Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.
Eine Möglichkeit, sich von der zunehmenden Unberechenbarkeit der US-Tech-Milliardäre und der von ihnen mitunterstützten Regierung zu entkoppeln («Demilliardärisierung»), ist der Wechsel von der Datenablage in US-Clouds hin zu Clouds in heimischeren Gefilden. Eine andere – bei kleineren Firmen und anspruchsvollen Heimusern schon lange praktizierte Möglichkeit – ist, sich einen kleinen Server mit ein paar Festplatten oder SSDs in die eigenen Räumlichkeiten zu stellen. Diese Geräte, sogenannte NAS («Network Attached Storage»), bestehen meist aus einem Linux-Server, weiterer Open-Source-Software und einem bequemen Webinterface für die Administration.
Bis dato konnte man in den meisten dieser NAS-Geräte beliebige Standard-Festplatten und -SSDs einbauen, entsprechend den persönlichen Bedürfnissen wie Kapazität, Geschwindigkeit und Preis. Synology, einer der ganz grossen Namen im NAS-Geschäft, hat nun angekündigt, dass zukünftig gewisse Funktionen der neuen Synology-«Plus»-NAS nur noch mit Festplatten mit Synology-Aufkleber zur Verfügung stehen würden. Synology produziert selbst gar keine Festplatten, sondern kauft die Hardware 1:1 bei Seagate und Toshiba ein und passt nur die Firmware etwas an.
Wer also bei den Plus-Modellen in Zukunft von Funktionen wie Lebensdauerprognosen oder Drive-Firmware-Updates profitieren will, muss neu zwingend die (teureren) Synology-Disks kaufen. Wieso ist das – nach all‘ den Online-Angeboten und ersten Autos – auch Enshittification und nicht technische Notwendigkeit? Weil Synology selbst erläutert:
Zudem wird die Migration von Festplatten aus bestehenden Synology NAS in ein neues Plus-Modell weiterhin ohne Einschränkungen möglich sein.
Pressemitteilung von Synology Deutschland, 2025-04-16
Wenn Festplatten, welche zuerst in einem «alten» NAS waren, nachher im «neuen» NAS problemlos funktionieren, liegt es also weder an den Eigenschaften der Festplatten noch des NAS. Sondern daran, dass Synology den Aufwand auf sich genommen hat, zusätzliche Software zu schreiben, um diese Einschränkungen selektiv durchzusetzen. Und wahrscheinlich darauf hofft, dass sich dieser Zusatzaufwand wirtschaftlich lohnt; mutmasslich über Zusatzeinnahmen durchs Festplattengeschäft.
«Wie staatlich finanzierte Cyberkriminelle»
Das National Public Radio (NPR) in den USA berichtet darüber, wie das sogenannte Department of Government Efficiency (DOGE) beim National Labor Relations Board (NLRB) eingefahren sei. Das NLRB ist die US-Bundesbehörde, die bei Beschwerden zu Arbeitsbedingungen oder Diskriminierung am Arbeitsplatz aktiv werden kann. Laut dem Bericht hätten die DOGE-Mitarbeiter dieselben Mechanismen angewendet, die sonst von feindlichen Drittstaaten geförderte Cyberkriminelle anwenden würden (im Englischen «state-sponsored actors» genannt):
- Zuerst hätten sie sich Admin-Rechte auf die gesamte Cloud-Umgebung geben lassen («tenant owner level»),
- danach die Sicherheitslogs deaktiviert, mit denen sonst Admin-Aktivitäten nachvollzogen werden können (diese Logs werden in der Praxis von den «Guten» nicht deaktiviert),
- dann zusätzliche Konten angelegt, auf denen dann wenige Minuten später von russischen IP-Adressen aus erfolgreich eingeloggt wurde,
- mit den Zugangsdaten war Vollzugang zu den zum Teil brisanten Daten des NLRB möglich, die Aussagen von betroffenen Arbeitern gegen ihren Arbeitgeber beinhalten,
- diese Daten wurden schlussendlich abgesaugt, mittels Tools zur Verschleierung von Aktivitäten und zum Umgehen von Limiten unter hohen Cloud-Kosten für das NLRB.
«State-sponsored actor» einmal ganz anders. Besonders brisant: Im NLRB laufen Abklärungen zu den Arbeitsbedingungen in Musk-Firmen. Und Musk ist auch Chef von DOGE. Hinter dem maximal intransparenten Datenabfluss könnten also auch Eigeninteressen stehen.
NPR dokumentiert diesen Krimi übrigens sehr spannend und verständlich.
Und schliesslich
- Während der Bundesrat grosse Tech-Firmen weiterhin nicht regulieren (und damit die Bevölkerung gegen deren steigende Macht schützen) will, erobern diese ein digitales Ökosystem nach dem nächsten. So hat OpenAI, bekannt für ChatGPT, angetönt, ein eigenes «Soziales Netzwerk» bauen zu wollen. Angeblich als Antwort darauf, dass Meta in den Chatbot-Markt eindringen wolle, oder schlicht als Versuch, an mehr Trainingsdaten heranzukommen. Und möglicherweise auch aus einer persönlichen Fehde zwischen den CEOs Altman und Musk heraus.
- Die grossen Tech-Firmen sind wegen ihrer monopolähnlichen Strukturen in den USA vor Gericht: sowohl Meta (Facebook & Co.) wegen des Vorwurfs einer wettbewerbsfeindlichen Akquise von Instagram als auch Google wegen seiner Rolle als «Türsteher zum Internet». Eva-Maria Weiß sieht darin den «Einmal alles bitte»-Hunger der Tech-Giganten.
- Über ein Dutzend zivilgesellschaftliche Organisationen in der Schweiz halten es für gefährlich, dass der Bundesrat angesichts dieser Situation und der aktuellen Entwicklungen weiterhin keine Regeln für Social Media und Suchmaschinen aufstellen will. Sie haben deshalb einen Offenen Brief lanciert, indem sie den Bundesrat kritisieren, dass sein Nichtstun im «Widerspruch zum Interesse der Schweizer Bevölkerung an informierter Meinungsbildung, verlässlicher Information und einer konstruktiven öffentlichen Debatte» stehe. Wer will, darf ihn auch mitunterzeichnen.
- Wir sind uns alle gewohnt, dass Ostern – auch soeben wieder – im März oder April gefeiert wird (für diejenigen, die das feiern). Doch in Australien finde der Ostersonntag in 2038 am Freitag(!), 1. Januar(!) statt, behauptet Calendar Australia. Das Team von y2k38.ch ist dem nachgegangen und hat die Ursache im Jahr-2038-Problem lokalisiert. Das Jahr-2038-Problem («Y2K38»), seine Hintergründe und dass wir uns bereits jetzt darum kümmern müssten, war auch schon Thema bei DNIP.
- Ein weiteres Kapitel zum Thema automatisierte Gesichtserkennung schlägt die Online-Plattform Discord auf. Gemäss einem Bericht der BBC testet sie in Australien und UK die Verwendung von Gesichtsscans zur automatischen Alterserkennung. Warum gerade in diesen Ländern, mag man sich fragen? Nun, in beiden Ländern gibt es verstärkte staatliche Regeln, um Minderjährigen den Zugriff auf für sie nicht angemessene Inhalte (bzw. Social Media generell) zu verbieten. Und da die Variante “ID/Pass hochladen” bei der breiten Masse schlecht ankommt, versuchen Plattformen wie Discord (oder auch Instagram) mit für den User einfacheren Methoden, diese Vorgaben zu erfüllen. Über die Genauigkeit der Methode schweigt sich Discord bisher aus. Und auch wenn Discord betont, die beim Scan gewonnenen Informationen nur für die Verifikation zu nutzen und nicht langfristig zu speichern: der nächste Anbieter könnte es anders machen (und auch ein Regulator könnte auf die Idee kommen, jeweils einen Nachweis für die erfolgte Prüfung zu fordern).
- Gesichtserkennungsfirma Cleaview.AI (wie auch andere Firmen aus dem Bereich schon Thema bei DNIP) versucht sich aus den DSGVO-Pflichten herauszuschummeln. Sie könnten ja am Gesicht nicht erkennen, ob es sich um einen französischen Staatsbürger handle, sagte ein frühere Clearview-CEO. Verschiedene EU-Länder wollen ihre Bürger aber trotzdem vor dieser Datenverarbeitung ohne Einwilligung schützen. Die bisher deswegen aufgelaufenen DSGVO-Bussen von insgesamt rund 95 Millionen € sind aber vorerst unbezahlt.
- Microsoft startet offenbar einen neuen Versuch, die Recall-Funktion in Windows auszurollen (mit Recall werden quasi sämtliche User-Interaktionen aufgezeichnet und können anschliessend via Copilot-AI durchsucht werden). Erste Tests zeigen aber, dass die Funktion immer noch dieselben Privacy-Issues aufweist und es weiterhin nicht möglich ist, spezifische Applikationen (wie zum Beispiel Signal) generell von Aufzeichnungen auszuschliessen. Ars Technica weist auch darauf hin, dass ein lokaler Opt Out wenig hilft, wenn die Gesprächspartnerin in Mail oder Signal Recall aktiviert hat: Aufgezeichnet werden so beide Seiten des Gesprächsverlaufs. Letzteres dürfte auch den einen oder anderen Datenschützer gerade in der EU interessieren.
- Aufmucksen gewinnt gegen Duckmäusertum: Während einige US-Universitäten sich den Forderungen nach Einschränkungen ihrer akademischen Freiheit widerstandslos gebeugt haben, hat Harvard protestiert. Das Ergebnis: Der Brief, mit dem Harvard eingeschüchtert werden sollte, sei angeblich gar nicht vom Weissen Haus autorisiert gewesen. Trotz offiziellen Briefpapiers und dreier Unterschriften.
- Lugano soll als Bitcoin-Modellstadt Erfolge feiern. Die WOZ hat in ihrer aktuellen Ausgabe nochmals hinter die Kulissen der schönen Luganeser Palazzi geschaut und erzählt spannend von dem, was das offizielle Lugano nicht wahrhaben will: Firmen, deren Buchhaltung ein Beispiel von Intransparenz ist; Verknüpfungen zur organisierten Kriminalität; ein Firmenchef, der dauernd aus Lugano agiert, aber offiziell dort nur privat ist; Pressefotos, auf denen Personen abgebildet sind, die offiziell gar nicht dabei waren; … Vor einem Jahr hat Thomas Schwendener für die Republik schon einmal im Luganeser Bitcoin-Sumpf gewühlt und zusätzliche Aspekte erläutert.
- Das HTTPS-Protokoll ermöglicht die verschlüsselte Kommunikation mit Webseiten, um sicherzustellen, dass niemand dazwischen mitliest oder die Kommunikation verändert. Die dafür notwendigen TLS-Zertifikate sind aktuell maximal 13 Monate gültig; die meisten Webseiten verwenden heute automatisierte Ausstellungsverfahren (z.B. via Let’s Encrypt). Deren Zertifikate sind maximal 90 Tage lang gültig. Bis ins Jahr 2029 werden die aktuellen maximalen 398 Tage schrittweise bis auf 47 Tage verkürzt. Ein Hauptgrund ist, dass es noch keine technisch und organisatorisch sichere bzw. skalierbare Lösung gibt, mit der beispielsweise gestohlene Serverzertfikate offiziell und öffentlich widerrufen werden könnten. Mit der verkürzten Gültigkeitsdauer wird zumindest das Missbrauchspotenzial stark eingeschränkt.
Das Zitat der Woche
The internet didn’t make us stupid. It made stupidity scalable.
Joan Westenberg, 2024-04-21
