Datenschutz & Sicherheit
Mexiko: Untersuchung wegen mutmaßlicher Schmiergeldzahlung beim Kauf von Pegasus
Mexikos Generalstaatsanwaltschaft (FGR) hat nach Berichten mehrerer mexikanischer Medien eine Untersuchung gegen Mexikos früheren Präsidenten Enrique Peña Nieto über die angebliche Entgegennahme von Bestechungsgeldern in Millionenhöhe eingeleitet. Dieser soll nach Angaben der israelischen Zeitung The Marker 25 Millionen US-Dollar von zwei israelischen Geschäftsleuten als Schmiergeldzahlung für den Erwerb der Spionagesoftware Pegasus des israelischen Unternehmens NSO Group erhalten haben.
„Wir werden die israelischen Behörden unverzüglich über das System der internationalen Rechtshilfe bitten, diese Informationen, die sie in den Medien veröffentlicht haben, in eine Akte aufzunehmen, damit wir vorankommen können“, erklärte der Leiter der FGR, Alejandro Gertz Manero, am Dienstag. Man werde die israelische Regierung formell um Rechtshilfe bitten, „damit diese Behauptungen innerhalb eines rechtlichen Rahmens aufgestellt werden und nicht in das gleiche Vakuum unbegründeter Anschuldigungen fallen“, so Gertz weiter. Angesichts der schwierigen Zusammenarbeit mit Israels Behörden in anderen Fällen zeigte sich Gertz allerdings nicht sehr optimistisch, was die Überstellung der erforderlichen Unterlagen betrifft.
Die Informationen, die Mexikos früheren Präsidenten mit den Sponsoren der Spionagesoftware in Verbindung bringen, wurden in der vergangenen Woche von der israelischen Zeitung The Marker veröffentlicht und von mexikanischen Medien breit aufgegriffen. Die Veröffentlichung ist Teil eines Rechtsstreits zwischen zwei israelischen Geschäftsleuten, die behaupten, eine gemeinsame „Investition“ in Höhe von 25 Millionen US-Dollar getätigt zu haben, um zwischen 2012 und 2018 Verträge mit der mexikanischen Regierung unter Peña Nieto zu erhalten. Unklar ist, ob der gesamte Betrag an den Ex-Präsidenten selbst geflossen sein soll oder ob andere Personen beteiligt waren.
Ex-Präsident bestreitet die Vorwürfe
Peña Nieto, der seit seinem Ausscheiden aus dem Amt zwischen Spanien und der Dominikanischen Republik lebt, hat die gegen ihn erhobenen Vorwürfe entschieden zurückgewiesen. Über seinen offiziellen X-Account, den er seit Monaten nicht mehr benutzt hatte, bezeichnete er den Marker-Artikel als „völlig falsch“ und versicherte, dass die Anschuldigungen unbegründet seien. „Ich bedaure, auf Artikel zu stoßen, die ohne ein Mindestmaß an journalistischer Sorgfalt leichtfertige und bösartige Behauptungen aufstellen“, schrieb er. Es handele sich um eine Unterstellung, „die jeglicher Grundlage entbehrt“. Er ließ die Frage offen, wer von einer solchen Veröffentlichung profitieren würde. Später erklärte Peña Nieto in einem Radiointerview, dass er nie an der Vergabe von Aufträgen an Lieferanten beteiligt war. Auch kenne er keinen der beiden betreffenden Geschäftsleute.
Die Regierung Peña Nieto (2012-2018) hatte das Spionagesystem Pegasus mutmaßlich für 32 Millionen US-Dollar offiziell für nachrichtendienstliche Zwecke und zur Bekämpfung des organisierten Verbrechens eingekauft. Aktivistengruppen und Journalisten deckten später auf, dass Regierungseinrichtungen die Malware zum Ausspähen von Journalisten, Menschenrechtsaktivisten und Korruptionsbekämpfern nutzten. Die US-Tageszeitung New York Times fand heraus, dass Mexikos damaliger Staatssekretär für Menschenrechte, Alejandro Encinas, mit Pegasus ausgespäht wurde, als er Verfehlungen des mexikanischen Militärs untersuchte.
Auch in der Amtszeit des linken Präsidenten López Obrador (2018–2024) sollen trotz gegenteiliger Behauptungen Aktivisten und Journalisten mit Pegasus ausgespäht worden sein. Anfang des Jahres 2023 verlangte die mexikanische Datenschutzbehörde INAI vom Verteidigungsministerium die Offenlegung der Verträge um die Spionagesoftware Pegasus.
(akn)
Datenschutz & Sicherheit
KI in Asylverfahren birgt erhebliche Risiken
Wenn Asylverfahren mit sogenannter Künstlicher Intelligenz bearbeitet werden, entstehen erhebliche Risiken für die Grundrechte der Betroffenen, das stellt der wissenschaftliche Dienst des Europäischen Parlaments in einem Bericht fest. Dennoch würden immer mehr KI-basierte Technologien in dem Bereich eingesetzt. Asylverfahren sollen so schneller, mit weniger Aufwand und ohne Vorurteile abgeschlossen werden.
Der wissenschaftliche Dienst stellt in dem Bericht jedoch fest, dass KI-Technologien Ungenauigkeit, Voreingenommenheit, Diskriminierung, Verfahrensbeeinflussung und Datenschutzrisiken mit sich bringen. Sie kämen nur den Behörden zugute und würden dabei die Position der Asylbewerber*innen im System schwächen.
Was für KI-Technologien werden benutzt?
Im Bericht werden KI-Systeme aufgeführt, die europaweit genutzt werden. Auch Deutschland nutzt bereits einige davon. Das Bundesamt für Migration und Flüchtlinge (BAMF) verwendet beispielsweise ein KI-System, welches dazu trainiert ist, Dialekte zu erkennen, um so die Herkunft der Menschen festzustellen, die Asyl beantragen. Mit der KI-Technologie soll die Bestimmung des Herkunftslandes vereinfacht werden, besonders wenn keine Nachweise vorliegen. Das Herkunftsland und die dort drohende Art der Verfolgung haben Auswirkungen auf die Entscheidung im Asylverfahren.
Außerdem nutzt Deutschland technische Systeme zur Analyse von Handydaten. Antragstellende ohne anerkannte Ausweisdokumente müssen ihr Handy zur Durchsuchung den Behörden übergeben, damit ihr Antrag bestehen bleibt. Ein Computer erstellt einen Bericht aus allen Daten auf dem Handy, die Rückschlüsse auf das Herkunftsland ermöglichen: Vorwahlen eingespeicherter Handynummern, verwendete Sprachen in Nachrichten oder gespeicherte Standortdaten von Fotos. Wenn ein Anwalt des BAMF entscheidet, dass der Bericht notwendig ist für die Feststellung des Herkunftslandes, können Sachbearbeiter*innen diese analysierten Daten einsehen.
Grundrechte können nicht gewahrt werden
In seinem Bericht fasst der wissenschaftliche Dienst einen Bericht der europäische Agentur für Grundrechte (FRA) zusammen. Diese warnte bereits 2020, dass mehrere Grundrechte asylsuchender Menschen aus der Charta der Grundrechte der Europäischen Union bei der Verwendung von KI-Systemen durch die Behörden gefährdet würden. Dazu gehören die Würde des Menschen (Artikel 1), die Achtung des Privat- und Familienlebens (Artikel 7), der Schutz personenbezogener Daten (Artikel 8), die Gleichheit vor dem Gesetz und Nichtdiskriminierung (Artikel 20-21), das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht (Artikel 47) und das Recht auf eine gute Verwaltung (Artikel 41).
Menschen, die in der EU Asyl beantragen, fliehen meist vor Verfolgung und können sterben, wenn sie keinen Schutz bekommen. Der Bericht warnt davor, die folgenschwere Entscheidung über die Schutzbedürftigkeit mithilfe von Datenanalysen durch KI-Systeme zu treffen, da die Technologie nicht so verlässlich sei, wie sie wirke.
KI ist nicht neutral
Die Qualität einer KI ist nur so gut, wie die Qualität der Trainingsdaten. Nur eine KI, die mit sehr vielen Daten trainiert worden ist, kann aussagekräftige Ergebnisse liefern. Für jedes Herkunftsland müssen ausreichend Daten vorhanden sein. Jedoch fehlen meist Daten, so der Bericht. Auch seien die Trainingsdaten nicht gleichmäßig verteilt, sondern gefärbt durch vermehrt auftretende Herkunftsländer. Entsprechend seien Ergebnisse der KI-Systeme nicht aussagekräftig genug für Entscheidungen mit potenzieller Todesfolge, besonders bei Herkunftsländern, zu denen wenig Daten zur Verfügung stehen.
Zusätzlich treffen KI-Systeme Entscheidungen über Asylverfahren, die auf vorausgegangenen menschlichen Entscheidungen basieren. Vorurteile in menschlichen Entscheidungen würden dabei von den Systemen erlernt und repliziert. Wenn diese auch mit Daten von KI-beeinflussten Entscheidungen trainiert werden, reproduzierten sich die Vorurteile immer weiter. Somit sei die KI-Technologie, so der Bericht, eben nicht der vorgesehene unvoreingenommene Entscheidungsträger.
Daten sind eben auch nur Daten
Darüber hinaus weist die FRA darauf hin, dass die KI-Systeme etwas anhand der Daten entscheiden sollen, was logisch nicht unbedingt zusammenhängt. Nimmt man das Dialekterkennungssystem aus Deutschland als Beispiel, bedeutet ein Dialekt aus einer bestimmten Region nicht unbedingt eine Herkunft aus der Region und auch nicht die entsprechende Nationalität.
Deswegen müsse von Mitarbeiter*innen der zuständigen Behörden beachtet werden, dass die KI-Systeme keine klaren Ergebnisse liefern würden. Als Ergebnis würden sie nur Wahrscheinlichkeiten ausspucken, die auf unzureichenden Daten beruhen würden. Dazu käme die hohe Fehlerquote der KI-Systeme. Das Dialekterkennungssystem, welches das BAMF nutzt, ordnet zwei von zehn asylsuchenden Menschen mit arabischem Dialekt und fast drei von zehn asylsuchenden Menschen mit persischem Dialekt das falsche Herkunftsland zu. Menschen tendieren dazu, Technologien blind zu vertrauen, besonders einem intransparenten KI-System. Der Bericht weist auf das Risiko hin, dass Fehler eines KI-Systems den Verdacht einer Fehlbehauptung von Antragstellenden bestätigen könnten.
Ein faires Verfahren ist nicht sichergestellt
Auch wenn mit den Ergebnissen der KI-Systeme reflektiert umgegangen werde und sie nur in unterstützender Funktion genutzt würden, bestünden große Risiken. Aus juristischer Sicht sei die Fairness des Verfahrens beeinflusst. Als Schutz vor Diskriminierung und Fehlentscheidungen müssen alle Asylanträge objektiv, unvoreingenommen und individuell begutachtet werden.
Eine KI, die aus vorausgegangenen Entscheidungen lernt und so ihre Aussagen trifft, ist nicht objektiv und unvoreingenommen. Dazu generalisiere eine KI, wobei individuelle Besonderheiten jedes einzelnen Falles nicht mehr genug Beachtung fänden.
Ebenfalls juristisch wichtig ist die Möglichkeit eine Entscheidung im Asylverfahren anzufechten. Stütze sich diese Entscheidung aber auf die angebliche Neutralität der Technologie, kann ein Anfechten schwierig werden. Asylbehörden sind dazu verpflichtet, Entscheidungen ausreichend zu begründen, damit Bewerber*innen die nächsten rechtlichen Schritte einleiten können. Eine KI-unterstützte Entscheidung ließe sich durch die Intransparenz der Technologie schwer erklären, weshalb das Verfahren undurchsichtig und komplexer werden würde. Zentral stellt der wissenschaftliche Dienst des EU Parlaments fest, dass sich die Integration von KI in den Asylprozess gegen die Asylbewerber*innen richtet und nur für die Behörden einen Vorteil darstellt.
Abschließend wirft das Briefing Datenschutzbedenken auf, die durch die Einspeisung persönlicher Daten in KI-Systeme entstünden. Bei der Menge von personenbezogenen Daten, die durch KI-Systeme verarbeitet werden, könnte eine Datenschutz-Folgeabschätzung erforderlich werden, um festzustellen ob ein derart großer Eingriff in den Datenschutz verhältnismäßig ist.
Trotz Bedenken grünes Licht für KI-Systeme in Asylanträngen
Obwohl der aufgegriffene Report der FRA bereits 2020 Risiken bei KI-Systemen zur Unterstützung bei Asylansträgen festgestellt hat, werden KI-Systeme weiter in den Asylprozess integriert. Trotz der Gefahren für die Grundrechte versäumt die 2024 verabschiedete KI-Verordnung der EU, die KI-Nutzung für Asylverfahren zu regulieren und Risiken zu beseitigen. Stattdessen gelten die Transparenzregelungen der Verordnung speziell in den Bereichen der Migration und des Asyls nicht.
Datenschutz & Sicherheit
Cybercrime-Bande „Scattered Spider“: Vier Verhaftungen in Großbritannien
Im Zusammenhang mit Angriffen auf britische Unternehmen haben Strafverfolger vier mutmaßliche Mitglieder der Bande „Scattered Spider“ festgenommen. Einer 20 Jahre alten Frau, zwei 19-jährigen Männern und einem Siebzehnjährigen werfen die Ermittler Computermissbrauch, Erpressung, Geldwäsche und Mitgliedschaft in einer kriminellen Organisation vor.
Die vier Verdächtigen sollen Mitglieder einer Gruppe namens „Scattered Spider“ sein, die in den vergangenen Monaten mehrere Einzelhandelsunternehmen lahmlegte. Vor allem die Kaufhauskette „Marks & Spencer“, Betreiberin hunderter Filialen in Großbritannien, litt unter den Angriffen und stellte Ende April sogar ihr Onlinegeschäft vorübergehend ein. Der Angriff kostete das Unternehmen Berichten zufolge bis zu 300 Millionen Pfund. Auch die Traditionsmarke Harrods und die Supermarktkette Co-Op Group beklagten Angriffe durch mutmaßliche Scattered-Spider-Mitglieder.
Die Gruppe ist personell mit Lapsus$ verbandelt, einer ebenfalls in Großbritannien aktiven kriminellen Cybergang, die sich ähnlicher Methoden bedient. Auch im Fall des Angriffs auf Marks & Spencer kam SIM-Swapping auf einen Dienstleister zum Einsatz, also die widerrechtliche Vervielfältigung von Mobilfunkkarten. Meist geht dem ein betrügerischer Anruf beim jeweiligen Mobilfunkanbieter voraus, in dem etwa der Diebstahl oder Verlust der Original-SIM behauptet und der zuständige Kundendienstmitarbeiter übertölpelt wird. SIM-Swapping ist in den USA und Großbritannien verbreitet, in Deutschland jedoch keine große Gefahr, wie uns Mobilfunkbetreiber bestätigten.
Erpressung und Datenklau
Die Bande bedient sich vorwiegend der Methoden aus dem Werkzeugkasten des Social Engineering, um sich in Unternehmensnetze einzumogeln. Dann exfiltrieren die Kriminellen Daten und erpressen ihre Opfer – ein Geschäftsmodell, auf das sich neuerdings auch Ransomware-Banden spezialisieren. Die Verschlüsselung von Daten, wie klassische Ransomware sie vornimmt, scheint nicht Teil des Scattered-Spider-Instrumentariums zu sein.
Der Journalist Brian Krebs hat die Bande und ihre Verbündeten von Lapsus$ seit Jahren im Auge. Er gibt an, dass einer der nun Festgenommenen bereits im April 2022 in einem internen Chat der Gruppe namentlich erwähnt und mutmaßlich bereits damals beim SIM-Swapping erwischt worden war. Wie Krebs schreibt, hatte der Nachwuchskriminelle seine Mittäter gebeten, Vorsicht walten zu lassen, um bei seinen Eltern keinen neuen Verdacht zu erregen. Offenbar war der mittlerweile 19-Jährige damals erst sechzehn Jahre alt. Sieben Mitglieder von Lapsus$ in Großbritannien waren im Jahr 2022 verhaftet worden, gegen fünf US-amerikanische Verdächtige erhoben Staatsanwälte im Jahr 2024 Anklage.
Die in Großbritannien kürzlich festgenommenen bleiben vorerst in Haft, teilte die National Crime Agency (NCA) mit. Ihre elektronischen Geräte seien beschlagnahmt worden und würden derzeit analysiert. Den betroffenen Unternehmen dankte die NCA für die Unterstützung bei den Ermittlungen.
(cku)
Datenschutz & Sicherheit
Hackergruppe soll 170 Cyberangriffe verübt haben
Eine international agierende Hackergruppe soll in Deutschland mindestens 170 Cyberangriffe verübt haben. „Ziel waren insbesondere Behörden, Krankenhäuser und größere Unternehmen“, teilten die Ermittler zu den Taten zwischen 2018 und 2021 mit. „Der bislang dokumentierte Schaden beträgt 46 Millionen Euro – die tatsächliche Summe liegt vermutlich höher.“
Auslöser der Ermittlungen war ein Cyberangriff auf die Stadt Neustadt am Rübenberge (Region Hannover) im August 2019, der die Verwaltung monatelang lahmlegte. Die Täter forderten damals eine hohe Summe in Bitcoin und drohten andernfalls mit der Löschung sämtlicher Daten. Ermittlungen ergaben, dass sich die Angreifer offenbar über Wochen Zugriff auf die Systeme verschafft hatten.
Internationale Haftbefehle gegen sechs Verdächtige
Die Staatsanwaltschaft Verden und die Polizeidirektion Hannover suchten mit Behörden weltweit nach den Tätern. Sie regten nach eigenen Angaben internationale Haftbefehle gegen sechs Verdächtige an. Zwei von ihnen sollen hinter dem Angriff auf Neustadt am Rübenberge stecken. Außerdem fahnden die Ermittler nach fünf mutmaßlichen Geldwäschern.
Die Angreifer gelten als Teil des sogenannten „Wizard Spider“-Netzwerks – einer internationalen Gruppe, die unter anderem in Russland verortet wird.
(dmk)
-
Online Marketing & SEOvor 4 Wochen
TikTok trackt CO₂ von Ads – und Mitarbeitende intern mit Ratings
-
Apps & Mobile Entwicklungvor 4 Wochen
Metal Gear Solid Δ: Snake Eater: Ein Multiplayer-Modus für Fans von Versteckenspielen
-
UX/UI & Webdesignvor 4 Wochen
Philip Bürli › PAGE online
-
Social Mediavor 4 Wochen
Aktuelle Trends, Studien und Statistiken
-
Social Mediavor 4 Wochen
LinkedIn Feature-Update 2025: Aktuelle Neuigkeiten
-
Online Marketing & SEOvor 4 Wochen
#WantaFanta: Warum Fanta und Nico Santos der Gen Z Wünsche erfüllen
-
Social Mediavor 4 Wochen
“Wir haben doch nichts zu erzählen…” – 3 Tricks für neue Social Media Content Ideen
-
UX/UI & Webdesignvor 4 Wochen
Wie gelingt eine einwandfreie Zusammenarbeit?