Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.
Altersverifikation in der UK-Praxis
Dass Altersverifikation nur funktioniert, wenn man dafür grosse Bereiche des Internet auch für Erwachsene sperrt, sollte inzwischen überall bekannt sein (DNIP berichtete mehrfach). Dass in der Praxis dann noch mehr Probleme hinzukommen, erfährt das Vereinigte Königreich gerade live. Wie EFF berichtet, führt der dortige Online Safety Act (OSA) auch dazu, dass Informationen über Journalismus, Gesundheitsthemen, Wappenkunde und Geschichte plötzlich nur noch nach Ausweiskontrolle verfügbar waren.
Damit ist Altersverifikation immer auch ein erster Schritt zur Zensur. In den USA ist Zensur bei der Einführung von Altersverifikation sogar oft ziemlich offen das Ziel, nicht nur Kollateralschaden.
Eine Erkenntnis – nicht ganz neu, aber immer wieder verdrängt – war, dass die Plattformen sicherheitshalber lieber zu viel sperren als zu wenig. Denn nur schon ein Verfahren, geschweige denn eine Verurteilung wegen angeblicher zu lascher Blockade kostet und bindet Ressourcen. Grosse Plattformen wollen das aus Gewinnoptimierungssicht vermeiden, kleine Plattformen verkraften das möglicherweise gar nicht.
Der Einsatz entsprechender Altersverifikation zieht nicht nur Kosten nach sich, die häufig auch nur die Grossen stemmen können, auch diese schaffen es oft nicht, die Systeme fehlerfrei anzubieten. (Ganz abgesehen davon, dass die Definition von «fehlerfrei» in einem globalen Internet bei unterschiedlichen, verstückelten oder unklaren nationalen Gesetzgebungen eigentlich gar nicht möglich ist.)
Overblocking betrifft nicht nur Inhalte, sondern auch fremde Länder und dort lebende Personen. So berichten Bewohner (und Bürger) aus der Republik Irland (definitiv nicht Teil des Vereinigten Königreichs!), dass ihnen Plattformen vorwerfen, dass sie die UK-OSA zu umgehen versuchen würden.
Etliche von Vereinen oder Privatpersonen betriebene Informationsseiten und Austauschplattformen haben deshalb in Grossbritannien vorsichtshalber den Stecker gezogen. Dies führt zur weiteren Konzentration auf grosse und finanzkräftige kommerzielle Plattformen und schadet der unabhängigen und gemeinnützigen Welt, die ein wichtiges Element für einen demokratischen Dialog darstellt.
Ausgelagertes Lohndumping
Dass Outsourcing oft auch mit Ausbeutung einhergeht, ist eine Binsenweisheit. Wir kennen das von unzähligen Fahr- und Lieferdiensten, welche Kosten und Risiken auf die angeblich «selbständigen Unternehmer» als Fahrer:innen auslagern, die aber kaum Gestaltungsfreiheit haben. Aber auch die Tech-Industrie «nutzt» diese Chance. Neben dem mental anspruchsvollen Ausfiltern von Gewaltdarstellungen etc. aus KI-Trainingsdaten unter prekären Arbeitsbedingungen in exotischen Ländern, die seit einigen Jahren bekannt sind, sind ähnliche Arbeitsbedingungen inzwischen auch in Europa angekommen, wie Algorithmwatch berichtet: Unklare Arbeitsbedingungen, unplanbare Arbeitszeiten, Bezahlung unter Mindestlohn sowie verpflichtende aber unbezahlten Trainingszeiten, um nur einige zu nennen. Und das alles zugunsten von Multi-Milliarden-Unternehmen. Die ganze Story mit viel Hintergründen finden sich bei Algorithmwatch.
Swiss kopiert McDonald’s
Vor ein paar Wochen berichteten wir, wie McDonald’s seine Bewerbungsdatenbank inklusive psychologischen Profilen so gut wie ungeschützt im Internet herumliegen liess. Letzte Woche wurde bekannt, dass die Fluggesellschaft Swiss ihre Bewerbungsunterlagen und psychologische Profile scheinbar so gut wie ungeschützt im Intranet herumliegen liess. «Bewerbungsunterlagen, Testergebnisse und Gutachten» von Piloten wurden aufgrund eines «Fehlers in der Berechtigungseinstellung der Datenablage (SharePoint)» «für eine grössere Gruppe von internen und einen eingeschränkten Kreis von Personen von Partnerfirmen» zugänglich gemacht, wie Swiss in einer Medienmitteilung schreibt.
Neu seien die Dateien verschlüsselt in einer anderen, sicheren Plattform abgespeichert. Unsere Rückfrage bei der Swiss-Pressestelle, was das bedeute, blieb bis Montagabend unbeantwortet. Deshalb ist nicht klar, die «andere Plattform» einfach ein anderes Sharepoint sei. Ebenfalls ist unklar, was «verschlüsselt abgespeichert» bedeutet. Im einfachsten Fall handelt es sich dabei um eine Speicherung auf einem Speichersystem, welche transparente Festplattenverschlüsselung nutzt. (Dies schützt nur gegen physischen Verlust der Festplatten, nicht aber gegen Zugriff über die darauf aufsetzende Plattform.)
Sensitive Daten sollten – über den konkreten Fall hinaus – immer mehrstufig geschützt werden, da jede Stufe unsicher sein kann oder Opfer einer Fehlkonfiguration werden kann. Eine Kombination von mindestens 3, besser 4, der folgenden Massnahmen sollte gewählt werden:
- Nur eine berechtigte Gruppe von Personen, gemanagt über das zentrale SSO, darf überhaupt darauf zugreifen. Damit ist die aktuelle Firmen- und Abteilungszugehörigkeit gewährleistet.
- Das System sollte selbst nochmals über eine Liste von berechtigten Personen verfügen; alle nicht in dieser Liste aufgeführten Personen haben keinen Zugang. Damit wird eine Fehlkonfiguration in der Gruppenverwaltung vermieden.
- Die Daten sind verschlüsselt, mit personalisierten Schlüsseln, die nur den berehtigten Personen bekannt sind. Damit können auch bei einem Fehler im Zugangskontrollsystem die Daten nicht missbraucht werden.
- Es sollte eine Überwachung geben, die ungewöhnliche, ungeplante oder exzessive Zugriffe erkennt und meldet. Damit werden Fehler nicht verhindert, aber hoffentlich zeitnah erkannt.
- Alle Festplatten (auch für weniger kritische Daten) sollten mit einer Festplattenverschlüsselung grundverschlüsselt werden. Damit sind Diebstahl der Festplatte oder (unsachgemässe) Entsorgung abgedeckt.
Souveränes und solidarisches Suchen
Die meisten Suchmaschinen greifen im Hintergrund auf Google Search oder Microsoft Bing zurück. So auch Ecosia, die Suchmaschine, die mit ihren Gewinnen ökologische Ziele verfolgt. Seit wenigen Tagen nutzt Ecosia aber zusätzlich noch einen Suchindex, der unabhängig von den beiden Grossen ist. Die letztes Jahr gestartete Initiative EUSP (European Search Perspective) hat einen europäischen Suchindex aufgebaut. Ein wichtiger Schritt zu mehr Souveränität.
Microsoft-Produkte sind hackbar
Die europäische und insbesondere auch schweizerische Abhängigkeit von Microsoft-Produkten, sei es nun Office, Teams oder der Hyperscaler Azure, haben wir schon des Öfteren thematisiert. Worauf ein Artikel in The Register zusätzlich hinweist, sind die Sicherheitslücken, welche diverse Microsoft-Produkte seit Jahren aufweisen. Alleine in den letzten Wochen wurden kritische Lücken in Sharepoint und Exchange bekannt, gerade bei Exchange werden seit Jahren immer wieder kritische Sicherheitslücken bekannt. Auch wenn Microsoft nach jedem kritischen Vorfall erneut betont, dass Sicherheit eine hohe Priorität haben: Die Probleme werden nicht weniger.
The Register zitiert einen amerikanischen Sicherheits-Experten mit den Worten «Die Chinesen sind so gut vorbereitet und auf Microsoft-Produkte eingestellt, dass wir im Falle von Feindseligkeiten mit Sicherheit wissen, dass chinesische Akteure unsere kritische Infrastruktur über Microsoft-Produkte angreifen werden, und zwar aus zwei Gründen. Erstens: [Microsoft-Produkte] sind in unserem digitalen Ökosystem allgegenwärtig. Und zweitens: Sie sind so angreifbar, dass die Vertrautheit der Chinesen mit ihnen eine Tür bereits offen stehen lässt.»
Es ist nicht anzunehmen, dass dies in der Schweiz anders aussieht. Die durch die breite Verwendung von Microsoft-Produkten entstehende Monokultur erhöht also nicht nur unsere Abhängigkeit von einem US-Anbieter, sie macht uns aufgrund der Sicherheitsmängel in den Produkten auch angreifbar.
Heute schon Ihr Kind überwacht?
Münzengrosse Tracker wie der AirTag von Apple sind eigentlich dazu gedacht, Dinge wie Geldbeutel, Velos, Rucksäcke etc. zu tracken und bei Verlust oder Diebstahl wiederzufinden. Dass sie allerdings auch dazu verwendet werden können, unbemerkt andere Menschen zu überwachen, liegt auf der Hand. Apple (für iOS) und Google (für Android) haben daher in ihren Betriebssystemen Möglichkeiten eingebaut, unbekannte Tracker zu erkennen. Auch die amerikanische EFF hat mit How to: Detect Bluetooth Trackers eine Anleitung veröffentlicht, wie man solche Tracker entdecken und entfernen kann.
Das hindert andere Hersteller aber nicht daran, Produkte auf den Markt zu bringen welche das Tracking von Menschen direkt unterstützen. Die Schuhmarke Skechers hat neu Kinderschuhe im Angebot, welche in der Sohle ein Versteck für einen AirTag enthalten. Auch wenn es selbst ohne diese Schuhe wohl ein Kinderspiel ist, seinem Kind einen versteckten Tracker «mitzugeben»: Mit solchen Produkten wird es nochmals eine Runde einfacher. Und auch wenn es in diesem Fall nur Kinderschuhe sind: Dasselbe funktioniert natürlich leider auch bei Erwachsenen. «Gute» Gründe lassen sich schlussendlich immer finden, bei Erwachsenen etwa die pflegebedürftigen Grosseltern mit einsetzender Demenz, welche sich gerne mal verlaufen. Ethisch heikel bis fragwürdig ist es schlussendlich unabhängig vom Alter der unwissentlich getrackten Person.
Bei DNIP hatten wir letztes Jahr über das illegale digitale Stalking und Ausspionieren von Erwachsenen und wie man sich dagegen schützen kann berichtet mit weiteren Hintergründen bei SRF und der Republik.
Und schliesslich:
- Gut gemeint ist oft alles andere als gut. So auch bei der Installation von Vaping-Detektoren in den USA, die aber eben auch zum Abhören missbraucht werden können, wie Wired (Paywall) berichtet.
- Eigentlich sollte ja klar sein, dass Flat-Rate-Grosskundenabos für Software bzw. Online-Dienste (sog. «Enterprise License Agreements» sich nur rentieren, wenn das Produkt auch breit genutzt wird. Scheinbar wird das aber häufig nicht bedacht. Der Autor Glyph hat das deshalb nochmals zusammengefasst.
- AOL hat nach 35 Jahren seinen Dial-Up-Internetdienst eingestellt. Nebst dem Modemgeräusch ist mir nur noch Boris Beckers Werbung für den Dienst präsent: Er war drin. Erstaunlich, dass es diese Möglichkeit bis heute überhaupt noch gab.
