Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.
Heute unter anderem über LLMs, e-Voting und Wolkiges.
Soziale Medienkonzentration
Über einen Fediverse-Post sind wir auf ein Zitat gestossen, welches an Deutlichkeit wenig zu wünschen übrig lässt:
The world’s richest man owns Twitter (X).
The second richest wants to buy TikTok.
His heir now owns CBS and Paramount.
The third owns FB, Instagram & WhatsApp.
The forth richest owns Amazon & WaPo.And no one sees a problem here?
Offenbar von Jason Bassler
Auch wenn sich das primär auf die Situation in den USA bezieht, ist die Lage in Europa nicht unbedingt signifikant besser. So war die Medienkonzentration in D gerade erst auch bei bei Jan Böhmermann ein Thema: Wie reiche Männer Meinung kaufen.
Den LLMs gehen die Daten aus
Wie wir auf DNIP schon mehrmals geschrieben haben, gibt es diverse Anzeichen dafür, dass dem aktuellen LLM-Hype eher früher als später das Geld oder der Strom ausgehen wird. Nicht direkt thematisiert hatten wir bisher den Umstand, dass LLMs zum Trainieren auf immer neue Daten angewiesen sind. Zumindest gemäss Aussagen von Neema Raphael, der bei Goldman Sachs für das Data Engineering zuständig ist, gibt es kaum mehr öffentliche Datensets welche nicht schon in der einen oder anderen Form ins Trainieren von LLMs geflossen sind. Entwickler behelfen sich stattdessen mit den synthetischen Daten oder mit der Weiterverwendung des Outputs anderer LLMs.
Mehr Potenzial sieht Raphael allerdings in der Nutzung firmeninterner Daten, wie sie in einer Bank beispielsweise bei den täglichen Zahlungsströmen oder Kunden-Interaktionen entstehen. Darauf basierende LLMs dürften dann aber primär unternehmens-intern zum Einsatz kommen, zumindest solange niemand eine überzeugende Lösung findet, um verlässlich zu verhindern, dass man mit guten Prompts die (in diesem Fall vertraulichen) Trainingsdaten auslesen kann.
Wir hacken ein e-Voting-System
Auch E-Voting war auf DNIP schon mehrfach ein Thema. In Ontaria, der grössten Provinz Kanadas, kann man teilweise nur noch online wählen. Forscher haben sich nun die Kommunalwahlen 2022 angesehen und verschiedene, z.T. eklatante Risiken identifiziert, wie Heise Online berichtet. So waren die Webseiten zur Stimmabgabe nicht gegen Cross-Site Framing-Attacken geschützt (einer Angriffsmethode, bei der man die Wahlseiten in Seiten des Angreifers integriert und manipuliert und so die Stimmabgabe verändert). Und dass Anbieter wie Scytl im Jahr 2022 immer noch auf HSTS/Strict Transport Security verzichten (mit welchem sich Webseiten-Umleitungen generell verhindern lassen), kann man wohl nur als fahrlässig bezeichen. Als Risiko wurde auch die Zustellung der Wahlunterlagen per Post erkannt, da in Kanada viel Post via Community Mailboxes zugestellt wird. Wenn an einer Wahl nicht Interessierte ihre Wahlunterlagen gleich beim Briefkasten in die Mülltonne werfen, ist es ein Leichtes, deren Unterlagen zur Stimmabgabe zu entwenden.
Die Anbieter der Wahlsoftware versuchten zwar, die Stimmabgabe zusätzlich durch die Eingabe des Geburtsdatums zu schützen. Da dieses aber oft bekannt ist, durch Try&Error auf anderen Systemen erraten werden kann oder schlicht schon durch einen Hack bekanntgeworden ist, ist der dadurch gebotene Schutz defacto vernachlässigbar. Kein Wunder, dass die Forscher das Risiko, dass ein Betrüger erfolgreich den Wahlausgang entscheidend manipuliert hat, in 69,8 Prozent dieser Kommunen als hoch oder extrem einstuften.
Flexible Cloud: Ein zweischneidiges Schwert
Der Vorteil von Cloudanbietern: Sie sind so flexibel und können schnell alles ändern. So geschehen mit dem holländischen Anbieter Zivver, der bis vor kurzem aus Amsterdam heraus europäische Lösungen für sichere, vertrauliche Kommunikation für Spitäler, Gerichte uvam. angeboten hat. Inzwischen, so berichtet Follow The Money, gehört Zivver aber der US-Firma Kiteworks. Deren Führungsriege wiederum besteht aus ehemaligen Mitgliedern der Israeli Defense Force. Derselben IDF, denen Microsoft vor kurzem verboten hat, ihre Cloud weiterhin für Überwachungszwecke zu nutzen.
Wenn man nicht will, dass der IT-Dienstleister oder Cloudprovider in fremde Hände fälllt, muss also vorsorgen. Beispielsweise durch Sicherstellung von souveräner Infrastruktur.
Plopp! Und weg ist die Cloud
Auch wenn der Cloudprovider nicht ins Ausland verkauft wird, sollte man sich nicht alleine auf ihn verlassen, wenn man seine Daten zuverlässig speichern möchte. Das merkten nicht nur die Nutzer des französischen Cloud-Anbieters OVH, dessen eines Rechenzentrum in Strassburg vor ein paar Jahren abbrannte. Aktuell leiden darunter auch unzählige Regierungsmitarbeiter in Korea, wo die Regierungscloud wegen mangelndem Backup bei einem Feuer ebenfalls alle Daten auf Nimmerwiedersehen gelöscht hat.
Neben Feuer gibt es aber auch noch unzählige weitere Möglichkeiten, die Daten zu verlieren. Auch wenn die weniger spektakulär klingen, so können sie für ihre Kunden genau so fatal sein: Cloud-Provider, die einfach kein Geld oder keine Lust mehr haben oder bei denen irrtümlich Daten gelöscht werden. Aber auch Konten bei Cloudprovidern, die gelöscht werden oder bei denen man das Passwort vergessen hat. Übrigens: Auch Cloudprovider sind nicht gegen Hackerangriffe gefeit.
Die Cloud entbindet also nicht von Backuppflichten.
Die Maus hört mit
Computer-Mäuse gehören seit Jahrzehnten zum Alltag praktisch aller, welche mit Computern arbeiten. Ein wichtiger Faktor für die Tauglichkeit im Alltag ist dabei eine hohe Auflösung der Maus-Bewegungen, damit auch kleinste Bewegungen der Hand schnell und exakt zu einer Bewegung des Mauszeigers auf dem Bildschirm führen. Das mag für reine Office-Nutzung nicht ganz so relevant sein, bei grafischen Arbeiten oder bei Games geht es aber oft um Millimeter. Dies hat dazu geführt, dass High Tech-Mäuse heute eine Auflösung von 20’000 dpi (dots per inch) und mehr haben.
Dass damit auch Nachteile verbunden sind, haben nun Forschende der University of California in Irvine gezeigt. Sie haben die durch Vibrationen beim Sprechen am Computer entstehenden kleinsten Mausbewegungen durch Signalverarbeitungen und Machine Learning so aufbereiten können, dass sie bei handelsüblichen High Tech-Mäusen (welche es bereits für 50 Dollar zu kaufen gibt) Stimmen und Sprache rekonstruieren können. Für sämtliche Überwachungs-Freaks ist das natürlich ein gefundenes Fressen, für alle Benutzer vermutlich eher nicht. Natürlich braucht es dazu Software, welche auf einem Rechner zumindest die Mausbewegungen aufzeichnet und weiterleitet, aber diese kann man ja auch verdeckt als nützliches Utility oder Spiel unter die Leute bringen.
Souveränes Handy?
Souveräne Infrastruktur liegt im Trend. Wer bisher nicht bereit ist, seinen Windows-Laptop auf Linux umzustellen kann den Weg zu mehr Souveränität mal bei seinem Android-Handy ausprobieren (das übrigens unter der Haube auch Linux ist). So findet sich in der letzten c’t-Ausgabe ein Artikel zum Umstieg von Android auf /e/OS (kostenpflichtig). Auch den Android-Abkömmling LineageOS gibt es gerade frisch in der aktuellsten Version für über 100 verschiedene Geräte. Und für GrapheneOS, welches seinen Augenmerk besonders auf Sicherheit legt, gibt es eine Liste der in der Schweiz unterstützten Banking-Apps. Das ist leider deshalb ein Thema, weil einige App-Hersteller behaupten, das eigene Android-Telefon sei zu unsicher für ihre App, wenn es nicht das Original-Android des Geräteherstellers beinhaltet. Auch wenn es um etliches sicherer ist als die von den Herstellern absichtlich abgespeckte Android-Sicherheit, die auf vielen Billig-Handys vorinstalliert kommt.
Und schliesslich:
- Im April haben wir unter dem Stichworkt Enshittification unter anderem darüber geschrieben, dass der NAS-Anbieter Synology einen Teil der NAS-Funktionalität nur noch für bei ihm direkt gekaufte Disk-Drives freischaltet. Brisant dabei war vor allem, dass Synology selbst gar keine Drives herstellt, sondern hier einfach Drives von Dritt-Firmen mit einem Zuschlag weiterverkauft. Mit dem neuesten Update hat der Anbieter diese Entscheidung nun zurückgenommen. Offenbar war der Absatz in den letzten Monaten signifikant zurückgegangen. Ob das nur am Drive-Entscheid lag, ist unklar. Es ist aber jedenfalls ein Indikator, dass sich Unternehmen nicht alles leisten können.
- Outsourcing liegt im Trend. So gibt es die Tendenz, das Denken an die KIs auszulagern. Aber auch immer mehr wird das Mitgefühl an die KI ausgelagert. Beides keine guten Entwicklungen. Nicht nur, weil gerade im Falle von therapeutischer KI viele intime Daten anfallen, sondern schlicht auch, weil einer KI sämtliche Empathie im Umgang mit Klienten abgeht.
Zitat der Woche
Anlasslose Chatkontrolle muss in einem Rechtsstaat tabu sein. Private Kommunikation darf nie unter Generalverdacht stehen.
Dr. Stefanie Hubig, deutsche Bundesministerin der Justiz und für Verbraucherschutz, anlässlich politischer Diskussionen über Privatsphäre im digitalen Raum und die sogenannte Chatkontrolle (DNIP berichtete mehrfach).
2 Antworten
In den Kommentaren zum Vorfall bei Sonicwall findet sich dieser Beitrag eines betroffenen Admins, der das Drama der gestohlenen Backups beschreibt:
https://www.heise.de/forum/heise-online/Kommentare/Datenleck-bei-Sonicwall-Alle-Cloud-Backups-von-Firewalls-gestohlen/Re-Ach-Du-sch/posting-45616994/show/
Zum eVoting-Fall in Kanada: Bei Heise ist zu lesen, dass in diversen Wahlkreisen die Entscheidung für/gegen einen Kandidaten teilweise mit einstellungen und niedrigen Zweistelligen Stimmenanteilen gefallen ist. Da braucht es nur wenig entwendete Briefe, weil das kein Angriff auf die zentrale Infrastruktur ist, bei der es Masse braucht.
Am Rande: einer der betroffenen eVoting Software-Anbieter ist der selbe, auf dessen System auch die Schweizerische Post mit ihrem eVoting-System baut.
Die Schweizer e-Voting-Lösung ist unterdessen von Scytl unabhängig und wird von der Post eigenständig weiterentwickelt. Erschreckend find ich, dass die Scytl-Lösung offenbar (trotz aller Findings der vergangenen bald zehn Jahre) weiterhin banal wirkende Sicherheitsmängel aufweist.