Tag 2 beim 38C3: zweckentfremdete Forschungsdaten und finsterer Jahresrückblick

Inhaltsverzeichnis

Tag zwei auf dem 38C3: Neben klassischen Security-Themen wie iOS-Malware und Fernkontrolle öffentlicher Einrichtungen per Funk standen repressive staatliche Maßnahmen und die Aufweichung der Bürgerrechte erneut im Mittelpunkt. In langen Schlangen mussten Besucher zum Teil vor den Vortragssälen auf Einlass warten – wer keinen Sitzplatz mehr fand, konnte immerhin fast alle Vorträge im Stream verfolgen. Ein kleiner Trost, obwohl die Menschen sicherlich nicht nach Hamburg gekommen sind, um am Bildschirm zu sitzen. Anlässlich des Junghacker:innentags hat es zudem viele zusätzliche Angebote für 10- bis 17-Jährige gegeben.

Zweckentfremdung von Daten und Modellen

Künftig sollen nicht nur auf nationaler, sondern auch auf EU-Ebene Forschungsdaten bereitstehen, um KI-Modelle zu trainieren. Denn weder die in diesem Jahr inkraftgetretene KI-Verordnung noch die DSGVO schützen die Daten angemessen. Den Anfang sollen Gesundheitsdaten machen, angedacht sind acht Datenräume, etwa für den Bereich Mobilität. Das ruft aus verschiedenen Gründen Bürgerrechtler, Datenschützer und Sicherheitsforscher auf den Plan und ist daher auch auf dem 38C3 Thema.

Problematisch dabei: KI-Modelle oder Daten daraus, die ursprünglich für gemeinwohlorientierte Projekte gesammelt wurden, könnten nachträglich für kommerzielle Zwecke verwertet werden. Was die Anwendung der Daten oder KI-Modelle betrifft, sei der Fantasie keine Grenzen gesetzt. Das zeigen jüngste Forschungsarbeiten von Dr. Rainer Mühlhoff et al. Er stellte gemeinsam mit Hannah Ruschemeier im Vortrag "Gemeinwohlorientierte Forschung mit KI: Missbrauch eindämmen durch Zweckbindung für KI-Modelle" vor, welche Firmen sich bereits an frei verfügbaren KI-Modellen beteiligt haben oder ihre Teilnahme an Forschungsprojekten für dubiose und teils bedenkliche Software eingesetzt haben.

Als ein Beispiel nannte Mühlhoff das Unternehmen "VoiceSense", das zusammen mit dem Neuropsychiatrischen Zentrum Hamburg (NPZ Hamburg) eine Studie durchgeführt hat, um depressive Menschen unter anderem anhand von Stimm-Biomarkern zu erkennen. Das Unternehmen hatte die Daten selbst verwertet und anschließend an das NPZ gesendet. Unklar ist neben der Zuverlässigkeit der Software (186 Probanden nahmen an der Studie teil), ob die Daten nach dem Ende der Studie gelöscht wurden. Gleichzeitig bietet das Unternehmen Software an, die auch im Human-Ressource-Bereich zum Einsatz kommt und depressive Bewerber oder die Stimmung in Unternehmen anhand der Stimme ermitteln soll. Daher fordern die Forscher eine gemeinwohlorientierte Zweckbindung bei der Datennutzung, wonach Daten nur genutzt werden dürfen, wenn sie zum ursprünglichen Verwendungszweck passen.

Hacker-Nachwuchs willkommen

Tummelten sich bereits am Vortag viele Kinder und Jugendliche im CCH, stand der Kongress-Samstag als Junghacker:innen-Tag ganz im Zeichen des Nachwuchses. Für interessierte Zehn- bis Siebzehnjährige hielten die Organisatoren ein umfangreiches Programm mit vielen Angeboten von Vorlese-Sessions über Lötkurse bis zu Workshops über Mathematik bereit. Ein eigener Bereich für die Jüngsten, der Kidspace, bot Raum zum Lernen und Toben, aber auch für Ruhepausen.

Mit einem begrenzten Kontingent kostenloser Tageskarten unterstützten die 38C3-Organisatoren Familien und Lehrkräfte, die ihre Schützlinge ans Hacken heranführen wollten. Die 300 Karten waren jedoch schnell vergeben wie auch die erst am Samstagvormittag freigeschalteten etwa 800 Workshopkarten. Offenbar mangelt es nicht an technisch interessierten Kindern und Jugendlichen.

Finsterer CCC-Jahresrückblick sieht Überwachungstendenzen

Deprimierend war der CCC-Jahresrückblick, wie Constanze Kurz, eine der CCC-Sprecherinnen befand. Zu den genannten Vorhaben auf europäischer Ebene gehört etwa der im März beschlossene Europäische Gesundheitsdatenraum, in dem allerhand Patientendaten gesammelt werden. Ebenso war das Jahr von Vorstößen bei der Gesichtserkennung geprägt. Inzwischen wird in drei Bundesländern Vera genutzt – in NRW und Hessen, in Bayern testweise. Vera steht für "verfahrensübergreifende Recherche- und Analyseplattform".

Doch damit nicht genug: In diesem Jahr hatte die Ampelkoalition des Öfteren ein Sicherheitspaket mit umfassenden Überwachungsbefugnissen gefordert. Dazu gehören die automatisierte Gesichtserkennung mit KI und die Vorratsdatenspeicherung. Ferner wollte Nancy Faeser Polizisten mit dem BKA-Gesetz ermöglichen, heimlich in Wohnungen einzudringen, sie zu durchsuchen und Trojaner auf Computern zu installieren. Als weiterer Schritt Richtung Überwachungsstaat gilt die Chatkontrolle, zu der bisher keine Einigung erzielt werden konnte.

Besonders kritisch sieht der CCC auch die Entwicklungen auf internationaler Ebene. Die UN-Cybercrime-Konvention droht massive Überwachungspflichten einzuführen und die IT-Sicherheit zu untergraben. Trotz breiter Kritik von Bürgerrechtsorganisationen und IT-Experten scheint die EU dem Vertrag zustimmen zu wollen.

Deprimierend verlief auch die Analyse der Wahlsoftware, die bei den Landtagswahlen in Sachsen und Thüringen zum Einsatz kam. Dabei wurden Fehler bei der Sitzverteilungsberechnung entdeckt. Der CCC kritisiert seit Jahren die mangelnde Transparenz der eingesetzten Software und fordert eine Open-Source-Entwicklung. Das BSI hat zwar ein 90-seitiges Papier erstellt, aber die grundlegenden Probleme bleiben bestehen.

Ausklingen ließ der CCC das Jahr mit Sicherheitslücken bei der elektronischen Patientenakte und beim Konzern VW. Bei letzterem waren Terabyte an Standortdaten von E-Fahrzeugbesitzern sichtbar.

Der Ausblick auf 2025 fiel nicht minder düster aus: Man werde einen Blick auf die geopolitischen Veränderungen durch die neue US-Präsidentschaft haben und natürlich auch auf die vorgezogene Bundestagswahl – und die dort eingesetzte Wahlsoftware – im eigenen Land.

(mack)