DNIP Briefing #29: die Schlüsselfrage

Foto eines Schlüssels auf dem "Faith" eingraviert ist.
Vertraut man Microsoft seinen Schlüssel an? Foto: Nick Gardner auf Unsplash

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.

Ab sofort strukturieren wir das Briefing und beginnen mit leicht verdaulichen und verständlichen Inhalten – und enden mit technologisch-komplexen Artikeln. Ziel ist es, dass sich unsere Leser:innen schneller zurechtfinden und besser einschätzen können, was sie erwartet.

Was hältst du davon? Schreibe es uns.

Das Ende des Internets (die x-te)

Das Ende des Internets wird regelmässig heraufbeschworen, sei es wegen Facebook, wegen der Blockchain, wegen des Metaverse oder jetzt aktuell wegen AI. Dies ist argumentativ schon rein deswegen spannend, weil sich die Mär, wonach das Internet entwickelt wurde, um in einem Atomkrieg weiterhin kommunizieren zu können, hartnäckig hält. Wer Lust hat, kann in den Kommentaren gerne darüber philosophieren, ob sich daraus ableiten lässt, dass Facebook, Blockchain, Metaverse oder KI destruktiver sind als ein Atomkrieg.

Gleich zweimal war in den letzten Tagen allerdings vom Effekt der KI-Zusammenfassung die Rede, mit welcher Google seit neustem auf Web-Suchen antwortet. Sowohl Heise als auch der UK-Journalist Ian Betteridge (der sich auf eine Analyse aus einem LinkedIn-Post bezieht) beschreiben den Effekt dieser Zusammenfassung auf den Web-Traffic der eigentlichen Quellen: Dieser ist nicht ganz überraschend negativ, bis hin zu dem Punkt, dass diese Seiten (etwa Newsportale oder auch DNIP) von Google in Zukunft nur noch einen einzigen Zugriff bekommen: Denjenigen des LLM-Bots, welcher alle Inhalte ausliest und in sein Modell integriert. Den Effekt auf Web-Angebote, welche sich über seitenaufruf-abhängige Werbung finanzieren, kann man sich da leicht ausmalen. 

Heise weist zu Recht darauf hin, dass grosse Verlage etc. den nötigen Einfluss haben, um Google und Co direkt oder mit politischen Mitteln zur Kooperation (oder zumindest zum Bezahlen) zu bewegen. Anders sieht es für kleine Anbieter aus:

Aber der Deal „Inhalte gegen Besucher“ ist auch für viele private und nebenberufliche Blog- und Website-Betreiber wichtig. Denn was motiviert Menschen, ihr Wissen ins Web zu schreiben? Gefunden und gelesen zu werden. Das gilt für die Betreiber von Blogs zu Nischenthemen, ebenso für Leute, die Fragen auf Reddit, Stack Overflow (die schon länger ein anders geartetes Problem mit KI haben) oder im heise-online-Forum beantworten.

Heise-Kommentar: Das Ende des Internets, wie wir es kennen

Dass sich dadurch zwar nicht das Internet, aber das World Wide Web, wie wir es aktuell kennen, verändern wird, liegt auf der Hand. Nicht nur werden Google (und Meta, welches Benutzer gerne verstärkt in Facebook und Instagram halten möchte) noch mehr Einfluss gewinnen, wir bewegen uns mit einer KI, welche direkt im Browser Anfragen beantwortet, auch schneller weg vom offen ausgelegten und jedem zugänglichen Web hin zu schlussendlich proprietären Inseln (eine Entwicklung, welche Youtube, Instagram und Tiktok ja bereits teilweise vorweggenommen haben). Der Markt wird diese Entwicklung kaum im Sinne der Allgemeinheit regeln, und ob es die EU mit einer weitergehenden Plattformregulierung schafft, steht noch in den Sternen. In der Schweiz stehen wir aufgrund der bundesrätlichen Unlust, das Thema Plattformregulierung überhaupt voranzubringen, von vornherein mit schlechten Karten da.

Apropos Ende: Auf Whatsapp läuft künftig personalisierte Werbung in der Status-Anzeige. Die Anzeigen basieren auf den Daten, die man auf Facebook und Instagram angehäuft hat. Was die Menschen schreiben, bleibt Ende-zu-Ende-verschlüsselt, aber Meta sieht, wer mit wem wann und wo kommuniziert. Und diese Metadaten werden herangezogen, wenn es um das Ausspielen von Werbung geht. Man kann in Zukunft auf WhatsApp also zu erraten versuchen, «dank» welchem Gesprächspartner man nun Werbung für Katzenfutter, Bali-Ferien oder Umstandsmode erhält. Und einfach damit das wieder mal gesagt ist: Installiert und nutzt Signal oder Threema.

Moderne KI verliert gegen Schachprogramm von 1977

Die Schlagzeile hat es in sich: «ChatGPT verliert im Schach gegen Atari 2600» schrieb der Spiegel. Gegen das erste Heim-Schachprogramm, als die ersten Spielekonsolen für den heimischen Röhrenferneseher aufkamen. Also so eine Art zweite Computer-Steinzeit, einfach diesmal nicht mehr ganze Turnhallen füllend, sondern so klein, dass es ins Fernsehmöbel passte. Mit einer Rechenleistung viele tausende Male langsamer als ein heutiges Mobiltelefon und eingebautem Speicher so klein, dass man sich heute darüber kaputtlacht.

Und das «intelligenteste» Programm unserer Zeit soll daran grandios scheitern? Das kann doch nicht wahr sein!

Wir sollten daraus (wieder einmal) zwei Dinge mitnehmen:

  1. Nur, weil wir eine überzeugend formulierte Antwort erhalten, heisst das noch lange nicht, dass sie auch korrekt ist. Egal, ob von Mensch oder Maschine. (Auch wenn viele Menschen ehrlicher mit ihrer Unwissenheit umgehen.)
  2. Kenne deine Werkzeuge und wähle sie weise. Egal wie gross, schön oder teuer dein Hammer auch ist: Für das Eindrehen einer Schraube ist er nicht die beste Wahl. Das gilt auch für IT-Tools, egal ob «KI» draufsteht oder nicht.

Oder kurz: Schuster bleib bei deinen Leisten! (KI-sten?)

(Und: Lasst euren KI-Agenten nicht unbeaufsichtigt. Er könnte Kevin heissen.)

Allmächtiges Microsoft

Schweizer Behörden können nicht ohne Microsoft. Der öffentliche Sektor kaufe zu 98 % beim Konzern aus Redmond ein, heisst es in einem aktuellen Artikel der Republik. Demnach geht die Abhängigkeit so weit, dass Fachpersonal entlassen wird, dass sich kritisch zur Einführung von Microsoft-Produkten äussert, so zumindest scheinbar geschehen im Kanton Luzern.

Weil die Kritik gegen Microsoft bzw. gegen die Abhängigkeit vom Konzern immer lauter wird, lanciert der Redmonder Riese «souveräne Lösungen für europäische Organisationen», wie er sie bezeichnet. Dazu gehören unter anderem kundenkontrollierte Verschlüsselung, vereinfachte Konfigurationen und ein lokal betriebenes Microsoft 365. In Frankreich und Deutschland hat Microsoft Partner-Firmen an Bord geholt, die M365- und Azure-Funktionen in «unabhängig betriebenen Umgebungen» anbieten. Mit Letzterem will Microsoft den Cloud-Act und damit den Zugriff einer amerikanischen Regierung auf die Kundendaten verhindern. Ob das gelingt, müssen im Zweifelsfall Gerichte entscheiden. Denn die Vertragsbeziehung gehen Unternehmen und Organisationen immer noch mit Microsoft ein. In Falle der anderen Angebote ist die Rechtslage klar: Liegen Daten in einem Rechenzentrum von Microsoft, muss der Konzern diese auf Anordnung rausrücken, ganz egal wo es steht. Dabei schützt auch die «kundenkontrollierte Verschlüsselung nicht», da Microsoft im normalen Betrieb jederzeit das Recht hat, die Schlüssel der Kunden abzurufen.

Die Ankündigung zu Frankreich und Deutschland ähnelt übrigens inhaltlich wie auch optisch stark der Pressemitteilung von Ende April. Microsoft nennt im aktuellen Versand dieselben Partnerunternehmen in den beiden Ländern, einzig die Bezeichnung hat geändert: statt Sovereign Cloud Rechenzentren sind es nun «National Partner Clouds». Einzig von der damaligen Ankündigung, «Backups unserer Quellcodes in sicheren Datenspeichern in der Schweiz» zu erstellen, ist jetzt nichts mehr zu lesen.

EU mit eigenem DNS-Angebot

DNS (Domain Name Services) ist ein zentraler Internet-Dienst, mit welchem sich Domain-Namen wie dnip.ch in die zugehörige, für den technischen Zugriff notwendige IP-Adresse (94.237.81.241) übersetzen lassen. DNS ist also quasi das Telefonbuch des Internet. Entsprechend verfügen Anbieter von DNS-Diensten nicht nur über viel Einflussmöglichkeiten, Zugriffe durch nicht-übersetzen zu verhindern (das wird zum Beispiel auch für das Sperren von Online-Casinos in der Schweiz verwendet), sondern sie können auch protokollieren, von welchen IP-Adressen aus welche Domain-Namen aufgerufen werden. Die meisten privaten Internet-Benutzer verwenden schlicht denjenigen DNS-Dienst, welcher ihr Provider konfiguriert hat, man kann aber auch die entsprechenden Angebote von zum Beispiel Google, Quad9 oder der Digitalen Gesellschaft nutzen.

Die EU hat vor einigen Tagen ein eigenes DNS-Angebot namens DNS4EU für die Öffentlichkeit aufgeschaltet, mit der Absicht, eine sichere, datenschutzfreundliche und zuverlässige europäische Alternative bereitzustellen. Angeboten werden neben einem nicht-filternden Dienst auch Versionen, welche bekannte Werbe-Domains filtern, oder Adressen von Servern mit für Kinder ungeeigneten Inhalten nicht auflösen. Hierbei fehlt es allerdings erheblich an Transparenz. Zumindest auf der Webseite selbst ist nicht dokumentiert, nach welchen Kriterien Domains als Werbung oder als «für Kinder ungeeignet» klassifiziert werden, und wie sich Anbieter allenfalls gegen eine solche Klassifizierung zur Wehr setzen können. Und auch wenn im FAQ betont wird, dass es sich nicht um eine Zensur-Infrastruktur handelt (und es momentan auch keine Anzeichen dafür gibt, dass es eine solche sein soll): Die Risiken sind bei diesem Angebot schlussendlich dieselben wie bei der Verwendung der DNS-Server von Google oder Quad9. 

Jens Link hat sich darüber hinaus angesehen, wie europäisch die von DNS4EU genutzte bzw. bereitgestellte Infrastruktur effektiv ist. Sowohl im Routing für die Anfragen an den DNS-Dienst (welches selbst dann über nicht in der EU angesiedelte Systeme führt, wenn der anfragende Rechner in der EU steht) als auch in der für die Ausfallsicherheit wichtige Redundanz der Server (die momentan zu fehlen scheint) besteht noch Luft nach oben. 

Hacking made in Switzerland

Zwei Schweizer Sicherheitsforscher haben Lücken in von Schweizer:innen genutzten Digitalprodukten gefunden:

  • Stefan Gloor hat herausgefunden, dass bei einem der weitverbreitesten Bezahlterminals in der Schweiz hinter einer einfachen Klappe eine serielle Schnittstelle lauert, mit der man ohne weiteres Zutun Root-Rechte (also volle Kontrolle) auf dem eingebauten Linux-Rechner erhält. (Trotzdem kann man damit noch keine Karten belasten, denn die Zahlungen laufen über einen zweiten Prozessor, der scheinbar gut geschützt ist.)
  • Antoine Neuenschwander hat entdeckt, dass Halterauskünfte über alle Autonummern der Schweiz auch kostenlos verfügbar waren. Die Strassenverkehrsämter, die Betreiberinnen von eAutoIndex.ch, hatten eine Testversion ihres gesamten Systems inklusive aller Daten der Autobesitzer:innen offen im Internet stehen. Und «offen» ist hier wörtlich zu nehmen: So waren sowohl das Login als auch die Bezahlfunktion nur Testversionen, d.h. Konten konnten ohne Verifikation erstellt sowie «Zahlungen» ohne Belastung durchgeführt werden.

Auch wenn beide (u.a. dank entsprechender Meldung an die Hersteller) glimpflich ausgegangen sind: Es ist so einfach, unsichere Systeme zu bauen. Wer Soft- oder Hardware baut, sollte grundlegendes IT-Sicherheits-Know-How besitzen. Und dieses auch nutzen.

Android 16: Weniger ist mehr?

Google hat zusammen mit der Veröffentlichung von Android 16 auch – wie seit Jahren üblich – den Quellcode dazu im Android Open Source Project (AOSP) veröffentlicht. Neben vielen neuen Funktionen ist aber mindestens so bedeutsam, was neu denn fehlt. So sind die Gerätetreiber für Googles Pixel-Geräte nicht mehr dabei; also die Teile, die für die Ansteuerung der eigentlichen Hardware nötig ist. Die Pixel-Geräte waren genau wegen dieser Verfügbarkeit so beliebt bei den Entwicklern von besonders privatsphärefreundlichen oder sicheren kostenlosen Android-Derivaten wie beispielsweise GrapheneOS. Bei anderen Telefonen müssen die Entwickler diese kritischen Komponenten nämlich selbst schreiben, oft ohne Dokumentation durch die Hersteller; ein mühsames und fehleranfälliges Unterfangen, das die Entwickler verständlicherweise nur für beliebte Geräte treiben wollen.

Entsprechend beschweren sich auch die Entwickler über diesen Schritt, der laut Google der Gleichberechtigung zu verdanken sei. Es wird aber gemunkelt, dass Google diesen Schritt gegangen sei als Vorbereitung auf die mögliche Herauslösung von Android aus dem Konzern im Rahmen der Antitrust-Verhandlungen infolge Anschuldigungen der Ausnutzung von monopolähnlichen Strukturen.

Diesen Schritt soll aber niemand als Grund sehen, diese bewährten Android-Varianten wie GrapheneOS oder LineageOS nicht weiterhin zu verwenden oder auch neu zu installieren. Von den bereits jetzt unterstützten Geräten gibt es die Treibersoftware weiterhin, denn sie wurde ja bereits unter einer Open-Source-Lizenz veröffentlicht. Es wird einfach etwas länger dauern, bis neue Geräte wie beispielsweise das für nächstes Jahr erwartete Pixel 10 von diesen Betriebssystemen unterstützt wird.

Merke: Open-Source-Lizenzen sind aus Konsumentinnensicht gut, denn sie erschweren es den Herstellern, ihre Hard- und Software nachträglich (z.B. nach dem Kauf) einzuschränken.

Und schliesslich:

  • John L. Young ist mit 89 Jahren gestorben. «Wer bitte?» werden jetzt einige fragen. Young war der Gründer von Cryptome. Und Cryptome ist laut Wikipedia «eine Website des 1935 geborenen US-amerikanischen Aktivisten John Young, der sich darauf vor allem für eine uneingeschränkte Meinungs- und Informationsfreiheit einsetzt.» Also eine Art Super-Wikileaks, 10 Jahre vor Wikileaks.
  • Oracle, Amazon, Coinbase, Lockheed Martin und Palantir gehören zu den Sponsoren der US-Militärparade, wie The Verge berichtet.
  • Immer wieder spannend, was man aus Metadaten lesen kann: Wenn die Pizzadienste rund ums Pentagon Hochkonjunktur haben, ist das ein deutliches Zeichen, dass im Pentagon eine Nachtschicht geschoben wird. Und damit irgendwelche Konflikte gerade (oder demnächst) heisser werden.
  • Dänemark (bzw. deren Digitalministerium) wollen ein paar Monate lang «Microsoft Detox» ausprobieren, also ohne Microsoft-Produkte auskommen.
  • Der Basler Andreas Fink bewegt sich mit seinen Firmen, heute der Fink Telecom Services, im Dunstkreis von Spionageinstitutionen. Er verteilt u.a. günstig SMS, auch solche für Zwei-Faktor-Authentisierung. Beim Versand dieser Nachrichten erhält der Verteiler Informationen über den Absender und dem Empfänger und deshalb auch über die (Geschäfts-)Beziehung zwischen den beiden. Zusätzlich soll Fink Telecom Services aber auch weitere Daten gesammelt haben, nämlich wohin diese SMS ausgeliefert wurden, also Informationen über den Aufenthaltsort des Empfängers, schreibt Bloomberg. Einige von diesen SMS wurden angeblich für Einbrüche in Online-Dienste genutzt. Scheinbar wurden die Schweizer Behörden schon 2020 über diese Vorfälle informiert, passiert sei aber nichts, so Bloomberg weiter. Im Artikel erfahrt ihr auch mehr darüber, über welche verschlungenen Wege solche SMS gehen können.
  • Unser Tipp: Wenn es eine andere Möglichkeit als SMS für Zwei-Faktor-Authentisierung (2FA) gibt, dann nutzt diese. Wenn SMS aber die einzige ist, ist es immer noch besser als gar nichts. Denkt aber auch daran, dass das Gerät, dass ihr für 2FA nutzt, auch verloren oder kaputt gehen kann: Also nutzt die vom Login-Provider angebotenen Möglichkeiten, ein Papierbackup zu nutzen oder ein zweites Gerät parallel zu aktivieren
  • In den letzten Tagen waren etliche Länder und Gebiete vom Internet abgeschnitten: Zum Gaza-Streifen wurden zwei Glasfasern gekappt, in Russland wurde der Mobilfunkprovider der Armee lahmgelegt, im Iran hat das Kommunikationsministerium einen Blackout verordnet, um nur einige zu nennen. Bemerkenswert ist aber der alljährliche Internetausfall im Irak: Dort wird das ganze Netz während der Abschlussprüfungen der Schüler lahmgelegt, damit diese nicht spicken. Kollateralschäden werden in Kauf genommen.
  • Wer sich gegen digitale Bedrohungen schützen will, findet in Eva Wolfangels aktuellem (englischen) Text sieben praktische Tipps. Lesenswert auch für Nicht-Journalist:innen.

dnip.ch mit Deiner Spende unterstützen

Wir wollen, dass unsere Inhalte frei verfügbar sind, weil wir es wichtig finden, dass möglichst viele Menschen in unserem Land die politischen Dimensionen der Digitalisierung erkennen und verstehen können.

Damit das möglich ist, sind wir auf deine Unterstützung angewiesen. Jeder Beitrag und sei er noch so klein, hilft uns, unsere Aufgabe wahrzunehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge