«Reddit rAIngelegt»: Hörkombinat-Podcast-Interview zur fragwürdigen KI-Manipulation an der Universität Zürich
Forschende der Uni Zürich haben KI-Bots in ein Forum der Plattform Reddit eingeschleust. Und zwar ohne Wissen der Betreiber:innen und User:innen. In diesem Forum, «ChangeMyView», fordern die Teilnehmenden dazu auf, ihre Meinungen zu widerlegen. Nun haben zahlreiche von ihnen nichts ahnend mit Maschinen diskutiert und mitgelitten – eine KI gab sich etwa als Missbrauchsopfer aus.
Klar ist: Das Vorgehen ist unethisch.
Unklarer ist: Machen Privatfirmen nicht viel- leicht längst dasselbe? Wie könnte man solche Täuschungsmanöver verhindern?
Hintergründe und diese Fragen erörtern Hörkombinat-Redaktori:innen Elvira Isenring und Dominik Dusek gemeinsam mit den Adrienne Fichter und Pat
... mehr anzeigen
«Reddit rAIngelegt»: Hörkombinat-Podcast-Interview zur fragwürdigen KI-Manipulation an der Universität Zürich
Forschende der Uni Zürich haben KI-Bots in ein Forum der Plattform Reddit eingeschleust. Und zwar ohne Wissen der Betreiber:innen und User:innen. In diesem Forum, «ChangeMyView», fordern die Teilnehmenden dazu auf, ihre Meinungen zu widerlegen. Nun haben zahlreiche von ihnen nichts ahnend mit Maschinen diskutiert und mitgelitten – eine KI gab sich etwa als Missbrauchsopfer aus.
Klar ist: Das Vorgehen ist unethisch.
Unklarer ist: Machen Privatfirmen nicht viel- leicht längst dasselbe? Wie könnte man solche Täuschungsmanöver verhindern?
Hintergründe und diese Fragen erörtern Hörkombinat-Redaktori:innen Elvira Isenring und Dominik Dusek gemeinsam mit den Adrienne Fichter und Patrick Seemann von DNIP.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten, ob Computer „intelligent“ seien. Dieses… Der Turing-Test im Laufe der Zeit weiterlesen
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch kein Beweis. Etwas Hintergrund.
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders beim Umgang mit dem, was… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
Der Dachverband der Lehrerinnen und Lehrer (LCH) sei besorgt, dass es in der Schweiz keine einheitliche Regelung gäbe, wie Lehrpersonen mit Daten ihrer Schützlinge umgehen sollen und ob sie dafür… Lehrerverband, ChatGPT und Datenschutz weiterlesen
In «Wie funktioniert ChatGPT?» habe ich die Experimente von Andrej Karpathy mit Shakespeare-Texten wiedergegeben. Aber funktioniert das auch auf Deutsch? Zum Beispiel mit Goethe? Finden wir es heraus!
Wer von einer «Künstlichen Intelligenz» Texte oder Bilder erzeugen lässt, weiss, dass das Resultat stark auf Zufall beruht. Vor Kurzem erschien in der NZZ ein Beitrag, der die Unzuverlässigkeit der… KI: Alles nur Zufall? weiterlesen
Wieso tauchen gewisse Hype-Themen wie Blockchain oder Maschinelles Lernen/Künstliche Intelligenz regelmässig in IT-Projekten auf, obwohl die Technik nicht wirklich zur gewünschten Lösung passt? Oder es auch einfachere, bessere Ansätze gäbe?… Hype-Tech weiterlesen
Der Digital Learning Hub organisierte 3 Impuls-Workshops zum Einsatz von ChatGPT in der Sekundarstufe II. Im dritten Teil präsentierte ich die Technik hinter ChatGPT. In der halben Stunde Vortrag werden… 📹 Die Technik hinter ChatGPT weiterlesen
Ob man KI-Chatbots sicher einsetzen kann, hängt von der Anwendung ab. Aleksandr Tiulkanov hat deshalb ein Flussdiagramm als Entscheidungshilfe erstellt. Hier eine deutsche Übersetzung und ein paar Anmerkungen zum Korrekturlesen… Ist ChatGPT für Ihre Anwendung ungefährlich? weiterlesen
ChatGPT ist wohl das zur Zeit mächtigste Künstliche-Intelligenz-Sprachmodell. Wir schauen etwas hinter die Kulissen, wie das „large language model“ GPT-3 und das darauf aufsetzende ChatGPT funktionieren.
KI-Kunst ist auf dem Vormarsch, sowohl was die Qualität als auch die Quantität betrifft. Es liegt (leider) in der menschlichen Natur, einiges davon als „echte“, menschgeschaffene Kunst zu vermarkten. Hier… Identifikation von KI-Kunst weiterlesen
Entmutigt durch die vielen Antworten von ChatGPT, es könne mir auf diese oder jene Frage keine Antwort geben, weil es nur ein von OpenAI trainiertes Sprachmodell sei, versuchte ich, ChatGPT… Die Lieblingsfragen von ChatGPT weiterlesen
Am vergangenen Mittwoch habe ich im Rahmen der Volkshochschule Stein am Rhein einen Überblick über die Mächtigkeit, aber auch die teilweise Ohnmächtigkeit der Künstlichen Intelligenz gegeben. Das zahlreich anwesende Publikum… Wie funktioniert Künstliche Intelligenz? weiterlesen
Am 16. November 2022 halte ich einen öffentlichen Vortrag zu künstlicher Intelligenz an der VHS Stein am Rhein. Sie sind herzlich eingeladen. Künstliche Intelligenz ist derzeit in aller Munde und… Künstliche Intelligenz — und jetzt? weiterlesen
Im NZZ Folio vom 6. September 2022 beschrieb Reto U. Schneider u.a., wie er mit DALL•E 2 Bilder erstellte. Die Bilder waren alle sehr eindrücklich. Ich fragte mich allerdings, wie viele… Reproduzierbare KI: Ein Selbstversuch weiterlesen
Machine Learning („ML“) wird als Wundermittel angepriesen um die Menschheit von fast allen repetitiven Verarbeitungsaufgaben zu entlasten: Von der automatischen Klassifizierung von Strassenschilden über medizinische Auswertungen von Gewebeproben bis zur… Machine Learning: Künstliche Faultier-Intelligenz weiterlesen
Auf dieser Plattform schreiben wir regelmässig über netzpolitische Themen und veröffentlichen exklusive Recherchen, Erklärstücke und Kommentare, die es
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen), Bilder (auch die peinlichen) und Kommentare (auch die blöden Sprüche) auf Facebook und Instagram, die Interaktionen mit dem KI-Chatbot «Meta AI», Information aus dem Internet und sonstigen Datensammlungen.
Wer das nicht will, muss bis spätestens 26. Mai aktiv widersprechen (
... mehr anzeigen
Persönliche Daten für Facebook-KI
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen), Bilder (auch die peinlichen) und Kommentare (auch die blöden Sprüche) auf Facebook und Instagram, die Interaktionen mit dem KI-Chatbot «Meta AI», Information aus dem Internet und sonstigen Datensammlungen.
Auch falls diese Schritte (oder auch noch später mögliche Schritte wie Unterlassungs- und Sammelklagen) erfolgreich sein sollten: Auf die Nutzung von persönlichen Daten von Schweizerinnen und Schweizer dürften sie keine Auswirkungen haben, ausser Meta gewähre allfällige in der EU erstrittene Rechte auch freiwillig in der Schweiz.
Deshalb: Auch wenn du noch unentschlossen bist, vorsorglich gleich jetzt bei Facebook, WhatsApp und Instagram widersprechen und Freunde und Familie informieren. Sonst geht es vergessen. Und dann gibt es kein Zurück mehr.
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe… In den Klauen der Cloud weiterlesen
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt… Können KI-Systeme Artikel klauen? weiterlesen
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich… Was verraten KI-Chatbots? weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten,… Der Turing-Test im Laufe der Zeit weiterlesen
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch… «Quasselquote» bei LLM-Sprachmodellen weiterlesen
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
«Reddit rAIngelegt»: Hörkombinat-Podcast-Interview zur fragwürdigen KI-Manipulation an der Universität Zürich
Forschende der Uni Zürich haben KI-Bots in ein Forum der Plattform Reddit eingeschleust. Und zwar ohne Wissen der Betreiber:innen und User:innen. In diesem Forum, «ChangeMyView», fordern die Teilnehmenden dazu auf, ihre Meinungen zu widerlegen. Nun haben zahlreiche von ihnen nichts ahnend mit Maschinen diskutiert und mitgelitten – eine KI gab sich etwa als Missbrauchsopfer aus.
Klar ist: Das Vorgehen ist unethisch.
Unklarer ist: Machen Privatfirmen nicht viel- leicht längst dasselbe? Wie könnte man solche Täuschungsmanöver verhindern?
Hintergründe und diese Fragen erörtern Hörkombinat-Redaktori:innen Elvira Isenring und Dominik Dusek gemeinsam mit den Adrienne Fichter und Patrick Seemann von DNIP.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten, ob Computer „intelligent“ seien. Dieses… Der Turing-Test im Laufe der Zeit weiterlesen
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch kein Beweis. Etwas Hintergrund.
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders beim Umgang mit dem, was… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
Der Dachverband der Lehrerinnen und Lehrer (LCH) sei besorgt, dass es in der Schweiz keine einheitliche Regelung gäbe, wie Lehrpersonen mit Daten ihrer Schützlinge umgehen sollen und ob sie dafür… Lehrerverband, ChatGPT und Datenschutz weiterlesen
In «Wie funktioniert ChatGPT?» habe ich die Experimente von Andrej Karpathy mit Shakespeare-Texten wiedergegeben. Aber funktioniert das auch auf Deutsch? Zum Beispiel mit Goethe? Finden wir es heraus!
Wer von einer «Künstlichen Intelligenz» Texte oder Bilder erzeugen lässt, weiss, dass das Resultat stark auf Zufall beruht. Vor Kurzem erschien in der NZZ ein Beitrag, der die Unzuverlässigkeit der… KI: Alles nur Zufall? weiterlesen
Wieso tauchen gewisse Hype-Themen wie Blockchain oder Maschinelles Lernen/Künstliche Intelligenz regelmässig in IT-Projekten auf, obwohl die Technik nicht wirklich zur gewünschten Lösung passt? Oder es auch einfachere, bessere Ansätze gäbe?… Hype-Tech weiterlesen
Der Digital Learning Hub organisierte 3 Impuls-Workshops zum Einsatz von ChatGPT in der Sekundarstufe II. Im dritten Teil präsentierte ich die Technik hinter ChatGPT. In der halben Stunde Vortrag werden… 📹 Die Technik hinter ChatGPT weiterlesen
Ob man KI-Chatbots sicher einsetzen kann, hängt von der Anwendung ab. Aleksandr Tiulkanov hat deshalb ein Flussdiagramm als Entscheidungshilfe erstellt. Hier eine deutsche Übersetzung und ein paar Anmerkungen zum Korrekturlesen… Ist ChatGPT für Ihre Anwendung ungefährlich? weiterlesen
ChatGPT ist wohl das zur Zeit mächtigste Künstliche-Intelligenz-Sprachmodell. Wir schauen etwas hinter die Kulissen, wie das „large language model“ GPT-3 und das darauf aufsetzende ChatGPT funktionieren.
KI-Kunst ist auf dem Vormarsch, sowohl was die Qualität als auch die Quantität betrifft. Es liegt (leider) in der menschlichen Natur, einiges davon als „echte“, menschgeschaffene Kunst zu vermarkten. Hier… Identifikation von KI-Kunst weiterlesen
Entmutigt durch die vielen Antworten von ChatGPT, es könne mir auf diese oder jene Frage keine Antwort geben, weil es nur ein von OpenAI trainiertes Sprachmodell sei, versuchte ich, ChatGPT… Die Lieblingsfragen von ChatGPT weiterlesen
Am vergangenen Mittwoch habe ich im Rahmen der Volkshochschule Stein am Rhein einen Überblick über die Mächtigkeit, aber auch die teilweise Ohnmächtigkeit der Künstlichen Intelligenz gegeben. Das zahlreich anwesende Publikum… Wie funktioniert Künstliche Intelligenz? weiterlesen
Am 16. November 2022 halte ich einen öffentlichen Vortrag zu künstlicher Intelligenz an der VHS Stein am Rhein. Sie sind herzlich eingeladen. Künstliche Intelligenz ist derzeit in aller Munde und… Künstliche Intelligenz — und jetzt? weiterlesen
Im NZZ Folio vom 6. September 2022 beschrieb Reto U. Schneider u.a., wie er mit DALL•E 2 Bilder erstellte. Die Bilder waren alle sehr eindrücklich. Ich fragte mich allerdings, wie viele… Reproduzierbare KI: Ein Selbstversuch weiterlesen
Machine Learning („ML“) wird als Wundermittel angepriesen um die Menschheit von fast allen repetitiven Verarbeitungsaufgaben zu entlasten: Von der automatischen Klassifizierung von Strassenschilden über medizinische Auswertungen von Gewebeproben bis zur… Machine Learning: Künstliche Faultier-Intelligenz weiterlesen
Auf dieser Plattform schreiben wir regelmässig über netzpolitische Themen und veröffentlichen exklusive Recherchen, Erklärstücke und Kommentare, die es
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.
Mehrere Personen in meinem Umfeld haben vor einigen Wochen scheinbare Mahnungen von Hostpoint erhalten, des laut eigenen Angaben «grössten Webhosting-Anbieters der Schweiz».
Auffallend daran: Der Text war auf Schweizerdeutsch, zumindest auf den ersten Blick. Und er ka
... mehr anzeigen
Phishing-Trend Schweizerdeutsch
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.
Mehrere Personen in meinem Umfeld haben vor einigen Wochen scheinbare Mahnungen von Hostpoint erhalten, des laut eigenen Angaben «grössten Webhosting-Anbieters der Schweiz».
Auffallend daran: Der Text war auf Schweizerdeutsch, zumindest auf den ersten Blick. Und er kam von einer hostpoint.ch-Mailadresse. Gehen wir beiden doch einmal auf den Grund.
Wir alle haben wahrscheinlich schon von Spam und Phishing im Namen fast aller in der Schweiz verbreiteten Firmen gehört, vielleicht sogar selbst bekommen. Dagegen tun kann die imitierte Firma kaum etwas. Auch das öffentliche Warnen vor einer gerade laufenden Spam-Kampagne ist nur beschränkt hilfreich. Denn das Muster ist immer wieder dasselbe, genau wie die Massnahmen dagegen.
Und unabhängig von der jeweils missbrauchten Firma. Das Verfassen einer Medienmitteilung bringt meiner Meinung nach auch nichts, das Aushängeschild der jeweiligen «Kampagne» zu nennen.
Spam, Phishing und sonstige bösartige bzw. Betrugsmails müssen unabhängig von der aktuell betroffenen Firma bekämpft werden. Auch wenn hier der Name von Hostpoint erwähnt wird: Ihr Umgang mit der Phishing-Aktion erschien mir sehr professionell und die Entscheide gut begründet.
Und trotzdem gibt es in diesem Fall einige Unterschiede, die eine Erklärung rechtfertigen.
In diesem Fall müsste aber Hostpoint alle Empfänger kennen, denn die Mails liefen alle durch ihre Mailserver. Und Hostpoint könnte alle Empfänger informieren. Dies ist aber nicht erfolgt. Doch dazu später mehr.
Schweizerdeutscher Spam
Wieso?
Vermehrt habe ich in letzter Zeit Spammails in unserem heimischen Dialekt gesehen, an mich oder an Freunde und Familie gerichtet. Beim genaueren Hinschauen sieht man aber, dass zwischen vielen Wörtern, die als Dialekt durchgehen, auch einige sind, die wir nur in Hochdeutsch nutzen. In diesem Falle klingt beispielsweise die weibliche Anrede («Sehr geehrti Kundin») halbwegs plausibel, ihr männliches Gegenstück jedoch überzeugt nicht («sehr geehrte Kunde»). Auch «Letzti» im Titel klingt falsch eingeschweizert; «aufgrund» im Text rein hochdeutsch.
Schweizerdeutsch = Sammlung von Tippfehlern
Aber wieso kommt überhaupt jemand auf die Idee, in einer so obskuren Sprache unerwünschte Mails zu verschicken? Genau weiss ich es nicht, weil ich die Bösewichte dahinter nicht befragen konnte. Obviously. Aber wir sehen ein Muster. Hier ein paar Spams der letzten Woche an mich für «Herrenmedikamente». Auffällig ist die – sagen wir mal – kreative Verunstaltung des Wortes «rezeptfrei». Schauen wir doch einmal eine dieser Mails an: Beim Lesen fällt irgendwann auf, dass es um eine angebliche Lieferung von Viagra geht. Doch das Wort selbst wird nie erwähnt. «Die blauen Originale» und der Kontext müssen reichen. (Übrigens ist der Text und die Umschreibung der Pille in jeder der «rezeptfrei»-Mail anders, folgt aber demselben Aufbau.)
Das Ziel der Falschschreibungen (Bindestriche mitten im Wort), Fremdschreibungen (Dialekt) und Umschreibungen ist dasselbe: Spamfilter sollen diese Worte nicht erkennen. Denn in fast jedem Mailverkehr (ausser vielleicht bei Ärzten) ist «Viagra» ein Wort, das mit hoher Wahrscheinlichkeit auf Spam hindeutet.
Ob die Vermeidung der Umlaute zur Verschleierung oder aus Unfähigkeit geschieht, kann ich nicht sagen. Die Verwendung von ähnlich aussehenden Zeichen aus anderen Schriftsystemen zur Täuschung (Kyrillisch, Griechisch, Türkisch, …) scheint hingegen bei Mails aus der Mode gekommen zu sein, wahrscheinlich weil die Anti-Spam-Software diese Ausreisser inzwischen sehr einfach erkennen kann.
Dass das mit den Umlauten auch andersherum schiefgehen kann, zeigt folgender angebliche digitale Bussenzettel: Da wird Schweizerdeutsch «Buess» zu «Büss» und es gibt dafür die eindeutig nicht schweizerischen Worte «Bußgeld» und «Geschwindigkeitsverstoß».
Schweizerdeutscher Spam: Wie?
Das muss doch sicher teuer sein, wenn Spammer den Text in jede mögliche oder unmögliche Sprache übersetzen. Ja, echte menschliche Übersetzer wären ein Kostenpunkt. Aber wahrscheinlich noch mehr auch ein Risiko, weil sie könnten die Scammer ja verpetzen.
Der LLM-Chatbot als williger Gehilfe ohne überflüssige Ethik. Leider nicht nur hier.
Von eigener Maildomain
Hostpoint bietet – wie viele andere Webhoster – Kombipakete an. Hier interessiert uns das Zusatzangebot mit Email-Konten. Die Scammer wollten eine gezielte Phishing-Attacke starten. Dazu verwendeten sie mutmasslich eine Liste mit Abermillionen von Emailadressen, wie sie unter Spammern gehandelt werden. Unsere Bösewichte nutzten nun nicht einfach wahllos Mailadressen, sondern nur solche, deren Domain auch bei Hostpoint gehostet war. (Dies kann man beispielsweise daran erkennen, dass als Web- oder Mailserver der Domain einer der Hostpoint-Server eingetragen ist.)
Wir sind uns gewohnt, dass die Nutzung einer Fremddomain ein gutes Spam- bzw. Phishing-Indiz ist: In fast allen Fällen stammen Betrugsmails, die vorgeben, von Firma X zu kommen, nicht von einer (Mail-)Domain der Firma X. Dies, weil heute Mails, die vorgeben, von user@beispiel.ch zu kommen, auch von einem Mailserver versendet werden müssen, der vom Domaininhaber von beispiel.ch autorisiert wurde. Vor 10-20 Jahren war das allerdings noch ganz anders.
In diesem Fall konnte allerdings der Spammer Zugriff zu einem Kundenkonto bei Hostpoint erlangen und deshalb von dort Mail verschicken, wie mir Hostpoint auf Anfrage mitteilte. Bei Hostpoint geht man davon aus, dass der Kunde auf eine Phishingmail hereingefallen sei.
Bei Hostpoint hat – im Gegensatz zu anderen Providern – jedes Kundenkonto neben der normalen Mailadresse eine historisch bedingte Mailadresse der Form <ZUFALLSNAME>@webuser.mail.hostpoint.ch. Über diese kann aber nur eine beschränkte Anzahl Mails pro Stunde verschickt werden, was das Ausmass des Missbrauchs einschränkt. (Hostpoint plant weitere Massnahmen.)
Wenn die Mail aber – wie in diesem Fall – über die Mailinfrastruktur des Providers läuft, liessen sich auch die Empfängeradressen der Mails identifizieren. Denn die meisten Mailserver führen ein Logbuch über die über sie versendeten Mails. Anhand der Absenderadresse hätten im Logbuch die Empfänger identifiziert werden können.
Fassen wir zusammen: Ein Konto eines Hostpoint-Kunden wurde gehackt. Dieses Kundenkonto wurden dann benutzt, um Mails an andere bei Hostpoint gehosteten Mailkonten zu senden. Diese Zieladressen wurden wahrscheinlich aus einer Liste ausgewählt, die die Spammer sich im Darknet beschafft hatten.
(Allerdings war dann aufgrund der von Hostpoint eingestellten Limiten nach «einer tiefen einstelligen Prozentzahl» der Kunden Schluss mit Mailversand.)
Auf die Frage, weshalb die von den Betrügern angeschriebenen Kund:innen nicht proaktiv informiert worden seien, antwortete Hostpoint wie folgt:
Wir haben in der Vergangenheit auch schon die Kund:innen per E-Mail proaktiv über Phishing informiert und zum Thema sensibilisiert. Allerdings tun wir dies aus verschiedenen Gründen nicht in jedem Fall, sondern meist dann, wenn die Phishing-Wellen sehr gross sind. Wir betreiben jedoch über diverse Channels wie Social Media oder unseren Blog regelmässig Anti-Phishing-Awareness. Über aktuelle Phishing-Fälle informieren wir jeweils auf unserer Website unter hostpoint.ch/phishing/, auf unserer Status-Seite hostpoint-status.com/ oder auch über gesprochene Botschaften, die wir bei unserer Hotline zu Beginn eines Anrufs abspielen. Dieses Zusammenspiel verschiedener Kommunikationsmassnahmen hat sich für uns seit Jahren bewährt.
Mediensprecher Hostpoint
Diese Erklärung erscheint durchaus nachvollziehbar. Insbesondere, wenn man bedenkt, dass viele der Empfänger:innen der Mails gar keine Verantwortung für die Domain besitzen, sondern «normale» Nutzer:innen sind, die durch die Nachrichten evt. noch mehr verwirrt worden wären.
Sieht die Absenderdomain legitim aus? Auch kein Tippfehler?
Wird eine unübliche Top-Level-Domain verwendet? Also ist der letzte Teil hinter dem letzten Punkt nicht .ch, .li oder .com?
Wird in der Mail eine andere Maildomain erwähnt, als die, von der die Mail angeblich stammt?
Gehen die Links in der Mail auf nochmals andere Domains?
Viele Mailprogramme auf einem Desktoprecher oder Laptop zeigen die Ziel-URL eines Links an, wenn der Mauszeiger über dem Link schwebt. Im Bild unten ist das kleine schwarze Händchen im blauen Feld der Mauszeiger und das schwarze Rechteck darunter mit weisser Schrift erscheint, um die URL anzuzeigen.
Auf Mobilgeräten erhält man diese Information oft, wenn man lange mit dem Finger auf den Link drückt.
Leider ist das auch eine Unsitte von gewissen Newsletters, dass die URLs nicht auf das Ziel zeigen, sondern auf einen Server, der die Zugriffe trackt. Es wäre gut, wenn diese Newsletters das über ihre eigene Domain erledigen würden.
Kommt die Mail unerwartet?
Kommt die Mail unerwartet?
Wird darauf verwiesen, dass die Mail an eine verantwortliche Person weitergeleitet werden soll?
Wird Druck aufgebaut?
Ist die Mail dringend? («So schnell wie möglich», «Ihr Konto wurde bereits deaktiviert», …)
Wird emotionaler Druck aufgebaut? Für etwas, was zumindest peinlich ist und man deshalb niemanden fragt, ob die Mail jetzt echt ist? («Wir haben Sie ertappt bei …»)
Wenn einer oder mehrere der obigen 9 Punkte zutreffen, sollten Sie unbedingt eine zweite Person ins Vertrauen ziehen, bevor Sie handeln («4-Augen-Prinzip»).
Phishingerkennung mittels KI-Sprachmodellen
Viele dieser Chatbots auf Basis Grosser Sprachmodelle (Large Language Model, LLM) können bei der Analyse von Phishing unterstützen. Sie sind kein Ersatz für eine seriöse Abklärung, können aber helfen, einige Argumente aufzuzählen.
So hat des KI-Modell Perplexity sowohl bei der Viagra-Mail als auch bei der Hostpoint-Phishingmail relativ viele Punkte erkannt. Der Prompt begann immer mit «Was sind Anzeichen für/gegen Phishing in folgender Mail:» gefolgt entweder
vom Text der Viagra-Mail (ohne Kopfzeilen, also nur der Text der Mail) oder
von der gesamten angeblichen Hostpoint-Mail (mit Absender- und Empfängeradressen, Betreff und Datum).
Erster Teil der Perplexity-Antwort für die Viagra-Mail (Mail ohne Absender/Empfängeradresse)Teil 2 der Perplexity-Analyse der Viagra-MailTeil 1 der Perplexity-Analyse der Hostpoint-Mail (Mail mit Kopfzeilen: Von, An, Betreff)Teil 2 der Analyse zur Hostpoint-MailGrosse Sprachmodelle können einige Merkmale von Phishing-Mails korrekt identifizieren. Her die Antworten von Perplexity. Auch andere Sprachmodelle scheinen Phishing gut erkennen zu können; so fand mein erstes Experiment (mit einer angeblichen Geschäftsmail) unter ChatGPT statt.
Allerdings teile ich die Ansicht nicht überall:
Das angebliche Schweizerdeutsch wird als Ansammlung von Tippfehler bezeichnet.
Das Fehlen eines vollständigen Impressums ist in der Schweiz nicht unbedingt ein schlechtes Zeichen.
Das Fehlen von Kontaktdaten oder einer Signatur (also der «Text-Visitenkarte» am Ende der Mail) ist bei einer angeblich automatisierten Mail auch kein Anzeichen.
Ein erfundener Name kann zwar ein Anzeichen sein; der Name einer bekannten Person ist aber mindestens ein ebenso starkes Anzeichen für eine Betrugsmail.
Trotzdem kann ein Chatbot eine gute erste Einschätzung abgeben, insbesondere, wenn gerade kein vertrauenswürdiger Mitmensch vorhanden ist oder die Bösewichte auf Sextortion setzen, also der Drohung, explizite Bilder oder Videos des Angeschriebenen zu veröffentlichen.
Wie kann ich mich gegen Phishing schützen?
Vorbeugen
Nutzen Sie eindeutige Passwörter für jeden Dienst.
Ja, das bedeutet, einen Passwortmanager zu nutzen, ausser Sie sind ein Merkgenie.
Aktivieren Sie Zwei-Faktor-Authentifizierung («2FA»), am besten PassKeys, wenn dies von ihrem Provider und ihrem Gerät angeboten werden. (Da gibt es leider beiderseits noch Aufholbedarf; das dürfte sich aber hoffentlich im Laufe dieses Jahres noch bessern.)
Falls Ihre Applikation (z.B. Mailprogramm) kein 2FA unterstützt, vergeben Sie diesem Programm ein separates Passwort, unabhängig von ihrem Loginpasswort. Dies wird meist als «Anwendungspasswort» oder «Applikationspasswort» bezeichnet.
Schützen Sie als Erstes ihr Haupt-Mailkonto! Denn wenn ein Angreifer die Kontrolle über dieses übernommen hat, kann dieser auch viele Passwörter anderer Dienste zurücksetzen. Und damit noch mehr Kontrolle über Ihr Leben übernehmen.
Nach Erhalt einer Mail
Die obigen 9 Punkte überprüfen und im Zweifelsfall eine Person ins Vertrauen ziehen.
Vermeiden, auf Links in Mails zu klicken. Sondern wenn immer möglich über ein Lesezeichen im Browser zu ihren wichtigsten Diensten zugreifen.
Keine Passwörter auf «falsche Domains» eingeben. Viele Passwortmanager unterstützen Sie dabei, indem das Passwort nur auf der richtigen Domain automatisch eingesetzt werden kann.
Falls doch etwas schief gelaufen ist: Sofort das verratene Passwort ändern.
Vielen Dank, Sie haben gerade das Internet für sich und uns alle gerade ein bisschen sicherer gemacht!
Aktuell dürfte der Erhalt einer schweizerdeutschen angeblichen Geschäftsmail das beste Indiz für Spam sein. Das scheinen aber die ausländischen Scammer nicht zu wissen, die sich hinter angeblichen schweizerdeutschen Geschäftsmails verstecken. Auch wenn Sofortnachrichten (und Radio-/Fernsehbeiträge) oft auf Mundart versendet werden, hat sich dies noch kaum in der Geschäftskommunikation festgesetzt. In diesem Fall ist es gut, wenn man Teil eines seltsamen, etwas isolierten Volks ist.
Hier einige Stichproben dessen, was die angebliche Phishing-Loginseite anzeigte. In diesem Fall wurden die Farben zufällig erzeugt und eine zufällige, generische Willkommensnachricht gezeigt. Übrigens funktionierten die «Login mit Google/Microsoft»-Knöpfe nicht. (Weil diese nicht so einfach gephisht werden können.)
Tipps für Mailversender
Angeregt durch eine Diskussion gestern hier noch ein paar Tipps, wie man als Firma seine versendeten echten Mail nicht wie Spam aussehen lässt. Sie orientieren sich grob am Gegenteil der Erkennungstipps oben; ich wurde aber gebeten, sie doch noch explizit aufzuschreiben.
Eigene, bekannte Domain: Verschicke die Mails von einer deiner eigenen, allgemein bekannten Domains. Die Beispiel AG sollte also von sowas wie buchhaltung@beispiel.ch oder news@newsletter.beispiel.ch verschicken.
Keine Überraschungen: Versuche die Überraschungsmomente zu vermeiden. Nicht plötzlich von neuen Adressen Mails verschicken; nicht plötzlich zu neuen Themen verschicken etc.
Änderungen ankündigen: Wenn die Änderung planbar ist, diese mehrfach(!) im Vorfeld über die bekannten Kanäle ankündigen. (Auch wenn du als Absenderin findest, dass deine Mail unbedingt lesenswert sei: Der Empfänger hat vielleicht gerade keine Zeit oder Lust oder teilt diese Meinung einfach überhaupt nicht.)
Klare Aussagen: Sei konkret in der Aussage, erwähne alle relevanten Details schon in der Mail.
Nur eigene Links: Sorge dafür, dass alle Links in der Mail ebenfalls auf deine Domain zeigen; am besten direkt, also https://blog.beispiel.ch/Beitrag99. Wenn es sein muss, dann auch auf sowas wie https://tracking.beispiel.ch/newsletter/Kunde1984/EindeutigeID12345678. (Ausnahme: Wenn das Ziel der Mail ist, beispielsweise eine Liste von Links auf relevante Online-Artikel von Dritten zu verschicken, dann macht das natürlich Sinn.)
Auch QR-Codes: Auch wenn du QR-Codes verschickst, sollten diese auf deine Domain oder eine Subdomain davon zeigen. (In den Mails solltest du QR-Codes eigentlich vermeiden. Mir ist nicht klar, was der Vorteil davon ist. QR-Codes werden aber als Trick genutzt, mit dem Betrüger ihre Links dem Spamfilter gegenüber verschleiern.)
Noch besser: Keine Links!
Regelmässiges: Wenn diese Mail Teil eines regelmässigen Prozesses ist (z.B. Ankündigung einer Krankenkassenabrechnung), vermeide die Links ganz. Der Empfänger weiss, wo die Dokumente abzuholen sind.
Notfallmässiges: Wenn du damit einen Notfall ankündigen willst (wie z.B. Information über einen Sicherheitsvorfall), dann schreibe das auf die Homepage. Und verweise einfach auf die Homepage. Dort willst du sowieso die Kundinnen abholen, die sich informieren wollen, weil sie z.B. festgestellt haben, dass dein Dienst nicht mehr funktioniert.
Bilder: Bilder, insbesondere solche, die vorwiegend aus Text bestehen, werden von einigen Spamfiltern als Versuch identifiziert, den Spamfilter zu umgehen. Sie erschweren auch die Lesbarkeit für Blinde und Sehbehinderte, die auf einen Screenreader oder eine Braille-Zeile angewiesen sind.
Attachments: Auch Attachments – insbesondere verschlüsselte – werden von einigen Spamfiltern (und Empfänger:innen) als mögliches Transportvehikel für bösartige Software (Malware) angesehen. Ungewöhnliche oder verschlüsselte Attachmentformate sollten vermieden werden. (Auf der anderen Seite ist es für viele Empfängerinnen praktisch, die gesamte Information bereits in der Mail zu haben. Insbesondere, wenn die Mail offline gelesen wird oder sie archiviert werden soll.)
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen "grossen Browsern". Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen), Bilder (auch die peinlichen) und Kommentare (auch die blöden Sprüche) auf Facebook und Instagram, die Interaktionen mit dem KI-Chatbot «Meta AI», Information aus dem Internet und sonstigen Datensammlungen.
Auch falls diese Schritte (oder auch noch später mögliche Schritte wie Unterlassungs- und Sammelklagen) erfolgreich sein sollten: Auf die Nutzung von persönlichen Daten von Schweizerinnen und Schweizer dürften sie keine Auswirkungen haben, ausser Meta gewähre allfällige in der EU erstrittene Rechte auch freiwillig in der Schweiz.
Deshalb: Auch wenn du noch unentschlossen bist, vorsorglich gleich jetzt bei Facebook, WhatsApp und Instagram widersprechen und Freunde und Familie informieren. Sonst geht es vergessen. Und dann gibt es kein Zurück mehr.
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe… In den Klauen der Cloud weiterlesen
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt… Können KI-Systeme Artikel klauen? weiterlesen
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich… Was verraten KI-Chatbots? weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training… Persönliche Daten für Facebook-KI weiterlesen
Hier ein kleiner Überblick über die Datenkreisläufe rund um generative KI, insbesondere grosse Sprachmodelle (Large Language Model, LLM) wie ChatGPT, Gemini oder Claude.
Vor einem knappen Jahrhundert hat sich Alan Turing mit den Fundamenten der heutigen Informatik beschäftigt: Kryptographie, Komplexität/Rechenaufwand, aber auch, ob und wie wir erkennen könnten,… Der Turing-Test im Laufe der Zeit weiterlesen
Neulich erwähnte jemand, dass man ChatGPT-Output bei Schülern häufig an der «Quasselquote» erkennen könne. Das ist eine Nebenwirkung der Funktionsweise dieser Sprachmodelle, aber natürlich noch… «Quasselquote» bei LLM-Sprachmodellen weiterlesen
Vor einigen Wochen hat Bruce Schneier einen Vortrag gehalten, bei dem er vor der der Vermischung und Fehlinterpretation des Begriffs «Vertrauen» gewarnt hat, ganz besonders… «KI» und «Vertrauen»: Passt das zusammen? weiterlesen
VÜPF: Staatliche Überwachungsfantasien im Realitätscheck
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters mit Aussagen, die nicht unwidersprochen bleiben können.
VÜPF: Staatliche Überwachungsfantasien im Realitätscheck
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters mit Aussagen, die nicht unwidersprochen bleiben können.
Laut Analyse der Digitalen Gesellschaft würden faktisch alle Anbieterinnen von Diensten im Bereich E-Mail, Messaging oder Teilen von Dokumenten darunter fallen, inklusive Non-Profit- und Open-Source-Projekte. Insbesondere wäre der Firmensitz in der Schweiz künftig ein datenschutz- und überwachungsrechtlicher Nachteil gegenüber dem Ausland. Die Republik betonte darüber hinaus die Gefahr der Abwanderung von Firmen und der Verlust von sicheren und vertrauenswürdigen Kommunikationsmitteln für Schweizerinnen und Schweizer. Ebenso wäre die Rechtsunsicherheit durch die unklaren Formulierungen hoch.
Wenn wir die Ende-zu-Ende-Verschlüsselung aufheben, dann gefährden wir die Sicherheit von uns allen. Entweder die Kommunikation ist für alle sicher oder für niemanden. Es ist technisch unmöglich, die Ende-zu-Ende-Verschlüsselung von Kriminellen im Nachhinein aufzuheben.
Die Antwort von Überwachungsmaximalist Pajarola kam umgehend:
Das kann ich nicht beurteilen. Ich höre aus der Tech-Szene aber immer wieder: Im Grunde ist nichts unmöglich. Oft sei es eine Frage des Aufwandes. Die zunehmende Verschlüsselung stellt den Rechtsstaat infrage. Früher konnten wir fast hundert Prozent der Kommunikation abhören: Telefongespräche und der Postverkehr waren für Ermittler zugänglich. Heute sind die meisten Kommunikationsmittel verschlüsselt. Geht der Trend so weiter, können wir vielleicht künftig schwere Straftaten immer schlechter aufklären. Herrschen Gewalt und Verbrechen, haben wir ein massives Sicherheitsproblem. Stellen Sie sich vor, Ihre Tochter würde entführt. Dann würden Sie wollen, dass sie erstens möglichst schnell gefunden wird und zweitens die Täter gefasst würden. Die Privatsphäre interessiert Sie dann nicht mehr.
Diese Art von Antwort sieht man häufig. Und sie ist in vielerlei Hinsicht falsch, irreführend oder gefährlich. Sezieren wir sie also mal Aussage für Aussage.
(Der Satz «Heute sind die meisten Kommunikationsmittel verschlüsselt» wurde umsortiert, um doppelte Erklärungen zu vermeiden.)
«Ich höre aus der Tech-Szene aber immer wieder: Im Grunde ist nichts unmöglich.»
Ja, Chefs von Startups oder Tech-Konzerne versprechen gerne mal das Blaue vom Himmel. Eingebürgert hat sich das, weil das Nichteinhalten von diesen Versprechungen keine negativen Konsequenzen nach sich zieht. Im Gegenteil: Sie bekommen im Gegenzug Geld bzw. ihr Vermögen explodiert.
Während in einzelnen Bereichen einzelne Firmen irgendwelche Behauptungen von sich geben, heisst dies noch lange nicht, dass selektives Aufbrechen der Verschlüsselung möglich ist. Im Gegenteil: AlleExperten, dass das unmöglich sei.
«Oft sei es eine Frage des Aufwandes.»
Aufwand im Sinne von Hardware und Zeit war bis Ende der 1990er Jahre definitiv ausschlaggebend beim Knacken von Verschlüsselung, wie ich 1997 mit aufzeigen helfen durfte. Es war klar: Neue Verschlüsselungsalgorithmen durften auch in Jahrzehnten von niemandem knackbar sein, auch nicht dem bestausgerüstetsten Geheimdienst. Der aufgrund dieser Erkenntnis entwickelte Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) ist deshalb so ausgelegt, dass – selbst wenn ab heute alle Rechner dieses Planeten mit nichts anderem beschäftigen würden – auch nach Jahrmilliarden noch immer keine einzige(!) AES-Nachricht geknackt worden wäre.
Der einzige Weg, eine Nachricht zu entschlüsseln ist also, wenn man von irgendwoher den richtigen Schlüssel bekommt.
Der Aufwand liegt heute also darin, die zugehörigen Schlüssel zu schützen. Die steigenden Ransomware-Zahlen zeigen es: Mit dem richtigen (finanziellen) Anreiz schaffen es Cyberkriminelle, in jedes System einzudringen.
Datenbanken mit (Zugang zu) solchen Schlüsseln sind wertvolle Ziele für Cyberkriminelle oder fremde Nachrichtendienste. Und je wertvoller das Ziel, desto mehr technischer Aufwand, finanzielle Motivation und menschlicher Druck wird in die Erreichung des Zugangs investiert.
Deshalb ist auch heute der Zero-Trust-Ansatz für IT-Sicherheit so, dass man möglichst keinem System trauen will. Und auch schon gar nicht einem Menschen, denn der ist anfällig auf Phishing, Erpressung oder Gier.
Es gibt keine technische Möglichkeit, zwischen Gut und Böse bei Anfragen zu unterscheiden. Also müssen technische Schutzmechanismen vor allen Hintertüren schützen. Das zeigt sich auch darin, dass automatische «Lawful Interception»-Hintertüren immer wieder von Organisationen missbraucht werden, die darauf gar keinen Zugang haben sollten.
Ja, Pajarolas Aussage stimmt. Aber definitiv nicht so, wie er sie meinte. Denn es ist nur eine Frage des Aufwands, bis kritische Hintertüren oder Datensammlung von Angreifern gehackt werden.
«Heute sind die meisten Kommunikationsmittel verschlüsselt.»
Hier gehe ich mit dem Staatsanwalt voll einig. Nur, dass ich das eine gute Sache finde, weil es Datenkraken, Cyberkriminelle sowie autoritäre Staaten (und solche, die es werden wollen) davon abhält, meine Privatgespräche zu belauschen, die sie nichts angehen.
Schon seit vielen Jahren werden fast alle Verbindungen verschlüsselt, vom Aufruf von Webseiten über Mail und Instant Messaging bis hin zu Maschinensteuerungen. Und sie werden aus gutem Grund verschlüsselt: damit diese nämlich nicht von böswilligen Akteuren missbraucht werden um unsere Wirtschaft oder Gesellschaft zu terrorisieren und zu destabilisieren.
«Die zunehmende Verschlüsselung stellt den Rechtsstaat infrage.»
Zuerst einmal: Ich glaube nicht, dass Verschlüsselung noch gross am Steigen ist. Weil schon das Meiste seit Jahren verschlüsselt ist. Und die (organisierte) Kriminalität waren die ersten, die das genutzt haben.
Und auch der Rechtsstaat profitiert davon. Ohne garantierte Privatsphäre ist weder das Rechtssystem noch die Demokratie gewährleistet. Beispielsweise würde das Vertrauen in unser Justizsystem aus den Fugen geraten, wenn die Kommunikation mit der Anwältin nicht mehr privat wäre. Oder die Demokratie würde zur Farce, wenn das Stimm- und Wahlgeheimnis nicht mehr garantiert wäre. Ebenso wenig könnten Fehlentwicklungen in Regierung oder Verwaltung noch aufgedeckt werden, wenn investigative Journalistinnen nicht mehr ungehindert mit Quellen kommunizieren könnten.
Die Privatsphäre ist die unabdingbare Basis für eine freiheitlich-demokratische Grundordnung. Und Verschlüsselung ist die technische Grundlage für ihre Umsetzung.
Verschlüsselung ohne Hintertür ist damit schlichtweg Voraussetzung für einen funktionierenden Rechtsstaat.
«Früher konnten wir fast hundert Prozent der Kommunikation abhören: Telefongespräche und der Postverkehr waren für Ermittler zugänglich.»
Auch wenn sie zugänglich waren: Diese Verklärung ist völlig fehl am Platz. Denn die Ermittler hatten weder die Abdeckung noch die Skalierbarkeit, die sie heute haben.
Die unzähligen Diskussionen am Küchen- oder Stammtisch, die Gespräche am Arbeitsplatz oder in einer Partei bzw. Gewerkschaft: Sie alle waren für Ermittler nicht zugänglich; dito für Gespräche mit Ärztinnen, Anwälte und Journalisten.
Heute finden viele dieser Gespräche online statt. Damit ist der vom BÜPF und VÜPF abgedeckte Verkehr deutlich gestiegen.
Auch war die Überwachung in den «guten alten Zeiten» schwierig. In den Schwarzweissfilmen sassen die Spione in unwirtlichen Gegenden, ihre Kopfhörer mit Bananenklemmen mit der Telefonleitung verbunden. Auch später war die Telefon- und Postüberwachung ein manueller Prozess. Jede einzelne Überwachung war mit Aufwand verbunden. Es gab keine Chance, die Überwachung im grossen Stil zu missbrauchen, ohne dass es offensichtlich wurde.
Ganz anders heute: Wenn jemand (ob gut oder böse) direkten Zugang zu den Überwachungsgeräten oder -schlüsseln hat, ist der Schritt von Einzelüberwachung zur Massenüberwachung sehr klein.
Ein viel grösserer Teil unseres Lebens wird heute durch digitale Kommunikation abgedeckt. Wenn die Privatsphäre hier fehlt, fehlt sie grundsätzlich. Ein Missbrauch allfälliger Überwachungsmassnahmen durch Ermittler oder Kriminelle skaliert ebenfalls viel besser und unauffälliger als früher™.
«Geht der Trend so weiter, können wir vielleicht künftig schwere Straftaten immer schlechter aufklären.»
Es ist bereits so gut wie jegliche Kommunikation verschlüsselt. Insbesondere diejenige von Straftätern, die ihr Verbrechen planen, wie z.B. bei Organisierter Kriminalität. Der Trend kann also nicht weitergehen.
Sobald es sich herumspricht, dass (nur) Schweizer Kommunikationskanäle von der Überwachung betroffen sind, wechseln die kriminellen Banden auf andere Kanäle. Oder bauen sich ihren eigenen. Die Organisierte Kriminalität ist auch in dieser Beziehung sehr gut organisiert. Als Resultat sind schwere Straftaten noch schlechter aufzuklären.
«Herrschen Gewalt und Verbrechen, haben wir ein massives Sicherheitsproblem.»
Gleichzeitig sehen wir eine Zunahme von autokratischen und faschistischen Tendenzen, auch in Europa. Und Autokratien haben sich schon immer über bestehende Überwachungs- und Kontrollmöglichkeiten ihrer Bevölkerung gefreut.
«Stellen Sie sich vor, Ihre Tochter würde entführt. Dann würden Sie wollen, dass sie erstens möglichst schnell gefunden wird und zweitens die Täter gefasst würden. Die Privatsphäre interessiert Sie dann nicht mehr.»
Lange Zeit wollte ich dieser unnötig provokanten Aussage nicht noch zusätzliche Prominenz geben.
Hier doch eine kurze Replik: auch eine Hintertür in Milliarden digitalen Kommunikationskanälen hilft da nicht weiter. Es ist eine ineffiziente Form der Ermittlung. Weder Mensch noch KI können diese Datenmengen (Texte, Sprachnachrichten, Bilder, Videos, …) genügend schnell und abstrakt durchsuchen; die Tochter wird nicht schneller gefunden. Und wenn die Tat doch am Küchentisch oder in einer verrauchten Bar geplant wurde, trägt diese Hintertür gar nichts zur Aufklärung bei.
Alleine ihr Vorhandensein gefährdet aber trotzdem alle anderen Menschen, die Wirtschaft, die Gesellschaft und die Demokratie.
Verschlüsselte Chats als Ermittlungshindernis?
Dass verschlüsselte Chats oft gar nicht das Ermittlungshindernis darstellen, welches Staatsanwalt Pajarola oben beschwört, bestätigt Anwalt Viktor Györffy auf Anfrage:
In der Realität wird das Problem der verschlüsselten Kommunikation übrigens meist dadurch «gelöst», dass die Geräte ausgewertet werden, auf denen die Chatverläufe gespeichert sind; oft auch bei nicht so schwerwiegenden Delikten. Bei diesen Durchsuchungen gibt es regelmässig auch Zufallsfunde, also Hinweise, aus denen sich ein Verdacht auf andere, zusätzliche Delikte ergeben, die mit dem ursprünglichen Verdacht nichts zu tun haben.
Schlussfolgerung
So wie das Energiegesetz nicht den Bau von Perpetuum mobiles oder gefährlichen Technologien fordert, so sollte auch bei der Überwachung nur das gefordert werden, was machbar ist und nicht sowohl Wirtschaft als auch freiheitlich-demokratische Gesellschaftsordnung übermässig gefährdet.
Entscheide für die Zukunft unserer Gesellschaft sollten sich an den bekannten Fakten orientieren. Und nicht an irgendwelchen unrealistischen Versprechungen von Leuten, die mit unrealistischen Versprechungen Geld verdienen. Und schon gar nicht an Hoffnungen klammern, die wissenschaftlich widerlegt wurden.
Schon im ausgehenden 20. Jahrhundert hatte sich gezeigt, dass Verschlüsselung nicht nur von den Guten aufgehoben werden kann. Durch die zunehmende Bedrohung durch Cyberkriminelle und Schurkenstaaten ist es noch gefährlicher geworden, in die zur Aufrechterhaltung der Demokratie nötige private Kommunikation Single Points of Failure einzubauen. Es hat sich gezeigt, dass diese früher oder später missbraucht werden.
Und die einzige Möglichkeit, diese Schwachstellen nicht dem Missbrauch zu öffnen, ist sie gar nicht erst zu bauen.
Anderswo im Interview wird die von der VÜPF-Revision geforderte Datensammlung durch den Vergleich mit globalen Datenkraken zu relativieren versucht. Ja, auch diese Datensammlungen sind gefährlich. Um so mehr erstaunt es, dass sich der Bundesrat bisher standhaft weigert, dieser gefährlichen Datensammelwut (und anderen gefährlichen Entwicklungen) durch globale Tech-Konzerne und andere Datenkraken Einhalt zu gebieten. Während die EU mittels DSGVO, DSA etc. wenigstens den Versuch unternimmt, ihre Bürgerinnen und Bürger vor diesen Angriffen zu schützen, bleibt derselbe Bundesrat stumm, der hier eine massive Verschärfung des BÜPF fordert. Scheinbar in der irrigen Hoffnung, dass der Kelch an uns allen vorübergehe.
Bedenklich finde ich auch, dass bei der Privatsphäre mit zwei Ellen gemessen werden soll. Während Pajarola – der mutmasslich auch Videoüberwachung und Gesichtserkennung wünscht – sein Gesicht (laut Bedingung für das Interview) nicht in der Öffentlichkeit sehen möchte, fordert er gleichzeitig ihm gegenüber von Normalsterblichen den Gläsernen Bürger.
Der Glaube an eine risikolose Überwachungstechnologie ist irrig. Und die Missbrauchsgefahr sowohl durch Datenkraken, Autokratien oder Kriminelle einfach zu gross und zu realistisch.
PS: Gegen all‘ zu neugierige Datenstaubsaugerkonzerne hilft, die Firmen mit entsprechenden Geschäftsmodellen – fast alle grossen Tech-Konzerne – möglichst zu vermeiden. Und sich zusätzlich mit wenigen Handgriffen gegen Tracking durch Dritte zu schützen.
VÜPF-Vernehmlassungsantworten (offizielles PDF und lokale Kopie. 84 MB gross, sehr langsam auf Mobilgeräten), 2025-05-23. Offizielle, unstrukturierte Sammlung der Antworten zur Revision VÜPF und VD-ÜPF.
Christoph Schmid: Der Nachrichtendienst missachtet seine eigenen Richtlinien, Zur Revision des Nachrichtendienstgesetzes, Digitale Gesellschaft, 2025-05-28. Auch das Nachrichtendienstgesetz soll künftig mehr Überwachungsrechte beinhalten, obwohl der NDB bereits jetzt ungestraft mehr überwacht als erlaubt.
Brock N. Meeks: Clipping Clipper: Matt Blaze, Wired, 1994-09-01. Angeblich sicherer Zugang zu verschlüsselten Nachrichten wurde vor 30 Jahren schon einmal versucht, mit dem Clipper-Chip. An den grundsätzlichen Problemen von damals hat sich kaum etwas geändert.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.
Mehrere Personen in meinem Umfeld haben vor einigen Wochen scheinbare Mahnungen von Hostpoint erhalten, des laut eigenen Angaben «grössten Webhosting-Anbieters der Schweiz».
Auffallend daran: Der Text war auf Schweizerdeutsch, zumindest auf den ersten Blick. Und er kam von einer hostpoint.ch-Mailadresse. Gehen wir beiden doch einmal auf den Grund.
Wir alle haben wahrscheinlich schon von Spam und Phishing im Namen fast aller in der Schweiz verbreiteten Firmen gehört, vielleicht sogar selbst bekommen. Dagegen tun kann die imitierte Firma kaum etwas. Auch das öffentliche Warnen vor einer gerade laufenden Spam-Kampagne ist nur beschränkt hilfreich. Denn das Muster ist immer wieder dasselbe, genau wie die Massnahmen dagegen.
Und unabhängig von der jeweils missbrauchten Firma. Das Verfassen einer Medienmitteilung bringt meiner Meinung nach auch nichts, das Aushängeschild der jeweiligen «Kampagne» zu nennen.
Spam, Phishing und sonstige bösartige bzw. Betrugsmails müssen unabhängig von der aktuell betroffenen Firma bekämpft werden. Auch wenn hier der Name von Hostpoint erwähnt wird: Ihr Umgang mit der Phishing-Aktion erschien mir sehr professionell und die Entscheide gut begründet.
Und trotzdem gibt es in diesem Fall einige Unterschiede, die eine Erklärung rechtfertigen.
In diesem Fall müsste aber Hostpoint alle Empfänger kennen, denn die Mails liefen alle durch ihre Mailserver. Und Hostpoint könnte alle Empfänger informieren. Dies ist aber nicht erfolgt. Doch dazu später mehr.
Schweizerdeutscher Spam
Wieso?
Vermehrt habe ich in letzter Zeit Spammails in unserem heimischen Dialekt gesehen, an mich oder an Freunde und Familie gerichtet. Beim genaueren Hinschauen sieht man aber, dass zwischen vielen Wörtern, die als Dialekt durchgehen, auch einige sind, die wir nur in Hochdeutsch nutzen. In diesem Falle klingt beispielsweise die weibliche Anrede («Sehr geehrti Kundin») halbwegs plausibel, ihr männliches Gegenstück jedoch überzeugt nicht («sehr geehrte Kunde»). Auch «Letzti» im Titel klingt falsch eingeschweizert; «aufgrund» im Text rein hochdeutsch.
Schweizerdeutsch = Sammlung von Tippfehlern
Aber wieso kommt überhaupt jemand auf die Idee, in einer so obskuren Sprache unerwünschte Mails zu verschicken? Genau weiss ich es nicht, weil ich die Bösewichte dahinter nicht befragen konnte. Obviously. Aber wir sehen ein Muster. Hier ein paar Spams der letzten Woche an mich für «Herrenmedikamente». Auffällig ist die – sagen wir mal – kreative Verunstaltung des Wortes «rezeptfrei». Schauen wir doch einmal eine dieser Mails an: Beim Lesen fällt irgendwann auf, dass es um eine angebliche Lieferung von Viagra geht. Doch das Wort selbst wird nie erwähnt. «Die blauen Originale» und der Kontext müssen reichen. (Übrigens ist der Text und die Umschreibung der Pille in jeder der «rezeptfrei»-Mail anders, folgt aber demselben Aufbau.)
Das Ziel der Falschschreibungen (Bindestriche mitten im Wort), Fremdschreibungen (Dialekt) und Umschreibungen ist dasselbe: Spamfilter sollen diese Worte nicht erkennen. Denn in fast jedem Mailverkehr (ausser vielleicht bei Ärzten) ist «Viagra» ein Wort, das mit hoher Wahrscheinlichkeit auf Spam hindeutet.
Ob die Vermeidung der Umlaute zur Verschleierung oder aus Unfähigkeit geschieht, kann ich nicht sagen. Die Verwendung von ähnlich aussehenden Zeichen aus anderen Schriftsystemen zur Täuschung (Kyrillisch, Griechisch, Türkisch, …) scheint hingegen bei Mails aus der Mode gekommen zu sein, wahrscheinlich weil die Anti-Spam-Software diese Ausreisser inzwischen sehr einfach erkennen kann.
Dass das mit den Umlauten auch andersherum schiefgehen kann, zeigt folgender angebliche digitale Bussenzettel: Da wird Schweizerdeutsch «Buess» zu «Büss» und es gibt dafür die eindeutig nicht schweizerischen Worte «Bußgeld» und «Geschwindigkeitsverstoß».
Schweizerdeutscher Spam: Wie?
Das muss doch sicher teuer sein, wenn Spammer den Text in jede mögliche oder unmögliche Sprache übersetzen. Ja, echte menschliche Übersetzer wären ein Kostenpunkt. Aber wahrscheinlich noch mehr auch ein Risiko, weil sie könnten die Scammer ja verpetzen.
Der LLM-Chatbot als williger Gehilfe ohne überflüssige Ethik. Leider nicht nur hier.
Von eigener Maildomain
Hostpoint bietet – wie viele andere Webhoster – Kombipakete an. Hier interessiert uns das Zusatzangebot mit Email-Konten. Die Scammer wollten eine gezielte Phishing-Attacke starten. Dazu verwendeten sie mutmasslich eine Liste mit Abermillionen von Emailadressen, wie sie unter Spammern gehandelt werden. Unsere Bösewichte nutzten nun nicht einfach wahllos Mailadressen, sondern nur solche, deren Domain auch bei Hostpoint gehostet war. (Dies kann man beispielsweise daran erkennen, dass als Web- oder Mailserver der Domain einer der Hostpoint-Server eingetragen ist.)
Wir sind uns gewohnt, dass die Nutzung einer Fremddomain ein gutes Spam- bzw. Phishing-Indiz ist: In fast allen Fällen stammen Betrugsmails, die vorgeben, von Firma X zu kommen, nicht von einer (Mail-)Domain der Firma X. Dies, weil heute Mails, die vorgeben, von user@beispiel.ch zu kommen, auch von einem Mailserver versendet werden müssen, der vom Domaininhaber von beispiel.ch autorisiert wurde. Vor 10-20 Jahren war das allerdings noch ganz anders.
In diesem Fall konnte allerdings der Spammer Zugriff zu einem Kundenkonto bei Hostpoint erlangen und deshalb von dort Mail verschicken, wie mir Hostpoint auf Anfrage mitteilte. Bei Hostpoint geht man davon aus, dass der Kunde auf eine Phishingmail hereingefallen sei.
Bei Hostpoint hat – im Gegensatz zu anderen Providern – jedes Kundenkonto neben der normalen Mailadresse eine historisch bedingte Mailadresse der Form <ZUFALLSNAME>@webuser.mail.hostpoint.ch. Über diese kann aber nur eine beschränkte Anzahl Mails pro Stunde verschickt werden, was das Ausmass des Missbrauchs einschränkt. (Hostpoint plant weitere Massnahmen.)
Wenn die Mail aber – wie in diesem Fall – über die Mailinfrastruktur des Providers läuft, liessen sich auch die Empfängeradressen der Mails identifizieren. Denn die meisten Mailserver führen ein Logbuch über die über sie versendeten Mails. Anhand der Absenderadresse hätten im Logbuch die Empfänger identifiziert werden können.
Fassen wir zusammen: Ein Konto eines Hostpoint-Kunden wurde gehackt. Dieses Kundenkonto wurden dann benutzt, um Mails an andere bei Hostpoint gehosteten Mailkonten zu senden. Diese Zieladressen wurden wahrscheinlich aus einer Liste ausgewählt, die die Spammer sich im Darknet beschafft hatten.
(Allerdings war dann aufgrund der von Hostpoint eingestellten Limiten nach «einer tiefen einstelligen Prozentzahl» der Kunden Schluss mit Mailversand.)
Auf die Frage, weshalb die von den Betrügern angeschriebenen Kund:innen nicht proaktiv informiert worden seien, antwortete Hostpoint wie folgt:
Wir haben in der Vergangenheit auch schon die Kund:innen per E-Mail proaktiv über Phishing informiert und zum Thema sensibilisiert. Allerdings tun wir dies aus verschiedenen Gründen nicht in jedem Fall, sondern meist dann, wenn die Phishing-Wellen sehr gross sind. Wir betreiben jedoch über diverse Channels wie Social Media oder unseren Blog regelmässig Anti-Phishing-Awareness. Über aktuelle Phishing-Fälle informieren wir jeweils auf unserer Website unter hostpoint.ch/phishing/, auf unserer Status-Seite hostpoint-status.com/ oder auch über gesprochene Botschaften, die wir bei unserer Hotline zu Beginn eines Anrufs abspielen. Dieses Zusammenspiel verschiedener Kommunikationsmassnahmen hat sich für uns seit Jahren bewährt.
Mediensprecher Hostpoint
Diese Erklärung erscheint durchaus nachvollziehbar. Insbesondere, wenn man bedenkt, dass viele der Empfänger:innen der Mails gar keine Verantwortung für die Domain besitzen, sondern «normale» Nutzer:innen sind, die durch die Nachrichten evt. noch mehr verwirrt worden wären.
Sieht die Absenderdomain legitim aus? Auch kein Tippfehler?
Wird eine unübliche Top-Level-Domain verwendet? Also ist der letzte Teil hinter dem letzten Punkt nicht .ch, .li oder .com?
Wird in der Mail eine andere Maildomain erwähnt, als die, von der die Mail angeblich stammt?
Gehen die Links in der Mail auf nochmals andere Domains?
Viele Mailprogramme auf einem Desktoprecher oder Laptop zeigen die Ziel-URL eines Links an, wenn der Mauszeiger über dem Link schwebt. Im Bild unten ist das kleine schwarze Händchen im blauen Feld der Mauszeiger und das schwarze Rechteck darunter mit weisser Schrift erscheint, um die URL anzuzeigen.
Auf Mobilgeräten erhält man diese Information oft, wenn man lange mit dem Finger auf den Link drückt.
Leider ist das auch eine Unsitte von gewissen Newsletters, dass die URLs nicht auf das Ziel zeigen, sondern auf einen Server, der die Zugriffe trackt. Es wäre gut, wenn diese Newsletters das über ihre eigene Domain erledigen würden.
Kommt die Mail unerwartet?
Kommt die Mail unerwartet?
Wird darauf verwiesen, dass die Mail an eine verantwortliche Person weitergeleitet werden soll?
Wird Druck aufgebaut?
Ist die Mail dringend? («So schnell wie möglich», «Ihr Konto wurde bereits deaktiviert», …)
Wird emotionaler Druck aufgebaut? Für etwas, was zumindest peinlich ist und man deshalb niemanden fragt, ob die Mail jetzt echt ist? («Wir haben Sie ertappt bei …»)
Wenn einer oder mehrere der obigen 9 Punkte zutreffen, sollten Sie unbedingt eine zweite Person ins Vertrauen ziehen, bevor Sie handeln («4-Augen-Prinzip»).
Phishingerkennung mittels KI-Sprachmodellen
Viele dieser Chatbots auf Basis Grosser Sprachmodelle (Large Language Model, LLM) können bei der Analyse von Phishing unterstützen. Sie sind kein Ersatz für eine seriöse Abklärung, können aber helfen, einige Argumente aufzuzählen.
So hat des KI-Modell Perplexity sowohl bei der Viagra-Mail als auch bei der Hostpoint-Phishingmail relativ viele Punkte erkannt. Der Prompt begann immer mit «Was sind Anzeichen für/gegen Phishing in folgender Mail:» gefolgt entweder
vom Text der Viagra-Mail (ohne Kopfzeilen, also nur der Text der Mail) oder
von der gesamten angeblichen Hostpoint-Mail (mit Absender- und Empfängeradressen, Betreff und Datum).
Erster Teil der Perplexity-Antwort für die Viagra-Mail (Mail ohne Absender/Empfängeradresse)Teil 2 der Perplexity-Analyse der Viagra-MailTeil 1 der Perplexity-Analyse der Hostpoint-Mail (Mail mit Kopfzeilen: Von, An, Betreff)Teil 2 der Analyse zur Hostpoint-MailGrosse Sprachmodelle können einige Merkmale von Phishing-Mails korrekt identifizieren. Her die Antworten von Perplexity. Auch andere Sprachmodelle scheinen Phishing gut erkennen zu können; so fand mein erstes Experiment (mit einer angeblichen Geschäftsmail) unter ChatGPT statt.
Allerdings teile ich die Ansicht nicht überall:
Das angebliche Schweizerdeutsch wird als Ansammlung von Tippfehler bezeichnet.
Das Fehlen eines vollständigen Impressums ist in der Schweiz nicht unbedingt ein schlechtes Zeichen.
Das Fehlen von Kontaktdaten oder einer Signatur (also der «Text-Visitenkarte» am Ende der Mail) ist bei einer angeblich automatisierten Mail auch kein Anzeichen.
Ein erfundener Name kann zwar ein Anzeichen sein; der Name einer bekannten Person ist aber mindestens ein ebenso starkes Anzeichen für eine Betrugsmail.
Trotzdem kann ein Chatbot eine gute erste Einschätzung abgeben, insbesondere, wenn gerade kein vertrauenswürdiger Mitmensch vorhanden ist oder die Bösewichte auf Sextortion setzen, also der Drohung, explizite Bilder oder Videos des Angeschriebenen zu veröffentlichen.
Wie kann ich mich gegen Phishing schützen?
Vorbeugen
Nutzen Sie eindeutige Passwörter für jeden Dienst.
Ja, das bedeutet, einen Passwortmanager zu nutzen, ausser Sie sind ein Merkgenie.
Aktivieren Sie Zwei-Faktor-Authentifizierung («2FA»), am besten PassKeys, wenn dies von ihrem Provider und ihrem Gerät angeboten werden. (Da gibt es leider beiderseits noch Aufholbedarf; das dürfte sich aber hoffentlich im Laufe dieses Jahres noch bessern.)
Falls Ihre Applikation (z.B. Mailprogramm) kein 2FA unterstützt, vergeben Sie diesem Programm ein separates Passwort, unabhängig von ihrem Loginpasswort. Dies wird meist als «Anwendungspasswort» oder «Applikationspasswort» bezeichnet.
Schützen Sie als Erstes ihr Haupt-Mailkonto! Denn wenn ein Angreifer die Kontrolle über dieses übernommen hat, kann dieser auch viele Passwörter anderer Dienste zurücksetzen. Und damit noch mehr Kontrolle über Ihr Leben übernehmen.
Nach Erhalt einer Mail
Die obigen 9 Punkte überprüfen und im Zweifelsfall eine Person ins Vertrauen ziehen.
Vermeiden, auf Links in Mails zu klicken. Sondern wenn immer möglich über ein Lesezeichen im Browser zu ihren wichtigsten Diensten zugreifen.
Keine Passwörter auf «falsche Domains» eingeben. Viele Passwortmanager unterstützen Sie dabei, indem das Passwort nur auf der richtigen Domain automatisch eingesetzt werden kann.
Falls doch etwas schief gelaufen ist: Sofort das verratene Passwort ändern.
Vielen Dank, Sie haben gerade das Internet für sich und uns alle gerade ein bisschen sicherer gemacht!
Aktuell dürfte der Erhalt einer schweizerdeutschen angeblichen Geschäftsmail das beste Indiz für Spam sein. Das scheinen aber die ausländischen Scammer nicht zu wissen, die sich hinter angeblichen schweizerdeutschen Geschäftsmails verstecken. Auch wenn Sofortnachrichten (und Radio-/Fernsehbeiträge) oft auf Mundart versendet werden, hat sich dies noch kaum in der Geschäftskommunikation festgesetzt. In diesem Fall ist es gut, wenn man Teil eines seltsamen, etwas isolierten Volks ist.
Hier einige Stichproben dessen, was die angebliche Phishing-Loginseite anzeigte. In diesem Fall wurden die Farben zufällig erzeugt und eine zufällige, generische Willkommensnachricht gezeigt. Übrigens funktionierten die «Login mit Google/Microsoft»-Knöpfe nicht. (Weil diese nicht so einfach gephisht werden können.)
Tipps für Mailversender
Angeregt durch eine Diskussion gestern hier noch ein paar Tipps, wie man als Firma seine versendeten echten Mail nicht wie Spam aussehen lässt. Sie orientieren sich grob am Gegenteil der Erkennungstipps oben; ich wurde aber gebeten, sie doch noch explizit aufzuschreiben.
Eigene, bekannte Domain: Verschicke die Mails von einer deiner eigenen, allgemein bekannten Domains. Die Beispiel AG sollte also von sowas wie buchhaltung@beispiel.ch oder news@newsletter.beispiel.ch verschicken.
Keine Überraschungen: Versuche die Überraschungsmomente zu vermeiden. Nicht plötzlich von neuen Adressen Mails verschicken; nicht plötzlich zu neuen Themen verschicken etc.
Änderungen ankündigen: Wenn die Änderung planbar ist, diese mehrfach(!) im Vorfeld über die bekannten Kanäle ankündigen. (Auch wenn du als Absenderin findest, dass deine Mail unbedingt lesenswert sei: Der Empfänger hat vielleicht gerade keine Zeit oder Lust oder teilt diese Meinung einfach überhaupt nicht.)
Klare Aussagen: Sei konkret in der Aussage, erwähne alle relevanten Details schon in der Mail.
Nur eigene Links: Sorge dafür, dass alle Links in der Mail ebenfalls auf deine Domain zeigen; am besten direkt, also https://blog.beispiel.ch/Beitrag99. Wenn es sein muss, dann auch auf sowas wie https://tracking.beispiel.ch/newsletter/Kunde1984/EindeutigeID12345678. (Ausnahme: Wenn das Ziel der Mail ist, beispielsweise eine Liste von Links auf relevante Online-Artikel von Dritten zu verschicken, dann macht das natürlich Sinn.)
Auch QR-Codes: Auch wenn du QR-Codes verschickst, sollten diese auf deine Domain oder eine Subdomain davon zeigen. (In den Mails solltest du QR-Codes eigentlich vermeiden. Mir ist nicht klar, was der Vorteil davon ist. QR-Codes werden aber als Trick genutzt, mit dem Betrüger ihre Links dem Spamfilter gegenüber verschleiern.)
Noch besser: Keine Links!
Regelmässiges: Wenn diese Mail Teil eines regelmässigen Prozesses ist (z.B. Ankündigung einer Krankenkassenabrechnung), vermeide die Links ganz. Der Empfänger weiss, wo die Dokumente abzuholen sind.
Notfallmässiges: Wenn du damit einen Notfall ankündigen willst (wie z.B. Information über einen Sicherheitsvorfall), dann schreibe das auf die Homepage. Und verweise einfach auf die Homepage. Dort willst du sowieso die Kundinnen abholen, die sich informieren wollen, weil sie z.B. festgestellt haben, dass dein Dienst nicht mehr funktioniert.
Bilder: Bilder, insbesondere solche, die vorwiegend aus Text bestehen, werden von einigen Spamfiltern als Versuch identifiziert, den Spamfilter zu umgehen. Sie erschweren auch die Lesbarkeit für Blinde und Sehbehinderte, die auf einen Screenreader oder eine Braille-Zeile angewiesen sind.
Attachments: Auch Attachments – insbesondere verschlüsselte – werden von einigen Spamfiltern (und Empfänger:innen) als mögliches Transportvehikel für bösartige Software (Malware) angesehen. Ungewöhnliche oder verschlüsselte Attachmentformate sollten vermieden werden. (Auf der anderen Seite ist es für viele Empfängerinnen praktisch, die gesamte Information bereits in der Mail zu haben. Insbesondere, wenn die Mail offline gelesen wird oder sie archiviert werden soll.)
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Die 3 Aspekte der Cloud und die zwei Farben der Sicherheit
Neben rund 100 wissenschaftlichen Publikationen zum Thema habe ich auch viele allgemeinverständliche Artikel geschrieben.
Nextcloud: Automatischer Upload auf Android verstehen
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Ich nutze Nextcloud bzw. seinen Vorgänger ownCloud schon seit über zehn Jahren. Auch schon viele Jahre nutze ich die Nextcloud-App unter (früher) iOS und (heute) Android. Ich nutze sie vor allem, um meine geschossenen Fotos und Videos automatisch auf meinen Nextcloud-Server zu kopieren, wo sie dann gesichert und auf meinen Laptop synchronisiert werden.
Nextcloud: Automatischer Upload auf Android verstehen
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Ich nutze Nextcloud bzw. seinen Vorgänger ownCloud schon seit über zehn Jahren. Auch schon viele Jahre nutze ich die Nextcloud-App unter (früher) iOS und (heute) Android. Ich nutze sie vor allem, um meine geschossenen Fotos und Videos automatisch auf meinen Nextcloud-Server zu kopieren, wo sie dann gesichert und auf meinen Laptop synchronisiert werden.
Häufig waren die neu aufgenommenen Fotos und Videos auf den Laptop synchronisiert, wenn ich sie nutzen wollte. Manchmal aber wollten und wollten sie nicht kommen.
Falsche Lösungsansätze
Weder das Öffnen der Nextcloud-App und Nachschauen in der Upload-History noch der Neustart der App noch das Ändern eines Fotos im Bildeditor halfen zuverlässig.
Manchmal halfen sie, manchmal nicht.
Für einen Informatiker alles andere als befriedigend.
Wie funktioniert der Auto-Upload?
Heute hatte ich am Nextcloud-Summit die Chance, mit dem Chefentwickler der Nextcloud-Android-App zu sprechen. Er erklärte mir die aktuelle Funktionsweise des automatischen Uploads. Hier das Wichtigste in Kürze.
Android führt eine Datenbank mit allen darauf gespeicherten Medien. Diese wird bei jeder Änderung an den Medien aktualisiert.
Die Nextcloud-App hat sich beim Betriebssystem registriert, dass sie alle 15 Minuten geweckt werden möchte. Bei jedem Weckvorgang passiert folgendes:
Die Nextcloud-App schaut nach, ob die Mediendatenbank Änderungen verzeichnet hat.
Allfällige Neuzugänge und geänderte Dateien werden hochgeladen (zumindest wird das versucht, aber vielleicht ist der Server ja gerade nicht erreichbar wegen Flugmodus, Funkloch oder Serverproblem).
Danach legt sich die App wieder schlafen.
Soweit die Theorie. Android behält sich aber vor, diese 15 Minuten zwischen zwei Uploads «bei Bedarf» u.U. beliebig lange zu verlängern. Gründe für diese Verlängerung des Intervalls gibt es mehrere; dazu gehören insbesondere folgende Punkte. Was jeweils genau der Grund ist, lässt sich nicht einfach herausfinden.
Es laufen gerade andere Aktivitäten auf dem Mobiltelefon/Tablet
Der Batteriestand ist niedrig bzw. das Gerät nicht am Strom
Der Stromsparmodus ist aktiv
Die Batterieschonung für die Nextcloud-App ist aktiv
Wieso wird nicht sofort hochgeladen?
Früher gab es unter Android auch die Möglichkeit, dass eine App sich bei jedem neuen Foto vom Betriebssystem umgehend informieren lassen konnte. Da es einige Applikationen gab, die das falsch nutzten und damit zu viel Energie bezogen (also: die Batterie schneller entluden), hat Google diese Funktion entfernt.
Was heisst das?
Wer keine 15 Minuten warten kann oder schon über 15 Minuten gewartet hat, kann folgende Dinge versuchen:
Gerät ans Ladekabel anschliessen
App kurz beenden («weg-swipen») und neu starten
Wenn das nichts hilft, gibt es noch folgende Möglichkeiten:
In der Nextcloud-Android-App gibt es rechts unten den ➕-Button. Dort kann man «Von Kamera hochladen» auswählen und in einem Schritt ein Foto machen und es sofort hochladen. Nachteil: Es stehen nur rudimentäre Kamera-Funktionen zur Verfügung; nicht die vollständigen Operationen der eingebauten Kamera-App.
Über denselben ➕-Button kann man mit «Dateien auswählen» auch direkt ein Bild oder Video aus der Android-Mediathek auf den Nextcloud-Server hochladen. Nachteile: Man muss Quell- und Zielpfad von Hand auswählen; und das Foto wird danach nochmals automatisch hochzuladen versucht, was möglicherweise eine Doppelung auf dem Server oder einen Dateikonflikt auslösen kann.
Fazit
Falls der Upload nicht sofort funktioniert, weiss ich jetzt, dass das normal ist.
Wenn mir ein rascher Upload wichtig ist, habe ich das Telefon am Ladekabel.
Wenn mir ein unmittelbarer Upload wichtig ist, nutze ich eine der Zusatzmöglichkeiten 3+4 oben.
Im Gespräch war auch die Frage, ob in der App ein Knopf irgendwo «Mediathek sofort synchronisieren» oder «Sofortupload jetzt starten» möglich sei. Grundsätzlich spreche nichts dagegen, hiess es.
Ich auf alle Fälle würde mich darüber freuen.
Auf jeden Fall: Danke für das ganze Nextcloud-Ökosystem!
Disclosure: Ich war als Pressevertreter für DNIP und Jurymitglied für die Awards eingeladen und konnte kostenlos am Nextcloud Summit teilnehmen und übernachten. Unabhängig bin ich der Idee der souveränen, selbst gehosteten Cloud (ownCloud+Nextcloud) schon seit über 10 Jahren verbunden und habe frühereinigeszumÖkosystem mit beigetragen.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft. Ich nutze Nextcloud bzw. seinen Vorgänger ownCloud schon seit… Nextcloud: Automatischer Upload auf Android verstehen weiterlesen
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
VÜPF: Staatliche Überwachungsfantasien im Realitätscheck
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters mit Aussagen, die nicht unwidersprochen bleiben können.
Laut Analyse der Digitalen Gesellschaft würden faktisch alle Anbieterinnen von Diensten im Bereich E-Mail, Messaging oder Teilen von Dokumenten darunter fallen, inklusive Non-Profit- und Open-Source-Projekte. Insbesondere wäre der Firmensitz in der Schweiz künftig ein datenschutz- und überwachungsrechtlicher Nachteil gegenüber dem Ausland. Die Republik betonte darüber hinaus die Gefahr der Abwanderung von Firmen und der Verlust von sicheren und vertrauenswürdigen Kommunikationsmitteln für Schweizerinnen und Schweizer. Ebenso wäre die Rechtsunsicherheit durch die unklaren Formulierungen hoch.
Wenn wir die Ende-zu-Ende-Verschlüsselung aufheben, dann gefährden wir die Sicherheit von uns allen. Entweder die Kommunikation ist für alle sicher oder für niemanden. Es ist technisch unmöglich, die Ende-zu-Ende-Verschlüsselung von Kriminellen im Nachhinein aufzuheben.
Die Antwort von Überwachungsmaximalist Pajarola kam umgehend:
Das kann ich nicht beurteilen. Ich höre aus der Tech-Szene aber immer wieder: Im Grunde ist nichts unmöglich. Oft sei es eine Frage des Aufwandes. Die zunehmende Verschlüsselung stellt den Rechtsstaat infrage. Früher konnten wir fast hundert Prozent der Kommunikation abhören: Telefongespräche und der Postverkehr waren für Ermittler zugänglich. Heute sind die meisten Kommunikationsmittel verschlüsselt. Geht der Trend so weiter, können wir vielleicht künftig schwere Straftaten immer schlechter aufklären. Herrschen Gewalt und Verbrechen, haben wir ein massives Sicherheitsproblem. Stellen Sie sich vor, Ihre Tochter würde entführt. Dann würden Sie wollen, dass sie erstens möglichst schnell gefunden wird und zweitens die Täter gefasst würden. Die Privatsphäre interessiert Sie dann nicht mehr.
Diese Art von Antwort sieht man häufig. Und sie ist in vielerlei Hinsicht falsch, irreführend oder gefährlich. Sezieren wir sie also mal Aussage für Aussage.
(Der Satz «Heute sind die meisten Kommunikationsmittel verschlüsselt» wurde umsortiert, um doppelte Erklärungen zu vermeiden.)
«Ich höre aus der Tech-Szene aber immer wieder: Im Grunde ist nichts unmöglich.»
Ja, Chefs von Startups oder Tech-Konzerne versprechen gerne mal das Blaue vom Himmel. Eingebürgert hat sich das, weil das Nichteinhalten von diesen Versprechungen keine negativen Konsequenzen nach sich zieht. Im Gegenteil: Sie bekommen im Gegenzug Geld bzw. ihr Vermögen explodiert.
Während in einzelnen Bereichen einzelne Firmen irgendwelche Behauptungen von sich geben, heisst dies noch lange nicht, dass selektives Aufbrechen der Verschlüsselung möglich ist. Im Gegenteil: AlleExperten, dass das unmöglich sei.
«Oft sei es eine Frage des Aufwandes.»
Aufwand im Sinne von Hardware und Zeit war bis Ende der 1990er Jahre definitiv ausschlaggebend beim Knacken von Verschlüsselung, wie ich 1997 mit aufzeigen helfen durfte. Es war klar: Neue Verschlüsselungsalgorithmen durften auch in Jahrzehnten von niemandem knackbar sein, auch nicht dem bestausgerüstetsten Geheimdienst. Der aufgrund dieser Erkenntnis entwickelte Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) ist deshalb so ausgelegt, dass – selbst wenn ab heute alle Rechner dieses Planeten mit nichts anderem beschäftigen würden – auch nach Jahrmilliarden noch immer keine einzige(!) AES-Nachricht geknackt worden wäre.
Der einzige Weg, eine Nachricht zu entschlüsseln ist also, wenn man von irgendwoher den richtigen Schlüssel bekommt.
Der Aufwand liegt heute also darin, die zugehörigen Schlüssel zu schützen. Die steigenden Ransomware-Zahlen zeigen es: Mit dem richtigen (finanziellen) Anreiz schaffen es Cyberkriminelle, in jedes System einzudringen.
Datenbanken mit (Zugang zu) solchen Schlüsseln sind wertvolle Ziele für Cyberkriminelle oder fremde Nachrichtendienste. Und je wertvoller das Ziel, desto mehr technischer Aufwand, finanzielle Motivation und menschlicher Druck wird in die Erreichung des Zugangs investiert.
Deshalb ist auch heute der Zero-Trust-Ansatz für IT-Sicherheit so, dass man möglichst keinem System trauen will. Und auch schon gar nicht einem Menschen, denn der ist anfällig auf Phishing, Erpressung oder Gier.
Es gibt keine technische Möglichkeit, zwischen Gut und Böse bei Anfragen zu unterscheiden. Also müssen technische Schutzmechanismen vor allen Hintertüren schützen. Das zeigt sich auch darin, dass automatische «Lawful Interception»-Hintertüren immer wieder von Organisationen missbraucht werden, die darauf gar keinen Zugang haben sollten.
Ja, Pajarolas Aussage stimmt. Aber definitiv nicht so, wie er sie meinte. Denn es ist nur eine Frage des Aufwands, bis kritische Hintertüren oder Datensammlung von Angreifern gehackt werden.
«Heute sind die meisten Kommunikationsmittel verschlüsselt.»
Hier gehe ich mit dem Staatsanwalt voll einig. Nur, dass ich das eine gute Sache finde, weil es Datenkraken, Cyberkriminelle sowie autoritäre Staaten (und solche, die es werden wollen) davon abhält, meine Privatgespräche zu belauschen, die sie nichts angehen.
Schon seit vielen Jahren werden fast alle Verbindungen verschlüsselt, vom Aufruf von Webseiten über Mail und Instant Messaging bis hin zu Maschinensteuerungen. Und sie werden aus gutem Grund verschlüsselt: damit diese nämlich nicht von böswilligen Akteuren missbraucht werden um unsere Wirtschaft oder Gesellschaft zu terrorisieren und zu destabilisieren.
«Die zunehmende Verschlüsselung stellt den Rechtsstaat infrage.»
Zuerst einmal: Ich glaube nicht, dass Verschlüsselung noch gross am Steigen ist. Weil schon das Meiste seit Jahren verschlüsselt ist. Und die (organisierte) Kriminalität waren die ersten, die das genutzt haben.
Und auch der Rechtsstaat profitiert davon. Ohne garantierte Privatsphäre ist weder das Rechtssystem noch die Demokratie gewährleistet. Beispielsweise würde das Vertrauen in unser Justizsystem aus den Fugen geraten, wenn die Kommunikation mit der Anwältin nicht mehr privat wäre. Oder die Demokratie würde zur Farce, wenn das Stimm- und Wahlgeheimnis nicht mehr garantiert wäre. Ebenso wenig könnten Fehlentwicklungen in Regierung oder Verwaltung noch aufgedeckt werden, wenn investigative Journalistinnen nicht mehr ungehindert mit Quellen kommunizieren könnten.
Die Privatsphäre ist die unabdingbare Basis für eine freiheitlich-demokratische Grundordnung. Und Verschlüsselung ist die technische Grundlage für ihre Umsetzung.
Verschlüsselung ohne Hintertür ist damit schlichtweg Voraussetzung für einen funktionierenden Rechtsstaat.
«Früher konnten wir fast hundert Prozent der Kommunikation abhören: Telefongespräche und der Postverkehr waren für Ermittler zugänglich.»
Auch wenn sie zugänglich waren: Diese Verklärung ist völlig fehl am Platz. Denn die Ermittler hatten weder die Abdeckung noch die Skalierbarkeit, die sie heute haben.
Die unzähligen Diskussionen am Küchen- oder Stammtisch, die Gespräche am Arbeitsplatz oder in einer Partei bzw. Gewerkschaft: Sie alle waren für Ermittler nicht zugänglich; dito für Gespräche mit Ärztinnen, Anwälte und Journalisten.
Heute finden viele dieser Gespräche online statt. Damit ist der vom BÜPF und VÜPF abgedeckte Verkehr deutlich gestiegen.
Auch war die Überwachung in den «guten alten Zeiten» schwierig. In den Schwarzweissfilmen sassen die Spione in unwirtlichen Gegenden, ihre Kopfhörer mit Bananenklemmen mit der Telefonleitung verbunden. Auch später war die Telefon- und Postüberwachung ein manueller Prozess. Jede einzelne Überwachung war mit Aufwand verbunden. Es gab keine Chance, die Überwachung im grossen Stil zu missbrauchen, ohne dass es offensichtlich wurde.
Ganz anders heute: Wenn jemand (ob gut oder böse) direkten Zugang zu den Überwachungsgeräten oder -schlüsseln hat, ist der Schritt von Einzelüberwachung zur Massenüberwachung sehr klein.
Ein viel grösserer Teil unseres Lebens wird heute durch digitale Kommunikation abgedeckt. Wenn die Privatsphäre hier fehlt, fehlt sie grundsätzlich. Ein Missbrauch allfälliger Überwachungsmassnahmen durch Ermittler oder Kriminelle skaliert ebenfalls viel besser und unauffälliger als früher™.
«Geht der Trend so weiter, können wir vielleicht künftig schwere Straftaten immer schlechter aufklären.»
Es ist bereits so gut wie jegliche Kommunikation verschlüsselt. Insbesondere diejenige von Straftätern, die ihr Verbrechen planen, wie z.B. bei Organisierter Kriminalität. Der Trend kann also nicht weitergehen.
Sobald es sich herumspricht, dass (nur) Schweizer Kommunikationskanäle von der Überwachung betroffen sind, wechseln die kriminellen Banden auf andere Kanäle. Oder bauen sich ihren eigenen. Die Organisierte Kriminalität ist auch in dieser Beziehung sehr gut organisiert. Als Resultat sind schwere Straftaten noch schlechter aufzuklären.
«Herrschen Gewalt und Verbrechen, haben wir ein massives Sicherheitsproblem.»
Gleichzeitig sehen wir eine Zunahme von autokratischen und faschistischen Tendenzen, auch in Europa. Und Autokratien haben sich schon immer über bestehende Überwachungs- und Kontrollmöglichkeiten ihrer Bevölkerung gefreut.
«Stellen Sie sich vor, Ihre Tochter würde entführt. Dann würden Sie wollen, dass sie erstens möglichst schnell gefunden wird und zweitens die Täter gefasst würden. Die Privatsphäre interessiert Sie dann nicht mehr.»
Lange Zeit wollte ich dieser unnötig provokanten Aussage nicht noch zusätzliche Prominenz geben.
Hier doch eine kurze Replik: auch eine Hintertür in Milliarden digitalen Kommunikationskanälen hilft da nicht weiter. Es ist eine ineffiziente Form der Ermittlung. Weder Mensch noch KI können diese Datenmengen (Texte, Sprachnachrichten, Bilder, Videos, …) genügend schnell und abstrakt durchsuchen; die Tochter wird nicht schneller gefunden. Und wenn die Tat doch am Küchentisch oder in einer verrauchten Bar geplant wurde, trägt diese Hintertür gar nichts zur Aufklärung bei.
Alleine ihr Vorhandensein gefährdet aber trotzdem alle anderen Menschen, die Wirtschaft, die Gesellschaft und die Demokratie.
Verschlüsselte Chats als Ermittlungshindernis?
Dass verschlüsselte Chats oft gar nicht das Ermittlungshindernis darstellen, welches Staatsanwalt Pajarola oben beschwört, bestätigt Anwalt Viktor Györffy auf Anfrage:
In der Realität wird das Problem der verschlüsselten Kommunikation übrigens meist dadurch «gelöst», dass die Geräte ausgewertet werden, auf denen die Chatverläufe gespeichert sind; oft auch bei nicht so schwerwiegenden Delikten. Bei diesen Durchsuchungen gibt es regelmässig auch Zufallsfunde, also Hinweise, aus denen sich ein Verdacht auf andere, zusätzliche Delikte ergeben, die mit dem ursprünglichen Verdacht nichts zu tun haben.
Schlussfolgerung
So wie das Energiegesetz nicht den Bau von Perpetuum mobiles oder gefährlichen Technologien fordert, so sollte auch bei der Überwachung nur das gefordert werden, was machbar ist und nicht sowohl Wirtschaft als auch freiheitlich-demokratische Gesellschaftsordnung übermässig gefährdet.
Entscheide für die Zukunft unserer Gesellschaft sollten sich an den bekannten Fakten orientieren. Und nicht an irgendwelchen unrealistischen Versprechungen von Leuten, die mit unrealistischen Versprechungen Geld verdienen. Und schon gar nicht an Hoffnungen klammern, die wissenschaftlich widerlegt wurden.
Schon im ausgehenden 20. Jahrhundert hatte sich gezeigt, dass Verschlüsselung nicht nur von den Guten aufgehoben werden kann. Durch die zunehmende Bedrohung durch Cyberkriminelle und Schurkenstaaten ist es noch gefährlicher geworden, in die zur Aufrechterhaltung der Demokratie nötige private Kommunikation Single Points of Failure einzubauen. Es hat sich gezeigt, dass diese früher oder später missbraucht werden.
Und die einzige Möglichkeit, diese Schwachstellen nicht dem Missbrauch zu öffnen, ist sie gar nicht erst zu bauen.
Anderswo im Interview wird die von der VÜPF-Revision geforderte Datensammlung durch den Vergleich mit globalen Datenkraken zu relativieren versucht. Ja, auch diese Datensammlungen sind gefährlich. Um so mehr erstaunt es, dass sich der Bundesrat bisher standhaft weigert, dieser gefährlichen Datensammelwut (und anderen gefährlichen Entwicklungen) durch globale Tech-Konzerne und andere Datenkraken Einhalt zu gebieten. Während die EU mittels DSGVO, DSA etc. wenigstens den Versuch unternimmt, ihre Bürgerinnen und Bürger vor diesen Angriffen zu schützen, bleibt derselbe Bundesrat stumm, der hier eine massive Verschärfung des BÜPF fordert. Scheinbar in der irrigen Hoffnung, dass der Kelch an uns allen vorübergehe.
Bedenklich finde ich auch, dass bei der Privatsphäre mit zwei Ellen gemessen werden soll. Während Pajarola – der mutmasslich auch Videoüberwachung und Gesichtserkennung wünscht – sein Gesicht (laut Bedingung für das Interview) nicht in der Öffentlichkeit sehen möchte, fordert er gleichzeitig ihm gegenüber von Normalsterblichen den Gläsernen Bürger.
Der Glaube an eine risikolose Überwachungstechnologie ist irrig. Und die Missbrauchsgefahr sowohl durch Datenkraken, Autokratien oder Kriminelle einfach zu gross und zu realistisch.
PS: Gegen all‘ zu neugierige Datenstaubsaugerkonzerne hilft, die Firmen mit entsprechenden Geschäftsmodellen – fast alle grossen Tech-Konzerne – möglichst zu vermeiden. Und sich zusätzlich mit wenigen Handgriffen gegen Tracking durch Dritte zu schützen.
VÜPF-Vernehmlassungsantworten (offizielles PDF und lokale Kopie. 84 MB gross, sehr langsam auf Mobilgeräten), 2025-05-23. Offizielle, unstrukturierte Sammlung der Antworten zur Revision VÜPF und VD-ÜPF.
Christoph Schmid: Der Nachrichtendienst missachtet seine eigenen Richtlinien, Zur Revision des Nachrichtendienstgesetzes, Digitale Gesellschaft, 2025-05-28. Auch das Nachrichtendienstgesetz soll künftig mehr Überwachungsrechte beinhalten, obwohl der NDB bereits jetzt ungestraft mehr überwacht als erlaubt.
Brock N. Meeks: Clipping Clipper: Matt Blaze, Wired, 1994-09-01. Angeblich sicherer Zugang zu verschlüsselten Nachrichten wurde vor 30 Jahren schon einmal versucht, mit dem Clipper-Chip. An den grundsätzlichen Problemen von damals hat sich kaum etwas geändert.
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
Need to let loose a primal scream without collecting footnotes first? Have a sneer percolating in your system but not enough time/energy to make a whole post about it? Go forth and be mid: Welcome to the Stubsack, your first port of call for learning fresh Awful you’ll near-instantly regret.
Any awful.systems sub may be subsneered in this subthread, techtakes or no.
If your sneer seems higher quality than you thought, feel free to cut’n’paste it into its own post — there’s no quota for posting and the bar really isn’t that high.
The post Xitter web has spawned soo many “esoteric” right wing freaks, but there’s no appropriate sneer-space for them. I’m talking redscare-ish, reality challenged “culture critics” who write about everything but understand nothing. I’m talking about reply-guys who make the same 6 tweets about the same 3 subjects. They’re inescapable at this point, yet I don’t see them mocked (as much as they should be)
Like, there was one dude a whil
... mehr anzeigen
Need to let loose a primal scream without collecting footnotes first? Have a sneer percolating in your system but not enough time/energy to make a whole post about it? Go forth and be mid: Welcome to the Stubsack, your first port of call for learning fresh Awful you’ll near-instantly regret.
Any awful.systems sub may be subsneered in this subthread, techtakes or no.
If your sneer seems higher quality than you thought, feel free to cut’n’paste it into its own post — there’s no quota for posting and the bar really isn’t that high.
The post Xitter web has spawned soo many “esoteric” right wing freaks, but there’s no appropriate sneer-space for them. I’m talking redscare-ish, reality challenged “culture critics” who write about everything but understand nothing. I’m talking about reply-guys who make the same 6 tweets about the same 3 subjects. They’re inescapable at this point, yet I don’t see them mocked (as much as they should be)
Like, there was one dude a while back who insisted that women couldn’t be surgeons because they didn’t believe in the moon or in stars? I think each and every one of these guys is uniquely fucked up and if I can’t escape them, I would love to sneer at them.
(Credit and/or blame to David Gerard for starting this. Also, happy Pride :3)
I don’t think it’sa stretch to see the independence of spacex classified as a national security risk and have it nationalised (though not called that, because that sounds too socialist) and have associated people such as elon declared traitors. Shouldn’t even be that difficult these days, seeing how he’s trashed his own reputation, and it’ll be good to encourage the other plutocrats to stay in line.
Night of the long knives is in the playbook, after all
@techtakes The real problem would be persuading Gwynne Shotwell to stay on as COO/President in event of nationalization. (I know nothing about her politics but she's the one who got SpaceX the NASA contracts and ramped Falcon 9 up to being the global launch superpower. If she's a personal friend of Elon a takeover that pushes her out could cause chaos.)
![Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,](https://marcel-waldvogel.ch/wp-content/uploads/2025/06/Phishingmail-annotiert.png "Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,")
![Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,](https://marcel-waldvogel.ch/wp-content/uploads/2025/06/Phishing-Schweizerdeutsch-Mouseover-Pfeil.png "Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,")
![Hier ist eine Analyse der Anzeichen für und gegen Phishing in der genannten E-Mail: Anzeichen FÜR Phishing Absenderadresse verdächtig Die Adresse „[ANONYMISIERT]@webuser.mail.hostpoint.ch“ wirkt unecht und ist nicht die offizielle Support-Adresse von Hostpoint. Seriöse Firmen nutzen in der Regel Adressen wie support@hostpoint.ch. Betreff mit Rechtschreibfehlern „Erneuere Sie lhre [ANONYMISIERTE DOMAIN] – Letzti Warnig“ enthält mehrere Fehler („Erneuere Sie“, „Letzti Warnig“), was bei offiziellen Mails äußerst ungewöhnlich ist. Viele Rechtschreib- und Grammatikfehler Die Mail ist voller Fehler und wirkt wie eine maschinelle oder schlecht übersetzte Nachricht („Sehr geehrti Kundin, sehr geehrte Kunde“, „Mir möchten Sie informiere“, „D'Erneuerigsgebühr betrait CHF 02.99“ usw.). Ungewöhnlich niedriger Betrag Die Gebühr von „CHF 02.99“ ist auffällig niedrig für eine Domain-Erneuerung und dient vermutlich dazu, Misstrauen zu vermeiden und schnelle Zahlung zu provozieren. Dringlichkeit und Drohung Es wird Druck aufgebaut („so schnäll wie möglich“, „Deaktivierig z'verhindere“, „Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert“), was ein typisches Merkmal von Phishing ist. Aufforderung zum Klick auf einen Link „Domain jetzt erneuere“ ist vermutlich ein Link, der zu einer gefälschten Seite führt, auf der Ihre Zahlungsdaten abgegriffen werden sollen. Fehlende persönliche Ansprache Es wird keine persönliche Anrede verwendet, obwohl Hostpoint als Domain-Provider die Kundendaten kennen sollte. Fehlende oder unvollständige rechtliche Hinweise Kein vollständiges Impressum, keine Kontaktdaten, keine echte Signatur.](https://marcel-waldvogel.ch/wp-content/uploads/2025/06/Phishinganalyse-Perplexity-Hostpoint-Teil-1.png "Hier ist eine Analyse der Anzeichen für und gegen Phishing in der genannten E-Mail: Anzeichen FÜR Phishing Absenderadresse verdächtig Die Adresse „[ANONYMISIERT]@webuser.mail.hostpoint.ch“ wirkt unecht und ist nicht die offizielle Support-Adresse von Hostpoint. Seriöse Firmen nutzen in der Regel Adressen wie support@hostpoint.ch. Betreff mit Rechtschreibfehlern „Erneuere Sie lhre [ANONYMISIERTE DOMAIN] – Letzti Warnig“ enthält mehrere Fehler („Erneuere Sie“, „Letzti Warnig“), was bei offiziellen Mails äußerst ungewöhnlich ist. Viele Rechtschreib- und Grammatikfehler Die Mail ist voller Fehler und wirkt wie eine maschinelle oder schlecht übersetzte Nachricht („Sehr geehrti Kundin, sehr geehrte Kunde“, „Mir möchten Sie informiere“, „D'Erneuerigsgebühr betrait CHF 02.99“ usw.). Ungewöhnlich niedriger Betrag Die Gebühr von „CHF 02.99“ ist auffällig niedrig für eine Domain-Erneuerung und dient vermutlich dazu, Misstrauen zu vermeiden und schnelle Zahlung zu provozieren. Dringlichkeit und Drohung Es wird Druck aufgebaut („so schnäll wie möglich“, „Deaktivierig z'verhindere“, „Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert“), was ein typisches Merkmal von Phishing ist. Aufforderung zum Klick auf einen Link „Domain jetzt erneuere“ ist vermutlich ein Link, der zu einer gefälschten Seite führt, auf der Ihre Zahlungsdaten abgegriffen werden sollen. Fehlende persönliche Ansprache Es wird keine persönliche Anrede verwendet, obwohl Hostpoint als Domain-Provider die Kundendaten kennen sollte. Fehlende oder unvollständige rechtliche Hinweise Kein vollständiges Impressum, keine Kontaktdaten, keine echte Signatur.")
![Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,](https://friend.enby-box.de/photo/preview/640/5895963 "Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,")
Erster Teil der Perplexity-Antwort für die Viagra-Mail (Mail ohne Absender/Empfängeradresse)
Teil 2 der Perplexity-Analyse der Viagra-Mail
Teil 1 der Perplexity-Analyse der Hostpoint-Mail (Mail mit Kopfzeilen: Von, An, Betreff)
Teil 2 der Analyse zur Hostpoint-MailGrosse Sprachmodelle können einige Merkmale von Phishing-Mails korrekt identifizieren. Her die Antworten von Perplexity.
Hier einige Stichproben dessen, was die angebliche Phishing-Loginseite anzeigte. In diesem Fall wurden die Farben zufällig erzeugt und eine zufällige, generische Willkommensnachricht gezeigt. Übrigens funktionierten die «Login mit Google/Microsoft»-Knöpfe nicht. (Weil diese nicht so einfach gephisht werden können.)
BigMuffin69
Als Antwort auf BlueMonday1984 • • •Ya'll seein this shit?
o7___o7
Als Antwort auf BigMuffin69 • • •axios.com/2025/06/05/elon-musk…
Old: Jacobins
Bold: Jerkobins
gerikson
Als Antwort auf o7___o7 • • •rook
Als Antwort auf gerikson • • •I don’t think it’sa stretch to see the independence of spacex classified as a national security risk and have it nationalised (though not called that, because that sounds too socialist) and have associated people such as elon declared traitors. Shouldn’t even be that difficult these days, seeing how he’s trashed his own reputation, and it’ll be good to encourage the other plutocrats to stay in line.
Night of the long knives is in the playbook, after all
Charlie Stross
Als Antwort auf rook • • •