DNIP Briefing #19: Memes, Macht und Microsoft

Cartoon / Illustration mit Musk, Trump und einem EU-Politiker
Erstellt mit ChatGPT 4o

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.

👊🇺🇸🔥 – so feierte Donald Trumps Sicherheitsberater Mike Waltz den Start eines Militäreinsatzes im Gruppenchat auf Signal. Der Chat hiess «Houthi PC small group». Dumm nur: Zuvor hatte Waltz noch Jeffrey Goldberg, den Chefredaktor des Magazins The Atlantic, wohl versehentlich, hinzugefügt. Goldberg machte zunächst Teile des Chats publik. Das Leak wurde zum Meme. Und das Meme zum Symbol eines politischen Moments, in dem alles gleichzeitig absurd und beängstigend wirkt. Zumindest für die, die sich nicht als Trumpisten verstehen.

Für Kyle Chayka, Autor des New Yorker, hatte Donald Trump es bereits vorweggenommen. Bei einem Fototermin vor dem Weissen Haus, assistiert von Elon Musk, bewunderte er das Cockpit eines Tesla Model S in metallig rot und sagte: «Everything’s computer!» Der Satz ist unfreiwillig komisch – und doch auf seltsame Weise treffend. Er beschreibt eine Welt, in der alles von Technologie durchdrungen ist: Autos, Politik, Krieg.

Der Widerstand dagegen? Er ist oft nicht mehr Protest auf der Strasse, sondern Screenshot, Remix, Kommentar – geteilt, geliked, weiterverarbeitet. «Trump take egg» oder «Vance as baby» sind albern, ja, aber auch Ausdruck einer tiefen Ohnmacht. Denn Memes sind mehr als Witze. Sie sind digitale Spottbilder, Verfremdungstechniken, Miniaturen des zivilen Ungehorsams. Wenn reale Politik wie Satire wirkt, wird das Teilen zum Akt der Verarbeitung – und manchmal auch des zivilen Widerstands.

Aber es braucht wahrscheinlich mehr als das. «Die US-Regierung hat die Möglichkeit, auf viele Politiker­mails in Europa zuzugreifen», sagt der niederländische Informatiker und Geheimdienst­experte Bert Hubert in einem lesenswerten Republik-Interview. Darin sagt er auch, dass Elon Musk «theoretisch von den Tech-Konzernen verlangen könnte, ihm Zugang zu den Daten von Europäerinnen zu geben». Betroffen davon ist auch die Schweiz: Bundesparlamentarierinnen und Parlamentarier nutzen Microsoft für ihre E-Mails.

Und um den Kreis zu schliessen: Falsche Personen im Gruppenchat lassen sich verhindern. Mit einem Nickname lässt sich jetzt sicherer kommunizieren, ohne die Telefonnummer preiszugeben. Warum das ein grosser Schritt für sicheres Messaging ist – und wie das funktioniert, erklärt 404 Media.

Eine Legacy-Applikation mal eben neu bauen, was kann schon schiefgehen?

Die Nachrichten-Kakaphonie aus USA hängt wohl vielen schon zum Hals raus. Die neuesten Pläne von DOGE haben aber einen so starken IT-Bezug, dass sie unabhängig von der politischen Lage ein Thema für DNIP sind: Das sogenannte Department of Government Efficiency (DOGE) hat damit begonnen, ein Team zusammenzustellen, um die Computersysteme der Social Security Administration (SSA) vollständig von COBOL weg zu migrieren. Ein solches Vorhaben wäre selbst dann anspruchsvoll und riskant, wenn man es ohne Zeitdruck anpacken würde. Aber im Zeitalter von AI muss es natürlich (das ist zumindest das erklärte Ziel) innert weniger Monate über die Bühne gehen.

Warum ist das unrealistisch:

  • An über Jahrzehnte gewachsenen Applikationen wurden im Laufe der Zeit viele Änderungen gemacht, welche heute nicht mehr nachvollziehbar sind und deren Hintergründe nicht hinreichend dokumentiert sind.
  • Gerade im Social Security-Bereich ändern sich die gesetzlichen Regeln im Lauf der Zeit, und die jeweilige Anwendung von Regeln ist von einer Vielzahl von Bedingungen abhängig. Es scheint unwahrscheinlich, dass selbst ein hoch motiviertes und talentiertes Team diese ganzen Regeln in kurzer Zeit verstehen und implementieren kann.
  • Es dürfte an Testfällen mangeln, mit denen eine korrekte Funktion der Software verifiziert werden kann. Dies bedeutet insbesondere, dass selbst dann, wenn der (an sich schon unrealistische) Zeitplan irgendwie eingehalten werden kann, es keine Möglichkeit geben wird, die Funktionsweise der neuen Software vor den ersten Auszahlungen zu verifizieren.

Ob das Vorhaben nun schlicht eine weitere Techbro-Selbstüberschätzung darstellt, oder ob es sich doch eher um einen Versuch handelt, das Social Security-System in den USA als ganzes abzuschaffen, ist von aussen nicht zu beurteilen. So oder so wird das Ganze aber auf dem Buckel all jener stattfinden, welch auf regelmässige und vollständige Auszahlung ihrer Social Security-Ansprüche angewiesen sind.

Welche Apps sind auf Deinem Smartphone?

Es gibt gute Gründe, wieso iOS wie auch Android verhindern wollen, dass Apps herausfinden können, welche anderen Apps noch auf einem Smartphone installiert sind:

  • Wenn ich als Anbieter einer Dienstleistung sehe, welche anderen Apps Du installierst hast, kann ich daraus unter Umständen Deine Kaufkraft ableiten und Produktpreise entsprechend anpassen.
  • Habe ich bösartige Absichten, kann auch anhand der von Dir installierten Apps diejenigen identifizieren, über die ich Dich (über eine mir bekannte Lücke in einer solchen) angreifen kann.
  • Uber kann auf diese Art erkennen, ob ihre Fahrer auch noch für andere Fahrdienste arbeiten (oder zumindest deren Apps installiert haben).
  • Falls sich unter den installierten Apps Datingportale oder Porno-Apps befinden, will ich vielleicht nicht, dass Dritte das mitbekommen.
  • Aber auch das reine Vorhandensein von «normaleren» Apps für Kleinkredite oder Menstruationszyklen kann schon zu viel verraten.

Unter Android gibt es allerdings durchaus Gründe, wieso eine App auf andere Apps bzw. deren Daten zugreifen muss. Solche Apps können etwa Virenscanner oder Dateimanager sein. Daher können Android-Apps dieses Recht als bei Google beantragen, es wird dann im zu installierenden Software-Package entsprechend markiert.

Dass dieser Schutz ziemlich löchrig ist, hat jetzt ein Sicherheitsforscher in Indien herausgefunden. So vergibt Google dieses Zugriffsrecht recht grosszügig zum Beispiel auch an Kreditapplikationen und die oben bereits erwähnten Ridesharing-Apps. Der Clou am Ganzen ist allerdings, dass Apps dieses Recht gar nicht brauchen. Über eine beim Erstellen einer App definierbare Option kann jede App praktisch ungehindert auf die Liste sämtlicher Applikationen zugreifen. Als Benutzer hat man keine Möglichkeit, dies zu verhindern.

Laut den Entwicklern hinter GrapheneOS, einer freien, besonders auf Sicherheit und Datenschutz ausgelegten Android-Variante, sei die Vorstellung, dass man zum Abfragen von anderen Apps unter Android spezielle Rechte benötige, ein grundsätzlicher Irrtum. Diese Berechtigung sei nie dafür ausgelegt gewesen, eine Aussagekraft für die Nutzer:innen vor den Handys zu haben. Die Entwickler empfehlen deshalb, unter Android die Nutzung von Private Spaces («vertrauliches Profil») bzw. eines Work Profile («Arbeitsprofil»).

Anders gesagt: Android ist – trotz grundsätzlicher Isolation jeder App – auf die Zusammenarbeit zwischen Apps ausgelegt. Entsprechend gibt es unzählige Möglichkeiten, etwas über andere Apps sowie deren angebotenen Dienste zu erfahren. Daher hat Android von sich aus, die Möglichkeit zur (z.T. gleichzeitigen) Nutzung von gegeneinander isolierten Profilen. Diese bieten die gewünschte Isolation, allerdings nicht ganz so feingranular und automatisch an, wie es bei diesen zu neugierigen Apps sinnvoll wäre.

Und schliesslich:

  • Gesichtserkennung ist nicht nur dann ein Problem, wenn damit die staatliche Überwachung ausgebaut wird. Auch beim Einsatz durch (private) Unternehmen kann es zu weitreichenden Konsequenzen für jeden Einzelnen kommen. Das musste ein Konzert-Besucher in den USA erfahren: Ihm wurde der Zutritt zur Radio City Music Hall in New York verweigert, nachdem die dort eingesetzte automatische Gesichtserkennung den Sicherheitsdienst informiert hatte. Grund für das Zutrittsverbot war geäusserte Kritik (angeblich auch Drohungen) am Besitzer der Firma hinter der Radio City Music Hall, aufgrund dessen er ein lebenslängliches Zutrittsverbot für sämtliche Anlässe erhielt. Auch wenn die Gesetzeslage in Europa eine leicht andere ist, ist das jedenfalls ein triftiger Grund, um die ungehinderte Verbreitung von Gesichtserkennungssystemen kritisch zu sehen.
  • Vielleicht erleben wir heute den Fall des TADPF, dem Datentransferabkommen zwischen den USA und EU/Schweiz Version 3.0. Dieses Abkommen ermöglicht den US-Unternehmen durch Selbstzertifizierung und der Verpflichtung für Datenschutz die Bearbeitung der Daten von Europäer:innen. Es beruht erstens auf der Annahme, dass die USA ein Rechts­staat sind. Und zweitens, dass die Tech-Konzerne sich im Fall des Zugriffs durch die US-Behörden vor ihre Kundinnen stellen. Diese beiden Prämissen sind inzwischen hinfällig geworden, wie wir heute beobachten können. Trump hat zudem drei von fünf Mitgliedern des «Privacy and Civil Liberties Oversight Board» abgesetzt, dem Kontrollorgan, das den Geheim­diensten auf die Finger schaut. Heute wird die Nichtigkeitsklage des französischen Abgeordneten Philippe Latombe vom Europäischen Gerichtshof verhandelt (welches verlangt, dass das Abkommen für ungültig erklärt wird, was bereits das dritte Mal wäre). Vielleicht heisst es dann bald nicht Schrems III, sondern Latombe I.
  • Lock-Ins stärken Monopole und schwächen Interoperabilität, Erweiterbarkeit und die Möglichkeit, Konkurrenzprodukte aufzubauen. Der Digital Markets Act (DMA) der EU soll u.a. helfen, «Walled Gardens» von Tech-Unternehmen zu reduzieren. Das betrifft auch WhatsApp; Meta als Eigentümerin möchte aber die vom DMA geforderte Interoperabilität nur sehr restriktiv und als neuen Walled Garden umsetzen. Das von WhatsApp genutzte Protokoll entstand als proprietäre Weiterentwicklung des offenen, föderierten XMPP-Protokoll für Instant Messaging. Die XMPP Standards Foundation schlägt nun vor, dass WhatsApp doch anstelle der Schaffung eines zweiten proprietären Protokolls mit neuem Lock-In für die Interoperabilität doch lieber auf die bestehenden XMPP-Standards setzen sollte. Die Idee klingt vielversprechend, da Meta ja mit Threads bereits eine Plattform mit Interoperabilität zur Fediverse-Föderation anbietet. (Dieser Schritt könnte übrigens auch der Open-Source-Community um XMPP helfen.)
  • Wieso auch unzuverlässige Hard- und Software ihren Reiz hat. Gerade wegen der Unzuverlässigkeit. Ein Blick hinter die Kulissen der angeblichen Geisterjagd mittels Kinect-3D-Kameras. Die in allem ein menschliches Skelett erkennen will. Ohne sich von der Realität daran hindern zu lassen.
  • Nationalbank und ZKB halten beide Aktien des problematischen Truth-Social-Unternehmens um Trump.
  • Ed Zitron sieht eine KI-Bubble, die demnächst platzen könnte. Insbesondere geht es dabei um die starken finanziellen Verflechtungen zwischen OpenAI, Softbank und CoreWeave. Insbesondere letztere sollen die KI-Rechenzentren aufbauen mittels einer Tochtergesellschaft, die bisher nur Kryptomining-Rechenzentren aufgebaut hat. Wen diese gegenseitigen engen finanziellen Abhängigkeiten ­– und damit der Zwang, an den Erfolg glauben zu müssen – an Kryptowährungen erinnert: Ja.
  • Auch wenn das EDA sich bisher (im Gegensatz zu einer Reihe von europäischen Ländern) nicht zu einer Reisewarnung für die USA durchringen könnte: Ob man in der aktuellen Lage und mit der bei der Einreisekontrolle teilweise herrschenden Willkür noch in die USA reisen möchte, ist zumindest fraglich. Wer es trotzdem tun will (oder muss), findet beim Guardian eine Reihe von Punkten, mit denen sich Smartphone und eigene Daten bestmöglich schützen lassen (sowie eine ausführlichere Version bei der EFF). Diese schützen allerdings zum Beispiel nur beschränkt, wenn die Einreisebehörde zusätzlich Social Media-Posts auswertet oder sie bei einem allzu gut «geputzten» Smartphone erst recht beginnen, kritische Fragen zu stellen.
  • Passend dazu ist dieser Artikel über die praktischen Grenzen von End-to-End-Verschlüsselungen. Auch wenn E2EE oft als Wundermittel für den Datenschutz verkauft wird, muss man sich bewusst sein, dass die primäre Funktion der Schutz vor Mitlesern während der Übertragung von Daten ist. E2EE ist nicht dazu ausgelegt, Daten auf den jeweiligen Endgeräten zu schützen und es verhindert auch nicht, dass Metadaten wie «wer redet wann mit wem» ausgelesen werden können. Und um den Bogen zum Anfang zu schlagen: E2EE verhindert auch nicht, dass Personen an einem E2EE-verschlüsselten Chat teilnehmen, welche eigentlich gar nicht zur jeweiligen Gruppe gehören.

Disclaimer: Dieses Briefing enthält keinen Aprilscherz.

dnip.ch mit Deiner Spende unterstützen

Wir wollen, dass unsere Inhalte frei verfügbar sind, weil wir es wichtig finden, dass möglichst viele Menschen in unserem Land die politischen Dimensionen der Digitalisierung erkennen und verstehen können.

Damit das möglich ist, sind wir auf deine Unterstützung angewiesen. Jeder Beitrag und sei er noch so klein, hilft uns, unsere Aufgabe wahrzunehmen.

Eine Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge

Vogt am Freitag: Blindflug

Reto Vogt 28. März 2025

Ab nächstem Dienstag müssen bestimmte Unternehmen Cyberangriffe auf die eigene Infrastruktur melden – dazu gehören theoretisch auch Microsoft und Google.

Weiterlesen »