Aus dem Internet-Observatorium

Share this post

Aus dem Internet-Observatorium
Aus dem Internet-Observatorium
Aus dem Internet-Observatorium #90
Copy link
Facebook
Email
Notes
More
I/O Schnappschüsse

Aus dem Internet-Observatorium #90

Lavender: Notizen zur nächsten Kriegs-KI / Microsofts Security-Shitshow / Quick Freeze und VDS / Trump stoppt FISA

Johannes Kuhn
Apr 11, 2024
Share

Hallo zu einer neuen Ausgabe - traditionell in der Sitzungswoche etwas verspätet.

Erstbestes Symbolbild via KI (Dall-E3)

Lavender: Notizen zur nächsten Kriegs-KI

Yuval Abraham aus dem Autorennetzwerk +972 Magazine hat vergangene Woche die Existenz eines weiteren KI-Militärsystems der israelischen Armee enthüllt: “Lavender” kennzeichnet alle verdächtigen Operateure, die Hamas-Einheiten sowie dem Islamischen Dschihad zugerechnet werden, als Ziele.

Den (anonymen) Quellen zufolge wertet es dafür Daten zu fast allen der 2,3 Millionen Einwohner des Gaza-Streifens aus und weist den Personen Wahrscheinlichkeitswerte zwischen 1 und 100 zu, ob es sich um Kämpfer/Terroristen handelt. Zwischenzeitlich seien 37.000 Personen als solche Kämpfer identifiziert worden. “Lavender” ist sozusagen der Filter für Personen, die dann im bereits bekannten System “Habsora” (“Das Evangelium, siehe Ausgabe #74) lokalisiert und als an- oder abwesend gekennzeichnet werden. Israels Militär bestreitet die Darstellung des Magazins und betont, die eingesetzten Systeme dienten nur als Werkzeuge, Informationen und Querverweise für Analysten zusammenzufügen.

Zwei Probleme werden in Abrahamas Artikel betont: Einmal der große Spielraum, der bei Bombenangriffen in Sachen ziviler Opfer gelassen wird. Für hochrangige Hamas-Leute demnach bis zu 100 Zivilisten und Zivilistinnen, bei unwichtigeren Mitgliedern zumindest zu Beginn des Kriegs bis zu 15 zivile Opfer. Das zweite Problem ist, wie bei Habsora: die offenbar gängige Praxis, sich mehr oder weniger ohne größere menschliche Überprüfung auf die Angaben des Systems zu verlassen und Tötungen zu veranlassen.

Damit sind wir bei einer weiteren Form des technischen Wettrüstens, auf die Ryan McBeth indirekt hinweist: Denn sowohl die “Opferzahltoleranz”, als auch die Verkleinerung des menschlichen Faktors im “Loop” sind letztlich aus militärischer Perspektive Zugewinne der Kampffähigkeit. In einer Welt, in der zwei KI-gesteuerte Armeen gegeneinander kämpfen, können Opfertoleranz und Zielauswahl-Geschwindigkeit zentrale Vorteile sichern. Entsprechend ist nicht unwahrscheinlich, dass die ethischen Fragen in diesem Kontext im Laufe der Zeit ausgeblendet werden. Immer noch gibt es keine Konvention zum Verbot von autonomen Tötungssystemen. Aber wenn es nur darum geht, den Systemvorschlag für Tötungsziele mit “Okay” zu bestätigen, löst auch ein Killerroboter-Verbot nur einen Teil des Problems. Denn die Welt hat sich verändert, wie neulich Georgi Gotev von Euractiv feststellte (übersetzt):

“Tötungsmaschinen haben inzwischen eher den abstrakten Charakter eines Algorithmus als den filmfreundlichen Aspekt eines humanoiden Roboters.”

Der gesamte Prozess der “Systemisierung” von Tötungen, daran erinnert Kevin Baker, verändert etwas. Ein technologischer Schleier legt sich über das eigentliche Geschehen. Zitat (übersetzt und gefettet):

“Die Genauigkeit, Effizienz und Fairness dieser Systeme ist nicht der springende Punkt, und daher wird das Öffnen der Blackbox Ihnen sehr wenig darüber verraten, wie sie funktionieren. Der wahre Prozess ist direkter sozial: Sie operieren durch einen Prozess, den ich als “technologische Delegation” betrachte. Sie funktionieren, indem sie Fragen der Verantwortung und Handlungsmacht hinter einem Schleier der Technologie mystifizieren und subtil das Thema wechseln. (…) Es sind Maschinen zum Verstecken, Instrumente des moralischen und rechtlichen Arbitragehandels. Als solche erfassen die normalen Formen der KI-Kritik das Problem nicht nur falsch, sondern sie helfen aktiv dabei, die Illusion zu vertiefen, indem sie die Aufmerksamkeit zu sehr auf die Technologiepolitik fokussieren.”

Noch sind wir in einer Zeit, in dem wir den Unterschied zwischen einem Krieg mit und einem Krieg ohne KI-Systeme zur Tötungsentscheidung erkennen können. Aber ich befürchte, diese Zeit wird nicht mehr lange andauern.

Share

Microsofts Security-Shitshow

Vergangenen Sommer musste Microsoft einräumen, dass der Firma der Masterkey für die Azure-Cloud gestohlen wurde (der aber eigentlich nur für Outlook-Dienste hätte gültig sein dürfen). Hacker, die der chinesischen APT-Hackergruppe Storm-0558 zugerechnet werden, konnten damit auf die Online-Exchange-Accounts des Außenministeriums sowie eines Abgeordneten zugreifen. Entdeckt hatte den Hack das US-Außenministerium, nicht Microsoft selbst.

Nun hat das Safety Review Board der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CSRB) den Bericht dazu vorgelegt (hier als pdf). Und der ist ziemlich vernichtend. Eine Auswahl:

  • Fehlendes Bewusstsein für Sicherheitsbedrohungen: Microsoft habe eine “Kaskade vermeidbarer Fehler” begangen, weil Sicherheitsmaßnahmen nicht eingehalten oder übersehen wurden. Microsofts Unfähigkeit, die Kompromittierung seiner essenziellen kryptografischen Ressourcen selbst zu bemerken, zeige ein gravierendes Versäumnis in der Überwachung und Reaktion auf Sicherheitsbedrohungen.

  • Mangel an Sicherheitskontrollen: Im Vergleich zu anderen Cloud-Anbietern fehlen Microsoft laut Bericht entscheidende Sicherheitskontrollen. Diese Lücke in der Sicherheitsinfrastruktur habe den Weg für den Angriff geebnet und zeige eine Unterbewertung von präventiven Sicherheitsmaßnahmen innerhalb des Konzerns.

  • Lügen in der Kommunikation und verzögerte Reaktion: Microsofts Behauptung im September 2023, die Ursache des Vorfalls gefunden zu haben, war gelogen. Nicht nur das: Die Falschinformation wurde erst im März diesen Jahres richtiggestellt. Dies zeuge von mangelnder Transparenz und fehlendem Verantwortungsbewusstsein. Wiederholte schwere Sicherheitsvorfälle deuteten auf eine Unternehmenskultur hin, die Sicherheit und Risikomanagement eine zu geringe Priorität einräumt. Übrigens weiß man bis heute noch nicht, wie der Masterkey in die Hände der Hacker gelangen konnte.

Die Konsequenzen sind allerdings sehr gering: Der Firmenvorstand wird dazu aufgefordert, die Sicherheitskultur der Firma zu reformieren. Sanktioniert werden die Fehler aber nicht - und die US-Regierung samt ihrer Behörden ist weiterhin ein Großkunde, der vergangenes Jahr eine halbe Milliarde US-Dollar an die Firma überwiest.

Übrigens musste Microsoft im März einräumen, dass man immer noch nicht die Hacker des russischen Auslandsgeheimdienstes aus dem System werfen konnte, die sich im November Zugang zu den E-Mail-Systemen von Microsoft-Managern verschafft hatten und so an diverse Zugangsdaten für interne System sowie Source-Code-Material gelangten.

Damit hätten wir:

2020: Solarwinds-Hack auf Supply-Chain-Ebene (Akteur: Sunburst)

2022: Veröffentlichung von 37 Gigabyte interner Microsoft-Daten (Akteur: Lap$us)

2023: Der oben beschriebene Masterkey-Hack (Akteur: Storm-0558)

2024: Der oben beschriebene Angriff aus Russland (Akteur: Cozy Bear)

In einer Welt, in der Cybersicherheit die notwendige Relevanz in der öffentlichen Debatte hätte, würden wir jetzt auch in Deutschland darüber diskutieren, wie ein möglichst reibungsloses und weitgehendes Decoupling sensibler öffentlicher Systeme von Microsoft gelingen könnte.

Quick Freeze und VDS

Als Innenministerin Nancy Faeser am Dienstag erklärte, wie wichtig doch die Wiedereinführung der Vorratsdatenspeicherung sei, war die Einigung von SPD und FDP auf das Quick-Freeze-Verfahren (erst Verdacht schwerer Straftat, dann Richterbeschluss, dann vorläufige Speicherung) im Hintergrund schon vollzogen.

Faesers Äußerung ist nicht das einzig Rätselhafte (hinter der natürlich auch wieder ein Koordinations-Fuckup stecken könnte). Denn existierende VDS-Paragraphen im Telekommunikationsgesetz wird auf Drängen der SPD nun nicht gestrichen. Dabei wurde er bereits höchstrichterlich gekippt.

Dass dieser tote Paragraph nun im parlamentarischen Verfahren durch die SPD-Innenpolitiker eine Wiederbelebung erfährt, sollte mit FDP und Grünen eigentlich ausgeschlossen sein. Und auch eine weitere Theorie zieht nicht: dass die Bundesnetzagentur, die das Gesetz ja nicht umgesetzt hat, auf Geheiß einfach nur die IP-Adressspeicherung anknipsen müsste (unter Verweis darauf, dass der EuGH hierfür ja in engen Grenzen die Tür geöffnet hat). Zitat aus der Pressemitteilung zum Urteil des Bundesverwaltungsgerichts im vergangenen Spätsommer (gefettet):

“Soweit sich die Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung auf die Bereitstellung von Internetzugangsdiensten und in diesem Rahmen u.a. auf die dem Teilnehmer zugewiesene IP-Adresse bezieht, umfassen die unionsrechtlich zulässigen Zwecke nach der Entscheidung des EuGH zwar auch die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit. Eine entsprechende Beschränkung der Speicherungszwecke sieht die Regelung im Telekommunikationsgesetz jedoch nicht vor. Die für die Ermittlung der Speicherzwecke maßgebliche Regelung der Verwendungszwecke im Rahmen einer Bestandsdatenauskunft geht deutlich über den unionsrechtlichen Rahmen hinaus.”

Mal sehen, ob die Motive klarer werden, wenn Buschmann den finalen Quick-Freeze-Gesetzentwurf vorlegt. Festzuhalten bleibt, dass das Thema Vorratsdaten weiterhin ein Abwehrkampf bleibt. Eine Große Koalition würde die VDS ohne Zweifel in den Koalitionsvertrag schreiben. Da Koalitionen in absehbarer Zeit aber nur in Dreierbündnissen möglich sein dürften, kommt es hier am Ende auf das Verhalten des dritten Koalitionspartners an. Zumindest die FDP dürfte hier in einer Deutschlandkoalition Beharrungsvermögen zeigen.

Trump stoppt FISA

Mit einem nächtlichen Social-Media-Post hat Ex-Präsident Donald Trump die Republikaner im Repräsentantenhaus dazu gebracht, das Datenspionage-Gesetzes Foreign Intelligence Surveillance Act (FISA) erst einmal nicht zu verlängern. Sein Argument, sinngemäß: Das Ganze ist ein Instrument des Deep State.

Damit läuft das Gesetz am 19. April aus. Zuletzt hatten Sicherheits- und Bürgerrechtspolitiker darum gerungen, ob die Daten von US-Amerikanern, die mit überwachten Ausländern kommunizieren, nur mit einem richterlichen Beschluss ausgewertet werden dürfen.

Bekanntermaßen gibt es zu FISA und der berühmten “Section 702” mit seiner Datenspionage-Erlaubnis gegen Nicht-Amerikaner seit Jahren Diskussionen - allerdings in den USA nur bei der Frage, was mit den Daten von US-Amerikanern passiert, die mit Überwachungszielen im Ausland kommunizieren und ins Schleppnetz geraten.

Obwohl das Gesetz ausläuft, kann es noch mindestens ein weiteres Jahr angewendet werden - das hatte der Foreign Intelligence Surveillance Court (FISC) entschieden. Was zeigt, dass FISA nicht nur als klandestines, sondern auch als geschlossenes System funktioniert, losgelöst von echten Kontrollmöglichkeiten.

Bis zur nächsten Ausgabe!

Johannes

Share

No posts

Ready for more?

© 2024 Internet Observatorium
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great culture

Share

Copy link
Facebook
Email
Notes
More