Don’t duct-tape problems away — Issue #82

Better late than never 😬 Ist er also doch fertig geworden, der Newsletter für diese Woche. Ich hoffe, Ihr hattet ein schönes langes Wochenende, oder mindestens einfach ein schönes Wochenende. Auch wenn das Wetter immer noch nicht so ist, wie es im Mai sein sollte. Ich habe einen Parteitag hinter mir (Respekt an alle Delegierten, die das so krass durchgezogen haben und wirklich aufmerksam sein mussten; das nicht nur am Rande verfolgen konnten), eine Zoom-Hochzeit (selbstredend nicht meine), einen verknacksten Fuß (hingucken wo man hintritt, aua!) und eine Impfung! Yay! Mehr als eine schmerzende und immer noch wie ein Mückenstich geschwollene Einstichstelle habe ich nicht an Nebenwirkungen. Tracke auch alles brav in der SafeVac-App und ich hoffe Ihr auch bzw. habt die App schon bereit für Eure Impfung 🧐Ich sag’s Euch: dieses Gefühl nach der Impfung, das ist krass. Eine ordentliche Portion Erleichterung. Auch, wenn immer noch nicht alles um ist. Bei Weitem nicht. Aber es fiel schonmal ein großer Stein vom Ballast, den man mit sich trägt, herunter. So sehr habe ich Hoffnung noch nie gespürt.

Ansonsten passiert nicht viel Spannendes. Der Wahlkampf geht langsam los und ich freue mich immer mehr darauf. Insbesondere, seit wir seit heute ein wirklich tolles Programm haben. “Ungewohnt progressiv” wurde es genannt, aber ich finde das gar nicht so ungewohnt, dass wir progressive Inhalte haben. Kommen nur — das muss man fairerweise sagen — zu wenig rüber. Aber mit dem neuen Parteivorstand, der auch jünger, weiblicher und — so meine ich — auch progressiver geworden ist, steigt die Laune gleich noch ein bisschen mehr.

Damit wünsche ich Euch einen guten Start in die Woche, lasst es Euch gut gehen.

Ann Cathrin 🍀

— -

Die Arbeit an diesem Newsletter kostet mich einige Stunden an Arbeit. Wenn er Dir gefällt, kannst Du mich gerne mit monatlich 3,50, 5 oder 10 Euro über Steady unterstützen. Ich würde mich freuen, danke!

WHAT TO KNOW

Die Aufnahme der Arbeit der Facebook Oversight Boards habe ich sehr interessiert verfolgt. Noch interessierter die ersten Fälle und Entscheidungen, die ihm vorgelegt wurden, bzw. die es getroffen hat und am meisten — wie die gesamte Weltöffentlichkeit — hat mich die Entscheidung des Oversight Boards über die Verbannung von Donald Trump auf Facebook und Instagram interessiert. Die kam nun und ist hier auch auf Deutsch nachzulesen. In Kürze: Facebooks Entscheidung war rechtmäßig; sie entsprach den Gemeinschaftsstandards der Plattform. Aber Facebook darf nicht einfach auf unbestimmte Zeit verbannen. Die Strafe sei willkürlich gewesen und das Oversight Board hat Facebook nun aufgefordert, innerhalb von sechs Monaten eine Strafe festzulegen und diese auch ordentlich zu begründen. Außerdem empfiehlt das Oversight Board, dass die Plattform keine Unterscheidung zwischen Staatsoberhäuptern und reichweitenstarken Personen machen sollte, denn beide können Schaden verursachen. Es mache keinen Unterschied, welche Funktion sie haben. Facebook ist nicht an die Entscheidungen und Ratschläge des Boards gebunden. Es wäre aber sicher gut beraten, sich an sie zu halten. Alleine schon aus PR-Gründen.

Was das Board so macht, machen soll, machen könnte, ist hier in der ZEIT analysiert worden. Ganz besonders freut mich aber, dass ich bei der Friedrich-Naumann-Stiftung ein Kurzgutachten in Auftrag geben konnte und Dr. Matthias C. Kettemann und Martin Fertmann passend zur Entscheidung die Publikation “Die Demokratie plattformfest machen” veröffentlichen konnten. Darin untersuchen sie die generellen Potentiale von Plattformräten bzw. Social Media Councils. Schauen sich mehrere Ansätze an und betrachten, was diese leisten könnten und was nicht. Wie gesagt — ich finde das ein total spannendes zu diskutierendes Thema im Rahmen der Plattformregulierung. Vor allem, weil es endlich mal weiter, breiter und anders denkt als ständige Diskussionen (hier in Deutschland) die sich fast ausschließlich um Inhalte drehen und ob diese rechtswidrig sind oder nicht. Mit dieser schlichten Diskussion kommt man aber nicht weiter. Wir werden dazu noch mehr machen, also stay tuned 😉

Ich habe Euch mal ein paar Kommentare zur Entscheidung zusammengesucht (irgendwie nicht verwunderlich, dass die alle auf Englisch sind 😬):

  • Virginia Heffernan kritisiert in Wired, dass Trump das System missbraucht hat, das Facebook kreiert hat. Sie ist irritiert davon, dass man Trump nur als einen “Influencer” sieht: “To Facebook, the American president is clearly not a public servant or even a commander-in-chief. He’s an influencer. And he gets his power not from the people but from Facebook and its business model of influencers and followers.” Gerade deshalb hätte das Oversight Board in die Bewertung des Vorfalls auch nicht lediglich den Zeitpunkt und den Inhalt bewerten müssen. Die Einbeziehung der Funktionsweise der Plattform würde völlig außer Acht gelassen werden: “It did not mention the dynamics, the business model, or the tools of social media, Instagram and Facebook, even once.”
  • Kelsey D. Atherton schreibt für die Washington Post, dass das Oversight Board nur eine Maßnahme von Facebook sei, um sich staatlicher Regulierung zu entziehen (das darf natürlich nicht sein und darum geht es auch im unten verlinkten Paper): “It is in Facebook’s interest to ensure that doesn’t happen, and the best way to do so might be to pass itself off as a sovereign power in its own right. By dramatically appealing to the arbitration of the Oversight Board, it is attempting to achieve just that.” Kein Wunder also, dass er sagt, dass das Oversight Board nicht ausreicheund es staatliche Regulierung brauche: “Without being legally obligated to change by an existing government, it is hard to see how any decision from the Oversight Board will cause Facebook to alter its behavior.”
  • Jillian York kommentiert für Politico, dass es nicht funktioniere, dass sich Plattformen wie Facebook vornehmlich an US-Recht und insbesondere deren Auslegung von Meinungsfreiheit halten: “an international platform like Facebook needs to take into account the needs of its worldwide user base. This means relying on existing international standards — codified in the International Covenant on Civil and Political Rights — and taking into account the changing global landscape and needs of its users through a process of truly inclusive policymaking.” Sie plädiert für etwas, das auch als Mindermeinung mit dem Oversight Board Urteil veröffentlicht wurde: “Real progress will occur only when Facebook takes human rights into account throughout the entirety of its operations.”
  • Marietje Schaake weist in der Los Angeles Times auf das hin, das sich das Facebook Oversight Board nicht angesehen hat bei der Urteilsfindung und -begründung: “let’s look at what was not investigated by the Oversight Board — and, in fact, cannot be investigated by the board’s own mandate: algorithmic amplification, groups and advertisements. The real engines behind Facebook’s societal harms are totally outside the board’s scope. It is not just public posts that may contain harmful or illegal content. In fact, the insurrection of the Capital was planned in large part on closed Facebook groups, and to this day it is a place where white supremacists meet and plot.” Sie erinnert daran, dass Selbstregulierung nicht ausreicht: “It is critical that rigorous oversight with truly independent assessment of compliance — built around data protection and transparency and designed with the public interest in mind — be put into place. If the Oversight Board’s ruling has done anything at all, it has reminded us of this urgent need.”
  • Janosch Delcker erinnert für die Deutsche Welle daran, dass die Entscheidungen des Oversight Boards nicht bindend sind. Und dass sie eigentlich auch Auswirkungen auf andere Staatsoberhäupter haben müssten, die ebenso wie Trump agitieren: “If Facebook’s leadership decides to follow their advice, this could have consequences for politicians like Brazil’s far-right President Jair Bolsonaro, who has used the platform to spread racist comments about Indigenous people. It’s a big “if.” The Facebook oversight board, a group of 20 technology experts ranging from lawyers to journalists, only started hearing cases in last October. And while it has the power to overturn earlier content decisions like the suspension of Trump’s account, it can only give non-binding recommendations when it comes to changing Facebook’s ongoing content moderation practices.”
  • Die Organisation ARTICLE 19 verweist nochmal auf ein grundsätzliches Problem: “This decision does not replace the need for systemic solution, beyond Facebook, that acknowledges the fundamental problem of social media business models. Otherwise, democracy itself remains vulnerable.”

Plattformräte: Die Demokratie plattformfest machenwww.freiheit.org

Ich habe schon mehrfach gefordert, dass Social-Media-Plattformen Content-Moderator:innen vor Ort bzw. in den Regionen beschäftigen müssen und auch transparent darlegen müssten, wie viele sie dort beschäftigen. Aus einem ganz einfachen Grund: Sprache und die Region, in der sie gesprochen werden, bedingen sich. Nur weil man einer Sprache mächtig ist, heißt man noch nicht, dass man zum Beispiel Redewendungen verstehen kann. Damit besser moderiert werden kann, sollten also Menschen aus dem Kulturraum in dem Kulturraum sitzen. Nach dem Lesen dieses Textes habe ich aber gemerkt, dass das gar nicht so einfach ist und solch eine Forderung ziemlich komplexe Probleme mit sich bringt. Denn Content-Moderator:innen bzw. Menschen, die für die Plattformen (und andere Telekomunternehmen oder Diensteanbieter) arbeiten, sind in vielen Ländern gefährdet.

Governments have already used similar strategies to exert control over internet service providers. In January 2011, during the lead-up to the Arab Spring, the Egyptian government sent forces armed with machine guns to the offices of Mobinil, an ISP majority owned by the French telecom giant Orange. They had already pressured the company into shutting off the internet and wanted it to send out a message in support of then-president Hosni Mubarak to all its customers. Faced with threats to its staff, the company complied with the orders, but insisted the message be attributed to the military.

Auch aktuell stehen Mitarbeiter:innen in Indien enorm unter Druck:

In February, India became the latest nation to put in place a law addressing social media companies. The government announced new regulations requiring they each appoint a “grievance officer,” someone who officials can contact directly about posts they want removed. Beforehand, some social media companies were already wary about the safety of their employees in India. Weeks earlier, Twitter took down over 500 accounts that criticized President Narendra Modi’s government, reportedly because it feared that staff in the country could be imprisoned otherwise.

Staaten wie dir Türkei zwingen mittlerweile Plattformen, bei sich im Land ein Büro aufzumachen und dort Menschen zu beschäftigen.

Akdeniz said that YouTube and TikTok have established shell companies in Turkey with board members, based outside the country, who will act as their Turkish representatives. He suspects that other companies may use similar setups to protect their employees, who are likely to be hesitant or unwilling to work on the ground.

“It would be impossible for anyone to accept such a job because there will be threats if they decide not to comply with the [government’s] decisions,” said Akdeniz. “That person’s life might be in danger, or that person, or persons, might be facing criminal investigations and prosecutions, or the company office might be raided.”

Die Türkei beruft sich übrigens auf das NetzDG, das vorgibt, dass im eigenen Land zumindest Zustellungsbevollmächtigte sein müssen. Was ja prinzipiell sehr richtig ist.

“To convince people in countries like Turkey, it’s always better to say, ‘We are only doing what Germany’s doing,’” said Akdeniz.

Over the past few years, a number of countries have used NetzDG as inspiration for their own efforts to curb online freedoms, according to a report from the human rights think tank Justitia.

Was die Lösung ist? Ich weiß es noch nicht. Aber das Thema Arbeitsbedingungen von Content-Moderator:innen sollte uns dringend stärker beschäftigen. Wir wollen ja auch guten Gründen dort Menschen sitzen haben und keine Algorithmen. Daher müssen uns dringend die Menschen interessieren.

New laws requiring social media platforms to hire local staff could endanger employeesrestofworld.org

Für die, die immer noch denken, dass nur in Europa reguliert werden würde und wir uns damit bei den Zukunftsthemen alles kaputt machen würden: Keine Sorge. Selbst die USA und sogar China packen mittlerweile die ganz großen Regulierungsthemen an, weil sie merken, dass es dringend Regulierung der Tech-Konzerne braucht. Nur, die Beweggründe sind doch teils gravierend unterschiedlich:

Around the world, governments are moving simultaneously to limit the power of tech companies with an urgency and breadth that no single industry had experienced before. Their motivation varies. In the United States and Europe, it is concern that tech companies are stifling competition, spreading misinformation and eroding privacy; in Russia and elsewhere, it is to silence protest movements and tighten political control; in China, it is some of both.

Nicht so unterschiedlich ist aber die Sorge Chinas vor Tech-Monopolen. Die großen Konzerne wie Alibaba, Tencent und ByteDance sind einfach so gigantisch groß geworden, mit so viel Einfluss, dass die Parteiführung Angst hat, dass der Einfluss der Unternehmen zu groß und nicht mehr kontrollierbar wird.

Auch, wenn die Regulierung dieser Konzerne und ihre Plattformen dringend Regulierung bedürfen, so wird es doch für eine Balkanisierung des Internets sorgen. Viele Regionen mit unterschiedlichen Regeln. Das entspricht dann nicht mehr dem Grundgedanken, den das Internet mit sich brachte. Dass es anders möglich ist, dass wir die Utopie des Internets jemals realisieren können, daran glaube ich mit Staaten wie China, Russland und Iran nicht. Aber es zeigt, dass es umso dringender notwendig ist, dass sich größere Gemeinschaften zusammenschließen und für sich einen Regulierungsrahmen aushandeln. Größer noch als die Europäische Union, am besten gehen die größten Demokratien zusammen und legen etwas vor, dem sich dann auch Staaten anschließen können, die noch nicht die Kraft haben, sich eigene Regularien zu geben, weil die Demokratie noch zu jung und frisch ist und andere Themen bislang wichtiger waren.

A Global Tipping Point for Reining In Tech Has Arrived — The New York Timeswww.nytimes.com

Wie fragil unsere Welt ist, das sollte uns diese Pandemie vor Augen geführt haben. Während der Pandemie gab es auch immer mehr Cyberangriffe auf Infrastruktur, Krankenhäuser und eklatante Sicherheitslücken wurden gefunden. Cybersicherheit, immer noch viel zu unterschätzt, viel zu wenig Thema und irgendwie gehts ja noch. Als wäre alles mit Duct-Tape zusammengehalten.

And we are also surrounded by “technical debt,” programs that work but were written quickly, sometimes decades ago, and were never meant to scale to the degree that they have. We don’t mess with these rickety layers, because it would be very expensive and difficult, and could cause everything else to crumble. That means there is a lot of duct tape in our code, holding various programs and their constituent parts together, and many parts of it are doing things they weren’t designed for.

Es gibt kaum oder zu wenig Regularien, die Unternehmen dazu bringen, sichere Produkte anzubieten (siehe auch unten den Gorillas-Fall). Unsere Infrastruktur ist irgendwie mal mitgewachsen und in großen Teilen noch gar nicht darauf vorbereitet, dass Cyberangriffe nicht nur leichter möglich sind, sie sind auch noch lohnenswerter. Denn Ransomware-Attacken mit Lösegeldforderungen müssen heute mit Kryptowährungen bezahlt werden. Geld, dass man nicht zurückverfolgen kann und damit alle Mechanismen der alten Welt umgehen, die Geldwäsche etc. verhindern bzw. aufdecken sollen.

Ganz aktuell sind ja zwei Fälle wieder in der Presse: Eine Pipeline in den USA, die Oper eines Cyberangriffs geworden ist und weswegen Menschen reihenweise Benzin horten. Und das irische Gesundheitssystem ist ebenfalls angegriffen worden und Opfer von Ransom-Software. In den unten verlinkten Artikel fragt Zeynep Tufekci zu Recht, ob wir eigentlich genügend lernen — sowohl aus solchen Angriffen, als auch aus den Pandemien (COVID19 ist ja bei weitem nicht die erste, auch nicht in jüngster Zeit). Und sie kommt zu dem Schluss, dass wir es nicht tun: “All of this is to say, just like with technical debt, duct-taping our way out of the immediate crisis does not address the fundamental problems.”

Ransomware Attacks Are Only Going to Get Worse — The Atlanticwww.theatlantic.com

Wie wenig einfach auf Cybersicherheit, leider auch gerade bei Startups gesetzt wird, zeigt der Fall Gorillas. Die App, mit der man sich Supermarktlieferungen in nur wenigen Minuten nach Hause liefern kann, hatte eine eklatante Sicherheitslücke, die das Zerforschungsteam veröffentlicht hat. Relativ einfach konnten sie auf zig Daten von Kund:innen und deren Adressen und Bestellungen zugreifen. Na, letztens am Abend wieder einen Schoko-Fressflasch gehabt? Mir doch egal, hab ja nichts zu verbergen, wen interessierts, was ich im Supermarkt kaufe, mag da wieder der eine oder andere denken. Ja, gut, darauf mag ich gerade nicht abermals eingehen, aber vielleicht zeigt ja das Beispiel von Zerforschung, warum diese Daten in Kombination so gefährlich sein können:

Diese ganzen Daten bilden zusammen mit dem Sendgrid-Zugriff die Grundlage für ein extrem perfides Angriffsszenario. Bei E-Mails soll man nicht nur darauf achten, ob der Absender plausibel aussieht, sondern auch, ob man beispielsweise mit richtigem Namen angesprochen wird, um sicher zu gehen, dass es sich dabei nicht um Phishing-E-Mails handelt.

Wir haben aber beides in der Hand: Wir kennen die Daten aller Kund*innen samt ihrer Bestellungen und können E-Mails im Namen von Gorillas schreiben.

Jetzt stellen wir uns eine E-Mail an alle Gorillas-Kund*innen mit sinngemäß diesem Inhalt vor:

Hallo Alex Mustermensch, 🦍❤️

Du hast am 01.01.1970 bei uns für 23.42€ an die Adresse “Musterstraße 123, 00000 Musterstadt” bestellt. Dafür hast du deine Kreditkarte mit dem Ablaufdatum 13/37 benutzt. Leider wurde die Zahlung von unserem Zahlungsdienstleister storniert. Deswegen müssen wir dich bitten, deine Rechnung zu begleichen.

Die Zahlung kannst du bequem unter folgendem Link tätigen: ich-stehle-deine-kreditkartendaten‎.de/payment/{Bestellnummer}

Hier findest du noch einmal eine Auflistung aller von dir bestellten Produkte:

Da die Domains gorlllas.io und goriilas.io noch frei sind, würden sich hier sogar vertraut aussehende Domains für die Zahlung nutzen lassen. Allerdings sind es Menschen mittlerweile sowieso gewöhnt, auf verschiedenste Zahlungsanbieter umgeleitet zu werden.

Fest steht: Wir würden drauf reinfallen.

Auch ihre Schlussfolgerung und Forderung kann ich nur mehrfach dick unterstreichen:

Dass selbst bei Investitionen von dreistelligen Millionenbeträgen die IT-Sicherheit nicht ansatzweise geprüft wird5, überrascht uns nun ein weiteres Mal. Wir hätten erwartet, dass Investor*innen bei solchen Beträgen doch etwas mehr Sorgfalt bei der Auswahl ihrer Investitionsziele walten lassen. Denn die Konkurrenz soll sicher auch nicht wissen, welche Produkte wo besonders gut laufen.

Dabei hat IT-Sicherheit das Problem vieler Präventionsmaßnahmen: Je besser sie ist, desto weniger sieht man ihren Nutzen. Erst wenn das Kind in den Brunnen, oder die zerforschung in die Datenbank gefallen ist, merkt man, dass da etwas gefehlt hat. Sobald die Brunnen und Datenbanken ausreichend gesichert sind, merkt niemand etwas davon — weil ja alles richtig, reibungslos und leise läuft.

Gleichzeitig lässt sich IT-Sicherheit oft nicht so gut vermarkten wie neue Features6 und es fehlen auch etwas die finanziellen Anreize. Die DSGVO erlaubt empfindliche Strafen für solche Datenschutzverletzungen. Jetzt sind die Datenschutzbehörden an der Reihe, diese auch auszusprechen, damit Unternehmen in Zukunft noch einen Grund mehr haben, auf ihre Sicherheit zu achten.

Man braucht Startups nicht mit übermäßigen Regularien kaputt regulieren und am Wachsen hindern. Aber IT-Sicherheit sind nun mal Basics. Ich darf auch als neues Bauunternehmen nicht einfach pfuschen und mich an Brandschutzauflagen etc. bei meinem ersten Neubau nicht dran halten, weil ich ja einfach noch ein junges Unternehmen im Wachstum bin. Hier braucht es mehr Rechtsdurchsetzung beim Datenschutz und vor allem mehr Druck aus der Gesellschaft. Dass das alle immer nur mit einem Achselzucken goutieren, irritiert mich doch regelmäßig sehr.

Gorillas: Einhornaufschnitt, 150g, im Angebot 🦍❤️ — zerforschungzerforschung.org

Noch nicht überzeugt, warum Staatstrojaner bzw. die Quellen-Telekommunikationsüberwachung schlecht ist? Keine Ahnung was der Unterschied zwischen Quellen-TKÜ und Online-Durchsuchung ist? Und war nicht die SPD eigentlich dagegen, dass auch die Nachrichtendienste den Staatstrojaner bekommen sollen? Warum sie vor der Union eingeknickt ist und die Antworten zu den anderen Fragen, gibts in diesen FAQ. Hilft auch zur Schärfung der Argumente, wenn man schon überzeugt ist, dass der Staatstrojaner ziemlicher Mist ist.

Warum Sie Online-Überwachung immer noch interessieren solltewww.zeit.de

WHAT TO HEAR

Die Krise des Liberalismus — Populismus als Symptom eines politischen Paradigmenwechselswww.deutschlandfunk.de
Der Liberalismus steckt derzeit in der Krise. Der Soziologe Andreas Reckwitz interpretiert dies als Zeitenwende, in der sich ein neues politisches Paradigma herausbilden könnte.

WHAT TO WATCH

[UN-]SOCIAL — Warum soziale Medien unsere Gesellschaft bedrohen — ZDFmediathekwww.zdf.de
Wie konnte aus einer Idee, die unser Leben verbessern sollte, ein Ort werden, der uns schadet?

WHAT TO STREAM

Krieg mit anderen Mitteln Ist die Bundeswehr für den Umgang mit Desinformationen gewappnet?

shop.freiheit.org

Am 20. Mai 2021, 20 Uhr

Mit Dr. Marie-Agnes Strack-Zimmermann MdB, Vizeadmiral Dr. Thomas Daum, Inspekteur Kommando CIR und Paul Strobl, Autor der gleichnamigen Studie. Ich moderiere.

WHAT TO READ

WHAT I LIKED

SHARE IT!

Ich freue mich, wenn Du diesen Newsletter weiterleitest oder ihn auf Deinen Social-Media-Kanälen teilst! Ebenso freue ich mich, wenn Du mich und meine Arbeit mit monatlich 3,50, 5 oder 10 Euro über Steady unterstützen magst.

chairwoman @loadev | digital policy & civil rights | www.anncathrinriedel.de

chairwoman @loadev | digital policy & civil rights | www.anncathrinriedel.de