Newsletter Dezember 2023

Thema: Regulierung KI durch Europaparlament

Das europäische Parlament beschäftigt sich (schon seit einigen Jahren) mit der Erarbeitung von Regeln und Vorgaben zum Einsatz künstlicher Intelligenz.

‚Die Art und Weise, wie wir Künstliche Intelligenz (KI) angehen, wird die Welt definieren, die wir in der Zukunft leben. Um einen Beitrag zum Aufbau eines widerstandsfähigen Europas für die digitale Dekade zu leisten, sollten Menschen und Unternehmen in der Lage sein, die Vorteile von KI zu nutzen und sich gleichzeitig sicher und geschützt zu fühlen.‘

‚Es muss gewährleistet sein, dass die auf dem Unionsmarkt in Verkehr gebrachten und verwendeten KI-Systeme sicher sind und die bestehenden Grundrechte und die Werte der Union wahren.
Zur Förderung von Investitionen in KI und innovativen KI muss Rechts­sicherheit gewährleistet sein.
Governance und die wirksame Durchsetzung des geltenden Rechts zur Wahrung der Grundrechte sowie die Sicherheitsanforderungen an KI-Systeme müssen gestärkt werden ...‘

Mittlererweile sind sie konkreter geworden.

Als allererstes wurden vier verschiedene Risiko-Ebenen definiert:
minimales Risiko, hohes Risiko, inakzeptables Risiko und spezifisches Transparenzrisiko.

Inakzeptables Risiko
Systeme, die als Bedrohung für Menschen gelten

  1. kognitive Verhaltensmanipulation von Personen oder bestimmten gefährdeten Gruppen, zum Beispiel sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kindern fördert;
  2. Soziales Scoring: Klassifizierung von Menschen auf der Grundlage von Verhalten, sozioökonomischem Status und persönlichen Merkmalen;
  3. biometrischen Echtzeit-Fernidentifizierungssystemen, zum Beispiel Gesichtserkennung.

Diese Systeme sollen verboten werden.

Hochrisiko-KI-Systeme
KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen.
Sie enthalten zwei Untergruppen:

  • KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen. Dazu gehören Spielzeug, Luftfahrt, Fahrzeuge, medizinische Geräte und Aufzüge.
  • KI-Systeme, die in folgende Bereiche fallen, und die in einer EU-Datenbank registriert werden müssen;
  • biometrische Identifizierung und Kategorisierung von natürlichen Personen;
  • Verwaltung und Betrieb von kritischen Infrastrukturen;
  • allgemeine und berufliche Bildung;
  • Beschäftigung, Verwaltung der Arbeitnehmer und Zugang zur Selbstständigkeit;
  • Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen;
  • Strafverfolgung;
  • Verwaltung von Migration, Asyl und Grenzkontrollen;
  • Unterstützung bei der Auslegung und Anwendung von Gesetzen

Alle KI-Systeme mit hohem Risiko werden vor dem Inverkehrbringen und während ihres gesamten Lebenszyklus bewertet.

Generative KI
spezifisches Transparenzrisiko. Generative Foundation-Modelle wie ChatGPT müssen zusätzliche Transparenzanforderungen erfüllen:

  • Offenlegung, dass der Inhalt durch KI generiert wurde;
  • Gestaltung des Modells, um zu verhindern, dass es illegale Inhalte erzeugt;
  • Veröffentlichung von Zusammenfassungen urheberrechtlich geschützter Daten, die für das Training verwendet wurden.

Begrenztes Risiko
KI-Systeme mit begrenztem Risiko sollten minimale Transparenz­anforderungen erfüllen, die es den Nutzern ermöglichen, fundierte Entscheidungen zu treffen. Nach der Interaktion mit den Anwendungen kann der Nutzer dann entscheiden, ob er sie weiter verwenden möchte. Die Nutzer sollten darauf aufmerksam gemacht werden, wenn sie mit KI interagieren. Dies gilt auch für KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren (zum Beispiel Deepfakes).

Demnächst werden Regeln für allgemeine KI-Modelle eingeführt.

Wir werden Sie wieder informieren.

Autor: UBI

Quellen:

Europäisches Parlament, abgerufen am 12.12.23
https://www.europarl.europa.eu/news/de/headlines/society/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz

Europäisches Parlament, abgerufen am 17.12.23
https://digital-strategy.ec.europa.eu/de/policies/european-approach-artificial-intelligence

Thema: Zugausfälle bei unseren Nachbarn

Wir haben uns im letzten Jahr schon daran gewöhnt, dass bei der Bundesbahn immer wieder Zugausfälle wegen ‚technischer Störungen‘ vorkommen. Da tröstet es schon, dass dergleichen auch in Polen passiert ...

Allerdings hat man dort - anders als bei uns - eine mögliche Ursache gefunden: Die Ausfälle in Polen waren derartig haüfig vorgekommen, dass der Zugverkehr ernsthaft gestört wurde. Weiniger Züge, kürzere Züge, ...

Hersteller und eigentlich auch Wartungsdienstleister der Züge ist die Firma Newag.

Die Zugreparaturwerkstatt Serwis Pojazdów Szynowych (SPS) suchte verzweifelt nach der Ursache für "mysteriöse Ausfälle", die mehrere Fahrzeuge der polnischen Niederschlesischen Eisenbahn außer Betrieb setzten, wie die polnische Infrastruktur-Fachzeitschrift Rynek Kolejowy berichtete. SPS beauftragte daraufhin Mitglieder einer ethischen Hackergruppe namens Dragon Sector im Juni 2022 die Zugsoftware zu analysieren.

Dragon Sector hat eine Ursache gefunden:
Nach Angaben von Dragon Sector hat Newag einen Code in die Kontrollsysteme der Impuls-Züge eingebaut, welcher den Betrieb verhindert, wenn ein GPS-Tracker anzeigt, dass der Zug mehrere Tage lang in einer unabhängigen Werkstatt abgestellt war. Die Züge "wurden mit der Logik versehen, dass sie sich nicht bewegen würden, wenn sie an einem bestimmten Ort in Polen abgestellt würden, und diese Orte waren die Wartungshalle von SPS und die Hallen anderer ähnlicher Unternehmen in der Branche", behauptete das Team von Dragon Sector. "Sogar eine der SPS-Hallen, die sich noch im Bau befand, wurde berücksichtigt."

Natürlich ist jetzt die Schlammschlacht in Polen im vollen Gange: Verleumdungsklagen und Verletzung von "Hacking-Gesetzen", ... Keiner will es gewesen sein!

Autor: UBI

Quellen:

Heise online, Mysteriöse Ausfälle,… Ashley BelangerArs Technica, abgerufen am 19.12.23
https://www.heise.de/news/Mysterioese-Ausfaelle-Hersteller-blockiert-Zuege-bei-Reparatur-durch-Dritte-9578096.html

Thema: Datenschutzpannen

Bluebrixx:
Bluebrixx ist eine Lego Alternative mit eigenen Läden und einem Online-Shop. Als erstes fielen Merkwürdigkeiten in der IT-Infrastruktur auf. Dann stellte das Unternehmen fest, dass es sich um einen Cyberangriff handeln könnte.

Daten:
Möglicherweise wurden Name, E-Mail-Adresse, Rechnungs- und Liefer­anschrift, bestellte Artikel und die verschlüsselten Passwörter gestohlen. Nicht betroffen waren Kreditkarteninformationen, Bankverbindungen und Paypalkontoinformationen, ...
Also alles, was mit Geld zu tun hat.

Reaktion der Firma:
Information

  • für die Polizei
  • an den des hessischen Landesbeauftragten für Datenschutz und Informationsfreiheit
  • des eigenen externen Datenschutzbeauftragten
  • der Kunden mit der Aufforderung, ihr Passwort für den Online-Shop zu ändern

Ausblick auf die Zukunft:
Die Firma überarbeitet ihre Sicherheitsmaßnahmen, um zukünftige Risiken zu minimieren. Der betroffene Server wurde sofort abgesichert und die Schwachstellen behoben

Easypark:
Mit der Easypark-App bezahlt man das Parken in kostenpflichtigen Park­zonen, ohne wie sonst üblich ein Ticket am Automaten ziehen zu müssen. Unbekannte Angreifer haben IT-Systeme von Easypark erfolgreich attackiert und hatten Zugriff auf Kundendaten. Die Dienste des Anbieters der Parkplatz-App sollen davon nicht beeinträchtigt gewesen sein.

Daten:
Kundendaten wie: Adressen, E-Mail-Adressen, Namen und Telefonnummern. Die Angreifer konnten außerdem einige Ziffern der IBAN- und Kreditkartennummern einsehen. Es gab keine Zugriffe auf Parkdaten, wie Standorte von Autos. Es habe auch keine unberechtigten Parkvorgänge gegeben.

Reaktion der Firma:
Information der zuständigen Behörden

Ausblick auf die Zukunft:
Es werden härtere Sicherheitsmassnahmen eingeführt, um den Datenschutz zu verbessern. Die Kunden wurden vor Phishing-Mails gewarnt, da mit den gestohlenen Daten die Glaubwürdigkeit derartiger Mails gößer wird.

Autor: UBI

Quellen:

Heise online, ’Bluebrixx:…‘, Marie-Claire Koch, abgerufen am 25.12.23
https://www.heise.de/news/Bluebrixx-Cyberangriff-auf-Online-Shop-9581838.html

Heise online, ‚Cyberattacke….‘, Dennis Schirrmacher, abgerufen am 25.12.23
https://www.heise.de/news/Cyberattacke-Angreifer-hatten-Zugriff-auf-Daten-von-Easypark-Kunden-9581191.html

» Zurück zur Newsletter-Übersicht