Bei der Baden-Württemberg-Wahl am Sonntag nahmen sich Grüne und CDU nicht viel. Um die 30 Prozent erreichten beide, die Grünen einen Hauch mehr. Eine stabile Mehrheit, um das Land weiter grün-schwarz zu regieren, andere reale Optionen fehlen. Sicherheitspolitisch heißt das: Jetzt wird vollzogen, was sich bereits ankündigte.

Denn in Sicherheitsfragen liegen Grüne und CDU wie beim Wahlergebnis eng beieinander. Beide Spitzenkandidaten, Cem Özdemir von den Grünen und Manuel Hagel von der CDU, wollen Palantir-artige Datenanalysen. Nur will Özdemir aufgrund ethischer Bedenken nicht die Original-Software aus den USA nutzen, sondern lieber mit Partnern aus Europa eine Alternative entwickeln. Am besten sogar eine regionale. Özdemir sagte, er sei mit verschiedenen Unternehmern aus Baden-Württemberg im Gespräch, „die alle sagen: Wir können das.“

Beim Thema Videoüberwachung herrscht noch deutlichere Einigkeit. Beide wollen die Videoüberwachung massiv ausweiten, dahinter soll ein System laufen, das prüft, ob die Abgebildeten sich auffällig benehmen. Bislang gibt es in Baden-Württemberg ein Gesetz, das die Videoüberwachung des öffentlichen Raums einschränkt. Sie ist nur erlaubt, wenn an diesem Ort besonders viel Kriminalität stattfindet. Dieses Gesetz ist beiden Kandidaten ein Dorn im Auge.

Schon lange gibt es Bestrebungen, dieses Gesetz aufzuweichen. Die Idee ist, Videoüberwachung – und damit auch KI-gestützte Videoüberwachung – nicht nur an tatsächlichen Kriminalitätsschwerpunkten zuzulassen, sondern auch an „strukturellen“. Was ein struktureller Kriminalitätsschwerpunkt ist, entscheidet dann die Polizei.

Entgrenzung der Videoüberwachung

Es sieht so aus, als stamme die Idee der Entgrenzung der Videoüberwachung aus Mannheim. Dort wird seit 2018 KI-gestützte Verhaltenserkennung getestet und trainiert. Allerdings gab es dazu nie genug Kriminalität, so dass die Polizei mit Schaukämpfen nachhelfen musste – und die Versuche, weitere Areale in die Überwachung einzubeziehen, scheiterten an der Gesetzesgrundlage.

Vermutlich arbeiten der heutige Mannheimer Oberbürgermeister Christian Specht und Baden-Württembergs Innenminister Thomas Strobl deshalb seit 2019 daran, das Gesetz aufzuweichen. 2023 stellte ein Referent der Stadt Mannheim ihr Konzept auf dem Städtetag vor. Demnach sollen auch Orte videoüberwacht werden können, an denen die Kriminalität sinkt.

Vor wenigen Tagen hat sich der Grünen-Spitzenkandidat Cem Özdemir in der Wahlarena des Mannheimer Morgens dieser Vision angeschlossen: „Da gibt’s in Mannheim ja mit der intelligenten Kamera, finde ich, ein gutes Modell. Allerdings hat mir Ihre Polizeipräsidentin auch gesagt, das darf dann nicht dazu führen, wenn die Kriminalitätsbelastung dank der Kamera zurückgeht, dass man sie dann abbauen muss. Das ist natürlich ein Treppenwitz, das würde ich gerne ändern.“

„Wo sie es für notwendig halten“

Wenn jetzt also auch der Grüne für eine Entgrenzung der Videoüberwachung ist, steht der Koalition diesbezüglich nichts mehr im Weg. Manuel Hagel von der CDU will schon länger, dass Kommunen „überall dort, wo sie es für notwendig halten, KI-gestützte Videoüberwachung einsetzen können“.

Die Videoüberwachung rund um Areale im städtischen Besitz haben die bisherigen und wohl auch künftigen Koalitionäre dieses Jahr ebenfalls entgrenzt – mit Hilfe des neuen Datenschutzgesetzes. Özdemir-Kumpel Boris Palmer, Tübingens Oberbürgermeister, beruft sich bei der Videoüberwachung seiner Stadt bereits darauf.

Es wird in Baden-Württemberg eine Wende geben, die jahrelang vorbereitet wurde. Eine Wende von der verdachtsabhängigen Überwachung zur anlasslosen. Die Videoüberwachung muss dann nicht mehr mit Zahlen untermauert werden. Es geht dann fast wie in Hessen bei der Legitimierung von Videoüberwachung nicht mehr um tatsächliche Straftaten, sondern eher um ein Gefühl.

Sicher mit einem Android-Smartphone bezahlen, ganz ohne Google-Dienste: Das ist der Plan, den das neu gegründete Industriekonsortium unter Führung der deutschen Volla Systeme GmbH entwickelt. Es handelt sich dabei um eine quelloffene Alternative zu Google Play Integrity. Diese proprietäre Schnittstelle entscheidet auf Android-Smartphones mit Google-Play-Diensten darüber, ob Banking-, Behörden- oder Wallet-Apps auf einem Smartphone laufen dürfen.

Sicheres Bezahlen ohne Google

Hindernisse und Tipps beim Bezahlen mit einem Android-Smartphone ohne offizielle Google-Dienste hat c’t in einem umfangreichen Artikel beleuchtet. Einige der genannten Probleme will das europäische Industriekonsortium nun beheben. Dafür entwickelt die Gruppe, der neben Volla auch Murena, die das gehärtete Custom-ROM /e/OS entwickeln, Iodé aus Frankreich und Apostrophy (Punkt) aus der Schweiz angehören, ein sogenanntes „UnifiedAttestation“ für Google-freie mobile Betriebssysteme, überwiegend auf Basis des Android Open Source Projects (AOSP).

Laut Volla haben zudem ein europäischer und ein führender Hersteller aus Asien sowie Europäische Stiftungen wie die deutsche UBports-Stiftung Interesse zur Unterstützung angemeldet. Überdies würden Entwickler und Herausgeber staatlicher Apps aus Skandinavien prüfen, das neue Verfahren als „First Mover“ einzusetzen.

„Mit UnifiedAttestation schaffen wir ein transparentes und vertrauenswürdiges Verfahren für die Sicherheitsprüfung, auf das Entwickler und Herausgeber von Apps gleichermaßen vertrauen können. Damit beseitigen wir die letzte Hürde für die Verwendung alternativer mobiler Betriebssysteme“, sagt Dr. Jörg Wurzer, Geschäftsführer der Volla Systeme GmbH und Initiator des Konsortiums. Ziel sei es, sich von der Kontrolle eines einzelnen US-Konzerns zu befreien – hin zu mehr digitaler Souveränität, heißt es.

„Sicherheitsparadox“

Volla erläutert in seiner Ankündigung, dass Google mit Play Integrity App-Entwicklern eine Schnittstelle bereitstellt, die prüft, ob eine App auf einem Gerät mit bestimmten Sicherheitsanforderungen ausgeführt wird. Dies betrifft vor allem Anwendungen aus „sensiblen Bereichen wie Identitätsnachweis, Banking oder digitale Wallets – einschließlich Apps von Regierungen und öffentlichen Verwaltungen“.

Das Unternehmen kritisiert, dass die Zertifizierung ausschließlich für Googles eigenes, proprietäres „Stock Android“ angeboten wird, nicht jedoch für Android-Versionen ohne Google-Dienste wie etwa /e/OS oder ähnliche Custom-ROMs. „Da dieses eng mit Google-Diensten und Google-Rechenzentren verflochten ist, entsteht ein strukturelles Abhängigkeitsverhältnis – und für alternative Betriebssysteme ein faktisches Ausschlusskriterium“, so das Unternehmen.

Aus Sicht des Konsortiums ergebe sich daraus zudem ein „sicherheitstechnisches Paradox“, denn „die Prüfung der Vertrauenswürdigkeit erfolgt durch genau jene Instanz, deren Ökosystem gleichzeitig vermieden werden soll“.

UnifiedAttestation mit offener Architektur

Die Alternative zu Google Play Integrity in Form der UnifiedAttestation soll dem Plan des Konsortiums zufolge modular aufgebaut und quelloffen entwickelt werden. Ähnlich wie Googles frei verwendbares AOSP (Android Open Source Project) soll es mit einer liberalen Apache-2.0-Lizenz veröffentlicht werden.

Weiter erklärt das Konsortium, dass UnifiedAttestation aus drei zentralen Elementen bestehen soll. Zum einen soll es ein „Betriebssystem-Dienst“ sein, der mit wenigen Zeilen Code in Apps integriert werden kann. Apps könnten darüber eine Anfrage stellen, ob das jeweilige Betriebssystem definierte Sicherheitsanforderungen erfülle. Zudem soll ein Validierungsdienst dezentral betrieben werden. Dieser prüfe dann, ob das Zertifikat eines Betriebssystems auf dem jeweiligen Gerät gültig ist. Das dritte Element ist eine offene Test-Suite. Diese soll zur „Prüfung und Zertifizierung eines Betriebssystems für ein konkretes Gerätemodell“ dienen.

Geplant sei darüber hinaus ein Peer-Review-Verfahren, mit dem die Mitglieder des Konsortiums ihre Betriebssysteme sowie Smartphone- oder Tablet-Modelle gegenseitig prüfen und zertifizieren. „Dadurch soll Transparenz geschaffen und Vertrauen durch Nachvollziehbarkeit ersetzt werden“.

„Wir wollen Vertrauen nicht zentralisieren, sondern transparent und öffentlich überprüfbar organisieren. Wenn Unternehmen die Produkte der Konkurrenz prüfen, können wir jenes Vertrauen stärken“, erklärt Dr. Wurzer. Ziel des Konsortiums ist es zudem, die neue Industrieinitiative als offenes Kooperationsformat unter dem Dach der Eclipse Foundation, der größten Open-Source-Foundation in Europa, zu etablieren. Erste Gespräche dazu hätten bereits begonnen.

(afl)

In der vergangenen Woche hat Anthropic Erfolge des KI-Schwachstellenscanners basierend auf Claude Opus 4.6 vermeldet, mehr als 100 Sicherheitslücken in Firefox hat sie demnach aufgespürt. Das lässt OpenAI nicht auf sich sitzen. Die bislang als „Aardvark“ laufende KI zur Schwachstellensuche, die seit vergangenem Jahr als private Beta-Version einem eingeschränkten Kreis zugänglich war, ist nun als Forschungs-Vorschauversion „Codex Security“ verfügbar.

Das teilt OpenAI auf seiner Webseite mit. Die Firma bezeichnet den KI-Schwachstellenscanner als „Application Security Agent“. Sie soll weitreichenden Kontext von Projekten erfassen und Schwachstellen erkennen, die andere Tools nicht aufspüren können. Die gefundenen Lücken sollen mit vorgeschlagenen Korrekturen zur besseren Sicherheit des Systems beitragen und Nutzern und Nutzerinnen das Rauschen von unbedeutenden Fehlern ersparen.

Bewerten von Schwachstellen

Kontext ist wichtig, um reale Bedrohungen durch Schwachstellen einzuordnen, erklärt OpenAI. Hier liefern die meisten KI-Tools jedoch Funde mit geringer Bedeutung oder gar falsch-positive Meldungen, was Security-Teams viel Zeit bei der Einordnung koste. Davon kann der Entwickler Daniel Stenberg mit seinem Projekt curl ein Lied singen: Zunächst hat er aufgrund der zahlreichen Glücksritter-Meldungen ohne Hand und Fuß das Bug-Bounty-Programm auf HackerOne komplett eingestampft. Ende Februar kehrte er mit curl jedoch wieder dorthin zurück – die Bug-Verwaltung uferte aus, wichtige Funktionen fehlen ohne eine Plattform wie HackerOne.

Zur Funktion des KI-Schwachstellensuchers schreibt OpenAI, dass das System zunächst einen Kontext aufbaut und automatisch die sicherheitsrelevante Struktur erkennt und daraus ein Bedrohungsmodell ableitet. Das basiert darauf, was das System macht, wem es vertraut und wo es die größten Angriffsflächen bietet. Das lässt sich dann anpassen. Mit diesen Informationen sucht die KI nach Schwachstellen und schätzt den tatsächlichen Bedrohungsgrad in der Praxis ein. Nach Möglichkeit startet sie auch Tests der Funde in Sandbox-Umgebungen. Das reduziert Fehlalarme. Außerdem fallen dabei auch Proof-of-Concept-Codes ab, die den Entwicklern Hilfestellung bei der Einordnung und der Korrektur bieten. Codex schlägt zudem Korrekturen für erkannte Probleme vor.

Codex Security soll daher bessere Ergebnisse liefern und den Flaschenhals des Review-Prozesses aufweiten, der durch die beschleunigte Entwicklung etwa mittels KI-Hilfe auftritt. In den ersten Tests konnte die KI einige relevante Sicherheitslücken aufdecken, erklärt OpenAI. OpenAI hat mit Codex Security die Quellen einiger Open-Source-Projekte analysiert. Am Ende der Mitteilung hat das Unternehmen 15 Schwachstellen mit ihren CVE-Einträgen gesammelt, die die Codex-Security-KI aufgespürt hat. Viele davon erhalten eine Risiko-Einordnung nach CVSS-System „mittel“, einige wurden jedoch auch als hochriskant einsortiert. Einige Open-Source-Projektbeteiligte haben seitdem Zugang zu „Codex for OSS“ erhalten, mit kostenlosem Zugang zu ChatGPT Pro und Plus, Code Review sowie Codex Security. Dieses Programm will OpenAI noch auf mehr Open-Source-Projekte ausweiten.

(dmk)