Connect with us

Künstliche Intelligenz

Datenleck in der Schweiz: Offene Datenbanken bei Parkplatz-Überwachungsfirmen


Das Geschäftsmodell privater Parkplatz-Überwachungsfirmen stößt selten auf Gegenliebe bei Autofahrern. Wenn solche Unternehmen dann auch noch bei der IT-Sicherheit patzen, wird es richtig unangenehm. Eine aktuelle Recherche des Nachrichtenportals Watson hat nun ein großes Datenleck aufgedeckt, von dem Kfz-Halter in der gesamten Schweiz betroffen sind: Die beiden Branchengrößen Funkwache und Unisecur ließen demnach umfangreiche Datenbanken mit hochsensiblen Informationen über einen langen Zeitraum ungeschützt im Internet offenstehen.

Weiterlesen nach der Anzeige

Das Ausmaß des Vorfalls ist laut dem Bericht beträchtlich, da das System zehntausende Datensätze umfasst. Allein in der Datenbank der in Zürich ansässigen Aktiengesellschaft Funkwache fanden sich Hunderttausende Einträge im zentralen Bußgeld-Register sowie zehntausende Verknüpfungen von Autokennzeichen zu konkreten Adressen.

Die betroffenen Firmen haben sich darauf spezialisiert, im Auftrag von Grundeigentümern und Immobilienverwaltungen private Parkflächen zu kontrollieren. Wer dort unberechtigt sein Fahrzeug abstellt, wird erfasst. Die Aufpasser fordern dann eine sogenannte Umtriebsentschädigung ein, die den Aufwand zur Klärung des Vorfalls abdecken soll. Zahlt der Parksünder nicht, droht eine Strafanzeige.

Genau diese sensiblen Vorgänge ließen sich über eine mangelhaft konfigurierte IT-Infrastruktur unverschlüsselt und ohne Passwortabfrage einsehen. Betroffen waren neben Namen, Wohnadressen, Telefonnummern und E-Mail-Adressen der Fahrzeughalter auch detailreiche Logbücher. Darin verzeichneten die Firmen die genauen Aufenthaltsorte und Kontrollzeiten, Fahrzeugdaten sowie den aktuellen Status von eingeleiteten Strafverfahren inklusive Anzeigen und Strafbefehlen.

Mit den Datensätzen kamen sogar Angaben zu gesperrten Fahrzeughaltern ans Licht. In der Schweiz können Bürger ihre Halterdaten eigentlich bei den kantonalen Straßenverkehrsämtern für einfache Abfragen sperren lassen. Überwachungsfirmen können diese Blockade für rechtliche Schritte kostenpflichtig umgehen. Sie hätten die mühsam erlangten Informationen aber umso strenger absichern müssen.

Die Ursache für das Datenleck liegt offenbar in einer Fehlkonfiguration der Webserver- und Datenbankstruktur. Die betroffenen Unternehmen, die beide auf den Firmengründer Meinhard Byell zurückgehen und das gleiche Geschäftsmodell haben, teilen sich auch die technische Infrastruktur und verwendeten beide das Datenbank-Tool Wakanda. Die jeweiligen Administrations-Interfaces der Systeme waren über vergleichsweise kurze, leicht zu erratende Internetadressen direkt erreichbar.

Ein IT-Experte bestätigte im Rahmen der Recherche, dass kein tiefgreifendes Hacker-Wissen und Instrumentarium nötig gewesen sei, um auf die internen Strukturen zuzugreifen. Ein Browser reiche völlig aus. Wie lange das digitale Scheunentor offenstand, ist noch nicht abschließend geklärt. Technische Server-Abfragen legen den Verdacht nahe, dass Teile der betroffenen IT-Infrastruktur bereits seit 2020 ungesichert aus dem Netz erreichbar gewesen sein könnten.

Weiterlesen nach der Anzeige

Die Reaktion der Verantwortlichen folgte dem klassischen Muster von Schadensbegrenzung und Relativierung. Nachdem erste Kontaktversuche der Redaktion im April wochenlang ignoriert wurden, meldete sich die Geschäftsführung von Unisecur schließlich zu Wort und bestritt die Schwere der Sicherheitslücke. Für das Erkennen der Schwachstelle seien vertiefte Programmierkenntnisse erforderlich gewesen, weshalb von einer gezielten Suche auszugehen sei.

Funkwache-Chef Meinhard Byell bestätigte kurz vor der Veröffentlichung immerhin die Existenz von Sicherheitslücken. Er erklärte aber zugleich, dass diese umgehend geschlossen worden seien. Ob in der Zwischenzeit unbefugte Dritte die Daten kopiert oder missbraucht haben und ob die Zugriffe auf den Servern überhaupt protokolliert wurden, bleibt unklar.

Der Fall dürfte juristische Konsequenzen nach sich ziehen. Dem Eidgenössischen Datenschutzbeauftragten Adrian Lobsiger lag bis zum öffentlichen Bekanntwerden des Sicherheitsdebakels keine Meldung über den Vorfall durch die zwei Firmen vor, obwohl eine solche Pflicht bei gravierenden Datenlecks besteht.

Die Behörde hat angekündigt, Ermittlungen aufzunehmen und mit den Verantwortlichen Kontakt herzustellen. Sie behält sich ausdrücklich weitere rechtliche Schritte vor. Den beiden Parkplatz-Überwachern drohen wegen der Verletzung der Sorgfaltspflichten beim Umgang mit sensiblen Personendaten empfindliche Sanktionen, die aber unterhalb des Bußgeldrahmens der Datenschutz-Grundverordnung (DSGVO) bleiben.


(mho)



Source link

Künstliche Intelligenz

Microsoft nutzt in manchen Apps offenbar eigene KI statt OpenAI und Anthropic


Microsoft verabschiedet sich schrittweise von der Nutzung fremder KI-Modelle in der eigenen Software. Bislang wurden manche Office-Aufgaben von OpenAI und Anthropic erledigt, doch das wird in manchen Apps nun durch Microsofts eigene KI-Modelle ersetzt, wie jetzt berichtet wird. Als Grund wird Kostensenkung genannt, denn KI-Anfragen, die von anderen KI-Modellen in Excel oder Outlook beantwortet werden, kosten schließlich Token.

Weiterlesen nach der Anzeige

Das betrifft nicht nur Microsoft. Zuletzt hatten andere Konzerne aufgrund explodierender KI-Kosten Zugänge gesperrt oder zu älteren Modellen geraten. Damit soll die KI-Nutzung der Angestellten eingedämmt oder diese für bestimmte Aufgaben zumindest auf weniger leistungsfähige Modelle umgeleitet werden. Immer mehr Unternehmen würden genauer prüfen, wie die Angestellten KI-Technik nutzen. Statt zu immer mehr KI-Nutzung zu drängen, sollen jetzt die Kosten gedrückt werden.

Microsoft steht allerdings ein Ausweg zur Verfügung, hatte der Konzern doch Anfang Juni bei der Microsoft Build 2026 sieben neue KI-Modelle vorgestellt. Darunter war das erste Reasoning-Modell MAI-Thinking-1 von Microsoft. MAI-Image-2.5 und eine Flash-Variante davon beherrschen Text-to-Image, sie sollen Google Nano Banana Pro überholen. MAI-Transcribe-1.5 verschriftlicht Ton in 43 Sprachen. MAI-Voice-2 und eine Flash-Variante davon bedienen 15 Sprachen und haben neue Stimmen-Optionen bekommen.

Diese internen MAI-Modelle werden nun auch für Aufgaben etwa in Excel und Outlook verwendet, die bislang KI-Modelle von OpenAI und Anthropic genutzt haben, wenn Anwender Fragen zu Tabellen oder E-Mails an die integrierte KI stellen. Das berichtet Bloomberg unter Berufung auf eine mit der Angelegenheit vertraute Person. Eine entsprechende Anfrage dazu wollte Microsoft selbst aber nicht kommentieren.

Obwohl die MAI-Modelle bislang erst einen kleinen Teil der KI-Nutzung Microsofts darstellen sollen, zeige dies aber deutlich, dass der Konzern Fortschritte bei wettbewerbsfähigen KI-Modellen zu niedrigeren Kosten macht. Denn Microsoft verbraucht eine enorme Anzahl von Token für seinen KI-Assistenten Copilot, ist dieser doch mittlerweile in einer Vielzahl der Microsoft-Software integriert. Zwar bekommt der Windows-Konzern besondere Vergünstigungen aufgrund der engen Kooperation mit sowie der Investitionen in OpenAI, doch auch langjährige Partnerschaften enden irgendwann.

Weiterlesen nach der Anzeige

Das war eventuell auch einer der Gründe, dass Microsoft Copilot um Anthropic-KI erweitert hat. Diese Alternative zu OpenAI wurde letztes Jahr zunächst für Microsoft Copilot Studio eingeführt, jener Anwendung, mit der KI-Agenten erstellt werden können. Gleichzeitig versprach der Konzern, Anthropic-Modelle auch für Microsoft 365 Copilot einzuführen. Doch dieses Jahres folgte ein Sinneswandel. Anlässlich der Vorstellung der eigenen KI-Modelle im Juni erklärte ein Microsoft-Manager: „Wir zahlen viel Geld an Anthropic – unser Ziel ist es daher, diese Kosten zu reduzieren und letztendlich ganz zu eliminieren.“

Lesen Sie auch


(fds)



Source link

Weiterlesen

Künstliche Intelligenz

„Ist das Projekt noch zu retten?“ Experten zweifeln an Umsetzung der EUDI-Wallet


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Fehlende Transparenz, offene Haftungsfragen, Sicherheitsbedenken und Zweifel am Zeitplan: Bei einem Fachgespräch der Linksfraktion im Bundestag haben Sachverständige deutliche Kritik an der geplanten Einführung der europäischen digitalen Identitätswallet (EUDI-Wallet) geäußert.

Weiterlesen nach der Anzeige

Die Fraktion hatte die Veranstaltung organisiert, weil es zum Referentenentwurf zum Digitale-Identitäten-Gesetz (DIdG) vor allem Stellungnahmen von Unternehmen und Wirtschaftsverbänden gibt und kritische Stimmen aus Wissenschaft, Verbraucherschutz und Zivilgesellschaft stärker einbeziehen wollte.

Die EUDI-Wallet soll auf Grundlage der europäischen eIDAS-Verordnung digitale Nachweise wie Personalausweis, Führerschein oder Zeugnisse auf dem Smartphone bündeln. Die EU schreibt vor, dass die Mitgliedstaaten bis Anfang 2027 eine interoperable nationale Wallet bereitstellen. In Deutschland verantwortet das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) die Umsetzung. Mit der Entwicklung wurde die Bundesagentur für Sprunginnovationen (SPRIND) beauftragt.

Den ersten von vier Kurzvorträgen hielt Bianca Kastl vom Innovationsverbund Öffentliche Gesundheit (InÖG). Sie begleitet das Projekt seit mehreren Jahren und kritisierte vor allem den Entwicklungsprozess. Zwar führe SPRIND Konsultationen durch, diese dienten aus ihrer Sicht aber eher dazu, die eigene Lösung zu bestätigen. Unterschiedliche technische Ansätze würden jedoch nicht ergebnisoffen diskutiert. An den Konsultationen seien zudem Unternehmen beteiligt, die gleichzeitig an den technischen Spezifikationen mitarbeiteten.

Aus Sicht Kastls ist der Prozess insgesamt zu intransparent. Während die europäische Referenzimplementierung offen entwickelt werde und sich dort nachvollziehen lasse, welche Funktionen wann umgesetzt werden, präsentiere SPRIND zwar seit Jahren klickbare Prototypen, veröffentliche den Quellcode der deutschen Implementierung jedoch nicht. Selbst sicherheitsrelevante Details könnten nur eingeschränkt überprüft werden. Wer etwa Informationen über die geplanten Attributnachweise erhalten wolle, müsse zuvor eine Verschwiegenheitserklärung (NDA) unterzeichnen.

Auch technisch sieht Kastl erhebliche Risiken. Deutschland habe sich für signierte Daten mit „Cloud als Sicherheitsanker“ entschieden, was „langfristig nicht die klügste Lösung“ sei. Dadurch entstehe ein zentraler Angriffspunkt. Fielen die Cloud-Dienste oder die Anbieter der personenbezogenen Daten aus, funktioniere das Gesamtsystem nicht mehr. Hinzu kämen neue Risiken durch KI-gestützte Angriffe dank Systemen wie Claude Mythos.

Weiterlesen nach der Anzeige

Beim Thema Post-Quanten-Sicherheit sei das Wallet-Konzept bislang wenig konkret. Selbst die elektronische Patientenakte (ePA) sei bei der Übermittlung von Zertifikaten inzwischen weiter als die geplante Wallet. Parallel würden derzeit noch sicherheitsrelevante Dienstleistungen ausgeschrieben – etwa für Bedrohungsanalysen und Sicherheitsprüfungen. Dass dies wenige Monate vor dem geplanten Start geschehe, wertete Kastl als Hinweis darauf, dass noch erheblicher Entwicklungsbedarf bestehe.

Zweifel äußerte sie auch daran, ob das Bundesamt für Sicherheit in der Informationstechnik (BSI) die notwendige unabhängige Sicherheitsbewertung übernehmen könne. Das BSI sei bereits eng in die Entwicklung der Architektur eingebunden gewesen. Ein ähnliches Problem habe es bereits bei der elektronischen Patientenakte gegeben.

Nach ihrer Einschätzung werde Deutschland die Wallet Anfang 2027 allenfalls mit den europäischen Mindestanforderungen starten können. Sie rechne mit einem „Minimalkonstrukt“, das noch längst nicht alle vorgesehenen Funktionen bieten werde. Für ein Projekt dieser Größenordnung seien die verbleibenden Monate zu knapp. Nötig seien stattdessen eine offene Entwicklung, transparente Implementierungen und eine unabhängige Risikobewertung. Den versprochenen Mehrwert der Wallet sieht Kastl zunächst nur begrenzt. Viele der häufig genannten Anwendungsfälle seien vor allem Komfortfunktionen. Bis Kommunen etwa eigene Nachweise wie Schwerbehindertenausweise digital ausstellen könnten, werde es ihrer Einschätzung nach noch Jahre dauern.

Kastl warnte außerdem vor der Experimentierklausel im DIdG-Gesetzentwurf. Diese ermögliche es künftig, weitere Verfahren zur Identitätsprüfung zuzulassen. Aus den Erfahrungen mit der Digitalisierung des Gesundheitswesens befürchtet sie, dass später beispielsweise Videoident-Verfahren wieder eingeführt werden könnten, um die Verbreitung der Wallet zu beschleunigen.

Nach Sicht von Daniel Leisegang, dem Co-Chefredakteur von Netzpolitik, werde die Wallet zum Start „bei Weitem nicht die Wallet sein, die sie sein soll“. Wie bei der elektronischen Patientenakte würden zunächst lediglich Grundfunktionen bereitstehen. Genau darin sieht Leisegang ein Problem. Der Gesetzentwurf für das DIdG räume dem BMDS über Verordnungsermächtigungen und Experimentierklauseln zudem erhebliche Gestaltungsspielräume für spätere Ausbaustufen ein. Das verstärke aus seiner Sicht die Risiken, weil zentrale Entscheidungen erst nach dem eigentlichen Gesetz getroffen würden.

Zudem kritisierte Leisegang eine schrittweise Abschwächung von Datenschutz- und Sicherheitsvorgaben im europäischen Gesetzgebungs- und Standardisierungsprozess. Ein Beispiel seien die in der eIDAS-Verordnung vorgesehenen frei wählbaren Pseudonyme. Damit sollten sich Nutzer etwa in Online-Foren oder bei anderen Diensten unter einem selbst gewählten Namen anmelden können, ohne ihre staatliche Identität preiszugeben. Nach dem derzeitigen Stand der technischen Umsetzung werde es stattdessen lediglich eine Möglichkeit zur anonymen Authentifizierung geben. Diese ersetze jedoch keine frei verwendbaren Pseudonyme, wie sie die Verordnung ursprünglich vorsehe.

Weitere Kritik richtete sich gegen den Einsatz signierter personenbezogener Daten. Die Wallet soll Nachweise enthalten, deren Echtheit durch digitale Signaturen bestätigt wird. Gelangten solche signierten Datensätze in falsche Hände oder würden sie unnötig häufig an private Dienste übermittelt, könnten sie nach Sicht von Leisegang Identitätsdiebstahl und den Handel mit verifizierten personenbezogenen Daten erleichtern. Deutschland könne dieses Risiko durch strengere nationale Vorgaben begrenzen, etwa indem nur klar definierte Diensteanbieter bestimmte staatlich signierte Nachweise abrufen dürfen. Solche Einschränkungen enthalte der Gesetzentwurf bislang jedoch nicht.

Auch die geplante Aufnahme biometrischer Passfotos in den Mindestdatensatz der Wallet kritisierte Leisegang. Nach seinen Angaben prüft das BMDS derzeit noch, ob Nutzer das biometrische Passfoto verpflichtend hinterlegen müssen oder darauf verzichten können. Das Ministerium habe ihm dies auf Anfrage mitgeteilt.



Source link

Weiterlesen

Künstliche Intelligenz

Muse Spark 1.1: Meta will mit Kampfpreisen OpenAI und Anthropic unterbieten


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Meta hat mit Muse Spark 1.1 ein neues KI-Modell vorgestellt, das ab sofort kostenlos im Thinking-Modus der Meta-AI-App sowie im Browser bereitsteht. Zugleich startet das Unternehmen eine öffentliche Vorschau seiner neuen Meta Model API, über die Entwickler und Unternehmenskunden auf Muse Spark 1.1 zugreifen können.

Weiterlesen nach der Anzeige

Meta setzt dabei erstmals auf eine kostenpflichtige Schnittstelle und ergänzt damit seinen bisherigen, von frei verfügbaren Llama-Modellen geprägten Ansatz um ein kommerzielles Angebot. Mit niedrigen Preisen will das Unternehmen den etablierten KI-Anbietern OpenAI, Anthropic und Google Marktanteile abnehmen: Laut Meta kostet die Nutzung der API nur rund ein Viertel dessen, was OpenAI und Anthropic für ihre Spitzenmodelle verlangen. Ob Muse Spark 1.1 eine vergleichbare Leistung erbringt, muss sich allerdings erst noch zeigen.

Gegenüber dem im April veröffentlichten Muse Spark soll Version 1.1 vor allem bei agentischen Aufgaben zulegen. Laut Meta kann das Modell komplexe Projekte schneller bearbeiten, indem es Kontext sammelt, einen Plan erstellt und die Ausführung parallel an mehrere Unteragenten delegiert. Dabei soll Muse Spark 1.1 sein Kontextfenster von einer Million Token aktiv verwalten, frühere Arbeitsschritte abrufen und wichtige Zwischenschritte für spätere Aufgaben verdichten können. Verbesserungen nennt Meta auch bei Computersteuerung, Programmieraufgaben und multimodalem Verständnis.

Auch bei der Sicherheit sieht Meta Fortschritte: Muse Spark 1.1 soll widerstandsfähiger gegen Jailbreaks und Prompt-Injection-Angriffe sein, seltener halluzinieren und weniger zu unkritischer Zustimmung neigen.

Trotz dieser Fortschritte räumte CEO Mark Zuckerberg im Gespräch mit Bloomberg ein, dass Metas KI-Modelle teils noch immer hinter der Konkurrenz zurückliegen. Ein kommendes Modell mit dem Codenamen „Watermelon“ soll seiner Einschätzung nach dabei helfen, Meta näher an die technologische Spitze zu bringen.

Die Muse-Modelle werden von Meta Superintelligence Labs entwickelt, Metas neu aufgestellter Frontier-KI-Einheit. Mit dem Labor will Meta nach dem enttäuschenden Abschneiden von Llama 4 wieder näher an die führenden KI-Anbieter heranrücken. In dieser Woche stellte die Einheit auch Muse Image vor, Metas erstes Bildgenerationsmodell aus dem neuen Labor.

Weiterlesen nach der Anzeige

Meta investiert derzeit massiv in KI-Rechenzentren und Chips und rechnet allein für 2026 mit Investitionen von bis zu 145 Milliarden US-Dollar. Mit dem kostspieligen KI-Ausbau wächst der Druck, aus den enormen Ausgaben ein tragfähiges Geschäft zu machen. Neben den in ersten Ländern getesteten KI-Abos für Meta AI und geplanten KI-Agenten für Unternehmen soll nun auch die kostenpflichtige Meta Model API zur Monetarisierung beitragen. Berichten zufolge erwägt Meta außerdem, überschüssige Kapazität aus seinen KI-Rechenzentren an Dritte zu vermieten.


(tobe)



Source link

Weiterlesen

Beliebt