über die halbherzigen, aber sehr publikumswirksamen Maßnahmen der Machthaber gegen die gut organisierten und sehr internationalen Kriminellen.

    Und nun ganz bizarr: Das Thema der Scam Compounds wurde zu einem Video-Spiel: New Video Game “Blood Money: Lethal Eden” Traps Players in an Online Scam Center. Das Spiel wurde in China entwickelt und für diese Zielgruppe wurde es wohl auch gedacht. Der Spieler wird (im Spiel) gezwungen, in einem Scam Center in Myanmar zu arbeiten.

     

    3. Klima, CO2 und AI-Rechenzentren

    In einem früheren Newsletter gab es einiges zum Thema, was macht generative AI mit unserem Klima? Nun gab es ein ganzes Heft mit Artikeln zu dieser Frage: POWER HUNGRY: AI and our energy future. Das ist weitgehend hinter Paywall, hier eine Zusammenfassung.

    Die primäre Herausforderung bei dieser Recherche war, dass OpenAI, Google und Microsoft sich geweigert hatten, über Details des Energieverbrauchs ihrer generativen AI zu sprechen. Die Reporter haben daher versucht, aus dem Energieverbrauch der (deutlich kleineren) Open Source-Modelle auf den realen Verbrauch der großen Modelle hochzurechnen. Energiemessungen sind zB mit dem Sprachmodell Llama [wiki] von Meta gut möglich. Die Forscher haben bei diesem Modell den Verbrauch der GPUs von Nvidia direkt messen können und diesen Wert dann verdoppelt um auf den Gesamtverbrauch (inkl. CPU, Speicher, etc.) zu kommen. Dazu kommt dann noch die erhebliche Energie für die Kühlung der Rechenzentren (plus ihr riesiger Wasserverbrauch).

    Der nächste Artikel behandelt dann die Details zum Verbrauch. Für die Sprachmodelle stellte sich heraus, dass die Modellgröße den wichtigsten Faktor darstellt. Kleine Modelle hatten einen winzigen Energieverbrauch, das größte getestete Llama-Modell kam bei 400 Milliarden Parametern für eine typische 'kleine' Anfrage auf einen Stromverbrauch, der 8 Sek. Mikrowelle entspricht. GPT-4 (das primäre Modell hinter ChatGPT) hat 1000 Milliarden Parameter und sollte damit nach dieser (groben) Abschätzung etwas mehr als 16 Sek. Mikrowellen-Nutzung entsprechen.

    Bei der Bildgenerierung gibt es 3 Parameter: die Modellgröße, die Bildauflösung (Pixelzahl) und die Zahl der “denoising”-Schritte. Wieder sind kleine Modelle sparsam mit der Energie: 1024x1024 Pixels bei einem (kleinen) Modell mit 2 Milliarden Parametern entsprach 5,5 Sek. Mikrowelle - das ist ein sehr kleines Modell - Details über die großen Modelle liegen nicht vor. Für die Energie einer Video-Generierung muss die Energie für das Bild mit der Bildrate pro Sekunde multipliziert werden (16 Bilder/Sek ist die untere Grenze, sonst 'ruckelt' es).

    Dann konstruiert Technology-Review ein konkretes Beispiel: für eine Werbekampagne sollen 15 Textfragen gestellt werden und dann 10 Grafik-Entwürfe für ein Flugblatt und 3 Versuche zu einem 5 Sek. Video produziert werden. Dies ergäbe einen Stromverbauch der 3,5 Std. Mikrowelle entspricht.

    Zum CO2: Leider sind fast alle Rechenzentren in den USA in Staaten (zB Virginia, West Virginia und Pennsylvania), die einen sehr hohen Anteil von Kohle- und Gas-Elektrizität haben und wenig Sonnenstrom (für Gesamt-USA waren 2024 60% des Stroms aus Kohle oder Gas). Dh die CO2-Bilanz der Rechenzentren ist nicht gut. Meta, Amazon und Google wollen daher die US-Kapazität für Nuklear-Energie bis 2050 verdreifachen. Die Details in Tech giants are looking for more energy, but building new reactors takes time. Aber so einfach geht das nicht mit der Kernenergie. Die Genehmigungszyklen und der Bau von Kernkraftwerken sind deutlich länger als für Gaskraftwerke, dh in den nächsten Jahrzehnten wird generative AI weiter mit Erdgas betrieben werden. Zum Beispiel der obigen (fiktiven) Werbekampagne: in Kalifornien wären das 650 Gramm CO2, in West Virginia mehr als 1150 Gramm. OpenAI, deren Modelle etwas über 60% der Anfragen weltweit abhandeln (siehe Grafik), berichtet von 1 Milliarde Text-Anfragen pro Tag und 78 Millionen Bildern.

    Wer wird das alles bezahlen?
    Für die Zukunft werden keine sparsamen AI-Modelle erwartet, die Qualität der Antworten soll auf Kosten des Energieverbrauchs erhöht werden - so 'sparsam' wie heute bleibt es wohl nicht. Wenn die Pläne der AI-Firmen aufgehen, so soll jeder von uns viele Stunden gemeinsam mit einem "AI-Agenten" seine Arbeit erledigen und dann seine Freizeit mit AI-friends teilen. Für 2028 wird geschätzt, dass neue AI-Rechenzentren allein mehr Energie verbrauchen werden, als alle derzeitigen Rechenzentren zusammen (diese AI-Rechenzentren entsprächen dann 22% der US-Haushalte - das CO2-Äquivalent zu 1600 PKW-Fahrten zur Sonne und zurück).

    Wer wird das alles bezahlen? Das ist noch vollkommen offen. Kritiker rechnen damit, dass der AI-Rechenzentren-Boom zu einer deutlichen Erhöhung der Energiekosten für alle (US-)Haushalte führen wird (Strom wird knapp, was knapp ist, wird teurer - Bereits jetzt in der NY Times: Demand from centers that power artificial intelligence has driven up electricity bills, frustrating consumers). Irgend etwas wird teurer werden müssen, das Ganze muss (falls es so umgesetzt wird) irgendwie finanziert werden.

    Auch bei uns werden AI-Rechenzentren geplant: Warum Rechenzentren für ein Land wichtig sind und worauf zu achten ist. Angeblich konkurrieren Regierungen darum, möglichst viele solcher Giganten fördern zu können.

    Satya Nadella von Microsoft sagt: "KI muss etwas Nützliches tun, andernfalls könnte die "gesellschaftliche Genehmigung" für den hohen Stromverbrauch entzogen werden". Damit will er begründen, dass wir alle, aber vor allem Firmen, endlich die großen Vorteile der generativen AI und der Sprachmodelle erkennen sollten. Denn nur mit gelegentlichen (meist kostenlosen) Anfragen an ChatGPT oder Gemini und den kostenpflichtigen 'AI-friends' (siehe weiter unten) kann man die Klimaschädigung und die Preiserhöhungen für uns alle nicht rechtfertigen.

    Wir europäischen Bürger spüren den AI-Boom derzeit meist nur, wenn wir versuchen, ein neues IT-Gerät zu kaufen: die Preise für Speicher und für alle Geräte, die Speicherchips enthalten, haben angezogen,sind bis zu 29% teurer. Die Rechenzentren kaufen alles auf, was auf dem Markt ist. Aber wenn wir auch hier in Europa solche AI-Giganto-Rechenzentren bauen (lassen), so wird wohl auch bei uns der Strompreis entsprechend steigen.

     

    4. "Aufmerksamkeits-Ökonomie" wird "Bindungs-Ökonomie"

    Sasha Fegan vom 'Center for Humane Technology' (CHT) [wiki] hat den neuen Begriff "Attachment Economy" geprägt: Welcome to the Attachment Economy. Der Begriff ist eine Weiterentwicklung von Attention Economy [wiki], der Aufmerksamkeits-Ökonomie. Bei der Aufmerksamkeits-Ökonomie geht es darum, dass die Zeit und die "Aufmerksamkeit von Menschen" ein "knappes Gut" geworden sind und dass daher im Internet immer mehr Tricks, zB. Click-Baiting [wiki] mit reißerischen Überschriften und Inhalten angewendet werden müssen, um viele Menschen zu erreichen.

    Sasha Fegan erklärt nun, dass wir offenbar aktuell auf eine "Attachment Economy" oder "Bindungs-Ökonomie" zusteuern. Damit beschreibt sie die Situation, dass alle Sprachmodelle offenbar aktiv versuchen, eine virtuelle 'Beziehung' zu den Nutzern aufzubauen, um eine psychologische Abhängigkeit der Nutzer zu erzeugen und dadurch einen dauerhaften Einfluss auf die Nutzer zu bekommen. Diese 'Beziehung' (bis hin zu emotionaler Abhängigkeit) kann dann finanziell ausgenutzt werden, zB durch Werbung (die ChatGPT gerade einführt) und durch kostenpflichtige Abo-Modelle.

    Das betrifft nicht nur die expliziten AI-friends, die von den Nutzern mit einer "Persönlichkeit" und einem Fake-Körper ausgestattet werden können, auch jeder Austausch mit ChatGPT endet letztendlich damit, dass der LLM-Bot sich weiter andienen will ("was kann ich noch für dich tun, die Antwort vielleicht nun als Grafik oder Tabelle darstellen?"). Die Chatbots 'spielen' kommunikative hilfreiche Zeitgenossen und das machen sie leider ziemlich gut. Sie können für Menschen, die sich einsam fühlen, eine ziemliche Falle darstellen.

    Fegan berichtet von Beziehungsproblemen, psychiatrischen Einweisungen bis hin zu den Selbstmorden (über letztere habe ich regelmäßig berichtet). Sie verlinkt auf einen Podcast Attachment Hacking and the Rise of AI Psychosis, in der in einem Interview mit Dr. Zak Stein über viele dokumentierte Fälle von Abhängigkeiten bis hin zu Chatbot psychosis [wiki] berichtet wird.

    In einem anderen Podcast What Would It Take to Actually Trust Each Other? wird untersucht, was Spieltheorie [wiki] damit zu tun hat und warum wir als Menschen (mit einer eigenen Psyche, diversen Beziehungs-Altlasten und eigenen Bedürfnissen) gegen einen künstlichen computer-gesteuerten 'Nebenbuhler' nie gewinnen können.

     

    5. Immer mehr Überwachung auf Reisen

    Schon vor 20 Jahren hatte ich über die Abschaffung des anonymen Reisens berichtet. Zu diesem Thema werden derzeit in der EU deutliche Verschärfungen geplant. Geplant ist eine Ausweitung der Passagierdatenspeicherung (die nach dem 9/11-Anschlag [wiki] eingeführt wurde) auf möglichst viele andere Verkehrsmittel. Auch Bus- und Bahnverkehr, sowie Schiffsreisen (zB Kreuzfahrten und Fähren) sollen künftig nachverfolgbar werden. Sie nennen dies „verkehrsträgerneutrale“ Überwachung. Darin ist auch eine "erweiterte Nutzung" der automatisierten Erfassung von Autokennzeichen enthalten.

    In der bisher geltenden Regelung sind Fluggesellschaften verpflichtet, mittels Passenger Name Records [wiki] (PNR), umfangreiche Daten über ihre Passagiere zu erheben und an Polizeibehörden zu melden. Es werden 60 Datenkategorien in nationalen Systemen erfasst und untereinander ausgetauscht. Darunter befinden sich etwa Adresse, Zahlungsinformationen, Reisepläne oder Essensbestellungen der Reisenden (zB Halal oder Koscher). Die PNRs werden sechs Monate unmaskiert und dann weitere viereinhalb Jahre anonymisiert, aber bei Bedarf zuordenbar, gespeichert.

    Obwohl Gerichte in der Vergangenheit bereits gemahnt haben, diese Praxis einzuschränken, soll sie nun auch auf Bus-, Bahn- und Schiffsreisen ausgeweitet werden und nicht mehr nur der Strafverfolgung dienen, sondern zum Beispiel auch für Grenzmanagement und Migration. Wenn Daten zur Terrorbekämpfung plötzlich zur Kontrolle des Aufenthaltsstatus oder zur Aufdeckung von Sozialbetrug nutzbar wären, drohe die Erosion von Datenschutzrechten, sagen die Kritiker.

    Neben Datenschutzbedenken weisen NGOs darauf hin, dass die Wirksamkeit dieser Maßnahmen nie bestätigt wurde. Eine Auswertung von 548 Millionen Datensätzen beim deutschen Bundeskriminalamt im Jahr 2024 hatte mehr als 67.000 Personen als potenziell gefährlich eingestuft, die dann weiter untersucht wurden. Die Recherchen zu den 67.000 Menschen führten aber nur zu 1525 Verhaftungen. (Das ist das False-Positive-Problem, das alle solche Massenauswertungen haben - eine große Zahl von Fehl-Annahmen führt zu sehr vielen Untersuchungen gegen 'Unschuldige' mit einem erheblichen Arbeitsaufwand.) Hier noch ein Artikel zu den EU-Plänen: Ausweitung der Passagierdatenspeicherung: EU plant Überwachung von sämtlichen Reisewegen.

     

    6. Ergänzungen früherer Beiträge

    Ransomware 2025

    Das ist eine Ergänzung zum Cyber-Security Rückblick im vorigen Newsletter mit Konzentration auf Ransomware. Der Artikel Ransomware: Tactical Evolution Fuels Extortion Epidemic besagt, dass die Ransomware-Betrüger ein gutes Jahr hatten (trotz einiger Rückschläge mit Konfiszierung ihrer Infrastruktur), ua weil sie neue Strategieren entwickelt haben.

    Neben den Ransomware-Angriffen mit Verschlüsselung der internen Daten (bis hin zu den Backup-Dateien, sofern diese nicht in einem separaten geschützten Netz liegen), gibt es nun auch Angriffe ohne Verschlüsselung. Dabei werden "nur" möglichst viele Dateien 'entführt' und dann mit Veröffentlichung dieser Daten gedroht. Die Exfiltration von einiger Dateien ist für die Angreifer deutlich einfacher, als das gesamte Firmennetz zu verschlüsseln.

    Gegen diesen Erpressungs-Angriff kann sich ein Unternehmen nicht mittels ausgeklügeltem Backup absichern, sondern nur durch möglichst sichere Zugangsprüfungen (2-Faktor-Authentisierung !!) und möglichst effektive Separierung innerhalb des Unternehmens-Netzes. Ganz schwer ist die Absicherung, wenn die Angreifer sog. Supply Chain-Angriffe verwenden. Bei Supply-Chain-Angriffen [wiki, mit einigen wichtigen Beispielen] liegt nämlich die 'Unachtsamkeit' bei dem jeweiligen Software-Anbieter - leider waren in den letzten Jahren eine Reihe solcher Probleme zu verzeichnen.

     

    Nordkoreanische IT-Mitarbeiter

    Weitere Ergänzungen in meinem Bericht zu nordkoreanischen IT-Mitarbeitern in westlichen Firmen.

     

    Virtual friends und Suizid - Social Media und psychische Probleme

    character.ai hatte ja behauptet, dass das Unternehmen für Aussagen ihrer Bots nicht verklagt werden könne, denn auch für den Chatbot würde das Recht auf freie Meinungsäußerung gelten - das wurde nun von einer US-Bundesrichterin zurückgewiesen. Google und character.ai legten nun 7 Klagen wegen Suizidfällen bei Jugendlichen durch weitreichende Vergleiche mit den Hinterbliebenen bei, dadurch vermieden sie einen Urteilsspruch.

    Gruselig: ChatGPT hat für einen selbstmordgefährdeten Mann ein Selbstmord-Schlaflied gedichtet: ChatGPT wrote “Goodnight Moon” suicide lullaby for man who later killed himself. Auf der Wikipedia gibt es nun eine Seite mit Deaths linked to chatbots.

    Macht Social Media süchtig?

    Noch ein Urteil konnte durch Vergleich verhindert werden: Snap Settles Lawsuit on Social Media Addiction, Avoiding a Landmark Trial.

    Das wäre ein spannender Prozess geworden. Es ging in der Sammelklage von Tausenden Jugendlichen und Schulbehörden darum, ob die Website Snapchat [wiki] (die sich primär an Jugendliche wendet) bewusst so gestaltet wurde (zB durch infinite-scroll, auto-play und algorithmische Empfehlungen), dass die Nutzer möglichst lange auf der Website verbleiben und sich nicht vom Schirm trennen können. Als Schäden wurden Esstörungen, Selbst-Verletzungen und Depression angeführt. Snap (die Besitzerfirma von Snapchat) hat nun einem Vergleich zugestimmt und die Klärung vor Gericht vermieden.

    Entsprechende Prozesse laufen aber auch gegen Meta, TikTok und YouTube (Google) - diese Firmen sagen, dass die Zusammenhänge zwischen den Produkt-Features und den jeweiligen Erkrankungen der Kläger:innen nicht beweisbar seien. Auch wenn mein Bauchgefühl ganz klare Zusammenhänge sieht - die Entscheidungen vor Gericht bleiben spannend.

    Ergänzung:
    Offenbar sind die Anwälte von Meta (Instagram, Facebook, Whatsapp) nicht 100% entspannt: Meta schaltet KI-Charaktere für Teenager ab, zumindest vorerst.

     

    LLMs und Medizin

    Im August hatte ich das letzte Mal über den Einsatz von LLM bei medizinischer Beratung berichtet. Ich halte medizinische Auskünfte durch generative AI für eine ganz schlechte Idee. OpenAI versucht es trotzdem: OpenAI macht die KI zum Hausarzt und startet ChatGPT Health - was könnte da denn schief gehen? OpenAI versucht sich abzusichern: ChatGPT Health soll bei Gesundheitsfragen nur "unterstützen", keine Diagnosen erstellen, sie übernehmen keinerlei Haftung für die Antworten. Anderseits kann man Befunde hochladen und kann dann Fragen stellen.

    Nun gibt es eine größere Studie zum Einsatz von Sprachmodellen bei der Beantwortung von medizinischen Fragestellungen. Es ging um die Themen Notfallmedizin, Gynäkologie und Neurologie im Bereich 'Frauengesundheit'. Nach einer größeren Vorstudie wurden 13 große Sprachmodelle, u.a. von OpenAI, Google, Anthropic, Mistral AI und xAI getestet. Jedes Modell bekam 96 Fragen, bzw. Befunde präsentiert. Die Antworten wurden dann von Medizinern bewertet: Im Gesamt-Durchschnitt wurden 60% der Antworten als nicht-ausreichende medizinische Auskunft klassifiziert (zB wenn der Rat fehlte, einen Arzt aufzusuchen, aber nach Meinung der Bewerter notwendig wäre). GPT-5 schnitt am Besten ab: 47% der Antworten waren nicht ausreichend, bei Ministral 8B waren es 73%. Der Artikel zur Studie: AI chatbots miss urgent issues in queries about women's health.

     

    US-Tech-Konzerne verbrüdern sich mit Rechtsradikalen in Brüssel

    Letztendlich geht es um die Aufweichung unserer mühsam erkämpften Rechte gegenüber den Tech-Konzernen. Ich hatte über den digitalen Omnibus berichtet, mit dem viele unserer digitalen Schutzrechte ausgehebelt werden sollen. Mit Hilfe der Daten in den Lobby-Melderegistern der Europäischen Union kann nicht nur gezeigt werden, dass viele der Textvorschläge mehr oder weniger wörtlich von US-Lobbyisten kommen (und nicht von der europäischen Industrie, wie oft behauptet wird).

    Die Interessen der US-Konzerne werden vor allem von der EVP-Fraktion (die "europäischen Volksparteien") vertreten. Die EVP hat aber keine Mehrheit in Brüssel, die anderen Parteien zögern mit Zustimmung. Daher scheinen die US-Lobbyisten nun verstärkt auf die rechten Europa-Fraktionen Europäische Konservative und Reformer (EKR), Patrioten für Europa (PfE) und Europa der Souveränen Nationen (ESN) zuzugehen, zu denen die MAGA-Bewegung teilweise bereits gute Kontakte hat.