Video-Player: Feindliche Übernahme durch Untertitel

Wie schon mal hier festgehalten, handelt es sich bei der Sicherheit in der Informatik um ein Katz und Maus Spiel. Wird ein Loch in der Software geschlossen, findet sich über Kurz oder Lang ein Weiteres an einem anderen Ort. Software ist so lange sicher, bis sie von der Öffentlichkeit verwendet wird. In dem Moment fangen die Bösewichte die Suche nach dem schwächsten Glied an. Und, da muss man jede Hoffnung fahren lassen, sie werden sie finden. Solange es sich nur irgendwie lohnt. So auch zuletzt bei einigen Videoplayern.

Screenshot des "Über"-Fensters des VLC-Players.

Erst mit der Version 2.2.6 Umbrelle ist die Sicherheitslücke bei den Untertiteln behoben. Falls das Update noch nicht von selbst gekommen ist, muss in der Rubrik Hilfe manuell nach Updates gesucht werden.

Unbegrenzte Kreativität der Bösewichte
Seit ich die Neuigkeiten im Bereich der Informatik-Sicherheit verfolge, bin ich immer wieder überrascht und beeindruckt, auf welche Ideen Hacker kommen, um sich in unsere Computer einzuschleichen. Aber das ist auch ihr Job. Das bekannte IT-Sicherheitsunternehmen Checkpoint Security Research hingegen gab vor kurzem bekannt, dass nun sogar einige Videoplayer bzw. die für die Untertitel verantwortlichen Teile eine Sicherheitslücke aufweisen. Durch einen Fehler im Code könnten mit Schadsoftware infizierte Untertiteldateien geladen werden. Die Folge wäre dann der Verlust der Kontrolle über den Computer.

Drei Monate Reaktionszeit üblich
Unter den betroffenen Playern sind auch sehr bekannte Namen wie VLC und Kodi. Alles in allem wären damit 200 Millionen Computer in Gefahr. So wie es die Gepflogenheiten in diesen Fällen verlangen, benachrichtigten die Entdecker die betroffenen Unternehmen und geben ihnen drei Monate Zeit auf das Problem zu reagieren. Reagieren die Schöpfer dieser Software nicht wird das Sicherheitsloch nach Ablauf dieser Frist veröffentlicht. Mit dem Schritt in die Öffentlichkeit wird die Sicherheitslücke zum allgemein verwertbaren Gut für Bösewichte.

VLC-Update schon bereit
Zum Glück reagierten in diesem Fall mindestens ein Hersteller schon auf die erste Benachrichtigung. So war zur Zeit der Veröffentlichung beim VLC Mediaplayer (170 Millionen Downloads!)  auch ein Update vorhanden. Das heisst: Alle die VLC oder andere betroffene Player verwenden, müssen nach einem Update Ausschau halten. Und diejenigen Hersteller, die kein Update anbieten, sollten gemieden werden.  Nicht zuletzt damit haben die Macher des VLC-Players wieder einmal ihre Klasse bewiesen. Das ist ein Stück Software, dass ich nur empfehlen kann. Das Ding kommt wohl mit fast jedem frei verfügbaren Format zurecht und kann selbst Videos abspielen, die als Dateien nicht komplett sind (z.B. beim Abbruch des Downloads).

Phishing – Katze und Maus im Aufrüstungswettlauf

Viele Hackerangriffe, die in den Medien bekannt werden, beginnen mit einem Vorgang, der in der Informatik Phishing heisst. Bei Phishing versucht der Angreifer mit einer scheinbar echten, aber gefälschten Website an persönliche Daten wie z.B. Anmeldedaten usw. zu kommen. Jeder von uns hat schon mal ein solches E-Mail im Posteingang gehabt. Viele Menschen fallen immer noch auf diesen Trick rein. Blöd nur, wenn man so heikle Inhalte preisgibt. So zum Beispiel auch John Podesta, Wahlkampfleiter der US-demokratischen Präsidentschaftskandidatin Hillary Clinton wurde Opfer einer Spear-Phishing-Attacke (gezielte Methode mit mehr spezifischen Informationen über das Opfer).

Screenshot aus dem eigenen Postfach

Hier ist eindeutig nicht die Eidgenössische Steuerverwaltung der Absender: Die E-Mail-Absenderadresse stimmt nicht, es gibt keinen Text, der irgendetwas erklärt und das E-Mail enthält eine unbekannte ZIP-Datei. Alles zusammen ein klarer Fall!

Ruhe und kühlen Kopf bewahren
Um solche (Spear)-Phishing-Angriffe zu erkennen braucht es eigentlich nicht viel. Das Wichtigste ist ein gesundes Mass an Misstrauen und ein wenig Geduld. Man muss sich die Zeit nehmen, das erhaltene E-Mail zu begutachten und die wichtigsten Erkennungsmerkmale abzuklappern. Manchmal ist es aber auch klar: Banken werden ihre Kunden nie zur Eingabe der Anmeldedaten auffordern. Ebenso schickt einem die Steuerverwaltung keine unaufgeforderte E-Mail mit Anhängen …

Innerlich mit ein paar Vorstellungen aufräumen
Nicht zuletzt sollte man sich klar machen: Es gibt keine Geschenke, die man einfach so aus dem Internet erhält und man erhält keine Post von Fremden, die einem einfach so helfen wollen. Für die Sicherheit des eigenen Computers interessiert sich niemand ausserhalb des eigenen Freundeskreises.

Sichere Hinweise und Verhaltensweisen
Abgesehen von diesen Verdachtsmomenten gibt es verschiedene sichere Anzeichen für einen Betrug: Die Sprache in den E-Mails ist meist schlecht und die Ziel-URL stimmt nicht mit dem Absender überein (eine gute Übersicht hier). Wann immer ich ein E-Mail mit unbekanntem Absender erhalte, lösche ich es, ohne auf etwas zu klicken oder den Anhang zu öffnen. Sollte es ein wichtiges E-Mail gewesen sein, wird mich die andere Person mit Sicherheit nochmals kontaktieren. Und sollte mich mal eine Anfrage halbwegs überzeugen, dann folge ich nie dem mitgeschicktem Link zu einer scheinbaren Anmeldeseite, sondern öffne den Browser und gehe von selbst auf die betreffende Anmeldeseite.

Es ist ein Katz- und Maus-Spiel
In der Zwischenzeit versuchen die Betrüger, uns Stück für Stück die Erkennungsmerkmale wegzunehmen. Das zeigte letzthin das Google-Drive-Phishing mit einer echten Google-Anmeldeseite. In diesem Fall konnte man den Betrug nur noch anhand eines seltsamen E-Mail-Namens erkennen. Mittlerweile ist auch auf die URL im Browserfenster nicht mehr auf den ersten Blick Verlass. Verwendet der Angreifer bei der Registrierung der falschen Website einen anderen Schriftsatz, kann aus www.xn--80ak6aa92e.com einfach www.apple.com werden (erst wenn man es ausprobiert, kann man es glauben). Nur wenn man sich das Verschlüsselungszertifikat genauer ansieht, kann man feststellen, dass es auf www.xn--80ak6aa92e.com ausgestellt wurde.

Firefox kann helfen, auf die anderen Browser kann man nur hoffen
Auf dieses Phänomen machte vor ein paar Tagen Xudong Zheng einem Blogpost aufmerksam. Was dagegen tun? In erster Linie hoffen, dass man nie davon überrumpelt wird und dass die Browser-Hersteller möglichst schnell etwas dagegen unternehmen. Bis dahin können Nutzer des Firefox-Browsers eine Änderung an den Einstellungen machen, um den richtigen Domain-Namen angezeigt zu bekommen. Die Anleitung dazu findet sich im unteren Drittel von Xudong Zhengs Blogpost.

FTC mit einem Schuss vor den Bug von D-Link

Jeder kennt diesen Moment, wenn man voller Bestätigung zu sich selbst sagt: „Endlich! War aber auch schon höchste Zeit!“. So einen angenehmen Moment durfte ich vor zwei Wochen erleben, als ich auf dem Weg ins Training war. In einem meiner Podcasts hörte ich, wie die Federal Trade Commission  (FTC) in den USA ihre eigene Subline „Protecting America’s Consumers“ auch mal in einem neuen Bereich der Konsumentenwelt ernst genommen hatte: Sie klagte den taiwanesischen Hersteller D-Link wegen mangelnder IT-Sicherheit bei mehreren seiner Produkte an.

Webkamera auf einem Flachbildschirm

D-Link ist hoffentlich nur der erste Hersteller, der von einer Klage betroffen sein wird.

Schludriger Umgang mit der Sicherheit
Unter den von der FTC aufgelisteten Verfehlungen fanden sich z.B. das „harte codieren“ von Passwörtern in Hardware, sodass die Passwörter nicht geändert werden können (so ist der Zugang von Fremden auf die Life-Feeds von Webcams im eigenen Haus möglich). Ausserdem speichern die Apps von D-Link die Login-Daten auf dem Smartphones unverschlüsselt. Dies ermöglicht es anderen Apps diese auszulesen und Fremden zur Verfügung zu stellen. Nicht zuletzt hatte der falsche Umgang mit dem geheimen Sicherheitsschlüssel von D-Link zur Folge, dass der Sicherheitsschlüssel sechs Monate lang online der Öffentlichkeit zugänglich war…

D-Link meiden
Gemäss diesen Erkenntnissen argumentiert die FTC in der Klage, dass D-Link irreführende (Sicherheits)-Versprechen gegenüber den Kunden gemacht und dadurch die Privatsphäre der Nutzer riskiert habe, indem minimale IT-Sicherheitsstandards nicht eingehalten worden seien. Diese Klage erstreckt sich über verschiedene Produkte und sollte allen Nutzern ernsthaft zu denken geben. Sogar ich, wahrlich kein Experte für IT-Sicherheit, weiss, dass es sich hier um Anfängerfehler handelt. Ich werde D-Link von meiner Einkaufsliste streichen.

Wo kein Schaden, da kein Kläger?
Interessant war dann noch die Reaktion des angeklagten Unternehmens. Gemäss eines Artikels von PCWorld reagierte D-Link mit dem Argument, dass die FTC keinen Schaden nachweisen könne. Es bleibt abzuwarten, ob die FTC noch mit Fällen von Geschädigten aufwarten kann. Auf jeden Fall lohnt es sich, diesen Fall weiter zu beobachten, denn hier wird indirekt über den Wert von Privatsphäre im digitalen Raum verhandelt.

Traraaaa! Die Schlacht ist eröffnet!
Wie auch immer dieser Gerichtsfall ausgeht: Ich sehe diese Anklage als ersten Wink mit dem Zaunpfahl an die Hersteller der Internet-of-Things-Produkte, sich in Sachen Sicherheit mehr anzustrengen. Endlich! War aber auch schon höchste Zeit!

Passwörter: den eigenen Schweinehund überwinden

Aufgrund meiner Interessen und meiner Arbeit gehöre ich zu dem Teil der Bevölkerung, die gelegentlich dem anderen Teil der Bevölkerung Fragen zu Computern, dem Internet und zur Informatik im Allgemeinen beantwortet. Ausserdem biete ich, wie wohl auch viele unserer Leser, erweiterten Supportdienst in meinem sozialen Netzwerk (nein ich meine nicht Facebook). Deswegen erreichen mich zuweilen auch unterhaltsame Anfragen wie die im Bild an Sonntag-Abenden um 21 Uhr.

Screenshot von Handy

Informatik-Support kann eine unterhaltsame, aber auch hoffnungslose Angelgenheit sein…

Zeitverzögertes Verantwortungsbewusstsein
Unter diese Anfragen fallen auch solche zur Sicherheit im Netz – und diesbezüglich bin ich Skeptiker. Regelmässig berichten kleine und grosse Unternehmen, dass die Daten ihrer Nutzer gestohlen wurden. Zuletzt wurde das Riesenunternehmen Yahoo mit dem Verlust von sicherheitsrelevanten Daten von 500 Millionen Nutzern (über 70% aller Nutzer) durch die Schlagzeilen gezogen. Obwohl der Diebstahl schon 2014 stattfand, fühlte sich das Unternehmen erst jetzt genötigt, vor dem Kauf durch Verizon die Sache öffentlich zu machen. Dieses Versagen auf multiplen Ebenen ist ein heisser Kandidat fürs Lehrbuch im Kapitel „Wie bescheuert kann man sein?“

Regelmässige Erneuerung
Wie auch immer. Sicherheit ist ein stetiger Prozess – kein Zustand. Sozusagen ein andauerndes Katz und Maus-Spiel mit den bösen Buben. Und da müssen auch wir als Nutzer unseren wichtigen Teil dazu beitragen und gegen unsere Faulheit ankämpfen: Die Faulheit bezüglich der eigenen Passwörter. Was uns die Datenlecks nämlich lehren, ist die elementare Bedeutung des regelmässig geänderten Passwortes. Tut man das nicht, dann ist es völlig sinnlos, sich über die Liste der beliebtesten Passwörter des Jahres zu amüsieren. Mit regelmässig geänderten Passwörtern reduziert sich auch das Risiko wie im Fall Yahoo.

Passwort-Software eine gute Idee?
Über die Nützlichkeit von Programmen und Apps die Passwörter verwalten kann man sich streiten. Sie ermöglichen zwar die Verwendung von langen und sicheren Passwörtern, aber nützen auch nichts, wenn diese gestohlen werden. Andererseits gibt es mit einem Masterpasswort einen Single Point of Failure und das Sicherheitsproblem bei Lastpass zeigte, dass auch diese Software nicht von Lücken verschont bleibt. Ich persönlich empfehle auch die Sicherheitsfragen, so weit es geht, zu vermeiden. Und wenn das nicht geht, dann eine völlig falsche Antwort zu geben und diese wie ein Passwort gut zu verwahren. Die gleichen Sicherheitsfragen werden an verschiedenen Orten verwendet und ein Leck auf Plattform A kann das Konto auf Plattform B gefährden.

Vernetzte Dinge – das offene Scheunentor portofrei geliefert

Als ich vor einigen Jahren mit dem Informatik-Journalismus anfing, entwickelte sich die Cloud gerade zum neuen Trendthema, das das Internet bzw. die damit verbundenen Businessmodelle komplett revolutionieren sollte. Heute treibt das Tech-Business eine neue Sau durchs Dorf. Sie heisst Internet der Dinge (oder IoT – Internet of Things). Dabei handelt es sich im Grundsatz um die Idee, alles, was nicht niet- und nagelfest ist, mit dem Internet zu verbinden und daraus einen kostenpflichtigen Service zu machen.

Zehn Überwachungskameras sind auf ein Babybett gerichtet.

Ist das die Sicherheit, die wir wollen? (John Trashkowsky an der Jungkunst 2015 in Winterthur)

Internet der Dinge als Fortsetzung des Cloud-Gelabers
Als logische Fortsetzung  des früheren Cloud-Mantras ist das Internet der Dinge primär die gleiche Art von Strohhalm, an den sich Firmen klammern, deren Produkte zum belanglosen Gebrauchsgegenstand ohne Gewinnmarge geworden sind. Aus einer Glühbirne wird ein Dekorations-Must-have-Gegenstand, den ich auch noch steuern kann, wenn ich nicht einmal weiss, in welcher Zeitzone ich mich befinde. Gleichermassen ist es uns jetzt möglich, unser Neugeborenes via Kamera im Schlaf zu beobachten (und Wildfremden übrigens auch.)

Schnell, schnell – was kümmert mich jetzt die Sicherheit
Abgesehen vom Potenzial zum Fetisch gibt es sicherlich auch nützliche Anwendungsmöglichkeiten. Der Haken an der ganzen Sache ist, dass sowohl die Cloud als auch das Internet der Dinge eine Gemeinsamkeit haben: Sie beruhen auf dem Internet, das nicht für Sicherheit entworfen wurde. Ausserdem wiederholt sich beim Internet der Dinge die Geschichte: Etablierte Unternehmen begehen bezüglich Sicherheit Anfängerfehler, nur weil sie möglichst schnell mit ihren Produkten auf den Markt kommen wollen. Erschwerend kommt noch dazu, dass viele IoT-Geräte von Unternehmen hergestellt werden, die von Sicherheit im Netz keinen blassen Schimmer haben und sich auch nur peripher dafür interessieren.

Zugriff aufs Internet bedeutet ein erhöhtes Sicherheitsrisiko
Es gibt zuhauf Beispiele dafür. Kürzlich veröffentlichte das Unternehmen Rapid 7 einen Bericht über die Sicherheit von Baby-Überwachungsgeräten (engl. Baby-Monitor). Die Ergebnisse waren erschreckend. Alle Geräte verzeichneten Risiken auf der Ebene von Software-, Hard- und/oder Firmware. Was erschwerend dazu kam, ist die Art und Weise, wie die Hersteller auf die Sicherheitslöcher reagierten. Es schien sie wenig zu stören, dass z.B. die Audio- und Videodaten weltweit abgefangen werden können oder ihre Geräte Löcher wie Scheunentore in das heimische WLAN reissen.

Das Internet der Dinge ist eine schöne Sache. Da lauert viel Potenzial für Effizienz und Bequemlichkeit. Es ist ja auch toll: Endlich kann ich das Licht per App abschalten, ohne vom Sofa aufstehen zu müssen. Aber nur solange ich der Einzige bin, der die Fernbedienung in der Hand hat.

OPM – ein Hoch auf die gelebte Daten-Transparenz

OPM – in der Schweiz oder in Europa kaum bekannt, etabliert sich in den USA diese blasse und bürokratische Behörde gerade zu einem stehenden Begriff für Datenverlust in unbekanntem Ausmass und Missmanagement in der Informatik-Sicherheit, der seinesgleichen sucht. OPM, kurz für Office for Personnel Management, ist sozusagen die HR-Abteilung der Bundesbehörden in den USA.  OPM ist aber nicht nur für durchschnittliche Bürojobs verantwortlich, sondern kümmert sich unter anderem auch um die Background-Checks bei hoch-sensitiven Jobs. Dementsprechend ausführlich sind die erstellten Dossiers.

Nahaufnahme eines Dollarscheines. Zu sehen ist der Satz: In God We Trust.

Ja, manchmal bleibt uns nichts anderes übrig, als auf den Schutz des Allmächtigen zu hoffen. Aber Vertrauen? Woher?

Datenschutz ist was für Warmduscher
Da könnte man ja meinen, da würde mit den Daten besonders vorsichtig umgegangen. Und es würden sicherlich keine Kosten und Mühen gescheut, die Vertraulichkeit der Angestellten und denjenigen, die es werden wollten, zu schützen.

Naja, nicht ganz. Sagen wir mal so: Der Himmel ist blau, das Wasser ist nass und Datenschutz ist nur was für Schattenparkierer … Wäre ich zynisch, würde ich denken, das Motto von OPM sei: Alle fordern ständig Transparenz – wir gehen mit gutem Beispiel voran und speichern die Dossiers transparent in kaum geschützten Datenbanken.

Grossraum Zürich kompromittiert
Im Juni dieses Jahres sickerte durch, dass das ganze Informatik-System kompromittiert und einige der OPM-Datenbanken kopiert wurden. Die Zahl der geleckten Dossiers wirkt auf den ersten Blick recht gross: über 22 Millionen Menschen (je nach Quelle) führen von nun an ein deutlich transparenteres Leben. Setzt man die Zahl in den richtigen Kontext, wirkt sie noch monströser als vorher: Über 22 Millionen Menschen sind mehr als ein Achtel aller Arbeitstätigen in der USA!  Man stelle sich vor, die Lebensläufe und Dossiers von allen Menschen im Grossraum Zürich (ca. 600 000 Menschen) würden von einem Tag auf den anderen unkontrolliert im Internet rumgeistern.

Datensicherheit – keine Frage des Geldes sondern eine Geisteshaltung
Ein vertiefter Blick auf die Geschichte offenbart eine grosse Menge an Fehlern und einen hohen Grad an Ahnungslosigkeit, mit dem operiert wurde. Klar, diese toxische Kombination gibt es öfters. Deswegen ist der Reflex, diese Episode als weiteren Datenverlust abzubuchen, sofort da. Etwas sollte uns aber doch zu denken geben: Es gibt sie wirklich, diese Monsterdatenbanken, in denen wir alle drin stecken und deren Sicherheit nicht gewährleistet wird. Nicht alle Unternehmen und Organisationen haben unser Vertrauen bezüglich Datensicherheit verdient. Und es sind nicht die grossen Unternehmen, die es besser machen: OPM hat ein jährliches Budget von 2 Milliarden US-Dollar und erst Anfang des Jahres Wind davon bekommen, dass da so einiges schief läuft…

Auch Kotzbrocken können die Wahrheit sagen

Als durchschnittlich normal erzogener Mensch wird man von den Eltern angehalten, seinen Mitmenschen positiv zu begegnen. Erst später merkt man dann, dass es einfach Leute gibt, denen man mit der Beschreibung Ohrfeigengesicht schlichtweg schmeichelt. Neulich begegnete ich einem solchen Kandidaten. Zum Glück nicht in Persona, nur virtuell, sodass ich mir nicht überlegen musste, ob ich mich jetzt strafbar mache…

Ein künstlicher Schneemann in einer englischen Telefonzelle.

Vielleicht waren die Hoffnungen auf Regulierung so deplaziert wie der Schneemann in der Telefonzelle.

That’s it? Cool!
Ich stolperte über folgendes Zitat (frei übersetzt): „Wenn mir jemand gesagt hätte, diese Snowden-Geschichte würde während zwei Jahren ein Alptraum sein, doch am Ende würde sich lediglich ändern, dass man für die Daten den Umweg über das Gericht gehen muss und die Daten würden dann von den Telefonanbietern gespeichert. Und das nach zwei Jahren. Dann hätte ich gesagt: Cool!

Dümmliches Lachen inklusive
Dieses an Arroganz und Respektlosigkeit gegenüber der Bevölkerung kaum zu überbietende Gelaber stammt von Michael Hayden, dem ehemaligen Direktor der NSA und später des CIA. In seinem hilflosen Versuch sich beim Publikum anzuwanzen hat nicht einmal das dümmliche Lachen gefehlt.  Während eines Interviews mit dem Wall Street Journal wähnte er sich wohl unter Seinesgleichen und glaubte sich nicht mehr verstecken zu müssen. (Die erwähnte Nummer dieses verhinderten Stand-up-Komikers gibt es hier zu sehen). Er hält übrigens Folter für eine „verschärfte Verhörmethode„, die wertvolle Erkenntnisse bringen kann.

Verpasste Chance
So unappetitlich Haydens verbaler Auswurf auch war, so hat er doch leider Recht. Zusammengefasst ist das die Quintessenz nach zwei Jahren Zeitungsmeldungen, Kommissionssitzungen und Skandalen. Gratulation: Der Berg hat eine Zwergmaus geboren! Und das ist besonders tragisch, da es sich bei diesem Teil unserer täglichen Bespitzelungsdosis, (der von Regierungen ausgeht) um den Teil handelt, der am einfachsten zu regulieren wäre.

Sammeln auf Teufel komm raus
Eigentlich gäbe es hierzu nichts mehr zu sagen. Trotzdem: noch zwei Kleinigkeiten mit auf den Weg. Viele Medien berichteten, das die NSA für ein paar Stunden die Aufzeichnung von Daten stoppen musste, weil der Patriot Act am 31. Mai 2015 nicht verlängert wurde. Leider ging völlig vergessen, dass mit dem Nachfolgegesetz (Freedom Act), der Patriot Act um sechs Monate verlängert wurde. Eine Übergangsmassnahme sozusagen. Ich würde wetten, dass die NSA in diesen sechs Monaten jetzt noch auf Teufel komm raus alles sammelt, was nicht niet- und nagelfest ist. Sofern noch mehr möglich ist.

Von ferngesteuerten Flugzeugen und einseitiger Berichterstattung

Wenn es um Alarmismus geht, dann sind vor allem die Boulevard-Zeitungen immer mit von der Partie. So ist sich der Blick auch nie zu schade dafür. Er titelte diese Woche „Passagier hackt sich ins Cockpit“ und erzählt damit die Fortsetzung der Geschichte vom Sicherheitsexperten Chris Roberts, die hier schon erzählt wurde.

Innenaufnahme eines Concorde-Cockpits

Zu Zeiten der alten Concorde musste man sich über die Sicherheit des Flugzeug-internen Netzwerks keine Gedanken machen.

Volle Kraft voraus?
Die Fortsetzung dieser Schmierenkomödie basiert auf der erst kürzlich öffentlich gewordenen Tatsache, dass das FBI einen Durchsuchungsbefehl für Gegenstände von Chris Robert erwirkt hat. Es handelt sich um die gleichen Geräte, um die Chris Roberts bei seiner Verhaftung erleichtert wurde (Die Augen und Ohren des FBI fliegen immer mit). Begründung: Das FBI behauptet, dass Robert im Verhör mit dem FBI zugegeben habe, in das Flight Management System von mindestens einem Flugzeug eingebrochen zu sein. Bei einem Flug habe Rogers es sogar geschafft, Software zu überschreiben und auf ein Triebwerk mehr Schub zu geben.

Lücken in der Blick-News
Der Blick bezieht sich auf einen Wired-Artikel, unterschlägt aber eine wichtige, dort erwähnte Tatsache. Roberts hat zwar zugegeben, sich während Flügen Zugang zum Netzwerk des Fliegers verschafft zu haben (und Datenverkehr vom Cockpit abgehört zu haben), aber Manipulationen an der Flugkontrolle hätten nur in virtuellen Testumgebungen stattgefunden. Das ist ein qualitativer Unterschied. Roberts ist der Meinung, seine Aussage wurde vom FBI aus dem Zusammenhang herausgerissen.

Wie bescheuert ist Roberts?
Es ist schwer abzuschätzen, was wirklich passiert ist. Schon ein Einbruch in das Netzwerk des Flugzeuges könnte gefährlich sein. Zumindest würde ich es als riskanten und illegalen Proof of Concept bezeichnen. Wir können uns nur fragen, ob Roberts so bescheuert ist, den Schub an einem Triebwerk zu manipulieren, in dem er selbst sitzt. Von suizidalen Tendenzen ist (noch) nichts bekannt. Aber vielleicht kommt das noch. Zumindest mache ich mir keine Sorgen darüber, ob sich für eine Ferndiagnose jemand finden lässt.

Peinliche Reaktion der Fluggesellschaft
Was wir aber mit Sicherheit feststellen können ist die Tatsache, dass der Blick Stories von anderen  News-Websites nicht korrekt wiedergeben kann. Und wir wissen jetzt auch, wie die betroffene Fluggesellschaft reagiert hat: Sie hat denen gratis Flugmeilen (wie schäbig) versprochen, die Fehler und Lücken in ihrer Software finden. Verantwortungsvoll, wie ich finde, aber leider gilt dieses „bug bounty program“ für alle möglichen Bereiche, nur nicht für die Software in den Flugzeugen…

UPDATE – mit sechs einfachen Regeln aus der Gefahrenzone raus

Ein Schild an einem Pfosten mit der Aufschrift: Danger. Don not go near cliff.

Mit sechs einfachen Regeln kann man die meisten Klippen umschiffen. Das Prinzip ist simpel: Geh einfach nicht hin.

Im letzten Jahr berichteten wir auf digichonder.ch darüber, wie viele Risiken man vermeiden kann, wenn man sich bei der alltäglichen Benützung des Computers nicht als Admin einloggt. Immerhin, ganze 96 Prozent aller Sicherheitsupdates für das Windows-Betriebssystem und 91 Prozent für das Office-Paket wären theoretisch überflüssig, wenn nicht so viele Leute mit Administratorenrechten rumsurfen würden…

UPDATE – sechs einfache Regeln, die wirken
Jetzt gibt es noch ein paar weitere nützliche Regeln in kompakter Form, mit denen man die Gefahr verringern kann, zum Opfer digitaler Gaunereien zu werden. Zusammengeschustert hat diese Regeln der Sicherheitsberater Marc Goodman, der momentan mit seinem „New York Times Bestseller“ in den Medien hausieren geht. Das entsprechende Akronym  zu den sechs Regeln heisst „UPDATE“ und steht für: Update, Passwords, Downloads, Admin, Turn-off und Encrypt.

Hier kurz zusammengefasst worum es geht:

Update: häufige, regelmässige Updates machen
Passwords: Verwende kein Passwort mehrmals, halte es mindestens 20 Zeichen lang und benutze Zwei-Faktor-Authentifizierung, sofern dies möglich ist.
Downloads: Lade keinen Scheiss runter und gehe davon aus, dass kostenlose Software auch einen Preis hat (nämlich deine Daten).
Admin: Benutze nicht das Admin-Konto.
Turn-off: Schalte den Computer aus oder trenne ihn vom Netz, wenn Du ihn nicht brauchst.
Encrypt: Verschlüssle deine Festplatten/Geräte und benutze VPN.

Die Infografik von Marc Goodman beschreibt die Anweisungen ausführlicher.

Bitte weitersagen!
Es ist mir schon klar: Wenn man auch nur die Hälfte dieser Regeln beherzigt, dann macht das Internet nur noch halb so viel Spass (vor allem der Teil mit den Downloads.)  Aber man kriegt auch etwas dafür. Ich kannte diesen Goodman vorher nicht und kann auch nicht beurteilen, wie gut sich der wirklich auskennt. Das ist aber egal. Das sind gute Regeln in einer handlichen Verpackung. Das kann und sollte man weitersagen.

Künstliche Intelligenz – auf der Überholspur zur eigenen Obsoleszenz

Neben einer Walnuss liegt ein Zettel mit der Aufschrift Use your brain.

Haltung gesucht! Benutzen wir unseren Kopf, solange es ihn noch braucht.

Es hat nicht viel gebraucht. Der Aufruf von zahlreichen Wissenschaftlern, über die Zukunft und Sinnhaftigkeit von künstlicher Intelligenz nachzudenken, musste schnell dem nächsten seichten Trendthema weichen. Keine Ahnung was den Aufruf verdrängt hat, aber ich tippe mal auf irgendeine belanglose Unterhosen-Geschichte…

Es ist an uns, die Spielregeln zu setzen
Dabei sollten wir uns das Thema künstliche Intelligenz unbedingt mit einem fetten Edding 500 in die Agenda schreiben. Im Moment gleicht die Mehrheit der Bevölkerung dem Publikum eines Pferderennens. Auf der überdachten Tribüne stehend, schauen wir den Unternehmensgäulen zu, wie sie von Rendite-gesteuerten Investoren auf die Ziellinie zu gepeitscht werden. Problematisch an der Situationist ist, dass es keine Rolle spielen wird, auf welchen Gaul jeder von uns gesetzt hat, solange wir nicht die Position der Rennleitung übernehmen und eigene Spielregeln setzen.

Die Zeit läuft
Es geht nicht darum, das Terminator- oder Matrix-Szenario heraufzubeschwören. Auch liegt mir nicht daran, die Möglichkeiten von künstlicher Intelligenz in Abrede zu stellen. Das wäre auch aussichtslos, denn die PR-Durchlauferhitzer (aka. Medien) sind voll von den Segnungen dieser neuen Technik. Es wäre nur an der Zeit, sich, fernab von Hochglanzprospekten und netten Gadgets, langsam eine überlegte Haltung zuzulegen. Die Entwicklung schreitet rasend schnell voran.

Welche Rolle weisen wir Maschinen zu?
Wie wir Künstliche Intelligenz entwickeln können ohne uns damit selbst zu schaden kann ich nicht beurteilen. Ich stehe zuerst einmal noch vor der grundsätzlichen Frage: Kann ich Maschinen mit künstlicher Intelligenz als gleichberechtigten Partner in unserer Gesellschaft akzeptieren? Denn darauf läuft es grundsätzlich hinaus. Nein, mit dieser Frage übertreibe ich nicht. Was glauben Sie denn, wie lange sich Maschinen mit der Fähigkeit intelligent zu denken von uns Menschen noch rumschubsen lassen? Es gäbe so viele Fragen zu beantworten. Wenn wir das nicht bald schaffen, dann wird es jemand anderes gegen uns tun.

Zusätzliches Material (nicht so optimistische Stimmen):

Videogespräch mit James Barrat, Autor von „Our Final Invention: Artificial Intelligence and the End of the Human Era“

Videogespräch mit Nick Bostrom, Philosoph am St. Cross College, University of Oxford