DNIP Briefing #69: Risiken und Nebenwirkungen

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zum falschen Einsatz von Applikationen, der KI-Teuerungsprognose und fehlenden IT-Sicherheitsmassnahmen.

Es liegt nicht an Signal, auch nicht an den Usern

Aktuell ist Signal wieder in den Schlagzeilen, besonders in unserem nördlichen Nachbarland. Signal sei gehackt worden, so lassen sich einige der Schlagzeilen interpretieren.

Auch wenn vieles im Dunkeln liegt: Scheinbar wurden einige deutsche Spitzenpolitiker Opfer von Phishing-Angriffen. Dabei scheint mindestens eine Person den Inhalt ihrer Verifikations-SMS an unbekannte Dritte weitergegeben zu haben, die damit ihre Identität übernehmen konnten (möglicherweise aber nicht die Kontaktliste oder den Chatverlauf).

Caspar Clemens Mierau beschreibt die Hintergründe und seine Schlussfolgerungen bei Golem. Abgesehen davon, dass für Spitzenpolitiker gewisse Transparenzvorschriften herrschen, für mich die wichtigste Message: Wenn man eine Applikation im Geschäftskontext einsetzt (egal, ob man jetzt Politikerin, Mitarbeiter einer Firma oder Angehörige eines Non-Profits ist), sollte diese Applikation für den Geschäftskontext geeignet sein. Insbesondere sollte klar unterschieden werden können, wer jetzt Mitglied der eigenen Organisation ist und wer nicht. Damit nicht aus Versehen der Verteidigungsminister einen Journalisten in seine streng geheime Signal-Gruppe hinzufügt; oder was auch immer der Falsche-Person-bekommt-geheime-oder-peinliche-Informationen-GAU in eurer Organisation ist.

Wir in der DNIP-Redaktion nutzen Signal regelmässig. Für unsere Grösse ist das auch ein passendes Werkzeug, welche unsere Anforderungen an Benutzbarkeit und Sicherheit erfüllt. Für grössere Organisationen braucht es aber andere Anwendungen, welche die Organisation und ihre Angehörigen kennen. Damit Einladefehler oder Phishing möglichst ins Leere laufen.

KI wird teurer

Was bei all der technologischen Zauberei namens KI dem technologischen Fortschritt in KI-Technologien gerne vergessen geht: Rechenleistung kostet Geld, und wer immer dieses Geld investiert, will früher oder später eine Rendite sehen (oder nur schon ein Unternehmen, welches mit seinen Einnahmen seine laufenden Kosten deckt). Dass die KI-Industrie momentan täglich Millionen an Venture Capital verbrennt, ohne effektiv rentabel zu sein, beschreibt Ed Zitron auf seinem Blog seit längeren in sehr deutlichen Worten (auch wenn die Texte und Analysen teilweise arg lang geraten).

Nachdem sich Ende März bereits Nutzer von Claude Code darüber beklagten, dass sie ihre Nutzungsquoten innert weniger Stunden aufgebraucht hatten, mehren sich jetzt die Anzeichen, dass sämtliche Anbieter damit beginnen, ihre Token-Preise anzuheben:

• Github hat die Nutzungslimiten für Copilot gesenkt, einige teurere Modelle aus dem Angebot genommen und wechselt im Sommer von einem Pauschal-Abo zu einem Nutzungs-basierten welches die Kosten direkt den Benutzern weitergibt.
• Anthropic hat die Nutzung von Claude für OpenClaw (einer teil-autonomen KI-Anwendung) eingeschränkt,
• Verschiedene KI-lastige Applikationen (darunter Microsoft 365, Salesforce, Google Workspace) haben in den letzten Monate ihre Preise um rund einen Viertel erhöht.

Nachdem die breite Verfügbarkeit von KI-basierten Code-Generatoren die IT-Startup-Szene in den letzten Monaten massiv beflügelt hatte, dürfen steigende Token-Preise für viele schnell einmal das Ende einläuten. Aber auch etablierte Unternehmen, welche massiv auf die Karte KI gesetzt und teilweise bereits Personal entlassen haben, müssen ihre Kostenkalkulationen überarbeiten. Tomasz Tunguz hat in einem kurzen Blogpost (The Beginning of Scarcity in AI) zusammengefasst, was Knappheit bei KI-Modellen bedeuten kann:

• Hochmoderne Modelle sind möglicherweise nicht mehr für jedermann zugänglich, da Anbieter den Zugang auf ihre profitabelsten oder strategisch wichtigsten Kunden beschränken.
• Selbst wenn sie verfügbar werden, können KI-Modelle unerschwinglich teuer werden. Unternehmen, die grosse Mengen an Kapital aufbringen oder starke Gewinne erzielen können, werden einen Vorteil haben.
• Selbst wenn man zahlen kann, gibt es möglicherweise keine Garantien, dass die Modelle schnell sein werden.
• Dieses Ungleichgewicht wird unweigerlich die Preise in die Höhe treiben, da die Nachfrage bei einem festen Angebot steigt.
• Entwickler werden gezwungen sein, sich anderweitig umzusehen, von kleineren Modellen bis hin zu On-Premise-Bereitstellungen, bis die Energieinfrastruktur und der Ausbau von Rechenzentren aufgeholt haben, was Jahre dauern könnte.

Der letzte Punkt könnte allerdings ein Trugschluss sein. Wie „Are the Costs of AI Agents Also Rising Exponentially?“ zeigt, werden KI-Modelle zwar immer leistungsfähiger aber gleichzeitig auch exponentiell teurer: Während ein älteres KI-Modell zum Beispiel für $10 1h menschliche Arbeit ersetzt, kostet ein neueres $40 um 2h zu ersetzen. Extrapoliert kommt man so schnell zu einem Punkt, wo KI sich nicht mehr unbedingt lohnt.

Schütze deine Daten vor eigenen und fremden Agenten

Der Gründer eines IT-Dienstleisters für Autovermietungen war am Freitag am Boden zerstört: Ein von ihm aufgesetzter KI-Agent hatte die Produktivdatenbank aller seiner Kunden gelöscht. Sein Post sieht alle Schuld nur beim KI-Modell und beim Datenbanklieferanten, was sehr einseitig scheint.

Wer KI-Agenten einsetzen will, sollte aus seinen Erfahrungen mindestens Folgendes lernen:

1. Zugangsdaten (Passwörter, API-Keys, …) sollten nicht unbewacht herumliegen. Ganz besonders nicht solche, mit denen jemand viel Verderben anrichten kann.
2. Zugangsdaten, die man anderen Personen oder Programmen (ob KI oder nicht) gibt, sollten nur die Rechte haben, die sie auch wirklich benötigen. Falls das Zielsystem kein feingranulares Rechtemanagement unterstützt (und man es nicht durch etwas Modernes ersetzen kann), sollte ein feingranularer Zugangsfilter (z. B. API-Gateway) vorgeschaltet werden.
3. Zugangsdaten, welche das Löschen von Daten ermöglichen, dürfen auf keinen Fall auch das Recht haben, Backups zu löschen.

Das sind Regeln, die auch schützen, wenn jemand Fremder mal unbeobachtet mit dem eigenen Computer herumspielt, falls man von einem Cyberangriff oder einer Ransomware-Attacke betroffen ist. Also die Basics.

Und schliesslich:

• Vorsicht mit nationalen Sonderzeichen in Passwörtern: Nachdem Apple die Tastenbelegung des iOS-Lockscreen-Keyboards geändert hatte, konnte ein tschechischer Benutzer sein Passwort nicht mehr korrekt eingeben und verlor unter anderem die auf dem iPhone gespeicherten Bilder. Auch wenn es schlicht ein Fehler von Apple sein kann: Bei Passwörtern empfiehlt es sich, sich auf auch in USA verwendete Zeichen zu beschränken. Die dadurch entstehende leichte Reduktion der Entropie kompensiert man am besten mit 2–3 zusätzlichen Zeichen.
• Sicherheitsforscher haben eine neue Möglichkeit entdeckt, Firefox-Benutzer mittels Browser-Fingerprinting zu identifizieren. Das alleine wäre noch keine Meldung wert, kritisch ist allerdings, dass der Firefox-basierte Tor-Browser ebenfalls anfällig war.
• Im neuesten Gartner-Vergleich der Marktdurchdringung von Datenbanken fehlen (weiterhin) alle Open-Source-Datenbanken wie PostgreSQL oder MySQL/MariaDB, obwohl diese eine sehr hohe Marktdurchdringung haben. Weil nur Datenbanken gezählt wurden, die via kommerziellen Support verkauft werden. Was bitte ist der Mehrwert einer solchen Studie?
• Microsoft hat letztes Jahr ihre Aktivitäten um den umstrittenen Bildschirmaktivitäten-Aufzeichnungsdienst „Recall“ zurückgefahren (DNIP berichtete), nachdem viele Experten sich öffentlich geäussert hatten, dass das eine schlechte Idee sei, u. a. wegen Datenschutzbedenken. Nun glaubt OpenAI, dass ihr ähnlich funktionierende System „Chronicle“ eine gute Idee ist. Lernen aus Fehlern anderer wird überbewertet.
• Der Informatiker Michael Rabin, der an vielen bedeutenden Problemen u.a. zu Komplexität und Kryptographie geforscht hat, ist im Alter von 94 Jahren gestorben. Wer seine lange Liste an Beiträgen zur modernen Informatik Revue passieren lassen will, kann einen kurzen deutschen oder einen langen englischen Nachruf lesen.
• Bitte, liebe Hersteller von DECT-Basisstation-plus-Telefon-Kombis, schafft eine Möglichkeit, die Basisstation zu resetten, ohne dass man dazu eine funktionsfähige Verbindung zwischen dem Mobilteil und der Basisstation hat. Und dokumentiert die für die User. (Im konkreten Fall konnte das Mobilteil keine Kommandos mehr an die Basisstation senden und damit auch keinen Reset auslösen. Erst ein Zurücksetzen auf Werkseinstellungen hat die Verbindung wieder korrekt laufen lassen. Henne und Ei. Wieso ich das weiss? Weil ich dann irgendwann doch noch ein früher verwendetes zweites Mobilteil finden und reparieren konnte. Von dem aus konnte der Reset ausgelöst werden und nachher funktionierte auch das erste Mobilteil wieder. Es handelte sich dabei um eine Schweizer Marke.)

Zitat der Woche

Sometimes using a Docker container is like sensibly putting out a plastic sheet before you shoot someone in your own house.

(In etwa: Manchmal ist die Verwendung eines Docker-Containers [einer Sandboxing- und Isolationsschicht für Applikationen, die Red.] wie wenn man praktischerweise eine Plastikfolie auslegt, bevor man jemanden im eigenen Haus erschiesst.

Kit Bashir

Dieser weder politisch noch technisch völlig korrekte, dafür um so einprägsamere Satz hilft uns allen hoffentlich, dass wir uns immer daran erinnern, rechtzeitig Vorsichtsmassnahmen wie minimale Rechtevergabe, Sandboxing und Isolationsmechnismen zu aktivieren, bevor wir fremde, unbekannte Software auf unserem Rechner laufen lassen.