Connect with us

Datenschutz & Sicherheit

Streik der TikTok-Moderator*innen: „Sie sind Vorkämpfer“


Anna* hat schlechte Laune. „Ich bin traurig und wütend, aber vor allem enttäuscht“, sagt sie. Anna soll gekündigt werden. Seit drei Jahren arbeitet die 34-Jährige für TikTok. Sie moderiert vom Standort Berlin aus Beiträge, die als anstößig markiert werden. Heute aber ist sie im Streik. Es ist bereits der zweite Warnstreiktag der Berliner TikTok-Beschäftigten, nach der Erstauflage am 23. Juli.

Etwa 50 Mitarbeitende haben sich zum Streik eingefunden. Sie tragen Warnwesten, Basecaps und Fahnen der Gewerkschaft ver.di. Auf ihren Bannern steht etwa: „TikTok, was ist dir Sicherheit wert?“ Die Mitarbeitenden rufen Slogans wie „We trained your machines. Pay us what we deserve.“ Übersetzt heißt das: „Wir haben eure Maschinen trainiert. Zahlt uns, was wir verdienen.“ Trillerpfeifen ertönen. Die Demonstrierenden wirken kämpferisch – und zornig.

TikTok will die Moderation von Beiträgen an Subunternehmen und eine KI auslagern. Diese KI wurde mithilfe von Entscheidungen trainiert, die die Mitarbeitenden trafen, die nun entlassen werden sollen.

TikTok geht gerichtlich gegen den Betriebsrat vor

Die geplanten Kündigungen betreffen laut ver.di rund 150 Beschäftigte der Abteilung „Trust and Safety“ (Vertrauen und Sicherheit), die bislang Inhalte in dem Netzwerk überprüfen, sowie 15 Beschäftigte aus dem Bereich TikTok-Live, die für den Kontakt mit Content-Produzent*innen zuständig sind. Derzeit arbeiten in Berlin etwa 400 Menschen für TikTok, das vom chinesischen Unternehmen ByteDance betrieben wird. Der Konzern hat auf eine netzpolitik.org-Anfrage nicht reagiert.

Für die Angestellten, die TikTok entlassen will, verlangt ver.di eine Abfindung von drei Jahresgehältern und eine Verlängerung der Kündigungsfrist um zwölf Monate. TikTok geht derweil gegen den Betriebsrat vor. Der Prozess beginnt heute vor dem Arbeitsgericht Berlin, dort findet auch der Protest statt. ver.di vermutet, dass das Verfahren dazu dient, die Kündigungen möglichst schnell vollziehen zu können. Verhandlungen mit dem Betriebsrat habe TikTok bislang verweigert, so ver.di.

Zudem habe die TikTok-Geschäftsführung angekündigt, die Teilnehmer*innen des ersten Warnstreiktages einzeln zu Gesprächen vorzuladen. Sie hätten gegen rechtliche Pflichten verstoßen, weil sie den Arbeitgeber nicht über ihre geplante Streikteilnahme informiert hätten. ver.di sieht darin einen Einschüchterungsversuch gegen die Streikenden.

Sexuelle Inhalte, Fake News, Blut und Gewalt

Anna sagt, sie sei stolz, dass sie mit ihrer Arbeit Menschen schütze. Dazu schaut und bewertet sie pro Schicht rund 700 Videos. Sie sieht sexuelle Inhalte, Fake-News, Blut und Gewalt. Potenziell traumatisierendes Material. „Es gibt Clips, die ich nicht vergessen kann“, sagt Anna. Sie sei abgestumpft, könne sich zudem kaum mehr länger als 30 Sekunden konzentrieren, weil sich ihr Gehirn an die kurzen Videos gewöhnt habe. Content-Moderation ist ein Job, der tiefe Spuren hinterlässt.

Anna moderiert Videos, die polnische User*innen erstellt haben. Neben dem polnischen betreut das Berliner Team auch den deutschen und den niederländischen Markt.

„TikTok geht es ums Geld“, sagt Oliver Marsh von AlgorithmWatch. „Aber es kann auch ein Experiment sein. Im Fall des Erfolgs könnte auch in anderen Ländern und Bereichen Jobs an Software übergeben werden.“

“KI macht Fehler“

Es ist ein weltweiter Trend: Unter anderem weil menschliche Arbeitskräfte teuer sind, krank werden – und sogar streiken können –, wird für immer mehr Aufgaben KI eingesetzt. So würden sich Unternehmen als „modern“ gerieren, sagt Oliver Marsh. Doch das bringt Probleme mit sich. „KI macht Fehler“, sagt Marsh. Mal könne zu viel Content entsorgt werden – ein anderes Mal nicht genug. „KI kann Graubereiche und schwierige Problemfälle nicht lösen. Da braucht es Menschen, um den Kontext einzuordnen“, sagt er.

Marsh nennt eine Reihe von Feldern, auf denen KI immer wieder Fehlentscheidungen trifft. LGBTQIA*-Inhalte beispielsweise würde oft als „Hassrede“ fehlgedeutet, Nackheit im künstlerischen Kontext schnell als sexueller Content abgestempelt. Zudem würden Beiträge mit dem arabischen Wort Shaheed regelmäßig als terrorismusverherrlichender Content entfernt. Shaheed bedeutet Märtyrer, das Wort wird auch in harmlosen Zusammenhängen verwendet.


2025-07-14
689.12
58


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

Die Berliner TikTok-Beschäftigten kämpfen schon länger gegen ihre miesen Arbeitsbedingungen. 2022 haben sie einen Betriebsrat gegründet. Inzwischen sind etwa 70 Prozent der Mitarbeitenden gewerkschaftlich organisiert. „Wir haben ihnen gezeigt, dass sie Rechte haben und die auch in Anspruch nehmen können“, sagt ein Mitglied des Betriebsrats, das anonym bleiben will. So habe man beispielsweise verhindert, dass der Konzern trackt, wer wann wie lange an seinem Arbeitsplatz sitzt.

Eine weltweite Bewegung

Die Berliner TikTok-Angestellten sind Teil einer weltweiten Bewegung. In Nairobi wurde 2023 eine eigene Gewerkschaft für Content-Moderator*innen gegründet, die African Content Moderators Union. Viele Moderationsjobs wurden auf den Kontinent ausgelagert und werden dort von Subunternehmern vergeben. Die Arbeitnehmer*innen möchten mit der Gewerkschaft die brutalen Arbeitsbedingungen etwas entschärfen.

Doch obwohl sich auch andernorts Mitarbeitende von Social-Media-Plattformen organisieren, ist der Berliner Streik wohl der erste seiner Art. Weder Oliver Marsh noch Kathlen Eggerling, die für die Gewerkschaft ver.di die TikTok-Mitarbeiter*innen betreut, wissen von ähnlichen Arbeitsniederlegungen von Social-Media-Mitarbeiter*innen anderswo in der Welt. „Die TikToker trauen sich ihre Rechte wahrzunehmen, das ist etwas Großes“, sagt Eggerling. „Sie haben keine Vorkämpfer in ihrer Branche. Sie sind selber welche.“

Für Social-Media-Plattformen steht bislang der Gewinn über den Interessen der Mitarbeitenden, sagt Eggerling. Betriebsratsgründungen würden, wenn sie mal angestrebt würden, häufig auf großen Widerstand stoßen. Auch bei der Gründung des Berliner TikTok-Betriebsrates gab es starken Gegenwind aus der Chefetage.

Doch inzwischen haben sich die TikTok-Mitarbeiter*innen an ihre Rechte gewöhnt. Mit ihrem Warnstreik treten sie selbstbewusst auf. „Die TikToker sind richtige Gewerkschafter geworden“, sagt Eggerling. „Sie haben ein gutes Gespür für Gerechtigkeit.“

*Name auf Wunsch der Betroffenen geändert.



Source link

Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Angreifer attackieren PCs, auf denen PaperCut NG/MF läuft


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Aufgrund derzeit laufender Angriffe sollten Admins sicherstellen, dass sie eine aktuelle Ausgabe der Druckermanagementsoftware PaperCut NG/MF installiert haben. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall Schadcode auf Systeme schieben und ausführen. Sicherheitsupdates sind schon länger verfügbar.

Vor den Attacken warnt die US-Sicherheitsbehörde CISA (Cybersecurity & Infrastructure Security Agency) in einem aktuellen Beitrag. Die Lücke (CVE-2023-2533 „hoch„) ist schon zwei Jahre alt; seitdem gibt es auch Sicherheitspatches. Doch offensichtlich sind diese nicht flächendeckend installiert, sodass Angreifer noch an der Softwareschwachstelle ansetzen können.

Im Zuge einer Cross-Site-Request-Forgery-Attacke (CSRF) nehmen Angreifer an verwundbaren PCs angemeldete Admins ins Visier, um im Namen der Opfer Aktionen auszuführen. Klappt eine Attacke, können Angreifer Sicherheitseinstellungen verbiegen oder sogar eigenen Code ausführen und so Systeme kompromittieren.

In welchem Umfang und wie genau solche Attacken in diesem Fall ablaufen, ist derzeit nicht bekannt. Aus der zwei Jahre alten Sicherheitswarnung des Softwareherstellers geht hervor, dass die Version PaperCut NG/MF 22.1.1 gegen die Angriffe abgesichert ist. Darin haben die Entwickler eigenen Angaben zufolge die Konfigurationen von bestimmten Komponenten vom Admin-Interface separiert. Davon sollen alle Betriebssysteme, für die es die Druckermanagementsoftware gibt, bedroht sein. Sie geben an, dass die Versionen 20.1.8 und 21.2.12 nicht von der Softwareschwachstelle betroffen sind.

Woran Admins bereits attackierte Computer erkennen können, geht aus dem Beitrag der Entwickler leider nicht hervor.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Microsoft-Forscher finden TCC-Lücke in Apples Spotlight: Datenleak droht


Der Bereich TCC (Transparency, Consent and Control) ist für Apple immer wieder ein Sorgenkind: Mit der Technik soll macOS eigentlich vor Datenabflüssen an Apps bewahrt werden, die der Nutzer nicht wünscht. Doch Bugs in diesem Zustimmungs- und Überprüfungs-Framework treten immer wieder auf – oftmals durch die Hintertür. Ein Beispiel ist ein aktueller Bug, den Sicherheitsforscher bei Microsoft aufgefunden haben. Die Lücke namens Sploitlight nutzt Apples hauseigene Spotlight-Suchfunktion samt Fehlern in Apple Intelligence, um sensible Daten, darunter Ortsangaben, Metainfos und sogar Gesichtserkennungsinformationen, abzugreifen. Apple hat den Bug glücklicherweise bereits mit macOS 15.4 Ende März gefixt.

TCC soll eigentlich dafür sorgen, dass nicht ohne Nutzerfreigabe auf persönliche Informationen zugegriffen werden kann. Dafür nutzt Apple ein breites Sandboxing – so breit, dass die vielen Nachfragen viele User sogar nerven. Im Rahmen von Sploitlight zeigte Microsoft nun, dass es möglich ist, auf von Apples KI-System Apple Intelligence im Cache vorgehaltene Daten zuzugreifen. Dazu manipulierten die Forscher Spotlight-Plugins so, dass sie über übliche Spotlight-Funktionen wie mdfind (Spotlight auf der Kommandozeile) einen TCC-Bypass schaffen konnten. Dabei muss ein Angreifer wissen, welche Dateitypen er oder sie auslesen will. Die Plugins sind sogar unsigniert, sie lassen sich also deutlich einfacher durch Angreifer ausführen als „normale“ Apps.

Microsoft gelang es weiterhin, Fotoalben und geteilte Alben auszulesen, Nutzeraktivitäten im Bereich Fotos zu tracken, anzusehen, welche Fotos und Videos gelöscht wurden sowie den Bildklassifizierer zu missbrauchen, der feststellt, was ein Bild zeigt.

Einige der Leaks benötigen ein aktives Apple Intelligence, andere offenbar nicht. Laut Microsoft wäre es auch möglich, andere Cache-Dateien auszulesen, darunter solche von ChatGPT (das in Apple Intelligence integriert ist) oder E-Mail-Zusammenfassungen.

Offenbar ist von der Lücke teilweise auch das iPhone betroffen. Microsoft deutet an, dass es vom Mac aus möglich ist, abgeglichene Daten abzugreifen. Apple hat in iOS 18.4 mehrere Lücken gefixt, die dazu passen. Microsoft lieferte insgesamt drei Fehlerberichte für macOS 15.4 und iOS 18.4, darunter auch ein Bug im Kontext der Überprüfung von Symlinks und einen „State Management“-Fehler. Nutzer sollten ihr System dringend auf den aktuellen Stand bringen. macOS 15.5 und iOS 18.5 sind die aktuellen Versionen.


(bsc)



Source link

Weiterlesen

Datenschutz & Sicherheit

Security: CERT@VDE wird erste deutsche Schaltzentrale für Sicherheitslücken


Das Sicherheits- und Computer-Notfallteam des Elektrotechnik- und IT-Verbands VDE spielt international seit wenigen Tagen eine wichtigere Rolle. Die Branchenvereinigung teilte am Freitag mit, dass das eigene Computer Emergency Response Team CERT@VDE zur zentralen Stelle im Kampf gegen IT-Sicherheitslücken im Bereich der Industrieautomation mit Fokus auf kleine und mittlere Unternehmen aufgestiegen sei. Dessen Arbeit zur Koordination von Security-Problemen in diesem Sektor erhält damit eine weltweite Bedeutung.

Sicherheitslücken in Industrieprodukten haben bereits etwa in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten für teils existenzielle Bedrohungen gesorgt. Wenn Angreifer solche Schwachstellen ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um das zu verhindern, müssen diese Lücken weltweit bekannt gemacht und behoben werden.

Dafür gibt es das CVE-System (Common Vulnerabilities and Exposures), das vor über 25 Jahren in den USA eingeführt wurde. Es fungiert wie eine große Datenbank, in der jede bekannte Sicherheitslücke eine eigene, eindeutige Nummer hat. Das soll dabei helfen, Missverständnisse bei der Behebung von Problemen zu vermeiden, da jeder genau weiß, welche Schwachstelle gemeint ist. Seit 1999 gilt das CVE-System als wichtiger globaler Standard, der IT-Sicherheitsexperten und Unternehmen hilft.

Doch nicht jeder soll einfach CVE-IDs vergeben können, um Chaos zu vermeiden. Dazu berechtigt sind nur bestimmte Organisationen und Firmen. Sie sind als „CVE Numbering Authorities (CNAs)“ bekannt. Diese teilen sich die Zuständigkeiten für verschiedene Produkte und Bereiche auf. CERT@VDE ist bereits seit 2020 eine solche CNA für seine Partner. Das Zentrum hat sich dafür im Rahmen von Prüfungen durch die US-Normungsbehörde NIST einen hohen Qualitätsstandard für seine CVEs erarbeitet. Die NIST betreibt auch die NVD (National Vulnerability Database), eine staatliche Datenbank, die das CVE-System um technische Details und Bewertungen ergänzt.

Über den normalen CNAs gibt es noch sogenannte Root-CNAs. Das sind die Schaltzentralen, die die Arbeit der untergeordneten Zulieferer koordinieren und überwachen. Zu diesen Root-CNAs gehören bereits große Namen wie MITRE, die US-Cybersicherheitsbehörde CISA, Google und Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der französische Konzern Thales. Seit Mitte Juli dient nun CERT@VDE als die erste deutsche Root-CNA.

In dieser neuen Funktion wird das Notfallzentrum laut dem VDE das CVE-System für seine Partner in Deutschland strukturieren, beaufsichtigen und koordinieren. Das bedeutet konkret: Das CERT-Team sucht, selektiert und betreut neue CNAs aus dem Kreis ihrer Partner. Die Mitarbeiter schulen diese Instanzen und helfen ihnen beim Start. Sie sollen ferner sicherstellen, dass alle sich an die CVE-Regeln und -Prozesse halten. Weitere Aufgabe ist die Fortentwicklung von Abläufen und Standards für die Vergabe und Verwaltung von CVE-IDs. Bei Unklarheiten oder Streitigkeiten zwischen CNAs über Zuständigkeiten wird CERT@VDE vermitteln und die Qualität der CVE-Einträge prüfen.

Laut dem Abteilungsleiter von CERT@VDE, Andreas Harner, hat die Beförderung Vorteile für deutsche Firmen: Das Zentrum sei damit nicht nur die direkte Kontaktstelle in derselben Zeitzone für Mitstreiter in Mitteleuropa, sondern auch Teil des internationalen CVE-Systems. Angeschlossene könnten ihren Kunden so noch besser zeigen, dass sie ein ausgereiftes Sicherheitsmanagement haben. Zugleich behielten sie die Kontrolle darüber, wann und wie CVEs für Schwachstellen in ihren Produkten veröffentlicht werden.

Die CVE-Datenbank stand im Frühjahr wegen Unstimmigkeiten zwischen CISA und MITRE aufgrund Sparvorgaben aus dem Umfeld der Trump-Regierung kurzzeitig vor dem Aus. Die EU beteiligte sich an der Suche nach Alternativen. Das mit CVE eng verknüpfte Schwachstellenbewertungssystem CVSS (Common Vulnerability Scoring System) steht generell in der Kritik wegen seiner Anfälligkeit für Fehleinschätzungen. Die CISA gelobte voriges Jahr, den Informationsrückstau bei der von der NIST geführten Mutter aller Schwachstellendatenbanken mit einem flexibleren Ansatz anzugehen.


(vbr)



Source link

Weiterlesen

Beliebt