Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.
Datensicherheit ist nicht kriminell – im Gegenteil
«Jedes Mal, wenn wir ein Pixel [Android-Smartphone von Google] sehen, denken wir, dass dahinter ein Drogendealer sein könnte.» So zitiert das spanische Online-Magazin Xataka Android einen Mitarbeiter der spanischen Drogenbekämpfung. Ähnliche Nachrichten geistern auch gerade durch schwedische Quellen, wie auf sozialen Medien berichtet wird.
Der Grund für diese Aussage: Auf Googles Pixel-Telefonen lässt sich auch die als besonders hackersichere (und privatsphärefreundliche) geltende Android-Variante GrapheneOS installieren. Die Sicherheitsfeatures von GrapheneOS zielen zwar darauf, Cyberkriminellen den Zugang zu persönlichen Daten, Geschäftsgeheimnissen sowie Passwörtern zu erschweren. Aber weil Technik nicht zwischen Gut und Böse unterscheiden kann, beissen sich alle Hackertools an GrapheneOS die Zähne aus, egal ob diese Tools in den Händen von Cyberkriminellen sind, von totalitären Staaten gegen Journalistinnen und Journalisten eingesetzt werden oder von der Polizei gegen Drogen- und Wirtschaftsdelikte.
Fast jeder von uns dürfte auf dem Smartphone Daten haben, die Cyberkriminellen zugutekommen:
- Persönliche Informationen, die für Erpressung oder «Enkeltrick» bzw. Schockanrufe genutzt werden können, sei es direkt auf dem Handy, in Chatmessages oder im Cloudspeicher dahinter.
- Firmendaten oder Kontaktdaten, die gezieltes Phishing («Spear Phishing») oder Betrug im grossen Stil («CEO Fraud») ermöglichen.
- Passwörter für Firmenzugänge bzw. Zugang zu Banken und anderen Online-Zahlungen, die dann für Ransomware-Angriffe mit Millionenschäden oder Finanzbetrug eingesetzt werden können.
Jedes Smartphone (und jeder Computer), der es Cyberkriminellen ermöglicht, an diese Daten zu kommen, ist also ein potenzielles Millionengrab. Und Cyberkriminelle nutzen jede Gelegenheit, die sich ihnen bietet:
- Verlorene, gestohlene oder weiterverkaufte Geräte
- Scheinbar harmlose Apps, die sich aber als bösartig herausstellen («Trojaner»)
- Die Ausnutzung von Sicherheitslücken in Hardware, Betriebssystem oder Programmen
- Den Zugang zu Chatmessages auf den Instant-Messaging-Servern
- Den Zugang zu Daten via Cloudspeicher
Wenn diese Handys nicht Personen oder Firmen in den Ruin schicken sollen, müssen sie gegen alle diese Angriffsmechanismen geschützt sein. Und dazu gehört sichere Hardware, ein sicheres Betriebssystem, sichere Passwörter, sichere Programme (insbesondere auch Chatprogramme wie Signal oder Threema) sowie sichere Cloudspeicher und andere sichere Online-Dienste. Kombiniert mit Mechanismen zum Schutz Privatsphäre.
Also: Ein unsicheres Smartphone (oder unsichere Software/Dienste) zu verwenden, das ist das, was eigentlich als kriminell geahndet werden sollte.
Der Richter und sein Henker
Wenn es darum geht, in der Öffentlichkeit gut dazustehen, prahlt Elon Musk mit der riesigen Datenmenge, die Tesla besitze: Tesla sei eine KI-Firma, kein Autobauer, liess er beispielsweise letztes Jahr verlauten. Immer wieder heisst es, Tesla habe mit seinen Kameras auf vier Rädern mehr Daten gesammelt als sonst eine Firma: So hatte Tesla schon vor vielen Jahren Daten von über einer Milliarde gefahrener Kilometer und die Datenmenge wuchs angeblich ein Vielfaches schneller als Leute bei Youtube Videos hochladen.
Doch heute soll es nicht um die Datenschutzfragen rund um diese Aufzeichnungen gehen.
Der Guardian hat eine detaillierte Analyse veröffentlicht, wann Tesla seine Fahrdaten zur Aufklärung von Unfallursachen zur Verfügung stellt. In einem Teilabdruck aus ihrem kürzlich erschienen Buch haben sich Sönke Iwersen und Michael Verfürden unerklärliche Selbstunfälle mit tödlichem Ausgang vorgenommen.
Während bei der Explosion eines Cybertrucks vor einem Trump-Hotel im Januar Tesla (und Musk persönlich) innert weniger Stunden detaillierte Hintergrundinformationen aus den Daten extrahierten und die Resultate veröffentlichten, ist die Antwort bei Selbstunfällen häufig sehr eintönig: «Keine relevanten Daten vorhanden.»
Obwohl die Autos viele Daten in Echtzeit zum Hauptquartier schicken und die eingebaute Blackbox unzählige relevante Fahrdaten auch über einen Crash hinaus speichert, wie Forscher aus Berlin und ein niederländisches Forensik-Institut nachvollziehen konnten.
Wieso gibt Tesla auch auf Anfrage der Ermittlungsbehörden in diesem Fall die Daten nicht heraus? Wieso fragen die Ermittlungsbehörden nicht nach? Die Autoren kennen auch den Inhalt einer Email eines Mitarbeiters der Tesla-internen Sicherheitsuntersuchungsstelle. Laut der Umschreibung im Artikel will Tesla mit dieser restriktiven Herausgabe vermeiden, dass solche und ähnliche Daten zukünftig von Gerichten als Beweismittel angefordert würden.
Ein anderes seltsames Verhalten: In etlichen Unfällen hat sich der Autopilot bzw. das angebliche «Full Self Driving» (FSD) Sekundenbruchteile vor dem Crash abgeschaltet. Zu kurz, dass Fahrer:innen noch die Kontrolle übernehmen können. Aber gerade noch rechtzeitig, um die Unfälle in der Statistik als «Autopilot war aus» aufführen zu können.
Aber solange niemand nachfragt, weder bei den konkreten Unfällen noch ob diese Fahrassistenzsysteme als sicher gelten dürfen, entscheidet Tesla, was wir darüber wissen. Oder eben nicht.
IT-Sicherheit: Alltagstipps vom BSI
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Sammlung von Kurzanleitungen für das Vorbeugen im sicheren digitalen Alltag von Verbraucher:innen um Checklisten für den Ernstfall ergänzt, also für dann, wenn die Schutzvorkehrungen versagt haben. In den allermeisten Fällen dürften sie dann versagt haben, wenn man sich gar nicht erst beachtet hat.
Wenn das Kind schon in den Brunnen gefallen ist, sind die BSI-Checklisten eine wirksame Methode, den Schaden zu minimieren. Die Checklisten gibt es als PDF für die Reaktion darauf, wenn man (1) seinen Rechner mit Schadprogrammen (Malware) infiziert hat, wenn man (2) beim Onlinebanking betrogen wurde, wenn (3) Kinder oder Jugendliche von Cybermobbing betroffen sind, man (4) auf einen Phishingbetrug hereingefallen ist oder wenn man (5) mit Nacktbildern erpresst wird.
Zu e-Banking in der Schweiz und Liechtenstein gibt es übrigens auch schon seit Jahren das Informationsangebot EBAS («E-Banking, Aber Sicher») der Hochschule Luzern zusammen mit vielen Finanzinstituten.
Ebenfalls neu ist die BSI-Broschüre zum sicheren Umgang mit KI. Sie bietet einen guten High-Level-Überblick über Fragen, die man sich beim Einsatz dieser Hype-Technologie stellen sollte. (Wer mehr in die Tiefe gehen will, findet in den KI-Artikeln bei DNIP hoffentlich Antworten. Wenn nicht: Einfach melden, z. B. unten in den Kommentaren!)
Googles Zwilling ist dein Zwilling
Google rollt dieser Tage eine neue Version seiner Gemini-KI-App aus. Das alleine ist ja heute keine Schlagzeile mehr wert. Aber Google wäre nicht eines der erfolgreichsten Tech-Unternehmen, wenn es so einen KI-Rollout nicht speziell untermalen würde. So sollen bei diesem Update alle bisherigen von den Nutzer:innen eingestellten Privatsphäre-Einsschränkungen aufgehoben werden, wie Nota berichtet.
Das heisst konkret, wenn man Googles KI-Zwilling den Zugriff auf einzelne Apps verboten hat, ist dieses Verbot wieder aufgehoben. In der physischen Welt würde dies einen wütenden Aufschrei verursachen, in der digitalen Welt gehört das leider zum Alltag.
Doch auch wenn sich der Nota-Artikel auf den ersten Blick so liest, als ob Gemini beispielsweise die WhatsApp-Nachrichten lesen könne, beschreibt dies Google etwas anders: So könne Gemini keine Nachrichten etc. in den Apps lesen. Es könne aber beispielsweise Nachrichten versenden oder Anrufe tätigen. Und falls die App eine Benachrichtigung aufpoppen lässt, beispielsweise bei einer neuen Nachricht, dann kann Gemini die auch lesen.
Trotzdem: Die Wünsche der Person vor dem Bildschirm absichtlich zu ignorieren ist ein Unding. Und gehört zu den ganzen Weisswaschaktivitäten, die in letzter Zeit Mode geworden sind: Greenwashing, Privacywashing, Sovereigntywashing, …
Glaubt nicht jeder PR. Und bereitet euch darauf vor, dass ihr einem Produkt einen Rücken kehren könnt, falls es euch dann irgendwann doch einmal die Hutschnur lupft.
Mehr echte digitale Souveränität ist nötig
Wer das Briefing bis hierhin gelesen hat, wird sich sehr wahrscheinlich mehr Souveränität bei seinen Online-Aktivitäten wünschen. Diese Souveränität verspricht das «Netzwerk SDS – Souveräne Digitale Schweiz», welches gestern gegründet wurde. Einer der konkreten ersten Pläne ist, die Schritte zu souveränen IT- und Cloud-Lösungen, die unsere Nachbarländer gehen, auch für die Schweiz nutzbar zu machen. So soll in «Kooperation mit dem deutschen Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) […] ein offizielles openDesk-Angebot in der Schweiz» aufgebaut werden, wie es in der Pressemitteilung heisst. Hoffen wir, dass es nicht bei dieser Pressemitteilung bleibt!
Und schliesslich:
- Auch in der Schweiz ist nun gerichtlich geklärt, dass nur ein Mensch Erfinder:in sein kann: Das Bundesverwaltungsgericht hat entschieden, dass ein KI-System nicht als Erfinder eines Patents eingetragen werden kann. («Absurd» daran – wie vom Titel des Bluewin-Artikels impliziert – ist eigentlich nur, dass ein Mensch unbedingt eine Maschine als Erfinderin eintragen wollte.)
- Im Rahmen der Google-Antitrust-Verhandlungen in den USA steht auch die Auslösung von Android (DNIP berichtete) bzw. Chrome aus dem Alphabet-Konzern zur Diskussion. Forscher der Uni Georgetown haben die technischen Möglichkeiten und Hindernisse einer Chrome-Löslösung analysiert. Scheint grundsätzlich möglich, auch wenn sich natürlich die Frage der Finanzierung ergibt.
