Als ich im Dezember in Kiew war, wurde meine Kreditkarte gesperrt. Das Sicherheitssystem der Bank dachte, ich sei gehackt worden (Ukraine=#Cybercrime!) Dabei hatte ich mit der gleichen Karte den Flug gekauft. Ist die Banken-KI so schlecht? Ich begann zu recherchieren. (Thread)
Auch in meiner Recherche zum #Europol-Scam fiel mir auf, wie schlecht Banken offenbar aufgestellt sind: Eine Frau hatte zehn Mal rund 2000 Euro unter anderem an unbekannte Konten in Singapur überwiesen. Und 20.000 Euro an eine Kryptowährungsbörse. zeit.de/2022/25/telefo… 2/13
Nicht verdächtig, fand die beteiligte Bank sowie der Dienstleister Wise. Obwohl die Frau noch nie ihr gesamtes Geld nach Singapur überwiesen und in Bitcoin investiert hatte. Sowohl die Bank als auch Wise versicherten mir, dass sie ausgefeiltes maschinelles Lernen einsetzen. 3/13
Wieso erkennen diese sogenannten KI-Systeme so eindeutige Muster nicht? Wieso findet eine Banken-KI es verdächtig, wenn ich in die Ukraine reise (trotz vorheriger Flugbuchung), aber nicht, wenn eine Kundin ihr Konto innerhalb kürzester Zeit in Zig Einzelsummen leert? 4/13
Banken wiegelten meine Interviewanfragen ab. Man wolle den Kriminellen doch nicht zu viel verraten. Dabei hatten viele meiner Recherchen gezeigt: Die Kriminellen wissen schon recht gut, wie sie diese Systeme umgehen können. Beispielsweise dieser hier: zeit.de/2021/21/hacker… 5/13
Ich lernte in teils anonymen Gesprächen: Schlechte Systeme sind eine bewusste Entscheidung – weil #Sicherheit aufwendig ist. Für eine KI ist unser „normales Verhalten“ nicht so intuitiv wie für uns. Doch sie muss dieses Verhalten lernen, um Auffälligkeiten zu entdecken. 6/13
(Spannende Nebenerkenntnis: Offenbar hat auch die Pandemie hier vieles durcheinander gebracht, weil sie das Zahlungsverhalten der meisten Menschen komplett verändert hat. Das heißt, das von der KI gelernte „Normal“ galt auf einmal nicht mehr.) 7/13
Das Trainieren eines Sicherheitssystems auf KI-Basis ist umso aufwendiger und damit teurer, umso feingranularer dieses System arbeiten soll. Ab einem gewissen Punkt ist es für die Banken günstiger, verärgerte Kund:innen zu haben und eventuell einen Schaden zu übernehmen. 8/13
Banken entscheiden sich für schlechtere KI-Systeme, weil es sich anders nicht rechnet. Auf dem Schaden bleiben zudem häufig die Kund:innen sitzen, da sich nicht jede:r einen Rechtsbeistand und eine Klage leisten kann.
Und mein Problem in Kiew kostete die Bank gar nichts. 9/13
"Gute Betrugserkennung profiliert die Kunden", sagte mir Martin Wolf vom Computernotfallteam der Sparkassen – und sie sperre eben nicht by default Zahlungen aus bestimmten Ländern, wie meine Bank das tut. Andererseits: Profiling ist auch problematisch (#Datenschutz/Privacy) 10/13
In Kiew hat mich schließlich Paypal gerettet. Ich weiß nicht, wie ich anders nach Hause gekommen wäre. #Paypal hat vermutlich eines der ausgefeiltesten Profiling-Systeme. Der (vermeintliche?) Tradeoff zwischen Privacy und Security ist das Thema eines meiner nächsten Artikel 11/13
Hier ist das Ergebnis meiner Banken-KI-Recherche. Der Text steht hinter der Paywall – ich lege ihn euch trotzdem ans Herz, denn natürlich steht noch mehr Spannendes drin als diese wichtigsten Punkte aus dem Thread. :) 12/13 #machineLearning
Servicetipp für die Reisezeit: Wenn ihr in Länder mit hoher Kriminalität reist, sagt es eurer Bank vorher. Oder wechselt: Kleinere Banken investieren mehr in die manuelle Prüfung von Verdachtsfällen. Zb rettete eine Genossenschaftsbank ihre Kundin vor dem Europol-Scam (s.Text) 13
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Unternehmen überwachen ihre Mitarbeiter mit Spionage-Software in einer Form, die ich mir nicht hätte träumen lassen. Bei dieser Recherche für @DieZEIT ist mir manchmal echt die Spucke weg geblieben. Ein Thread zeit.de/2021/38/ueberw…
Einer der Startpunkte meiner Recherche über Überwachung am Arbeitsplatz war dieser Film vom Anbieter Securonix, der ja – tatsächlich ernst gemeint ist. Eine Spionagesoftware protokolliert darin jede, wirklich jede Regung eines Mitarbeiters 2/ #surveillancesecuronix.com/solutions/insi…
Was wirkt wie ein schlechter SciFi-Thriller, findet tatsächlich statt – auch in deutschen Unternehmen. Ein IT-Mitarbeiter der @HypoVereinsbank hat mir berichtet, dass dort unter anderem Securonix eingesetzt wird: „UniCredit hat eine Armada an Überwachungssoftware ausgerollt.“ 3/
I've been thinking a lot over the past few months about the fine art of science #journalism and communication. How do we reach people? How do we get them thinking? How do we inform them in such a way that they can have a say about our common future as responsible citizens? 1/9
I have discussed this with colleagues, among others from the international science and media Festival @silbersalzhalle. The result is a fantastic conference this Friday and Saturday with incredibly exciting and inspiring examples and case studies of immersive storytelling. 2/9
I can’t wait to hear the keynote by Francesca @franpanetta, one of the first journalists to explore immersive technologies and their potential for communication. She will be opening her treasure box of the richest experiences and puts us on the right path for our future projects.
Update zur #Doctolib-Recherche: Ich habe eine lange Antwort der Berliner Datenschutzbeauftragten bekommen – unter anderem zur Frage, wieso Doctolib scheinbar damit durchkommt, 45 anstatt mehrere Millionen geleakter Datensätze zu melden. Darüber schreibe ich noch was. Eins vorab:
Die Behörde stehe oft vor dem Problem, dass ethische Hacker:innen zwar technische Dokumentationen von Sicherheitslücken ins Internet stellen, die Lücken selbst aber oft schon geschlossen seien, schreibt mir die Berliner Datenschutzbeauftragte. 2/
"Zudem genügt die technische Dokumentation allein regelmäßig nicht den gesetzlichen Anforderungen an Beweismaterial, sodass sie nur sehr eingeschränkt von der Aufsichtsbehörde verwendet werden kann." (mehr dazu wie gesagt bald) 3/
Hat #Doctolib nicht bemerkt, dass Millionen privater Datensätze offen im Netz standen? Das legt meine Recherche nahe, in der ich Daten verifizieren konnte. Doctolib gibt zudem weiterhin Patientendaten über Arztbesuche an Google weiter, wie wir zeigen. zeit.de/digital/datens…
Etwas Hintergrund: Eigentlich sollte das eine ganz andere Geschichte werden, in der #Doctolib nur *ein* Beispiel ist. Doch als ich das Unternehmen mit der 150-Millionen-Lücke vom CCC-Congress und den Vorwürfen der Big-Brother-Award-Jury konfrontierte, wurde es seltsam.
Wer sich fragt, was das bedeutet: in diesem Artikel von Anfang Mai habe ich erklärt, was eine CSV-Injection ist und was die Gefahr für die Gesundheitsämter wäre: zeit.de/digital/datens…
und #LucaApp-CEO Patrick Hennig hat mir schon damals gesagt, es sei nicht möglich. Allerdings
hat @mame82 dann drei Wochen später gezeigt, dass CSV-Injections bei der #LucaApp doch möglich sind und einen Ransomware-Angriff demonstriert: zeit.de/digital/2021-0… Patrick Hennig hat wieder gesagt, das sei gelöst. Drei Wochen später hat @mame82 wieder… [repeat Thread]
Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht
Das war im Rahmen dieser Recherche, in der mir Gesundheitsämter sagten, dass sie fürchten, dass die Sicherheitslücken der #LucaApp ihre eigenen Systeme unsicher machen. Genau das ist jetzt passiert, wie @mame82 zeigt.
Entweder Patrick Hennig hat mich bewusst angelogen, was ich ihm eigentlich nicht unterstellen will. Die andere Erklärung wäre, dass #Luca es in drei Wochen nicht schafft, eine gefährliche Sicherheitslücke zu schließen - und niemanden darüber informiert. Fast noch schlimmer.