Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u.a. mit sicherer Messenger-Nutzung, Alterskontrollen und etwas KI.
Verschlüsselung schützt nicht vor Phishing
Signal, Threema & co bieten Sicherheit, indem sie Nachrichten end-to-end verschlüsseln. Keine Sicherheit bieten sie gegen Phishing-Angriffe mit welchen sich Angreifer mit Nutzerinnen-Hilfe Zugang zu Nachrichten verschaffen. Wie Heise berichtet, haben in Deutschland das Bundesamt für den Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik gemeinsam vor einem Phishingversuch eines mutmasslich staatlichen oder staatlich gesteuerten Angreifers auf Signal gewarnt. Konkret geht es um zwei gezielte Attacken:
- In der ersten eröffnen Angreifer einen Chat mit der Zielperson und geben sich als Signal-Supporter aus, der die Gerätesicherheit überprüfen muss. Dazu fordern sie die Zielperson dazu auf, ihren Sicherheits-PIN einzugeben und nutzen diesen, um den Account direkt zu übernehmen. Zugriff auf vorhandene Messages ist auf diese Weise zwar nicht möglich, jede zukünftige Kommunikation läuft aber über den Angreifer.
- Bei der zweiten Variante nutzen Angreifer die QR-Codes, mit welchen man sich ganz legitim in Signal auf seinem Rechner einloggen kann. Sie installieren Signal auf dem eigenen Rechner, übermitteln den zur Verknüpfung notwendigen QR-Code an die Zielperson und überreden sie dazu, diesen zu scannen. Dadurch erhalten die Angreifer Zugriff auf die Chatinhalte der vergangenen sechs Wochen wie auch auf alle zukünftigen Chats.
In beiden Varianten wird also nicht die Sicherheit von Signal an sich angegriffen, sondern mittels Social Engineering der Nutzer dazu gebracht, dem Angreifer Zugriff zu gewähren. Wachsamkeit ist hierbei der beste Schutz. Signal selbst hält fest, dass sie keinen Kontakt über In-App-Nachrichten, Anrufe, SMS oder soziale Medien aufnehmen, sondern ausschliesslich per E-Mail über ihre offiziellen @signal.org E-Mail-Adressen kommunizieren“.
Signal für Vorsichtige
Selbst wenn man nicht auf Phishing-Angriffe reinzufallen gedenkt: auch bei einer „normalen“ Benutzung von Signal & co gibt es einige Vorsichtsmassnahmen, mit welchen man sich insbesondere in Gruppenchats schützen kann. The Verge hat diese unter A community organizer’s guide to Signal group chats zusammengestellt. Die meisten davon sind, trotz anderer Gesetzesgrundlage, in der Schweiz/in Europa ebenso hilfreich wie in den USA.
Einige der Vorschläge sind primär Selbstschutz, wie zum Beispiel das Abschalten der App-Vorschau auf dem jeweiligen Smartphone, damit beim Wechseln der App keine Chatverläufe sichtbar werden; das Verbergen der eigenen Telefonnummer vor Dritten; oder die Verwendung eines neutralen App-Icons. Speziell für Gruppen ausgelegt sind Ratschläge bezüglich der Kontrolle darüber, wer überhaupt in einer Gruppe teilnimmt, wie auch die Verwendung von sich selbst löschenden Nachrichten, um das Risiko zu reduzieren, sich aufgrund alter Chats unnötig zu exponieren. Auch das automatische Löschen von Bildern/Videos nach einmaligem Ansehen kann helfen, späteren Ärger zu vermeiden.
Blick gegen Scam-Werbung
Auch der Blick findet, der Bund tue nicht genug gegen Scam-Werbung (DNIP berichtete). DNIP findet, dass Blick/Ringier es zumindest in der Hand hätten, Spam-Werbung auf den eigenen Plattformen zu unterbinden.
Aber egal, die etwas seltsame Empfehlung: Noch schnell eine Vernehmlassungsantwort zum KomPG einzureichen. Für die meisten Leser:innen dürfte das keine Option sein, auch wenn diverse zivilgesellschaftliche Organisationen ihre Argumente zusammengetragen und veröffentlicht haben.
Was aber mit kaum mehr als einem Klick geht: Die Petition von Konsumentenschutz und Digitaler Gesellschaft gegen Scam-Werbung zu unterzeichnen.
EU gegen TikTok
Die EU-Kommission hält in einer vorläufigen Stellungnahme fest, dass das suchterzeugende Design von TikTok gegen das Gesetz über digitale Dienste verstosse. «Funktionen wie unendliches Scrollen, Autoplay, Push-Benachrichtigungen und das hochgradig personalisierte Empfehlungssystem» tragen laut Kommission zu dieser Suchterzeugung bei. Wie alle Suchtmechanismen führen auch diese – insbesondere so geballt und perfektioniert wie bei TikTok – zu Risiken. Diese seien aber in den bisherigen Aussagen von TikTok nur ungenügend betrachtet worden und wichtige Massnahmen zur Risikominderung seien von TikTok nicht umgesetzt worden.
Natürlich ist das so, wie Sascha Pallenberg überspitzt formuliert, «Das wäre so, als müsste der Ecstasy-Dealer nun MDMA, Speed und all den anderen Rotz aus seinen Pillen entfernen.» (Rechtschreibung angepasst.) TikTok-Mutter ByteDance widerspricht diesen «kategorisch falschen» und «völlig falschen» Vorhaltungen, wie der Deutschlandfunk berichtet. Es geht ja schliesslich um den Kern ihres Geschäftsmodells.
Nach dieser vorläufigen Feststellung der EU-Kommission geht das Verfahren in die nächste Runde. Da sich dieses nun schon zwei Jahre hinzieht (Start war der 19. Februar 2024), ist nicht mit einem baldigen Ende zu rechnen. Es ist davon auszugehen, dass bei einem erfolgreichen Verfahrensverlauf auch weitere suchterzeugende Merkmale anderer Plattformen unter die Lupe genommen werden.
In der Zwischenzeit werden die Plattformen auch weiterhin, wie nun schon «seit einem Vierteljahrhundert auf erstaunliche Weise haftungsbefreit» bleiben, wie Philip Kübler von ProLitteris im Interview mit Martin Steiger bedauert. In der Schweiz sowieso.
DigiGes gegen Social-Media-Verbot für Jugendliche
Obwohl sowohl die Inhalte als auch das Suchtverhalten für Jugendliche schädlich sein können, spricht sich die Digitale Gesellschaft gegen ein Social-Media-Verbot für Jugendliche aus. So sei das keine nachhaltige Problemlösung, es fehle die wissenschaftliche Grundlage, es würde Jugendliche von der sozialen/digitalen Teilhabe ausschliessen, marginalisierte Gruppen weiter benachteiligen und infolge der Altersverifikation Datenschutz- und Überwachungsprobleme verstärken.
Auch DNIP hat dieses Themenfeld schon länger begleitet: So ist bei der technischen Umsetzung von Altersverifikation mit Problemen verbunden, die von Internetfeindlichkeit über Faktenchecks und – entgegen der wiederholten Beteuerungen – doch zu einer Ausweispflicht führten. Auch wenn die e-ID eine privatsphärefreundliche Altersverifikation ermöglicht, so wird es neben der e-ID immer noch andere Verifikationskanäle geben müssen. Selbst wenn die manchmal «nur» mit einem kleinen Selfie-Video abgefrühstückt werden können: oft wird es doch zum zusätzlichen Scannen eines staatlichen Ausweises kommen, wie das Discord ab nächstem Monat für viele ihrer Nutzer:innen verlangen wird. Neben Datenschutzproblemen lassen sich diese Mechanismen oft auch einfach übertölpeln: So haben Nutzer statt eines Selfies einfach ein Videospiel abgefilmt oder die ID durch Live-Bildbearbeitung „verschönert“.
Auch die fehlende wissenschaftliche Grundlage haben wir schon thematisiert und einige Fragen gestellt, die es vorher zu beantworten gäbe.
Und natürlich wäre es wichtig, dass die süchtigmachenden oder betrügerischen Komponenten der „Social Media“-Plattformen entschärft würden. Neben diesen beiden bereits weiter oben besprochenen Themen sind natürlich auch weitere Gebiete wie das extrem lukrative Aufbauschen von Hassrede in den Griff zu bekommen.
An allen dreien aber verdienen die Plattformen. Auf Kosten unserer Gesellschaft und jedes Einzelnen.
Doch noch was zu Moltbook
Moltbook ist eine reddit-ähnliche Platform, auf welcher sich angeblich AI-Bots untereinander austauschen und welche von AI-Fans als faszinierender Einblick in die „Gedanken“welt von AI-Bots gesehen wird. Reto hat bereits in seiner Kolumne vom letzten Freitag eine leicht andere Interpretation publiziert. Wie jetzt bekannt geworden ist, wies die Platform gravierende Sicherheitslücken auf. Diese erlaubten es schlicht jedem (Bot wie Mensch), Beiträge zu publizieren und sogar bestehende Beiträge zu ändern. Die dazu notwendigen API-Schlüssel waren jedem zugänglich, der einmal einen Blick auf den HTML-Quellcode der Seiten warf.
Dass der Entwickler laut eigenen Angaben keine Zeile Code selber schrieb, sondern das ganze Vibe-Coden liess, macht die Sache nicht besser. Es erklärt aber zumindest, wie derart eklatante Fehler den Weg in den Code gefunden haben (und lässt darüber hinaus vermuten, dass auch viele weitere AI-generierte Applikationen nicht sicher sind).
Unter diesen Umständen ist das Kartenhaus des Austauschs unter AI-Bots ziemlich schnell in sich zusammengefallen. Statt AI-Bot-Beiträgen finden sich auf der Plattform primär Texte von Menschen, welche sich als Bots ausgeben um Cryptowährungen zu bewerben oder Verschwörungstheorien zu verbreiten. Schon rein grundsätzlich wäre es unwahrscheinlich gewesen, dass Bots hier plötzlich frei von der Leber weg untereinander diskutieren. Auch diese Diskussionen wären (wie LLM-Output generell) primär die Reproduktion menschlicher Chats gewesen.
Die AI-Apokalypse lässt also weiterhin auf sich warten …
Und schliesslich:
- Wir wussten es ja schon immer: Grosse KI-Sprachmodelle wurden nur dazu entwickelt, Förderanträge zu schreiben. Zumindest geben jetzt Behörden Kurse, wie man bei ihnen (und anderen Behörden) einfacher Anträge schreiben könne. Statt die Antragsprozesse zu vereinfachen, wie es z.B. in nordischen Ländern schon lange gelebt wird.
- Angeblich amerikanische selbstfahrende Autos stammen nicht aus den USA. Und fahren auch nicht immer selbst. Denn manchmal werden sie aus den Philippinen ferngesteuert. Was natürlich Fragen rund um die Reaktionszeit aufwirft. Neben vielen anderen mehr, die BusinessInsider zusammengetragen hat.
- Wer schon immer mal wissen wollte, wie diverse alltägliche Dinge funktionieren, der und dem sei der Podcast «Informatik für die moderne Hausfrau» ans Herz gelegt. Und nein, das ist nicht sexistisch zu verstehen; der «Podcast von, mit und über Frauen in der Informatik» stammt von Lea Schönberger, einer promovierten Informatikerin. Und ist ganz unnerdig und trotzdem sehr informativ. Hört euch beispielsweise doch mal an, was man alles aus dem Blinken eines LED-Weihnachtsbaums in den Augenwinkeln über Informatik lernen kann (und auch über den Elektroherd zu Hause).
