Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.
Die Schlagzeile der Woche stammt von Raphael Satter und Christopher Bing, Tech-Reporter der Nachrichtenagentur Reuters: Ein Lobbyist des US-amerikanischen Ölkonzerns ExxonMobil soll an einer Hack-and-Leak-Kampagne gegen Klimaaktivisten beteiligt gewesen sein. Das FBI ermittelt, wie Reuters berichtet. Ziele der Hacker waren Umweltschutzorganisationen und Aktivistinnen, die sich im Kampf gegen die Klimakrise engagierten – und ExxonMobil kritisierten. Laut Reuters verwendeten Anwälte des Konzerns die Dokumente aus den Hacks, um Klagen abzuwehren.
Kopfschütteln über Schwachstellen-Evergreens
Derweil hat die US-amerikanische Cyber-Behörde (CISA) eine Liste der gefährlichsten Software-Schwachstellen in 2024 publiziert. Man darf sich durchaus fragen, wie es mit der Qualität der Software-Entwicklung aussieht, wenn selbst in 2024 die drei top-klassierten Schwachstellen Cross-Site-Scripting, out-of-bound writes/buffer overflows und SQL Injection sind. All diese Schwachstellen sorgen seit Jahren für Probleme, aber offenbar ist das noch nicht bis zu allen Software-Entwicklern durchgedrungen.
Neu ist auch der Cyber Resilience Act: Unternehmen, die Geräte mit sogenannten digitalen Elementen herstellen und in der EU anbieten, müssen den Act bis 2027 umsetzen. Darunter fallen auch Produkte wie Speichermedien oder Grafiksoftware oder Browser, Firewalls und Passwortmanager. Sie alle müssen eine CE-Kennzeichnung aufweisen und teils strenge Vorgaben an die IT-Sicherheit erfüllen. Und in der Schweiz? Hier gibt es bislang nur das Informationssicherheitsgesetz für kritische Infrastruktur und keine Vorgaben für die Privatwirtschaft. Die Debatte über autonomen Nachvollzug und ein Äquivalent wird wohl demnächst eröffnet.
Datenschutzverstösse können nun auch in Deutschland Schadenersatzforderungen nach sich ziehen. Die Datenschutzorganisation «noyb» hat gegen Facebook eine entsprechende Leitentscheidung vom deutschen Bundesgerichtshof errungen. Danach ist der «Verlust der Kontrolle über die eigenen personenbezogenen Daten», wenn dieser auf einen DSGVO-Verstoss zurückzuführen ist, ein ersatzfähiger Schaden.
Unsere Welt ist kompliziert. Damit wir sie verstehen, haben wir über die Jahrtausende Strategien entwickelt, damit wir mit unserer begrenzten Gehirnleistung das Wichtigste der Welt verstehen können. Zu stark zu vereinfachen kann aber auch gefährlich sein, gerade im IT-Security-Bereich. Um als Firma auf Bedrohungen aus dem Internet (bzw. erfolgreiche Angriffe) gewappnet zu sein, muss das eigene IT-Sicherheitspersonal entsprechend gut ausgebildet und geübt sein. Wer erinnert sich nicht an diese Prüfungen, bei denen man alle Unterlagen dabei haben durfte, aber die Zeit zum Nachschlagen einfach nicht reichte? So verhält es sich oft auch bei Cyberattacken. Sich nur auf KI-Lösungen (oder googeln) zu verlassen, reicht dann eben auch nicht. Es reicht eben nicht aus, einfach KI auf eine (zu) komplexe Organisation zu packen. Sondern die Organisation und ihre IT-Prozesse müssen zuerst so stark vereinfacht, standardisiert und automatisiert werden, inklusive der Überprüfungen.
Wenn KIs alte Vorurteile aufwärmen
Eine unterhaltsame und eindrückliche Erklärung, wieso KI-Modelle an althergebrachten Mustern festhalten, hat Karpi vor zwei Wochen im Kulturplatz von SRF aufgezeigt (2½ Minuten ab 04:54). So darf es nicht wundern, dass diese KI-Generatoren alte Vorurteile tradieren. Hintergründe dazu gab es bei DNIP übrigens schon mit Wie gut verstehen LLMs die Welt? (Verständnis), Petzt die KI? Schlimm? (Fehlerkorrektur) und Die dunklen Daten-Geheimnisse der KI (Herkunft und Qualität der Trainingsdaten).
«Verlag will mit KI massenhaft Bücher produzieren» lautet die Schlagzeile bei Golem. Doch wer jetzt aufgrund dieses Titels glaubt, dass der Verlag jetzt selbst mit grossen Sprachmodellen («LLM») wie ChatGPT seine Bücher schreibt, irrt. Denn der Verlag Spines will «nur» «künstliche Intelligenz für Korrekturlesen, Formatierung und Designdienstleistungen» einsetzen. Ob die Autorinnen dann Werke einreichen, die mit KI generiert wurden, bleibt vermutlich diesen überlassen; das konnten sie auch bisher schon im Self-Publishing-Verfahren. Es bedeutet aber, dass weitere Arbeiten durch Sprachmodelle umgekrempelt werden. Wer sich mehr für dieses Thema interessiert, findet bei der Tagesschau (D), beim Kaufmännischen Verband, an der Oxford University oder im grossen Überblick von Michael Seemann mehr Informationen.
Ein Blogpost mit dem Titel «Building LLMs is probably not going be a brilliant business» wirft einen interessanten Blick auf das Geschäftsmodell der LLM-Anbieter, und auf deren Zukunftsaussichten. Der Autor wirft einen Blick auf die Faktoren, welche einem Unternehmen eine starke Marktposition verschaffen, und kommt zum Schluss, dass OpenAI & Co. auf Dauer Mühe haben werden, sich gegenüber der Konkurrenz (anderen LLM-Anbietern) abzuheben. Er weist auch darauf hin, dass alle AI-Unternehmen ihre Hardware von NVIDIA beziehen (mit ein Grund, wieso der Aktienkurs von NVIDIA stark gestiegen ist) und die Weiterentwicklung von LLMs daher vor allem die Kassen des Hardware-Anbieters füllen wird. Nicht im Artikel ist der Hinweis, dass den LLM-Anbietern bei Gelegenheit das Lern-Material (Texte und Bilder) ausgehen wird. So oder so kann man sich fragen, wann die AI-Bubble platzen wird.
Und schliesslich:
- Die englischsprachige Plattform The Record hat die Spyware-Branche in Italien untersucht. Wegen lockerer Regulierungen, niedriger Preise und schwacher Exportkontrollen florieren dort Unternehmen wie RCS Labs und Memento Labs. Und letztere Firma ist bekannt: Im Sommer 2015 hackte Phineas Fisher Hacking Team und veröffentlichte E-Mails, Verträge und eine Kundenliste. Darauf: die Zürcher Kantonspolizei. Die hatte für 486’500 Euro Galileo gekauft, einen Staatstrojaner, mit dem die Polizei in Computer und Smartphones eindringen kann. Heute firmiert Hacking Team unter dem Namen Memento Labs – mit nahezu demselben Personal und wohl auch denselben Geschäftspraktiken.
- Apropos Seekabel: Wie leicht wir in einer drahtlosen Welt vergessen, dass diese unsichtbaren Verbindungen auf über den Meeresboden gezogenen Kabeln beruhen – bis sie, wie Mitte November, reissen und repariert werden müssen. Die New York Times ist mit «Unterwasser-Chirurgen» abgetaucht, wie die Zeitung sie nennt, und hat die bei der Arbeit in der Tiefsee beobachtet.
- Auch wenn etliche Leute nach dem Bruch der Unterseekabel aufgescheucht waren: Das Internet selbst (also das, welches Datenpakete überall in der Welt herumschickt) hat das erstaunlich gelassen genommen, wie eine erste Auswertung des für europäische Internetadressen etc. zuständigen RIPE ergab. Nach diesen ersten Resultaten sahen die meisten Verbindungen keine Verschlechterungen des Internetzugangs; bei 20-30% gab es leichte Verschlechterungen. Das hat aber auch nur funktioniert, weil das Netz von Internetkabeln zwischen den Internetanbietern genügend feinmaschig ist und genügend Alternativen bietet, zu Land und zu Wasser.
Eine Antwort
Es gibt auch andere Gründe, wieso Glasfasern aufhören zu funktionieren. Zu den Hauptfeinden von Erdverlegten Glasfasern (Vitrum terranis longum) gehört der Gemeine Bagger (Excavatorium excavatorium). Vor vielen Jahren schafften es zwei unterschiedliche Bagger innerhalb eines Jahres zweimal, unsere Trasse allen unseren Glasfasern zu verletzen (ein paar km weiter wären sie dann in unterschiedliche Richtungen abgebogen, dort lagen sie aber zu fünft eng zusammengekuschelt da).
Auch in Finnland (ja, schon wieder Finnland!) haben sich diese Woche gerade zwei Bagger aufs Mal an einer wehrlosen Glasfaser gütlich getan. Der Arzt war aber rasch zur Stelle und die Glasfaser konnte schon am nächsten Tag in ihren schönsten Farben glänzen.