• Welcome to COMMUNICATIONS LASER #17. Please log in.

[Körperdaten, Genetik, Biometrie, Patientendaten ... ]

Started by Textaris(txt*bot), April 19, 2006, 12:37:56 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Textaris(txt*bot)

Quote[...] Es klingt immer so theoretisch. Was, wenn die Daten, die wir heute speichern, morgen in die Hände eines diktatorischen Regimes fallen? Wenn sie genutzt werden, um Menschen zu überwachen, zu verfolgen, zu unterdrücken? Vor solchen Szenarien warnen häufig Datenschutzaktivistinnen und -aktivisten, wenn es um die Sammlung personenbezogener Daten geht. Insbesondere dann, wenn diese Daten biometrisch sind, also körperbezogen: Fingerabdrücke, die Iris, ein Scan des ganzen Gesichts.

Solche Merkmale sind unveränderlich. Sind sie einmal erhoben und gespeichert, können sie ein Leben lang zur Identifikation eines Menschen genutzt werden. Das kann bei der vermeintlich harmlosen Kontrolle am Flughafen geschehen. Aber theoretisch eben auch, um diejenigen aus einer Gruppe herauszufiltern, die man einsperren oder gar töten will.

Vielen Menschen erscheinen Warnungen vor solch dystopischen Szenarien weit hergeholt – Medienberichten zufolge könnten sie in Afghanistan nun aber Realität werden. Laut dem US-Onlinemagazins The Intercept sollen die Taliban in Besitz biometrischer Geräte gelangt sein, die vorher von den dort stationierten US-Truppen verwendet wurden. Das hätten dem Magazin mehrere aktive und ehemalige Militärs bestätigt. Auch die Nachrichtenagentur Reuters berichtet, dass Taliban Zugang zu biometrischen Datenbanken und Gerätschaften erlangt haben könnten – und verweist zum Beleg dafür auf entsprechende Aussagen der US-Menschenrechtsorganisation Human Rights First.

https://theintercept.com/2021/08/17/afghanistan-taliban-military-biometrics/

https://www.reuters.com/article/afghanistan-tech-conflict/afghans-scramble-to-delete-digital-history-evade-biometrics-idUSL8N2PO1FH

https://twitter.com/humanrights1st/status/1427708063298035716

Konkret geht es um sogenannte HIIDE-Geräte (Handheld Interagency Identity Detection Equipment). Mit deren Hilfe können biometrische Scans von Fingerabdrücken und Iris angefertigt und gespeichert und kontrolliert werden. Möglicherweise können sie auch genutzt werden, um auf zentrale Datenbanken zuzugreifen, heißt es bei The Intercept.

Mit diesen Werkzeugen könnten die Taliban im schlimmsten Fall Personen identifizieren, die sie als Feinde sehen: Ortskräfte und andere Menschen, die mit westlichen Militärs oder Nichtregierungsorganisationen zusammengearbeitet haben, warnt Human Rights First. Die Sorge: Wenn an Checkpoints oder bei Tür-zu-Tür-Kontrollen Fingerabdrücke und Iris gescannt werden, könnte es quasi unmöglich werden unterzutauchen. 

Noch ist vieles unklar, zum Beispiel, welche Daten genau von diesen Geräten aus abgerufen werden können und welche Personen die darauf gespeicherten Daten betreffen. Auch, in welchem Umfang die Taliban die Technik nutzen können, ist fraglich. Ein ehemaliger Armeeangehöriger sagte The Intercept zwar, dass die Taliban wohl zusätzliche Werkzeuge bräuchten, um HIIDE-Daten verarbeiten zu können – zeigte sich aber besorgt, dass es dafür Unterstützung aus Pakistan geben könne.

Ohne nähere Informationen zu Fragen wie diesen ist es schwierig abzuschätzen, wie viel Schaden die Geräte in den Händen der Taliban anrichten können. Vergangene Vorfälle zeigen, dass sie zumindest bereit sind, solche Technologie zu nutzen: Schon 2016 berichteten lokale afghanische Medien von einem Vorfall, bei dem Taliban-Kämpfer Busse stoppten, Geiseln nahmen und Menschen töteten. Zuvor sollen sie nach Aussagen eines Armeekommandanten Fingerabdrücke aller Mitfahrenden mit einem Gerät gescannt haben, mit dem Sicherheitskräfte unter den Passagieren identifiziert werden konnten.

Sicher ist, dass es in Afghanistan verschiedene Bestrebungen gab, die biometrischen Daten von Menschen zu erfassen. Bereits vor mehr als zehn Jahren begannen die USA, eine Fingerabdruck-Datenbank von Verdächtigen anzulegen, um mutmaßliche "bad guys" zu identifizieren. Tatsächlich wurden laut The Intercept nicht nur die biometrischen Daten potentieller Terroristen erfasst, sondern auch von Afghanen, die mit den USA und anderen ISAF-Kräften kooperierten.

Auch Bundeswehrsoldaten waren offenbar im Rahmen eines sogenannten ISAF-Biometrics-Plans zur Verbesserung der Sicherheitslage im Einsatzgebiet an der biometrischen Erfassung von Afghaninnen und Afghanen beteiligt. Das zumindest legen Antworten der Bundesregierung auf eine Kleine Anfrage 2011 nahe. Es lägen bei der Bundesregierung "keine Bedenken gegen eine Beteiligung der Bundeswehr am ISAF-Biometrics-Plan vor", hieß es darin.

Auch biometrische Daten von unbescholtenen Bürgerinnen und Bürgern wurden in den vergangenen Jahren erfasst. So zum Beispiel von der Wahlkommission, die damit Fälschungen und Manipulationen vermeiden wollte. Hier kamen laut einem Reuters-Bericht Maschinen der deutschen Firma Dermalog Identifications Systems zum Einsatz. Auch das afghanische Ausweisdokument enthält biometrische Informationen. 

Laut der Investigativjournalistin Annie Jacobsen sei es langfristig das Ziel des US-Verteidigungsministerium gewesen, 80 Prozent der afghanischen Bevölkerung biometrisch zu erfassen. Ob es tatsächlich so viele Menschen waren, sei allerdings unklar, weil das US-Verteidigungsministerium die entsprechenden Statistiken unter Verschluss halte, sagte sie dem US-Radiosyndikat NPR im Januar dieses Jahres.

https://www.npr.org/2021/01/14/956705029/first-platoon-examines-how-war-on-terror-birthed-pentagons-biometrics-id-system?t=1629295289667

Viele Beobachter sind nun hoch besorgt, was diese Daten in den Händen der Taliban anrichten könnten. Man solle "das Schlimmste annehmen und dafür planen", rät Brian Dooley von Human Rights First in der britischen Ausgabe des Technikmagazins Wired in Bezug auf digitale Bedrohungen durch die Taliban. Die Organisation hat unter anderem eine Handreichung im Netz veröffentlicht, wie Menschen in Afghanistan biometrische Überprüfungen vermeiden können – weist jedoch schon darin darauf hin, dass dies im Einzelfall sehr schwierig sei.

Von einem "Albtraum-Szenario" spricht Ella Jakubowska, Policy Advisorin der europäischen digitalen Bürgerrechtsbewegung EDRi im Gespräch mit ZEIT ONLINE. EDRi warnt seit Jahren vor den Gefahren biometrischer Massenüberwachung, vor allem in Europa.

https://edri.org/our-work/new-edri-report-reveals-depths-of-biometric-mass-surveillance-in-germany-the-netherlands-and-poland/

Sie fügt aber hinzu: "Wir sollten die Falle vermeiden, zu denken, dass es bei biometrischer Massenüberwachung good guys und bad guys gebe." Egal, in wessen Händen sie sich befänden, seien diese Daten höchst sensibel. Und so müsse man sich eben auch die Frage stellen, ob es notwendig und angemessen gewesen sei, dass die USA diese Angaben überhaupt erhoben hätten – auch eingedenk des Machtungleichgewichts, das zwischen US-Militärs und afghanischer Zivilbevölkerung bestanden habe.

Bereits im Mai dieses Jahres kam Nina Toft Djanegara von der Universität Stanford in einem Bericht für die NGO Privacy International zum Ergebnis, dass das US-Verteidigungsministerium sein Biometrieprogramm, das auch im Irak zur Anwendung kommt, "ohne Bewertung der Auswirkung auf Menschenrechte und ohne notwendige Maßnahmen zur Verhinderung von Missbrauch" entwickelt und umgesetzt habe. 

In vielen Äußerungen von Kritikerinnen und Kritikern biometrischer Erfassungen, die sich nun zu Wort melden, schwingt mit, dass nun genau das Szenario eintreten könnte, vor dem immer gewarnt wird. Die Meldungen zeigten, "wie wichtig Technikfolgenabschätzung sei", twitterte Netzpolitikerin Anke Domscheit-Berg (Linke). Riesige biometrische Datenbanken seien immer und überall ein Risiko, weil man seine Iris nicht wechseln könne wie ein Passwort und auch ohne Taliban derartige Datenbanken angreifbar seien.

In Afghanistan gehe es "schlicht um Leben und Tod der betroffenen Ortskräfte und ihrer Angehörigen", schreibt der grüne Digital- und Innenpolitiker Konstantin von Notz auf Anfrage von ZEIT ONLINE. "Hier wird der ganz praktische Wert eines guten Daten- und Grundrechtsschutzes auf schreckliche Art und Weise mehr als deutlich, der eben keine Daten, sondern Menschen schützt." Einmal mehr bewahrheite sich, dass man sich nie sicher sein könne, in wessen Hände einmal gesammelte Daten zu einem späteren Zeitpunkt fallen. "Das gilt im Übrigenm auch für vermeintlich gefestigte Demokratien", so von Notz.

Tatsächlich wird Biometrie-Technik auch hierzulande eingesetzt, von Fingerabdrücken im Personalausweis bis zur Gesichtserkennung bei der Verbrechensbekämpfung. Datenschützerinnen und Netzpolitiker kritisieren das regelmäßig, oft mit wenig Erfolg. Die Bedrohung klang bisher für viele wohl zu theoretisch.

https://www.zeit.de/online/2008/30/elektronischer-ausweis

https://www.zeit.de/digital/datenschutz/2020-02/gesichtserkennung-bka-kriminalitaet-datenschutz-ueberwachung


Aus: "In Afghanistan könnte wahr werden, wovor Datenschützer immer warnen" Eine Analyse von Meike Laaff und Jakob von Lindern (21. August 2021)
Quelle: https://www.zeit.de/digital/datenschutz/2021-08/afghanistan-taliban-biometrische-daten-identitaetserkennung-usa-ortskraefte-gefahr/komplettansicht

QuoteMickyMesser #2

Genau deswegen ist das Argument "Wer nichts zu verbergen hat" auch so gefährlich und falsch. Gerade in Deutschland mit seiner wechselhaften Geschichte das so erst seit 30 Jahren existiert.. man weiß nie wie es in 25, 50 oder 75 Jahren aussehen wird.


Quoteexxkoelner #3

Deswegen sollte immer gelten, so wenig Daten, wie möglich und nur so viel, wie unbedingt nötig. Leider ist der Zeittrend genau anders rum. Eine perfekte Kontrolle von allem und jeden, mag so manchem "Sicherheit" suggerieren, ist aber auch ein perfektes Instrument, von Diktatoren genutzt, mit weit weniger Aufwand als bisher, Bevölkerungen zu unterdrücken.


QuoteEinTollerName #3.1

Digitalisierung first.
Bedenken second.

(FDP)



Quote... [2018] ... Auf dem FDP-Bundesparteitag in Berlin sagte Lindner nun: ,,Das Plakat war wohl doch etwas im Überschwang gestaltet." Das Wahlplakat zeigte den FDP-Vorsitzenden mit einem Smartphone in der Hand und dem Slogan ,,Digital First - Bedenken second". ....
https://www.focus.de/politik/deutschland/bedenken-gegen-die-digitalisierung-etwas-im-ueberschwang-lindner-distanziert-sich-nach-datenskandal-von-wahlplakat_id_8917604.html


QuoteFestFesterLose #18

Das Thema ist durch. Wir müssen seit langem "biometrische" Fotos für unsere Ausweispapiere anfertigen lassen, damit sind wir per Gesichtserkennung jederzeit im öffentlichen Raum identifizierbar.

Die Fingerabdrücke erweitern dies um weitere Situationen, wo eine Videoüberwachung nicht zum Tragen kommt.

Das einzige, was politische Opposition, Andersgläubige, Andersorientierte, anderen Volksgruppen angehörige, etc. noch von der Gefahr trennt einkassiert und in (Vernichtungs-)Lager verbracht zu werden ist die romantische Hoffnung in diesem Lande würde nie wieder eine extremistische politische Strömung an die Macht kommen.

Wie man das angesichts der Geschichte nur glauben kann, ist der unglaublichen Naivität überführt.


...


Textaris(txt*bot)

Quote[...] Das EU-Parlament hat sich am gestrigen Dienstag mit deutlicher Mehrheit gegen biometrische Massenüberwachung in der Europäischen Union ausgesprochen. Von den deutschen Abgeordneten stimmten die Abgeordneten von SPD, Grünen, FDP, Die Partei und Piraten gegen die biometrische Massenüberwachung, die AfD enthielt sich, die Abgeordneten der Union stimmten dafür. Die Resolution des Parlamentes ist rechtlich nicht bindend. Eine Symbolwirkung hat sie dennoch, denn das ungewöhnlich deutliche Abstimmungsergebnis zeigt, wie das Parlament in dieser Frage steht.

... Mittlerweile wird weltweit gegen Gesichtserkennung und biometrische Massenüberwachung protestiert. Unter dem Motto ,,Ban Biometric Surveillance" machen mehr als 200 Nichtregierungsorganisationen aus aller Welt auch außerhalb der Europäischen Union zum Thema mobil. 

...


Aus: "Europäisches Parlament stellt sich gegen biometrische Massenüberwachung" Markus Reuter (06.10.2021)
Quelle: https://netzpolitik.org/2021/gesichtserkennung-co-europaeisches-parlament-stellt-sich-gegen-biometrische-massenueberwachung/


Textaris(txt*bot)

Quote[...] Was ist die elektronische Patientenakte?

Eine digitale Anwendung, in der Krankenversicherte und Ärzte Dokumente und Gesundheitsinformationen ablegen können. Der Sinn: Statt Arztbriefe spazieren zu tragen oder einfach nicht mehr zu wissen, was beim Belastungs-Ekg vergangenes Jahr herausgekommen ist, können Ärztinnen und Krankenhäuser digital auf entsprechende Informationen zugreifen. Voraussetzung dafür ist allerdings, dass der Patient oder die Patientin die entsprechenden Daten in die elektronische Patientenakte hochgeladen hat oder dem Upload in der Arztpraxis zugestimmt hat – und außerdem den Zugriff darauf gestattet. So soll die elektronische Patientenakte Abläufe straffen und den Patientinnen unnötige Laufwege ersparen.

Vom Befund über Diagnosen bis hin zu Laborberichten und Therapieplänen kann man in der elektronischen Patientenakte alles hinterlegen. Die Vorteile: Schnellen Zugriff auf einen Notfalldatensatz, eine Patientenverfügung oder elektronische Medikamentenpläne zu haben, kann für Patient wie behandelnde Ärztin äußerst praktisch, in manchen Fällen womöglich entscheidend sein. Gleichzeitig stellen sich bei derart sensiblen Angaben in großem Umfang Datenschutz- und IT-Sicherheitsfragen (siehe unten). Viele Ärzte, aber auch andere Beobachterinnen nervt zudem, wie die elektronische Patientenakte umgesetzt wird: schlecht kommuniziert, hastig eingeführt, von Versicherten nur zögerlich genutzt.

Die elektronische Patientenakte ist nicht zu verwechseln mit dem elektronischen Rezept. Auch das elektronische Rezept sollte Anfang Januar in kassenärztlichen Praxen verfügbar sein, kurz vor Weihnachten wurde das Vorhaben noch mal verschoben. Oder, wie es wohl versöhnlicher klingen soll: Die Testphase wird noch einmal verlängert. Der Grund: Erforderliche technische Systeme stünden noch nicht flächendeckend zur Verfügung.

Was ist nun neu bei der elektronischen Patientenakte?

Gestartet ist die elektronische Patientenakte eigentlich bereits 2021. Aus Sicht von Patientinnen und Patienten allerdings eher theoretisch: Zwar war es schon ab Januar möglich, eine Patientenakte zu erhalten, und ab Juli sollten auch alle Praxen die Technik angeschafft oder zumindest bestellt haben, um die elektronischen Akten pflegen zu können. Vielerorts fehlten zum Stichtag aber technische und andere Voraussetzungen. Sprich: Die Praxen hatten womöglich die Hard- und Software angeschafft, sie aber noch nicht unbedingt in Betrieb genommen.

Laut Bundesgesundheitsministerium sollte das bis Ende 2021 der Fall sein. Im Herbst deutete sich aber bereits an, dass viele Praxen noch nicht so weit waren, elektronische Patientenakten einzusehen oder zu befüllen. Spätestens ab Januar 2022 soll die digitale Akte auch in Krankenhäusern nutzbar sein.

Während an der Umsetzung noch gearbeitet wird, startet zum Jahreswechsel das, was man im Bundesgesundheitsministerium und in der Nationalen Agentur für Digitale Medizin, besser bekannt als gematik, die "zweite Ausbaustufe" für die elektronische Patientenakte nennt. Oder auf Neudeutsch: ePA 2.0.

Konkret bedeutet das: Ab dem 1. Januar 2022 dürfen Patientinnen bestimmen, welcher Arzt auf welches Dokument in ihrer elektronischen Patientenakte zugreifen darf. Dass zum Beispiel dieses Röntgenbild der Schulter nur für den Orthopäden sichtbar ist, das CT aber für die Kardiologin und den Hausarzt. Auch zeitliche Begrenzungen für diese Zugriffsrechte lassen sich definieren. Bislang konnten Patientinnen und Patienten nur pauschal die Erlaubnis erteilen, dass alle Medizinerinnen und Mediziner auf in der elektronischen Patientenakte gespeicherten Dokumente zugreifen dürfen – was angesichts der Sensibilität mancher Diagnosen und Befunde vielleicht nicht jede Patientin möchte.

Die feingranularen Einstellungen, wer auf was zugreifen kann, können Versicherte über die Patientenakten-Apps ihrer Krankenkassen einstellen. Das soll mit dem Update der Apps ab Januar funktionieren. Oder Versicherte können in der Arztpraxis, wenn ihre Befunde, Arztbriefe und so weiter in die elektronische Patientenakte eingepflegt werden, bestimmen, wer worauf Zugriff bekommen soll. Nötig ist dafür die Vorlage der elektronischen Gesundheitskarte und eine Pin. Diese Option dürfte vor allem für Menschen, die nicht über die nötigen Geräte oder die notwendige Technikkompetenz verfügen, attraktiv sein.   

Werden alle Neuerungen ab Januar 2022 verfügbar sein?

Direkt nach dem Jahreswechsel werden aller Wahrscheinlichkeit nach höchstens einige wenige Arztpraxen in der Lage sein, das granulare Zugriffsmanagement anzubieten. Denn es gibt ein dickes technisches Problem: Voraussetzung für die neue Funktion ist ein wichtiges Softwareupdate für sogenannte Konnektoren.

Konnektoren sind spezielle Router, die in Praxen und anderen medizinischen Betrieben stehen und diese auf einem separaten und besonders abgesicherten Weg mit der Telematikinfrastruktur (TI) verbinden. So heißt das System, das verschiedene Abläufe und Dienstleistungen im Gesundheitssystem digitalisieren soll – von der elektronischen Arbeitsunfähigkeitsbescheinigung über das elektronische Rezept bis eben zur elektronischen Patientenakte. Man könnte also sagen: Anschluss an die Telematikinfrastruktur ist für Praxen und Krankenhäuser die Grundvoraussetzung dafür, mit elektronischen Patientenakten etwas anfangen zu können.

Für diverse Neuerungen bei der elektronischen Patientenakte brauchen die Gesundheitseinrichtungen nun eigentlich das Versionsupdate PTV5. Erst damit wird es zum Beispiel möglich sein, von einer Arztpraxis aus genau einzustellen, wer Zugriff auf eine bestimmte Diagnose, Befund oder Behandlungsplan erhalten soll. Diese Updates werden von Privatfirmen entwickelt und von der gematik auf die Einhaltung vorgeschriebener Sicherheitsstandards überprüft. Erst danach können sie in den Praxen, Krankenhäusern und so weiter installiert werden.

Vor Weihnachten war noch kein einziges Update der drei Anbieter zugelassen. Das bestätigten das Bundesgesundheitsministerium und die gematik auf Anfrage. Erste PVT5-Updates wurden zwar zwischen den Jahren zugelassen. Doch das bedeutet auch: Ärzte und Krankenhäuser müssten das Update zwischen den Feiertagen eingespielt haben, um die Funktion anbieten zu können. Was wohl nicht besonders häufig der Fall sein dürfte.

Warten müssen Nutzerinnen und Nutzer der elektronischen Patientenakte auch auf weitere Funktionen: Ab Januar sollte es möglich sein, Gesundheitsdaten wie den Mutterpass, das gelbe Untersuchungsheft für Kinder, das Zahnbonusheft oder den Impfpass in der elektronischen Patientenakte abzulegen. Auch diese Funktionalität hängt am genannten Konnektorenupdate und wird eben dann verfügbar sein, wenn die Updates zugelassen und in den jeweiligen Einrichtungen installiert sind. Nötig sind auch entsprechende Updates in der jeweiligen Praxisverwaltungssoftware.

Man kann darüber streiten, wie gewichtig diese Funktionen für die elektronische Patientenakte sind. Doch ein fulminanter Start für die zweite Stufe des Projekts sieht anders aus. Die gematik spricht von einem "fließenden Roll-out", wie es ihn auch bereits bei der ersten Stufe der elektronischen Patientenakte gegeben habe. Auch damals hakte es laut dem Ärzteblatt bei den Konnektorenupdates.

Wo genau liegen meine Gesundheitsdaten dann?

Gesetzliche Krankenkassen müssen Versicherten seit Anfang 2021 die elektronische Patientenakte kostenlos als App zur Verfügung stellen. Das bedeutet: Wer sie nutzen möchte, kann bei seiner Krankenkasse einen Nutzungszugang beantragen, dann die entsprechende App herunterladen, sich registrieren und authentifizieren. Programmiert wurden diese Apps von Dienstleistern wie zum Beispiel IBM. Die Daten, so heißt es auf der Homepage der gematik, lägen "sicher und verschlüsselt" in den Aktensystemen der jeweiligen Betreiber, die in der Telematikinfrastruktur betrieben werden. Deren Server würden "im Zuge des Zulassungsverfahrens der gematik auf ihre sicherheitstechnische Eignung durch unabhängige Gutachter geprüft".

Diese Betreiber und die Krankenkassen als Anbieter dieser Apps haben jedoch keinen Zugriff auf die in der elektronischen Patientenakte abgelegten Daten. Sie liegen vielmehr verschlüsselt auf Servern in Deutschland, die europäischen Datenschutzbestimmungen unterliegen. Auch das erklärt die gematik auf ihrer Homepage. Und verweist als Ansprechpartner für Datenschutzfragen auf die entsprechenden Beauftragten der jeweiligen Krankenkassen.

Auch wer kein Tablet oder Smartphone besitzt, kann die elektronische Patientenakte nutzen: Er muss sich von der Krankenkasse eine Pin ausstellen lassen und kann sie beim nächsten Arztbesuch in Kombination mit seiner elektronischen Gesundheitskarte befüllen lassen (siehe oben). Über einen Browser lässt sich nicht auf die elektronische Patientenakte zugreifen. Es soll aber Programme für Desktop-PC geben, über die ein Zugriff auf die elektronische Patientenakte möglich wird – analog dazu, wie die Nutzung auf dem Smartphone funktioniert. Das erklärt die gematik auf Anfrage. Ein Großteil der Krankenkassen werde das bereits ab Anfang 2022 anbieten, andere im Laufe des Jahres.

Wie funktioniert das technisch?

Die Daten der elektronischen Patientenakte liegen verschlüsselt auf Servern, die im Dienst von Krankenkassen betrieben werden und von der gematik zertifiziert wurden. Damit Praxen elektronische Patientenakten befüllen und Daten dort abrufen können, müssen sie an die Telematikinfrastruktur angeschlossen sein. Das bedeutet, dass Praxen bestimmte Hardware- und Software-Komponenten anschaffen und in Betrieb nehmen müssen – etwa bestimmte Updates für ihre Praxisverwaltungssoftware und die Konnektoren (siehe oben).

Und damit nicht jede Person Befunde aus den digitalen Akten einsehen oder gar verändern kann, müssen Ärzte, Psychotherapeutinnen und andere in medizinischen Berufen tätige Personen mit einem Praxisausweis beziehungsweise einem elektronischen Heilberufsausweis belegen, dass sie tatsächlich Lese- und Schreibberechtigungen besitzen. Versicherte wiederum bekommen Zugriff auf die Daten ihrer elektronischen Patientenakte, indem sie sich mit Hilfe ihrer elektronischen Gesundheitskarte authentifizieren.

Gelingt es, sich über einen dieser Wege als zugriffsberechtigt zu authentifizieren, kann sowohl auf Schlüssel als auch auf Inhalte der elektronischen Patientenakte zugegriffen werden. Dies kritisierte zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Schreiben ans Gesundheitsministerium bereits 2019 und sprach von einem "neuralgischen Punkt für die gesamte nachfolgende Sicherheitskette". Denn: Natürlich ist die Idee von Authentifizierungsverfahren, berechtigten Nutzerinnen Zugriff auf bestimmte Daten zu gewähren. Aber: Gelingt es jemandem, das System an dieser Stelle zu überlisten, zum Beispiel, indem er sich fälschlicherweise als ein bestimmter Patient ausgibt und erfolgreich als solcher authentifiziert, taugen auch alle nachgeschalteten Schutzmaßnahmen nicht mehr viel.

Wie sicher ist das?

Ende 2019 gelang Hackern aus dem Umfeld des Chaos Computer Clubs, was ihnen nicht hätte gelingen dürfen: Ein Team um den IT-Sicherheitsforscher Martin Tschirsich demonstrierte, wie man sich unberechtigterweise Praxis-, Heilberufsausweise oder elektronische Gesundheitskarten ausstellen sowie Konnektoren liefern lassen kann. Und mogelte sich so die Hauptbestandteile zusammen, die es für den Authentifizierungsprozess der elektronischen Patientenakte braucht und deren Vorlage die hochsensiblen Daten in der elektronischen Patientenakte eigentlich vor unbefugten Zugriffen schützen soll.

Auch im Jahr danach fanden Tschirsich und seine Mitstreiter weitere Probleme: Sie stießen im Sommer 2020 online auf 29 Konnektoren, die ganz ohne Authentifizierung erreichbar waren. Was bedeutet: Wäre die elektronische Patientenakte bereits eingeführt gewesen, hätten sie sich darüber Zugriff verschaffen können.

Auf all diese Probleme habe man längst reagiert, heißt es von der gematik: Es gebe "starke Nachregelungen" bei den Prüfprozessen für Ärzte, sagt Produktchef Florian Hartge. Auch die Sicherheitsanforderungen und Prüfmechanismen in Bezug auf die Konnektoren seien erhöht worden. "Wir beheben die Probleme in der Regel, bevor sie publik werden", so Hartge.

War die elektronische Patientenakte von der schweren Sicherheitslücke Anfang Dezember betroffen?

Als die Sicherheitslücke Log4Shell bekannt wurde, wurden Teile der Telematikinfrastruktur vom Netz genommen. Die gematik sagt, das sei eine gebotene Vorsichtsmaßnahme gewesen, bis eine Verwundbarkeit der Systeme sicher ausgeschlossen werden konnte. Die Agentur hatte am Montag nach dem Bekanntwerden der Lücke erklärt, die Aktensysteme der Apps einiger Krankenkassen seien "in den Wartungsmodus" versetzt worden. Es seien Sicherheitspatches für die angreifbare Bibliothek Log4j eingespielt worden. Derzeit gebe es keine Hinweise, dass eine Kompromittierung der Systeme stattgefunden habe, sagt Hartge.

Muss ich bei der elektronischen Patientenakte mitmachen?

Nein. Die Nutzung der elektronischen Patientenakte ist freiwillig. Man bekommt sie nicht automatisch: Wer mitmachen will, muss bei seiner Krankenkasse aktiv einen Zugang beantragen. 

Genau an diesem Punkt will die neue Regierung in Berlin künftig schrauben: Im Koalitionsvertrag kündigen SPD, Grüne und FDP an, auf ein Opt-out-Verfahren umstellen zu wollen. Anders gesagt: Wer keine elektronische Patientenakte haben möchte, müsste dann aktiv widersprechen, ansonsten wird sie ihm automatisch zur Verfügung gestellt.

Manche Mediziner, zum Beispiel Ferdinand Gerlach vom Sachverständigenrat zur Begutachtung der Entwicklung im Gesundheitswesen, kritisieren, dass man die elektronische Patientenakte derzeit nicht nur umständlich beantragen müsse, sondern dass bei jedem Arztbesuch, im Krankenhaus, in der Apotheke oder beim Physiotherapeuten immer wieder aufs Neue zustimmen müsse, dass die Akte eingesehen werden könne und Daten gespeichert werden dürften. "Dieses mehrfache, immer zu wiederholende aktive Opt-in wird dazu führen, dass die Akte im Alltag nicht fliegt", sagte er der Ärzte Zeitung im Frühjahr: Versicherte würden den Schritt vergessen, Ärzte wenig auf die elektronische Patientenakte geben, wenn diese nur löchrige und nicht aktuelle Angaben umfasse. 

Wie viele Patientinnen und Patienten nutzen die elektronische Patientenakte schon?

Man könnte die Nutzung schon noch ein wenig ausbaufähig nennen: Nach Angaben des Bundesministeriums für Gesundheit wurden bislang etwa 312.000 elektronische Patientenakten angelegt.

Laut dem IT-Branchenverband Bitkom ist das Interesse bei Bürgerinnen und Bürgern sehr wohl vorhanden: In einer Befragung von etwas mehr als 1.000 Menschen äußerten mehr als drei Viertel Interesse an der Nutzung der elektronischen Patientenakte – nur 0,5 Prozent der Befragten hatten sie jedoch bereits in Gebrauch. Mehr als die Hälfte gab an, bisher weder von Krankenkassen noch von Ärztinnen Informationen dazu erhalten zu haben.

Und was ist mit den Arztpraxen?

Es klingt zunächst so, als sei die Verbreitung bei medizinischen Einrichtungen bereits geglückt: Im dritten Quartal 2021 seien 93 Prozent aller Arztpraxen und 88 Prozent aller Krankenhäuser an die Telematikinfrastruktur angeschlossen, meldete kürzlich die gematik.

Der hohe Wert bei den Arztpraxen lässt sich damit erklären, dass Praxen seit Juli 2021 verpflichtet sind, erforderliche Komponenten angeschafft oder zumindest bestellt zu haben (siehe oben). Wer das versäumt hat, dem drohen Honorarkürzungen für vertragsärztliche Tätigkeiten.

Im Detail zeigen die Zahlen aus der gematik-Befragung aber auch: Erst 30 Prozent aller Praxen und elf Prozent aller Krankenhäuser haben das Modul installiert, das notwendig ist, um die elektronische Patientenakte tatsächlich zu nutzen. Praktisch könnte das zum Beispiel bedeuten: Die notwendige Technik ist zwar angeschafft, aber die Installation noch nicht erfolgt. Und während zwölf Prozent der befragten Ärzte die Bereitschaft erklärten, die elektronische Patientenakte zu nutzen, taten es bislang nur drei Prozent.

Warum die geringe Verbreitung?

Wer Gründe dafür sucht, stößt schnell auf Kritikpunkte der Ärzteschaft. Ebenfalls in der gematik-Befragung sagen gerade einmal 43 Prozent der befragten Ärztinnen und Ärzte, dass sie Vertrauen in die Sicherheit von Daten in der Telematikinfrastruktur hätten. Bei der elektronischen Patientenakte galt dies sogar nur für 30 Prozent.

Und während die erste Stufe noch gar nicht überall reibungslos läuft und die Nachfrage der Patienten überschaubar ist, soll den Ärztinnen bald auch schon die nächste Stufe der Telematikinfrastruktur aufgedrückt werden: Auch das ärgert viele Mediziner. Nun heißt es, ab Ende 2025 sollen gar keine Konnektoren mehr nötig und die Telematikinfrastrukturdienste über das Internet verfügbar sein – was einem Vertreter der Kassenärztlichen Vereinigung zufolge aber auch wieder neue Anforderungen für Praxen beinhaltet. 

Kritik gibt es – nicht nur bei Medizinerinnen und Medizinern – auch häufig an dem schnellen Tempo, das der Gesetzgeber vorgibt: Die Fristen für die Umsetzung von Vorgaben setze zum Beispiel die Hersteller von Praxisverwaltungssoftware so unter Druck, dass eine sorgfältige Testung auf der Strecke bleiben könnte, kritisiert etwa die Computerzeitschrift c't. Die Folge von Fehlern bei Softwarelieferanten könnten Hunderte oder gar Tausende Praxen und Krankenhäuser betreffen. Auch der Ärztetag warnte in diesem Jahr davor, dass aufgrund der gesetzgeberischen Geschwindigkeit notwendige Testungen zur Praktikabilität und Patientensicherheit unterbleiben könnten.

Was ist mit Privatversicherten?

Die müssen sich weiter gedulden. Alles oben Beschriebene steht bislang nur gesetzlich Krankenversicherten offen. Auf der Internetseite der gematik ist die elektronische Patientenakten für Privatversicherte "ab 2022" angekündigt. Daran werde noch gearbeitet, sagte deren Chief Production Officer, Florian Hartge, ZEIT ONLINE auf Anfrage.



Aus: "Was die elektronische Patientenakte jetzt alles kann" Meike Laaff (01.01.2022)
Quelle: https://www.zeit.de/digital/2021-12/elektronische-patientenakte-digitalisierung-gesundheitswesen-faq#was-ist-die-elektronische-patientenakte


Textaris(txt*bot)

Quote[...] Texas verklagt Meta auf tausende Milliarden US-Dollar, weil Meta mit automatischer Gesichtserkennung milliardenfach gegen texanisches Recht verstoßen haben soll. Die Vorwürfe richten sich gegen Facebook, das seit über einem Jahrzehnt hochgeladene Fotos automatisch biometrisch gerastert hat, sowie gegen Instagram: Die Foto-Plattform soll einerseits versprechen, vor Einführung von Gesichtserkennung zu warnen, tatsächlich aber heimlich alle hochgeladenen Bilder der konzerneigenen Gesichtserkennung unterziehen.

Dem nicht genug, Meta soll biometrische Daten auch noch mit Dritten teilen. Facebook hat automatische Gesichtserkennung 2010 eingeführt; erst im Herbst 2021 hat Meta damit begonnen, Facebooks Gesichtserkennungsprofile zu löschen. Dem war ein 650 Millionen Dollar teurer Vergleich vorausgegangen: Wegen Gesichtserkennung zahlt Meta 350 US-Dollar an jeden Nutzer in Illinois.

Worauf sich der Vorwurf der heimlichen Rasterung aller Instagram-Bilder gründet, ist der am Valentinstag veröffentlichten Klage des texanischen Justizministers nicht zu entnehmen. Meta stellt die Anschuldigungen der Klage in Abrede: "Diese Vorwürfe sind unbegründet, und wir werden uns energisch verteidigen", teilt der Konzern heise online mit. Die Klage heißt The State of Texas v. Meta Platforms und ist unter dem Az. 22-0121 am Bezirksgericht Harris County anhängig.

Texas' Justizminister Ken Paxton, ein Republikaner, stützt seine Klage auf zwei Gesetze des US-Staates: Ein Verbraucherschutzgesetz, das bestimmte irreführende Angaben verbietet, und ein Gesetz, das die Erfassung biometrischer Daten ohne Vorab-Information und wirksame Zustimmung Betroffener untersagt. Legal gesammelte Biometriedaten dürfen nicht weitergegeben werden und sind zeitnah zu löschen. Klage dürfen die Bürger nach dem Biometriegesetz aber nicht erheben, das darf nur der Justizminister. Und das tut Paxton jetzt.

Facebook habe über ein Jahrzehnt alle hochgeladenen Antlitzfotos biometrisch ausgewertet, ohne texanische User im Voraus zu informieren und ohne wirksame Zustimmung eingeholt zu haben: "Facebook omnipräsentes Imperium wurde auf Irreführung, Lügen und frecher Misshandlung der Datenschutzrechte der Texaner aufgebaut – alles für den wirtschaftlichen Gewinn Facebooks", zürnt die Klageschrift.

Die gewonnenen biometrischen Daten hat Facebook laut Klage nicht nur nicht gelöscht, obwohl das rechtlich geboten sei, sondern auch noch verbotenerweise an Dritte weitergereicht, ohne das offenzulegen. Betroffen sind davon auch viele Menschen, die bewusst keine Facebook-Dienste nutzen. Sobald ein Dritter ein Foto eines Facebook-freien Menschen hochgeladen hat, wurde es gerastert.

Im Unterschied zu Facebook verspricht Konzernschwester Instagram, hochgeladene Bilder keiner automatischen Gesichtserkennung zu unterziehen: "Sollten wir Gesichtserkennungstechnik (...) einführen, werden wir Sie das im Voraus wissen lassen, und Sie werden Kontrolle darüber haben, ob wir diese Technik für Sie verwenden", zitiert die Klage Instagram, und fügt hinzu: "Nichts davon ist wahr." Meta "hat alle bei Instagram hochgeladenen Fotos heimlich seiner Gesichtserkennungstechnik unterzogen, ohne, dass Instagram-Nutzer (oder Nicht-Nutzer) davon erfahren könnten, von einer Abwehr de Ernte ihrer Gesichtsgeometrie ganz zu schweigen", wirft Texas dem Datenkonzern vor.

Begehrt wird ein Unterlassungsurteil gegen Meta, der Auftrag zur Löschung aller texanischen Biometriedaten und der damit trainierten Algorithmen, Abschöpfung aller erlangten Vermögensvorteile, und zivilrechtliche Strafen von 25.000 Dollar pro Verstoß gegen das Biometriegesetz sowie von 10.000 Dollar pro Verstoß gegen das Verbraucherschutzgesetz, zuzüglich Zinsen und Verfahrenskosten. Paxton schätzt, dass Facebook vergangenes Jahr 20,5 Millionen Nutzer in Texas hatte.

Sollten die Vorwürfe zutreffen und jeder texanische Facebook-User nur ein einziges Gesichtsbild hochgeladen haben, würde die Summe der Strafen den Börsenwert Metas von knapp 600 Milliarden US-Dollar deutlich übersteigen. Texas wäre saniert.

Neben Meta hat auch Clearview AI eine Datenbank mit Milliarden biometrischen Profilen aus Gesichtsbildern aus dem Internet angelegt. Im Unterschied zu Meta macht Clearview keine Anstalten, vom Verkauf dieser Daten abzulassen. Tausende US-Behörden sollen Kunden sein. Dass Paxton auch Clearview AI verklagen will, ist nicht bekannt.


Aus: "Heimliche Gesichtserkennung: Texas will Meta in den Bankrott klagen" Daniel AJ Sokolov (15.2.2022)
Quelle: https://www.heise.de/news/Heimliche-Gesichtserkennung-Texas-will-Meta-in-den-Bankrott-klagen-6473675.html

https://www.heise.de/downloads/18/3/3/0/5/4/3/3/State_of_Texas_v._Meta_Platforms_Inc..pdf


Textaris(txt*bot)

Quote[...] Raps, dem Herbizid kein Blättchen krümmt. Weizen, dem Mehltau kein Korn verdirbt, und Tomaten, die den Blutdruck senken. Was nach Ackerpflanzen mit Superkräften klingt, macht Wissenschaft möglich; konkret Methoden der neuen Gentechnik (NGT), wie etwa die Gen-Schere CRISPR/Cas. In Ländern wie den USA, Kanada und Japan bauen Landwirte die neuen Sorten teilweise bereits an.

Die Frage, wie zukünftig in Österreich und der EU mit neuen Gentechnikmethoden umzugehen ist, erregt die Gemüter in Umweltorganisationen wie Global 2000. Sie werfen der Europäischen Kommission vor, das EU-Gentechnikrecht für die Landwirtschaft aufweichen zu wollen und Methoden der neuen Gentechnik "ohne umfassende Risikoprüfung oder Kennzeichnungspflicht" zuzulassen. Eine Petition soll dem entgegentreten.

Grund für die akute Aufregung: Ab April startet ein dreimonatiger Austausch zwischen EU-Kommission und Regierungen. Zur Diskussion steht, ob die strengen Gentechnikrichtlinien für Verfahren wie CRISPR/Cas auch weiterhin gelten sollen.

Seit 2018 unterliegen die NGT-Methoden dem Unionsgesetz. Diese Entscheidung des EuGH hat für einen Aufschrei in der Wissenschaft gesorgt. Laut Molekularbiologin Ortrun Mittelsten Scheid vom Gregor-Mendel-Institut unterscheiden sich neue Gentechnikmethoden von klassischer Gentechnik grundsätzlich. "Daher sollten auch nicht dieselben gesetzlichen Auflagen gelten."

Zur Erklärung: Die klassische Gentechnik verändert einen Organismus, indem ein oder mehrere Gene zusätzlich in das Genom eines Organismus eingebaut werden.

Bei der Anwendung der CRISPR/Cas-Methode hingegen wird – wie auch bei der konventionellen Züchtung – ein vorhandenes Gen durch Mutationen verändert, sagt Mittelsten Scheid. Dabei wird das Cas-Protein mit einer RNA kombiniert und die Gen-Schere passgenau an eine konkrete Adresse im Genom geleitet, um die DNA nur dort durchzutrennen.

Bei der anschließenden Reparatur kommt es oft zu einer Veränderung der DNA-Sequenz, sodass nur an dieser Schnittstelle eine genetische Mutation entsteht, erklärt Mittelsten Scheid. Selten auftretende parallele Mutationen an anderen Stellen können identifiziert und durch eine Rückkreuzung entfernt werden, ebenso wie die genetische Information für die Gen-Schere.

Die gentechnische Veränderung mittels CRISPR/Cas ist von einer natürlichen Mutation im Nachhinein nicht mehr zu unterscheiden, die gentechnische Veränderung also nicht mehr nachvollziehbar.

Die Molekularbiologin sieht ein "enormes Anwendungspotenzial in der Landwirtschaft". Die CRISPR-Methode könne neben Ertragssteigerungen, Qualitätsverbesserungen und Resistenzen auch helfen, um Pflanzen an verändernde Wetterextreme wie etwa lange Trockenperioden oder Starkregen anzupassen.

Die neue Gentechnik verspricht neben mehltauresistentem Weizen und herbizidresistentem Raps auch Sojasorten mit weniger Transfetten. Laut Global 2000 ist die "CRISPR-Tomate" seit über einem Jahr in Japan zugelassen. Ihr hohes Niveau an Gamma-Aminobuttersäure soll den Blutdruck senken. In Europa sind derartige Ackerpflanzen noch nicht erhältlich. Ein Antrag für CRISPR/Cas-Mais befinde sich derzeit aber in der Pipeline.

Bei Global 2000 läuten seither alle Alarmglocken. Damit derartige Produkte nicht "ohne Gentechnikpickerl" in österreichischen Einkaufswagen landen, setzt man alle Hebel in Bewegung. Wichtig ist den Umweltaktivistinnen, dass CRISPR/Cas keinen Sonderstatus bekommt, sondern weiterhin dem Gentechnikgesetz unterliegt und als solches gekennzeichnet wird.

Laut Mute Schimpf von der Organisation Friends of the Earth Europe wiederholt die EU-Kommission ständig Versprechen der Gentechnikbranche, darunter "angebliche Vorteile wie Pestizidreduktion, weniger Treibhausgase" und dass diese "so sicher wie konventionelle Pflanzen" sei.

Schimpf befürchtet, dass Verbraucherinnen schon bald nicht mehr wissen, was sie essen. Fehlende Rückverfolgung und Haftung der Hersteller würden Gentechnikkonzernen mehr Kontrolle geben.

Brigitte Reisenberger von Global 2000 kritisiert zudem, dass die Risiken weder in der Landwirtschaft noch für das Ökosystem lückenlos erforscht seien. Statt Gentechnik brauche es Pflanzenvielfalt, nachhaltige Bodenpflege, Humusaufbau und eine Reduktion des Pestizideinsatzes.

Mittelsten Scheid kann die Besorgnis von Umweltschützern psychologisch nachvollziehen, sie sei wissenschaftlich aber nicht begründbar – im Gegenteil. Den Bedarf an gesonderten Verfahren für eine Risikoabschätzung sieht sie nicht.

Sind die Techniken sicher, wäre es in Hinblick auf den Klimawandel wünschenswert, Sorten zu bekommen, die widerstandsfähiger gegenüber Dürre und Hitze sowie Schädlinge und Krankheiten sind, heißt es aus der Landwirtschaftskammer Österreich. Festlegen will man sich allerdings nicht. Die Neueinstufung und die Verwendung bestimmter Züchtungsmethoden sei auf EU-Ebene zu klären. (Julia Beirer, 2.3.2022)


Aus: "Umweltschützer fordern Pickerl für Wundertomate aus dem Genlabor" Julia Beirer (2. März 2022)
Quelle: https://www.derstandard.at/story/2000133621676/umweltschuetzer-fordern-pickerl-fuer-wunder-tomate-aus-dem-genlabor


Textaris(txt*bot)

"Künstliche Intelligenz: Deepfakes: Eine neue Ära der Täuschung steht bevor" (28. September 2022)
Der Chief Science Officer von Microsoft warnt in einem neuen Forschungspaper vor einer neuen Generation manipulativer Technologien ...
https://www.derstandard.at/story/2000139484409/deepfakes-eine-neue-aera-der-taeuschung-steht-bevor

Künstliche Intelligenz: Deepfake-Expertin Nina Schick: "Jede Identität ist heute gefährdet"
Die IT-Expertin spricht anlässlich der "Fake-Klitschko"-Anrufe über die gefährliche Seite der KI-Revolution. Und darüber, wie sich unser Kulturkonsum wandeln wird
Interview: Stefan Weiss (1. Juli 2022)
Quelle: https://www.derstandard.at/story/2000139484409/deepfakes-eine-neue-aera-der-taeuschung-steht-bevor

QuoteRadomir Andrejic

In einer postfaktischen Gesellschaft ist die Herstellung von digitalen Fälschung lediglich eine Fleißaufgabe. Protagonisten wie Trump, Johnson, ... brauchen diese gar nicht, da ihnen ihre Jünger aufs Wort vertrauen.


QuoteRadomir Andrejic

Plausibiltätstest laufen leider auch oft ins Leere, weil auch tatsächtlich Geschehenes sehr skurill und unglaubwürdig sein kann.


QuoteLiam Fitzpatrick O'Donelly

Ich wundere mich ja immer wieder, auf welchen schwer dubiosen Seiten Arbeitskollegen und Familienmitglieder unterwegs sind
Auf meine Frage "Wie bist denn da hin gekommen?" kommt dann meist "Naja, das hat mir der und die geschickt." Und ohne auch nur ein bissl zu hinterfragen, nehmen das manche für bare Münze.


QuoteOpinion privée

Das ist ein extrem ernst zu nehmendes Problem, für das es kaum Wahrnehmung gibt. ...


...

Textaris(txt*bot)

Quote[...] Großbritannien will die Verbreitung sogenannter Deepfake-Pornos verbieten. Justizminister Dominic Raab kündigte eine entsprechende Gesetzesänderung an, wie die Nachrichtenagentur dpa berichtete. "Wir müssen mehr tun, um Frauen und Mädchen vor Menschen zu schützen, die intime Fotos machen oder manipulieren, um sie zu demütigen", sagte Raab. Deepfake-Pornografie können Bilder oder Videos sein, bei denen Aufnahmen bestimmter Menschen mit pornografischen Szenen kombiniert werden und dadurch besonders realistisch erscheinen.

Einem von 14 Erwachsenen in England und Wales ist bereits damit gedroht worden, dass von ihm sogenannte Deepfakes verbreitet werden. So berichtet es die dpa unter Berufung auf offizielle britische Zahlen.

...


Aus: "Großbritannien will Verbreitung von Deepfake-Pornos bestrafen" (25. November 2022)
Quelle: https://www.zeit.de/digital/2022-11/deepfake-pornografie-grossbritannien-verbot


Textaris(txt*bot)

Quote[...] Einen Gesetzesentwurf für das europäische Ein- und Ausreisesystem zur Biometrie-Grenzkontrolle sowie das Reisegenehmigungssystem hat die Bundesregierung dem Bundestag vorgelegt. Rechtlich möchte die Regierung sicherstellen, dass die EU-Verordnungen über ein Ein- und Ausreisesystem ("Entry/Exit System" - EES) und über ein Europäisches Reisegenehmigungssystem (ETIAS) in Deutschland reibungslos angewandt werden können.

Zwar gelten die entsprechenden EU-Vorgaben bereits direkt in allen Mitgliedsstaaten, nationale Rechtsnormen wie das Aufenthaltsgesetz sollen aber dazupassen. Ferner will die Exekutive die innerdeutschen Zuständigkeiten für vorgesehene Aufgaben und technische Vorgaben festlegen.

Im EES mit biometrischer Grenzkontrolle müssen sich Bürger aus Drittstaaten künftig im Rahmen des "Smart Borders"-Programms mit vier Fingerabdrücken und biometrischem Gesichtsbild in der EU registrieren lassen. Die Datenbank soll "intelligente Grenzkontrollen" nach US-Vorbild ermöglichen, die zulässige Dauer eines Kurzaufenthalts berechnen und bei Überziehung automatisch die nationalen Sicherheitsbehörden verständigen.

Personen, die visumsfrei in die Gemeinschaft einreisen können, sollen mithilfe von ETIAS vorab durchleuchtet werden. Sie müssen über einen Online-Antrag den Behörden persönliche Informationen etwa zu Identität, Reisedokument, Aufenthaltsort, Kontaktmöglichkeiten, infektiösen Krankheiten und Ausbildung übermitteln. Die Daten sollen dann automatisch mit Daten aus zahlreichen anderen europäischen IT-Systemen, einer virtuellen Biometrie-Superdatenbank sowie Registern von Interpol abgeglichen und gespeichert werden. Pate gestanden hat das 2007 von den USA entwickelte Anreisegenehmigungssystem ESTA. Ziel ist, festzustellen, ob eine Einreise in den Schengenraum grundsätzlich berechtigt ist, und ob damit ein Risiko für Sicherheit, geregelte Migration oder Gesundheit verbunden sein könnte.

Für die EES-Übermittlungsvorgänge peilt die Regierung nun ein automatisiertes Verfahren an, für dessen technische Umsetzung sie anderthalb Jahre veranschlagt. Bis dahin sollen Meldungen zwischen rund 224 Auslandsvertretungen und weiteren Behörden laut der Gesetzesbegründung "vermutlich als PDF-Datei per E-Mail" erfolgen. Von einer Pflicht zur Verschlüsselung der erwarteten rund 37.500 Notizen ist keine Rede. Das Sicherheits- und Qualitätsniveau vor allem des EES soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüfen. Dazu kann es dem Plan nach zur "Unterstützung bei der Bewältigung von Sicherheitsvorfällen" auf Anfrage Einzeldaten von der Bundespolizei und dem Bundesverwaltungsamt bekommen.

Insbesondere bei elektronischen Fälschungen von Reisepässen seien nur so forensische Analysen des Chips für das BSI möglich, heißt es dazu. Diese wiederum hülfen, technische Sperrlisten zu aktualisieren oder die Richtlinie zur technischen Dokumentenprüfung fortzuschreiben. Die Gesetzesvorlage rechnet auch mit Sicherheitsproblemen durch neue Angriffsvektoren wie elastische 3D-Drucker-Masken und 3D-Schminken oder lokale Fehlkonfigurationen der Biometrie-Algorithmen ("Schwellwertfehler").

"Presentation Attack Detection" soll den Einsatz von Spezialmasken verhindern. Solche Gegenmaßnahmen könnten nur auf Basis der im Einzelfall zu übermittelnden Daten optimiert werden, sagt die Regierung. Dies gelte auch für den Bereich von Vorkommnissen durch "Morphing, also dem Fusionieren von mehreren Bildern zu einem einzigen zur Nutzung eines Passes durch mehrere Personen".

(ds)



Aus: "EU-Datenbanken: Bund will biometrische Grenzüberwachung ausweiten" Stefan Krempl (24.01.2023)
Quelle: https://www.heise.de/news/EU-Datenbanken-Bund-will-biometrische-Grenzueberwachung-ausweiten-7469954.html

https://www.heise.de/meldung/Smart-Borders-EU-Rat-gibt-gruenes-Licht-fuer-biometrische-Grenzkontrolle-3896145.html

https://www.heise.de/meldung/Smart-Borders-EU-Kommission-beschliesst-elektronische-Grenzueberwachung-1813531.html

https://www.heise.de/meldung/Fingerabdruecke-und-Fotos-bei-USA-Einreise-90985.html

https://www.heise.de/meldung/Datenabgleich-EU-Staaten-befuerworten-Vorkontrolle-visafreier-Reisender-3736327.html

https://www.heise.de/meldung/Online-Anmeldung-bei-USA-Reisen-jetzt-zwingend-911065.html

https://www.heise.de/hintergrund/Allgegenwaertige-Gesichtserkennung-Zwischen-Bequemlichkeit-und-Ueberwachung-4790619.html

https://www.heise.de/meldung/Seehofer-will-Passfotos-vom-Fotografen-weiter-erlauben-4640399.html

Gesetzentwurf der Bundesregierung
Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2017/2226 und der Verordnung (EU) 2018/1240 sowie zur Änderung des Aufenthaltsgesetzes, des Freizügigkeitsgesetzes/EU, des Gesetzes über das Ausländerzentralregister und der Verordnung zur Durchführung des Gesetzes über das Ausländerzentralregister
https://dserver.bundestag.de/btd/20/053/2005333.pdf

Textaris(txt*bot)

Quote[...] Die Patienten nutzten die App edupression in der Hoffnung, dass sie ihnen im Umgang mit ihrer psychischen Krankheit hilft. Einige von ihnen hatten sie von ihrer Ärztin verschrieben bekommen, um Symptome ihrer Depressionen zu lindern. Sie führten unter anderem Tagebuch über aktuelle Beschwerden, kreuzten an, wenn sie Suizidgedanken plagten und erfuhren, was gegen Schlafstörungen und quälende Gedanken hilft. Dann bekamen sie am frühen Morgen des 5. Mai eine verstörende E-Mail: Es sei zum "Abzug einiger ihrer Daten" gekommen, schreibt die in Österreich ansässige Firma Sofy GmbH an die mehr als 2.000 betroffenen Nutzer und Nutzerinnen der App. Unter diesen Daten befänden sich neben persönlichen Daten auch Gesundheitsdaten wie zum Beispiel die Frage nach Suizidgedanken. 

Die Daten seien von "Aktivisten" abgezogen worden, doch es sei "bis dato weder zu einer Drohung noch gar zu einer Veröffentlichung der Daten" gekommen, schreibt das Unternehmen weiter in der E-Mail, die ZEIT ONLINE vorliegt. Es ist eine Nachricht, die äußerst beunruhigend klingen dürfte für Menschen, die in der App ihre psychische Verfassung genau dokumentierten. Auch wenn das Unternehmen betont, dass eine Veröffentlichung der Daten eher unwahrscheinlich sei, da die Lücke unverzüglich geschlossen worden sei und es sich bei den Angreifern um Datensicherheitsaktivisten handle, schreiben sie doch auch: Es gebe weiterhin "theoretisch das Risiko, dass Ihre Daten unrechtmäßig verwendet werden könnten".

Tatsächlich steht hinter dem Angriff ein Zusammenschluss aus Hackerinnen und Hackern namens zerforschung. Das ist eine Gruppe, die immer wieder auf Schwachstellen in Anwendungen und Systemen aufmerksam macht – nicht um sich zu bereichern, sondern um auf deren Schließung zu drängen und die Sicherheit zu erhöhen.

"Wir hätten dem Unternehmen gerne mehr Zeit gegeben, um die Sicherheit zu überprüfen", sagt Lilith Wittmann von der Gruppe zerforschung, wenn man sie fragt, warum das Unternehmen und nicht sie selbst die gefundene Schwachstelle kommuniziert hatte. Sie befürchtet, dass die Software womöglich noch weitere Sicherheitslücken aufweisen könnte. Deshalb habe man bewusst mit einer Veröffentlichung abgewartet. Doch dann sei ihnen das Unternehmen zuvorgekommen.

Gemeinsam mit einem weiteren Gruppenmitglied, das sich pajowu nennt, erklärt Wittmann die Aktion im Gespräch mit ZEIT ONLINE, bei der die Gruppe nach eigenen Angaben über eine schlecht gesicherte Schnittstelle in kurzer Zeit an persönliche und Gesundheitsdaten von mehr als 2.000 Nutzerinnen gelangte.

Der Fall deutet auch auf Probleme hin, die es rund um die Zulassung von Apps gibt, die von Ärztinnen und Ärzten verschrieben und von Krankenkassen bezahlt werden. Es ist nicht der erste Fall, in dem sich Schwachstellen in der IT-Sicherheit entsprechender Anwendungen zeigen.   

Bereits im vergangenen Sommer hat zerforschung Sicherheitslücken bei zwei weiteren Apps aufgedeckt: Auch in der App Novego – ebenfalls zur Behandlung von Depressionen – sowie in der App Cancado für Brustkrebspatientinnen konnten sie sich schon im vergangenen Sommer Zugriff auf Patienten- und Gesundheitsdaten verschaffen.

Novego, Cancado und edupression haben noch etwas gemeinsam: Alle drei sind sogenannte digitale Gesundheitsanwendungen, kurz DiGA. Das bedeutet, dass diese Apps als Medizinprodukte zugelassen sind sowie von Ärzten verschrieben und von Krankenkassen bezahlt werden können.

[...] Dass es einen großen Schwarzmarkt für entsprechende Daten gibt, zeigte eine Forscherin der US-amerikanischen Duke University, die im Februar zahlreiche Datenhändler im Internet identifizierte, die Namen und Adressen von US-Bürgern feilboten, gemeinsam mit deren Diagnose psychischer Krankheiten wie Depressionen.

Edupression stellt sich derweil auf den Standpunkt, nichts falsch gemacht zu haben: Man habe "großen Aufwand für IT-Sicherheit betrieben" mit externen Penetrationstests und Zertifizierungen, man habe die Lücke sofort geschlossen, nachdem zerforschung sie gemeldet habe, und auch die User prompt informiert, sagte das Unternehmen gegenüber ZEIT ONLINE.

Doch auch unabhängig von der konkreten Lücke gibt es Probleme damit, wie edupression mit den Daten umgeht. "Digitale Gesundheitsanwendungen müssen pseudonym nutzbar sein", sagt Anke Virks, juristische Referentin beim Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Die Behörde hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik das BfArM beraten, wie die IT-Prüfkriterien für digitale Gesundheitsanwendungen künftig aussehen könnten.

[ ...] pajowu von zerforschung hält es für möglich, eine App wie die von edupression sicherer zu gestalten. Dafür müsste aber ein grundsätzlich anderer Ansatz verfolgt werden – einer im Sinne der Betroffenen. Das habe das Start-up aber nicht hören wollen, im Gegenteil: "Wir wurden unter Druck gesetzt." So habe edupression durchblicken lassen, dass man mit einem Rechtsanwalt in Kontakt stehe, ebenso seien die Aktivisten moralisch angegangen worden: Eine Veröffentlichung könne die psychisch kranken Nutzer belasten.

Auch edupression fühlt sich falsch dargestellt: Man habe nie gedroht, so Amann, sondern sich lediglich anwaltlich beraten lassen in Bezug auf die datenschutzrechtlichen Themen. Man wolle "ausdrücklich festhalten, dass uns das Patientenwohl das höchste Anliegen ist". Deshalb habe man die Betroffenen umgehend informiert.

"Auch wir kennen Betroffene von Depressionen persönlich", sagt pajowu, "genau deshalb kann ich mir nicht erklären, wieso man eine so unsichere App baut." Derart sensible Daten müssten zum Beispiel lokal gespeichert werden auf den Geräten der Nutzerinnen und sie sollten Ende-zu-Ende-verschlüsselt sein, lediglich einsehbar für die Betroffenen und ihre Therapeutinnen. Stattdessen seien die Anamnesebögen unverschlüsselt in der Cloud gespeichert gewesen, sodass Angreiferinnen diese mit wenigen Klicks gesammelt einsehen konnten. Das ist sicher nicht im Sinne des Patientenwohls.

...


Aus: "Wenn Hacker mit Gesundheits-Apps besonders leichtes Spiel haben" Eva Wolfangel (9. Mai 2023)
Quelle: https://www.zeit.de/digital/datenschutz/2023-05/gesundheitsapp-datenschutz-depression-edupression-sicherheitsluecke/komplettansicht

Textaris(txt*bot)

Quote[...] Schwere Vorwürfe gegen einen Anbieter von Erbgut-Analysen erhebt die US-Handelsaufsicht FTC (Federal Trade Commission). Das Unternehmen 1Health.io (Vitagene) soll seine eigenen vertraglichen Verpflichtungen hinsichtlich Datensicherheit und Datenschutz nicht eingehalten haben. Sensible Gesundheitsdaten wurden öffentlich zugänglich in Cloudspeichern abgelegt und trotz mehrfacher Hinweise nicht gesichert. Und dann änderte die Firma ihre Datenschutzrichtlinien, um sensible Kundendaten an Supermärkte verkaufen zu können – ohne die Betroffenen zu informieren.

Seit 2015 hat Vitagene "DNA Health Test Kits" an Verbraucher verkauft. Die Kunden schickten eine Speichelprobe und einen ausgefüllten Fragebogen mit Gesundheitsinformationen zurück. Daraus erstellt das heute als 1Health.io agierende Unternehmen personalisierte "Health Reports" und eine Einschätzung der Abstammung. Die Preispalette reicht von 29 bis 259 Dollar, wobei Zusatzleistungen wie personalisierte Vitaminkombinationen oder Ernährungscoaching enthalten sein können.

Den Kunden versprach 1Health "bombensicheren" Datenschutz, über das branchenübliche Niveau hinaus. Zudem werde das Labor die Speichelproben vernichten – tatsächlich soll das Unternehmen gar nicht überprüft haben, ob das Labor da auch wirklich plant. Gespeicherte Gendaten würden nicht mit dem Namen des Kunden in Verbindung gebracht, hieß es – tatsächlich sollen sie mit den jeweiligen Vornamen gespeichert worden sein.

Schließlich sollten die Kunden ihre Daten auch jederzeit löschen lassen können. Weil die Firma aber kein Dateninventar geführt habe, sei es ihr gar nicht möglich gewesen, entsprechende Löschaufträge gründlich abzuarbeiten.

2016 landeten sensible Daten wie Gesundheitsberichte, Genvarianten und andere Gendaten bei Amazons AWS S3 – in einem öffentlich zugänglichen AWS-Speicher, unverschlüsselt, und ohne Überwachung oder Protokollierung von Zugriffen. Enthalten waren Gesundheitsberichte von mindestens 2.383 Kunden sowie Gendaten von mindestens 227 Kunden. Den Warnhinweis seitens AWS im Juli 2017 soll 1Health.io ebenso ignoriert haben, wie das Ergebnis eines Penetrationstests im November 2018, bei dem der ungeschützte Online-Speicher entdeckt wurde.

Selbst als eine externer Sicherheitsforscher im Juni 2019 Alarm schlug, soll 1Health.io das Problem nicht bereinigt haben. Erst als dieser Forscher an die Öffentlichkeit ging, nahm sich die Firma der Sache an. Mangels Monitoring des Speichers ist nicht feststellbar, ob oder von wo Unbefugte auf die Daten zugegriffen haben.

2020 hat 1Health.io dann noch eins draufgesetzt: Die Firma änderte einseitig ihre Datenschutzbestimmungen – ohne die Betroffen zu informieren. Die Gentest-Firma nahm sich damit heraus, die Kundendaten an Supermärkte, Hersteller von Nahrungsergänzungsmitteln und andere Dritte zu verkaufen. Zwar sah die ursprüngliche Datenschutzbestimmung einseitige Änderungen vor, doch sind solche Klauseln unter US-Recht illegal, sagt die FTC. Unfaire, einseitige Änderungen stellen demnach unlauteren Wettbewerb dar. Ebenso unlauterer Wettbewerb sei nicht wahrheitsgemäße Anpreisung von Datensicherheitsmaßnahmen.

Die FTC hat 1Health.io vor dem hauseigenen Verwaltungsgericht verklagt und sich auf einen Vergleich verständigt. Dabei bestätigt 1Health.io die Vorwürfe nicht, stellt sie aber auch nicht in Abrede. Der Vergleichsentwurf steht nun für vier Wochen zur öffentlichen Konsultation, danach wird die FTC entscheiden, ob sie den Vergleich so annimmt oder Änderungen verlangt.

1Health.io soll 75.000 US-Dollar zahlen, die die FTC für Rückerstattung an betroffene Verbraucher nutzen möchte. Außerdem muss das Unternehmen zahlreiche Verpflichtungen eingehen: Dazu gehören keine falschen Behauptungen, Datenpreisgabe nur nach ausdrücklicher Zustimmung Betroffener, tatsächliche Zerstörung der Speichelproben, Einrichtung eines Datensicherheitsprogramms samt unabhängiger Prüfungen und regelmäßige Berichte an die FTC.

Das FTC-Verfahren heißt In the Matter of 1Health.io also doing business as Vitagene, Az. 1923170. Die FTC betont, dass dieses Verfahren auch als Warnung an alle anderen US-Unternehmen diene, Datenschutzbestimmungen nicht einseitig zum Nachteil Betroffener zu ändern.

Gegenüber heise online gibt 1Health.io an, erst 2019 einen Hinweis auf die frei zugänglichen Kundendaten erhalten zu haben. Die Schuld trage ein Auftragnehmer, der 2016 die Vitagene-Software getestet hat. Dieser habe die Kundendaten bei Amazon S3 hochgeladen, entgegen den Sicherheitsrichtlinien. Es handle sich um 3754 Dateien von weniger als 3.000 Kunden. Beweise für unberechtigte Zugriffe auf die Kundendaten gäbe es keine, wobei die Firma zugibt, dass sie keine Zugriffslogs dafür hat.

Zu den übrigen Vorwürfen äußert sich die Firma nicht im Detail, sagt aber, dass sie "viele der Schlussfolgerungen der FTC nicht teilt". Vielmehr wirft 1Health.io der ermittelnden Behörde "außerordentlichen Missbrauch behördlicher Gewalt" vor: "This is a case of extraordinary government overreach", im Original. Bei zwei anderen US-Laboren habe es 2018 respektive 2019 viel größere Datenschutzverletzungen gegeben.

...


Aus: "Datenschutz-Vorwürfe an Gentest-Firma in den USA" Daniel AJ Sokolov (20.06.2023)
Quelle: https://www.heise.de/news/Datenschutz-Vorwuerfe-an-Gentest-Firma-in-den-USA-9193178.html


Textaris(txt*bot)

Quote[...] Technologie zur Gesichtserkennung ist in China ein lukrativer Markt. Etwa 8000 Firmen sind in den vergangenen zehn Jahren gegründet worden. Der Kuchen war bislang ausreichend groß genug, um alle Wettbewerber zu versorgen. Drei Millionen öffentliche Aufträge waren im gleichen Zeitraum ausgeschrieben. Die Nachfrage wird in naher Zukunft weiter steigen. Chinas Überwachungsnetz wird immer enger, der Kontrollwahn der Partei immer größer.

Die Covid-19-Pandemie hat Peking konsequent dazu genutzt, immer schärfere Maßnahmen mit Verweis auf gesundheitspolitische Dringlichkeit zu rechtfertigen. Gesichtserkennung zählt zu den zentralen Elementen der staatlichen chinesischen Überwachung. Mit Hilfe Künstlicher Intelligenz (KI) wird sie immer ausgeklügelter und präziser.

Wie raffiniert die Software inzwischen ist, die chinesische Behörden zur Überwachung einsetzen, macht die Technologie ,,one person, one file" deutlich. Sie ist eine Weiterentwicklung herkömmlicher Software-Systeme und ist in der Lage, Personen mit einem Minimum an biometrischen Daten zu identifizieren und sie in Echtzeit mit anderen Datensätzen zu verknüpfen. Selbst Masken über Mund und Nase reichen nicht mehr aus, um sich der Identifikation durch die Technik zu entziehen.

Aber auch sie ist nur eine Komponente eines technologischen Ökosystems, das der autokratischen Regierung in Peking dabei helfen soll, ihre autoritäre Politik langfristig durchzusetzen. Peking behauptet, die Überwachung sei für die Verbrechensbekämpfung von entscheidender Bedeutung. Menschenrechtsorganisationen wie Human Rights Watch behaupten dagegen, das Land baue einen Überwachungsstaat auf, der tief in die Privatsphäre der Bürger eindringe und beispielsweise ethnische Gruppen wie die Uiguren engmaschig überwachen soll.

Big Data ist der Schlüssel. Nirgendwo sonst auf der Welt fallen so große Mengen an Daten und Informationen über Bürger in die Hände einer Regierung wie in China. Menschen werden zu komplett gläsernen Akteuren, deren Verhalten nicht nur in gewissem Umfang vorhergesagt, sondern auch manipuliert werden kann.

Das erinnert an Science Fiction, ist aber schon verblüffend real. ,,Durch Vorhersagen darüber, wie Personen auf Anreize reagieren könnten, können Autokraten die KI-Technologie zur Verhaltensmanipulation einsetzen", sagte David Yang von der Harvard Universität bei einer Podiumsdiskussion in Washington. Yang ist einer der Autoren der Studie AI-tocracy, die sich mit der Nutzung von KI durch autokratische Systeme beschäftigt.

Politischer Dissens, soziale Unruheherde oder die Entwicklung bürgerlicher Bewegungen sollen bereits im Frühstadium ermittelt und eliminiert werden. All das hilft einer Elite, ihr Machtmonopol über mehr als eine Milliarde Menschen zu verteidigen. Beispiel: Proteste. Kamerasysteme der Firma Dahua Technology namens ,,Jinn" sind jetzt in der Lage, die Behörden zu alarmieren, wenn eine Person beim Entrollen eines Transparents entdeckt wird. Seit Mai ist die Software verfügbar. Und sie trifft einen Nerv, nachdem es im Vorjahr einem Mann gelungen war, ein Banner an einer Pekinger Autobahnbrücke zu befestigt, auf dem er das Ende der Diktatur gefordert hatte.




Aus: "Wie Künstliche Intelligenz in China der Überwachung dient – und zum Exportschlager wird" Marcel Grzanna (13.08.2023)
Quelle: https://www.fr.de/politik/ki-kuenstliche-intelligenz-china-ueberwachung-manipulation-gesichtserkennung-uiguren-tbl-zr-92457977.html

Quotezerberus

Wer Netzpolitik liest für den sind solche Zeitungsmeldungen keine Überraschung mehr. Derartige Entwicklungen im Bereich der Überwachung werden dort seit geraumer Zeit publiziert.


...

Textaris(txt*bot)

"Deepfakes in Spanien: Gefälschte Nacktbilder von Mädchen sorgen für Aufschrei" Chris Köver (22.09.2023)
In Spanien berichten zahlreiche Mädchen, dass KI-generierte Nacktfotos von ihnen in der Schule zirkulieren. Der Fall wird jetzt zum nationalen Skandal – weil die Mütter der Betroffenen sich organisiert haben, um gegen die verantwortlichen Mitschüler vorzugehen. ... Deepnudes werden solche Bilder genannt, eine Wortschöpfung aus Deepfake und dem englischen Wort für Nacktbild. Im Internet gibt es zahlreiche Seiten und Apps, mit denen sie sich kostenlos erstellen lassen. In eigens dafür eingerichteten Foren diskutieren Nutzer, wie man die besten Ergebnisse erzielt. Die Bilder sehen inzwischen oft täuschend echt aus. ,,Würde ich nicht den Körper meiner Tochter kennen", sagte auch Miriam Al Adib, ,,dieses Foto wirkte echt." ... Das Phänomen der gefälschten Nacktbilder ist nicht neu. Die dahinter stehende Technologie hat in den vergangenen Jahren allerdings rasante Sprünge gemacht. Brauchte man vor einigen Jahren noch viel Rechenleistung und einiges technisches Können, um glaubhafte Ergebnisse zu erzielen, bieten heute zahllose dubiose Anbieter im Netz ihre Dienste an – ein Klick und ein paar Euro genügen.
Seitdem betreffen sexualisierte Deepfakes nicht nur Schauspielerinnen und Politikerinnen, sondern auch ganz normale Privatpersonen. Eine Analyse aus dem Jahr 2019 kam damals schon zu dem Ergebnis, dass mehr als 95 Prozent der existierenden Deepfakes nicht-einvernehmliche Pornografie sei. Laut einer Studie aus Großbritannien, Australien und Neuseeland waren bei etwa jedem dritten Fall die Bilder digital manipuliert worden. ...
https://netzpolitik.org/2023/deepfakes-in-spanien-gefaelschte-nacktbilder-von-maedchen-sorgen-fuer-aufschrei/

Quote
Martin sagt:   
22. September 2023 um 15:50 Uhr   

Auf der anderen Seite erlaubt die Technologie jetzt ,,plausible deniability". Jede/r kann sich jetzt hinstellen und erst mal behaupten, da hat jemand Deepnudes erzeugen lassen.
Ich finde die Reaktion der Gesellschaft auf jeden Fall gut. Sich vor die Opfer stellen und ermutigen was zu sagen. Das wäre in sooooo viel mehr Gesellschaftlichen Bereichen notwendig.


...

Textaris(txt*bot)

Quote[...] Viele Unternehmen nutzen Künstliche Intelligenz zur Auswertung von Kundengesprächen. Solche Software kann auch Emotionen erkennen, zeigen BR-Recherchen. ...

Es gibt einen Satz, den die meisten Menschen in Deutschland so oder so ähnlich von Telefon-Hotlines kennen: "Zur Prüfung und Verbesserung unserer Servicequalität, würden wir den Anruf gerne aufzeichnen."

Was viele Anruferinnen und Anrufer nicht wissen: Einzelne Callcenter werten mithilfe Künstlicher Intelligenz (KI) am Telefon ihre Emotionen aus - anhand der Stimme.

So verfügt einer der weltweit größten Callcenter-Betreiber, Teleperformance, über eine KI-Software, die unter anderem die Emotionen der Anrufenden und der Callcenter-Agentinnen und Agenten erkennen soll. Wie schnell sprechen sie? Klingen sie aufgeregt oder ängstlich? Drohen Kundinnen und Kunden mit Vertragskündigungen oder Klagen? Das alles soll die KI auswerten, wie interne Dokumente des Unternehmens belegen.

In Deutschland telefonieren knapp Zweitausend Agentinnen und Agenten für Teleperformance, unter anderem im Auftrag von Energieversorgern. Aus den Unterlagen geht hervor, dass Kundinnen und Kunden von Teleperformance die Software für ihre deutschsprachigen Hotlines nutzen können. Unklar ist, wie viele Gespräche das Unternehmen mit der KI-Software analysiert. Der Konzern wollte sich auf Anfrage des BR hierzu nicht äußern.

Das Callcenter-Unternehmen 11880 geht hingegen offen mit dem Einsatz von KI zur Emotionserkennung um. Zu den Auftraggebern von 11880 gehören Wohnungsbaugesellschaften, Autohäuser und Leihanbieter von Elektrorollern. Für sie bearbeitet das Unternehmen Kundenbeschwerden.

Dabei analysiert die KI in Echtzeit Sprachmelodie, Intensität, Rhythmus und Klang. Insgesamt würden mehr als 6.000 Parameter der Stimme analysiert, um daraus Emotionen zu errechnen, so Jörn Hausmann, Manager bei 11880. Die Software soll dadurch Gefühle wie Wut, Ärger, aber auch Freundlichkeit erkennen.

Hausmann betont, für die Agentinnen und Agenten sei die KI-Software zur Emotionsanalyse eine Unterstützung, ihr Einsatz durch den Betriebsrat genehmigt und von einem Datenschützer geprüft.

Während laufender Gespräche sehen die Callcenter-Agentinnen und Agenten auf ihrem Bildschirm Smileys, die die Stimmung der Unterhaltung anzeigen. Ein Smiley zeigt die Emotionen des Anrufers, ein weiteres die des Callcenter-Agenten. Auch dessen Emotionen werden ununterbrochen getrackt und ausgewertet. So soll sichergestellt werden, dass die Agentinnen und Agenten freundlich bleiben und die Kundinnen und Kunden im besten Fall zufriedener auflegen. Dieses Vorgehen ist nicht unumstritten.

In der Bandansage des Unternehmens ist nur von einer Auswertung "zur Prüfung und Verbesserung unserer Servicequalität" die Rede. Bandansagen dieser Art nennt Rechtsprofessorin Lena Rudkowski von der Universität Gießen "rechtlich problematisch", weil Anruferinnen und Anrufer nicht wissen könnten, wie das Gespräch ausgewertet werde. Emotionserkennung sei etwas, "womit der Kunde nicht rechnen muss".

Über Emotions-KI werden Anruferinnen und Anrufer nicht aufgeklärt, bestätigt 11880-Manager Jörn Hausmann. Eine Einwilligung zur Auswertung sei dafür nicht notwendig: "Hier wird nichts gespeichert und keine Kundenprofile daraus abgeleitet", sagt Hausmann. Das heißt: Selbst wenn Kundinnen und Kunden der Aufzeichnung widersprechen, werden Emotionen ausgewertet.

Der Rechtsprofessor Peter Wedde von der Frankfurt University of Applied Sciences hält Emotionsanalyse in Callcentern für rechtlich unzulässig. Von den eigenen Mitarbeitern dürften Arbeitgeber nur die Daten verarbeiten, die unbedingt notwendig seien, sagt Wedde. Die Analyse von Emotionen lasse "weitgehende Einblicke in die Persönlichkeit zu". Im weitesten Sinne handele es sich laut Wedde um Gesundheitsdaten, deren Verarbeitung extrem strengen Voraussetzungen unterliege.

Für Juristin Rudkowski von der Universität Gießen ist fraglich, ob im Falle einer ständigen Echtzeitanalyse, die Teamleiter einsehen könnten, nicht eine Totalüberwachung der Callcenter-Agenten vorliege. Arbeitgeber dürften ihre Arbeitnehmer "nicht lückenlos während der gesamten Arbeitszeit überwachen und sie unter erheblichen psychischen Anpassungsdruck setzen", betont Rudkowski.

Knapp 160.000 Menschen arbeiten in Deutschland in einem Callcenter. Wie viele Callcenter Künstliche Intelligenz zur Sprach- oder Emotionsanalyse verwenden, ist unklar. Branchenkenner schätzen, dass zwischen zehn und dreißig Prozent der Callcenter in Deutschland Telefonate mit KI auswerten.

Bislang fehlt in Deutschland eine gesetzliche Regulierung von künstlicher Intelligenz - auch am Arbeitsplatz. Die Bundesregierung arbeitet momentan an einem neuen Beschäftigtendatenschutzgesetz, das auch den Einsatz von KI betreffen soll, schreibt das Bundesarbeitsministerium auf BR-Anfrage.

Auf Ebene der EU soll der AI Act in Zukunft den Einsatz von Künstlicher Intelligenz grundlegend regeln. Im Juni beschloss das EU-Parlament mit großer Mehrheit seine Position zu dem Gesetzesentwurf. Die Parlamentsposition sieht vor, dass Emotionserkennung mittels Stimm-KI am Arbeitsplatz, im Bildungsbereich und zur Strafverfolgung verboten werden soll.

Sergey Lagodinsky, Abgeordneter für Bündnis 90/ Die Grünen im Europaparlament, nennt den Einsatz von KI zur Emotionserkennung "pseudowissenschaftlich". Im BR-Interview sagt Lagodinsky. "Jeder Mensch hat das Recht auf Innenleben und darauf, seine Emotionen nicht zu teilen."

Auch der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski bezeichnet den Einsatz von KI zur Emotionserkennung als "äußerst unerwünscht". Eine Ausnahme seien allerdings Gesundheits- und Forschungszwecke.

Einzelne Abgeordnete der konservativen Europäischen Volkspartei (EVP) rücken indes von strikten Verboten im AI Act ab. Angelika Niebler (CSU) sagte im BR-Interview, Emotionserkennung am Arbeitsplatz sei ein Thema, bei dem man "Chancen und Risiken sorgfältig abwägen" müsse.

Aktuell verhandeln Kommission, Rat und EU-Parlament noch über die endgültigen Inhalte des AI Acts. Die Verhandlungen sollen bis zum Ende dieses Jahres abgeschlossen sein.


Aus: " Umstrittener KI-Einsatz im Callcenter Der Algorithmus hört mit" Rebecca Ciesielski, Sammy Khamis, Simon Wörz, BR  (04.10.2023)
Quelle: https://www.tagesschau.de/investigativ/br-recherche/ki-callcenter-stimme-100.html

Textaris(txt*bot)

Quote[...] Die USA erwarten von 2027 an für eine visafreie Einreise aus der EU "kontinuierliche und systematische Transfers" von Daten zu Fingerabdrücken und weiteren biometrischen Merkmalen. Ursprünglich wollte die US-Regierung eine solche "Partnerschaft für verstärkten Grenzschutz" über einen Deal für alle Mitgliedsstaaten auf einen Schlag durchsetzen. Die EU-Kommission hat nun aber durchblicken lassen, dass eine einschlägige transatlantische Arbeitsgruppe ihre Arbeit eingestellt hat. Die USA wollen ihre Forderungen demnach nun offenbar bilateral über Abkommen mit einzelnen EU-Ländern durchdrücken, wobei der Schutz der Privatsphäre der Bürger angesichts einer geringeren Verhandlungsmacht vor allem kleinerer Mitgliedsstaaten teils noch stärker unter die Räder kommen könnte.

https://www.heise.de/news/Visafreie-Einreise-USA-erwarten-systematische-Transfers-biometrischer-Daten-8991784.html

https://www.heise.de/news/Visafrei-gegen-Datenzugriffe-USA-verlangen-Zugriff-auf-Europas-Biometrie-Daten-7151539.html

Im Rahmen der verlangten "Enhanced Border Security Partnership" (EBSP) wären die Behörden in der Lage, "die Fingerabdrücke von Reisenden, die eine Einreise oder einen Einwanderungsstatus anstreben, mit ihren entsprechenden Straf-, Terror- und Identitätsregistern abzugleichen". Sie erhielten dann zahlreiche personenbezogene Daten, falls dabei ein Treffer erzielt würde. Eine solche Übereinkunft soll neue Bedingung für die Teilnahme am Visa Waiver Programm (VWP) werden. Im September monierten die EU-Abgeordneten Saskia Bricmont, Tineke Strik, Damien Carême und Patrick Breyer von der Grünen-Fraktion, dass das Vorhaben "viele Bedenken hinsichtlich der Grundrechte und des Datenschutzes geweckt hat". Zugleich beklagten sie einen "Mangel an Transparenz bei den Verhandlungen".

https://www.europarl.europa.eu/doceo/document/E-9-2023-002617_EN.html

Innenkommissarin Ylva Johansson teilte den um Auskunft bittenden Parlamentariern mittlerweile mit, dass die Brüsseler Regierungsinstitution im Rahmen ihres inzwischen verfolgten "pragmatischen Ansatzes" eine Machbarkeitsstudie in Betracht ziehe. Ein solcher Nachweis könne als Grundlage für eine künftige Diskussion darüber dienen, wie der Informationsaustausch zwischen der EU und den USA im Bereich des Grenzschutzes verbessert werden kann. Ein einschlägiger Test beinhalte aber keinen Austausch realer Daten. Zugleich erklärte die Schwedin, dass eine transatlantische EBSP-Arbeitsgruppe zweimal getagt habe, und zwar am 6. und 27. September 2022: "Derzeit sind keine weiteren Treffen geplant."

https://www.europarl.europa.eu/doceo/document/E-9-2023-002617-ASW_EN.html

https://www.statewatch.org/media/3861/eu-council-usa-border-security-partnerships-paper-8307-23.pdf

Für Chris Jones, den Direktor der britischen Bürgerrechtsorganisation Statewatch, steht aber außer Frage, dass die USA weiter "Zugriff auf die wachsende Palette biometrischer Datenbanken der EU" begehrten. Es sei daher wichtig, möglicherweise schon laufende Verhandlungen über bilaterale Übereinkünfte im Blick zu behalten. Bislang hinterfragten etwa die deutsche und die französische Regierung den Mehrwert der geforderten "Partnerschaft". Ein Punkt war dabei die mit dem VWP eigentlich gewährte "vollständige Gegenseitigkeit" des Datenzugangs. Denn schon Anfang des Jahres merkte die damalige schwedische EU-Ratspräsidentschaft an, dass es an einer solchen Reziprozität mangele. Dies deutet laut Statewatch daraufhin, "dass die USA mehr erhalten wollten, als sie bereit waren zu geben".

https://www.statewatch.org/news/2023/november/usa-seeks-bilateral-deals-for-access-to-european-criminal-terrorist-and-identity-records

https://www.heise.de/news/EU-Migrationskontrolle-Biometrie-Superdatenbank-verursacht-Milliardenkosten-6189788.html

https://netzpolitik.org/2023/alleingang-in-bruessel-eu-kommission-prueft-zugriff-auf-biometriedaten-durch-us-polizei

(tiw)


Aus: "Visafreiheit: USA wollen Zugriff auf EU-Biometriedaten bilateral durchsetzen" Stefan Krempl (19.11.2023)
Quelle: https://www.heise.de/news/Visafreiheit-USA-wollen-Zugriff-auf-EU-Biometriedaten-bilateral-durchsetzen-9533198.html

QuoteKritikMussSein, 19.11.2023 14:12

Sind das die gleichen biometrischen Daten ...

Sind das die gleichen biometrischen Daten, wie die, die wir zum entsperren unserer Geräte nutzen? Blöde Frage, ich weiß. :-)
Damit ist also jede biometrische Identifikation zum Entsperren von Konten ungeeignet. Muss man leider genau so konstatieren.

2023: Die KI ist auf dem Vormarsch. Die Menschen verlassen sich blind auf (inzwischen) unbeherrschbare Technik von Konzernen, deren oberstes Ziel die Gewinnmaximierung ist. Nach bald 100 Jahren IT-Entwicklung, koppeln wir unsere Zugangsdaten aller unserer Konten an ein Gerät (mittels FIDO) und sichern dieses mit weltweit verfügbaren biometrischen Daten ab. Die Mehrheit hat es so gewollt. Dann wird es wohl gut sein.

Kann man machen.

Ich mache mir erstmal nen Kaffee.


Quotecooregan, 19.11.2023 11:36

Die unersättlicher Gier der STASI-Datenkraken ... im Jahre 11 nach Snowden.
Menschen(rechts)feinde bei der Arbeit. Verachtenswert.

gruß
cooregan



...

Textaris(txt*bot)

#84
Quote[...] Er wird auch als der größte Datendeal in der Geschichte des National Health Service (NHS) Englands beschrieben. Dort wurde ein Auftrag im Wert von 480 Millionen Pfund an das umstrittene US-Unternehmen Palantir vergeben, das für seine Überwachungssoftware bekannt ist. Doch genau dieses Unternehmen wurde, wie sich bereits abzeichnete, jetzt mit der Verwaltung von Daten des englischen Gesundheitswesens betraut. Dazu soll eine neue "Federated Data Platform" zum Einsatz kommen.

https://www.heise.de/news/Datenanalyse-Unternehmen-Palantir-wirft-ein-Auge-auf-Gesundheitswesen-in-Europa-9010023.html

Aufgrund von Palantirs Vergangenheit löst das bei vielen Menschen Bedenken wegen der Datensicherheit der Gesundheitsdaten aus. Palantir stand unter anderem in der Kritik, weil manche Regierungen mit der Software ihre Bürger ausspionieren. Zu den Partnern, mit denen Palantir den Aufbau und Betrieb der Datenplattform in Angriff nehmen soll, gehört unter anderem Accenture und PwC. Die Cloud-Plattform sollen AWS und Microsoft stellen, wie aus einer Pressemitteilung von Palantir hervorgeht.

https://blog.palantir.com/palantir-and-the-nhs-dd1362982fa9

Palantir ist unter anderem für seine enge Zusammenarbeit mit Geheimdiensten, Polizei sowie dem britischen Verteidigungsministerium und Militär bekannt. Darüber hinaus kommt die Software des Unternehmens auch in weiteren Sektoren wie Energie, dem Gesundheitswesen, Verkehr, Telekommunikation und Finanzen zum Einsatz.

Mit der geplanten Plattform sollen einzelne Gesundheitsdienstleister sowie 42 Versorgungssysteme des NHS digital miteinander kommunizieren und Daten austauschen, um die Versorgung zu verbessern. Ebenso sollen Echtzeitdaten über die Anzahl der Betten in Krankenhäusern, Wartelisten für geplante Behandlungen sowie Personalpläne für geplante Behandlungen im System zu finden sein, etwa um Operationen schneller durchführen zu können.

Vor der Vergabe hatte das Unternehmen bereits einen Auftrag für eine Plattform erhalten, die zunächst einen symbolischen Britischen Pfund kostete, und während der Coronakrise bei der Verwaltung von Gesundheitsdaten helfen sollte. Der Auftrag wurde laut dem britischen Medium Yorkshire Bylines "im Geheimen" vergeben. Heraus kam das erst, nachdem die Nachrichtenplattform Opendemocracy 2021 die Offenlegung des Vertrags erwirkt hatte, der zum damaligen Zeitpunkt 21 Millionen Pfund betrug. Später hatte Palantir weitere insgesamt rund 40 Millionen Pfund erhalten, unter anderem um die Daten in die neue Gesundheitsplattform zu übertragen.

"The NHS's half-billion-pound deal with Palantir: what you need to know" Tom Hegarty (21-11-2023)
US data giant Palantir awarded unprecedented contract to manage all UK medical recordsTom Hegarty
https://yorkshirebylines.co.uk/news/home-affairs/the-nhss-half-billion-pound-deal-with-palantir-what-you-need-to-know/

https://www.opendemocracy.net/en/ournhs/weve-won-our-lawsuit-over-matt-hancocks-23m-nhs-data-deal-with-palantir/

Die Entscheidung wurde von Bürgerrechtsgruppen aus verschiedenen Bereichen kritisiert, die ihr Unbehagen über Palantir und die Möglichkeit ausdrückten, dass Patientendaten in falsche Hände geraten. Aus Sicht von Amnesty International hätte der Auftrag gar nicht erst an Palantir vergeben werden dürfen. Schließlich sei das Unternehmen "an schweren Menschenrechtsverletzungen" beteiligt. Donald Trump, der bei seiner Wahl auch von Palantir-Gründer und Tech-Milliardär Peter Thiel unterstützt wurde, hatte Software des Unternehmens für "Investigative Case Management" zur Organisation der Deportation Millionen illegaler Einwanderer eingesetzt.

https://www.amnesty.org.uk/press-releases/uk-palantir-very-troubling-choice-nhs-contract-given-links-serious-human-rights

https://www.heise.de/news/Was-war-Was-wird-Vom-Ueberqueren-und-Ueberwachen-4499860.html

Palantir hätte aus dem Vergabeprozess ausgeschlossen werden müssen, sagt Peter Frankental von Amnesty International. Die Öffentlichkeit brauche "die Gewissheit, dass ihre persönlichen Daten von Palantir nicht für Zwecke gesammelt werden, die wenig mit ihrer Gesundheit zu tun haben", ergänzt Frankental.

Die British Medical Association beschrieb die Vergabe als "zutiefst besorgniserregend". Zuvor hatte die britische Ärzteorganisation verschiedene Kritik, unter anderem zum intransparenten Verfahren, an der sich anbahnenden Vergabe geäußert. Es drohe unter anderem ein Vertrauensverlust in die behandelnden Ärzte, wie das Fachblatt BMJ berichtet.

https://www.bmj.com/content/381/bmj.p1482

Laut dem NHS England könne Palantir nicht ohne ausdrückliche Zustimmung auf Gesundheits- und Pflegedaten zugreifen, berichtet The Guardian. Die neue Software werde durch den Einsatz von "Technologie zur Verbesserung der Privatsphäre" durch die "höchstmöglichen Sicherheitsstandards" geschützt, heißt es.

"Patient privacy fears as US spy tech firm Palantir wins £330m NHS contract" Denis Campbell Health policy editor (Tue 21 Nov 2023)
https://www.theguardian.com/society/2023/nov/21/patient-privacy-fears-us-spy-tech-firm-palantir-wins-nhs-contract

Ein massiver Kritikpunkt ist außerdem, dass Patienten keine Opt-out-Möglichkeit erhalten, also nicht widersprechen können, dass ihre Gesundheitsdaten in die Hände von Palantir und seinen Projekt-Partnern gelangen. Grund dafür sei, dass angeblich alle Daten anonymisiert würden. Dagegen könnte aber geklagt [werden], wie aus einem Bericht von Digitalhealth.net hervorgeht.

(mack)


Aus: "eHealth: Umstrittenes Unternehmen Palantir gewinnt größten Datendeal Englands​" Marie-Claire Koch (23.11.2023)
Quelle: https://www.heise.de/news/eHealth-Umstrittenes-Unternehmen-Palantir-gewinnt-groessten-Datendeal-Englands-9537039.html


Textaris(txt*bot)

Quote[...] Bei dem in Estland ansässigen Genanalyse-Unternehmen "Asper Biogene" ist es zu einem Ransomware-Vorfall gekommen. Dabei wurden Personen- und Gesundheitsdaten von etwa 10.000 Personen aus der Datenbank gestohlen. Einige der Dateien enthalten Testergebnisse von Gentests, die von Gesundheitsdienstleistern und Einzelpersonen des Unternehmens angefordert wurden.

Insgesamt wurden rund 100.000 Datensätze kopiert und heruntergeladen. Nach Angaben des Generaldirektors der estnischen Datenschutzbehörde, Pille Lehis, sind von dem Vorfall mehr als vierzig Gesundheitsunternehmen betroffen, darunter auch welche, die Fruchtbarkeitstests anbieten.

Inzwischen wurde eine Sicherheitslücke im Server geschlossen. Ebenso wurde eine Untersuchung zur Beweissicherung eingeleitet. Die Datenschutzbehörde hat außerdem ein Verfahren gegen den auf Diagnose von Erbkrankheiten spezialisierten Datenverarbeiter eingeleitet.

Den illegalen Zugriff auf die Daten hatte Asper Biogene Mitte November bemerkt. Daraufhin hatte das Unternehmen unter anderem die Datenschutzbehörde und die Polizei informiert. Dafür, dass Asper Biogene die Betroffenen erst jetzt benachrichtigt, erntet das Unternehmen Kritik: "Leider zeigt der Vorfall, dass Bedrohungen im Cyberraum immer noch nicht ernst genommen werden", so Lehis. Die Folgen des Datenlecks hätten ihm zufolge "abgemildert werden können, wenn die Daten unternehmensintern verschlüsselt oder pseudonymisiert worden wären".

Verschiedene estnische Behörden schlagen inzwischen Alarm. So warnt unter anderem das estnische Justizministerium in einer Pressemitteilung vor Phishing-Mails: Sie "sollten äußerst aufmerksam sein, wenn sie eine E-Mail von jemandem erhalten, der die Ergebnisse ihrer genetischen Studie plausibel darstellt und nun um weitere Maßnahmen bittet", heißt es darin. Die Prozesse der Gesundheitsdienstleister, die für die Datenverarbeitung verantwortlich sind, sollen ebenfalls untersucht werden.


Aus: "Gendaten von 10.000 Esten geleakt" Marie-Claire Koch (18.12.2023)
Quelle: https://www.heise.de/news/Estland-10-000-Menschen-von-Gendaten-Leak-betroffen-9577868.html

Quotecrito

19.12.2023 13:45

Hintergrund zu genetischen Daten - nicht jeder "Verlust" ist gleich schlimm

Wie eine Genanalyse abläuft:
Zuerst wird die DNA extrahiert (Blut, Wangenabstrich etc). Dann wird der DNA Strang in kleine Stücke "zerhackt".
Einzelne Stücke werden "herausgefischt" und im Sequencer gelesen. Welche Stücke der DNA "herausgefischt" werden wird im Vorhinein durch ein "Kit" festgelegt.

Wenn es eine genaue Fragestellung gibt dann werden meist nur die genau benötigten Teile der DNA eingelesen. (siehe z.B. https://www.meduniwien.ac.at/hp/fileadmin/med-genetik/Eaddm.pdf).
Ein Verlust ist vergleichbar mit dem Verlust eines einzelnen Laborwert eines Blutbefundes.

Dann gibt es inzwischen vermehrt "whole exome" und "whole genome" sequencing. Da wird ein Großteil der DNA eingelesen. Dann wird ein "Software-Filter" benutzt um sich nur die benötigten Teile anzuschauen.
Vorteil: einmal sequenzieren und für verschiedene Fragestellungen benutzen.
Ein Verlust ist vergleichbar mit dem Verlust des gesamten Laborbefundes oder der Blutprobe.

Die im Artikel beschriebene "Pseudonymisierung" funktioniert bei whole exome/genome nicht. Man kann über Verwandtschaftsverhältnisse auch "anonyme" Gendaten mit bekannten Spendern vergleichen und mit einer hohen Treffsicherheit den Spender identifizieren (siehe https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6549023/).


Quote
    PiWaHi

19.12.2023 19:31

10.000 Betroffene?

Nein, weit mehr.

Betroffen sind nicht nur die, von denen die Daten sind, sondern auch deren Eltern, Kinder und Verwandte. ...


...


Textaris(txt*bot)

Quote[...] For almost a whole day last week, deepfake pornographic images of Taylor Swift rapidly spread through X. The social media platform, formerly Twitter, was so slow to react that one image racked up 47m views before it was taken down. It was largely Swift's fans who mobilised and mass-reported the images, and there was a sense of public anger, with even the White House calling it "alarming". X eventually removed the images and blocked searches to the pop star's name on Sunday evening.

For women who have been victims of the creation and sharing of nonconsensual deepfake pornography, the events of the past week will have been a horrible reminder of their own abuse, even if they may also hope that the spotlight will force legislators into action. But because the pictures were removed, Swift's experience is far from the norm. Most victims, even those who are famous, are less fortunate.

...


From: "Inside the Taylor Swift deepfake scandal: 'It's men telling a powerful woman to get back in her box'" Emine Saner (Wed 31 Jan 2024)
Source: https://www.theguardian.com/technology/2024/jan/31/inside-the-taylor-swift-deepfake-scandal-its-men-telling-a-powerful-woman-to-get-back-in-her-box

Textaris(txt*bot)

Quote[..] Die Behörden in Hongkong haben einen ausgeklügelten Betrug mit Deepfakes aufgedeckt, bei dem ein Angestellter dazu gebracht wurde, 200 Millionen Hongkong-Dollar (umgerechnet etwa 23 Millionen Euro) an Betrüger zu überweisen, die sich als Führungskräfte des Unternehmens ausgaben, berichtet CNN [https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html].

Der Angestellte erhielt eine Nachricht über eine dringende, vertrauliche Transaktion, die angeblich vom Finanzchef seiner Firma in Großbritannien stammte. Obwohl er zunächst skeptisch war, verflüchtigten sich seine Zweifel nach einem Videoanruf, an dem scheinbar vertraute Kollegen teilnahmen.

Was der Angestellte nicht wusste: Die anderen Teilnehmer des Anrufs waren allesamt Deepfakes – KI-generierte Nachbildungen von echten Menschen. Im Glauben, die Gruppe sei echt, folgte er ihren Anweisungen und überwies den Betrag. Das Verbrechen wurde erst aufgedeckt, nachdem er sich später mit der Zentrale beriet, heißt es in dem Bericht.

Die Polizei in Hongkong meldete sechs Verhaftungen bei ähnlichen Betrügereien, bei denen 90 Kreditanträge gestellt und 54 Bankkonten mit gestohlenen Ausweisen eröffnet wurden. In mindestens 20 Fällen nutzten die Betrüger Deepfakes, um die Gesichtserkennung zu überlisten.

Gestohlene Ausweise wurden mithilfe künstlicher Intelligenz so verändert, dass sie die echten Besitzer vortäuschen. Das deutet darauf hin, dass Deepfakes professionell auf Bestellung erstellt und nicht einfach von bestehenden Medien kopiert werden.

Experten warnen laut CNN, dass Deepfakes immer schwieriger zu erkennen sein werden, je weiter die Technologie voranschreitet. Realistische, von der KI gefälschte Videos und Fotos von Prominenten haben sich im Internet bereits weit verbreitet.

...


Aus: "Deepfake eines Finanzchefs ermöglicht Millionenbetrug" (4. Februar 2024)
Quelle: https://www.golem.de/news/ki-deepfake-eines-finanzchefs-ermoeglicht-millionenbetrug-2402-181858.html

Textaris(txt*bot)

Quote[...] Der Chaos Computer Club (CCC) hat eine Lücke bei dem Terminservice-Anbieter Dubidoc gefunden, hinter dem das Start-up Takuta GmbH steht. Inzwischen hat Takuta die Sicherheitslücke, über die ein Zugriff auf rund eine Million Datensätze von Patienten möglich war, geschlossen und "Maßnahmen getroffen, um eine Wiederholung eines solchen Vorfalls zu verhindern". Das teilte Daniel Strunk, Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), heise online mit. Inzwischen hat das Unternehmen seine Kunden über das Datenleck informiert.

Laut Strunk gehören zu den öffentlich zugänglichen Daten E-Mail-Adressen, Passwörter, Telefonnummern, Vor- und Nachname, Geschlecht, Geburtsdatum, Angaben zu Verwandten und Termindaten. Bei dem Datenleck war der Profiler des PHP-Frameworks "Symfony" aktiv und Debug-Informationen sichtbar. Diese enthielten Benutzername und Passwort für die Datenbank. Ein aktiver Debugger in einer Live-Umgebung ist ein schwerwiegender Fehler.

Zusätzlich war die Datenbank noch über das Internet erreichbar. "Angeblich könne dieser freie Datenbank-Zugriff leider nicht eingeschränkt werden, weil die Applikation auf einem Managed Server bei einem 'renommierten Provider' gehostet ist, teilt das Unternehmen mit. Eine Ausrede, die – selbst wenn sie wahr wäre – selbstverständlich keine ist", kommentiert der CCC.

Unklar ist zudem noch, ob außer dem CCC noch weitere auf die Daten zugegriffen haben. "Es steht noch eine Stellungnahme aus zu der Frage, welche Maßnahmen ergriffen wurden, um zu prüfen, ob weitere Dritte Zugriff auf die Daten hatten", heißt es von Strunk.

Inzwischen hat sich Dubdioc-Gründerin Shabnam Fahimi-Weber zum Vorfall geäußert. Als Ärztin sei ihr der Schutz von Patientendaten sehr wichtig und sie bedauere den Vorfall sehr. Bislang gebe es "keine Hinweise auf unerlaubte Zugriffe auf die von uns verarbeiteten Daten". Zu getroffenen Maßnahmen zählen neben der angepassten Konfiguration des betroffenen Servers auch, dass "der direkte Zugriff auf die Datenbank, auch mit Zugangsdaten, aus dem Internet" nicht mehr möglich ist, heißt es in einer Stellungnahme. Ebenso sei es dem Start-up wichtig, künftig "Sicherheit in den Fokus unserer Softwareprodukte zu rücken".

Immer wieder weisen Start-ups im Gesundheitswesen Sicherheitslücken auf. Vor rund einem Jahr hatte ein Sicherheitsforscher – ebenfalls im Sinne des Responsible Disclosure –eine Sicherheitslücke bei einem Arztterminservice-Portal gemeldet. Allerdings wurde die Lücke erst Monate später und nach Anfragen von heise online geschlossen. Bei digitalen Gesundheitsanwendungen gibt es ebenfalls immer wieder Sicherheitslücken, beispielsweise bei Depressions-Apps [https://www.heise.de/news/DiGA-Hacker-offenbaren-Sicherheitsluecken-in-Depressions-App-8989065.html].


Aus: "CCC-Hack auf Dubidoc: Hersteller sehen keine Hinweise auf Datenabfluss" Marie-Claire Koch (16.02.2024)
Quelle: https://www.heise.de/news/Datenleck-bei-Dubidoc-Noch-unklar-ob-Dritte-bei-Terminservice-Daten-zulangten-9630770.html

https://www.ccc.de/de/updates/2024/dubidoc

"Wie ein Datenleck in einem Arzt-Terminservice monatelang offen bleiben konnte" (24.02.2023)
Das erfolgreiche Melden von Sicherheitslücken ist nicht immer so einfach. Ein Beispiel aus dem Umfeld von Arztpraxen zeigt, wo Stolpersteine liegen. ...
https://www.heise.de/hintergrund/Wie-ein-Datenleck-in-einem-Arzt-Terminservice-monatelang-offen-bleiben-konnte-7526518.html




Textaris(txt*bot)

#89
Quote[...] Ein deutscher Staatsbürger hatte bei der Stadt Wiesbaden einen neuen Personalausweis beantragt. Seit mehr als zwei Jahren ist dabei in Deutschland jeder verpflichtet, seine Fingerabdrücke abzugeben (§ 5 Abs. 5 und Abs. 9, § 9 Abs. 3 Personalausweisgesetz). Deutschland entspricht damit einer Verordnung der EU. Mit der Abgabe seiner Fingerabdrücke war der Mann aber nicht einverstanden. Ihm einen Personalausweis ohne Aufnahme seiner Fingerabdrücke auszustellen, verweigerte die Stadt Wiesbaden jedoch. Dagegen wehrte sich der Deutsche vor dem Verwaltungsgericht (VG) Wiesbaden.

Das VG war sich selbst nicht ganz sicher und legte den Fall nach Art. 267 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) dem Gerichtshof der Europäischen Union (EuGH) vor. Der sollte insbesondere klären, ob die Verpflichtung zur Aufnahme und Speicherung von Fingerabdrücken in Personalausweisen gemäß Art. 3 Abs. 5 der Verordnung zur Erhöhung der Sicherheit der Personalausweise (Verordnung 2019/1157 vom 20. Juni 2019) gegen das Grundrecht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verstößt.

Das verneinte der EuGH am Donnerstag (Urt. v. 21.03.2024, Az. C-61/22). Die Verpflichtung zur Aufnahme von zwei Fingerabdrücken in Personalausweisen sei mit den Grundrechten auf Achtung des Privatlebens (Art. 7 EU-Grundrechtecharta (GRCh)) und auf Schutz personenbezogener Daten (Art. 8 GRCh) vereinbar.

Die Verpflichtung zur Abgabe der Fingerabdrücke stelle zwar eine Einschränkung der durch die GRCh garantierten Grundrechte dar. Diese Einschränkung sei jedoch durch die dem Gemeinwohl dienenden Zielsetzungen gerechtfertigt, so der EuGH. Die zusätzlich genommenen Fingerabdrücke sollten die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl bekämpfen sowie die Interoperabilität der staatlichen Überprüfungssysteme etwa bei Reisen im EU-Inland gewährleisten, so der EuGH.

Davon profitierten die EU-Bürger sogar, findet der EuGH. Weil die Fingerabdrücke die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl verhinderten, leiste die Verpflichtung zur Abgabe der Fingerabdrücke sogar einen Beitrag zum Schutz des Privatlebens der betroffenen Personen als auch im weiteren Sinne zur Bekämpfung von Kriminalität und Terrorismus, befand das Gericht. Außerdem könnten Unionsbürger sich dadurch auf zuverlässige Weise identifizieren, sodass die Verpflichtung zudem die Ausübung ihres Rechts auf Freizügigkeit und Aufenthalt in der Europäischen Union erleichtere.

Das luxemburgische Gericht war zudem überzeugt, die Aufnahme allein eines Gesichtsbilds sei ein weniger wirksames Identifizierungsmittel als die zusätzlich zu diesem Bild erfolgende Aufnahme von zwei Fingerabdrücken. Alterung, Lebensweise, Erkrankung oder ein chirurgischer Eingriff könnten nämlich die anatomischen Merkmale des Gesichts verändern.

Der EuGH erklärte die Verordnung, die die Pflicht zur Abgabe von Fingerabdrücken vorsieht, allerdings trotzdem für ungültig. Der Grund: Die in Rede stehende Verordnung (EU) 2019/1157 wurde auf die falsche Rechtsgrundlage gestützt und infolgedessen nach dem falschen, d. h. nach dem ordentlichen statt nach einem besonderen Gesetzgebungsverfahren erlassen. Das Europäische Parlament und der Rat hatten die Verordnung nämlich auf der Grundlage von Art. 21 Abs. 2 AEUV erlassen. Die richtige Rechtsgrundlage sei jedoch die spezifischere Bestimmung des Art. 77 Abs. 3 AEUV. Diese Bestimmung sieht ein besonderes Gesetzgebungsverfahren und insbesondere die Einstimmigkeit im Rat vor.

Die Ungültigerklärung der Verordnung mit sofortiger Wirkung könnte nach Auffassung des EuGH aber "schwerwiegende negative Folgen für eine erhebliche Zahl von Unionsbürgern und für ihre Sicherheit haben". Daher hält der Gerichtshof die Wirkungen der Verordnung bis zum Inkrafttreten einer neuen, auf die richtige Rechtsgrundlage gestützten Verordnung innerhalb einer angemessenen Frist, längstens bis zum 31. Dezember 2026, aufrecht.

Jetzt ist wieder das VG Wiesbaden an der Reihe und muss über den konkreten Fall entscheiden und dabei die Vorgaben des EuGH vom Donnerstag berücksichtigen.

cho/LTO-Redaktion


Aus: "EU-Bürger müssen Fingerabdrücke nehmen lassen" (21.03.2024)
Quelle: https://www.lto.de/recht/nachrichten/n/eugh-c6122-personalausweis-fingerabdruck-pflicht-rechtmaessig/

Textaris(txt*bot)

Quote[...] Nach einem Ransomware-Angriff auf die schottische Gesundheitsbehörde "NHS Dumfries and Galloway" haben die Cyberkriminellen erste Daten veröffentlicht.

Wieder einmal gibt es einen ernst zu nehmenden Cybersicherheitsvorfall im Gesundheitssystem des Vereinigten Königreichs. Diesmal in Schottland beim National Health Service (NHS) Dumfries and Galloway, wie bereits Mitte März bekannt wurde. Jetzt sind erste Daten öffentlich. Zu diesen gehören unter anderem vertrauliche Informationen wie psychologische Gutachten aus den Patientenakten. Die Betroffenen werden derzeit über den Vorfall informiert.

Hinter dem Ransomware-Vorfall steckt vermutlich die relativ junge Gruppierung "INC Ransom". Die Bande veröffentlichte am 26. März einen Eintrag auf ihrer Leaksite mit der Drohung, "bald" drei Terabyte an gestohlenen Daten zu veröffentlichen.

Es seien lediglich Daten von einer "kleinen Anzahl an Patienten" veröffentlicht worden, schreibt das NHS Dumfries and Galloway. Potenzielle Betroffene sind neben Erpressung auch maßgeschneiderten Phishing-Attacken ausgesetzt. Es könne allerdings nicht ausgeschlossen werden, dass künftig weitere Daten "durchsickern".

Für alle, die im NHS Dumfries and Galloway registriert sind, haben die Verantwortlichen eine Informationsseite samt FAQ eingerichtet. Auf die Frage, ob die Patientendaten sicher sind, heißt es darin beispielsweise, dass der NHS "immer noch über die Originaldateien verfügt, die nicht geändert oder gelöscht wurden. Einige Informationen wurden kopiert und sind durchgesickert." Die Frage, ob Daten verloren gegangen sind, wird verneint: "Den Angreifern ist es gelungen, Daten aus unseren Systemen zu kopieren – aber die Originaldateien sind immer noch sicher und wurden nicht gelöscht oder verändert".

Die Versorgung sei zudem weiterhin gesichert. Behandlungstermine und ähnliches finden demnach weiterhin statt. Laut eigenen Angaben arbeitet die Gesundheitsbehörde weiterhin mit der schottischen Polizei, dem National Cyber Security Centre und der schottischen Regierung und anderen Behörden zusammen.



Aus: "Nach Cyberangriff auf schottische Gesundheitsbehörde erste Daten veröffentlicht" Marie-Claire Koch (31.03.2024)
Quelle: https://www.heise.de/news/Nach-Cyberangriff-auf-schottische-Gesundheitsbehoerde-erste-Daten-veroeffentlicht-9671652.html