Ich habe mich SCHON WIEDER in fremde #Webex-Konferenzen eingeklinkt, diesmal bei einer deutschen Behörde (dem BAMF) und einer Krankenkasse. Und wenn ihr jetzt denkt, das hier ist "Und täglich grüßt das Murmeltier" kann ich nur sagen: Es ist noch schlimmer. 1/
#cybersecurity
Diesmal waren vermutlich alle Webex-Kund:innen betroffen (also nicht mehr nur OnPremise), wir haben zehntausende Meetings europäischer Behörden - von Bundeskanzleramt bis BSI - und Unternehmen offen im Netz gefunden und viele waren ohne Passwort-Schutz. 2/
Feb 9, 2023 • 4 tweets • 1 min read
Frage ans #TeamDatenschutz: Darf mir ein Gericht einfach so Namen, Adressen und jede Menge anderer Daten von indirekt Beteiligten eines Verfahrens zuschicken? Diese alle (und ich) sind nur "Objekte" eines Streits zweier Parteien (nämlich der Rentenversicherung und eines Verlags).
(ich habe nicht danach gefragt, ich wusste nicht einmal, dass dieses Verfahren überhaupt läuft - bis ich ein Paket des Sozialgerichts erhielt mit den privaten Daten zig anderer freier Journalist:innen und Details zu deren Arbeits(nicht)verhältnis beim betreffenden Verlag.)
Jan 20, 2023 • 13 tweets • 4 min read
Thread zur aktuellen Recherche (€): @ReneReh1 und ich haben den Unis und Hochschulen auf den Zahn gefühlt. Das Ergebnis ist erschreckend: Wir haben viele kritische Sicherheitslücken gefunden. Und Daten, die wirklich niemand zu Gesicht bekommen sollte. zeit.de/2023/04/it-sic…
Wir haben 73 Hochschulen getestet - die Wikipedia-Liste aller dt Hochschulen, sortiert nach Größe. Eine erste kühne Idee war, alle 421 zu testen. Aber die Recherche lief völlig aus dem Ruder, weil 15 der ersten 73 (jede fünfte Uni!) schon teils massive Sicherheitslücken aufwiesen
Nov 16, 2022 • 5 tweets • 2 min read
Hatte übrigens gerade Kontakt mit einer #OZG-Leistung und kann nur sagen: Die macht alles sehr viel komplizierter als es vorher war. Usability: Zero. Nutzen für andere außer der Verwaltung: minus 10.
Haha ok, ich sehe schon, ihr wollt es genauer wissen. Ich musste eine Rechnung an eine Behörde stellen (für eine Moderation). Dafür drei Seiten Formular, Millionen Felder, teilweise unklar, was da rein muss. Alle nötigen Angaben habe ich natürlich auf meinem Rechnungsformular -
Nov 6, 2022 • 10 tweets • 3 min read
Sonntag! Zeit für die langen nachdenklicheren Texte. Dieser ist mir heute hängen geblieben, kann ich empfehlen: "Ziviler Ungehorsam ist also schon Klima-Terrorismus", schreibt @berndulrich - und warnt vor der Aggressivität der Vertreter solcher Argumente. zeit.de/2022/45/klimab…
"Zunächst mal müsste man sich von der Rechtsbruch-ist-Rechtsbruch-Apodiktik verabschieden und von dem Wort kriminell. Habermas hat schon vor vier Jahrzehnten die Redeweise, wie sie jetzt von Söder, Buschmann und vielen anderen wieder geübt wird, "autoritären Legalismus" genannt."
Oct 10, 2022 • 6 tweets • 4 min read
Mich würde ernsthaft interessieren, wieso so viele seriöse Unternehmen in einem dubiosen #Cyber-Verein mit offenbar schon länger gut belegten Kontakten zum russischen Geheimdienst sind. Was übersehe ich? (vertrauliche Hinweise gerne auch per Threema oder Signal). #cyberclown
Ich habe inzwischen knapp 20 dieser Mitglieder gefragt - und teils interessante Antworten erhalten (demnächst auf @zeitonline). Eine Strategie des #Cybersicherheitsrat scheint auch zu sein, möglichst "große Namen" auf der Webseite zu zeigen, um seriöser zu wirken. Dabei ist es
Aug 23, 2022 • 4 tweets • 2 min read
Ein Vater macht im Auftrag der Kinderärtzin ein Foto seines nackten Kleinkinds. Sein Google-Account wird gesperrt, alle Daten gelöscht, die Polizei ermittelt. Solche Fälle werden sich auch hier häufen mit der #Chatkontrolle. Meine Analyse für @zeitonline: zeit.de/digital/datens…
Der Vater hatte das Bild nicht mittels Google-Diensten geteilt, sondern über die App der Kinderklinik. Das Foto wurde vom Android-Handy automatisch in Google Photos geladen und gescreent. Obwohl der Vater Google die Kommunikation mit der Ärztin zeigte, blieb sein Account gesperrt
Jul 27, 2022 • 5 tweets • 3 min read
In der SZ schreibt ein alarmistischer Feuilletonist Social Scoring in Bayern herbei. Es geht um einen freiwilligen Öko-Token. "Mit Hilfe digitaler Technologien manipuliert der Staat das Verhalten seiner Bürger."sueddeutsche.de/kultur/soziale… Wie kann der Staat uns nur manipulieren??! 1/
Tut er doch auch sonst nicht, mit Subventionen, Steuern, Strafen. Äh oder? Dass der Staat seine Bürger "manipuliert", ist ein alter Hut. Ohne Ehegattensplitting würden hunderttausende mehr Frauen Vollzeit arbeiten. Dank Elternzeit verbringen Väter 2 Monate Zeit mit ihren Kids. 2/
Jul 26, 2022 • 8 tweets • 3 min read
Ok ich habe neue Erkenntnisse über die neue @DB_Bahn -KI. Nicht aus der Innensicht, wie erhofft, denn die KI arbeitet mit Menschen, die aus Covid-Gründen gerade keine Journalist:innen treffen dürfen. Aber die smarte Mustererkennung in meinem Gehirn hat ein sehr klares Bild: ein🧵
Die neuen Bahn-KI ist sehr spontan. Sie lebt im Moment. Wenn sie sieht: Von #Heidelberg nach #Stuttgart fährt gerade nichts, weil alles entweder verspätet ist oder sowieso ausfällt, dann zaubert sie kurzfristig einen ICE aus Hamburg nach Heidelberg, der eigentlich
Jul 18, 2022 • 13 tweets • 4 min read
Als ich im Dezember in Kiew war, wurde meine Kreditkarte gesperrt. Das Sicherheitssystem der Bank dachte, ich sei gehackt worden (Ukraine=#Cybercrime!) Dabei hatte ich mit der gleichen Karte den Flug gekauft. Ist die Banken-KI so schlecht? Ich begann zu recherchieren. (Thread)
Auch in meiner Recherche zum #Europol-Scam fiel mir auf, wie schlecht Banken offenbar aufgestellt sind: Eine Frau hatte zehn Mal rund 2000 Euro unter anderem an unbekannte Konten in Singapur überwiesen. Und 20.000 Euro an eine Kryptowährungsbörse. zeit.de/2022/25/telefo… 2/13
Sep 16, 2021 • 12 tweets • 4 min read
Unternehmen überwachen ihre Mitarbeiter mit Spionage-Software in einer Form, die ich mir nicht hätte träumen lassen. Bei dieser Recherche für @DieZEIT ist mir manchmal echt die Spucke weg geblieben. Ein Thread zeit.de/2021/38/ueberw…
Einer der Startpunkte meiner Recherche über Überwachung am Arbeitsplatz war dieser Film vom Anbieter Securonix, der ja – tatsächlich ernst gemeint ist. Eine Spionagesoftware protokolliert darin jede, wirklich jede Regung eines Mitarbeiters 2/ #surveillancesecuronix.com/solutions/insi…
Sep 15, 2021 • 9 tweets • 6 min read
I've been thinking a lot over the past few months about the fine art of science #journalism and communication. How do we reach people? How do we get them thinking? How do we inform them in such a way that they can have a say about our common future as responsible citizens? 1/9
I have discussed this with colleagues, among others from the international science and media Festival @silbersalzhalle. The result is a fantastic conference this Friday and Saturday with incredibly exciting and inspiring examples and case studies of immersive storytelling. 2/9
Jun 25, 2021 • 11 tweets • 4 min read
Update zur #Doctolib-Recherche: Ich habe eine lange Antwort der Berliner Datenschutzbeauftragten bekommen – unter anderem zur Frage, wieso Doctolib scheinbar damit durchkommt, 45 anstatt mehrere Millionen geleakter Datensätze zu melden. Darüber schreibe ich noch was. Eins vorab:
Die Behörde stehe oft vor dem Problem, dass ethische Hacker:innen zwar technische Dokumentationen von Sicherheitslücken ins Internet stellen, die Lücken selbst aber oft schon geschlossen seien, schreibt mir die Berliner Datenschutzbeauftragte. 2/
Jun 23, 2021 • 9 tweets • 4 min read
Hat #Doctolib nicht bemerkt, dass Millionen privater Datensätze offen im Netz standen? Das legt meine Recherche nahe, in der ich Daten verifizieren konnte. Doctolib gibt zudem weiterhin Patientendaten über Arztbesuche an Google weiter, wie wir zeigen. zeit.de/digital/datens…
Etwas Hintergrund: Eigentlich sollte das eine ganz andere Geschichte werden, in der #Doctolib nur *ein* Beispiel ist. Doch als ich das Unternehmen mit der 150-Millionen-Lücke vom CCC-Congress und den Vorwürfen der Big-Brother-Award-Jury konfrontierte, wurde es seltsam.
Jun 19, 2021 • 4 tweets • 3 min read
Unglaublich. Komme mir vor wie bei „Täglich grüßt das Murmeltier“
SCHON WIEDER: CSV Injection möglich bei der #LucaApp.
Wer sich fragt, was das bedeutet: in diesem Artikel von Anfang Mai habe ich erklärt, was eine CSV-Injection ist und was die Gefahr für die Gesundheitsämter wäre: zeit.de/digital/datens…
und #LucaApp-CEO Patrick Hennig hat mir schon damals gesagt, es sei nicht möglich. Allerdings
May 26, 2021 • 11 tweets • 7 min read
Das ist krass. Nicht nur weil das eine gefährliche Lücke ist, die Gesundheitsämtern #Ransomware bescheren könnte, sondern auch, weil Nexenio seit drei Wochen (!) Bescheid weiß – und sie bis heute offen ist: #LucaApp-CEO Patrick Hennig sagte mir am 3.5., diese Lücke gebe es nicht
Das war im Rahmen dieser Recherche, in der mir Gesundheitsämter sagten, dass sie fürchten, dass die Sicherheitslücken der #LucaApp ihre eigenen Systeme unsicher machen. Genau das ist jetzt passiert, wie @mame82 zeigt.
Wieder ein #LucaApp-Sicherheitslücke.
Es hieß, wir brauchen Luca, weil sich Menschen als "Donald Duck" in Papierlisten eintragen. @mame82 und andere zeigen in einem fort, dass Luca genau das NICHT löst. Und dass das System unsicher ist. Sein USP ist gestorben. Es kann weg. 1/3
In meiner Recherche habe ich erfahren, dass Gesundheitsämter diese Listen in der gesamten Pandemie kaum genutzt haben (Bodenseekreis: 3 Stück!), das sie also ohnehin kaum eine Rolle spielen. Um welchen Preis digitalisieren wir etwas, das keine Rolle spielt? 2/3
Apr 1, 2021 • 19 tweets • 8 min read
Mehr als 10 Millionen für eine App, die unsere Probleme nicht löst, sondern womöglich auch noch Schaden anrichtet. Wir haben recherchiert, wie das passieren konnte. Marketing, Druck und zweifelhafte Vergabeverfahren stehen hinter dem Erfolg der #LucaApp. zeit.de/digital/datens…
Nachdem der Artikel nun hinter der Paywall und damit für viele nicht mehr zugänglich ist, schreibe ich hier eine kurze Zusammenfassung einiger der wichtigsten Punkte zum zweifelhaften Erfolg der #LucaApp per Thread (jede Menge mehr Details und Quellen im Originaltext)
