197. Newsletter - sicherheitskultur.at - 30.06.2023

von Philipp Schaumann

Zum Archiv-Überblick

Hier die aktuellen Meldungen:

1. AI, jetzt integriert in Snapchat, für die ganz junge Generation

Artificial Intelligence sind durch die sog. 'Generativen AI' wie ChatGPT, Stable Diffusion und Midjourney heute ein Thema in vielen Lebensbereichen - auch in den Schulen. Hier eine kleine Episode:

Die Trainerin der Schulung 'Jugendliche im Fake News Dilemma' berichtete, dass auf ihre Frage, ob ChatGPT in den Schulen auch ein Thema sei, sie immer noch sehr oft die Antwort höre, dass das vielleicht in Wien so sei, aber ihre Schüler und Schülerinnen blieben davon noch verschont.

Das ist aber eine Illusion, erklärt die Trainerin von saferinternet.at. Auch wenn Lehrer:innen vielleicht glauben, davon verschont zu bleiben, so nutzen ihre Schüler:innen jedoch den bei Teenagern sehr beliebten Snapchat Messenger und der hat ChatGPT nun fest als 'Kontakt' MyAI integriert. Der Bot erklärt den Kindern und Jugendlichen die Welt und kann sogar in die Chat-Gruppen der Schüler:innen eingebunden werden und sich dann beteiligen: ChatGPT nun auch in Snapchat. Und so schleicht sich eine neue Technologie (unter Kontrolle der Silicon Valley Oligarchen) in das Leben der jungen Generationen ein.

Safer-internet schlägt den Schulen vor, solche AI-Systeme nicht zu ignorieren, sondern aktiv in den Unterricht einzubauen. Hier einige Unterrichtsvorschläge:

• Ab 11 Jahren: "Stimmt's?" – KI-generierte Texte überprüfen
• Ab 12 Jahren: Verschiedene Sichtweisen einnehmen mit KI-Tools
• Ab 13 Jahren: "Wieso ist das falsch?" – Gründe für Fehler in KI-generierten Texten hinterfragen
• Ab 13 Jahren: Meine Meinung zu ChatGPT – wie verändert es die Schule?
• Schon ab 10 Jahren: "It's Quiztime" – Tipps und Quiz mit KI-Tools erstellen

Zum Überprüfen von Fakten gibt es hier übrigens eine Übersicht zu Faktenchecker-Websites. Hier mein voriger Beitrag zu den Large Language Models und hier die Fortsetzung.

2. Regulierungsaktivitäten rund um AI

Es geht was weiter bei der Regulierung von AI-Systemen, aber in Zeitlupe. Im Juni wurde die KI-Verordnung im Europäischen Parlament abgestimmt und die europäischen Volksparteien hatten eine Reihe von Änderungsanträgen eingebracht, sie wollen mehr Möglichkeiten für die Polizei, z.B. laufende Gesichtserkennung ohne Anlass. (Warum das nicht funktioniert habe ich an anderer Stelle erklärt.) Die Änderungsanträge wurden (diesmal) alle abgelehnt, aber nun geht der Entwurf in die Diskussion mit den Ländern und die Lobbyisten sind alle aktiv beim Verwässern - siehe die Streitpunkte im vorigen Newsletter).

Das europäische Digitalrechtenetzwerk EDRi hält bereits den jetzigen Kompromiss für allzu verwässert: EU Parliament calls for ban of public facial recognition, but leaves human rights gaps in final position on AI Act. Die EU-Aktivitäten sind derzeit nicht die einzigen Versuche zur 'Einhegung' von AI-Systemen: 6 ways we can regulate AI:

• der Europarat plant einen völkerrechtlichen Vertrag, der aber von jedem einzelnen Land dann ratifiziert und in lokale Gesetze umgesetzt werden müsste. Wenn dort so was wie ein Verbot von Gesichtserkennung drin steht, bin ich bei sehr vielen Ländern skeptisch.
• die Umsetzung der OECD-Prinzipien aus dem Jahr 2019 zu KI. Dies sind aber nur grundlegende Prinzipien (wie Menschenrechte, Fairness, Diversität, Rechtsstattlichkeit), die jedes Land umsetzen kann oder auch nicht.
• das Global Partnership on AI, eine Idee von Macron und Trudeau aus dem Jahr 2020. 29 Länder sind derzeit Mitglied, aber es wurde noch kein Textentwurf veröffentlicht.
• Industrie Normen. Die Standardisierungsorganisation ISO hat begonnen, Standards zu entwickeln, die die Details eines EU AI Acts definieren könnten und Basis für Prüfungen und Zertifizierungen werden sollen. Länder auf der ganzen Welt könnten die Einhaltung dieser Normen verpflichtend machen, wie sie z.B. bei Qualitäts- und Sicherheitsfragen in vielen Bereichen heute sind.
• Bemühungen innerhalb der UN gibt es seit 2021. Man arbeitet an einem freiwilligen AI Ethics Framework. Der Vorteil dieser Aktivität ist, dass damit auch Länder außerhalb Europas + USA eingebunden wären. Anderseits, warum sollten Diktaturen sich an Verbote oder Einschränkungen bei Gesichtserkennung oder Social Scoring halten?
• und natürlich auch die geplante KI-Verordnung EU AI Act, siehe oben. Der Vorteil dieser Aktivität ist, dass dabei wirklich verbindliche Regeln entstehen sollen, die von allen AI-Anbietern umgesetzt werden müssen, die in der EU Geschäfte machen wollen

Aber nicht nur in der EU und den USA setzt ein Nachdenken ein - auch die Unesco fordert strenge ethische Regeln für künstliche Intelligenz (und China schreibt vor, dass (neben vernünftigen Regeln wie Schutz geistigen Eigentums und Privatsphäre, Nicht-Diskriminierung, etc. alle AI-Systeme auf Parteilinie liegen müssen: "reflect the core values of socialism.").

Akademiker, auch außerhalb der EU, beobachten und begleiten die Regulierungsaktivitäten mit großem Interesse. In der Stanford University hat man sich angeschaut, wie die Basissysteme, die die Grundlage für die Large Language Models bilden, bei den vermutlichen Kriterien des AI Acts so abschneiden würden: Do Foundation Model Providers Comply with the Draft EU AI Act? - die kurze Antwort: Derzeit nicht, aber das wäre durchaus machbar.

Dieser Artikel hier ist eine Fortsetzung vom vorigen Newsletter und wird bestimmt auch noch weiter fortgesetzt.

3. Toxische Männlichkeit auf TikTok

Das Momentum Institut in Wien zeigt, wie schnell durch solche Qellen sehr unschöne 'Bubbles' entstehen können gibt es hier: Radikalisierung auf TikTok: Was junge Männer auf der Plattform gezeigt bekommen.

"Ein kleines Experiment zeigt: schnell ist man in einer frauenfeindlichen Bubble. Besonders junge Männer werden nach kürzester Zeit mit Personen wie Andrew Tate konfrontiert. Zuerst sind die Videos noch harmlos, das ändert sich aber schnell. Das Weltbild, das präsentiert wird, wird immer extremer."
"Klischees vom 'Alpha-Mann', der nicht fühlt, sondern nur handelt, und von der Frau, die sich unterzuordnen hat, werden gerne bedient. Was für viele lächerlich wirkt, hat vor allem auf junge Burschen eine enorme Anziehungskraft. Die Welt der 'Manosphere' ist schwarz-weiß und höchst problematisch. TikTok befeuert diese Tendenzen nur noch mehr."

4. Kündigungen, begründet mit AI

Die Kündigungen, begründet mit AI, gehen weiter (siehe mein voriger Newsletter). Bild-Zeitung wirft 100 Mitarbeiter raus, werden durch KI ersetzt. "Wer keine Fähigkeit hat, die nicht durch künstliche Intelligenz ersetzt werden kann, müsse gehen", sagt die Chefredakteurin.

Tja, so viel zu dem Traum, dass wir die Jobs behalten und die AI unsere Arbeit macht: 2030 lassen wir eine KI-Kopie von uns arbeiten - ich bleibe skeptisch, ob wir dann weiterhin bezahlt werden (siehe Artikel wie: Darf ChatGPT meine Arbeit für mich machen?) Die Fortsetzung im nächsten Newsletter.

5. Wie wir beim Tracking kategorisiert werden

netzpolitik.org hat untersucht, wie die Internet-Werbeindustrie im Detail uns alle kategorisiert. Hintergrund ist, dass die Werbetreibenden eine möglichst treffsichere Zuordnung ihres Angebots mit den Interessen, aber auch Schwachstellen der Internet-Nutzer haben wollen. Normalerweise würden man denken, dass man durch die DSGVO in Europa davor irgendwie geschützt wäre, aber die Industrie macht es zumindest so lange bis sie drastisch bestraft wird (hoffentlich!).

Damit die Zuordnung der Personen zum Angebot möglichst zielgenau geht, bietet z.B. der Microsofts Datenmarktplatz Xandr eine Kategorisierung in über 650 000 Kategorien an. Die Liste des Microsoft-Werbenetzwerks Xandr zeigt, dass die AdTech-Branche sensible Informationen wie zu Gesundheit und Politik für gezielte Ansprachen nutzt. Die Excel-Datei, die auf einem öffentlichen Webserver lagerte, ermöglicht einen tiefen Einblick in den globalen Datenhandel für Online-Werbung und in die Praktiken der AdTech-Branche. Enthalten sind quasi alle Kategorien, die laut der Datenschutz-Grundverordnung als besonders sensibel gelten. Also etwa Informationen über medizin- und gesundheitsbezogene Themen, ethnische Zugehörigkeit, Religion, politische Überzeugungen, vermutete sexuelle Ausrichtung und psychologische Profile. Das heißt: das Ganze ist in der EU ziemlich illegal.

Aus Deutschland sind die Online-Werbefirmen Adsquare, Emtriq und die ProSiebenSat.1-Tochter "The Adex" vertreten. Berichten zufolge arbeiten unter anderem Axel Springer und Burda mit Xandr. Bei den 650 000 Kategorien sind einige ziemlich eigenartige mit dabei:

• 1. Fragile Senior:innen
• 2. Shoppping-versessene Mamas
• 3. Abhängig von Opiaten
• 4. Deutsche Soldat:innen
• 5. Menschen, die weniger Tabak konsumieren wollen
• 6. Essstörungen
• 7. Menschen, die heftig viele Schwangerschaftstests kaufen
• 8. Viagra: Ungesunde Orte
• 9. „Ich komme immer zu kurz“ ('loser')
• 10. Leidenschaftliche Liebhaber:innen

Die Details zu diesen Kategorien in einem anderen Artikel: Verlierer, Liebhaber, Junkies: In diese absurden Schubladen steckt dich die Werbeindustrie. Hier findet sich eine noch ausführlichere Analyse mit noch mehr Details, z.B. zu personalisierten Medizindaten. Hier die Hintergründe zu diesem System und speziell zum Microsofts Datenmarktplatz Xandr.

Noch mehr über den Handel mit europäischen Daten

Wir in Europa sind zwar theoretisch dank des Datenschutzgesetzes vor den drastischsten Tracking-Maßnahmen geschützt. In der Praxis setzen sich aber leider immer wieder Firmen über diese Regeln hinweg und müssen erst mühsam durch aktive Menschen erwischt werden. In diesem Fall geschah das, indem Menschen Datenauskunftsabfragen an US-Firmen gestellt haben, mit denen sie nie zu tun hatten und dann entdeckten, dass bei den US-Firmen ihre Daten sehr wohl vorliegen: Handydaten an Tiktok und Microsoft verkauft.

Erhalten hat die US-Firma Telesign unsere Daten wohl von der belgischen Firma BICS. Diese bietet einen weltweit führenden Kommunikationsdienst an, der Telefonanrufe, Roaming und Datenflüsse zwischen verschiedenen Kommunikationsnetzen und -diensten in verschiedenen Teilen der Welt ermöglicht. Der Dienst ist deshalb so beliebt, da Mobilfunker, anstatt direkte Vereinbarungen untereinander treffen zu müssen, ihre Netze über den Service von BICS verbinden können.

Bei der Verarbeitung von Telefonkundendaten erhält BICS detaillierte Informationen, beispielsweise über die Regelmäßigkeit abgeschlossener Anrufe, die Anrufdauer, eine langfristige Inaktivität, Reichweitenaktivität oder den erfolgreichen eingehenden Datenverkehr.

Die Datenschutzorganisation Noyb geht davon aus, dass etwa die Hälfte der weltweiten Mobiltelefonnutzer schon Daten über Services von BICS geschickt hat. (der Link zeigt eine graphische Übersicht der Abläufe.)

Seit März 2022 weiß man dank einer Aufdeckerstory der belgischen Tageszeitung "Le Soir", dass Telesign Daten von BICS erhält. Auch dass die erhaltenen Daten einen Trust Score von null bis 300 erhalten, wurde damals bekannt. Basierend auf dieser Wertung entscheiden die Kunden von Telesign etwa, ob sich ein Nutzer für bestimmte Anwendungen direkt einloggen kann oder aber eine zusätzliche Verifizierung via SMS verlangt wird.

Ein weiterer Artikel erklärt, bei welchen Datensammlern man auf welche Weise Datenauskünfte und Löschungsbegehren starten kann.