Share this page!

Eva Wolfangel Profile picture
Twitter logo
Jul 18 13 tweets 4 min read
Als ich im Dezember in Kiew war, wurde meine Kreditkarte gesperrt. Das Sicherheitssystem der Bank dachte, ich sei gehackt worden (Ukraine=#Cybercrime!) Dabei hatte ich mit der gleichen Karte den Flug gekauft. Ist die Banken-KI so schlecht? Ich begann zu recherchieren. (Thread)
Auch in meiner Recherche zum #Europol-Scam fiel mir auf, wie schlecht Banken offenbar aufgestellt sind: Eine Frau hatte zehn Mal rund 2000 Euro unter anderem an unbekannte Konten in Singapur überwiesen. Und 20.000 Euro an eine Kryptowährungsbörse. zeit.de/2022/25/telefo… 2/13
Nicht verdächtig, fand die beteiligte Bank sowie der Dienstleister Wise. Obwohl die Frau noch nie ihr gesamtes Geld nach Singapur überwiesen und in Bitcoin investiert hatte. Sowohl die Bank als auch Wise versicherten mir, dass sie ausgefeiltes maschinelles Lernen einsetzen. 3/13
Wieso erkennen diese sogenannten KI-Systeme so eindeutige Muster nicht? Wieso findet eine Banken-KI es verdächtig, wenn ich in die Ukraine reise (trotz vorheriger Flugbuchung), aber nicht, wenn eine Kundin ihr Konto innerhalb kürzester Zeit in Zig Einzelsummen leert? 4/13
Banken wiegelten meine Interviewanfragen ab. Man wolle den Kriminellen doch nicht zu viel verraten. Dabei hatten viele meiner Recherchen gezeigt: Die Kriminellen wissen schon recht gut, wie sie diese Systeme umgehen können. Beispielsweise dieser hier: zeit.de/2021/21/hacker… 5/13
Ich lernte in teils anonymen Gesprächen: Schlechte Systeme sind eine bewusste Entscheidung – weil #Sicherheit aufwendig ist. Für eine KI ist unser „normales Verhalten“ nicht so intuitiv wie für uns. Doch sie muss dieses Verhalten lernen, um Auffälligkeiten zu entdecken. 6/13
(Spannende Nebenerkenntnis: Offenbar hat auch die Pandemie hier vieles durcheinander gebracht, weil sie das Zahlungsverhalten der meisten Menschen komplett verändert hat. Das heißt, das von der KI gelernte „Normal“ galt auf einmal nicht mehr.) 7/13
Das Trainieren eines Sicherheitssystems auf KI-Basis ist umso aufwendiger und damit teurer, umso feingranularer dieses System arbeiten soll. Ab einem gewissen Punkt ist es für die Banken günstiger, verärgerte Kund:innen zu haben und eventuell einen Schaden zu übernehmen. 8/13
Banken entscheiden sich für schlechtere KI-Systeme, weil es sich anders nicht rechnet. Auf dem Schaden bleiben zudem häufig die Kund:innen sitzen, da sich nicht jede:r einen Rechtsbeistand und eine Klage leisten kann.
Und mein Problem in Kiew kostete die Bank gar nichts. 9/13
"Gute Betrugserkennung profiliert die Kunden", sagte mir Martin Wolf vom Computernotfallteam der Sparkassen – und sie sperre eben nicht by default Zahlungen aus bestimmten Ländern, wie meine Bank das tut. Andererseits: Profiling ist auch problematisch (#Datenschutz/Privacy) 10/13
In Kiew hat mich schließlich Paypal gerettet. Ich weiß nicht, wie ich anders nach Hause gekommen wäre. #Paypal hat vermutlich eines der ausgefeiltesten Profiling-Systeme. Der (vermeintliche?) Tradeoff zwischen Privacy und Security ist das Thema eines meiner nächsten Artikel 11/13
Hier ist das Ergebnis meiner Banken-KI-Recherche. Der Text steht hinter der Paywall – ich lege ihn euch trotzdem ans Herz, denn natürlich steht noch mehr Spannendes drin als diese wichtigsten Punkte aus dem Thread. :) 12/13 #machineLearning

zeit.de/digital/datens…
Servicetipp für die Reisezeit: Wenn ihr in Länder mit hoher Kriminalität reist, sagt es eurer Bank vorher. Oder wechselt: Kleinere Banken investieren mehr in die manuelle Prüfung von Verdachtsfällen. Zb rettete eine Genossenschaftsbank ihre Kundin vor dem Europol-Scam (s.Text) 13

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Eva Wolfangel

Eva Wolfangel Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @evawolfangel

Eva Wolfangel Profile picture
Sep 16, 2021
Unternehmen überwachen ihre Mitarbeiter mit Spionage-Software in einer Form, die ich mir nicht hätte träumen lassen. Bei dieser Recherche für @DieZEIT ist mir manchmal echt die Spucke weg geblieben. Ein Thread zeit.de/2021/38/ueberw…
Einer der Startpunkte meiner Recherche über Überwachung am Arbeitsplatz war dieser Film vom Anbieter Securonix, der ja – tatsächlich ernst gemeint ist. Eine Spionagesoftware protokolliert darin jede, wirklich jede Regung eines Mitarbeiters 2/
#surveillance securonix.com/solutions/insi…
Was wirkt wie ein schlechter SciFi-Thriller, findet tatsächlich statt – auch in deutschen Unternehmen. Ein IT-Mitarbeiter der @HypoVereinsbank hat mir berichtet, dass dort unter anderem Securonix eingesetzt wird: „UniCredit hat eine Armada an Überwachungssoftware ausgerollt.“ 3/
Read 12 tweets
Eva Wolfangel Profile picture
Sep 15, 2021
I've been thinking a lot over the past few months about the fine art of science #journalism and communication. How do we reach people? How do we get them thinking? How do we inform them in such a way that they can have a say about our common future as responsible citizens? 1/9
I have discussed this with colleagues, among others from the international science and media Festival @silbersalzhalle. The result is a fantastic conference this Friday and Saturday with incredibly exciting and inspiring examples and case studies of immersive storytelling. 2/9
I can’t wait to hear the keynote by Francesca @franpanetta, one of the first journalists to explore immersive technologies and their potential for communication. She will be opening her treasure box of the richest experiences and puts us on the right path for our future projects.
Read 9 tweets
Eva Wolfangel Profile picture
Jun 25, 2021
Update zur #Doctolib-Recherche: Ich habe eine lange Antwort der Berliner Datenschutzbeauftragten bekommen – unter anderem zur Frage, wieso Doctolib scheinbar damit durchkommt, 45 anstatt mehrere Millionen geleakter Datensätze zu melden. Darüber schreibe ich noch was. Eins vorab:
Die Behörde stehe oft vor dem Problem, dass ethische Hacker:innen zwar technische Dokumentationen von Sicherheitslücken ins Internet stellen, die Lücken selbst aber oft schon geschlossen seien, schreibt mir die Berliner Datenschutzbeauftragte. 2/
"Zudem genügt die technische Dokumentation allein regelmäßig nicht den gesetzlichen Anforderungen an Beweismaterial, sodass sie nur sehr eingeschränkt von der Aufsichtsbehörde verwendet werden kann." (mehr dazu wie gesagt bald) 3/
Read 11 tweets
Eva Wolfangel Profile picture
Jun 23, 2021
Hat #Doctolib nicht bemerkt, dass Millionen privater Datensätze offen im Netz standen? Das legt meine Recherche nahe, in der ich Daten verifizieren konnte. Doctolib gibt zudem weiterhin Patientendaten über Arztbesuche an Google weiter, wie wir zeigen. zeit.de/digital/datens…
Etwas Hintergrund: Eigentlich sollte das eine ganz andere Geschichte werden, in der #Doctolib nur *ein* Beispiel ist. Doch als ich das Unternehmen mit der 150-Millionen-Lücke vom CCC-Congress und den Vorwürfen der Big-Brother-Award-Jury konfrontierte, wurde es seltsam.
Das hier ist der Bericht von @chaosupdates-Mitgliedern media.ccc.de/v/rc3-11342-tu… und das hier das Video vom Big-Brother-Award: digitalcourage.video/videos/watch/8…
Read 9 tweets
Eva Wolfangel Profile picture
Jun 19, 2021
Unglaublich. Komme mir vor wie bei „Täglich grüßt das Murmeltier“

SCHON WIEDER: CSV Injection möglich bei der #LucaApp.
Wer sich fragt, was das bedeutet: in diesem Artikel von Anfang Mai habe ich erklärt, was eine CSV-Injection ist und was die Gefahr für die Gesundheitsämter wäre: zeit.de/digital/datens…
und #LucaApp-CEO Patrick Hennig hat mir schon damals gesagt, es sei nicht möglich. Allerdings
hat @mame82 dann drei Wochen später gezeigt, dass CSV-Injections bei der #LucaApp doch möglich sind und einen Ransomware-Angriff demonstriert: zeit.de/digital/2021-0… Patrick Hennig hat wieder gesagt, das sei gelöst. Drei Wochen später hat @mame82 wieder… [repeat Thread]
Read 4 tweets
Eva Wolfangel Profile picture
May 26, 2021
Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht
Das war im Rahmen dieser Recherche, in der mir Gesundheitsämter sagten, dass sie fürchten, dass die Sicherheitslücken der #LucaApp ihre eigenen Systeme unsicher machen. Genau das ist jetzt passiert, wie @mame82 zeigt.

zeit.de/digital/datens…
Entweder Patrick Hennig hat mich bewusst angelogen, was ich ihm eigentlich nicht unterstellen will. Die andere Erklärung wäre, dass #Luca es in drei Wochen nicht schafft, eine gefährliche Sicherheitslücke zu schließen - und niemanden darüber informiert. Fast noch schlimmer.
Read 11 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(