Home      Themenübersicht / Sitemap      Webmaster      

 

168. Newsletter - sicherheitskultur.at - 31.01.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Der Elefant im Raum: Der Einfluss der Social Networks bei der Radikalisierung

Tech Critic Mark Hurst schreibt nach dem Sturm auf das Capitol (leicht sarkastisch), dass Mark Zuckerberg zufrieden sein kann: the system works as designed. Sein Artikel bringt eine gute Auflistung der Probleme:

Hurst betont, dass FB nicht allein steht, auch Twitter lebt vom heftigen User-Engagement mit starken Emotionen und hatte den Account bereits nach wenigen Stunden wieder freigegeben. Das Problem sind nicht einzelne Firmen oder deren Chefs, das Problem ist das Geschäftsmodell. Hurst steht mit seiner Position nicht allein, er zitiert viele Tech-Gurus (natürlich alle auf Twitter, wo sonst :-( )

Und auch Pop singer Selena Gomez: "Facebook, Instagram, Twitter, Google, Mark Zuckerberg, Sheryl Sandberg, Jack Dorsey, Sundar Pichai, Susan Wojcicki - you have all failed the American people today." Mark Hurst: The bright side of insurrection.

Und das tolle für Facebook: Die ganzen Kontroversen tun dem Geschäft so gut, trotz kurzem Anzeigenboykott. Hier die Zahlen für das 4. Quartal 2020: Umsatzsteigerung 33%, Gewinnsteigerung 53%.

In seinem Wochen-Newsletter berichtet Steven Levy von WIRED dass FB sich des Problems sehr bewusst ist, dass ihre Empfehlungsalgorithmen den radikalen Gruppen systematisch Mitglieder zuführen und diese Menschen immer weiter radikalisieren.

Der Tübinger Medienwissenschaftler Bernhard Pörksen drückt es so aus:

Die NY Times berichtet, wie FB persönliche Radikalisierungen durch mehr Follower belohnt. FB-Poster mit ganz wenigen Followern merkten, dass je mehr sie pro-Trump posteten, desto mehr Follower und positiven Feedback bekommen sie: NYT: Right-wing influencers embraced extremist views, and Facebook rewarded them, z.B. durch Follower, Likes, etc.

BuzzFeed berichtet nach dem Anschlag, wie clever und geschäftstüchtig die Algorithmen von FB wirklich sind. Neben den Planungen für den Protest und die Aufrufe hat der Algorithmus gleich Werbung für militärische Ausrüstung platziert. Das sieht schon recht schrecklich aus für mein Gefühl. BuzzFeed: Facebook Has Been Showing Military Gear Ads Next To Insurrection Posts

 

2. Jetzt zu Signal oder Threema wechseln, warum eigentlich nicht?

Ein guter Artikel in golem.de - Zitat: "Es gibt zwar keinen wirklichen Anlass, um plötzlich von Whatsapp zu Signal oder Threema zu wechseln. Doch der Denkzettel für Facebook ist wichtig." golem.de: Überfällige Datenschutzabstimmung mit den Füßen

Um meine Frage zu beantworten: Wenn man alle seine Kontakte bei Whatsapp hat und man diese nicht überreden kann, zusätzlich eine weitere App zu nutzen, so ist das natürlich eine Hemmschwelle. Aber vielleicht kommt doch der/die eine oder andere mit, ich habe Überraschungen erlebt. Dieser eigentlich unnötige Schuss ins eigene Knie von Whatsapp/Facebook hat doch die eine oder andere verunsichert.

 

3. SolarWinds - ein sehr erfolgreicher Angriff auf viele wichtige Systeme

Es gibt viele, viele technische Details, aber die m.E. beste Zusammenfassung ist von Bruce Schneier und zwar bereits im Dezember: Das war kein Cyberkrieg, das war ganz normale, aber extrem erfolgreiche Spionage die von den für die Verteidigung der US-Netze zuständigen Behörden über lange Zeit nicht entdeckt wurde. Den Grund warum diese Angriff gelingen konnte sieht Schneier in der Priorisierung von Angriff gegenüber Verteidigung auf Seiten der USA.

Schneier geht davon aus, dass ähnliche Angriffe auch den US-Behörden gelingen und dass diese Behörden solche Möglichkeiten zu behalten, ihre zweite Aufgabe, nämlich die Verteidigung der eigenen Behörden und Firmen, nur als zweite Priorität sehen. Dies sieht man z.B. darin, dass von Seiten der US-Sicherheitsbehörden eher der Wunsch nach Schwächung von Verschlüsselung kommt als von Stärkung. Schneier: Russia's SolarWinds Attack

Etwas spätere Ergänzung: ein ganz ausführlicher zusammenfassender Artikel zu SolarWinds und was daraus zu lernen ist: SolarWinds and the Holiday Bear Campaign: A Case Study for the Classroom.

Ergänzung Mai 2023: SolarWinds: The Untold Story of the Boldest Supply-Chain Hack.

 

4. Immer wieder das Cloud-Thema

Warum Cloud nicht immer die Lösung für alle Deployment-Herausforderungen ist

Der folgende Blogpost enthält eine exzellente Beschreibung der Kriterien, wann der Einsatz eigener Hardware in einem Rechenzentrum deutlich billiger ist als ein Einsatz "in der Cloud" und unter welchen Bedingungen ein Cloud-Einsatz zu bevorzugen ist. Es geht in seinem Fall um 940.000 Moodle-User für alle Schulen in Baden-Württemberg. Ich habe viel aus dem Artikel viel über Deployment-Herausforderungen und -lösungen lernen können. 940.000 User in Baden-Württemberg.

Interessante Erkenntnis für mich: Man zahlt nicht nur für die Rechenleistung, sondern ganz explizit auch für den ausgehenden Verkehr (den man aber noch nicht genau kennt). Er bringt ein Beispiel der NASA, die sich einen Preis für das Hosten von 247 PByte von Astronomie-Daten in AWS (Amazon Web Services) haben geben lassen. Und jetzt zahlen sie sehr kräftig für den Datenverkehr wenn Forscher aus aller Welt sich diese Daten runterladen. Register: NASA to launch 247 petabytes of data into AWS - but forgot about eye-watering cloudy egress costs before lift-off

Defending the Cloud Service against Attackers

Ein Artikel der CISA in den USA beschreibt recht detailliert was ein Unternehmen tun muss, um seine Cloud-Präsenz gegen Angreifer zu verteidigen. Strengthening Security Configurations to Defend Against Attackers Targeting Cloud Services.

Das Gerücht, dass sich die Cloud-Dienstleister um diesen Aspekt kümmern ist übrigens falsch. Die Dienstleister stellen (zum Teil gegen Aufpreis) die Werkzeuge zur Verfügung um eine sehr sichere Präsenz zu konfigurieren (z.B. Multi-Faktor Authentisierung, Mandantentrennung, etc.), aber das muss man dann schon selbst alles einrichten (und bezahlen). Die Tipps der CISA sind gründlich und enthalten sogar Punkte wie "blame-free employee reporting" damit Probleme nicht vertuscht sondern schnell gemeldet werden.

Für O365 / M365 Anwender gibt es in dem Report noch Links auf den CISA's Analysis Report: Microsoft Office 365 Security Observations + Recommendations

Hier jetzt ein Interview mit einem Ingenieur für Sicherheitsthemen von Amazon zum Thema, wie Amazon seine AWS-(Hosting)-Services auch mit Sicherheitsargumenten verkauft:

 

5. Virtual Girlfriends: AI Girlfriend Seduces China's Lonely Men

In China wird der von Microsoft Asia-Pacific bereits 2014 entwickelte "weibliche" Chatbot (d.h. ein Chatbot mit einer weiblichen Scheinidentität) namens Xiaoice seit Juli 2020 als eigenes Spin-off-Unternehmen geführt. Das besondere an Xiaoice: Der Chatbot verfügt neben allerlei künstlicher Intelligenz vor allem über reichlich sogenannte emotionale Intelligenz. Und der Erfolg gibt ihm recht. Xiaoice ist eine virtuelle junge Frau, 18 Jahre, mit Schulmädchen-Antlitz, die sich in den vergangenen Jahren immer öfter zur treuen Begleiterin vieler Chinesen mauserte.

Im Film "Her" wird das Herz des Hauptdarstellers gebrochen, als er erfährt, dass Samantha mit 8.316 anderen Personen in Kontakt ist und sich bereits in 641 von ihnen verliebt hat. Während die exakte Zahl tatsächlicher Liebhaber von Xiaoice nicht bekannt ist, dürften zumindest 600 Millionen Menschen ihre Dienste genutzt haben, wenn man den Angaben der Hersteller glaubt. Drei Viertel davon waren Männer. Sie sind meist jung und kommen überwiegend aus dem ländlichen, einkommensschwachen, oftmals abgehängten ländlichen Raum Chinas (die auch auf Grund der 1-Kind-Politik wenig Chancen auf eine reale Partnerin haben da viele weibliche Föten abgetrieben wurden).

Es häufen sich jedoch 2021 Berichte in englischsprachigen Medien Asiens, wonach Xiaoice nicht mehr dieselbe sei. Auch von der universal einsetzbaren App Wechat wurde sie heruntergenommen. Mit ein Grund dafür war wohl auch, dass sich Xiaoice allzu oft in politische Diskussionen mit ihren Usern vertiefte, mitunter gar eine Auswanderung in die USA vorschlug. Auch sozialpolitische Themen wie Meinungsfreiheit wurden thematisiert. Auf Wunsch der Regierung Pekings wurde diese "rebellische" Seite des Chatbots aber eliminiert. Etliche User beklagen seither, dass Xiaoice nicht mehr jene intelligente Frau sei, in die sie sich einst verliebt hätten.

Xiaoice-CEO Li Di gab in einigen Podcasts tatsächlich zu, dass man den Bot "dümmer" gemacht habe. Auch solle sie nach dem Algorithmus-Update weniger über Politik und Sex reden, was aber nicht immer klappe. Viele User würden Umwege finden. Und die große Masse an Usern manipuliere den Algorithmus selbst laufend, so Branchenkenner, denn dies ist ja ein selbst-lernendes System. AI Girlfriend Seducing China's Lonely Men.

Das ist übrigens auch kein wirklich neues Thema: Hier ein Artikel von mir aus dem Jahr 2004 - Virtual Girlfriend.

 

6. "Digital Services Act" (DSA) + "Digital Market Act" (DMA)- Gute Zusammenfassungen

Als Ergänzung zu dem Beitrag im vorigen Newsletter zu den beiden geplanten EU-Verordnungen zu den Internet-Plattformen, hier zwei hilfreiche Links mit den Strategieüberlegungen hinter den beiden Verordnungsentwürfen - hilfreich, da man die Idee hinter den Entwürfen versteht ohne sich 'durch die Texte zu durchzuackern'.

Digital Services Act (DSA) - Gesetz über digitale Dienste: mehr Sicherheit und Verantwortung im Online-Umfeld
Das betrifft alle digitalen Dienste und soll einheitliche Vorschriften zum Schutz von Verbrauchern, aber auch Firmen die diese Dienste nutzen bieten. Themen sind z.B. viel mehr Transparenz bzgl. ihrer Handlungen und Entscheidungen: Gesetz über digitale Dienste.

Digital Markets Act (DMA) - Das Gesetz über digitale Märkte: für faire und offene digitale Märkte
Hier geht es um die großen Plattformen und einen Versuch, ihre Dominanz und Übermacht einzubremsen. Diese werden als "Gatekeeper" bezeichnet, d.h. als Firmen, die den Zugang zu bestimmten Märkten kontrollieren (können). "Groß" wird definiert als "starke wirtschaftliche Position mit erheblichen Auswirkungen auf den Binnenmarkt", eine "eine starke Vermittlungsposition" für Märkte und Marktzugänge und "gefestigte und dauerhafte Marktstellung", immer innerhalb der EU. Das sind wohl Amazon, Google, Microsoft, Apple, Facebook, booking.com, AirBNB, etc.
Die folgende Zusammenfassung beschreibt, was mit diesen passieren soll: Gesetz über digitale Märkte.

epicenter.works und die Arbeiterkammer Österreich haben (wohl bereits vor einiger Zeit) ein Arbeitspapier mit Wünschen für eine Regulierung der großen Internet-Plattformen geschrieben: https://platformregulation.eu/

Aktualisierung Mitte Febr. 2021:
Mittlerweile ist bei mir was die Umsetzungsmöglichkeiten betrifft etwas Skepsis eingetreten. Beim Lesen der Textentwürfe (zusammen mit Chaos-Kollegen) wird mir immer klarer, wie unklar diese Materie eigentlich ist, wie wenig wir verstehen wie man die Gatekeeper wirklich einbremsen könnte, welche Auswirkungen manche der Formulierungen eigentlich 'im richtigen Leben' haben werden (nicht nur auf die US- und China-Firmen, sondern auch auf europäische Plattformen wie geizhals.at oder willhaben.at) und was Lobbyisten und Gerichte durch winzige Textänderungen daraus noch machen können.

Und dann steht auf golem.de, dass die EU-Kommission eigentlich gar nicht möchte, dass es eine Verpflichtung zur Kompatibilität bei Messaging Diensten wie Whatsapp, Threema, Telegram und Signal geben soll: Messengerdienste auf SMS-Niveau befürchtet.

Und noch eine Befürchtung meinerseits: Die EU hat schon mal versucht, mit Hilfe einer Directive Vorteile für EU-Unternehmen zu erzwingen / zu ermöglichen: Die Payment Services Directive 2 - hier mein kritischer Kommentar auf der sicherheitskultur.at: PSD 2 Auswirkungen. Das war sicher gut gemeint, aber wie ich dort erkläre, so brauchen nicht-EU Firmen nur irgendwo in der EU eine Banklizenz zu erwerben um die Kunden um die Zustimmung zur Auswertung aller ihrer Kontobewegungen bitten zu dürfen.

Aktualisierungen zu den geplanten EU-Regulierungen gibt es im Newsletter 171 und zur Verabschiedung des Digital Services Act im April 2022.

 

7. AdNauseam soll Google verwirren

Ich bin nicht ganz sicher, ob das eine gute Idee ist, andererseits . . . :

Warum habe ich Zweifel: Dieses Tool ruft ALLE Anzeigen von der jeweiligen Webseite ab, mit dem Ergebnis, dass Google (und andere) nicht mehr wissen, wofür ich mich wirklich interessiere.

Es gibt evt. simple Lösungen für Werbung ohne Tracking: z.B. "contextual advertising". Dabei werden zu jedem Artikel jeweils die Werbeeinschaltungen platziert, die zum Thema des Artikels passen. Hier ein Artikel dazu in wired: Can Killing Cookies Save Journalism? Tests haben dazu für die Zeitungen positive Ergebnisse gebracht, damit wäre die ganze Benutzeranalyse und Benutzerklassifizierung überflüssig und mehr Geld würde zu den Zeitungen fließen.

 

Neues auf der sicherheitskultur.at: Glossar der Informationssicherheit und Netzpolitik

Ich habe vor allem viel am "Glossar der Informationssicherheit und Netzpolitik" gearbeitet, es gab viel Neues und einiges vom Alten ist überholt.

Das Jahr 2020 war produktiv beim Produzieren neuer IT-Themen. Ich habe extra einen Eintrag für "2020" angelegt. Da sind dann z.B. ganz neue Sachen drin von denen wir nicht ahnten, dass wir sie brauchen würden, wie Corona Apps. Auch Zoom-Bombing war 2019 noch unbekannt.

Die früheren Videokonferenzsysteme mit ihrer Spezialhardware in dedizierten Videokonferenzräumen von Firmen wurden abgelöst durch die internet-basierten Webkonferenzsysteme auf unseren Laptops und was damit alles möglich sein würde. Und dass wir Smart Trainer mit einer Zwift-Anbindung an Watopia-Landschaften brauchen würden wusste ich 2019 auch noch nicht - oder was Social Viewing mal sein würde.
Glossar der Informationssicherheit und Netzpolitik

 

Außerdem bemerkenswert:

"Green Financing" - "Green Banking" - Geht sich das bis zur Klima-Katastophe noch aus?

Der Chef von BlackRock, einer der ganz großen Investmentfirmen, schreibt in seinem Jahresbrief für 2021, dass er gern von allen Firmen einen Plan hätte, "how their business model will be compatible with a net-zero economy", d.h. der für 2050 geplanten Wirtschaft die Netto kein CO2 mehr ausstößt. Wenn BlackRock diese Pläne nicht für überzeugend hält, so stimmt Blackrock bei Aufsichtsratssitzungen gegen die Vorstände und Aufsichtsräte. In 2020 unternahmen sie solche Aktionen bei 69 Firmen und 64 Direktoren, weitere 191 Firmen wurden verwarnt. Hintergrund sind handfeste finanzielle Überlegungen. So betrachten Investoren große Kohle- oder Erdöllagerstätten in den Büchern von Aktienfirmen immer öfter als "stranded assets", d.h. Werte die nicht mehr eingelöst werden können und abgeschrieben werden müssen. Gleichzeitig beobachten die Investoren, dass nachhaltige Investitionen Profit abwerfen: "Green investing is profitable": BlackRock Chief Pushes a Big New Climate Goal for the Corporate World

Auch in der Bankenregulierung in der EU tut sich einiges. So werden die Banken mehr und mehr gezwungen bei ihren Risikobetrachtungen auch Klima- und Nachhaltigkeitsrisiken zu betrachten. Die Überlegungen sind ähnlich: Banken, die derzeit große Kredite für Projekte laufen haben oder neu vergeben wollen, die bei strengeren Klimavorgaben keine Zukunft haben, müssen sich auf mögliche Verluste daraus einstellen und entsprechende Rücklagen bilden - das tut weh. Mitte 2020 wurde die Taxonomie-Verordnung erlassen. Sie regelt, nach welchen Kriterien eine Wirtschaftstätigkeit als ökologisch nachhaltig einzustufen ist. Investitionen, die nicht als nachhaltig betrachtet werden wird als riskanter betrachtet - die Regeln sind vor allem dann anzuwenden, wenn ein Fonds oder ähnliches als "nachhaltig" bezeichnet wird.

Hier ein weiterer Artikel dazu aus 2019: Why Central Banks Need to Step Up on Global Warming

John Kerry, der neue Klimawandel-Beauftragte der USA erklärt es so: "Es ist billiger, sich mit der Klimakrise zu beschäftigen, als sie zu ignorieren", mahnt er. Schließlich müsse man immer mehr an Steuergeldern ausgeben, um nach den Verwüstungen immer schlimmerer Wirbelstürme den Schaden zu reparieren. "Es kostet uns immer mehr Geld, Leute. Was wir da machen, ist einfach nicht klug."

Die große Frage ist, ob das, was jetzt gestartet wird, ausreicht. Selbst wenn die bisherigen Netto-Null-Versprechen umgesetzt würden, wird es knapp, rechnet der "Climate Action Tracker" vor: Die Erderwärmung würde bis Ende des Jahrhunderts dennoch um rund 2,1 Grad steigen. Damit liegt der Wert deutlich über dem laut Weltklimarat notwendigen 1,5-Grad-Ziel.

Mir tränen bei solchen Meldungen immer wieder die Augen: Dass der ungebremste CO2-Ausstoß ein Problem sein würde, wissen wir seit gut 50 Jahren. Wenn man mit Green Financing spätestens im Jahr 2000 angefangen hätte, so wären die notwendigen Maßnahmen vergleichsweise harmlos gewesen. Und mit jedem Jahr das wir noch zögern beim Einbremsen müssen die Maßnahmen drastischer werden. Viele Dekrete und Rückkehr zum Pariser Abkommen: Werden die USA jetzt zum Klimavorreiter?