Connect with us

Datenschutz & Sicherheit

Österreichs Regierung beschließt Bundestrojaner für Messenger-Überwachung


„Die Überwachung verschlüsselter Nachrichten soll durch Installation eines Programms in dem zu überwachenden Computersystem erfolgen, welches ausschließlich gesendete, übermittelte, oder empfangene Nachrichten entweder vor der Verschlüsselung oder nach Entschlüsselung ausleitet.“ Dieses Amtsdeutsch beschreibt den offiziellen Plan der österreichischen Bundesregierung, Malware zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen.

Auf die entsprechende Novelle des Spionagegesetzes SNG (Staatsschutz- und Nachrichtendienst-Gesetz), des Sicherheitspolizeigesetzes, des Telekommunikationsgesetzes 2021 und weiterer Normen haben sich die Regierungsparteien ÖVP, SPÖ und NEOS am Mittwoch geeinigt. Im vorangegangenen öffentlichen Begutachtungsverfahren ist eine Flut ablehnender Stellungnahmen zu den Vorhaben eingelangt. Ausspioniert werden sollen nicht nur verschlüsselte Nachrichten, sondern auch unverschlüsselte Nachrichten und Informationen, also sonst gespeicherte Daten.

Die Regierung verfolgt laut offiziellen Dokumenten zwei Ziele: Erstens „Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe“, die mit zehn Jahren oder längerer Haft bedroht sind, oder wenn es zur Spionageabwehr erforderlich ist. Und zweitens die Überwachung verschlüsselter Nachrichten. Nicht erforderlich ist der Verdacht, dass eine Straftat begangen worden ist.

Dennoch werden auch Dritte verpflichtet, heimlich an der Überwachung mitzuwirken. Als die Volksrepublik China solche Verpflichtungen privater Stellen einführte, hagelte es in westlichen Ländern Kritik. Im Falle Österreichs werden private Unternehmen rund 2,5 Millionen Euro pro Jahr zur Unterstützung der Überwachungsmaßnahmen aufwenden müssen, schätzt die Regierung – denn Netzbetreibern sowie Betreibern von Messengerdiensten sollen nur 80 Prozent ihres Aufwandes ersetzt werden.

Genehmigungsverfahren

Das Innenministerium geht davon aus, jährlich etwa 30-mal die Ausspähung unverschlüsselter Nachrichten zu beantragen, und 5- bis 15-mal die Überwachung verschlüsselter Nachrichten. Erst wenn in einem Kalenderjahr 30-mal tatsächlich verschlüsselte Nachrichten ausgespäht werden, muss der Innenminister den ständigen Unterausschuss des Ausschusses für innere Angelegenheiten des Nationalrates informieren. (Der Nationalrat ist die direkt gewählte Kammer des österreichischen Parlaments, Anmerkung.)

Die neuen Methoden zum Ausspionieren von Nachrichten und Informationen müssen jeweils im Einzelfall vom Bundesverwaltungsgericht genehmigt werden. Am Verfahren beteiligt wird auch ein im Innenministerium selbst angesiedelter Rechtsschutzbeauftragter. Dieser erhält zunächst drei Werktage Zeit, sich zu einem Antrag zu äußern. Dann wird ein Senat aus drei Richtern des Bundesverwaltungsgerichts befasst. In dringlichen Fällen kann auch ein einzelner Richter die Genehmigung erteilen, wofür ein Richterjournaldienst rund um die Uhr eingeführt wird.

Die Gefährdung von Beichtgeheimnis, Redaktionsgeheimnis oder Anwaltsgeheimnis darf das Verwaltungsgericht nur genehmigen, wenn das verhältnismäßig erscheint. Die Arztverschwiegenheit wird auf diese Weise nur im psychischen Bereich geschützt, also bei Psychiatern, Psychologen, Psychotherapeuten, Bewährungshelfern, eingetragenen Mediatoren sowie anerkannten Einrichtungen zu psychosozialer Beratung und Betreuung.



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

The EU Commission’s vague plans for open source


The EU Commission has been funding open source projects for years. A programme called Next Generation Internet (NGI) is central to this by distributing money quickly and without red tape to promising projects – such as the decentralised microblogging service Mastodon, the video software PeerTube or Jitsi for videoconferencing.

But the Commission has been set on ending funding NGI for some time – despite prolonged criticism. Involved organisations have said that NGI works well and efficiently. Open source also plays a key role in protecting Europe from foreign actors – particularly important in the current geopolitical environment.

The Commission responded that the end of NGI is not meant to be the end of its open source funding. That is set to continue under a new name – initially the “Open Europe Stack”, now the “Open Internet Stack”. Important distinction: In spite of the new name, the programme is only indirectly related to the “EuroStack”.

Buzzword bingo

But what exactly is that supposed to mean? Why does the EU need a new programme at all? What changes will the new name bring? How much money should the new programme have? So far, all these questions go unanswered.

The new programme’s official description refers to a “publicly available and operational stack” focusing on “internet technologies for trust, transactions, connectivity, and decentralisation” and with the aim of creating a  “library of inclusive, trustworthy, interoperable, and human-centric applications and services”.

One of the points is actually new: The programme is set to be linked to a “Connected Collaborative Computing” network, or 3C network for short. This network is an EU Commission dream of an internet relying more heavily on telecommunications providers – one of the few tech sectors in which Europe still has a foothold. This idea is currently still very vague.

Thibault Kleiner, Director at the Commission’s Directorate-General for Communications, spoke more clearly today. “We’re at the stage where we need to move on”, he said at NGI’s annual event in Brussels. The work of NGI has been a big success, but is not resulting in enough business success: “We do the work, but we don’t monetise it.” The new focus, according to him, will be on building software that people will see as a credible alternative to big tech.

Decisions on the horizon

Further details on the Open Internet Stack can be found in an internal document written by a consultant for the Commission. A short version of the document has been published for the NGI event currently taking place in Brussels – we are publishing its full and confidential version.

The most concrete points in the paper concern the future programme’s budget. This is particularly important because Brussels will soon start negotiating the European Union’s next multi-year budget. This will roughly set out what the EU wants to spend money on from 2028 to 2034 – including its support for open source developers.

And how much money would you like?

The paper presents four scenarios for this period: No money at all, as much as before, a little more or twice as much. The author warns that if the Commission stops promoting open source all together, Europe could become even more dependent on non-European software. Experts could leave the continent.

The Commission could also continue the existing NGI funding model – which, according to the author, has so far proven successful. This option would cost the Commission a total of 35 million euros per year. It could also build on what NGI has achieved so far while continuing to reach small organisations with a low-barrier funding model.

As a third option, the document considers an annual budget of 50 million euros to boost Europe’s digital industry. The additional money could be channeled into the education sector or support new companies. Separate budgets should exist for technology that is considered  “critical” for Europe – whatever that means.

The fourth option would amount to up to 70 million euros per year. According to the obviously very optimistic author, this would allow Europe to “set the rules for the digital age”. Europe could become the first region to treat open source maintainers as personnel for critical infrastructure, he says, which could make digital infrastructure more resilient.

Many questions remain open

In terms of budget, the paper is relatively concrete – but apart from that, the plans remain vague. What will the new programme’s name mean for the NLnet Foundation, which distributes open source funding to developers? This is currently causing a few headaches for the Foundation’s employees, as it could potentially mean that it will have to stop its work completely.

Developers are also still asking a lot of questions about what the Open Internet Stack will mean for them. Even the best-known open source projects that have so far benefited from EU support are so far still in the dark.

The difficult topic of procurement

The paper also lists a number of other ideas for the EU’s open source policy. One key problem that open source developers have been pointing out for years is public procurement. They often face major problems selling their products to public authorities because their processes are set up for readily available software packages.

The paper calls on the EU to better align its procurement rules with open source. The personnel responsible for buying software should also be better educated on how open source software works – with the Commission setting a good example.

The proposals might come at just the right time. Yesterday Euractiv reported that the EU Commission is actively negotiating to switch its internal cloud services from Microsoft Azure to the French open source cloud provider OVH Cloud. The EU’s rules for public procurement are also currently being reformed.

Another idea is an EU legal form for open source organisations financed through donations. This legal form should be easy, the paper argues, and therefore accessible to developers. This could contribute to fixing problems faced for example by Mastodon, which was stripped of its charitable status by the German tax authorities.



Source link

Weiterlesen

Datenschutz & Sicherheit

Betrüger nutzen Briefpost zur Abzocke der Ledger-Wallet


Wer mit Krypto-Währungen und Assets hantiert, hat sicherlich zumindest mit Hardware-Wallets wie der von Ledger geliebäugelt. Einem Leser trudelte nun ein unzureichend frankierter Brief in die Hände. Damit versuchen Kriminelle, die Ledger-Krypto-Wallet zu übernehmen und leerzuräumen.

Der Brief trägt das offizielle Ledger-Logo und wirkt auch sonst professionell. Ein QR-Code prangt auf dem einseitigen Anschreiben. Den sollen Empfänger scannen und auf der Ziel-Webseite ihre Ledger-Wallet neu validieren. Die URL lautet renewledger[.]com, die zugehörige Webseite ist derzeit noch aktiv.

Falsche Ledger-Webseite: Indizien für Betrug

Beim Besuch der Webseite müssen potenzielle Opfer zunächst einen CAPTCHA lösen und belegen, dass sie Menschen sind. Danach erscheint direkt eine Eingabemaske für die 24 Wörter des Ledger-Recovery-Seeds. Die Seite sieht der originalen Ledger-Webseite recht ähnlich, jedoch fehlen Details wie Sprachumschaltung und Unterstützung für Darkmode, diverse aktuelle Produkte tauchen im Footer der Seite nicht auf. Alle Links auf der Webseite verweisen jedoch auf die echte ledger.com-Domain. Während die korrekte Ledger-Domain inzwischen etwa 30 Jahre auf dem Buckel hat, ist die gefälschte Seite seit rund 14 Tagen bei einem Web-Discounter registriert.

Sofern potenzielle Opfer tatsächlich ihre 24 Wörter des Recovery-Seeds eingeben und abschicken, ist es jedoch mit den Krypto-Assets vorbei. Die Betrüger erhalten dadurch Zugriff auf die Sicherheitskopie und können die Wallet blitzschnell leerräumen.

Im Juli 2020 hatte Ledger sich umfangreiche Kundendaten stehlen lassen. Bei rund 272.000 Kunden konnten Kriminelle so an Vor- und Nachnamen, Postanschrift und Telefonnummern gelangen. Diese Informationen sind im Darknet gelandet. Außerdem gelangten etwa eine Million E-Mail-Adressen in falsche Hände. Diese Daten dienen Kriminellen offenbar noch immer als Ausgangspunkt für ihre illegalen Machenschaften.

Auf unsere Anfrage konnte Ledger noch nicht unmittelbar antworten. Wichtig ist jedoch, dass Ledger-Besitzer ihre Recovery-Seeds niemals auf Anforderung von Dritten preisgeben.

Mitte 2023 geriet Ledger in die Kritik der Nutzerinnen und Nutzer, da das Unternehmen mit „Ledger Recover“ einen Backup-Dienst für die geheime Recovery-Phrase einführen wollte. Der kostenpflichtige Dienst soll die Möglichkeit schaffen, die Seedphrase bei Cloud-Anbietern zu speichern.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Immobilienplattform trainierte heimlich KI-Modell mit Kundenmails


Die Berliner Datenschutzaufsicht überprüft derzeit eine Immobilienvermittlungsplattform. Das Unternehmen soll die Kommunikation mit Kund*innen genutzt haben, um ein KI-System zur Bearbeitung von Anfragen zu trainieren – ohne die Kund*innen darüber zu informieren, wie die Behörde in ihrem Jahresbericht schreibt. Laut EU-Datenschutzregeln (DSGVO) ist das unzulässig.

Konkret geht es um Nachrichten, die Kund*innen per Mail und Kontaktformular an das Unternehmen geschickt haben, teilt die Berliner Behörde auf Anfrage von netzpolitik.org mit. Der mögliche Verstoß sei im Sommer vergangenen Jahres aufgefallen. Daraufhin leitete die Behörde ein Verfahren ein, das noch nicht abgeschlossen ist. Inzwischen enthielte die Datenschutzerklärung der Plattform einen entsprechenden Hinweis auf die Verwendung der Anfragen.

ImmoScout24 setzt auf KI-Lösung

Um welches Unternehmen es sich handelt, schreibt die Behörde nicht. Sie darf während laufender Verfahren keine Informationen dazu herausgeben. Es könnte sich jedoch um ImmoScout24 handeln, eine der größten Immobilienplattformen Deutschlands mit Sitz in Berlin. Laut eigener Aussage nutzen monatlich rund 19 Millionen Menschen die Seite.

Ein Sprecher von ImmoScout24 wollte auf Anfrage nicht bestätigen, dass es sich um das Unternehmen handelt und verwies darauf, dass verschiedene Immobilienplattformen in die Zuständigkeit der Berliner Behörde fielen.

Gleichzeitig erklärte er, ImmoScout24 setze seit etwa zwei Jahren eine KI-Lösung ein, die Kundenanfragen automatisch klassifiziert. Um das System kontinuierlich zu trainieren, verwende das Unternehmen abgeschlossene Kommunikation mit Kund*innen. Die Daten würden nach spätestens sechs Monaten gelöscht.

Im Klartext: Wer ImmoScout24 kontaktiert, etwa um eine Nachfrage zum eigenen Account zu stellen, muss damit rechnen, dass diese Kommunikation zum Trainingsmaterial wird.

Um welche KI-Lösung es sich handelt, hat das Unternehmen auf Nachfrage nicht beantwortet. In einem Blogbeitrag von 2018 nannte ImmoScout24 jedoch drei verschiedene Lösungen, die das Unternehmen damals testete: Salesforce Einstein, Parlamind und eine hausinterne Lösung in Zusammenarbeit mit Google.

Hinweis nachträglich ergänzt

In der Datenschutzerklärung des Unternehmens steht inzwischen, dass ImmoScout24 abgeschlossene Kundenanfragen per E-Mail oder Kontaktformular verarbeitet, um ein „intelligentes System zur thematischen Nachrichtenordnung“ zu trainieren. Auch Vertragskündigungen werden demnach automatisiert bearbeitet, wenn das System sie mit hoher Wahrscheinlichkeit als solche erkennt. Der Einsatz von KI-Technologien sei damit datenschutzkonform, schreibt der Sprecher.

Archivierte Versionen der Seite zeigen jedoch, dass diese Hinweise erst zwischen dem 9. Oktober und 1. November 2024 ergänzt wurden – also nachdem das System laut ImmoScout24 bereits im Einsatz war. Und nach Beginn des Prüfverfahrens der Berliner Datenschutzaufsicht wegen fehlender Transparenz gegen eine nicht benannte Immobilienplattform.

Behörde will mehr KI-Einsätze überprüfen

Der Fall ist nur einer von mehreren KI-Prüffällen, die die Berliner Datenschutzaufsicht in ihrem Jahresbericht nennt. Meist geht es dabei um Techniken des maschinellen Lernens, schreibt die Behörde. Diese Modelle benötigen dafür einen Datensatz mit Beispielen, um daraus Muster und Zusammenhänge zu erkennen.

„Unsere ersten Prüfverfahren von KI-Einsätzen zeigen, dass insbesondere die Transparenz bei KI-Anwendungen vielfach noch nicht auf dem notwendigen Niveau angekommen ist“, sagt Meike Kamp, die Berliner Datenschutzbeauftragte. Betroffene würden häufig gar nicht oder nur unzureichend über die Verarbeitung ihrer Daten in KI-Systemen informiert – ein Verstoß gegen die Informationspflichten der DSGVO. Die Behörde plant, die Prüfung von KI-Systemen in den kommenden Jahren zu verstärken.



Source link

Weiterlesen

Beliebt