Paracetamol zählt zu den bekanntesten Schmerzmitteln, aber wie genau es Schmerzen lindert, ist noch nicht vollständig verstanden. Bisher nahm man an, dass das Medikament ausschließlich im zentralen Nervensystem wirkt, also im Gehirn und Rückenmark. Doch laut einer Studie der Hebrew University of Jerusalem blockiert es gezielt Schmerzen dort, wo sie entstehen.
Die Forscher konnten zeigen, dass nach der Einnahme von Paracetamol zunächst das Zwischenprodukt 4-Aminophenol in der Leber entsteht. Dieses gelangt über den Blutkreislauf in das Gehirn und ins periphere Nervensystem. Dort wandelt das körpereigene Enzym FAAH den Stoff in das Abbauprodukt AM404 um.
Zwar ist bekannt, dass AM404 die Wirkung von Paracetamol vermittelt, unklar war jedoch, wie es genau zur Schmerzlinderung beiträgt. Man nahm an, dass der Stoff etwa an Cannabinoidrezeptoren in Neuronen des Zentralnervensystems wirkt. Die neue Studie zeigt hingegen, dass AM404 direkt in den peripheren Nervenenden entsteht, die Schmerzreize wahrnehmen. Es blockiert zwei bestimm
... mehr anzeigen
Paracetamol zählt zu den bekanntesten Schmerzmitteln, aber wie genau es Schmerzen lindert, ist noch nicht vollständig verstanden. Bisher nahm man an, dass das Medikament ausschließlich im zentralen Nervensystem wirkt, also im Gehirn und Rückenmark. Doch laut einer Studie der Hebrew University of Jerusalem blockiert es gezielt Schmerzen dort, wo sie entstehen.
Die Forscher konnten zeigen, dass nach der Einnahme von Paracetamol zunächst das Zwischenprodukt 4-Aminophenol in der Leber entsteht. Dieses gelangt über den Blutkreislauf in das Gehirn und ins periphere Nervensystem. Dort wandelt das körpereigene Enzym FAAH den Stoff in das Abbauprodukt AM404 um.
Zwar ist bekannt, dass AM404 die Wirkung von Paracetamol vermittelt, unklar war jedoch, wie es genau zur Schmerzlinderung beiträgt. Man nahm an, dass der Stoff etwa an Cannabinoidrezeptoren in Neuronen des Zentralnervensystems wirkt. Die neue Studie zeigt hingegen, dass AM404 direkt in den peripheren Nervenenden entsteht, die Schmerzreize wahrnehmen. Es blockiert zwei bestimmte Natriumkanäle in den schmerzempfindlichen Neuronen, die normalerweise entsprechende Signale zum Rückenmark leiten. Der Schmerz wird also schon an seinem Ursprung gestoppt.
In Tierversuchen konnten die Forscher diesen Mechanismus sowohl bei akutem als auch bei entzündungsbedingtem Schmerz nachweisen. Der Effekt ähnelt mechanistisch dem von Lokalanästhetika, ist aber selektiver. Die Erkenntnisse zu AM404 eröffneten deshalb neue Ansätze für präzisere Schmerzmittel mit weniger Nebenwirkungen, schreiben die Autoren.
@_elena is who the Fediverse needed like 10 years ago. A great communicator with an unbelievable talent, not only to tell a story, but also to visualize in a way, that everyone watching her four-minute video should ask themself: „Why in the world am I still wasting my life in capitalist-social-media bunkers instead of using the second-greatest thing since Tim Berners-Lee invented the internet.“
it was, but not easy to happen upon. you had to be looking for it and you needed a way to build your network. i joined diaspora in 2011 but it was never useful
The new version of GifCities includes a number of new improvements. We are especially excited at the drastic improvement in “GifSearchies” by implementing semantic search for GifCities, instead of the hacky old “file name” text search of the original version.
Join us for a book talk with ERIN MALONE, author of IN THROUGH THE SIDE DOOR, uncovering the untold story of how women pioneers shaped the field of user experience […]\n
Zu einer anderen Einschätzung kommt in der Zeitung der Rentenexperte Bernd Raffelhüschen. „Die Alten sind in Deutschland tatsächlich diejenigen mit dem höchsten Vermögen im Vergleich zu allen anderen Altersgruppen“, gab er in der Bild am Sonntag zu bedenken. „Niedrig verdienende, alleinstehende Personen und Kinder haben in Deutschland ein wesentlich höheres Armutsrisiko und auch einen deutlich geringeren Lebensstandard als Alte“, fügte er hinzu.
Finde ich eine wichtige Einordnung, nicht sicher ob ich es OK finde dafür aus der Bild zu zitieren. Und diese Zahlen sind ohnehin kaum aussagekräftig, solange sie nicht inflationsbereinigt sind - 1500€ sind heute weniger wert als 2022.
Jedenfalls, 7,4% der Rentner haben <1100 €/Monat - das ist ein geringerer Anteil als der der Menschen, die ALGII beziehen. Damit will ich jetzt auch keine Betroffenheits-Olympiade veranstalten, sondern ich möchte nur herausstellen, dass Altersarmut kein größeres Problem ist als
... mehr anzeigen
Zu einer anderen Einschätzung kommt in der Zeitung der Rentenexperte Bernd Raffelhüschen. „Die Alten sind in Deutschland tatsächlich diejenigen mit dem höchsten Vermögen im Vergleich zu allen anderen Altersgruppen“, gab er in der Bild am Sonntag zu bedenken. „Niedrig verdienende, alleinstehende Personen und Kinder haben in Deutschland ein wesentlich höheres Armutsrisiko und auch einen deutlich geringeren Lebensstandard als Alte“, fügte er hinzu.
Finde ich eine wichtige Einordnung, nicht sicher ob ich es OK finde dafür aus der Bild zu zitieren. Und diese Zahlen sind ohnehin kaum aussagekräftig, solange sie nicht inflationsbereinigt sind - 1500€ sind heute weniger wert als 2022.
Jedenfalls, 7,4% der Rentner haben <1100 €/Monat - das ist ein geringerer Anteil als der der Menschen, die ALGII beziehen. Damit will ich jetzt auch keine Betroffenheits-Olympiade veranstalten, sondern ich möchte nur herausstellen, dass Altersarmut kein größeres Problem ist als Armut allgemein.
Der "Gag" an der Sache ist halt, dass Armut in Altersarmut übergeht. Ist halt logisch, dass du als prekär beschäftigte Alleinerziehende dann keine dicke Rente bekommst und es ist auch logisch, dass deine Rente deutlich besser ausfällt je mehr du vorher verdient hast.
Ich hab ja schon viel gesehen in meinem Leben. Isländische Krimis in denen 40 Minuten nur geschwiegen wurde, Dokus über das Paarungsverhalten der Tiefseequallen – alles. Mir ist wirklich fast nichts fremd. Aber was Stephen Chow hier mit „Kung Fu Hustle“ abgeliefert hat, hat seinerzeit selbst mich mittelalten Mediathek-Wühler die Fernbedienung fest umklammern lassen. Nicht aus Angst – eher aus Ehrfurcht. Und ein bisschen Verwirrung. Und jeder Menge Liebe. (ZDFneo, Wh)
Ok. Dein Toot als Teaser hat mich ja schon neugierig gemacht. Deine Rezension schwappt über vor Begeisterung 😆 - und auch wenn ich mit dem Genre so gut wie nix am Hut habe (ganz dunkel erinnere ich Filme dieser Art, deren Inszenierung mich faszinierte...) - der Trailer ist echt ein Knaller🙈 Könnte mir vorstellen, dass mir das gefällt. Werde berichten😁
Oh, und danke für die Texte, das Anschauen, den Service den du damit lieferst. Ich les das gern.
@hope_n_beauty Oh, danke 1000x für das schöne Feedback und das Lob! Nichts freut mich mehr, als wenn Menschen das freiwillig und auch noch gerne lesen. Doch eigentlich mache ich das hier aus einem purem Eigennutz. So habe ich nicht nur einen Grund viel zu viel fernzusehen, sondern halte mich durch das Bloggen auch psychisch in einen Safe-Space auf und gebe meinem Leben eine Regelmäßigkeit, ohne die mir meine geistige Gesundheit vermutlich schnell entgleiten würde, weil ich den ganzen Tag auf der Fediverse-Timeline oder Spiegel-Online browsen würde. Und ab und zu, so wie bei diesem Film, genieße ich das auch einfach mal unendlich – nur aus purem Spaß daran. 😅
Na dann passt es doch gut, win win sozusagen😁 Gut für die geistige Gesundheit sorgen ist verdammt wichtig. Hab da auch Erfahrung, mehr als mir lieb ist.... #notjustsad 😔
Wir alle haben doch ein gutes Leben. Bitterkeit und Bitternis. Zwei Worte, bei denen ich das Verschwinden aus dem allgemeinen Sprachgebrauch befürchte. Alles, was sie beinhalten […]
Wenn man die aktuelle Presse und einschlägige Medien zu unserem Stromnetz durchsucht, kommt man schnell zu dem Schluss, dass es ohne rotierende Massen, die mit Kernenergie oder fossilen Energieträgern betrieben werden, nicht funktionieren wird.
Zusätzlich wird immer noch behauptet, regenerative Energiequellen, wären über Jahrzehnte nicht hinreichend, um die notwendige Betriebssicherheit zu gewährleisten.
In diesem Beitrag würde ich gerne mit euch zusammen Argumente dafür sammeln, warum es doch möglich ist, nur mit regenerativer Stromerzeugung ein stabiles Stromnetz für unsere CO₂-frei Zukunft zu betreiben und das nicht erst in den nächsten 50 Jahren, sondern in den nächsten 5!
Teilt hier gerne euer Wissen und gute Artikel dazu, damit wir alle die notwendigen Argumente vorliegen haben, wenn mal wieder ein Artikel der Uran-Fossil-Lobby etwas anderes behauptet.
A climatological assessment of balancing effects and shortfall risks of photovoltaics and wind energy in Germany and Europe
... mehr anzeigen
Wenn man die aktuelle Presse und einschlägige Medien zu unserem Stromnetz durchsucht, kommt man schnell zu dem Schluss, dass es ohne rotierende Massen, die mit Kernenergie oder fossilen Energieträgern betrieben werden, nicht funktionieren wird.
Zusätzlich wird immer noch behauptet, regenerative Energiequellen, wären über Jahrzehnte nicht hinreichend, um die notwendige Betriebssicherheit zu gewährleisten.
In diesem Beitrag würde ich gerne mit euch zusammen Argumente dafür sammeln, warum es doch möglich ist, nur mit regenerativer Stromerzeugung ein stabiles Stromnetz für unsere CO₂-frei Zukunft zu betreiben und das nicht erst in den nächsten 50 Jahren, sondern in den nächsten 5!
Teilt hier gerne euer Wissen und gute Artikel dazu, damit wir alle die notwendigen Argumente vorliegen haben, wenn mal wieder ein Artikel der Uran-Fossil-Lobby etwas anderes behauptet.
A climatological assessment of balancing effects and shortfall risks of photovoltaics and wind energy in Germany and Europe asr.copernicus.org/articles/16…
Abstract. With an increased share of solar and wind energy e.g. in the German and
European energy systems it is becoming increasingly important to analyze the
impact of weather variability on the reliability of the energy production.
When I found these two videos:https://youtu.be/EQs5VxNPhzk filmed in 1902https://youtu.be/DgfRq4kEFro recorded in 2015I realized it might be possible to line...
Ich gebe es gerne zu: Ich habe eine ganz große Schwäche für Humphrey Bogart. „The Big Sleep“, „Der Malteser Falke“ – das sind für mich nicht nur ewige Klassiker, sondern Zeitkapseln, in denen Erinnerungen meiner Kindheit und Jugend lebendig werden. Als ich las, dass Neil Jordan eine neue Interpretation von Raymond Chandlers legendärem Privatdetektiv wagt, war ich skeptisch – schließlich ist der Mythos „Marlowe“ in meiner Erinnerung schwarzweiß. (ZDF)
Ich gebe es gerne zu: Ich habe eine ganz große Schwäche für Humphrey Bogart. „The Big Sleep“, „Der Malteser Falke“ – das sind für mich nicht nur ewige…
Aktuell gibt es viele Berichte über große Batteriespeicher, die angeblich unser Netz vor dem Blackout retten sollen, aber so wie sie aktuell ausgeschrieben werden, könnten sie sogar der Auslöser dafür werden.
Nehmen wir mal als Beispiel einen großen, wirtschaftlich (also nicht netzdienlich) betriebenen Batteriespeicher, der in Bayern gebaut wird. Dieser wird an manchen Tagen im Winter versuchen, Strom einzuspeichern, weil er gerade billig ist. Aber in seiner räumlichen Nähe gibt es gar keinen Stromproduzenten, denn der Preis ist deshalb billig, weil Windkraftanlagen im Norden sehr viel Strom produzieren. Also muss der Strom für diesen Akku durch ganz Deutschland transportiert werden und belastet dabei natürlich unser Stromnetz. Damit das Stromnetz das aushält, werden wir es ausbauen müssen, was natürlich am Ende wir über den Strompreis (oder die Netzentgelte) bezahlen müssen.
Es kommt noch hinzu, dass solche großen Speicher nur von großen Firmen mit viel Kapital installiert werden
... mehr anzeigen
Aktuell gibt es viele Berichte über große Batteriespeicher, die angeblich unser Netz vor dem Blackout retten sollen, aber so wie sie aktuell ausgeschrieben werden, könnten sie sogar der Auslöser dafür werden.
Nehmen wir mal als Beispiel einen großen, wirtschaftlich (also nicht netzdienlich) betriebenen Batteriespeicher, der in Bayern gebaut wird. Dieser wird an manchen Tagen im Winter versuchen, Strom einzuspeichern, weil er gerade billig ist. Aber in seiner räumlichen Nähe gibt es gar keinen Stromproduzenten, denn der Preis ist deshalb billig, weil Windkraftanlagen im Norden sehr viel Strom produzieren. Also muss der Strom für diesen Akku durch ganz Deutschland transportiert werden und belastet dabei natürlich unser Stromnetz. Damit das Stromnetz das aushält, werden wir es ausbauen müssen, was natürlich am Ende wir über den Strompreis (oder die Netzentgelte) bezahlen müssen.
Es kommt noch hinzu, dass solche großen Speicher nur von großen Firmen mit viel Kapital installiert werden können, die dann damit "natürlich" auch Renditen für ihre Investoren damit verdienen wollen. Ihr Ziel wird also sein, gegen den "einen" deutschen Strompreis zu wetten, egal, wie die aktuelle Stromversorgung vor Ort gerade aussieht.
Klar, wir sind in Deutschland und wir lösen unsere Probleme schon immer so, aber wir könnten es auch mal anders versuchen, nämlich kleiner und lokaler.
Ein sinnvoller Ansatz wäre, unser Netz in Zellen zu organisieren.
Die kleinste Zelle ist dabei ein Haushalt. Falls es den Bewohnern möglich ist, organisieren sie ihren Haushalt so, dass sie nur so viel Strom verbrauchen, wie sie selbst erzeugen. Also etwa die Spülmaschine anmachen, wenn das Balkonkraftwerk gerade viel Strom verbraucht. Aber das wird nur selten nicht funktionieren, da man nicht ständig seinen Stromverbrauch kontrollieren will. Man könnte deshalb zusätzlich einen Akku kaufen, aber der ist hinter dem Zähler relativ ineffizient, da er nur die Verbraucher hinter dem Zähler sieht.
Deshalb wird noch eine weitere Ebene von Zellen benötigt, die viele Haushalte zu einer Einheit zusammenfasst. Das könnten zum Beispiel 1000 räumlich nahe zusammen liegende Haushalte sein, deren smarte Stromzähler über das Internet miteinander verbunden sind. Für diese Zelle baut man dann einen mittelgroßen lokalen Speicher, dem all diese Haushalte ihre Daten schicken (eigentlich nur, was sie gerade verbrauchen oder erzeugen / gerne verschlüsselt!). Immer wenn in der Zelle in Summe mehr Strom erzeugt, als verbraucht wird, beginnt dieser Speicher mit dem Laden. Das führt dazu, dass der erzeugte Strom quasi lokal in der Zelle bleibt und nicht über weitere Strecken transportiert werden muss, was das gesamte Netz stark entasten würde. Wenn die Zelle weniger Strom produziert als verbraucht wird, gibt der Akku den Strom an die Zelle zurück, wovon dann auch die Haushalte profitieren, die keine PV-Anlagen haben.
Im Idealfall würde man so einen Speicher auch lokal finanzieren, zum Beispiel durch Genossenschaften, damit der Ertrag vor Ort bleibt. Immer wenn der Speicher Gewinne erzeugt, baut die Genossenschaft damit neue PV-Anlagen oder vergrößert den Speicher (oder finanziert Spielplätze oder Schwimmbäder).
Leider ist das in Deutschland fast nicht möglich, denn für das lokale Durchleiten von Strom gibt es keine staatliche Erlaubnis. Es gibt nur ein Gesetz, das die Einspeisung von PV-Anlagen regelt, was die lokalen Netzbetreiber dazu zwingt, diesen Strom immer zu kaufen, egal ob er gerade benötigt wird oder nicht. Es ist im Prinzip schon möglich, wenn der lokale Netzbetreiber es unterstützt oder die Genossenschaft eine Lizenz als Netzbetreiber beantragt, was aber für so eine Zelle von nur 1000 Haushalten nicht rentabel wäre.
Ich kenn das System in Deutschland nicht, aber in Österreich sollte so etwas mit einer EEG (Erneuerbare Energiegesellschaft) bzw einer BEG (Bürgerenergiegesellschaft) möglich sein.
Beides sind Gruppen von Nutzern, die ihren Strom selbst organisieren. Ich bin selber Mitglied in einer EEG, und zahle meinen Stromverbrauch an die EEG. Nur was ich nicht über die EEG decken kann, beziehe ich aus dem Stromnetz.
Die EEG plant auch die Anschaffung eines Speichers, aber ich kann mir vorstellen, dass das schwierig ist (weil teuer).
Over the past few months, I embarked on a rewarding digital journey to move away from US big tech and towards more European [EU], open source [FOSS], privacy-oriented [P], and decentralized [D] alternatives.
I'm sharing my experience here in case it can be useful to others, as well as to gather any additional thoughts or suggestions: - Desktop OS: Microsoft Windows 11 --> OpenSUSE Tumbleweed + KDE [EU] [FOSS]- Web browser: Google Chrome --> Brave --> Vivaldi --> Mozilla Firefox + Strict privacy settings, uBlock Origin, Privacy Badger, Conset-O-Matic [FOSS] [P]- Email: Gmail --> Infomaniak Mail [EU] [FOSS]- Calendar: Google Calendar --> Infomaniak Calendar [EU][FOSS] + OneCalendar [EU]- Files: Dropbox --> Infomaniak kDrive [EU] [FOSS]- Photos: Google Photos --> Infomaniak kDrive [EU] [FOSS]- Notes: Google Keep --> Notesnook [FOSS] [P]- Social Media: - Facebook --> Nothing - Twitter
... mehr anzeigen
Over the past few months, I embarked on a rewarding digital journey to move away from US big tech and towards more European [EU], open source [FOSS], privacy-oriented [P], and decentralized [D] alternatives.
I'm sharing my experience here in case it can be useful to others, as well as to gather any additional thoughts or suggestions: - Desktop OS: Microsoft Windows 11 --> OpenSUSE Tumbleweed + KDE [EU] [FOSS]- Web browser: Google Chrome --> Brave --> Vivaldi --> Mozilla Firefox + Strict privacy settings, uBlock Origin, Privacy Badger, Conset-O-Matic [FOSS] [P]- Email: Gmail --> Infomaniak Mail [EU] [FOSS]- Calendar: Google Calendar --> Infomaniak Calendar [EU][FOSS] + OneCalendar [EU]- Files: Dropbox --> Infomaniak kDrive [EU] [FOSS]- Photos: Google Photos --> Infomaniak kDrive [EU] [FOSS]- Notes: Google Keep --> Notesnook [FOSS] [P]- Social Media: - Facebook --> Nothing - Twitter/X --> Mastodon (mas.to) [EU][FOSS] [D] - Reddit --> Lemmy (lemm.ee) [EU][FOSS] [D]- AI Chatbot: OpenAI ChatGPT --> Mistral AI Le Chat [EU]- Videos: Youtube --> Unwatched [EU][FOSS] [P]- Podcasts: Apple Podcasts --> Spotify --> Pocket Casts [FOSS]- Translate: Google Translate --> DeepL [EU]- Maps: Google Maps --> Organic Maps [EU][FOSS] [P]- Weather: Apple Weather --> YR [EU]- Online payments: PayPal --> Revolut [EU]- Password manager: LastPass --> Mozilla Firefox --> Bitwarden [FOSS] [P]- Online shopping: Amazon --> Cdiscount [EU]- Travel booking: Booking.com --> Direct booking
And here's the list of things I couldn't let go of: - Mobile OS: iOS | I have a business iPhone which is also my personal phone - Messaging: WhatsApp | The network effect is too big here: family, friends, local businesses, etc - Streaming services: Netflix, Amazon Prime Video, Disney+ | These come basically for free with my ISP and are too convenient for the moment (esp. w/ kids)
Just migrated all my Gdrive stuff there to support a European company. What would be a similar alternative with reasonable pricing, cloud storage and online office suite from multiple devices? I don't need a VPN, mail, chat or meeting software to be included.
Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz viele Leute ganz wenig Ahnung haben, wie die Datenflüsse bei KI-Chatbots wie ChatGPT etc. eigentlich ablaufen.
Deshalb habe ich für euch (und alle, die mit KI liebäugeln) das mal aufgeschrieben und aufgezeichnet.
Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz viele Leute ganz wenig Ahnung haben, wie die Datenflüsse bei KI-Chatbots wie ChatGPT etc. eigentlich ablaufen.
Deshalb habe ich für euch (und alle, die mit KI liebäugeln) das mal aufgeschrieben und aufgezeichnet.
Vor 2017 (und hinter dem Schatten der LLM wie ChatGPT) hat man versucht, Sätze zu analysieren und in Subjekt, Verb, Objekt aufzuteilen. Das war furchtbar ineffizient (aus Sicht des Programmieraufwands).
«Modern» macht man das nicht mehr, sondern nutzt nur noch Statistiken über weite Teile des Internet: Alle Texte, die Menschen so geschrieben haben. Da nimmt man als KI-Firma dann alles, was man so in die Finger bekommt. Grammatik wird heute nicht mehr explizit analysiert. Nur via umfangreiche, undurchsichtige Statistiken.
Chatbots heute — und ihre Fehler
Heutige KI-Chatbots funktionieren nach einer einfachen — dafür extrem daten- und rechenintensiven — Methode:
Da schon fast das gesamte Internet abgegrast ist, suchen die KI-Firmen nach mehr Trainings- und Testdaten, welche den Fehler aufzeigen. Was gäbe es da besseres, als die Chatverläufe der eigenen Nutzer:innen? Diese User:innen haben sicher mit den Fehlern herumexperimentiert:
Wann schlägt ChatGPT vor, dass sich doch auch 9 Frauen eine Schwangerschaft teilen können? Wie bringt man ChatGPT dazu, das auch noch zu sagen, nachdem der Hersteller glaubt, dass das Problem behoben sei?
Wann schlägt Gemini vor, den Pizzabelag mit Leim festzukleben? Wie bringt man Gemini dazu, das zuverlässig zu sagen?
Genau sowas wären doch die perfekten Testdaten! Also haben sich die KI-Firmen das Recht ausbedungen, die Chatverläufe analysieren und nutzen zu dürfen.
Wenn man weiss, wie mit den Daten umgegangen wird und wie Fehler entstehen, fällt es einem leichter, sich an folgenden Regeln zu halten:
Die 80%-Regel: Traue den Antworten des Chatbot|s nur so weit, wie du dich auch fast auskennst.
Nutze sie nicht ungeprüft für Automatisierungen, die Schaden anrichten oder peinlich ausgehen können. Also kein Automated Decision Making (ADM).
«Täderlä», petzen, ausquatschen, …
Mit diesem Wissen um die Datenflüsse rund ums KI-Training können wir nun auch die Frage beantworten: Ob, wann und wie können meine Eingaben an einen Chatbot dann an anderen Stellen auftauchen?
Auch hier gibt es mehrere Möglichkeiten:
0. Der Mensch
Zuerst einmal die menschliche Komponente: Durch die Interaktionsfähigkeit und den „menschlichen“ Touch des Dialogs, sind wir freigiebiger mit Informationen als bei einer Google-/Wikipediasuche.
… sowie das Vertrauen in den Cloudanbieter, dass er das mit Datenschutz und Datensicherheit ernst meint.
Leider ist das sehr schwer von aussen zu beurteilen. Für Normalsterbliche meist erst, *nachdem* der Anbieter gehackt wurde. Und dann ist es auch zu spät.
Da bleibt (für Normalsterbliche) kaum mehr als Hoffnung, dass zumindest etablierte Firmen das im Griff haben. (Aber auch das ist keine zuverlässige Regel.)
Im Normalfall bleiben alle Informationen innerhalb eines Chatverlauf|s. Es gibt aber Ausnahmen, wie die neuen Memory-Funktionen und eben die oben bereits angesprochene Nutzung der Chats als Trainings- oder Testdaten.
Ja, es gibt Möglichkeiten, *gewisse* Trainingsdaten 1:1 wieder als Antwort zu erhalten. Aber damit ist es (bisher, und vermutlich auch zukünftig) nicht möglich, gezielt unbekannte Daten auszuforschen. Verschiedene Datenverarbeitungen und -speicherungen. Mehr dazu hier. Ja, es besteht die Möglichkeit, dass vielleicht irgendwann Bruchstücke aus einem deiner Chatverläufe woanders auftauchen können. Aber das kann auch Zufall sein, also, dass der Output auch entstanden wäre, ohne dass das in deinem Chatverlauf gestanden hätte.
Und das dürfte wohl auch weiterhin der Standard sein. Details im Artikel.
Tipps
Aber man muss sein Glück nicht herausfordern. Deshalb schliesst der Artikel mit ein paar Tipps:
Eigenen Rechner/Konto schützen
Grundsätzlich Vorsicht bei der Eingabe von schützenswerten Daten
Eingaben anonymisieren (also nicht: „Schreibe eine fristlose Kündigung für Herrn Meier, der X gemacht hat“)
Wenn man kritische Daten verarbeitet, auf einen Provider/Vertrag wechseln, bei dem die Chatdaten nicht verwendet werden. Oder Häkchen setzen.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten, ob Computer „intelligent“ seien. Dieses… Der Turing-Test im Laufe der Zeit weiterlesen
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch kein Beweis. Etwas Hintergrund.
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders beim Umgang mit dem, was… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
Der Dachverband der Lehrerinnen und Lehrer (LCH) sei besorgt, dass es in der Schweiz keine einheitliche Regelung gäbe, wie Lehrpersonen mit Daten ihrer Schützlinge umgehen sollen und ob sie dafür… Lehrerverband, ChatGPT und Datenschutz weiterlesen
In «Wie funktioniert ChatGPT?» habe ich die Experimente von Andrej Karpathy mit Shakespeare-Texten wiedergegeben. Aber funktioniert das auch auf Deutsch? Zum Beispiel mit Goethe? Finden wir es heraus!
Wer von einer «Künstlichen Intelligenz» Texte oder Bilder erzeugen lässt, weiss, dass das Resultat stark auf Zufall beruht. Vor Kurzem erschien in der NZZ ein Beitrag, der die Unzuverlässigkeit der… KI: Alles nur Zufall? weiterlesen
Wieso tauchen gewisse Hype-Themen wie Blockchain oder Maschinelles Lernen/Künstliche Intelligenz regelmässig in IT-Projekten auf, obwohl die Technik nicht wirklich zur gewünschten Lösung passt? Oder es auch einfachere, bessere Ansätze gäbe?… Hype-Tech weiterlesen
Der Digital Learning Hub organisierte 3 Impuls-Workshops zum Einsatz von ChatGPT in der Sekundarstufe II. Im dritten Teil präsentierte ich die Technik hinter ChatGPT. In der halben Stunde Vortrag werden… 📹 Die Technik hinter ChatGPT weiterlesen
Ob man KI-Chatbots sicher einsetzen kann, hängt von der Anwendung ab. Aleksandr Tiulkanov hat deshalb ein Flussdiagramm als Entscheidungshilfe erstellt. Hier eine deutsche Übersetzung und ein paar Anmerkungen zum Korrekturlesen… Ist ChatGPT für Ihre Anwendung ungefährlich? weiterlesen
ChatGPT ist wohl das zur Zeit mächtigste Künstliche-Intelligenz-Sprachmodell. Wir schauen etwas hinter die Kulissen, wie das „large language model“ GPT-3 und das darauf aufsetzende ChatGPT funktionieren.
KI-Kunst ist auf dem Vormarsch, sowohl was die Qualität als auch die Quantität betrifft. Es liegt (leider) in der menschlichen Natur, einiges davon als „echte“, menschgeschaffene Kunst zu vermarkten. Hier… Identifikation von KI-Kunst weiterlesen
Entmutigt durch die vielen Antworten von ChatGPT, es könne mir auf diese oder jene Frage keine Antwort geben, weil es nur ein von OpenAI trainiertes Sprachmodell sei, versuchte ich, ChatGPT… Die Lieblingsfragen von ChatGPT weiterlesen
Am vergangenen Mittwoch habe ich im Rahmen der Volkshochschule Stein am Rhein einen Überblick über die Mächtigkeit, aber auch die teilweise Ohnmächtigkeit der Künstlichen Intelligenz gegeben. Das zahlreich anwesende Publikum… Wie funktioniert Künstliche Intelligenz? weiterlesen
Am 16. November 2022 halte ich einen öffentlichen Vortrag zu künstlicher Intelligenz an der VHS Stein am Rhein. Sie sind herzlich eingeladen. Künstliche Intelligenz ist derzeit in aller Munde und… Künstliche Intelligenz — und jetzt? weiterlesen
Im NZZ Folio vom 6. September 2022 beschrieb Reto U. Schneider u.a., wie er mit DALL•E 2 Bilder erstellte. Die Bilder waren alle sehr eindrücklich. Ich fragte mich allerdings, wie viele… Reproduzierbare KI: Ein Selbstversuch weiterlesen
Machine Learning („ML“) wird als Wundermittel angepriesen um die Menschheit von fast allen repetitiven Verarbeitungsaufgaben zu entlasten: Von der automatischen Klassifizierung von Strassenschilden über medizinische Auswertungen von Gewebeproben bis zur… Machine Learning: Künstliche Faultier-Intelligenz weiterlesen
«Reddit rAIngelegt»: Hörkombinat-Podcast-Interview zur fragwürdigen KI-Manipulation an der Universität Zürich
Forschende der Uni Zürich haben KI-Bots in ein Forum der Plattform Reddit eingeschleust. Und zwar ohne Wissen der Betreiber:innen und User:innen. In diesem Forum, «ChangeMyView», fordern die Teilnehmenden dazu auf, ihre Meinungen zu widerlegen. Nun haben zahlreiche von ihnen nichts ahnend mit Maschinen diskutiert und mitgelitten – eine KI gab sich etwa als Missbrauchsopfer aus.
Klar ist: Das Vorgehen ist unethisch.
Unklarer ist: Machen Privatfirmen nicht viel- leicht längst dasselbe? Wie könnte man solche Täuschungsmanöver verhindern?
Hintergründe und diese Fragen erörtern Hörkombinat-Redaktori:innen Elvira Isenring und Dominik Dusek gemeinsam mit den Adrienne Fichter und Patrick Seemann von DNIP.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten, ob Computer „intelligent“ seien. Dieses… Der Turing-Test im Laufe der Zeit weiterlesen
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch kein Beweis. Etwas Hintergrund.
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders beim Umgang mit dem, was… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
Der Dachverband der Lehrerinnen und Lehrer (LCH) sei besorgt, dass es in der Schweiz keine einheitliche Regelung gäbe, wie Lehrpersonen mit Daten ihrer Schützlinge umgehen sollen und ob sie dafür… Lehrerverband, ChatGPT und Datenschutz weiterlesen
In «Wie funktioniert ChatGPT?» habe ich die Experimente von Andrej Karpathy mit Shakespeare-Texten wiedergegeben. Aber funktioniert das auch auf Deutsch? Zum Beispiel mit Goethe? Finden wir es heraus!
Wer von einer «Künstlichen Intelligenz» Texte oder Bilder erzeugen lässt, weiss, dass das Resultat stark auf Zufall beruht. Vor Kurzem erschien in der NZZ ein Beitrag, der die Unzuverlässigkeit der… KI: Alles nur Zufall? weiterlesen
Wieso tauchen gewisse Hype-Themen wie Blockchain oder Maschinelles Lernen/Künstliche Intelligenz regelmässig in IT-Projekten auf, obwohl die Technik nicht wirklich zur gewünschten Lösung passt? Oder es auch einfachere, bessere Ansätze gäbe?… Hype-Tech weiterlesen
Der Digital Learning Hub organisierte 3 Impuls-Workshops zum Einsatz von ChatGPT in der Sekundarstufe II. Im dritten Teil präsentierte ich die Technik hinter ChatGPT. In der halben Stunde Vortrag werden… 📹 Die Technik hinter ChatGPT weiterlesen
Ob man KI-Chatbots sicher einsetzen kann, hängt von der Anwendung ab. Aleksandr Tiulkanov hat deshalb ein Flussdiagramm als Entscheidungshilfe erstellt. Hier eine deutsche Übersetzung und ein paar Anmerkungen zum Korrekturlesen… Ist ChatGPT für Ihre Anwendung ungefährlich? weiterlesen
ChatGPT ist wohl das zur Zeit mächtigste Künstliche-Intelligenz-Sprachmodell. Wir schauen etwas hinter die Kulissen, wie das „large language model“ GPT-3 und das darauf aufsetzende ChatGPT funktionieren.
KI-Kunst ist auf dem Vormarsch, sowohl was die Qualität als auch die Quantität betrifft. Es liegt (leider) in der menschlichen Natur, einiges davon als „echte“, menschgeschaffene Kunst zu vermarkten. Hier… Identifikation von KI-Kunst weiterlesen
Entmutigt durch die vielen Antworten von ChatGPT, es könne mir auf diese oder jene Frage keine Antwort geben, weil es nur ein von OpenAI trainiertes Sprachmodell sei, versuchte ich, ChatGPT… Die Lieblingsfragen von ChatGPT weiterlesen
Am vergangenen Mittwoch habe ich im Rahmen der Volkshochschule Stein am Rhein einen Überblick über die Mächtigkeit, aber auch die teilweise Ohnmächtigkeit der Künstlichen Intelligenz gegeben. Das zahlreich anwesende Publikum… Wie funktioniert Künstliche Intelligenz? weiterlesen
Am 16. November 2022 halte ich einen öffentlichen Vortrag zu künstlicher Intelligenz an der VHS Stein am Rhein. Sie sind herzlich eingeladen. Künstliche Intelligenz ist derzeit in aller Munde und… Künstliche Intelligenz — und jetzt? weiterlesen
Im NZZ Folio vom 6. September 2022 beschrieb Reto U. Schneider u.a., wie er mit DALL•E 2 Bilder erstellte. Die Bilder waren alle sehr eindrücklich. Ich fragte mich allerdings, wie viele… Reproduzierbare KI: Ein Selbstversuch weiterlesen
Machine Learning („ML“) wird als Wundermittel angepriesen um die Menschheit von fast allen repetitiven Verarbeitungsaufgaben zu entlasten: Von der automatischen Klassifizierung von Strassenschilden über medizinische Auswertungen von Gewebeproben bis zur… Machine Learning: Künstliche Faultier-Intelligenz weiterlesen
Auf dieser Plattform schreiben wir regelmässig über netzpolitische Themen und veröffentlichen exklusive Recherchen, Erklärstücke und Kommentare, die es
Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der mittels falscher Botschaften auf Klicks abzielte. Aber beim Versuch, einen wahrheitsgemässen Bericht über ein EuGH-Urteil gegen Facebook zu posten, wurde dieser unter dem Vorwand, ich würde Spam verbreiten, gelöscht. Was ist passiert?
Der EuGH publizierte am Freitag eine Pressemitteilung, dass eine Klage des österreichischen Juristen und Datenschutzaktivisten Max Schrems gegen Meta gut geheissen worden sei. Im Urteil, das noch nicht im Volltext vorliegt, wurde u.a. bestätigt, dass sich Facebook auch bei seiner Datensammlung für Werbung an den DSGVO-Grundsatz der Datenminimierung zu halten habe. Natürlich freute sich der von Max Schrems für die Durchsetzung von Datenschutzgesetzen gegründete Verein noyb (eine Abkürzung von «None Of Your Busin
... mehr anzeigen
Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der mittels falscher Botschaften auf Klicks abzielte. Aber beim Versuch, einen wahrheitsgemässen Bericht über ein EuGH-Urteil gegen Facebook zu posten, wurde dieser unter dem Vorwand, ich würde Spam verbreiten, gelöscht. Was ist passiert?
Der EuGH publizierte am Freitag eine Pressemitteilung, dass eine Klage des österreichischen Juristen und Datenschutzaktivisten Max Schrems gegen Meta gut geheissen worden sei. Im Urteil, das noch nicht im Volltext vorliegt, wurde u.a. bestätigt, dass sich Facebook auch bei seiner Datensammlung für Werbung an den DSGVO-Grundsatz der Datenminimierung zu halten habe. Natürlich freute sich der von Max Schrems für die Durchsetzung von Datenschutzgesetzen gegründete Verein noyb (eine Abkürzung von «None Of Your Business», deutsch: «Geht dich nichts an») über diesen positiven Abschluss des vor 10 Jahren ins Rollen gebrachte Verfahrens und publizierte eine erste Analyse.
Eigentlich eine Information, die Facebook-Nutzer:innen interessieren würde. Aber beim Versuch, einen Link auf die Analyse auf Facebook zu posten, erschien bei Nutzer:innen die Nachricht von Facebook, dass dieser Beitrag entfernt worden sei, weil er auf «irreführende Art und Weise „Gefällt mir“-Angabe, Follower, geteilte Inhalte oder Videaufrufe zu generieren.» Dies ist Spam, laut FacebookDies ist kein Spam, laut Facebook. I beg to disagree. Besonders erstaunt war ein Nutzer [ich; wie am einfachsten zu schreiben?], weil eine der ersten Posts, die mir nach dem Login auf Facebook entgegensprang, ganz offensichtlich «irreführend» war; etwas, was beim noyb-Post nicht nachzuvollziehen ist.
Facebook scheint ganz klar mit zwei Ellen zu messen.
Kein Einzelfall
Entsprechende Meldungen, dass Facebook unliebsame Mitteilungen mit nicht nachvollziehbaren Gründen sperrt, häufen sich dieses Jahr.
Weltweit scheinen Newsportale, welche kritische Nachrichten über Facebook verbreiten, von solchen vorgeschobenen «Spam»-Klassierungen betroffen zu sein. Insbesondere unabhängige Zeitungen und Journalisten scheinen betroffen zu sein.
Es scheint: So viel offene Zensur und Willkür gab es noch nie.
Mehr zum Thema, zur Rechtslage und mit Reaktionen einiger Beteiligter ist im DNIP-Beitrag «Facebook: Lieber Zensur als Datenschutz» (gemeinsam mit Adrienne Fichter) nachzulesen.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz viele Leute ganz wenig Ahnung haben, wie die Datenflüsse bei KI-Chatbots wie ChatGPT etc. eigentlich ablaufen.
Deshalb habe ich für euch (und alle, die mit KI liebäugeln) das mal aufgeschrieben und aufgezeichnet.
Vor 2017 (und hinter dem Schatten der LLM wie ChatGPT) hat man versucht, Sätze zu analysieren und in Subjekt, Verb, Objekt aufzuteilen. Das war furchtbar ineffizient (aus Sicht des Programmieraufwands).
«Modern» macht man das nicht mehr, sondern nutzt nur noch Statistiken über weite Teile des Internet: Alle Texte, die Menschen so geschrieben haben. Da nimmt man als KI-Firma dann alles, was man so in die Finger bekommt. Grammatik wird heute nicht mehr explizit analysiert. Nur via umfangreiche, undurchsichtige Statistiken.
Chatbots heute — und ihre Fehler
Heutige KI-Chatbots funktionieren nach einer einfachen — dafür extrem daten- und rechenintensiven — Methode:
Da schon fast das gesamte Internet abgegrast ist, suchen die KI-Firmen nach mehr Trainings- und Testdaten, welche den Fehler aufzeigen. Was gäbe es da besseres, als die Chatverläufe der eigenen Nutzer:innen? Diese User:innen haben sicher mit den Fehlern herumexperimentiert:
Wann schlägt ChatGPT vor, dass sich doch auch 9 Frauen eine Schwangerschaft teilen können? Wie bringt man ChatGPT dazu, das auch noch zu sagen, nachdem der Hersteller glaubt, dass das Problem behoben sei?
Wann schlägt Gemini vor, den Pizzabelag mit Leim festzukleben? Wie bringt man Gemini dazu, das zuverlässig zu sagen?
Genau sowas wären doch die perfekten Testdaten! Also haben sich die KI-Firmen das Recht ausbedungen, die Chatverläufe analysieren und nutzen zu dürfen.
Wenn man weiss, wie mit den Daten umgegangen wird und wie Fehler entstehen, fällt es einem leichter, sich an folgenden Regeln zu halten:
Die 80%-Regel: Traue den Antworten des Chatbot|s nur so weit, wie du dich auch fast auskennst.
Nutze sie nicht ungeprüft für Automatisierungen, die Schaden anrichten oder peinlich ausgehen können. Also kein Automated Decision Making (ADM).
«Täderlä», petzen, ausquatschen, …
Mit diesem Wissen um die Datenflüsse rund ums KI-Training können wir nun auch die Frage beantworten: Ob, wann und wie können meine Eingaben an einen Chatbot dann an anderen Stellen auftauchen?
Auch hier gibt es mehrere Möglichkeiten:
0. Der Mensch
Zuerst einmal die menschliche Komponente: Durch die Interaktionsfähigkeit und den „menschlichen“ Touch des Dialogs, sind wir freigiebiger mit Informationen als bei einer Google-/Wikipediasuche.
… sowie das Vertrauen in den Cloudanbieter, dass er das mit Datenschutz und Datensicherheit ernst meint.
Leider ist das sehr schwer von aussen zu beurteilen. Für Normalsterbliche meist erst, *nachdem* der Anbieter gehackt wurde. Und dann ist es auch zu spät.
Da bleibt (für Normalsterbliche) kaum mehr als Hoffnung, dass zumindest etablierte Firmen das im Griff haben. (Aber auch das ist keine zuverlässige Regel.)
Im Normalfall bleiben alle Informationen innerhalb eines Chatverlauf|s. Es gibt aber Ausnahmen, wie die neuen Memory-Funktionen und eben die oben bereits angesprochene Nutzung der Chats als Trainings- oder Testdaten.
Ja, es gibt Möglichkeiten, *gewisse* Trainingsdaten 1:1 wieder als Antwort zu erhalten. Aber damit ist es (bisher, und vermutlich auch zukünftig) nicht möglich, gezielt unbekannte Daten auszuforschen. Verschiedene Datenverarbeitungen und -speicherungen. Mehr dazu hier. Ja, es besteht die Möglichkeit, dass vielleicht irgendwann Bruchstücke aus einem deiner Chatverläufe woanders auftauchen können. Aber das kann auch Zufall sein, also, dass der Output auch entstanden wäre, ohne dass das in deinem Chatverlauf gestanden hätte.
Und das dürfte wohl auch weiterhin der Standard sein. Details im Artikel.
Tipps
Aber man muss sein Glück nicht herausfordern. Deshalb schliesst der Artikel mit ein paar Tipps:
Eigenen Rechner/Konto schützen
Grundsätzlich Vorsicht bei der Eingabe von schützenswerten Daten
Eingaben anonymisieren (also nicht: „Schreibe eine fristlose Kündigung für Herrn Meier, der X gemacht hat“)
Wenn man kritische Daten verarbeitet, auf einen Provider/Vertrag wechseln, bei dem die Chatdaten nicht verwendet werden. Oder Häkchen setzen.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten, ob Computer „intelligent“ seien. Dieses… Der Turing-Test im Laufe der Zeit weiterlesen
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch kein Beweis. Etwas Hintergrund.
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders beim Umgang mit dem, was… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
Der Dachverband der Lehrerinnen und Lehrer (LCH) sei besorgt, dass es in der Schweiz keine einheitliche Regelung gäbe, wie Lehrpersonen mit Daten ihrer Schützlinge umgehen sollen und ob sie dafür… Lehrerverband, ChatGPT und Datenschutz weiterlesen
In «Wie funktioniert ChatGPT?» habe ich die Experimente von Andrej Karpathy mit Shakespeare-Texten wiedergegeben. Aber funktioniert das auch auf Deutsch? Zum Beispiel mit Goethe? Finden wir es heraus!
Wer von einer «Künstlichen Intelligenz» Texte oder Bilder erzeugen lässt, weiss, dass das Resultat stark auf Zufall beruht. Vor Kurzem erschien in der NZZ ein Beitrag, der die Unzuverlässigkeit der… KI: Alles nur Zufall? weiterlesen
Wieso tauchen gewisse Hype-Themen wie Blockchain oder Maschinelles Lernen/Künstliche Intelligenz regelmässig in IT-Projekten auf, obwohl die Technik nicht wirklich zur gewünschten Lösung passt? Oder es auch einfachere, bessere Ansätze gäbe?… Hype-Tech weiterlesen
Der Digital Learning Hub organisierte 3 Impuls-Workshops zum Einsatz von ChatGPT in der Sekundarstufe II. Im dritten Teil präsentierte ich die Technik hinter ChatGPT. In der halben Stunde Vortrag werden… 📹 Die Technik hinter ChatGPT weiterlesen
Ob man KI-Chatbots sicher einsetzen kann, hängt von der Anwendung ab. Aleksandr Tiulkanov hat deshalb ein Flussdiagramm als Entscheidungshilfe erstellt. Hier eine deutsche Übersetzung und ein paar Anmerkungen zum Korrekturlesen… Ist ChatGPT für Ihre Anwendung ungefährlich? weiterlesen
ChatGPT ist wohl das zur Zeit mächtigste Künstliche-Intelligenz-Sprachmodell. Wir schauen etwas hinter die Kulissen, wie das „large language model“ GPT-3 und das darauf aufsetzende ChatGPT funktionieren.
KI-Kunst ist auf dem Vormarsch, sowohl was die Qualität als auch die Quantität betrifft. Es liegt (leider) in der menschlichen Natur, einiges davon als „echte“, menschgeschaffene Kunst zu vermarkten. Hier… Identifikation von KI-Kunst weiterlesen
Entmutigt durch die vielen Antworten von ChatGPT, es könne mir auf diese oder jene Frage keine Antwort geben, weil es nur ein von OpenAI trainiertes Sprachmodell sei, versuchte ich, ChatGPT… Die Lieblingsfragen von ChatGPT weiterlesen
Am vergangenen Mittwoch habe ich im Rahmen der Volkshochschule Stein am Rhein einen Überblick über die Mächtigkeit, aber auch die teilweise Ohnmächtigkeit der Künstlichen Intelligenz gegeben. Das zahlreich anwesende Publikum… Wie funktioniert Künstliche Intelligenz? weiterlesen
Am 16. November 2022 halte ich einen öffentlichen Vortrag zu künstlicher Intelligenz an der VHS Stein am Rhein. Sie sind herzlich eingeladen. Künstliche Intelligenz ist derzeit in aller Munde und… Künstliche Intelligenz — und jetzt? weiterlesen
Im NZZ Folio vom 6. September 2022 beschrieb Reto U. Schneider u.a., wie er mit DALL•E 2 Bilder erstellte. Die Bilder waren alle sehr eindrücklich. Ich fragte mich allerdings, wie viele… Reproduzierbare KI: Ein Selbstversuch weiterlesen
Machine Learning („ML“) wird als Wundermittel angepriesen um die Menschheit von fast allen repetitiven Verarbeitungsaufgaben zu entlasten: Von der automatischen Klassifizierung von Strassenschilden über medizinische Auswertungen von Gewebeproben bis zur… Machine Learning: Künstliche Faultier-Intelligenz weiterlesen
Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
Im Economist erschien im September eine Grafik, die mir die Entwicklung der Prozessoren in den Computern in den 5 Jahrzehnten wieder in Erinnerung rief. Da sie hinter einer Paywall steckt, habe ich eine ähnliche Grafik gebaut, die auf denselben frei verfügbaren Daten aufbaut, die auch der Economist genutzt hat: Logarithmische Darstellung der Prozessorentwicklung, d.h. zwischen zwei Marken auf der Y-Achse steht jeweils ein Faktor 10. Wir sehen, dass ab ca. 2005 die Frequenz kaum mehr zugenommen hat, dafür die Anzahl logischer Cores («Teilprozessoren») die innerhalb eines Chips vorhanden sind. Leistung nimmt nur noch langsam zu, sowohl was die Rechenleistung eines Programmthreads betrifft als auch den Stromverbrauch. Die Entwicklung der Anzahl Transistoren liess sich vom Jahr 2005 nicht einschüchtern und wächst in unveränderter Geschwindigkeit. (Datenquelle, Inspiration, Englische Version) Es fällt sofort auf, dass die meisten Trendlinien um 2005 herum einen markanten Knick machen, abgesehen von der Transistorzahl, die ungebrochen ca. alle 7 Jahre um den Faktor 10 (eine Y-Skaleneinheit) wachsen. Was ist da passiert?
Heutige Computerchips bestehen aus Milliarden von Transistoren. Durch jeden einzelnen Transistor fliessen bei jedem Ein- oder Ausschalten Strom, um diese Änderung den nachfolgenden Transistoren mitzuteilen. (Wenn sich nichts ändert, fliesst so gut wie kein Strom. Ja, das funktioniert anders als bei den heimischen Lampen, liegt aber an der Art der eingesetzten Transistoren.)
Daraus ergibt sich auch, dass mehr Schaltvorgänge an einem Transistor auch mehr Stromverbrauch (und damit Abwärme) bedeuten. Je schneller also die Taktfrequenz eines Chips ist, desto mehr Energie verbraucht jeder Transistor. Und wenn die Transistoren sehr eng gepackt sind, dann wird dieser kleine, nur wenige mm² grosse Chip sehr schnell warm und heiss. Energie von einem kleinen Objekt wegzuführen, bevor es zu heiss wird, ist gar nicht so einfach.
Problem 2: Die Lichtgeschwindigkeit
Licht bewegt sich unheimlich schnell, im Vakuum mit rund 300’000 km pro Sekunde. Pro Sekunde also gut 7x um den Erdball oder in etwas über 8 Minuten von der rund 150 Millionen km entfernten Sonne bis zu uns. Oder etwa eine Tausendstelsekunde (Millisekunde, ms) für die knapp 300 km von St. Gallen bis Genf.
Gleich schnell bewegt sich auch ein Funksignal, sei es beim Radiosender oder beim WLAN.
Nur etwa ⅔ so schnell sind aber Signale in Brillengläsern oder Glasfasern (Grund dafür ist der Brechungsindex). D.h. auch wenn man eine Glasfaser querfeldein ohne Umweg zwischen St. Gallen und Genf verlegen würde, das Datenpaket bräuchte in der Glasfaser statt einer neu 1½ ms. (Glasfaser ist für die schnelle Internetanbindung trotzdem besser, da die einzelnen Datenbits viel, viel näher zusammengepackt werden können. Funkverbindungen sind dafür viel flexibler.)
Ein Datenpaket mit einer Anfrage von St. Gallen nach Genf ist also in frühestens 2*1½ ms = 3 ms beantwortet. Aber wir schweifen ab.
Auch in der Kupferleitung sind elektrische Impulse nur etwa 200’000 km/s schnell.
Bei den heute üblichen Taktfrequenzen von rund 2 GHz ist die Zeit zwischen zwei Takten nur ½ Nanosekunde (ns), eine halbe Millionstelsekunde. In dieser Zeit kommt ein elektrischer Impuls maximal 10 cm weit. D.h. ein Chip muss viel kleiner sein als 10 cm, um überhaupt mit 2 GHz getakten werden zu können. (Infolge vieler, z.T. hintereinandergeschalteter Transistoren und verschiedener weiterer elektrisch-physikalischer Komplikationen ist das in der Praxis nochmals weit weniger.)
Chips heute
Unter anderem aus diesen beiden Gründen werden Chips in der Praxis nicht schneller als mit 2 GHz getaktet. Wenn aber die 20 Jahre alten Chips aus 2005 gleich schnell wären wie die heutigen, würde ja niemand neue Chips kaufen.
Mehr statt schneller
Unter anderem deshalb haben die Chiphersteller vor rund 20 Jahren begonnen, zuerst 2, dann 4 und später noch mehr Recheneinheiten («Cores») auf einen Chip zu packen. Mit nur wenig mehr Fertigungskosten konnte so doppelt so viel Leistung verkauft werden.
Exkurs: Wer programmiert sowas?
Bis dahin waren sich die meisten Programmierer gewöhnt, dass der Prozessor immer ein Schritt nach dem anderen ausführte. Mit den vielen Cores konnte man aber nur schneller werden, wenn man die Aufgabe in mehrere Teilprobleme zerlegte, die dann (in sogenannten «Threads», Ablauffäden, parallel zueinander ausgeführt wurden.
Wenn die unterschiedlichen Threads auf die gleichen Daten zugreifen (und mindestens einer davon sie auch ändert), müssen sich diese Threads zuerst koordinieren («Synchronisation»). Wenn das vergessen wird, kommt es zu Programmfehlern, -abstürzen oder Sicherheitsproblemen.
Was hat das aber mit der Cloud zu tun?
Ein einzelner Nutzer und die meisten Programme können diese modernen Chips gar nicht mehr alleine auslasten. Deshalb warten sie die grösste Zeit. Das klingt aber nach Verschwendung, also versucht man das auch zu nutzen.
Dadurch kommt man dann automatisch dazu, dass man zuerst verschiedene Applikationen aus demselben Haus darauf laufen lässt. Oder später dann auch darüber nachdenkt, die brachliegende Hardware zu vermieten und auch noch über fremde Applikationen auf der eigenen Hardware nachdenkt. Und schon war die Cloud geboren.
Wir haben zu viele Transistoren pro Chip. Die Hersteller von Chips wissen nicht, was sie damit tun sollen. Du bekommst absurde Features (KI-Inferenz, Dutzende FPUs, bla) in den P-Cores, oder ganze SoC (RAM, NVME-Controller, Grafik und Inferenz-Beschleuniger) in den Consumer Chips wie bei Apple.
Wir haben daher zu viele Cores pro Socket (E-Cores -> 128-256 Cores pro Socket)
Als Kunde habe ich dadurch das Problem, daß die Dichte so groß wird, daß ich kein Bare Metal mehr fahren kann, sondern eine Layer zum Kleinschneiden der Scheiße brauche: K8s oder ein Virtualisierer.
Als Kunde habe ich dadurch ein Blast-Radius-Problem. Wenn Du ein Hobel umfällt, dann nimmt er den ganzen Laden mit.
Als Kunde will ich mich also mit mehreren Kunden zusammentun und dann nutzt jeder Kunde ein Stück von jedem Rechner, sodaß bei einem umfallenden Hoben alle Kunden ein bischen leiden, aber keiner ganz tot geht. Ich gehe also zu einem Dienstleister und miete da eine VM in passender Zahl und Größe UND brauche keine Hardware-Kundigen mehr.
Als Anbieter von so etwas kann ich den Rechner veredeln, durch Bla-as-a-Service. Als Kunde brauch ich damit keine Bla-Kundigen mehr, und kann die zusammen mit den Rechner-Hardware-Kundigen in die Hölle schicken.
Als Kunde von so einem Anbieter habe ich nun reine Entwcikler, die in komplett abstrakten Layers Dinge zusammenstecken, low-code und nahe an Business Problemen. Dadurch habe ich niemanden nirgendwo mehr, der auch nur einen Hauch einer Ahnung hat, was das alles bedeutet, lastmäßig und ob der getriebene Aufwand dem Problem angemessen ist. Ich kann einen weiteren Dienstleister wie Corey Quinn dafür bezahlen mir zu erklaren wie Scheiße ich bin.
Das Bruttosozialprodukt steigt, weil das ja jetzt alles Exchanges zwischen Firmen sind, statt innerhalb einer Firma.
Zum oben beschriebenen «Blast-Radius»-Problem: Ab 2-3 Rechnern, besser aber 4+, kann man diese übrigens so einrichten, dass bei einem Ausfall des einen seine Kollegen seine Arbeit übernehmen. Wenn es zu mehreren Ausfällen kommt und dadurch sehr knapp wird, gibt es meist irgendwelche Systeme, die nicht so wichtig sind und pausiert werden können. Dazu gehören zum Beispiel Test-Systeme, die zu viel vorgehalten werden.
Mehr zu Prozessoren
Gewisse Sicherheitsprobleme sind dadurch entstanden, dass die Prozessorhersteller die Ausführung von Code auf den Prozessoren möglichst beschleunigen mussten (und gewisse Sicherheitstests dann nicht oder zu spät erfolgen). Wie beispielsweise die ganze Familie von Spectre, Meltdown und ihren unzähligen Nachfahren:
Andere Probleme beruhen aber auf der Tatsache, dass so viele unabhängige Programme von unabhängigen Teams (oder gar unabhängigen Firmen) sich dieselbe Hardware (Prozessor, Speicher, …) teilen.
Oder auch nur ein Programm, welches nicht mit kritischen Daten arbeitet (und deshalb weniger Sicherheitschecks bekommen hat) mit einem anderen Programm auf der gleichen Hardware arbeiten muss.
Christos Kozyrakis, Aman Kansal, Sriram Sankar, Kushagra Vaid: Server Engineering Insights for Large-Scale Online Services (PDF, local copy), IEEE Micro, July/August 2010. Die älteste Kopie der ursprünglichen Grafik, den ich finden konnte. Enthält auch Einblicke in die Interaktion zwischen Prozessoren, Rechenzentren und einigen grossen Applikationen wie Hotmail und Bing.
Karl Rupp: Microprocessor Trend Data, GitHub, lebendes Repository (letztes Update: 2022-02-22). Die Daten plus die Plotwerkzeuge, zusammen mit den erzeugten Grafiken. Auf dieser Version beruht meine Grafik.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt. Im Economist erschien im September eine Grafik, die mir… Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben weiterlesen
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
The rapid growth of online services in the last decade has led to the development of large data centers to host these workloads. These large-scale online, user-facing services have unique engineering and capacity provisioning design requirements.
Rein vom Vergleich “Cores” vs. “Cores” oder “RAM” vs, “RAM” ist zum Beispiel EC2 etwa 6x teurer als B’s eigenes RZ (Preise von 2019) gewesen. Wenn es Datenbank-Instanzen sind, ist Cloud 10x teurer als RDS gewesen.
Allerdings hatte B auch einen Stab von Leuten, die deren Bare Metal in eine programmierbare Bare Metal Cloud mit API umgewandelt haben und die Verwaltung dieser Rechner automatisiert haben. So etwas kann man offenbar als Produkt nicht kaufen, schon gar nicht hersteller-unabhängig.
Das heißt, Du mußt die Gehälter von core.infra bei B auf den B- Preis drauf schlagen, siehe Preise bei levels.fyi.
12-18 Leute in DBA Team (für knapp 10k Datenbank-Instanzen, keine Caches, weil ein Host ein Host ist und es gleich teuer ist, da memcached oder eine Datenbank drauf zu klatschen).
Am Ende hat sich B für Cloud entscheiden, weil Operations dann jemand anderes Problem ist und sie nicht nur die Leute los sind als Personal, sondern auch das Staffing. Das war ein totaler No-Brainer, selbst bei 10x.
Hardware Kosten
Preise für eine Dell oder HP Blade mit 2x Xeon Silber 4110, 128 GB RAM, 1.92 TB Micron (800k IOPS) und 10 GBit/s Interface zu einem Leaf-and-Spine Fabric ohne Oversubscription: 120 Euro/Monat incl. Abschreibung, Betriebskosten, RZ-Space und Netzwerkanteil, gerechnet auf 5 Jahre. 150 Euro/Monat bei größerer Platte. Das alles aber ohne Personal, das kommt kostenmäßig noch oben drauf.
Auch oben drauf kommt der Aufwand, dieses Personal zu finden und zu halten, und so zu steuern, daß die was sinnvolles bauen. Das sind nicht notwendig Geldkosten, aber es ist Load auf der Org.
Allgemeiner gesagt
Damit Du eine Firma haben kannst, die in 2024 eigene Hardware am Laufen hat, hast Du die folgenden Probleme zu lösen:
Du mußt groß genug sein, damit Du mit Deinem Laden genug Rechner voll machst.
Idealerweise kauft man aus Kostengründen immer die zweigrößte Sorte Rechner, die es gibt (man kann das genau ausrechnen, aber man landet immer bei der zweitgrößten oder drittgrößten CPU).
Das ist heute also irgendwas mit einem oder gar zwei Sockets, und dann circa 128 Cores mal Hyperthreading pro Socket. Das muß balanced sein, das heißt RAM und Netz müssen zu den Cores passen. Meist ist es 4 GB oder 8 GB pro Core und 100 MBit/s bis 300 MBit/s pro Core.
Wir landen bei 128 GB * 8 =1.024 GB und bei 128 * 200 MBit/s =25.600 Mbit/s = 25 GBit/s für eine Ein-Socket EPYC oder ähnlich und bei dem doppelten für den Dual-Socket-Eimer.
Du kannnst Java-Enterprise-Dreck in der Regel auf 8 Cores und 16 GB RAM skalieren, danach haucht eine JVM ihr Leben aus, genauer gesagt verreckt der Garbage Collector. Sind also 16-32 Instanzen (Anwendungen) pro Socket.
Du willst aus HA-Gründen natürlich nicht eine Kiste haben, auch wenn Deine ganze Firma auf eine solche Kiste paßt, sondern so 3 oder mehr.
Das heißt aber, daß Du weit mehr Kisten hast als Dein Laden braucht – nicht, daß das sehr teuer wäre, aber Firmen wollen ja “sparen”.
In einer Public Cloud kriegst Du VMs in der notwendigen Größe (8 Cores, 16 GB, …) nach Wunsch und Bedarf gemietet, UND sie werden antiaffin gescheduled, laufen also auf unterschiedlichen Hosts in unterschiedlichen Racks.
Dadurch geht Dir bei einer Störung die kleiner als ein RZ ist eine Instanz verloren (und vielen anderen Kunden auch) statt einem Kunden alle Instanzen (weil sie im selben Rack oder auf demselben Host waren).
Klingt erst mal verlockend.
On Premises hast Du jetzt 3 Rechner in drei ansonsten weitgehend leeren Racks, und jetzt brauchst Du einen Hypervisor, um das Ding in brauchbare Scheiben zu schneiden.
Du hast die Wahl zwischen VMware und Openstack, also lebenslanger Schuldknechtschaft oder drei Spezialisten, die das Openstack für Dich fahren.
Nun kannst Du VMs provisionieren.
Aber Du hast noch keine Dienste – keine Datenbank, keine Event Queue, kein Mail, keinen Kalender, keinen Fileserver, und was immer Deine Butze sonst noch so braucht.
Du hast also die Wahl, erschreckend kostengünstige Hardware, die viel zu groß für alles ist zu kaufen und dann Leute zu finden und anzustellen, die dann vielleicht in der Lage sind oder vielleicht nicht, daraus eine brauchbare Plattform zu bauen, oder lebenslang dem Bezos Kohle in den Rachen zu schaufeln.
Die Antwort ist für wirklich jede Firma mit weniger als einer dreistelligen Anzahl von Rechnern absolut offensichtlich und besteht nicht darin, Hardware zu kaufen – das Staffing, die lokale Betriebs-Entwicklung und den ganzen Kram will sich niemand ans Bein binden.
Du findest in der Folge inzwischen auch keine Leute mehr, die so etwas verstehen oder machen können. Du findest aber für 60k-75k im Jahr Dutzende von Leuten, die Dir Instanzen mit Diensten bei AWS klicken können.
Die ganze Logik-Kaskade:
Wir haben zu viele Transistoren pro Chip. Die Hersteller von Chips wissen nicht, was sie damit tun sollen. Du bekommst absurde Features (KI-Inferenz, Dutzende FPUs, bla) in den P-Cores, oder ganze SoC (RAM, NVME-Controller, Grafik und Inferenz-Beschleuniger) in den Consumer Chips wie bei Apple.
Wir haben daher zu viele Cores pro Socket (E-Cores -> 128-256 Cores pro Socket)
Als Kunde habe ich dadurch das Problem, daß die Dichte so groß wird, daß ich kein Bare Metal mehr fahren kann, sondern eine Layer zum Kleinschneiden der Scheiße brauche: K8s oder ein Virtualisierer.
Als Kunde habe ich dadurch ein Blast-Radius-Problem. Wenn Du ein Hobel umfällt, dann nimmt er den ganzen Laden mit.
Als Kunde will ich mich also mit mehreren Kunden zusammentun und dann nutzt jeder Kunde ein Stück von jedem Rechner, sodaß bei einem umfallenden Hoben alle Kunden ein bischen leiden, aber keiner ganz tot geht. Ich gehe also zu einem Dienstleister und miete da eine VM in passender Zahl und Größe UND brauche keine Hardware-Kundigen mehr.
Als Anbieter von so etwas kann ich den Rechner veredeln, durch Bla-as-a-Service. Als Kunde brauch ich damit keine Bla-Kundigen mehr, und kann die zusammen mit den Rechner-Hardware-Kundigen in die Hölle schicken.
Als Kunde von so einem Anbieter habe ich nun reine Entwcikler, die in komplett abstrakten Layers Dinge zusammenstecken, low-code und nahe an Business Problemen. Dadurch habe ich niemanden nirgendwo mehr, der auch nur einen Hauch einer Ahnung hat, was das alles bedeutet, lastmäßig und ob der getriebene Aufwand dem Problem angemessen ist. Ich kann einen weiteren Dienstleister wie Corey Quinn dafür bezahlen mir zu erklaren wie Scheiße ich bin.
Das Bruttosozialprodukt steigt, weil das ja jetzt alles Exchanges zwischen Firmen sind, statt innerhalb einer Firma.
Und am Ende spielen die Kosten im Vergleich keine Rolle mehr, weil andere, größere Vektoren auf die Firmen einwirken.
Regulierungsverpflichtungen kommen ja noch oben drauf.
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Alle wollen «in die Cloud gehen». Doch die wenigsten wissen, was das bedeutet und worauf sie sich einlassen. Dabei müsste jeder Entscheid einer Firma oder der öffentlichen Hand für einen Gang in die Cloud auch benennen, wie viel Autonomie man dafür aufzugeben bereit ist.
Denn der Autonomieverlust und das langsame Rutschen in einen möglicherweise unauflösbaren Lock-in kann sehr schleichend vor sich gehen.
Bert Hubert zeigt in seinem Artikel folgendes auf:
Wie erkennt man, ab wann man Autonomie abgibt?
Welche Überlegungen muss man sich vorab dazu machen? Welche Grenzen ziehen?
Was bedeutet das für das Know-How in der Firma/Organisation?
Wie sorgt man dafür, dass ein Wechsel des Cloud
... mehr anzeigen
In den Klauen der Cloud
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Alle wollen «in die Cloud gehen». Doch die wenigsten wissen, was das bedeutet und worauf sie sich einlassen. Dabei müsste jeder Entscheid einer Firma oder der öffentlichen Hand für einen Gang in die Cloud auch benennen, wie viel Autonomie man dafür aufzugeben bereit ist.
Denn der Autonomieverlust und das langsame Rutschen in einen möglicherweise unauflösbaren Lock-in kann sehr schleichend vor sich gehen.
Bert Hubert zeigt in seinem Artikel folgendes auf:
Wie erkennt man, ab wann man Autonomie abgibt?
Welche Überlegungen muss man sich vorab dazu machen? Welche Grenzen ziehen?
Was bedeutet das für das Know-How in der Firma/Organisation?
Wie sorgt man dafür, dass ein Wechsel des Cloudproviders (oder gar ein teilweiser/vollständiger Exit aus der Cloud) möglich bleibt?
Alles Entscheidungen, die rechtzeitig von der Geschäftsleitung gefällt bzw. in Auftrag gegeben werden müssen.
«In die Cloud gehen» kann vieles bedeuten. Das heisst auch, dass «in die Cloud gehen» für sich alleine noch keine vollständige Entscheidung sein kann. Wenn es bedeutet, «wir werden Server dynamisch mieten», dann ist das die harmlose Variante. Dieselben vier Worte können aber auch bedeuten, dass man Google zum ewigen Subunternehmer erhebt, der nun den Zugang zu unseren Kunden kontrolliert, für immer. In diesem Fall ist «in die Cloud gehen» gleichbedeutend damit, die Selbstbestimmung über unsere Zukunft abzugeben.
Dass beide Entscheidungen mit denselben Worten bezeichnet werden ist verwirrend. Und natürlich haben die Cloudprovider keinen Anreiz uns auf die Nase zu binden, bei welchen ihrer Dienste wir eine (unlösbare) Bindung eingehen. Die Preismodelle und Gratisangebote für Einsteiger der Hyperscaler scheinen sogar absichtlich so designt, dass ihre Kunden möglichst rasch in möglichst unlösbare Beziehungen eingewoben werden.
Mit einer gesunden Dosis Aufmerksamkeit und einer weisen Auswahl können wir viele Vorteile aus der Cloud ziehen. Weil aber die meisten potenziellen Probleme erst weit in der Zukunft liegen, tun sich Firmen schwer, rechtzeitig und vorausschauend qualitativ hochwertige Regeln aufzustellen. Denn diese Entscheide kosten heute Geld.
Im Zweifel ist eine einfache Faustregel, nur Clouddienste zu nutzen die fast identisch von vielen Providern angeboten werden.
Auf jeden Fall muss sichergestellt sein, dass eine Entscheidung, die nach «wir werden einfach ersetzbare Server mieten» nicht schleichend ausartet in «wir haben Google als ewigen Partner ins Boot geholt und die besitzen nun unsere Kundendaten».
Weitere lesenswerte Artikel
Ebenfalls heute erschien in der Republik der Artikel «Wie Big Tech in Bundesbern polarisiert», in dem es auch um die Probleme geht, die man lösen muss (und nicht lösen kann), wenn man sich unbewusst zu tief in die Cloud begibt:
Der Bundesrat entwirft eine Exit-Strategie für die amerikanischen Clouds, will aber die USA nicht verärgern. Politische Unsicherheit, Transparenzblockaden und Interessenkonflikte sorgen für Zündstoff.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt. Alle wollen «in die… In den Klauen der Cloud weiterlesen
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
«Die Cloud» ist nicht nur Server. «In die Cloud gehen» kann auch bedeuten, einen ewigen Dienstleistungsvertrag abzuschliessen, schreibt Bert Hubert. Hier
Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
Im Economist erschien im September eine Grafik, die mir die Entwicklung der Prozessoren in den Computern in den 5 Jahrzehnten wieder in Erinnerung rief. Da sie hinter einer Paywall steckt, habe ich eine ähnliche Grafik gebaut, die auf denselben frei verfügbaren Daten aufbaut, die auch der Economist genutzt hat: Logarithmische Darstellung der Prozessorentwicklung, d.h. zwischen zwei Marken auf der Y-Achse steht jeweils ein Faktor 10. Wir sehen, dass ab ca. 2005 die Frequenz kaum mehr zugenommen hat, dafür die Anzahl logischer Cores («Teilprozessoren») die innerhalb eines Chips vorhanden sind. Leistung nimmt nur noch langsam zu, sowohl was die Rechenleistung eines Programmthreads betrifft als auch den Stromverbrauch. Die Entwicklung der Anzahl Transistoren liess sich vom Jahr 2005 nicht einschüchtern und wächst in unveränderter Geschwindigkeit. (Datenquelle, Inspiration, Englische Version) Es fällt sofort auf, dass die meisten Trendlinien um 2005 herum einen markanten Knick machen, abgesehen von der Transistorzahl, die ungebrochen ca. alle 7 Jahre um den Faktor 10 (eine Y-Skaleneinheit) wachsen. Was ist da passiert?
Heutige Computerchips bestehen aus Milliarden von Transistoren. Durch jeden einzelnen Transistor fliessen bei jedem Ein- oder Ausschalten Strom, um diese Änderung den nachfolgenden Transistoren mitzuteilen. (Wenn sich nichts ändert, fliesst so gut wie kein Strom. Ja, das funktioniert anders als bei den heimischen Lampen, liegt aber an der Art der eingesetzten Transistoren.)
Daraus ergibt sich auch, dass mehr Schaltvorgänge an einem Transistor auch mehr Stromverbrauch (und damit Abwärme) bedeuten. Je schneller also die Taktfrequenz eines Chips ist, desto mehr Energie verbraucht jeder Transistor. Und wenn die Transistoren sehr eng gepackt sind, dann wird dieser kleine, nur wenige mm² grosse Chip sehr schnell warm und heiss. Energie von einem kleinen Objekt wegzuführen, bevor es zu heiss wird, ist gar nicht so einfach.
Problem 2: Die Lichtgeschwindigkeit
Licht bewegt sich unheimlich schnell, im Vakuum mit rund 300’000 km pro Sekunde. Pro Sekunde also gut 7x um den Erdball oder in etwas über 8 Minuten von der rund 150 Millionen km entfernten Sonne bis zu uns. Oder etwa eine Tausendstelsekunde (Millisekunde, ms) für die knapp 300 km von St. Gallen bis Genf.
Gleich schnell bewegt sich auch ein Funksignal, sei es beim Radiosender oder beim WLAN.
Nur etwa ⅔ so schnell sind aber Signale in Brillengläsern oder Glasfasern (Grund dafür ist der Brechungsindex). D.h. auch wenn man eine Glasfaser querfeldein ohne Umweg zwischen St. Gallen und Genf verlegen würde, das Datenpaket bräuchte in der Glasfaser statt einer neu 1½ ms. (Glasfaser ist für die schnelle Internetanbindung trotzdem besser, da die einzelnen Datenbits viel, viel näher zusammengepackt werden können. Funkverbindungen sind dafür viel flexibler.)
Ein Datenpaket mit einer Anfrage von St. Gallen nach Genf ist also in frühestens 2*1½ ms = 3 ms beantwortet. Aber wir schweifen ab.
Auch in der Kupferleitung sind elektrische Impulse nur etwa 200’000 km/s schnell.
Bei den heute üblichen Taktfrequenzen von rund 2 GHz ist die Zeit zwischen zwei Takten nur ½ Nanosekunde (ns), eine halbe Millionstelsekunde. In dieser Zeit kommt ein elektrischer Impuls maximal 10 cm weit. D.h. ein Chip muss viel kleiner sein als 10 cm, um überhaupt mit 2 GHz getakten werden zu können. (Infolge vieler, z.T. hintereinandergeschalteter Transistoren und verschiedener weiterer elektrisch-physikalischer Komplikationen ist das in der Praxis nochmals weit weniger.)
Chips heute
Unter anderem aus diesen beiden Gründen werden Chips in der Praxis nicht schneller als mit 2 GHz getaktet. Wenn aber die 20 Jahre alten Chips aus 2005 gleich schnell wären wie die heutigen, würde ja niemand neue Chips kaufen.
Mehr statt schneller
Unter anderem deshalb haben die Chiphersteller vor rund 20 Jahren begonnen, zuerst 2, dann 4 und später noch mehr Recheneinheiten («Cores») auf einen Chip zu packen. Mit nur wenig mehr Fertigungskosten konnte so doppelt so viel Leistung verkauft werden.
Exkurs: Wer programmiert sowas?
Bis dahin waren sich die meisten Programmierer gewöhnt, dass der Prozessor immer ein Schritt nach dem anderen ausführte. Mit den vielen Cores konnte man aber nur schneller werden, wenn man die Aufgabe in mehrere Teilprobleme zerlegte, die dann (in sogenannten «Threads», Ablauffäden, parallel zueinander ausgeführt wurden.
Wenn die unterschiedlichen Threads auf die gleichen Daten zugreifen (und mindestens einer davon sie auch ändert), müssen sich diese Threads zuerst koordinieren («Synchronisation»). Wenn das vergessen wird, kommt es zu Programmfehlern, -abstürzen oder Sicherheitsproblemen.
Was hat das aber mit der Cloud zu tun?
Ein einzelner Nutzer und die meisten Programme können diese modernen Chips gar nicht mehr alleine auslasten. Deshalb warten sie die grösste Zeit. Das klingt aber nach Verschwendung, also versucht man das auch zu nutzen.
Dadurch kommt man dann automatisch dazu, dass man zuerst verschiedene Applikationen aus demselben Haus darauf laufen lässt. Oder später dann auch darüber nachdenkt, die brachliegende Hardware zu vermieten und auch noch über fremde Applikationen auf der eigenen Hardware nachdenkt. Und schon war die Cloud geboren.
Wir haben zu viele Transistoren pro Chip. Die Hersteller von Chips wissen nicht, was sie damit tun sollen. Du bekommst absurde Features (KI-Inferenz, Dutzende FPUs, bla) in den P-Cores, oder ganze SoC (RAM, NVME-Controller, Grafik und Inferenz-Beschleuniger) in den Consumer Chips wie bei Apple.
Wir haben daher zu viele Cores pro Socket (E-Cores -> 128-256 Cores pro Socket)
Als Kunde habe ich dadurch das Problem, daß die Dichte so groß wird, daß ich kein Bare Metal mehr fahren kann, sondern eine Layer zum Kleinschneiden der Scheiße brauche: K8s oder ein Virtualisierer.
Als Kunde habe ich dadurch ein Blast-Radius-Problem. Wenn Du ein Hobel umfällt, dann nimmt er den ganzen Laden mit.
Als Kunde will ich mich also mit mehreren Kunden zusammentun und dann nutzt jeder Kunde ein Stück von jedem Rechner, sodaß bei einem umfallenden Hoben alle Kunden ein bischen leiden, aber keiner ganz tot geht. Ich gehe also zu einem Dienstleister und miete da eine VM in passender Zahl und Größe UND brauche keine Hardware-Kundigen mehr.
Als Anbieter von so etwas kann ich den Rechner veredeln, durch Bla-as-a-Service. Als Kunde brauch ich damit keine Bla-Kundigen mehr, und kann die zusammen mit den Rechner-Hardware-Kundigen in die Hölle schicken.
Als Kunde von so einem Anbieter habe ich nun reine Entwcikler, die in komplett abstrakten Layers Dinge zusammenstecken, low-code und nahe an Business Problemen. Dadurch habe ich niemanden nirgendwo mehr, der auch nur einen Hauch einer Ahnung hat, was das alles bedeutet, lastmäßig und ob der getriebene Aufwand dem Problem angemessen ist. Ich kann einen weiteren Dienstleister wie Corey Quinn dafür bezahlen mir zu erklaren wie Scheiße ich bin.
Das Bruttosozialprodukt steigt, weil das ja jetzt alles Exchanges zwischen Firmen sind, statt innerhalb einer Firma.
Zum oben beschriebenen «Blast-Radius»-Problem: Ab 2-3 Rechnern, besser aber 4+, kann man diese übrigens so einrichten, dass bei einem Ausfall des einen seine Kollegen seine Arbeit übernehmen. Wenn es zu mehreren Ausfällen kommt und dadurch sehr knapp wird, gibt es meist irgendwelche Systeme, die nicht so wichtig sind und pausiert werden können. Dazu gehören zum Beispiel Test-Systeme, die zu viel vorgehalten werden.
Mehr zu Prozessoren
Gewisse Sicherheitsprobleme sind dadurch entstanden, dass die Prozessorhersteller die Ausführung von Code auf den Prozessoren möglichst beschleunigen mussten (und gewisse Sicherheitstests dann nicht oder zu spät erfolgen). Wie beispielsweise die ganze Familie von Spectre, Meltdown und ihren unzähligen Nachfahren:
Andere Probleme beruhen aber auf der Tatsache, dass so viele unabhängige Programme von unabhängigen Teams (oder gar unabhängigen Firmen) sich dieselbe Hardware (Prozessor, Speicher, …) teilen.
Oder auch nur ein Programm, welches nicht mit kritischen Daten arbeitet (und deshalb weniger Sicherheitschecks bekommen hat) mit einem anderen Programm auf der gleichen Hardware arbeiten muss.
Christos Kozyrakis, Aman Kansal, Sriram Sankar, Kushagra Vaid: Server Engineering Insights for Large-Scale Online Services (PDF, local copy), IEEE Micro, July/August 2010. Die älteste Kopie der ursprünglichen Grafik, den ich finden konnte. Enthält auch Einblicke in die Interaktion zwischen Prozessoren, Rechenzentren und einigen grossen Applikationen wie Hotmail und Bing.
Karl Rupp: Microprocessor Trend Data, GitHub, lebendes Repository (letztes Update: 2022-02-22). Die Daten plus die Plotwerkzeuge, zusammen mit den erzeugten Grafiken. Auf dieser Version beruht meine Grafik.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt. Im Economist erschien im September eine Grafik, die mir… Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben weiterlesen
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
The rapid growth of online services in the last decade has led to the development of large data centers to host these workloads. These large-scale online, user-facing services have unique engineering and capacity provisioning design requirements.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen), Bilder (auch die peinlichen) und Kommentare (auch die blöden Sprüche) auf Facebook und Instagram, die Interaktionen mit dem KI-Chatbot «Meta AI», Information aus dem Internet und sonstigen Datensammlungen.
Wer das nicht will, muss bis spätestens 26. Mai aktiv widersprechen (
... mehr anzeigen
Persönliche Daten für Facebook-KI
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen), Bilder (auch die peinlichen) und Kommentare (auch die blöden Sprüche) auf Facebook und Instagram, die Interaktionen mit dem KI-Chatbot «Meta AI», Information aus dem Internet und sonstigen Datensammlungen.
Auch falls diese Schritte (oder auch noch später mögliche Schritte wie Unterlassungs- und Sammelklagen) erfolgreich sein sollten: Auf die Nutzung von persönlichen Daten von Schweizerinnen und Schweizer dürften sie keine Auswirkungen haben, ausser Meta gewähre allfällige in der EU erstrittene Rechte auch freiwillig in der Schweiz.
Deshalb: Auch wenn du noch unentschlossen bist, vorsorglich gleich jetzt bei Facebook, WhatsApp und Instagram widersprechen und Freunde und Familie informieren. Sonst geht es vergessen. Und dann gibt es kein Zurück mehr.
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe… In den Klauen der Cloud weiterlesen
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt… Können KI-Systeme Artikel klauen? weiterlesen
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich… Was verraten KI-Chatbots? weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten,… Der Turing-Test im Laufe der Zeit weiterlesen
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch… «Quasselquote» bei LLM-Sprachmodellen weiterlesen
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Alle wollen «in die Cloud gehen». Doch die wenigsten wissen, was das bedeutet und worauf sie sich einlassen. Dabei müsste jeder Entscheid einer Firma oder der öffentlichen Hand für einen Gang in die Cloud auch benennen, wie viel Autonomie man dafür aufzugeben bereit ist.
Denn der Autonomieverlust und das langsame Rutschen in einen möglicherweise unauflösbaren Lock-in kann sehr schleichend vor sich gehen.
Bert Hubert zeigt in seinem Artikel folgendes auf:
Wie erkennt man, ab wann man Autonomie abgibt?
Welche Überlegungen muss man sich vorab dazu machen? Welche Grenzen ziehen?
Was bedeutet das für das Know-How in der Firma/Organisation?
Wie sorgt man dafür, dass ein Wechsel des Cloudproviders (oder gar ein teilweiser/vollständiger Exit aus der Cloud) möglich bleibt?
Alles Entscheidungen, die rechtzeitig von der Geschäftsleitung gefällt bzw. in Auftrag gegeben werden müssen.
«In die Cloud gehen» kann vieles bedeuten. Das heisst auch, dass «in die Cloud gehen» für sich alleine noch keine vollständige Entscheidung sein kann. Wenn es bedeutet, «wir werden Server dynamisch mieten», dann ist das die harmlose Variante. Dieselben vier Worte können aber auch bedeuten, dass man Google zum ewigen Subunternehmer erhebt, der nun den Zugang zu unseren Kunden kontrolliert, für immer. In diesem Fall ist «in die Cloud gehen» gleichbedeutend damit, die Selbstbestimmung über unsere Zukunft abzugeben.
Dass beide Entscheidungen mit denselben Worten bezeichnet werden ist verwirrend. Und natürlich haben die Cloudprovider keinen Anreiz uns auf die Nase zu binden, bei welchen ihrer Dienste wir eine (unlösbare) Bindung eingehen. Die Preismodelle und Gratisangebote für Einsteiger der Hyperscaler scheinen sogar absichtlich so designt, dass ihre Kunden möglichst rasch in möglichst unlösbare Beziehungen eingewoben werden.
Mit einer gesunden Dosis Aufmerksamkeit und einer weisen Auswahl können wir viele Vorteile aus der Cloud ziehen. Weil aber die meisten potenziellen Probleme erst weit in der Zukunft liegen, tun sich Firmen schwer, rechtzeitig und vorausschauend qualitativ hochwertige Regeln aufzustellen. Denn diese Entscheide kosten heute Geld.
Im Zweifel ist eine einfache Faustregel, nur Clouddienste zu nutzen die fast identisch von vielen Providern angeboten werden.
Auf jeden Fall muss sichergestellt sein, dass eine Entscheidung, die nach «wir werden einfach ersetzbare Server mieten» nicht schleichend ausartet in «wir haben Google als ewigen Partner ins Boot geholt und die besitzen nun unsere Kundendaten».
Weitere lesenswerte Artikel
Ebenfalls heute erschien in der Republik der Artikel «Wie Big Tech in Bundesbern polarisiert», in dem es auch um die Probleme geht, die man lösen muss (und nicht lösen kann), wenn man sich unbewusst zu tief in die Cloud begibt:
Der Bundesrat entwirft eine Exit-Strategie für die amerikanischen Clouds, will aber die USA nicht verärgern. Politische Unsicherheit, Transparenzblockaden und Interessenkonflikte sorgen für Zündstoff.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt. Alle wollen «in die… In den Klauen der Cloud weiterlesen
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
«Die Cloud» ist nicht nur Server. «In die Cloud gehen» kann auch bedeuten, einen ewigen Dienstleistungsvertrag abzuschliessen, schreibt Bert Hubert. Hier
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.
Mehrere Personen in meinem Umfeld haben vor einigen Wochen scheinbare Mahnungen von Hostpoint erhalten, des laut eigenen Angaben «grössten Webhosting-Anbieters der Schweiz».
Auffallend daran: Der Text war auf Schweizerdeutsch, zumindest auf den ersten Blick. Und er ka
... mehr anzeigen
Phishing-Trend Schweizerdeutsch
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.
Mehrere Personen in meinem Umfeld haben vor einigen Wochen scheinbare Mahnungen von Hostpoint erhalten, des laut eigenen Angaben «grössten Webhosting-Anbieters der Schweiz».
Auffallend daran: Der Text war auf Schweizerdeutsch, zumindest auf den ersten Blick. Und er kam von einer hostpoint.ch-Mailadresse. Gehen wir beiden doch einmal auf den Grund.
Wir alle haben wahrscheinlich schon von Spam und Phishing im Namen fast aller in der Schweiz verbreiteten Firmen gehört, vielleicht sogar selbst bekommen. Dagegen tun kann die imitierte Firma kaum etwas. Auch das öffentliche Warnen vor einer gerade laufenden Spam-Kampagne ist nur beschränkt hilfreich. Denn das Muster ist immer wieder dasselbe, genau wie die Massnahmen dagegen.
Und unabhängig von der jeweils missbrauchten Firma. Das Verfassen einer Medienmitteilung bringt meiner Meinung nach auch nichts, das Aushängeschild der jeweiligen «Kampagne» zu nennen.
Spam, Phishing und sonstige bösartige bzw. Betrugsmails müssen unabhängig von der aktuell betroffenen Firma bekämpft werden. Auch wenn hier der Name von Hostpoint erwähnt wird: Ihr Umgang mit der Phishing-Aktion erschien mir sehr professionell und die Entscheide gut begründet.
Und trotzdem gibt es in diesem Fall einige Unterschiede, die eine Erklärung rechtfertigen.
In diesem Fall müsste aber Hostpoint alle Empfänger kennen, denn die Mails liefen alle durch ihre Mailserver. Und Hostpoint könnte alle Empfänger informieren. Dies ist aber nicht erfolgt. Doch dazu später mehr.
Schweizerdeutscher Spam
Wieso?
Vermehrt habe ich in letzter Zeit Spammails in unserem heimischen Dialekt gesehen, an mich oder an Freunde und Familie gerichtet. Beim genaueren Hinschauen sieht man aber, dass zwischen vielen Wörtern, die als Dialekt durchgehen, auch einige sind, die wir nur in Hochdeutsch nutzen. In diesem Falle klingt beispielsweise die weibliche Anrede («Sehr geehrti Kundin») halbwegs plausibel, ihr männliches Gegenstück jedoch überzeugt nicht («sehr geehrte Kunde»). Auch «Letzti» im Titel klingt falsch eingeschweizert; «aufgrund» im Text rein hochdeutsch.
Schweizerdeutsch = Sammlung von Tippfehlern
Aber wieso kommt überhaupt jemand auf die Idee, in einer so obskuren Sprache unerwünschte Mails zu verschicken? Genau weiss ich es nicht, weil ich die Bösewichte dahinter nicht befragen konnte. Obviously. Aber wir sehen ein Muster. Hier ein paar Spams der letzten Woche an mich für «Herrenmedikamente». Auffällig ist die – sagen wir mal – kreative Verunstaltung des Wortes «rezeptfrei». Schauen wir doch einmal eine dieser Mails an: Beim Lesen fällt irgendwann auf, dass es um eine angebliche Lieferung von Viagra geht. Doch das Wort selbst wird nie erwähnt. «Die blauen Originale» und der Kontext müssen reichen. (Übrigens ist der Text und die Umschreibung der Pille in jeder der «rezeptfrei»-Mail anders, folgt aber demselben Aufbau.)
Das Ziel der Falschschreibungen (Bindestriche mitten im Wort), Fremdschreibungen (Dialekt) und Umschreibungen ist dasselbe: Spamfilter sollen diese Worte nicht erkennen. Denn in fast jedem Mailverkehr (ausser vielleicht bei Ärzten) ist «Viagra» ein Wort, das mit hoher Wahrscheinlichkeit auf Spam hindeutet.
Ob die Vermeidung der Umlaute zur Verschleierung oder aus Unfähigkeit geschieht, kann ich nicht sagen. Die Verwendung von ähnlich aussehenden Zeichen aus anderen Schriftsystemen zur Täuschung (Kyrillisch, Griechisch, Türkisch, …) scheint hingegen bei Mails aus der Mode gekommen zu sein, wahrscheinlich weil die Anti-Spam-Software diese Ausreisser inzwischen sehr einfach erkennen kann.
Dass das mit den Umlauten auch andersherum schiefgehen kann, zeigt folgender angebliche digitale Bussenzettel: Da wird Schweizerdeutsch «Buess» zu «Büss» und es gibt dafür die eindeutig nicht schweizerischen Worte «Bußgeld» und «Geschwindigkeitsverstoß».
Schweizerdeutscher Spam: Wie?
Das muss doch sicher teuer sein, wenn Spammer den Text in jede mögliche oder unmögliche Sprache übersetzen. Ja, echte menschliche Übersetzer wären ein Kostenpunkt. Aber wahrscheinlich noch mehr auch ein Risiko, weil sie könnten die Scammer ja verpetzen.
Der LLM-Chatbot als williger Gehilfe ohne überflüssige Ethik. Leider nicht nur hier.
Von eigener Maildomain
Hostpoint bietet – wie viele andere Webhoster – Kombipakete an. Hier interessiert uns das Zusatzangebot mit Email-Konten. Die Scammer wollten eine gezielte Phishing-Attacke starten. Dazu verwendeten sie mutmasslich eine Liste mit Abermillionen von Emailadressen, wie sie unter Spammern gehandelt werden. Unsere Bösewichte nutzten nun nicht einfach wahllos Mailadressen, sondern nur solche, deren Domain auch bei Hostpoint gehostet war. (Dies kann man beispielsweise daran erkennen, dass als Web- oder Mailserver der Domain einer der Hostpoint-Server eingetragen ist.)
Wir sind uns gewohnt, dass die Nutzung einer Fremddomain ein gutes Spam- bzw. Phishing-Indiz ist: In fast allen Fällen stammen Betrugsmails, die vorgeben, von Firma X zu kommen, nicht von einer (Mail-)Domain der Firma X. Dies, weil heute Mails, die vorgeben, von user@beispiel.ch zu kommen, auch von einem Mailserver versendet werden müssen, der vom Domaininhaber von beispiel.ch autorisiert wurde. Vor 10-20 Jahren war das allerdings noch ganz anders.
In diesem Fall konnte allerdings der Spammer Zugriff zu einem Kundenkonto bei Hostpoint erlangen und deshalb von dort Mail verschicken, wie mir Hostpoint auf Anfrage mitteilte. Bei Hostpoint geht man davon aus, dass der Kunde auf eine Phishingmail hereingefallen sei.
Bei Hostpoint hat – im Gegensatz zu anderen Providern – jedes Kundenkonto neben der normalen Mailadresse eine historisch bedingte Mailadresse der Form <ZUFALLSNAME>@webuser.mail.hostpoint.ch. Über diese kann aber nur eine beschränkte Anzahl Mails pro Stunde verschickt werden, was das Ausmass des Missbrauchs einschränkt. (Hostpoint plant weitere Massnahmen.)
Wenn die Mail aber – wie in diesem Fall – über die Mailinfrastruktur des Providers läuft, liessen sich auch die Empfängeradressen der Mails identifizieren. Denn die meisten Mailserver führen ein Logbuch über die über sie versendeten Mails. Anhand der Absenderadresse hätten im Logbuch die Empfänger identifiziert werden können.
Fassen wir zusammen: Ein Konto eines Hostpoint-Kunden wurde gehackt. Dieses Kundenkonto wurden dann benutzt, um Mails an andere bei Hostpoint gehosteten Mailkonten zu senden. Diese Zieladressen wurden wahrscheinlich aus einer Liste ausgewählt, die die Spammer sich im Darknet beschafft hatten.
(Allerdings war dann aufgrund der von Hostpoint eingestellten Limiten nach «einer tiefen einstelligen Prozentzahl» der Kunden Schluss mit Mailversand.)
Auf die Frage, weshalb die von den Betrügern angeschriebenen Kund:innen nicht proaktiv informiert worden seien, antwortete Hostpoint wie folgt:
Wir haben in der Vergangenheit auch schon die Kund:innen per E-Mail proaktiv über Phishing informiert und zum Thema sensibilisiert. Allerdings tun wir dies aus verschiedenen Gründen nicht in jedem Fall, sondern meist dann, wenn die Phishing-Wellen sehr gross sind. Wir betreiben jedoch über diverse Channels wie Social Media oder unseren Blog regelmässig Anti-Phishing-Awareness. Über aktuelle Phishing-Fälle informieren wir jeweils auf unserer Website unter hostpoint.ch/phishing/, auf unserer Status-Seite hostpoint-status.com/ oder auch über gesprochene Botschaften, die wir bei unserer Hotline zu Beginn eines Anrufs abspielen. Dieses Zusammenspiel verschiedener Kommunikationsmassnahmen hat sich für uns seit Jahren bewährt.
Mediensprecher Hostpoint
Diese Erklärung erscheint durchaus nachvollziehbar. Insbesondere, wenn man bedenkt, dass viele der Empfänger:innen der Mails gar keine Verantwortung für die Domain besitzen, sondern «normale» Nutzer:innen sind, die durch die Nachrichten evt. noch mehr verwirrt worden wären.
Sieht die Absenderdomain legitim aus? Auch kein Tippfehler?
Wird eine unübliche Top-Level-Domain verwendet? Also ist der letzte Teil hinter dem letzten Punkt nicht .ch, .li oder .com?
Wird in der Mail eine andere Maildomain erwähnt, als die, von der die Mail angeblich stammt?
Gehen die Links in der Mail auf nochmals andere Domains?
Viele Mailprogramme auf einem Desktoprecher oder Laptop zeigen die Ziel-URL eines Links an, wenn der Mauszeiger über dem Link schwebt. Im Bild unten ist das kleine schwarze Händchen im blauen Feld der Mauszeiger und das schwarze Rechteck darunter mit weisser Schrift erscheint, um die URL anzuzeigen.
Auf Mobilgeräten erhält man diese Information oft, wenn man lange mit dem Finger auf den Link drückt.
Leider ist das auch eine Unsitte von gewissen Newsletters, dass die URLs nicht auf das Ziel zeigen, sondern auf einen Server, der die Zugriffe trackt. Es wäre gut, wenn diese Newsletters das über ihre eigene Domain erledigen würden.
Kommt die Mail unerwartet?
Kommt die Mail unerwartet?
Wird darauf verwiesen, dass die Mail an eine verantwortliche Person weitergeleitet werden soll?
Wird Druck aufgebaut?
Ist die Mail dringend? («So schnell wie möglich», «Ihr Konto wurde bereits deaktiviert», …)
Wird emotionaler Druck aufgebaut? Für etwas, was zumindest peinlich ist und man deshalb niemanden fragt, ob die Mail jetzt echt ist? («Wir haben Sie ertappt bei …»)
Wenn einer oder mehrere der obigen 9 Punkte zutreffen, sollten Sie unbedingt eine zweite Person ins Vertrauen ziehen, bevor Sie handeln («4-Augen-Prinzip»).
Phishingerkennung mittels KI-Sprachmodellen
Viele dieser Chatbots auf Basis Grosser Sprachmodelle (Large Language Model, LLM) können bei der Analyse von Phishing unterstützen. Sie sind kein Ersatz für eine seriöse Abklärung, können aber helfen, einige Argumente aufzuzählen.
So hat des KI-Modell Perplexity sowohl bei der Viagra-Mail als auch bei der Hostpoint-Phishingmail relativ viele Punkte erkannt. Der Prompt begann immer mit «Was sind Anzeichen für/gegen Phishing in folgender Mail:» gefolgt entweder
vom Text der Viagra-Mail (ohne Kopfzeilen, also nur der Text der Mail) oder
von der gesamten angeblichen Hostpoint-Mail (mit Absender- und Empfängeradressen, Betreff und Datum).
Erster Teil der Perplexity-Antwort für die Viagra-Mail (Mail ohne Absender/Empfängeradresse)Teil 2 der Perplexity-Analyse der Viagra-MailTeil 1 der Perplexity-Analyse der Hostpoint-Mail (Mail mit Kopfzeilen: Von, An, Betreff)Teil 2 der Analyse zur Hostpoint-MailGrosse Sprachmodelle können einige Merkmale von Phishing-Mails korrekt identifizieren. Her die Antworten von Perplexity. Auch andere Sprachmodelle scheinen Phishing gut erkennen zu können; so fand mein erstes Experiment (mit einer angeblichen Geschäftsmail) unter ChatGPT statt.
Allerdings teile ich die Ansicht nicht überall:
Das angebliche Schweizerdeutsch wird als Ansammlung von Tippfehler bezeichnet.
Das Fehlen eines vollständigen Impressums ist in der Schweiz nicht unbedingt ein schlechtes Zeichen.
Das Fehlen von Kontaktdaten oder einer Signatur (also der «Text-Visitenkarte» am Ende der Mail) ist bei einer angeblich automatisierten Mail auch kein Anzeichen.
Ein erfundener Name kann zwar ein Anzeichen sein; der Name einer bekannten Person ist aber mindestens ein ebenso starkes Anzeichen für eine Betrugsmail.
Trotzdem kann ein Chatbot eine gute erste Einschätzung abgeben, insbesondere, wenn gerade kein vertrauenswürdiger Mitmensch vorhanden ist oder die Bösewichte auf Sextortion setzen, also der Drohung, explizite Bilder oder Videos des Angeschriebenen zu veröffentlichen.
Wie kann ich mich gegen Phishing schützen?
Vorbeugen
Nutzen Sie eindeutige Passwörter für jeden Dienst.
Ja, das bedeutet, einen Passwortmanager zu nutzen, ausser Sie sind ein Merkgenie.
Aktivieren Sie Zwei-Faktor-Authentifizierung («2FA»), am besten PassKeys, wenn dies von ihrem Provider und ihrem Gerät angeboten werden. (Da gibt es leider beiderseits noch Aufholbedarf; das dürfte sich aber hoffentlich im Laufe dieses Jahres noch bessern.)
Falls Ihre Applikation (z.B. Mailprogramm) kein 2FA unterstützt, vergeben Sie diesem Programm ein separates Passwort, unabhängig von ihrem Loginpasswort. Dies wird meist als «Anwendungspasswort» oder «Applikationspasswort» bezeichnet.
Schützen Sie als Erstes ihr Haupt-Mailkonto! Denn wenn ein Angreifer die Kontrolle über dieses übernommen hat, kann dieser auch viele Passwörter anderer Dienste zurücksetzen. Und damit noch mehr Kontrolle über Ihr Leben übernehmen.
Nach Erhalt einer Mail
Die obigen 9 Punkte überprüfen und im Zweifelsfall eine Person ins Vertrauen ziehen.
Vermeiden, auf Links in Mails zu klicken. Sondern wenn immer möglich über ein Lesezeichen im Browser zu ihren wichtigsten Diensten zugreifen.
Keine Passwörter auf «falsche Domains» eingeben. Viele Passwortmanager unterstützen Sie dabei, indem das Passwort nur auf der richtigen Domain automatisch eingesetzt werden kann.
Falls doch etwas schief gelaufen ist: Sofort das verratene Passwort ändern.
Vielen Dank, Sie haben gerade das Internet für sich und uns alle gerade ein bisschen sicherer gemacht!
Aktuell dürfte der Erhalt einer schweizerdeutschen angeblichen Geschäftsmail das beste Indiz für Spam sein. Das scheinen aber die ausländischen Scammer nicht zu wissen, die sich hinter angeblichen schweizerdeutschen Geschäftsmails verstecken. Auch wenn Sofortnachrichten (und Radio-/Fernsehbeiträge) oft auf Mundart versendet werden, hat sich dies noch kaum in der Geschäftskommunikation festgesetzt. In diesem Fall ist es gut, wenn man Teil eines seltsamen, etwas isolierten Volks ist.
Hier einige Stichproben dessen, was die angebliche Phishing-Loginseite anzeigte. In diesem Fall wurden die Farben zufällig erzeugt und eine zufällige, generische Willkommensnachricht gezeigt. Übrigens funktionierten die «Login mit Google/Microsoft»-Knöpfe nicht. (Weil diese nicht so einfach gephisht werden können.)
Tipps für Mailversender
Angeregt durch eine Diskussion gestern hier noch ein paar Tipps, wie man als Firma seine versendeten echten Mail nicht wie Spam aussehen lässt. Sie orientieren sich grob am Gegenteil der Erkennungstipps oben; ich wurde aber gebeten, sie doch noch explizit aufzuschreiben.
Eigene, bekannte Domain: Verschicke die Mails von einer deiner eigenen, allgemein bekannten Domains. Die Beispiel AG sollte also von sowas wie buchhaltung@beispiel.ch oder news@newsletter.beispiel.ch verschicken.
Keine Überraschungen: Versuche die Überraschungsmomente zu vermeiden. Nicht plötzlich von neuen Adressen Mails verschicken; nicht plötzlich zu neuen Themen verschicken etc.
Änderungen ankündigen: Wenn die Änderung planbar ist, diese mehrfach(!) im Vorfeld über die bekannten Kanäle ankündigen. (Auch wenn du als Absenderin findest, dass deine Mail unbedingt lesenswert sei: Der Empfänger hat vielleicht gerade keine Zeit oder Lust oder teilt diese Meinung einfach überhaupt nicht.)
Klare Aussagen: Sei konkret in der Aussage, erwähne alle relevanten Details schon in der Mail.
Nur eigene Links: Sorge dafür, dass alle Links in der Mail ebenfalls auf deine Domain zeigen; am besten direkt, also https://blog.beispiel.ch/Beitrag99. Wenn es sein muss, dann auch auf sowas wie https://tracking.beispiel.ch/newsletter/Kunde1984/EindeutigeID12345678. (Ausnahme: Wenn das Ziel der Mail ist, beispielsweise eine Liste von Links auf relevante Online-Artikel von Dritten zu verschicken, dann macht das natürlich Sinn.)
Auch QR-Codes: Auch wenn du QR-Codes verschickst, sollten diese auf deine Domain oder eine Subdomain davon zeigen. (In den Mails solltest du QR-Codes eigentlich vermeiden. Mir ist nicht klar, was der Vorteil davon ist. QR-Codes werden aber als Trick genutzt, mit dem Betrüger ihre Links dem Spamfilter gegenüber verschleiern.)
Noch besser: Keine Links!
Regelmässiges: Wenn diese Mail Teil eines regelmässigen Prozesses ist (z.B. Ankündigung einer Krankenkassenabrechnung), vermeide die Links ganz. Der Empfänger weiss, wo die Dokumente abzuholen sind.
Notfallmässiges: Wenn du damit einen Notfall ankündigen willst (wie z.B. Information über einen Sicherheitsvorfall), dann schreibe das auf die Homepage. Und verweise einfach auf die Homepage. Dort willst du sowieso die Kundinnen abholen, die sich informieren wollen, weil sie z.B. festgestellt haben, dass dein Dienst nicht mehr funktioniert.
Bilder: Bilder, insbesondere solche, die vorwiegend aus Text bestehen, werden von einigen Spamfiltern als Versuch identifiziert, den Spamfilter zu umgehen. Sie erschweren auch die Lesbarkeit für Blinde und Sehbehinderte, die auf einen Screenreader oder eine Braille-Zeile angewiesen sind.
Attachments: Auch Attachments – insbesondere verschlüsselte – werden von einigen Spamfiltern (und Empfänger:innen) als mögliches Transportvehikel für bösartige Software (Malware) angesehen. Ungewöhnliche oder verschlüsselte Attachmentformate sollten vermieden werden. (Auf der anderen Seite ist es für viele Empfängerinnen praktisch, die gesamte Information bereits in der Mail zu haben. Insbesondere, wenn die Mail offline gelesen wird oder sie archiviert werden soll.)
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen), Bilder (auch die peinlichen) und Kommentare (auch die blöden Sprüche) auf Facebook und Instagram, die Interaktionen mit dem KI-Chatbot «Meta AI», Information aus dem Internet und sonstigen Datensammlungen.
Auch falls diese Schritte (oder auch noch später mögliche Schritte wie Unterlassungs- und Sammelklagen) erfolgreich sein sollten: Auf die Nutzung von persönlichen Daten von Schweizerinnen und Schweizer dürften sie keine Auswirkungen haben, ausser Meta gewähre allfällige in der EU erstrittene Rechte auch freiwillig in der Schweiz.
Deshalb: Auch wenn du noch unentschlossen bist, vorsorglich gleich jetzt bei Facebook, WhatsApp und Instagram widersprechen und Freunde und Familie informieren. Sonst geht es vergessen. Und dann gibt es kein Zurück mehr.
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe… In den Klauen der Cloud weiterlesen
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt… Können KI-Systeme Artikel klauen? weiterlesen
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich… Was verraten KI-Chatbots? weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten,… Der Turing-Test im Laufe der Zeit weiterlesen
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch… «Quasselquote» bei LLM-Sprachmodellen weiterlesen
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
VÜPF: Staatliche Überwachungsfantasien im Realitätscheck
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters mit Aussagen, die nicht unwidersprochen bleiben können.
VÜPF: Staatliche Überwachungsfantasien im Realitätscheck
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters mit Aussagen, die nicht unwidersprochen bleiben können.
Laut Analyse der Digitalen Gesellschaft würden faktisch alle Anbieterinnen von Diensten im Bereich E-Mail, Messaging oder Teilen von Dokumenten darunter fallen, inklusive Non-Profit- und Open-Source-Projekte. Insbesondere wäre der Firmensitz in der Schweiz künftig ein datenschutz- und überwachungsrechtlicher Nachteil gegenüber dem Ausland. Die Republik betonte darüber hinaus die Gefahr der Abwanderung von Firmen und der Verlust von sicheren und vertrauenswürdigen Kommunikationsmitteln für Schweizerinnen und Schweizer. Ebenso wäre die Rechtsunsicherheit durch die unklaren Formulierungen hoch.
Wenn wir die Ende-zu-Ende-Verschlüsselung aufheben, dann gefährden wir die Sicherheit von uns allen. Entweder die Kommunikation ist für alle sicher oder für niemanden. Es ist technisch unmöglich, die Ende-zu-Ende-Verschlüsselung von Kriminellen im Nachhinein aufzuheben.
Die Antwort von Überwachungsmaximalist Pajarola kam umgehend:
Das kann ich nicht beurteilen. Ich höre aus der Tech-Szene aber immer wieder: Im Grunde ist nichts unmöglich. Oft sei es eine Frage des Aufwandes. Die zunehmende Verschlüsselung stellt den Rechtsstaat infrage. Früher konnten wir fast hundert Prozent der Kommunikation abhören: Telefongespräche und der Postverkehr waren für Ermittler zugänglich. Heute sind die meisten Kommunikationsmittel verschlüsselt. Geht der Trend so weiter, können wir vielleicht künftig schwere Straftaten immer schlechter aufklären. Herrschen Gewalt und Verbrechen, haben wir ein massives Sicherheitsproblem. Stellen Sie sich vor, Ihre Tochter würde entführt. Dann würden Sie wollen, dass sie erstens möglichst schnell gefunden wird und zweitens die Täter gefasst würden. Die Privatsphäre interessiert Sie dann nicht mehr.
Diese Art von Antwort sieht man häufig. Und sie ist in vielerlei Hinsicht falsch, irreführend oder gefährlich. Sezieren wir sie also mal Aussage für Aussage.
(Der Satz «Heute sind die meisten Kommunikationsmittel verschlüsselt» wurde umsortiert, um doppelte Erklärungen zu vermeiden.)
«Ich höre aus der Tech-Szene aber immer wieder: Im Grunde ist nichts unmöglich.»
Ja, Chefs von Startups oder Tech-Konzerne versprechen gerne mal das Blaue vom Himmel. Eingebürgert hat sich das, weil das Nichteinhalten von diesen Versprechungen keine negativen Konsequenzen nach sich zieht. Im Gegenteil: Sie bekommen im Gegenzug Geld bzw. ihr Vermögen explodiert.
Während in einzelnen Bereichen einzelne Firmen irgendwelche Behauptungen von sich geben, heisst dies noch lange nicht, dass selektives Aufbrechen der Verschlüsselung möglich ist. Im Gegenteil: AlleExperten, dass das unmöglich sei.
«Oft sei es eine Frage des Aufwandes.»
Aufwand im Sinne von Hardware und Zeit war bis Ende der 1990er Jahre definitiv ausschlaggebend beim Knacken von Verschlüsselung, wie ich 1997 mit aufzeigen helfen durfte. Es war klar: Neue Verschlüsselungsalgorithmen durften auch in Jahrzehnten von niemandem knackbar sein, auch nicht dem bestausgerüstetsten Geheimdienst. Der aufgrund dieser Erkenntnis entwickelte Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) ist deshalb so ausgelegt, dass – selbst wenn ab heute alle Rechner dieses Planeten mit nichts anderem beschäftigen würden – auch nach Jahrmilliarden noch immer keine einzige(!) AES-Nachricht geknackt worden wäre.
Der einzige Weg, eine Nachricht zu entschlüsseln ist also, wenn man von irgendwoher den richtigen Schlüssel bekommt.
Der Aufwand liegt heute also darin, die zugehörigen Schlüssel zu schützen. Die steigenden Ransomware-Zahlen zeigen es: Mit dem richtigen (finanziellen) Anreiz schaffen es Cyberkriminelle, in jedes System einzudringen.
Datenbanken mit (Zugang zu) solchen Schlüsseln sind wertvolle Ziele für Cyberkriminelle oder fremde Nachrichtendienste. Und je wertvoller das Ziel, desto mehr technischer Aufwand, finanzielle Motivation und menschlicher Druck wird in die Erreichung des Zugangs investiert.
Deshalb ist auch heute der Zero-Trust-Ansatz für IT-Sicherheit so, dass man möglichst keinem System trauen will. Und auch schon gar nicht einem Menschen, denn der ist anfällig auf Phishing, Erpressung oder Gier.
Es gibt keine technische Möglichkeit, zwischen Gut und Böse bei Anfragen zu unterscheiden. Also müssen technische Schutzmechanismen vor allen Hintertüren schützen. Das zeigt sich auch darin, dass automatische «Lawful Interception»-Hintertüren immer wieder von Organisationen missbraucht werden, die darauf gar keinen Zugang haben sollten.
Ja, Pajarolas Aussage stimmt. Aber definitiv nicht so, wie er sie meinte. Denn es ist nur eine Frage des Aufwands, bis kritische Hintertüren oder Datensammlung von Angreifern gehackt werden.
«Heute sind die meisten Kommunikationsmittel verschlüsselt.»
Hier gehe ich mit dem Staatsanwalt voll einig. Nur, dass ich das eine gute Sache finde, weil es Datenkraken, Cyberkriminelle sowie autoritäre Staaten (und solche, die es werden wollen) davon abhält, meine Privatgespräche zu belauschen, die sie nichts angehen.
Schon seit vielen Jahren werden fast alle Verbindungen verschlüsselt, vom Aufruf von Webseiten über Mail und Instant Messaging bis hin zu Maschinensteuerungen. Und sie werden aus gutem Grund verschlüsselt: damit diese nämlich nicht von böswilligen Akteuren missbraucht werden um unsere Wirtschaft oder Gesellschaft zu terrorisieren und zu destabilisieren.
«Die zunehmende Verschlüsselung stellt den Rechtsstaat infrage.»
Zuerst einmal: Ich glaube nicht, dass Verschlüsselung noch gross am Steigen ist. Weil schon das Meiste seit Jahren verschlüsselt ist. Und die (organisierte) Kriminalität waren die ersten, die das genutzt haben.
Und auch der Rechtsstaat profitiert davon. Ohne garantierte Privatsphäre ist weder das Rechtssystem noch die Demokratie gewährleistet. Beispielsweise würde das Vertrauen in unser Justizsystem aus den Fugen geraten, wenn die Kommunikation mit der Anwältin nicht mehr privat wäre. Oder die Demokratie würde zur Farce, wenn das Stimm- und Wahlgeheimnis nicht mehr garantiert wäre. Ebenso wenig könnten Fehlentwicklungen in Regierung oder Verwaltung noch aufgedeckt werden, wenn investigative Journalistinnen nicht mehr ungehindert mit Quellen kommunizieren könnten.
Die Privatsphäre ist die unabdingbare Basis für eine freiheitlich-demokratische Grundordnung. Und Verschlüsselung ist die technische Grundlage für ihre Umsetzung.
Verschlüsselung ohne Hintertür ist damit schlichtweg Voraussetzung für einen funktionierenden Rechtsstaat.
«Früher konnten wir fast hundert Prozent der Kommunikation abhören: Telefongespräche und der Postverkehr waren für Ermittler zugänglich.»
Auch wenn sie zugänglich waren: Diese Verklärung ist völlig fehl am Platz. Denn die Ermittler hatten weder die Abdeckung noch die Skalierbarkeit, die sie heute haben.
Die unzähligen Diskussionen am Küchen- oder Stammtisch, die Gespräche am Arbeitsplatz oder in einer Partei bzw. Gewerkschaft: Sie alle waren für Ermittler nicht zugänglich; dito für Gespräche mit Ärztinnen, Anwälte und Journalisten.
Heute finden viele dieser Gespräche online statt. Damit ist der vom BÜPF und VÜPF abgedeckte Verkehr deutlich gestiegen.
Auch war die Überwachung in den «guten alten Zeiten» schwierig. In den Schwarzweissfilmen sassen die Spione in unwirtlichen Gegenden, ihre Kopfhörer mit Bananenklemmen mit der Telefonleitung verbunden. Auch später war die Telefon- und Postüberwachung ein manueller Prozess. Jede einzelne Überwachung war mit Aufwand verbunden. Es gab keine Chance, die Überwachung im grossen Stil zu missbrauchen, ohne dass es offensichtlich wurde.
Ganz anders heute: Wenn jemand (ob gut oder böse) direkten Zugang zu den Überwachungsgeräten oder -schlüsseln hat, ist der Schritt von Einzelüberwachung zur Massenüberwachung sehr klein.
Ein viel grösserer Teil unseres Lebens wird heute durch digitale Kommunikation abgedeckt. Wenn die Privatsphäre hier fehlt, fehlt sie grundsätzlich. Ein Missbrauch allfälliger Überwachungsmassnahmen durch Ermittler oder Kriminelle skaliert ebenfalls viel besser und unauffälliger als früher™.
«Geht der Trend so weiter, können wir vielleicht künftig schwere Straftaten immer schlechter aufklären.»
Es ist bereits so gut wie jegliche Kommunikation verschlüsselt. Insbesondere diejenige von Straftätern, die ihr Verbrechen planen, wie z.B. bei Organisierter Kriminalität. Der Trend kann also nicht weitergehen.
Sobald es sich herumspricht, dass (nur) Schweizer Kommunikationskanäle von der Überwachung betroffen sind, wechseln die kriminellen Banden auf andere Kanäle. Oder bauen sich ihren eigenen. Die Organisierte Kriminalität ist auch in dieser Beziehung sehr gut organisiert. Als Resultat sind schwere Straftaten noch schlechter aufzuklären.
«Herrschen Gewalt und Verbrechen, haben wir ein massives Sicherheitsproblem.»
Gleichzeitig sehen wir eine Zunahme von autokratischen und faschistischen Tendenzen, auch in Europa. Und Autokratien haben sich schon immer über bestehende Überwachungs- und Kontrollmöglichkeiten ihrer Bevölkerung gefreut.
«Stellen Sie sich vor, Ihre Tochter würde entführt. Dann würden Sie wollen, dass sie erstens möglichst schnell gefunden wird und zweitens die Täter gefasst würden. Die Privatsphäre interessiert Sie dann nicht mehr.»
Lange Zeit wollte ich dieser unnötig provokanten Aussage nicht noch zusätzliche Prominenz geben.
Hier doch eine kurze Replik: auch eine Hintertür in Milliarden digitalen Kommunikationskanälen hilft da nicht weiter. Es ist eine ineffiziente Form der Ermittlung. Weder Mensch noch KI können diese Datenmengen (Texte, Sprachnachrichten, Bilder, Videos, …) genügend schnell und abstrakt durchsuchen; die Tochter wird nicht schneller gefunden. Und wenn die Tat doch am Küchentisch oder in einer verrauchten Bar geplant wurde, trägt diese Hintertür gar nichts zur Aufklärung bei.
Alleine ihr Vorhandensein gefährdet aber trotzdem alle anderen Menschen, die Wirtschaft, die Gesellschaft und die Demokratie.
Verschlüsselte Chats als Ermittlungshindernis?
Dass verschlüsselte Chats oft gar nicht das Ermittlungshindernis darstellen, welches Staatsanwalt Pajarola oben beschwört, bestätigt Anwalt Viktor Györffy auf Anfrage:
In der Realität wird das Problem der verschlüsselten Kommunikation übrigens meist dadurch «gelöst», dass die Geräte ausgewertet werden, auf denen die Chatverläufe gespeichert sind; oft auch bei nicht so schwerwiegenden Delikten. Bei diesen Durchsuchungen gibt es regelmässig auch Zufallsfunde, also Hinweise, aus denen sich ein Verdacht auf andere, zusätzliche Delikte ergeben, die mit dem ursprünglichen Verdacht nichts zu tun haben.
Schlussfolgerung
So wie das Energiegesetz nicht den Bau von Perpetuum mobiles oder gefährlichen Technologien fordert, so sollte auch bei der Überwachung nur das gefordert werden, was machbar ist und nicht sowohl Wirtschaft als auch freiheitlich-demokratische Gesellschaftsordnung übermässig gefährdet.
Entscheide für die Zukunft unserer Gesellschaft sollten sich an den bekannten Fakten orientieren. Und nicht an irgendwelchen unrealistischen Versprechungen von Leuten, die mit unrealistischen Versprechungen Geld verdienen. Und schon gar nicht an Hoffnungen klammern, die wissenschaftlich widerlegt wurden.
Schon im ausgehenden 20. Jahrhundert hatte sich gezeigt, dass Verschlüsselung nicht nur von den Guten aufgehoben werden kann. Durch die zunehmende Bedrohung durch Cyberkriminelle und Schurkenstaaten ist es noch gefährlicher geworden, in die zur Aufrechterhaltung der Demokratie nötige private Kommunikation Single Points of Failure einzubauen. Es hat sich gezeigt, dass diese früher oder später missbraucht werden.
Und die einzige Möglichkeit, diese Schwachstellen nicht dem Missbrauch zu öffnen, ist sie gar nicht erst zu bauen.
Anderswo im Interview wird die von der VÜPF-Revision geforderte Datensammlung durch den Vergleich mit globalen Datenkraken zu relativieren versucht. Ja, auch diese Datensammlungen sind gefährlich. Um so mehr erstaunt es, dass sich der Bundesrat bisher standhaft weigert, dieser gefährlichen Datensammelwut (und anderen gefährlichen Entwicklungen) durch globale Tech-Konzerne und andere Datenkraken Einhalt zu gebieten. Während die EU mittels DSGVO, DSA etc. wenigstens den Versuch unternimmt, ihre Bürgerinnen und Bürger vor diesen Angriffen zu schützen, bleibt derselbe Bundesrat stumm, der hier eine massive Verschärfung des BÜPF fordert. Scheinbar in der irrigen Hoffnung, dass der Kelch an uns allen vorübergehe.
Bedenklich finde ich auch, dass bei der Privatsphäre mit zwei Ellen gemessen werden soll. Während Pajarola – der mutmasslich auch Videoüberwachung und Gesichtserkennung wünscht – sein Gesicht (laut Bedingung für das Interview) nicht in der Öffentlichkeit sehen möchte, fordert er gleichzeitig ihm gegenüber von Normalsterblichen den Gläsernen Bürger.
Der Glaube an eine risikolose Überwachungstechnologie ist irrig. Und die Missbrauchsgefahr sowohl durch Datenkraken, Autokratien oder Kriminelle einfach zu gross und zu realistisch.
PS: Gegen all‘ zu neugierige Datenstaubsaugerkonzerne hilft, die Firmen mit entsprechenden Geschäftsmodellen – fast alle grossen Tech-Konzerne – möglichst zu vermeiden. Und sich zusätzlich mit wenigen Handgriffen gegen Tracking durch Dritte zu schützen.
VÜPF-Vernehmlassungsantworten (offizielles PDF und lokale Kopie. 84 MB gross, sehr langsam auf Mobilgeräten), 2025-05-23. Offizielle, unstrukturierte Sammlung der Antworten zur Revision VÜPF und VD-ÜPF.
Christoph Schmid: Der Nachrichtendienst missachtet seine eigenen Richtlinien, Zur Revision des Nachrichtendienstgesetzes, Digitale Gesellschaft, 2025-05-28. Auch das Nachrichtendienstgesetz soll künftig mehr Überwachungsrechte beinhalten, obwohl der NDB bereits jetzt ungestraft mehr überwacht als erlaubt.
Brock N. Meeks: Clipping Clipper: Matt Blaze, Wired, 1994-09-01. Angeblich sicherer Zugang zu verschlüsselten Nachrichten wurde vor 30 Jahren schon einmal versucht, mit dem Clipper-Chip. An den grundsätzlichen Problemen von damals hat sich kaum etwas geändert.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.
Mehrere Personen in meinem Umfeld haben vor einigen Wochen scheinbare Mahnungen von Hostpoint erhalten, des laut eigenen Angaben «grössten Webhosting-Anbieters der Schweiz».
Auffallend daran: Der Text war auf Schweizerdeutsch, zumindest auf den ersten Blick. Und er kam von einer hostpoint.ch-Mailadresse. Gehen wir beiden doch einmal auf den Grund.
Wir alle haben wahrscheinlich schon von Spam und Phishing im Namen fast aller in der Schweiz verbreiteten Firmen gehört, vielleicht sogar selbst bekommen. Dagegen tun kann die imitierte Firma kaum etwas. Auch das öffentliche Warnen vor einer gerade laufenden Spam-Kampagne ist nur beschränkt hilfreich. Denn das Muster ist immer wieder dasselbe, genau wie die Massnahmen dagegen.
Und unabhängig von der jeweils missbrauchten Firma. Das Verfassen einer Medienmitteilung bringt meiner Meinung nach auch nichts, das Aushängeschild der jeweiligen «Kampagne» zu nennen.
Spam, Phishing und sonstige bösartige bzw. Betrugsmails müssen unabhängig von der aktuell betroffenen Firma bekämpft werden. Auch wenn hier der Name von Hostpoint erwähnt wird: Ihr Umgang mit der Phishing-Aktion erschien mir sehr professionell und die Entscheide gut begründet.
Und trotzdem gibt es in diesem Fall einige Unterschiede, die eine Erklärung rechtfertigen.
In diesem Fall müsste aber Hostpoint alle Empfänger kennen, denn die Mails liefen alle durch ihre Mailserver. Und Hostpoint könnte alle Empfänger informieren. Dies ist aber nicht erfolgt. Doch dazu später mehr.
Schweizerdeutscher Spam
Wieso?
Vermehrt habe ich in letzter Zeit Spammails in unserem heimischen Dialekt gesehen, an mich oder an Freunde und Familie gerichtet. Beim genaueren Hinschauen sieht man aber, dass zwischen vielen Wörtern, die als Dialekt durchgehen, auch einige sind, die wir nur in Hochdeutsch nutzen. In diesem Falle klingt beispielsweise die weibliche Anrede («Sehr geehrti Kundin») halbwegs plausibel, ihr männliches Gegenstück jedoch überzeugt nicht («sehr geehrte Kunde»). Auch «Letzti» im Titel klingt falsch eingeschweizert; «aufgrund» im Text rein hochdeutsch.
Schweizerdeutsch = Sammlung von Tippfehlern
Aber wieso kommt überhaupt jemand auf die Idee, in einer so obskuren Sprache unerwünschte Mails zu verschicken? Genau weiss ich es nicht, weil ich die Bösewichte dahinter nicht befragen konnte. Obviously. Aber wir sehen ein Muster. Hier ein paar Spams der letzten Woche an mich für «Herrenmedikamente». Auffällig ist die – sagen wir mal – kreative Verunstaltung des Wortes «rezeptfrei». Schauen wir doch einmal eine dieser Mails an: Beim Lesen fällt irgendwann auf, dass es um eine angebliche Lieferung von Viagra geht. Doch das Wort selbst wird nie erwähnt. «Die blauen Originale» und der Kontext müssen reichen. (Übrigens ist der Text und die Umschreibung der Pille in jeder der «rezeptfrei»-Mail anders, folgt aber demselben Aufbau.)
Das Ziel der Falschschreibungen (Bindestriche mitten im Wort), Fremdschreibungen (Dialekt) und Umschreibungen ist dasselbe: Spamfilter sollen diese Worte nicht erkennen. Denn in fast jedem Mailverkehr (ausser vielleicht bei Ärzten) ist «Viagra» ein Wort, das mit hoher Wahrscheinlichkeit auf Spam hindeutet.
Ob die Vermeidung der Umlaute zur Verschleierung oder aus Unfähigkeit geschieht, kann ich nicht sagen. Die Verwendung von ähnlich aussehenden Zeichen aus anderen Schriftsystemen zur Täuschung (Kyrillisch, Griechisch, Türkisch, …) scheint hingegen bei Mails aus der Mode gekommen zu sein, wahrscheinlich weil die Anti-Spam-Software diese Ausreisser inzwischen sehr einfach erkennen kann.
Dass das mit den Umlauten auch andersherum schiefgehen kann, zeigt folgender angebliche digitale Bussenzettel: Da wird Schweizerdeutsch «Buess» zu «Büss» und es gibt dafür die eindeutig nicht schweizerischen Worte «Bußgeld» und «Geschwindigkeitsverstoß».
Schweizerdeutscher Spam: Wie?
Das muss doch sicher teuer sein, wenn Spammer den Text in jede mögliche oder unmögliche Sprache übersetzen. Ja, echte menschliche Übersetzer wären ein Kostenpunkt. Aber wahrscheinlich noch mehr auch ein Risiko, weil sie könnten die Scammer ja verpetzen.
Der LLM-Chatbot als williger Gehilfe ohne überflüssige Ethik. Leider nicht nur hier.
Von eigener Maildomain
Hostpoint bietet – wie viele andere Webhoster – Kombipakete an. Hier interessiert uns das Zusatzangebot mit Email-Konten. Die Scammer wollten eine gezielte Phishing-Attacke starten. Dazu verwendeten sie mutmasslich eine Liste mit Abermillionen von Emailadressen, wie sie unter Spammern gehandelt werden. Unsere Bösewichte nutzten nun nicht einfach wahllos Mailadressen, sondern nur solche, deren Domain auch bei Hostpoint gehostet war. (Dies kann man beispielsweise daran erkennen, dass als Web- oder Mailserver der Domain einer der Hostpoint-Server eingetragen ist.)
Wir sind uns gewohnt, dass die Nutzung einer Fremddomain ein gutes Spam- bzw. Phishing-Indiz ist: In fast allen Fällen stammen Betrugsmails, die vorgeben, von Firma X zu kommen, nicht von einer (Mail-)Domain der Firma X. Dies, weil heute Mails, die vorgeben, von user@beispiel.ch zu kommen, auch von einem Mailserver versendet werden müssen, der vom Domaininhaber von beispiel.ch autorisiert wurde. Vor 10-20 Jahren war das allerdings noch ganz anders.
In diesem Fall konnte allerdings der Spammer Zugriff zu einem Kundenkonto bei Hostpoint erlangen und deshalb von dort Mail verschicken, wie mir Hostpoint auf Anfrage mitteilte. Bei Hostpoint geht man davon aus, dass der Kunde auf eine Phishingmail hereingefallen sei.
Bei Hostpoint hat – im Gegensatz zu anderen Providern – jedes Kundenkonto neben der normalen Mailadresse eine historisch bedingte Mailadresse der Form <ZUFALLSNAME>@webuser.mail.hostpoint.ch. Über diese kann aber nur eine beschränkte Anzahl Mails pro Stunde verschickt werden, was das Ausmass des Missbrauchs einschränkt. (Hostpoint plant weitere Massnahmen.)
Wenn die Mail aber – wie in diesem Fall – über die Mailinfrastruktur des Providers läuft, liessen sich auch die Empfängeradressen der Mails identifizieren. Denn die meisten Mailserver führen ein Logbuch über die über sie versendeten Mails. Anhand der Absenderadresse hätten im Logbuch die Empfänger identifiziert werden können.
Fassen wir zusammen: Ein Konto eines Hostpoint-Kunden wurde gehackt. Dieses Kundenkonto wurden dann benutzt, um Mails an andere bei Hostpoint gehosteten Mailkonten zu senden. Diese Zieladressen wurden wahrscheinlich aus einer Liste ausgewählt, die die Spammer sich im Darknet beschafft hatten.
(Allerdings war dann aufgrund der von Hostpoint eingestellten Limiten nach «einer tiefen einstelligen Prozentzahl» der Kunden Schluss mit Mailversand.)
Auf die Frage, weshalb die von den Betrügern angeschriebenen Kund:innen nicht proaktiv informiert worden seien, antwortete Hostpoint wie folgt:
Wir haben in der Vergangenheit auch schon die Kund:innen per E-Mail proaktiv über Phishing informiert und zum Thema sensibilisiert. Allerdings tun wir dies aus verschiedenen Gründen nicht in jedem Fall, sondern meist dann, wenn die Phishing-Wellen sehr gross sind. Wir betreiben jedoch über diverse Channels wie Social Media oder unseren Blog regelmässig Anti-Phishing-Awareness. Über aktuelle Phishing-Fälle informieren wir jeweils auf unserer Website unter hostpoint.ch/phishing/, auf unserer Status-Seite hostpoint-status.com/ oder auch über gesprochene Botschaften, die wir bei unserer Hotline zu Beginn eines Anrufs abspielen. Dieses Zusammenspiel verschiedener Kommunikationsmassnahmen hat sich für uns seit Jahren bewährt.
Mediensprecher Hostpoint
Diese Erklärung erscheint durchaus nachvollziehbar. Insbesondere, wenn man bedenkt, dass viele der Empfänger:innen der Mails gar keine Verantwortung für die Domain besitzen, sondern «normale» Nutzer:innen sind, die durch die Nachrichten evt. noch mehr verwirrt worden wären.
Sieht die Absenderdomain legitim aus? Auch kein Tippfehler?
Wird eine unübliche Top-Level-Domain verwendet? Also ist der letzte Teil hinter dem letzten Punkt nicht .ch, .li oder .com?
Wird in der Mail eine andere Maildomain erwähnt, als die, von der die Mail angeblich stammt?
Gehen die Links in der Mail auf nochmals andere Domains?
Viele Mailprogramme auf einem Desktoprecher oder Laptop zeigen die Ziel-URL eines Links an, wenn der Mauszeiger über dem Link schwebt. Im Bild unten ist das kleine schwarze Händchen im blauen Feld der Mauszeiger und das schwarze Rechteck darunter mit weisser Schrift erscheint, um die URL anzuzeigen.
Auf Mobilgeräten erhält man diese Information oft, wenn man lange mit dem Finger auf den Link drückt.
Leider ist das auch eine Unsitte von gewissen Newsletters, dass die URLs nicht auf das Ziel zeigen, sondern auf einen Server, der die Zugriffe trackt. Es wäre gut, wenn diese Newsletters das über ihre eigene Domain erledigen würden.
Kommt die Mail unerwartet?
Kommt die Mail unerwartet?
Wird darauf verwiesen, dass die Mail an eine verantwortliche Person weitergeleitet werden soll?
Wird Druck aufgebaut?
Ist die Mail dringend? («So schnell wie möglich», «Ihr Konto wurde bereits deaktiviert», …)
Wird emotionaler Druck aufgebaut? Für etwas, was zumindest peinlich ist und man deshalb niemanden fragt, ob die Mail jetzt echt ist? («Wir haben Sie ertappt bei …»)
Wenn einer oder mehrere der obigen 9 Punkte zutreffen, sollten Sie unbedingt eine zweite Person ins Vertrauen ziehen, bevor Sie handeln («4-Augen-Prinzip»).
Phishingerkennung mittels KI-Sprachmodellen
Viele dieser Chatbots auf Basis Grosser Sprachmodelle (Large Language Model, LLM) können bei der Analyse von Phishing unterstützen. Sie sind kein Ersatz für eine seriöse Abklärung, können aber helfen, einige Argumente aufzuzählen.
So hat des KI-Modell Perplexity sowohl bei der Viagra-Mail als auch bei der Hostpoint-Phishingmail relativ viele Punkte erkannt. Der Prompt begann immer mit «Was sind Anzeichen für/gegen Phishing in folgender Mail:» gefolgt entweder
vom Text der Viagra-Mail (ohne Kopfzeilen, also nur der Text der Mail) oder
von der gesamten angeblichen Hostpoint-Mail (mit Absender- und Empfängeradressen, Betreff und Datum).
Erster Teil der Perplexity-Antwort für die Viagra-Mail (Mail ohne Absender/Empfängeradresse)Teil 2 der Perplexity-Analyse der Viagra-MailTeil 1 der Perplexity-Analyse der Hostpoint-Mail (Mail mit Kopfzeilen: Von, An, Betreff)Teil 2 der Analyse zur Hostpoint-MailGrosse Sprachmodelle können einige Merkmale von Phishing-Mails korrekt identifizieren. Her die Antworten von Perplexity. Auch andere Sprachmodelle scheinen Phishing gut erkennen zu können; so fand mein erstes Experiment (mit einer angeblichen Geschäftsmail) unter ChatGPT statt.
Allerdings teile ich die Ansicht nicht überall:
Das angebliche Schweizerdeutsch wird als Ansammlung von Tippfehler bezeichnet.
Das Fehlen eines vollständigen Impressums ist in der Schweiz nicht unbedingt ein schlechtes Zeichen.
Das Fehlen von Kontaktdaten oder einer Signatur (also der «Text-Visitenkarte» am Ende der Mail) ist bei einer angeblich automatisierten Mail auch kein Anzeichen.
Ein erfundener Name kann zwar ein Anzeichen sein; der Name einer bekannten Person ist aber mindestens ein ebenso starkes Anzeichen für eine Betrugsmail.
Trotzdem kann ein Chatbot eine gute erste Einschätzung abgeben, insbesondere, wenn gerade kein vertrauenswürdiger Mitmensch vorhanden ist oder die Bösewichte auf Sextortion setzen, also der Drohung, explizite Bilder oder Videos des Angeschriebenen zu veröffentlichen.
Wie kann ich mich gegen Phishing schützen?
Vorbeugen
Nutzen Sie eindeutige Passwörter für jeden Dienst.
Ja, das bedeutet, einen Passwortmanager zu nutzen, ausser Sie sind ein Merkgenie.
Aktivieren Sie Zwei-Faktor-Authentifizierung («2FA»), am besten PassKeys, wenn dies von ihrem Provider und ihrem Gerät angeboten werden. (Da gibt es leider beiderseits noch Aufholbedarf; das dürfte sich aber hoffentlich im Laufe dieses Jahres noch bessern.)
Falls Ihre Applikation (z.B. Mailprogramm) kein 2FA unterstützt, vergeben Sie diesem Programm ein separates Passwort, unabhängig von ihrem Loginpasswort. Dies wird meist als «Anwendungspasswort» oder «Applikationspasswort» bezeichnet.
Schützen Sie als Erstes ihr Haupt-Mailkonto! Denn wenn ein Angreifer die Kontrolle über dieses übernommen hat, kann dieser auch viele Passwörter anderer Dienste zurücksetzen. Und damit noch mehr Kontrolle über Ihr Leben übernehmen.
Nach Erhalt einer Mail
Die obigen 9 Punkte überprüfen und im Zweifelsfall eine Person ins Vertrauen ziehen.
Vermeiden, auf Links in Mails zu klicken. Sondern wenn immer möglich über ein Lesezeichen im Browser zu ihren wichtigsten Diensten zugreifen.
Keine Passwörter auf «falsche Domains» eingeben. Viele Passwortmanager unterstützen Sie dabei, indem das Passwort nur auf der richtigen Domain automatisch eingesetzt werden kann.
Falls doch etwas schief gelaufen ist: Sofort das verratene Passwort ändern.
Vielen Dank, Sie haben gerade das Internet für sich und uns alle gerade ein bisschen sicherer gemacht!
Aktuell dürfte der Erhalt einer schweizerdeutschen angeblichen Geschäftsmail das beste Indiz für Spam sein. Das scheinen aber die ausländischen Scammer nicht zu wissen, die sich hinter angeblichen schweizerdeutschen Geschäftsmails verstecken. Auch wenn Sofortnachrichten (und Radio-/Fernsehbeiträge) oft auf Mundart versendet werden, hat sich dies noch kaum in der Geschäftskommunikation festgesetzt. In diesem Fall ist es gut, wenn man Teil eines seltsamen, etwas isolierten Volks ist.
Hier einige Stichproben dessen, was die angebliche Phishing-Loginseite anzeigte. In diesem Fall wurden die Farben zufällig erzeugt und eine zufällige, generische Willkommensnachricht gezeigt. Übrigens funktionierten die «Login mit Google/Microsoft»-Knöpfe nicht. (Weil diese nicht so einfach gephisht werden können.)
Tipps für Mailversender
Angeregt durch eine Diskussion gestern hier noch ein paar Tipps, wie man als Firma seine versendeten echten Mail nicht wie Spam aussehen lässt. Sie orientieren sich grob am Gegenteil der Erkennungstipps oben; ich wurde aber gebeten, sie doch noch explizit aufzuschreiben.
Eigene, bekannte Domain: Verschicke die Mails von einer deiner eigenen, allgemein bekannten Domains. Die Beispiel AG sollte also von sowas wie buchhaltung@beispiel.ch oder news@newsletter.beispiel.ch verschicken.
Keine Überraschungen: Versuche die Überraschungsmomente zu vermeiden. Nicht plötzlich von neuen Adressen Mails verschicken; nicht plötzlich zu neuen Themen verschicken etc.
Änderungen ankündigen: Wenn die Änderung planbar ist, diese mehrfach(!) im Vorfeld über die bekannten Kanäle ankündigen. (Auch wenn du als Absenderin findest, dass deine Mail unbedingt lesenswert sei: Der Empfänger hat vielleicht gerade keine Zeit oder Lust oder teilt diese Meinung einfach überhaupt nicht.)
Klare Aussagen: Sei konkret in der Aussage, erwähne alle relevanten Details schon in der Mail.
Nur eigene Links: Sorge dafür, dass alle Links in der Mail ebenfalls auf deine Domain zeigen; am besten direkt, also https://blog.beispiel.ch/Beitrag99. Wenn es sein muss, dann auch auf sowas wie https://tracking.beispiel.ch/newsletter/Kunde1984/EindeutigeID12345678. (Ausnahme: Wenn das Ziel der Mail ist, beispielsweise eine Liste von Links auf relevante Online-Artikel von Dritten zu verschicken, dann macht das natürlich Sinn.)
Auch QR-Codes: Auch wenn du QR-Codes verschickst, sollten diese auf deine Domain oder eine Subdomain davon zeigen. (In den Mails solltest du QR-Codes eigentlich vermeiden. Mir ist nicht klar, was der Vorteil davon ist. QR-Codes werden aber als Trick genutzt, mit dem Betrüger ihre Links dem Spamfilter gegenüber verschleiern.)
Noch besser: Keine Links!
Regelmässiges: Wenn diese Mail Teil eines regelmässigen Prozesses ist (z.B. Ankündigung einer Krankenkassenabrechnung), vermeide die Links ganz. Der Empfänger weiss, wo die Dokumente abzuholen sind.
Notfallmässiges: Wenn du damit einen Notfall ankündigen willst (wie z.B. Information über einen Sicherheitsvorfall), dann schreibe das auf die Homepage. Und verweise einfach auf die Homepage. Dort willst du sowieso die Kundinnen abholen, die sich informieren wollen, weil sie z.B. festgestellt haben, dass dein Dienst nicht mehr funktioniert.
Bilder: Bilder, insbesondere solche, die vorwiegend aus Text bestehen, werden von einigen Spamfiltern als Versuch identifiziert, den Spamfilter zu umgehen. Sie erschweren auch die Lesbarkeit für Blinde und Sehbehinderte, die auf einen Screenreader oder eine Braille-Zeile angewiesen sind.
Attachments: Auch Attachments – insbesondere verschlüsselte – werden von einigen Spamfiltern (und Empfänger:innen) als mögliches Transportvehikel für bösartige Software (Malware) angesehen. Ungewöhnliche oder verschlüsselte Attachmentformate sollten vermieden werden. (Auf der anderen Seite ist es für viele Empfängerinnen praktisch, die gesamte Information bereits in der Mail zu haben. Insbesondere, wenn die Mail offline gelesen wird oder sie archiviert werden soll.)
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Die 3 Aspekte der Cloud und die zwei Farben der Sicherheit
Neben rund 100 wissenschaftlichen Publikationen zum Thema habe ich auch viele allgemeinverständliche Artikel geschrieben.
Nextcloud: Automatischer Upload auf Android verstehen
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Ich nutze Nextcloud bzw. seinen Vorgänger ownCloud schon seit über zehn Jahren. Auch schon viele Jahre nutze ich die Nextcloud-App unter (früher) iOS und (heute) Android. Ich nutze sie vor allem, um meine geschossenen Fotos und Videos automatisch auf meinen Nextcloud-Server zu kopieren, wo sie dann gesichert und auf meinen Laptop synchronisiert werden.
Nextcloud: Automatischer Upload auf Android verstehen
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Ich nutze Nextcloud bzw. seinen Vorgänger ownCloud schon seit über zehn Jahren. Auch schon viele Jahre nutze ich die Nextcloud-App unter (früher) iOS und (heute) Android. Ich nutze sie vor allem, um meine geschossenen Fotos und Videos automatisch auf meinen Nextcloud-Server zu kopieren, wo sie dann gesichert und auf meinen Laptop synchronisiert werden.
Häufig waren die neu aufgenommenen Fotos und Videos auf den Laptop synchronisiert, wenn ich sie nutzen wollte. Manchmal aber wollten und wollten sie nicht kommen.
Falsche Lösungsansätze
Weder das Öffnen der Nextcloud-App und Nachschauen in der Upload-History noch der Neustart der App noch das Ändern eines Fotos im Bildeditor halfen zuverlässig.
Manchmal halfen sie, manchmal nicht.
Für einen Informatiker alles andere als befriedigend.
Wie funktioniert der Auto-Upload?
Heute hatte ich am Nextcloud-Summit die Chance, mit dem Chefentwickler der Nextcloud-Android-App zu sprechen. Er erklärte mir die aktuelle Funktionsweise des automatischen Uploads. Hier das Wichtigste in Kürze.
Android führt eine Datenbank mit allen darauf gespeicherten Medien. Diese wird bei jeder Änderung an den Medien aktualisiert.
Die Nextcloud-App hat sich beim Betriebssystem registriert, dass sie alle 15 Minuten geweckt werden möchte. Bei jedem Weckvorgang passiert folgendes:
Die Nextcloud-App schaut nach, ob die Mediendatenbank Änderungen verzeichnet hat.
Allfällige Neuzugänge und geänderte Dateien werden hochgeladen (zumindest wird das versucht, aber vielleicht ist der Server ja gerade nicht erreichbar wegen Flugmodus, Funkloch oder Serverproblem).
Danach legt sich die App wieder schlafen.
Soweit die Theorie. Android behält sich aber vor, diese 15 Minuten zwischen zwei Uploads «bei Bedarf» u.U. beliebig lange zu verlängern. Gründe für diese Verlängerung des Intervalls gibt es mehrere; dazu gehören insbesondere folgende Punkte. Was jeweils genau der Grund ist, lässt sich nicht einfach herausfinden.
Es laufen gerade andere Aktivitäten auf dem Mobiltelefon/Tablet
Der Batteriestand ist niedrig bzw. das Gerät nicht am Strom
Der Stromsparmodus ist aktiv
Die Batterieschonung für die Nextcloud-App ist aktiv
Wieso wird nicht sofort hochgeladen?
Früher gab es unter Android auch die Möglichkeit, dass eine App sich bei jedem neuen Foto vom Betriebssystem umgehend informieren lassen konnte. Da es einige Applikationen gab, die das falsch nutzten und damit zu viel Energie bezogen (also: die Batterie schneller entluden), hat Google diese Funktion entfernt.
Was heisst das?
Wer keine 15 Minuten warten kann oder schon über 15 Minuten gewartet hat, kann folgende Dinge versuchen:
Gerät ans Ladekabel anschliessen
App kurz beenden («weg-swipen») und neu starten
Wenn das nichts hilft, gibt es noch folgende Möglichkeiten:
In der Nextcloud-Android-App gibt es rechts unten den ➕-Button. Dort kann man «Von Kamera hochladen» auswählen und in einem Schritt ein Foto machen und es sofort hochladen. Nachteil: Es stehen nur rudimentäre Kamera-Funktionen zur Verfügung; nicht die vollständigen Operationen der eingebauten Kamera-App.
Über denselben ➕-Button kann man mit «Dateien auswählen» auch direkt ein Bild oder Video aus der Android-Mediathek auf den Nextcloud-Server hochladen. Nachteile: Man muss Quell- und Zielpfad von Hand auswählen; und das Foto wird danach nochmals automatisch hochzuladen versucht, was möglicherweise eine Doppelung auf dem Server oder einen Dateikonflikt auslösen kann.
Fazit
Falls der Upload nicht sofort funktioniert, weiss ich jetzt, dass das normal ist.
Wenn mir ein rascher Upload wichtig ist, habe ich das Telefon am Ladekabel.
Wenn mir ein unmittelbarer Upload wichtig ist, nutze ich eine der Zusatzmöglichkeiten 3+4 oben.
Im Gespräch war auch die Frage, ob in der App ein Knopf irgendwo «Mediathek sofort synchronisieren» oder «Sofortupload jetzt starten» möglich sei. Grundsätzlich spreche nichts dagegen, hiess es.
Ich auf alle Fälle würde mich darüber freuen.
Auf jeden Fall: Danke für das ganze Nextcloud-Ökosystem!
Disclosure: Ich war als Pressevertreter für DNIP und Jurymitglied für die Awards eingeladen und konnte kostenlos am Nextcloud Summit teilnehmen und übernachten. Unabhängig bin ich der Idee der souveränen, selbst gehosteten Cloud (ownCloud+Nextcloud) schon seit über 10 Jahren verbunden und habe frühereinigeszumÖkosystem mit beigetragen.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft. Ich nutze Nextcloud bzw. seinen Vorgänger ownCloud schon seit… Nextcloud: Automatischer Upload auf Android verstehen weiterlesen
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Ransomware attacks are rare, yet catastrophic. On closer inspection, they differ from other malware infections: Given appropriate preparation, they do not need to be caught on first sight, but can be undone later. However, current ransomware protection follows the beaten path of anti-malware copying their fallacies. We show how the move to personal cloud storage allows for a paradigm shift in ransomware protection: exceptional attack isolation, perfect elimination of false positive alerts, and simplified recovery.
In this paper, we analyze the necessary operations for ransomware, extend existing ransomware taxonomy, and verify them against real-world malware samples. We analyze the costs and benefits of moving ransomware detection to versioned personal cloud storage. Our content, meta data, and behavior analysis paired with a `guilt by association' capability greatly improve the false positive rate, but the guided undo make this rate all but inconsequential. Even though the user now carries a new burden, it comes with clear responsibilities and benefits, while being freed from questionable duties, resulting in a win-win situation for user experience and detection quality.
@inproceedings{Held2018FightingRansomware,title = {Fighting Ransomware with Guided Undo},author = {Matthias Held and Marcel Waldvogel},url = {netfuture.ch/wp-content/upload… = {2018},date = {2018-09-18},urldate = {1000-01-01},booktitle = {Proceedings of NISK 2018},abstract = {Ransomware attacks are rare, yet catastrophic. On closer inspection, they differ from other malware infections: Given appropriate preparation, they do not need to be caught on first sight, but can be undone later. However, current ransomware protection follows the beaten path of anti-malware copying their fallacies. We show how the move to personal cloud storage allows for a paradigm shift in ransomware protection: exceptional attack isolation, perfect elimination of false positive alerts, and simplified recovery.In this paper, we analyze the necessary operations for ransomware, extend existing ransomware taxonomy, and verify them against real-world malware samples. We analyze the costs and benefits of moving ransomware detection to versioned personal cloud storage. Our content, meta data, and behavior analysis paired with a `guilt by association' capability greatly improve the false positive rate, but the guided undo make this rate all but inconsequential. Even though the user now carries a new burden, it comes with clear responsibilities and benefits, while being freed from questionable duties, resulting in a win-win situation for user experience and detection quality.},keywords = {Cloud Storage, Intrusion Detection, Ransomware, Replication, Security, Usability, Web Applications},pubstate = {published},tppubtype = {inproceedings}} #Security #IntrusionDetection #CloudStorage #Replication #WebApplications #Usability #Ransomware
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
Gestern und heute erschienen bei DNIP zwei Artikel, die ich hier zusammenfasse: Erstens «Chatkontrolle: Es geht weiter», welches einen Überblick über die Entwicklungen sowie eine historische Einordnung bietet, aber auch aufzeigt, wieso es eine schlechte Idee ist und was man stattdessen tun sollte.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
Gestern und heute erschienen bei DNIP zwei Artikel, die ich hier zusammenfasse: Erstens «Chatkontrolle: Es geht weiter», welches einen Überblick über die Entwicklungen sowie eine historische Einordnung bietet, aber auch aufzeigt, wieso es eine schlechte Idee ist und was man stattdessen tun sollte.
Den zweiten Artikel, «Depeschen aus der Zukunft: Rückblick auf das erste Jahr Chatkontrolle», lege ich all‘ jenen besonders ans Herzen, welche einen etwas leichteren Einstieg in die Materie wünschen. Oder einen Artikel, den man mit Freunden und Familie teilen kann. Ein unterhaltsamer, fiktiver Blick, wie das erste Jahr nach Einführung der Chatkontrolle ablaufen könnte. Mit durchaus wahrscheinlichen Pressemitteilungen und Artikeln. Unterhaltsam und lehrreich zugleich, dank Jeremiah Lee.
Das Ziel ist eigentlich ehrenwert: Kinder sollen offline und online besser geschützt werden. Dazu sollten, so die ursprüngliche Forderung, alle Anbieter von Kommunikationskanäle dazu verpflichtet werden, ihre gesamten Inhalte auf potenziell kinderausbeuterisches Material zu überprüfen:
Ob da Bilder von sexuell ausgebeuteten Kindern dabei seien oder ob sich irgendwelche alten Säcke an Unschuldige heran machen würden.
Diese Chatkontrolle sollte auf allen Kanälen erfolgen:
Emails
Posts und Direktnachrichten in sozialen Netzwerken
Chats in Onlinespielen
Instant Messengern wie den Facebook Messenger, WhatsApp, Signal, Threema, Telegram
Die Schwierigkeit
Während die Anbieter von ersteren Diensten oft den Klartext der Nachrichten sowieso zu sehen bekommen, ist dies bei Ende-zu-Ende-verschlüsselten Messengern schwierig. Und da liegt der Knackpunkt.
Denn: Es gibt gute Gründe, Ende-zu-Ende-verschlüsselt zu kommunizieren.
Persönliche Nachrichten im Familienkreis gehen niemanden etwas an. Punkt.
Firmeninternas, die ich mit Arbeitskolleg:innen tausche, ausserhalb der Firma auch nicht
Aber auch der Anbieter hat Vorteile: Falls doch einmal Sicherheitslücke passieren sollte oder Hacker in das System eindringen: Es können keine Daten gestohlen werden.
Win-win, eigentlich..
Die Schweiz, eine Insel? Nein.
Auch wenn die EU-Regelung zur Chatkontrolle nicht direkt auf die Schweiz anwendbar ist, sie wird viele Schweizer Kommunikationsbeziehungen betreffen.
Überwachungsfreundliche Kreise der Schweiz werden sowieso auf eine rasche Übernahme der EU-Regelung pochen.
Viele Online-Anbieter wie Meta mit WhatsApp oder Google inklusive YouTube machen sich nicht den Aufwand, zwischen EU und Schweiz zu trennen
Deshalb sollte auch die offizielle Schweiz aktiv werden.
Nicht ganz so unneigennützig
Die Geschichte der Chatkontrolle ist auch fest an die angeblich wohltätige Kinderschutzorganisation «Thorn» von Ashton Kutcher gebunden. Dieser traf sich mindestens ein Dutzend Mal mit Ylva Johansson & Co.
Neben dem Kinderschutz geht es da aber auch um knallharte Finanzinteressen: Diese Startup-ähnliche Organisation verkauft nämlich Software, mit der genau das gemacht werden kann, was die Chatkontrolle fordert. So ein Gesetz wäre eine Goldgrube. Ein Vorgehen, das als Regulatory Capture bekannt ist.
Die Folgen
Die Chatkontrolle würde also die Ende-zu-Ende-Verschlüsselung insofern unterminieren, dass jedes Bild oder Video (früher auch Text) gegen eine geheime Datenbank von Bildern abgeglichen werden würde. Allfällige Verstösse würden direkt der Polizei gemeldet.
Was in dieser Datenbank drin steht, das wird niemand genau prüfen können, bietet also Missbrauchspotenzial. Und auch wenn alles sauber ist: Falsche Verdächtigungen haben z.T. desaströse Folgen.
Aber auf Experten hört heute ja leider niemand mehr. Und schon gar nicht bei der Chatkontrolle.
Etwas, das beim Thema Chatkontrolle häufig untergeht: Damit soll auch eine universelle Altersüberprüfung eingeführt werden. Für alle Kommunikationsformen.
Doch Altersverifikation funktioniert nicht ohne Identifikation, also der Präsentation eines offiziellen Dokuments und damit einer Ausweispflicht. Und damit fallen bei allen, auch Feld-Wald-Wiesen-Dienstleistern höchst sensible Daten an.
«Aber wir können doch nicht einfach hilflos zusehen!» Genau. Aber für jedes komplexe Problem gibt es eine einfache, billige und schnelle Lösung, die aber falsch ist.
Verbesserung der Medienkompetenz (auch wegen KI und DeepFakes)
Verplempern wir also nicht die Zeit!
Leichtere Kost
Ich weiss, das ist alles etwas schwer verdaulich. Deshalb hat Jeremiah Lee die Chatkontrolle mal aus einem anderen Blickwinkel betrachtet:
Er hat aus fiktiven Agenturberichten, Pressemitteilungen und Zeitungsmeldungen die Geschichte des ersten Jahres nach der Einführung der Chatkontrolle beleuchtet. Wie könnte unsere Zukunft aussehen, wenn sie so umgesetzt würde?
Schaffe Aufmerksamkeit in den Sozialen Medien (u.a. mit dem Hashtag #Chatkontrolle)
Stosse Medienberichte an
Sprich mit deinen Diensteanbietern
Als Schweizer in der Schweiz
Kurzfristig wenig. In der Schweiz läuft Politik — insbesondere Digitalpolitik — vor allem über Organisationen, welche mit den entsprechenden Politiker:innen im Austausch stehen. Unterstütze eine digitalpolitisch aktive Organisation oder engagiere dich in ihr. Für beides ist eine Mitgliedschaft ein guter erster Schritt.
Manchmal gibt es auch Aufrufe aus der EU, die nicht an Wohnort oder Staatsbürgerschaft gekoppelt sind. Zur Zeit sind uns aber keine zum Thema Chatkontrolle bekannt.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz? Gestern und heute erschienen bei DNIP zwei Artikel, die ich… Chatkontrolle, die Schweiz und unsere Freiheit weiterlesen
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten.
«Saldo» meldet, dass die Swisscom die Gesundheitsplattform Evita.ch im November vom Netz. Bis dahin müssen die Patient:innen, die z.T. seit 2011 auf diese Cloudplattform vertrauten, ihre Gesundheitdossiers mit Diagnosen, Röntgenbildern und Arztberichten herunterladen. Kein einfaches Unterfangen, wie «Saldo» schreibt.
Wer sich also nicht regelmässig um den Zustand seiner Ablage für eBooks, Röntgenbilder und alles andere kümmert, dürfte irgendwann eine Überraschung erleben. Für viele allerdings dürfte der allfällige Verlust von eBooks einfacher zu ersetzen sein als der von medizinische Daten.
Am schlimmsten dürfte es aber für Cloud-Nutzer:innen sein, wenn ihre persönlichen Daten in der Konkursmasse des Cloudanbieters landen und an den Meistbietenden verscherbelt werden, wie das in anderen Fällen schon geschah. Zum Glück ist das in der Schweiz nicht zu erwarten und auch in den USA nicht mehr so leicht wie früher; vollständig auszuschliessen ist es aber nicht.
Clouddienste schienen «fire and forget» zu sein: Man lacht sich die einmal an und dann muss man sich um nichts mehr kümmern.
Ende des Dienstes
Aber auch hier zeigt die Realität: Sobald der Anbieter kein Geld oder keine Lust mehr hat, hört der Dienst möglicherweise sehr kurzfristig zu existieren auf. Ohne zusätzliches, eigenes Backup sind die Daten dann unter Umständen für immer und unwiederbringlich verloren.
Fehler passieren überall
Zwischendurch löschen Cloudanbieter auch aus Fehlern Kundendaten. Ein Backup empfiehlt sich auch deshalb:
Eine weitere Möglichkeit ist, wenn der Cloudanbieter sich plötzlich entscheidet, dass man gegen seine Nutzungsbedingungen verstossen habe. Und das Konto dann einfach sperrt oder löscht. Gerade bei den Gratisanbietern hat man als Enduser oft gar keine Kontaktmöglichkeit und selbst wenn, die Nutzungsbedingungen sind meist so ausgestaltet, dass der Cloudanbieter alleine entscheiden darf.
So blieb auch in diesem Fall das Konto gesperrt, alle Mails, Daten, Kontakte, Termine unerreichbar. Und das, obwohl die Ermittlungsbehörden bestätigten, dass es in dem Fall um eine medizinische Nachfrage zwischen den Eltern des gemeinsamen Kindes zu einer Gesundheitsfrage ging.
IT-Sicherheit
Aber es muss nicht immer die Schuld des Anbieters sein: Vielleicht knackt jemand Ihr Passwort und löscht dann die Daten aktiv. Deshalb ist es hilfreich, wichtige Daten auch offline zu haben.
Regelmässig den Status aller Cloud-Anbieter überprüfen, bei denen man wichtige Daten hat. Da das meist zu mühsam ist und noch ein Restrisiko beinhaltet, ist Folgendes vorzuziehen:
Ein eigenes Backup aller wichtigen Daten machen, die bei Cloud-Anbietern lagern.
Am besten automatisiert man das, falls der Cloudspeicher eine Synchronisationsfunktion anbietet. (Dies ist leider bei weitem nicht überall der Fall, kann aber ein Kriterium bei der Auswahl sein, falls man eine Wahl hat.)
[Änderungen 2024-09-10: Der Artikel wurde stark erweitert]
Weitere Lektüre
Randall Munroe: Digital Data, 2016-05-20. [neu 2024-09-27] Comic, der die scheinbare Unveränderlichkeit aufbewahrter digitaler Daten aufs Korn nimmt.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten. «Saldo» meldet, dass die Swisscom die Gesundheitsplattform Evita.ch im November vom Netz. Bis dahin müssen die Patient:innen, die z.T. seit 2011 auf diese Cloudplattform… Cloudspeicher sind nicht (immer) für die Ewigkeit weiterlesen
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Korrektur: In einer ersten Version des Artikels haben wir etwas undifferenziert von Kinderpornografie geschrieben. Dank Hinweisen aus der Leserschaft (vielen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
Bei der Chatkontrolle geht es darum, dass u.a. die Ende-zu-Ende-Verschlüsselung, die wir gewohnt sind, wenn wir Chatnachrichten austauschen, zukünftig durch eine neue EU-Verordnung geschwächt werden soll. Dies wird ziemlich sicher auch die Schweiz betreffen.
Die gesamten Zusammenhänge sind sehr kompliziert, laufen aber darauf hinaus, dass Verschlüsselung nicht nur für „gute Zwecke“ aufgebrochen werden kann. Nicht ohne sie auch für Missbräuche aller Art zu öffnen.
Jeremiah Lee hat deshalb — statt die Fakten nochmals aufzuschreiben — fiktive Zeitungsschnipsel au
... mehr anzeigen
Chatkontrolle: Schöner als Fiktion
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
Bei der Chatkontrolle geht es darum, dass u.a. die Ende-zu-Ende-Verschlüsselung, die wir gewohnt sind, wenn wir Chatnachrichten austauschen, zukünftig durch eine neue EU-Verordnung geschwächt werden soll. Dies wird ziemlich sicher auch die Schweiz betreffen.
Die gesamten Zusammenhänge sind sehr kompliziert, laufen aber darauf hinaus, dass Verschlüsselung nicht nur für „gute Zwecke“ aufgebrochen werden kann. Nicht ohne sie auch für Missbräuche aller Art zu öffnen.
Jeremiah Lee hat deshalb — statt die Fakten nochmals aufzuschreiben — fiktive Zeitungsschnipsel aus einer Zukunft erstellt, wie sie nach der Einführung der Chatkontrolle aussehen könnte.
Seine Geschichte, von mir auf deutsch übersetzt, bietet viele emotionale Momente voller Mitleid, Heldentum, aber auch Schadenfreude.
Schaffe Aufmerksamkeit in den Sozialen Medien (u.a. mit dem Hashtag #Chatkontrolle)
Stosse Medienberichte an
Sprich mit deinen Diensteanbietern
Als Schweizer in der Schweiz
Kurzfristig wenig. In der Schweiz läuft Politik — insbesondere Digitalpolitik — vor allem über Organisationen, welche mit den entsprechenden Politiker:innen im Austausch stehen. Unterstütze eine digitalpolitisch aktive Organisation oder engagiere dich in ihr. Für beides ist eine Mitgliedschaft ein guter erster Schritt.
Manchmal gibt es auch Aufrufe aus der EU, die nicht an Wohnort oder Staatsbürgerschaft gekoppelt sind. Zur Zeit sind uns aber keine zum Thema Chatkontrolle bekannt.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist. Bei der Chatkontrolle geht es darum, dass u.a. die Ende-zu-Ende-Verschlüsselung, die wir gewohnt… Chatkontrolle: Schöner als Fiktion weiterlesen
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
Gestern und heute erschienen bei DNIP zwei Artikel, die ich hier zusammenfasse: Erstens «Chatkontrolle: Es geht weiter», welches einen Überblick über die Entwicklungen sowie eine historische Einordnung bietet, aber auch aufzeigt, wieso es eine schlechte Idee ist und was man stattdessen tun sollte.
Den zweiten Artikel, «Depeschen aus der Zukunft: Rückblick auf das erste Jahr Chatkontrolle», lege ich all‘ jenen besonders ans Herzen, welche einen etwas leichteren Einstieg in die Materie wünschen. Oder einen Artikel, den man mit Freunden und Familie teilen kann. Ein unterhaltsamer, fiktiver Blick, wie das erste Jahr nach Einführung der Chatkontrolle ablaufen könnte. Mit durchaus wahrscheinlichen Pressemitteilungen und Artikeln. Unterhaltsam und lehrreich zugleich, dank Jeremiah Lee.
Das Ziel ist eigentlich ehrenwert: Kinder sollen offline und online besser geschützt werden. Dazu sollten, so die ursprüngliche Forderung, alle Anbieter von Kommunikationskanäle dazu verpflichtet werden, ihre gesamten Inhalte auf potenziell kinderausbeuterisches Material zu überprüfen:
Ob da Bilder von sexuell ausgebeuteten Kindern dabei seien oder ob sich irgendwelche alten Säcke an Unschuldige heran machen würden.
Diese Chatkontrolle sollte auf allen Kanälen erfolgen:
Emails
Posts und Direktnachrichten in sozialen Netzwerken
Chats in Onlinespielen
Instant Messengern wie den Facebook Messenger, WhatsApp, Signal, Threema, Telegram
Die Schwierigkeit
Während die Anbieter von ersteren Diensten oft den Klartext der Nachrichten sowieso zu sehen bekommen, ist dies bei Ende-zu-Ende-verschlüsselten Messengern schwierig. Und da liegt der Knackpunkt.
Denn: Es gibt gute Gründe, Ende-zu-Ende-verschlüsselt zu kommunizieren.
Persönliche Nachrichten im Familienkreis gehen niemanden etwas an. Punkt.
Firmeninternas, die ich mit Arbeitskolleg:innen tausche, ausserhalb der Firma auch nicht
Aber auch der Anbieter hat Vorteile: Falls doch einmal Sicherheitslücke passieren sollte oder Hacker in das System eindringen: Es können keine Daten gestohlen werden.
Win-win, eigentlich..
Die Schweiz, eine Insel? Nein.
Auch wenn die EU-Regelung zur Chatkontrolle nicht direkt auf die Schweiz anwendbar ist, sie wird viele Schweizer Kommunikationsbeziehungen betreffen.
Überwachungsfreundliche Kreise der Schweiz werden sowieso auf eine rasche Übernahme der EU-Regelung pochen.
Viele Online-Anbieter wie Meta mit WhatsApp oder Google inklusive YouTube machen sich nicht den Aufwand, zwischen EU und Schweiz zu trennen
Deshalb sollte auch die offizielle Schweiz aktiv werden.
Nicht ganz so unneigennützig
Die Geschichte der Chatkontrolle ist auch fest an die angeblich wohltätige Kinderschutzorganisation «Thorn» von Ashton Kutcher gebunden. Dieser traf sich mindestens ein Dutzend Mal mit Ylva Johansson & Co.
Neben dem Kinderschutz geht es da aber auch um knallharte Finanzinteressen: Diese Startup-ähnliche Organisation verkauft nämlich Software, mit der genau das gemacht werden kann, was die Chatkontrolle fordert. So ein Gesetz wäre eine Goldgrube. Ein Vorgehen, das als Regulatory Capture bekannt ist.
Die Folgen
Die Chatkontrolle würde also die Ende-zu-Ende-Verschlüsselung insofern unterminieren, dass jedes Bild oder Video (früher auch Text) gegen eine geheime Datenbank von Bildern abgeglichen werden würde. Allfällige Verstösse würden direkt der Polizei gemeldet.
Was in dieser Datenbank drin steht, das wird niemand genau prüfen können, bietet also Missbrauchspotenzial. Und auch wenn alles sauber ist: Falsche Verdächtigungen haben z.T. desaströse Folgen.
Aber auf Experten hört heute ja leider niemand mehr. Und schon gar nicht bei der Chatkontrolle.
Etwas, das beim Thema Chatkontrolle häufig untergeht: Damit soll auch eine universelle Altersüberprüfung eingeführt werden. Für alle Kommunikationsformen.
Doch Altersverifikation funktioniert nicht ohne Identifikation, also der Präsentation eines offiziellen Dokuments und damit einer Ausweispflicht. Und damit fallen bei allen, auch Feld-Wald-Wiesen-Dienstleistern höchst sensible Daten an.
«Aber wir können doch nicht einfach hilflos zusehen!» Genau. Aber für jedes komplexe Problem gibt es eine einfache, billige und schnelle Lösung, die aber falsch ist.
Verbesserung der Medienkompetenz (auch wegen KI und DeepFakes)
Verplempern wir also nicht die Zeit!
Leichtere Kost
Ich weiss, das ist alles etwas schwer verdaulich. Deshalb hat Jeremiah Lee die Chatkontrolle mal aus einem anderen Blickwinkel betrachtet:
Er hat aus fiktiven Agenturberichten, Pressemitteilungen und Zeitungsmeldungen die Geschichte des ersten Jahres nach der Einführung der Chatkontrolle beleuchtet. Wie könnte unsere Zukunft aussehen, wenn sie so umgesetzt würde?
Schaffe Aufmerksamkeit in den Sozialen Medien (u.a. mit dem Hashtag #Chatkontrolle)
Stosse Medienberichte an
Sprich mit deinen Diensteanbietern
Als Schweizer in der Schweiz
Kurzfristig wenig. In der Schweiz läuft Politik — insbesondere Digitalpolitik — vor allem über Organisationen, welche mit den entsprechenden Politiker:innen im Austausch stehen. Unterstütze eine digitalpolitisch aktive Organisation oder engagiere dich in ihr. Für beides ist eine Mitgliedschaft ein guter erster Schritt.
Manchmal gibt es auch Aufrufe aus der EU, die nicht an Wohnort oder Staatsbürgerschaft gekoppelt sind. Zur Zeit sind uns aber keine zum Thema Chatkontrolle bekannt.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz? Gestern und heute erschienen bei DNIP zwei Artikel, die ich… Chatkontrolle, die Schweiz und unsere Freiheit weiterlesen
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
«QualityLand» sagt die Gegenwart voraus und erklärt sie
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
«QualityLand» sagt die Gegenwart voraus und erklärt sie
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Gleich im Vorspann taucht schon die abgebildete Textpassage auf, sorgsam versteckt zwischen gerne übersprungenen Informationen wie ISBN und Urheberrechtsvermerk. Sie zeigen schon an, dass dies ein Buch ist, das auf die Leser:innen zugeht und sie in ihren Bann zieht. Ausschnitt aus dem bei „normalen Büchern“ langweiligen Vorspann, der sonst so spannende Dinge wie ISBN, Publikationsdaten und Urheberrecht enthält und gerne überblättert wird.
Themen
Ohne zu viel über den Inhalt verraten zu wollen, versuche ich einige der angeschnittenen, prophezeiten und vor allem unterhaltsam-realistisch erklärten Themen zu benennen, die das Buch ausmachen:
Diese Informationen sind alle eingebettet in eine leichte, unterhaltsame und packende Geschichte.
Empfehlung
Wer die Hintergründe der obigen Themen verstehen will, hinter ihre Kulissen blicken will und auch (eine mögliche) Auswirkung auf unsere Gesellschaft sehen möchte, dem ist dieses an Aktualität kaum zu übertreffende Buch wärmstens ans Herz gelegt.
Auch (oder ganz besonders) sieben Jahre nach seiner Erstveröffentlichung.
Also nichts wie hin zum nächsten Buchladen (oder zu einem Kollegen oder einer Freundin, die es schon gelesen hat) und dort nach dem Buch fragen. Und es genüsslich lesen und dabei die Gegenwart etwas besser verstehen lernen.
Oh, Podcasts!
Gerade frisch [2024-06-14] hereingekommen: Es gibt eine Podcast-Kurzserie mit sechs Episoden zum Thema «Science Fiction trifft auf Realität», die sich jeweils einem Thema aus QualityLand annehmen:
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters mit Aussagen, die nicht unwidersprochen bleiben können.
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen), Bilder (auch die peinlichen) und Kommentare (auch die blöden Sprüche) auf Facebook und Instagram, die Interaktionen mit dem KI-Chatbot «Meta… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen» gewesen sei. Und nun könne «man gratis oder für eine Gebühr von etwa 20 Dollar pro Monat jede Zeitung auf… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der mittels falscher Botschaften auf Klicks abzielte. Aber beim Versuch, einen wahrheitsgemässen Bericht über ein EuGH-Urteil gegen Facebook zu posten, wurde dieser unter dem Vorwand, ich würde Spam verbreiten, gelöscht. Was ist passiert?
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz viele Leute ganz wenig Ahnung haben, wie die Datenflüsse bei KI-Chatbots wie ChatGPT etc. eigentlich ablaufen. Deshalb habe ich für… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
Bei der Chatkontrolle geht es darum, dass u.a. die Ende-zu-Ende-Verschlüsselung, die wir gewohnt sind, wenn wir Chatnachrichten austauschen, zukünftig durch eine neue EU-Verordnung geschwächt werden soll. Dies wird ziemlich sicher auch die Schweiz betreffen.
Die gesamten Zusammenhänge sind sehr kompliziert, laufen aber darauf hinaus, dass Verschlüsselung nicht nur für „gute Zwecke“ aufgebrochen werden kann. Nicht ohne sie auch für Missbräuche aller Art zu öffnen.
Jeremiah Lee hat deshalb — statt die Fakten nochmals aufzuschreiben — fiktive Zeitungsschnipsel aus einer Zukunft erstellt, wie sie nach der Einführung der Chatkontrolle aussehen könnte.
Seine Geschichte, von mir auf deutsch übersetzt, bietet viele emotionale Momente voller Mitleid, Heldentum, aber auch Schadenfreude.
Schaffe Aufmerksamkeit in den Sozialen Medien (u.a. mit dem Hashtag #Chatkontrolle)
Stosse Medienberichte an
Sprich mit deinen Diensteanbietern
Als Schweizer in der Schweiz
Kurzfristig wenig. In der Schweiz läuft Politik — insbesondere Digitalpolitik — vor allem über Organisationen, welche mit den entsprechenden Politiker:innen im Austausch stehen. Unterstütze eine digitalpolitisch aktive Organisation oder engagiere dich in ihr. Für beides ist eine Mitgliedschaft ein guter erster Schritt.
Manchmal gibt es auch Aufrufe aus der EU, die nicht an Wohnort oder Staatsbürgerschaft gekoppelt sind. Zur Zeit sind uns aber keine zum Thema Chatkontrolle bekannt.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist. Bei der Chatkontrolle geht es darum, dass u.a. die Ende-zu-Ende-Verschlüsselung, die wir gewohnt… Chatkontrolle: Schöner als Fiktion weiterlesen
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Am 13. Juni findet ein Konzert mit Paul Kalkbrenner auf dem Friedrichsplatz statt. Neben den Konzertbesuchern werden sich auch viele Menschen außerhalb des Konzertgeländes einfinden. Um eine sichere Durchführung zu ermöglichen, sind daher einige verkehrli
Am 13. Juni findet ein Konzert mit Paul Kalkbrenner auf dem Friedrichsplatz statt. Neben den Konzertbesuchern werden sich auch viele Menschen außerhalb des Konzertgeländes einfinden. Um eine sichere Durchführung zu ermöglichen, sind daher einige verkehrliche Einschränkungen erforderlich.
Die Straße Friedrichsplatz wird am Veranstaltungstag ab 12 Uhr zwischen Steinweg, Königsstraße und Parkplatz Karlsplatz für den Verkehr gesperrt. Die Einfahrt in diesen Bereich ist nicht mehr möglich. Fahrzeuge, die später die Flächen um den Parkplatz Karlsplatz verlassen möchten, müssen dies in Richtung Fünffensterstraße tun.
Steinweg bzw. Frankfurter Straße werden ab 14 Uhr zum Aufbau von Sicherheitseinrichtungen zwischen Du-Ry-Straße und Fünffensterstraße (Trompete) gesperrt. Der Auedamm ist über die Du-Ry-Straße dauerhaft erreichbar. Die Ausfahrt aus der Obersten Gasse und der Straße Friedrichsplatz (AOK) auf den Steinweg ist dann nicht mehr möglich.
... mehr anzeigen
Am 13. Juni findet ein Konzert mit Paul Kalkbrenner auf dem Friedrichsplatz statt. Neben den Konzertbesuchern werden sich auch viele Menschen außerhalb des Konzertgeländes einfinden. Um eine sichere Durchführung zu ermöglichen, sind daher einige verkehrliche Einschränkungen erforderlich.
Die Straße Friedrichsplatz wird am Veranstaltungstag ab 12 Uhr zwischen Steinweg, Königsstraße und Parkplatz Karlsplatz für den Verkehr gesperrt. Die Einfahrt in diesen Bereich ist nicht mehr möglich. Fahrzeuge, die später die Flächen um den Parkplatz Karlsplatz verlassen möchten, müssen dies in Richtung Fünffensterstraße tun.
Steinweg bzw. Frankfurter Straße werden ab 14 Uhr zum Aufbau von Sicherheitseinrichtungen zwischen Du-Ry-Straße und Fünffensterstraße (Trompete) gesperrt. Der Auedamm ist über die Du-Ry-Straße dauerhaft erreichbar. Die Ausfahrt aus der Obersten Gasse und der Straße Friedrichsplatz (AOK) auf den Steinweg ist dann nicht mehr möglich.
Zur Umfahrung des Veranstaltungsgeländes werden sowohl aus Richtung Altmarkt als auch aus Richtung Weinberg Umleitungen ausgeschildert.
Auf dem Parkplatz Karlsplatz werden zusätzliche Parkmöglichkeiten für Behinderte und Taxenplätze geschaffen. Diese Plätze stehen am 13. Juni ab 10 Uhr anderweitig nicht zur Verfügung.
Die Straßenverkehrsbehörde bittet die Verkehrsteilnehmenden, diese Veranstaltung bei der Planung ihrer Fahrten zu berücksichtigen und den Bereich möglichst weiträumig zu umfahren. Wegen der beschränkten Anzahl an öffentlichen Parkplätzen wird die Benutzung öffentlicher Verkehrsmittel dringend empfohlen.
In February 2025, I presented a topic at FOSDEM in Brussels entitled [url=https://spectra.video/w/xwCSYfZh1mJY64zJ9GngbE]The Fediverse is Quiet — Let's Fix That![/url] In it, I outlined several "hard problems" endemic to the fediverse, focusing on one par
In February 2025, I presented a topic at FOSDEM in Brussels entitled The Fediverse is Quiet — Let's Fix That! In it, I outlined several "hard problems" endemic to the fediverse, focusing on one particular complaint that is often voiced by newcomers and oldtimers alike; that the fediverse is quiet because you don't ever see the full conversation due to some design considerations made at the protocol level.
Since then there have been a number of approaches toward solving this problem, and it is worth spending the time to review the two main approaches and their pros and cons.
N.B. I have a conflict of interest in this subject as I am a proponent of one of the approaches (FEP 7888/f228) outlined below. This article should be considered an opinion piece.
Crawling of the reply tree
First discussed 15 April 2024 and merged into Mastodon core on 12 Mar 2025,
... mehr anzeigen
In February 2025, I presented a topic at FOSDEM in Brussels entitled The Fediverse is Quiet — Let's Fix That! In it, I outlined several "hard problems" endemic to the fediverse, focusing on one particular complaint that is often voiced by newcomers and oldtimers alike; that the fediverse is quiet because you don't ever see the full conversation due to some design considerations made at the protocol level.
Since then there have been a number of approaches toward solving this problem, and it is worth spending the time to review the two main approaches and their pros and cons.
N.B. I have a conflict of interest in this subject as I am a proponent of one of the approaches (FEP 7888/f228) outlined below. This article should be considered an opinion piece.
Crawling of the reply tree
First discussed 15 April 2024 and merged into Mastodon core on 12 Mar 2025, jonny@neuromatch.social pioneered this approach to "fetch all replies" by crawling the entirety of the reply tree. When presented with an object, the Mastodon service would make a call to the context endpoint, and if supported(?) would start to crawl the reply tree via the replies collection, generating a list of statuses to ingest.
This approach is advantageous for a number of reasons, most notably that inReplyTo and replies are properties that are ubiquitous among nearly all implementations and their usage tends not to differ markedly from one another.
N.B. I am not certain whether the service would crawl *up* the inReplyTo chain first, before expanding downwards, or whether context is set in intermediate and leaf nodes that point to the root-level object.
One disadvantage is this approach's susceptibility to network fragility. If a single node in the reply tree is temporarily or permanently inaccessible, then every branch of the reply tree emanating from that node is inaccessible as well.
Another disadvantage is the reliance on intermediate nodes for indexing the reply tree. The amount of work (CPU time, network requests, etc.) scales linearly with the size of the reply tree, and more importantly discoverability of new branches of the reply tree necessitate a re-crawl of the entire reply tree. For fast-growing trees, this may not net you a complete tree depending on when you begin crawling.
Lastly, in the ideal case, a full tree crawl would net you a complete tree with all branches and leaves. Great!
Mastodon is the sole implementor of this approach, although it is not proprietary or special to Mastodon by any means.
FEP 7888/f228, or FEP 171b/f228
Summarized by silverpill@mitra.social in FEP f228 (as an extension of FEPs 7888 by trwnh@mastodon.social and 171b by mikedev@fediversity.site), this conversational backfill approach defines the concept of a "context owner" as referenced by compatible nodes in the tree. This context owner returns an OrderedCollection containing all members of the context.
A major advantage of this approach centers around the pseudo-centralization provided by the context owner. This "single source of truth" maintains the index of objects (or activities) and supplies their IDs (or signed full activities) on request. Individual implementations then retrieve the objects (or activities). It is important to note that should the context owner become inaccessible, then backfill is no longer possible to achieve. On the other hand, a dead or unresponsive intermediate node will not affect the ability of the downstream nodes to be processed.
The context owner is only able to respond with a list of objects/activities that it knows about. This does mean that downstream branches that do not propagate upwards back to the root will not be known to the context owner.
Additionally, consumers are also able to query the context owner for an index without needing to crawl the entire reply tree. The ability to de-duplicate objects at this level reduces the overall number of network requests (and CPU time from parsing retrieved objects) required, making this approach relatively more efficient.
Additional synchronization methods (via id hashsums) could be leveraged to reduce the number of network calls further.
A number of implementors follow this approach to backfill, including NodeBB, Discourse, WordPress, Frequency, Mitra, and Streams. Additional implementors like Lemmy and Piefed have expressed interest.
One technical hurdle with this approach is technical buy-in from implementors themselves. Unlike crawling a reply tree, this approach only works when the context owner supports it, and thus should be combined with various other backfill strategies as part of an overall conversational backfill solution.
Conclusion
2025 is shaping up to be an exciting year for resolving some of the harder technical and social problems endemic to the open social web/fediverse. It is this author's opinion that we may be able to make good headway towards resolving the "quiet fedi" problem with these two approaches.
It is important to note that neither approach conflicts with the other. Implementations are free to utilise multiple approaches to backfill a conversation. Both methods presented here have pros and cons, and a combination of both (or more) could be key.
Feel free to use this as a starting point for discussions regarding either approach. Does one speak to you more than the other? Are the cons of either approach significant enough for you to disregard it? What other approaches or changes could you recommend?
There are a number of "hard problems" facing ActivityPub development today. One of which is the oft-repeated refrain that "the fediverse is quiet". This is most often experienced when any given conversation might not be seen as the entire conversation. Julian explains why this is, and what the Forums and Threaded Discussions task for is planning in order to address this one "hard problem".
Talk presented at the Social Web After Hours event held on 2 February 2025 at HackerSpace Brussels (HSBXL)
I don't fully agree with this statement, because these "threading paradigms" suggest two different solutions to the problem of moderation. If the OP is the single source of truth, they can moderate the entire conversation (represented by context collection: Streams). If not, then each reply is independent and authors moderate only the direct replies (represented by replies collections: GoToSocial).
In theory two solutions can be combined, but at the cost of significantly increased complexity.
We're using both here. There's an icon to let you know that you're looking at an actual conversation -- vs. a collection of microblog posts that once had a common ancestor.
The differences in signal/noise ratios between the two styles are quite dramatic. Neither is better or worse than the other. They are different. And they can both co-exist.
Also, conversation containers has the ability to "reply to all" as well as "reply to sender". Microblogs don't have this concept, and instead "reply to all" means "send to all your followers, instead of a reply directed to the actual conversation audience.
Additionally, consumers are also able to query the context owner for an index without needing to crawl the entire reply tree.
While this is certainly true, when conversation containers are working correctly, you never need to backfill a conversation. It is all delivered to you.
Dass das Bürgergeld reformiert werden soll, ist beschlossene Sache. Doch die Umsetzung birgt Konfliktpotenzial zwischen Union und SPD. CDU-Generalsekretär Linnemann fordert eine umfassende Reform und sogar den Stopp von Zahlungen.
Zur Perspektive: von den ca. 2.3 Mrd. Euro, die uns Spahns Maskendeals voraussichtlich noch kosten werden, hätte man gut 40 Jahre Hartz IV Betrug abfedern können (oder knapp eine Woche Steuerhinterziehung)
Microsoft hat zwei Handhelds mit Xbox-Branding vorgestellt: Beide Modelle kommen mit einer neuen Bedienoberfläche, die sparsamer als Standard-Windows sein soll.
Das Spannendste an diesem Handheld finde ich den neuen Chip, der erstmals verbaut wird. Der Ryzen AI Z2 Extreme wurde auch dieses Wochenende vorgestellt.
Der Rest scheint mir ein normales Windows Handheld mit neuer UI zu sein.
AMD stellt seine eigens für Handheld-PCs vorgesehene Ryzen Z2 Series noch breiter auf und erweitert diese nun mit dem neuen Ryzen AI Z2 Extreme sowohl um ein Spitzenmodell mit KI-Engine als auch mit dem Ryzen Z2 A um eine Einsteigerlösung.
New design for video management and publication pages, rework of the display and filter system for sensitive content… this new version is ready for the summer!
PeerTube is a decentralized and federated alternative to YouTube. The goal of PeerTube is not to replace YouTube but to offer a viable alternative using the strength of ActivityPub and P2P protocols.
Being built on ActivityPub means PeerTube is able to be part of a bigger social network, the Fediverse (the Federated Universe). On the other hand, P2P technologies help PeerTube to solve the issue of money, inbound with all streaming platform : With PeerTube, you don't need to have a lot of bandwidth available on your server to host a PeerTube platform because all users (which didn't disable the feature) watching a video on PeerTube will be able to share this sam
New design for video management and publication pages, rework of the display and filter system for sensitive content… this new version is ready for the summer!
PeerTube is a decentralized and federated alternative to YouTube. The goal of PeerTube is not to replace YouTube but to offer a viable alternative using the strength of ActivityPub and P2P protocols.
Being built on ActivityPub means PeerTube is able to be part of a bigger social network, the Fediverse (the Federated Universe). On the other hand, P2P technologies help PeerTube to solve the issue of money, inbound with all streaming platform : With PeerTube, you don't need to have a lot of bandwidth available on your server to host a PeerTube platform because all users (which didn't disable the feature) watching a video on PeerTube will be able to share this same video to other viewers.
If you are curious about PeerTube, we can't recommend you enough to check the official website to learn more about the project. If after that you want to try to use PeerTube as a content creator, you can try to find a platform available there to register or host yourself your own PeerTube platform on your own server.
The development of PeerTube is actually sponsored by Framasoft, a french non-for-profit popular educational organization, a group of friends convinced that an emancipating digital world is possible, convinced that it will arise through actual actions on real world and online with and for you!
If you want to contribute to PeerTube, feel free to:
Folks, we've started a crowdfunding campaign to help to improve our PeerTube mobile app and bring PeerTube to everyone's pocket! You can learn more about the campaign on the dedicated website!
A free software to take back control of your videos! With more than 600,000 hosted videos, viewed more than 70 millions times and 150,000 users, PeerTube is the decentralized free software alternative to videos platforms developed by Framasoft
Spielen hält offenbar jung: Während andere mit Mitte 80 schauen, ob sie sich noch alles merken können, hat Tom Werneck eine 500 Seiten lange Doktorarbeit übe...
From what I saw, it's more or less just a new app that starts when windows boots up. Plus some improvements like "the controller now works in UAC prompts" - which tells me that they didn't really learn anything.
You know a reason why Linux with Steam runs just way better than win? Because they use game scope, therefore not needing to render and run all of the desktop.
So what does Microsoft do? They release a new app on top of the already bloated desktop.
Hoping to attend FediCon this year! It's fantastic that it's in Canada, which makes it much more convenient for the North American crowd than FOSDEM.
I usually do some pretty technical topics, but would something more high level be better?
Earlier this
Hoping to attend FediCon this year! It's fantastic that it's in Canada, which makes it much more convenient for the North American crowd than FOSDEM.
I usually do some pretty technical topics, but would something more high level be better?
Earlier this year I presented a talk on a way to fix the "quiet fedi" problem. Maybe I'll fix federated private group chats this time around :smiling_imp:
Hoping to attend FediCon this year! It's fantastic that it's in Canada, which makes it much more convenient for the North American crowd than FOSDEM.
I usually do some pretty technical topics, but would something more high level be better?
Earlier this year I presented a talk on a way to fix the "quiet fedi" problem. Maybe I'll fix federated private group chats this time around :smiling_imp:
There are a number of "hard problems" facing ActivityPub development today. One of which is the oft-repeated refrain that "the fediverse is quiet". This is most often experienced when any given conversation might not be seen as the entire conversation. Julian explains why this is, and what the Forums and Threaded Discussions task for is planning in order to address this one "hard problem".
Talk presented at the Social Web After Hours event held on 2 February 2025 at HackerSpace Brussels (HSBXL)
letztlich wird es egal sein, da du im Fediverse überall zugreifen kannst. Ich würde mich versuchen, thematisch auszuwählen.
Ich finde zum Beispiel digitalcourage.video sehr cool, weil meine Themen #Datenschutz und #Informationssicherheit für Einsteiger dort vertreten werden.
Grammatik wird heute nicht mehr explizit analysiert. Nur via umfangreiche, undurchsichtige Statistiken.
Der Trainingsablauf, ganz grob. Mehr dazu hier.
Verschiedene Datenverarbeitungen und -speicherungen. Mehr dazu hier.
Logarithmische Darstellung der Prozessorentwicklung, d.h. zwischen zwei Marken auf der Y-Achse steht jeweils ein Faktor 10. Wir sehen, dass ab ca. 2005 die Frequenz kaum mehr zugenommen hat, dafür die Anzahl logischer Cores («Teilprozessoren») die innerhalb eines Chips vorhanden sind. Leistung nimmt nur noch langsam zu, sowohl was die Rechenleistung eines Programmthreads betrifft als auch den Stromverbrauch. Die Entwicklung der Anzahl Transistoren liess sich vom Jahr 2005 nicht einschüchtern und wächst in unveränderter Geschwindigkeit. (Datenquelle, Inspiration, Englische Version)
![Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,](https://marcel-waldvogel.ch/wp-content/uploads/2025/06/Phishingmail-annotiert.png "Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,")
![Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,](https://marcel-waldvogel.ch/wp-content/uploads/2025/06/Phishing-Schweizerdeutsch-Mouseover-Pfeil.png "Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,")
![Hier ist eine Analyse der Anzeichen für und gegen Phishing in der genannten E-Mail: Anzeichen FÜR Phishing Absenderadresse verdächtig Die Adresse „[ANONYMISIERT]@webuser.mail.hostpoint.ch“ wirkt unecht und ist nicht die offizielle Support-Adresse von Hostpoint. Seriöse Firmen nutzen in der Regel Adressen wie support@hostpoint.ch. Betreff mit Rechtschreibfehlern „Erneuere Sie lhre [ANONYMISIERTE DOMAIN] – Letzti Warnig“ enthält mehrere Fehler („Erneuere Sie“, „Letzti Warnig“), was bei offiziellen Mails äußerst ungewöhnlich ist. Viele Rechtschreib- und Grammatikfehler Die Mail ist voller Fehler und wirkt wie eine maschinelle oder schlecht übersetzte Nachricht („Sehr geehrti Kundin, sehr geehrte Kunde“, „Mir möchten Sie informiere“, „D'Erneuerigsgebühr betrait CHF 02.99“ usw.). Ungewöhnlich niedriger Betrag Die Gebühr von „CHF 02.99“ ist auffällig niedrig für eine Domain-Erneuerung und dient vermutlich dazu, Misstrauen zu vermeiden und schnelle Zahlung zu provozieren. Dringlichkeit und Drohung Es wird Druck aufgebaut („so schnäll wie möglich“, „Deaktivierig z'verhindere“, „Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert“), was ein typisches Merkmal von Phishing ist. Aufforderung zum Klick auf einen Link „Domain jetzt erneuere“ ist vermutlich ein Link, der zu einer gefälschten Seite führt, auf der Ihre Zahlungsdaten abgegriffen werden sollen. Fehlende persönliche Ansprache Es wird keine persönliche Anrede verwendet, obwohl Hostpoint als Domain-Provider die Kundendaten kennen sollte. Fehlende oder unvollständige rechtliche Hinweise Kein vollständiges Impressum, keine Kontaktdaten, keine echte Signatur.](https://marcel-waldvogel.ch/wp-content/uploads/2025/06/Phishinganalyse-Perplexity-Hostpoint-Teil-1.png "Hier ist eine Analyse der Anzeichen für und gegen Phishing in der genannten E-Mail: Anzeichen FÜR Phishing Absenderadresse verdächtig Die Adresse „[ANONYMISIERT]@webuser.mail.hostpoint.ch“ wirkt unecht und ist nicht die offizielle Support-Adresse von Hostpoint. Seriöse Firmen nutzen in der Regel Adressen wie support@hostpoint.ch. Betreff mit Rechtschreibfehlern „Erneuere Sie lhre [ANONYMISIERTE DOMAIN] – Letzti Warnig“ enthält mehrere Fehler („Erneuere Sie“, „Letzti Warnig“), was bei offiziellen Mails äußerst ungewöhnlich ist. Viele Rechtschreib- und Grammatikfehler Die Mail ist voller Fehler und wirkt wie eine maschinelle oder schlecht übersetzte Nachricht („Sehr geehrti Kundin, sehr geehrte Kunde“, „Mir möchten Sie informiere“, „D'Erneuerigsgebühr betrait CHF 02.99“ usw.). Ungewöhnlich niedriger Betrag Die Gebühr von „CHF 02.99“ ist auffällig niedrig für eine Domain-Erneuerung und dient vermutlich dazu, Misstrauen zu vermeiden und schnelle Zahlung zu provozieren. Dringlichkeit und Drohung Es wird Druck aufgebaut („so schnäll wie möglich“, „Deaktivierig z'verhindere“, „Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert“), was ein typisches Merkmal von Phishing ist. Aufforderung zum Klick auf einen Link „Domain jetzt erneuere“ ist vermutlich ein Link, der zu einer gefälschten Seite führt, auf der Ihre Zahlungsdaten abgegriffen werden sollen. Fehlende persönliche Ansprache Es wird keine persönliche Anrede verwendet, obwohl Hostpoint als Domain-Provider die Kundendaten kennen sollte. Fehlende oder unvollständige rechtliche Hinweise Kein vollständiges Impressum, keine Kontaktdaten, keine echte Signatur.")
![Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,](https://fedi.solibre.de/photo/preview/640/14662914 "Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,")
Erster Teil der Perplexity-Antwort für die Viagra-Mail (Mail ohne Absender/Empfängeradresse)
Teil 2 der Perplexity-Analyse der Viagra-Mail
Teil 1 der Perplexity-Analyse der Hostpoint-Mail (Mail mit Kopfzeilen: Von, An, Betreff)
Teil 2 der Analyse zur Hostpoint-MailGrosse Sprachmodelle können einige Merkmale von Phishing-Mails korrekt identifizieren. Her die Antworten von Perplexity.
Hier einige Stichproben dessen, was die angebliche Phishing-Loginseite anzeigte. In diesem Fall wurden die Farben zufällig erzeugt und eine zufällige, generische Willkommensnachricht gezeigt. Übrigens funktionierten die «Login mit Google/Microsoft»-Knöpfe nicht. (Weil diese nicht so einfach gephisht werden können.)
Der oben erwähnte XKCD-Comic 1683 von Randall Muroe, CC-BY-NC 2.5.
![[Cueball and a White Hat are walking, Cueball holds both hands in front of him palms up.] Cueball: The great thing about digital data is that it never degrades. [They walk on in the next panel which shows jpeg compression artifacts, as if the image had been converted from png format to a lossy jpeg format.] Cueball: Hard drives fail, of course, but their bits can be copied forever without loss. [They continue walking in the third panel which is now clearly pixelated, the white is slightly discolored, and it contains part of the interface of some program, probably supposed to be a screen shot from a smartphone. At the bottom there are three blue buttons and one gray. the first is a blue "<" indicating back in a browser. Then a grayed out ">" that is not active. And then three more standard buttons in blue to the right of those two. The interface matches that of an iPhone running Safari in iOS 9 (or other versions with the same Safari UI (probably iOS 7-9))] Cueball: Film degrades, paint cracks, but a copy of a century-old data file is identical to the original. [Still walking, now Cueball holds out both arms to the sides, and finally White Hat replies. This panel is heavily pixelated and discolored and has a distorted aspect ratio. It contains a clear watermark of 9GAG (although difficult to read all letters in the end of the first word), even more 'frame' elements, and text above the image at the bottom (where the last letter is obscured by the frame of the image). There is also an internet address at the bottom left, but it is not readable except for the .tumblr.com ending. In this panel it is clear that it is a screen shot from a smart phone. The frame around the image obscure the very top of Cueball's text and the half of the last letter in White Hat's reply.] Cueball: If humanity has a permanent record, we are the first generation in it. White Hat: Amazing Watermark: Screenshotpro 2 Watermark: ~Unregistered~ Top border: Verizon LTE 4:45 PM Bottom text [slightly cut off]: 9GAG Internet address at the bottom [nearly unintelligible]: [ama].tumblr.com](https://marcel-waldvogel.ch/wp-content/uploads/2024/09/digital_data.png "[Cueball and a White Hat are walking, Cueball holds both hands in front of him palms up.] Cueball: The great thing about digital data is that it never degrades. [They walk on in the next panel which shows jpeg compression artifacts, as if the image had been converted from png format to a lossy jpeg format.] Cueball: Hard drives fail, of course, but their bits can be copied forever without loss. [They continue walking in the third panel which is now clearly pixelated, the white is slightly discolored, and it contains part of the interface of some program, probably supposed to be a screen shot from a smartphone. At the bottom there are three blue buttons and one gray. the first is a blue \"<\" indicating back in a browser. Then a grayed out \">\" that is not active. And then three more standard buttons in blue to the right of those two. The interface matches that of an iPhone running Safari in iOS 9 (or other versions with the same Safari UI (probably iOS 7-9))] Cueball: Film degrades, paint cracks, but a copy of a century-old data file is identical to the original. [Still walking, now Cueball holds out both arms to the sides, and finally White Hat replies. This panel is heavily pixelated and discolored and has a distorted aspect ratio. It contains a clear watermark of 9GAG (although difficult to read all letters in the end of the first word), even more 'frame' elements, and text above the image at the bottom (where the last letter is obscured by the frame of the image). There is also an internet address at the bottom left, but it is not readable except for the .tumblr.com ending. In this panel it is clear that it is a screen shot from a smart phone. The frame around the image obscure the very top of Cueball's text and the half of the last letter in White Hat's reply.] Cueball: If humanity has a permanent record, we are the first generation in it. White Hat: Amazing Watermark: Screenshotpro 2 Watermark: ~Unregistered~ Top border: Verizon LTE 4:45 PM Bottom text [slightly cut off]: 9GAG Internet address at the bottom [nearly unintelligible]: [ama].tumblr.com")
D_a_X
Als Antwort auf D_a_X • • •