189. Newsletter - sicherheitskultur.at - 31.10.2022

von Philipp Schaumann

Hier die aktuellen Meldungen:

1. Wenn Bürger nur eine einzige App haben, so ist das saublöd, in dieser App gesperrt zu werden

Wie ich an anderer Stelle berichtet hatte, hat sich in China eine etwas andere Form der Internet-Nutzung entwickelt. Kleine Firmen, Geschäfte, Restaurants und auch Behörden entwicklen keine eigenen Apps und legen keine eigenen Websites an und, sondern alles findet in der WeChat Superapp statt. Wer eine interaktive Internetpräsenz braucht, der lässt standardisierte sog. Miniprograms entwickeln, die innerhalb der WeChat Superapp funktionieren.

Dadurch bieten diese Miniprograms mit vergleichsweise wenig Programmieraufwand sehr viele Funktionalitäten, z.B. News Feeds, Chat-Rooms, Voice Messaging, Bestell- und Bezahlmöglichkeiten, QR-Code Scanning (das beim Bezahlen, aber auch für das "Registrieren" in einem Geschäft oder Lokal eingesetzt wird), Reservieren von Terminen oder Räumen, Kauf von Bahn- oder anderen Tickets, oder Micro-Payments für Inhalte, die auf diese Weise sehr leicht zu bezahlen sind und dadurch auch angenommen werden. Die Miniprograms sind identisch für iOS und Android, das macht die Entwicklung sehr einfach. Diese Miniprograms sind erschwinglich zu programmieren, ihre Zahl ist über 1 Mio (d.h. ca. halb so viel wie Apps im Apple Store).

Nun zum Problem: Chinesische Bürger wagen manchmal kritische Beiträge zur Politik (z.B. zum 20. Parteitag in Beijing) und das missfällt manchmal den Behörden. Und dann wird manchmal eine Sperrung des umfassenden WeChat Accounts ausgesprochen.

Das bedeutet dann in diesem Fall von allen diesen Diensten abgeschnitten ist, z.B. auch von den wichtigen QR-Code Scans mit denen der Covid-Status nachgewiesen wird. Außerdem kann nichts mehr bestellt und/oder bezahlt werden und keine Termine mit Behörden vereinbart werden, etc.

Eine große Zahl Betroffener hat nun auf Weibo, einer Social Media Plattform, "Geständniss-Briefe" veröffentlicht mit der verzweifelten Bitte, wieder am regulären Leben in China teilnehmen zu dürfen.

On Weibo, the popular Chinese social media platform, hundreds of desperate users were writing 'confession letters' this past week. Hier die Details: The dark side of a super app like WeChat - When one app gives you everything, losing it becomes unbearable.

2. Haftung für AI-Entscheidungen, gleich 2 Versuche

Eine neue EU-Direktive ist in Arbeit: die AI Liability Directive als Ergänzung zum AI Act. Dabei geht es darum, dass es für Konsumenten einfacher werden soll, für Schäden die durch AI-Entscheidungen passieren, Schadenesatz einzuklagen: "The new bill, called the AI Liability Directive, will add teeth to the EU's AI Act". Wenn so etwas auch als Sammelklage, z.B. von Verbraucherverbänden möglich ist, so kann das durchaus eine effektive Abschreckung sein. 100 € Schmerzensgeld für jeden von 100 Mio Nutzern, das können dann leicht kräftige Summen werden.

Der offizielle Textvorschlag der AI Liability Directive. Die Details im Artikel: The EU wants to put companies on the hook for harmful AI. Die Fortsetzung zur Liability Directive gibt es erst wieder im Dezember 2023.

Hier mein voriger Beitrag zu EU-Regulierungsversuchen: der AI Act. Bei dem schon länger geplanten AI Act geht es um eine Prüfung des AI Systems bevor es verkauft werden kann, so ungefähr wie das VDE Prüfsiegel auf Elektrogeräten. Die neue Directive hingegen handelt von Strafen wenn ein Schaden entsteht.

Und auch in den USA: The White House just unveiled a new AI Bill of Rights.

Da geht es darum, dass Schadenersatz ausgesprochen werden kann, wenn durch eine AI ein Schaden entsteht. So weit so gut. Nicht so gut ist, dass die AI Bill of Rights aber kein Gesetz ist, sondern (nur) Empfehlungen an die US Behörden. Außerdem wird kritiisiert, dass Aspekte wie Schäden durch Sicherheitsbehörden und Polizeit (z.B. das fälschliche Inhaftieren auf Grund von Gesichtserkennung: Wrongfully Accused by an Algorithm) oder die Überwachung von Mitarbeitern ausgenommen sind.

3. Aus der bunten Kryptowelt

Weitere Initiativen zur Regulierung des Kryptogeld-Marktes
Neben den von mir früher erwähnten Regulierungsversuchen von EU-Finanzaufsicht und US Fed gibt es nun auch einen Regulierungsvorschlag vom Financial Stability Board (FSB) der G20-Organisation. Der Vorschlag: International Regulation of Crypto-asset Activities: A proposed framework.

Über den Wert von NFTs für den Kunsthandel und Künstler kann man gut streiten, aber für die Geldwäsche sind Kunst-NFTs eine Goldgrube: Wie Kriminelle mit NFTs Geld waschen.

Strafe gegen eine virtuelle Firma
Die US Treasury's Office of Foreign Assets Control (OFAC) Behörde hat erstmals eine Strafe gegen eine virtuelle Firma ausgesprochen, eine DAO. DAOs sind decentralized autonomous organizations und werden 'erzeugt' durch Skripten in der Skriptsprache von Ethereum, sog. 'Smart Contracts'. Dieses DAO wird beschuldigt, 7 Milliarden in Kryptowährungen gewaschen zu haben, davon 455 Mio $ für Nordkorea (das damit seine Kernwaffen finanziert).

Anwälte für die Betreiber haben nun argumentiert, dass eine DAO nicht bestraft werden kann, weil sie nur aus Code besteht und im 1. Kryptowar 1996 entschieden worden war, dass auch Programmiersprachen Sprachen sind und damit unter den Schutz der freien Meinungsäußerung fallen. Damit wollten die Betreiber erreichen, dass ein Skript auch dann nicht bestraft werden kann, wenn es Verbrechen begeht (in diesem Fall: Geldwäsche). Damit sind sie (in diesem Fall) nicht durchgekommen, die ganze Kryptowelt bleibt aber spannend. Die Details: Regulating DAOs - Schneier on Security. Hier mehr zu Smart Contracts auf meiner Website.

Ganz bizarr: Bitcoin als Religionsersatz
Aus dem Artikel Das Evangelium der Bitcoin-Maximalisten: Selbsternannte Bitcoin-"Maximalisten" haben es sich zur Lebensaufgabe gemacht, von den Segnungen zu erzählen, die die Mutter aller Kryptowährungen verheißt: einer Welt ohne Inflation und Arbeitslosigkeit, ohne Banken und staatlichen Einblick in Geldflüsse. "Bitcoin fixes this", ist das Mantra dieser Evangelisten, die keine Kirche für ihre Predigten brauchen. Ihnen genügt Twitter.

Kritikpunkt an den staatlichen Währungen ist, dass sie sog. Fiat-Währungen (von lat. fiat, "es werde") sind. Der Wert des Euros entsteht, weil die meisten Menschen darauf vertrauen, für diese Scheine etwas kaufen zu können. Aber auch Bitcoin selbst ist eine Fiat-Währung: "Der Bitcoin wird aus dem Nichts geschaffen. Er ist ein soziales Konstrukt."

Dann wird es ganz irrational: Für Bitcoin-Apostel gibt es keinen Coin neben dem Bitcoin. Ihr Kreuzzug richtet sich daher nicht nur gegen nationale Währungen, sondern auch gegen Krypto-Konkurrenten wie Ether, Tether und die zigtausenden Altcoins, die sie nonchalant als "Shitcoins" zusammenfassen

Bitcoin-"Maximalisten" haben es sogar bis in den US Senat geschafft. US-Senatorin Cynthia Lummis in einer Senatsdebatte im Oktober 2021: "Danken wir Gott für Bitcoin und andere Nicht-Fiat-Währungen, die die Unverantwortlichkeit von Regierungen transzendieren." Gesponsert wurde sie und ihr Wahlkampf durch Unternehmen im Kryptomarkt. Sie kämpft gegen die Bestrebungen - auch in den USA, den Krypto-Markt ganz vorsichtig zu regulieren bevor größere Schäden in der Realwirtschaft entstehen. (Hier zu Regulierungsbemühungen). Hier der Link zum nächsten Newsletter mit dem FTX-Absturz.

Hier frühere Beiträge über grundsätzliche Kritik der Kryptowährungsphilosophie und dem sog. Web3. Und hier mein großer Blockchain-Artikel.

4. Keine Regulierung der großen Social Networks in den USA

In früheren Newslettern hatte ich die Hoffnung geäußert, dass auch in den USA eine Regulierung der großen Social Networks kommen könnte. Daraus wird wohl nichts.

Progressive Kräfte erhofften sich, dass die US-Kartellbehörde FTC unter Lina Khan härter gegen Big Tech vorgeht. Kurz vor den Midterms sucht man diesen Umbruch vergeblich. Und falls die Republikaner die Mehrheit bekommen, ist mit so was vermutlich sowieso Schluss. Die Details: Strengere Regulierung von Facebook und Co: Das lange Warten auf die USA.

Und wie geht das wohl mit der EU und Musks neuem Twitter weiter?

Wie sich der Twitter-Kauf von Elon Musk (einem Menschen mit ganz viel Ego, manchmal 'originellen' und nicht ganz demokratie-kompatiblen Ansichten und nicht immer wohlüberlegten Tweets) auf den Komplex von Hate Speech und Fake News auswirken wird, das werden wir erst noch erleben. Kritische ommentare gibt es reichlich, Markus Beckedahl von netzpolitik.org macht sich Gedanken, wie das mit Twitter und den neuen EU-Regeln Digital Services Act (DSA) und Digital Market Act (DMA) wohl weitergehen könnte. Hier einige seiner Punkte:

Das Digitale-Märkte-Gesetz (DMA) definiert sogenannte Gatekeeper, für die es eine besondere Marktaufsicht durch die Europäische Union geben muss. Dazu wird Twitter im Gegensatz zu Amazon, Apple, Google, Meta und wenigen anderen nicht gehören. Denn laut Definition braucht es dafür 7,5 Milliarden Euro Jahresumsatz in der EU und einen Marktwert von 75 Milliarden Euro. Twitter ist dafür zu klein.
Relevant ist vor allem Dingen das DSA, z.B. bzgl. Content-Moderation. Das unterscheidet aber zwischen VLOPs (Very large Online-Platforms), wenn sie in der EU mehr als 45 Mio. monatliche Nutzer:innen haben und kleineren Plattformen mit weniger Auflagen. Und ob Twitter diese Nutzerzahlen hat ist offen. Da sind einmal die ominören Bots die Musk zum Thema gemacht hat, da gibt es aber auch Fragen zur Definition von 'monatliche Nutzer:innen'. Die Nutzerzahl soll bis Frühjahr 2023 geklärt sein. Falls Twitter ein VLOP ist, so muss Twitter sehr transparent werden und sogar Inspektionen vor Ort erlauben.

Hier die Details von Beckedahl.

5. Interessanter Angriff gegen 2-Faktor-Authentisierung durch sub-optimale Konfiguration des Sperrbildschirms

Dies ist ein Bericht aus Enlgand, der m.E. bei uns nicht exakt so funktionieren würde, aber das grundsätzliche Problem gibt es auch bei uns. Credit Card Fraud That Bypasses 2FA.

Hier der Angriff: Die Angreifer besorgen sich ein Handy des Opfers (dessen Identität sie kennen). Nun wollen sie auf Accounts zugreifen, bei denen als 2. Faktor ein SMS versendet wird, z.B. meine österreichische Handysignatur oder mein MS Teams Account. Das Handy ist gesperrt, aber das ist kein Problem. Denn wenn das SMS ankommt, sie wird es üblicherweise bereits auf dem Sperrbildschirm angezeigt. D.h. die Angreifer müssen das Handy gar nicht entsperren.

Handys sollten so eingestellt werden, dass Inhalte von SMS und anderen Messages NICHT auf dem gesperrten Gerät gezeigt werden.

6. Materialien nicht nur für Kinder und Digitale Selbstverteidigung

Für alle, die so wie ich, noch nie auf TikTok waren, aber deren Kinder natürlich unbedingt dort vorbeischauen wollen/müssen: Ein recht einfaches Tutorial für die wichtigsten Dinge in TikTok, z.B. Einstellungen für Kinder: Latecomer's Guide to TikTok.

Das Projekt 'privacy4kids' bringt Materialien nicht nur für Kinder.

Aus dem Datenschutznewsletter der österreichischen Datenschutzbehörde DSB: Thema: Projekt 'privacy4kids'
Projektgegenstand war die Erstellung und Veröffentlichung animierter Lehrvideos zum Thema Privatsphäre und Datenschutz. Die Lehrvideos wurden jeweils für die Alterszielgruppe von 6 bis 10 und 10 bis 14 Jahren erstellt und erklären auf unterhaltsame Art und Weise, warum der Schutz personenbezogener Daten wichtig ist, welche Betroffenenrechte es gibt, welche Gefahren für die Privatsphäre im Internet bestehen und wie man sich zB. vor Betrug im Netz und Manipulation in sozialen Medien schützen kann. Siehe privacy4kids.at, hier ist die Liste der Videos zu finden und hier die Videos.

Digitale Selbstverteidigung - Materialien vom Chaos Computer Club CCC.

Ebenfalls digitale Selbstverteidigung, jeweils Dienstags abends, virtuell und sehr empfehlenswert (gern weitersagen, keine Beschränkung der Teilnehmerzahl): Die restlichen Termine der Webinar-Reihe zu Fake-News, Cyber-Mobbing und Internetbetrug.

Die Termine und Themen ab September: (jeweils Dienstags 18:30 - 20:00)

8. November | Online zusammenarbeiten - Die besten Werkzeuge
15. November | Sicheres Online-Shopping.
22. November | Wie schütze ich mein Kind vor Cyber-Grooming?

Anmeldung auf academy.oiat.at.

7. Dies und das

Ich hatte öfters schon über die geplante Chatcontrol-Überwachung aller unserer Geräte berichtet. Der Widerstand dagegen ist erfreulicherweise stark und breit gestreut, selbst innerhalb der EU-Institutionen. Aber die EU-Kommission gibt (noch) nicht auf: EU-Datenschutzbehörden nehmen Chatkontrolle komplett auseinander. Ein wichtiger Punkt ist, dass 90% aller "Funde" falscher Alarm (false positives) sind, und dass es eine riesige 'Überprüfungsbehörde' erfordern würde das alles zu sichten und zu klären. Außerdem gab es jetzt in den USA (wo z.B. iCloud bereits automatisch ausgewertet wird) bereits Berichte, dass trotz Klärung, dass die Vorwürfe falsch waren, die gesammelten Daten und der Datenbankeintrag trotzdem nicht immer gelöscht werden: "Man weiß ja nie wofür die Daten noch mal gut sind, irgendwie war da ja mal ein (falscher) Verdacht . . . ."

Auch leider ein Dauerthema: Das sichere Konfigurieren von Cloud-Systemen, speziell die sog. Buckets. Jetzt hat es Microsoft selbst erwischt: Microsoft: Großes Datenleck durch Fehlkonfiguration von Cloud-Instanz. Sensible Daten von mehr als 65.000 Microsoft-Kunden aus über 111 Ländern sollen aufgrund eines fehlkonfigurierten Cloud-Servers offen zugänglich gewesen sein.

Die Themen dieses Newsletters