Ein Logbuch:Netzpolitik Spezial zum BogusBazaar
Heute begrüßen wir wieder einmal kantorkel in unserer Runde, da er in den letzten Monaten fleissig Datenklempnerei betrieben hat und ein paar Datenlecks untersucht hat. Am Ende der Recherche stand die Aufdeckung eines riesigen Netzwerks von Fake Shops, die im Netz im großen Stil Luxusgüter feilbieten und die von den Bestellern überwiesenen Zahlungen aber nie mit entsprechenden Lieferungen beantwortet haben. Wir reden darüber, wie kantorkel der Sache auf die Spur gekommen ist und wie diese Netzwerke intern funktionieren und wie schwierig es ist, diesen das Handwerk zu legen.
Dazu gibt es noch etwas Feedback und ein Bonus Datenleck der Gamescom.
Linus Neumann
Tim Pritlove
kantorkel
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove
Guten Morgen, Linus.
Linus Neumann
Guten Morgen, Tim.
Tim Pritlove
Du, ich würde mir gerne mal so eine schöne Herrenhandtasche von Gucci kaufen, aber es ist so teuer.
Linus Neumann
Da habe ich was für dich.
Tim Pritlove
Logbuch, Netzpolitik, Nummer 492 vom Vatertag.Vom Tag der Heirenhandtasche.Da möchte man doch gleich shoppen gehen, aber hat alles zu. So,ja, kann ich nur noch online kaufen, weil die Läden dicht haben. Das ist das Problem.Deutschland ist einfach umsatzfeindlich, da läuft nichts.Kann ich nicht jetzt hier einfach so im freien Tag nutzen und einfach mal indie Shopping-Mall latschen. Nix da.
Linus Neumann
Ich habe in letzter Zeit, nicht nur ich, sondern auch unser Sendungsgast,den wir noch nicht vorgestellt haben, haben verwechselt in der Vorbereitung auf diesen Tag,dass heute Vatertag ist und nicht Frauentag.Und das ist ja ein total dummer Versprecher, wenn du sagst, ja,dann ist ja Frauentag, ach nee, Vatertag, was so die beiden,ich glaube, so die komplette kulturelle Gegensätze sind.Kampftag der Frau und Bollerwagen-Sauftag zu verwechseln ist halt einfach.
Tim Pritlove
Ist das nicht eigentlich Christi Himmelfahrt?
Linus Neumann
Christi Himmelfahrt, ja, das ist Christi Himmelfahrt.
Tim Pritlove
Warum ist denn das Vatertag?
Linus Neumann
Ach, ich weiß auch nicht. Also die meisten Väter sagen, seitdem ich Vater bin,war ich nicht mehr mit dem Bollerwagen saufen.Im Osten übrigens, also meine Potsdamer Freunde sagen eher Herrentag.Also die versuchen dem Ganzen noch irgendwie so eine gewisse Niveau drin zu halten.
Tim Pritlove
Niveau? Herrentag?
Linus Neumann
Das ist doch alles schon kolonial verbrämt. Oh, oh.
Tim Pritlove
Ganz gefährliches Terrain. Auf jeden Fall.
Linus Neumann
Es ist der Tag am Boller. Es ist Feiertag.
Tim Pritlove
Also kann man glaube ich, die Läden haben zu. Und wenn ich jetzt meine Gucci-Herren-Taschekaufen würde, dann muss ich das online machen.Da habe ich ganz viele tolle Sachen gesehen.
Linus Neumann
Aber online ist auch billiger.
Tim Pritlove
Ja, richtig mit Prozenten und so.Ach ja. Ja, jetzt sagen wir erstmal Hallo. Hallo, Herr Torkel.Herzlich Willkommen. Du warst ja schon mal da bei uns.Das war, welches LNP war das noch gleich?Das war 422 Bundesverdienstcoin, hieß es da.Und da hast du schon über Hackereien berichtet. Kleiner Spoiler,das machen wir heute auch wieder. Deswegen bist du hier.
Linus Neumann
Wir berichten heute über Obtainereien.Erklären wir später.
Tim Pritlove
Okay, Obtainereien, wie auch immer, auf jeden Fall.Ich würde es mal als...Data Harvesting bezeichnen. Gibt es den Begriff schon?Oder können wir vielleicht auch mal selber einen Fachbegriff hier so freuen?Insofern liege ich schon richtig. Alles klar, sehr gut.
Linus Neumann
Die Bundesverdienst-Coin-Folge, wir haben über mehrere Hacks gesprochen,unter anderem, dass du diese Münze hast von der Bundeswehr,die mich immer wieder, das bringe ich in Gesprächen öfter an,aber dieser Bundesverdienst-Coin war ja die Münze von der Bundeswehr,weil du bei der Bundeswehr mehrere Schwachstellen gemeldet hast und dann hast du eine Münze gekriegt.Mit der man nicht bezahlen kann.Eine Ehrenmünze, ne?Am Band.
Tim Pritlove
Bei der Bundeswehr brauchst du auch keine Münze, um irgendwo reinzukommen.Da musst du die URL richtig raten. Dann bist du schon voll dabei im Inner Circle.Genau.
Linus Neumann
Nachdem du bei uns in der Sendung warst, war glaube ich eure Forschung zur Biometriein Afghanistan, die war danach, oder?Die haben wir nur behandelt, aber warst du dazu nochmal in der Sendung?Da ging es um die Biometriegeräte, also wir haben es hier behandelt,die Biometriegeräte, die das US-Militär in Afghanistan zurückgelassen hat,die die Datenbank mit den,biometrischen Daten auf den Geräten hatten und die fand man dann auf Ebay.Aber das war ja auch geil. Der war sechs Monate später.Das war irgendwie sechs Monate nach eurem Vortrag, dass er euch gebeten hat,die doch mal zu schicken, weil sie es jetzt doch untersuchen.Da war es schon ungefähr ein Jahr her, dass ihr Bescheid gesagt habt oder dreiviertel Jahr.Und dann sind die Dinger ja zurückgekommen, weil die die nicht aus der Packstation abgeholt haben.Geil. Also US-Militär kann auchnoch nicht mal irgendwie ein Paket sich zuschicken lassen und abholen.Also da sind die, zumindest in Deutschland, sehr deutsch.Nee, nee, ich krieg euch das mit der Post.Er hat uns gebeten, ob ich ihm das geben kann.Er würde mich auch zu Hause besuchen. Voll freundliche Bitte.
Tim Pritlove
So, dann habt ihr zusammen aber auch noch auf dem Camp einen Vortrag gemacht, auf dem letzten.
Linus Neumann
Genau das waren Dominik Kantorkel und ich über die Obtainerei bei unterschiedlichenGruppierungen aus dem Ransomware-Umfeld.Da hatten wir ja auch einen Threat-Actor infiltriert, der offenbar Ransomware ausgerollt hat.Wir haben auch ein bisschen über die Disclosure-Sachen gesprochen, die du gemacht hattest.Disclosure, Hack und Back hieß der Vortrag.
Tim Pritlove
Was ist denn Threat-Actor wieder für ein merkwürdiger Begriff?Ein Bedrohungsschauspieler.
Linus Neumann
Nee, also Actor ist nicht nur Schauspieler, sondern auch Ich weiß.
Tim Pritlove
Ein Akteur, genau. Bedrohlicher Akteur.
Linus Neumann
Also ein Threat Actor ist eine benennbare Gruppierung oder Person,die Häckereien, Obtainereien macht.Also beispielsweise was weiß ich, APT 28, den,dass er der City wieder unterstellt wird, sie hätten die SPD mit einem Outlook-O-Dayaufgemacht und nichts Besseres zu tun gehabt, als die E-Mails von Kevin Kühner zu lesen.Aber in dem Fall, der war glaube ich für Bian Lian, die Ransomware-Gang, aktiv.Sorry, habe ich Threat-Actor gesagt. Über den haben wir ja Threat-Intelligencegesammelt. Threat-Intell.
Tim Pritlove
Ich meine, jede Branche hat so ihre eigene Sprache. Das ist ja vollkommen klar.Aber ich finde das dann teilweise ganz unterhaltsam, wie hier die einzelnenRollen so modelliert werden.
Linus Neumann
Aber wenn wir in dem Kontext sind, dann würde ich vielleicht noch gerade ganzkurz was empfehlen, weil dieser Vortrag, ich habe das ja danach jetzt für eine Trilogie,postwendend, nee, danach, was sagt man dann? Nicht posthum?
Tim Pritlove
Ich weiß nicht ganz genau, worum. Faktische Vortrag.
Linus Neumann
Also ich habe ja den Hirnehacken 2.0 mit Kai Biermann gehalten,den Vortrag beim Kongress, beim aktuellen Kongress, wo wir über Ransomware-Verhandlungenund die Threat-Actor gesprochen haben, die unterschiedlichen.Außerdem hat der Tobias Müller den Vortrag gehalten über den Decryptor für Blackbuster.Blackbuster ist auch eine Ransomware-Gang.Und dann hatten wir diesen Disclosure Hack und Back und das war so eine Serieüber man setzt sich mit den Threat-Actors auseinander, bereist,besucht mal deren Systeme,obtaint und geht wieder.
Tim Pritlove
Man obtaint. Also ich stelle einfach fest, wenn irgendwo Daten raustropfen imNetz, dann kommst du, also bist du so eine Art Datenkleppner.
Linus Neumann
Die tropfen irgendwie immer dem Cantorkel in die Hand.
Tim Pritlove
Ja, so ein Datenkleppner. Guck mal hier, da tropfen die Bits irgendwie raus.Ruf mal den Cantorkel, der macht das wieder zu.
Linus Neumann
Daten sind ja das neue Öl und Cantorkel hat ölverschwierte Hände.
Tim Pritlove
Okay, bevor wir jetzt hier lost in Association sind, Machen wir vielleicht erstmaleine kleine Feedback-Runde, bevor es hier ins Eingemachte geht.Was hältst du denn davon?
Linus Neumann
Ja, genau. Wir haben Feedback bekommen. Sehr viel Feedback.Unsere Einlassungen zu Humor haben zu einigen humorvollen Kommentaren geführtund einigen weniger humorvollen.Die könnt ihr gerne nachlesen. Ich denke, die demonstrieren in der Breite dieKommentare sehr gut, worüber wir gesprochen haben.Wir haben in der letzten Folge auch darüber gesprochen,dass unsere Freunde aus Österreich, die Organisation Neub,ja mit Datenschutzrecht Beschwerden über OpenAI macht, spezifisch,weil dort Geburtsdaten falsch wiedergegeben werden.Und dazu kommentiert Wiebke.Angriff nimmt. LLM speichern allerdings keine vollständigen Datensätze mit personenbezogenen Daten.Da steht also nicht, Tim Pridloff ist am so und sovielten geboren.Was ja sehr schön bei der letzten Folge, was tatsächlich falsch war.Hast du jetzt auch verklagt, oder?
Tim Pritlove
Ich hab nochmal kurz nachgeschaut. Mittlerweile habe ich am 6. Dezember Geburtstag.
Linus Neumann
Das ist eigentlich geil, so mehrmals im Jahr.
Tim Pritlove
Ja, das ist eigentlich sehr gut. Dann kann man mir auch häufiger was schenken.
Linus Neumann
Kann man online was für dich bestellen. Tim Prillaf ist am Sohn zu schicken geboren.Stattdessen werden einzelne Tokens gespeichert, die nicht zwangsläufig ganze Wörter sein müssen.Wie LLMs Sätze in Tokens runterbrechen, wissen meines Wissens selbst die Programmierer nicht.Zudem wird gewichtet, wie wahrscheinlich bestimmte Tokens in der Nähe voneinander auftreten.Diese Kombinationen aus Tokens und Wahrscheinlichkeiten sind an sich keine personenbezogene Daten.Aus ihnen lassen sich über personenbezogene Daten mit einer gewissen Genauigkeitoder Fehlerhaftigkeit rekonstruieren.Das wird eine Herausforderung für die Richterinnen, denn nun ist doch die Frage,ob die DSGVO überhaupt anwendbar ist.Eine weitere Herausforderung wird, dass bei der Verarbeitung von personenbezogenenDaten ihre Korrektheit sichergestellt werden muss. Auch das steht in der DSGVO.Ein halluzinierendes LLM ist da nicht vorgesehen.Das könnte man eigentlich grundsätzlich sagen, sondern einfach nicht vorgesehen.Hinsichtlich der DSGVO spielt übrigens keine Rolle, ob die genutzten Daten aufWebseiten öffentlich verfügbar sind oder nicht sobald sie gesammelt oder verarbeitetwerden handelt es sich um eine Verarbeitung,für die ein Rechtsfertigungsgrund benötigt wird. Bei LLMs ist das das berechtigteInteresse der Anbieter, also OpenAI und Co.Wie bereits von anderen angemerkt, muss dafür eine Abwägung zwischen den Interessender Betroffenen und den Verarbeitenden stattfinden.Ob die Daten in LLM in Binärcode oder menschenlesbarem Format gespeichert sind,ist ebenfalls unerheblich.Es ist möglich, menschenlesbare Daten hineinzugeben und auch wieder herauszuholen.Das Speicherformat wird bei den TUM, technischen und organisatorischen Maßnahmen, relevant.Es hat aber keinen Einfluss darauf, ob die Verarbeitung erlaubt ist.Wiebke, ich glaube, du bist juristisch gebildet Nein,aber es ist ja sehr gut wiedergegeben und bevor jetzt bevor wir jetzt wiederKommentare bekommen weil in den drei Sätzen von Wiebke die,Funktionalität eines LLM nicht 100% in allen Details wiedergegeben wurde könnenwir nochmal es gab da so einen sehr guten Vortrag beim Kongress von einer,Forscherin in dem Bereich. Mir fällt gerade ihr Name nicht ein,aber den nehmen wir mit in die Shownotes auf.
Tim Pritlove
Zu LLMs?
Linus Neumann
Ja, wie neuronale Netzwerke funktionieren. Der hat das sehr schön gemacht.Da werden sich auch sicherlich Leute drüber aufregen, aber den verlinken wir nochmal.
Tim Pritlove
Lass mal das Innere eines neuronalen Netzes ansehen von Annika Röll, meinst du, ne?
Linus Neumann
Ja, der war super. Den verlinken wir nochmal für Leute, die sich darüber aufregen. Zum gleichen Thema.Stefan Tesing sagte zu eurer Diskussion über Datenschutz und LLMs.Ich meine, wie fast immer, wenn ihr euch nicht einig seid, mal wieder beobachtetzu haben, dass ihr auf zwei verschiedenen Ebenen argumentiert habt.Linus-Argumente bewegen sich im Wesentlichen auf der ersten Ebene.Ich würde sagen, auf der oberen Ebene.Auf der Meta-Ebene oder was? Nee, die Meta-Ebene gehört dir.Okay, ist in Ordnung. Ich bin auf der ersten Ebene, du bist auf der Meta-Ebene.Wenn Technologiebedingungen verändert, hören Gesetze selbstverständlich nicht auf zu gelten.Tim argumentiert eher auf der Meta-Ebene, auf welche Weise Gesetz und Verortungsgeber,rechtliche Regeln den neuen Gegebenheiten anpassen sollten.Auf dieser zweiten Ebene ist natürlich mehr los.Sinnvoll ist es hierbei, sich Gedanken darüber zu machen, welche Interessender Allgemeinheit das ursprüngliche Gesetz schützen sollte, um es dann entsprechend zu reformieren.Das geht gerne mal schief, hatte Wiebke ja auch gesagt. Das Urheberinnenrechtwurde ursprünglich eingeführt, um Autorinnen vor der Ausbeutung durch jene zuschützen, die eine Druckerpresse besitzen.Das Interesse der Allgemeinheit war, wenn Autorinnen vor Ausbeutung geschütztsind, bekommen wir mehr Werke.Als das Internet um die Ecke kam, wurden die rechtlichen Regeln leider nicht so reformiert,dass Autorinnen und Allgemeinheit weiter vor der Ausbildung durch Verlagshäuserund andere Rechteverwerter geschützt wurden, sondern die Geschäftsmittel derRechtsverwerter wurden vor den neuen Möglichkeiten geschützt,die Autorinnen und der Allgemeinheit nun zur Verfügung standen.Das ist, finde ich, eine sehr gute Zusammenfassung.Hat natürlich gerade mit dem Thema, zu dem Stefan sich hier äußern wollte,überhaupt nichts zu tun, weil wir ja eigentlich über Datenschutz sprechen. Aber gut, gut Stefan.Regelungen zum Datenschutz sowie einzelne Regelungen wie das Recht am eigenenBild sind dazu ersonnen worden,die allgemeinen Persönlichkeitsrechte der Bürgerinnen vor unangemessenen staatlichenMaßnahmen sowie ökonomischer Ausbeutung zu schützen.Anpassungen der rechtlichen Regelungen sollten daran gemessen werden,inwiefern sie diesen Zielen dienen.Ihr kamt ja aber auf das Thema über die Frage, wie die Klage von Neub zu bewerten ist.Hier kann man meines Erachtens festhalten, dass sie auf der ersten Ebene klagen,um auf der zweiten Ebene sinnvolle Änderungen zu erzwingen, bevor Gesetz undVerordnungsgeber das geltende Recht so verschlimmbessern, wie es Anfang der2000er mit dem Urheberrecht geschehen ist.Ja, finde ich eine super Perspektive.
Tim Pritlove
Ich kann dem folgen,Ich glaube es war immer noch, dass man den LLMs nicht so vorwerfen kann,dass sie konkret persönliche Daten speichern, weil sie das ja so konkret nichttun. Aber das sagt ja Wiebke.
Linus Neumann
Verarbeiten, dann geben die ja wieder auf, die die jetzt speichern,dann ist das eigentlich unerheblich.
Tim Pritlove
Ja gut, verarbeiten ist ja in dem Moment dann auch eine sehr allgemeine Bezeichnungfür, wir nehmen die Daten einmal und schmeißen sie irgendwo gegen die Wand.So, das ist dann sozusagen schon Verarbeitung. Da kann man sich natürlich dannjetzt auch über diesen Begriff etwas streiten, ob das schon ausreichend verarbeitendist, weil man könnte fast argumentieren,dass sie sich die Daten ja noch nicht mal richtig anschauen.Also sie reißen das ja irgendwie nur so aus Zeichenketten irgendwie,also die Daten werden nicht als solche genommen,also sie werden nicht als Datum genommen und dann irgendwie in das System gebracht,sondern einfach nur so als Zeichenketten und dann wie gesagt einfach an dieWand geschmissen und am Ende ist das Muster, was die ganzen Farbkleckse ergeben,das ist dann sozusagen die Nahrung, von der sich dieses System ändert.
Linus Neumann
Du freust dich ja nur, dass du jetzt mehrmals im Jahr random Geburtslust-Geschränke bekommst.
Tim Pritlove
Deswegen verteidige ich das jetzt hier auch so massiv. Mal gucken, wie es funktioniert.
Linus Neumann
Kein Talk, wie siehst du das? Diese Klage von, oder überhaupt den KI-Fluch oder Segen?
Tim Pritlove
Also da würde ich dir auch voll zustimmen und das ist auch ein gutes Beispielfür, wo die Daten ja explizit als solche in das System eingeführt werden.Also es wird ja explizit ein Bild von einem Gesicht gesucht und als solches abgespeichert.Es wird dann KI-Methoden für den Vergleich, für die Suche verwendet.
Linus Neumann
Aber speichern die wirklich die Bilder alle?
Tim Pritlove
Naja, sie werfen das dann halt in ihr Model, um darin zu suchen.Aber in dem Moment, wo sie die Daten aus dem Netz extrahieren,extrahieren sie ja explizit ein Gesicht.Und auch in dem Moment, wo sie die Anfrage des Nutzers bedienen,liefern sie auch explizit genau das.Das ist mit diesem Geburtsdatum auf beiden Seiten nicht der Fall,sondern es ist eher ein Zufall.
Linus Neumann
Es ist eher so, ob du im Gesicht noch so einen herbeihalluzinierten Pickel hast oder nicht.
Tim Pritlove
Ja, ich meine, es ist so, als ob du nach einem Gesicht suchst und dann kriegstdu irgendwie einen 3D-Modellplan vom Spielzeugauto oder sowas.Also klar, es bleibt schwierig hier mit der Definition, aber das sind für michzwei Beispiele, wo ich eher sagen würde, daran kann man schon auch klar machen,was das eine ist und wo die DSGVO auf jeden Fall greifen sollte.Also bei Pim A ist ich voll dabei, aber halt bei diesen allgemeinen LLMs eher nicht. Naja.
Linus Neumann
Okay, aber die Folge scheint mir die gleiche zu sein.Aber okay, man könnte argumentieren, dass ein falsches Geburtsdatum im Zweifelsfall zu Vorteilen führt.Rentnerrabatte, Geschenke.
Tim Pritlove
Dann komme ich aber nicht in meinen Film mehr rein, weil sie sagen,sorry, aber du bist ja noch Kinder 18.
Linus Neumann
Also Löschung und Korrektur, die nehmen auf jeden Fall alle recht in Anspruch.
Tim Pritlove
Ich meine, bei den LLMs ist es ja so, wenn du halbwegs zuverlässige Daten bekommst,also die eine hohe Wahrscheinlichkeit haben, dass sie auch stimmen, dann,weil mehr oder weniger das ganze Internet diese Informationen an sehr vielenOrten ohnehin bereithält.Und dann ist es halt immer schwierig.Darf ich das Geburtsdatum von Thomas Gottschalk der Welt verkünden? Die Welt weiß das schon.Das ist halt einfach kein Geheimnis mehr in dem Sinne.
Linus Neumann
Wann hattest du jetzt laut ChatGPT Geburtstag?
Tim Pritlove
Heute oder letztes Mal?
Linus Neumann
Letztes Mal. Weil jetzt hast du am 18. November Geburtstag.
Tim Pritlove
Das war jetzt 6. Dezember.
Linus Neumann
6. Dezember.
Tim Pritlove
Und letztes Mal war es glaube ich irgendwo im Oktober, ich schaue mal kurz, 2.Oktober, aber immerhin, jetzt als ich das eben nochmal gefragt habe,wurde ich auch explizit,Nicht nur mit Tim Pridloff hat am 6. Dezember Geburtstag, sondern die Antwortlautet Tim Pridloff, der deutsche Podcaster und Medienkünstler.
Linus Neumann
Hat am 18. November Geburtstag gesagt.
Tim Pritlove
Ja, am 6.Aber ist schon mal klar, also ich bin der, der deutsche Podcaster.
Linus Neumann
Hat Chat-GBT auch extra unterstrichen.
Tim Pritlove
Bold.Das habe ich nie mehr Geburtstag, das ist toll Das heißt, ich werde nicht mehr älter,Wenn ich Geburtstag habe, kann man nie älter.
Linus Neumann
Werden Du wirst jetzt einfach weiter vertröstet Ich gratuliere dir nie wieder Ich bleibe.
Tim Pritlove
Einfach immer forever 23.
Linus Neumann
Mein Lieblingskommentar war zur Bezahlkarte von Lipfi Ich versuche das mal auchso mit der richtigen Intonation zu behandeln.Wir hatten ja darüber gesprochen, dass die Bezahlkarte an Geflüchtete ausgegebenwerden soll, mit dem erklärten Ziel zu verhindern, dass diese Bargeld haben.Wir haben den Sinn dieses Ziels ohnehin schon in Frage gestellt.Lipfi schreibt nun, Bezahlkarte ist super dumm, kaufst halt einfach Klamotten,gibst sie instants zurück, weil sie nicht passen, bam, Bargeld.Und jetzt, die glauben Wir glauben echt, dass Menschen, die durch die Höllegegangen sind, sowas juckt.Ich glaube, damit ist das Thema auch abschließend erörtert.Bäm, Bargeld. Oder verkaufst du die Leute.Es ist wirklich relativ unwahrscheinlich, dass es Leuten gelingt,Leute von Bargeld fernzuhalten.
Tim Pritlove
Also wenn sie das unbedingt haben wollen, dann wird das auch mit einer Bezahlkartefunktionieren. Das kann man glaube ich so festhalten.
Linus Neumann
Ja, vielleicht wird das noch Bezahlkartefluch oder Segen, ja Vielleicht könnendie sich damit dann doch mal eine Existenz aufbauen,Okay Dann, damit wären wir, glaube ich, bei unserem Hauptthema oder wollen wirnoch über die Gamescom vorher sprechen Warst du schon mal bei der Gamescom?Bisher nicht Ich auch nicht. Tim, warst du mal bei der Gamescom?
Tim Pritlove
Nee.
Linus Neumann
Ist in Köln, ne? Ja Computerspielmesse.
Tim Pritlove
Mittlerweile ist es in Köln. War das vorher? Leipzig war es glaube ich mal unddann ist es in den Westen abgewandert.
Linus Neumann
Da gibt es Diskussionen über ein Datenleck oder wie muss ich mir das vorstellen?Mit dem Vorwurf, sie hätte ein Datenleck obtained oder mit der Behauptung,sie hätte etwas Falsches gesagt?Und meinst du, die Daten sind noch im Internet?
Tim Pritlove
Geburtsdaten?
Linus Neumann
Gib die mal chat, GPT.Das ist natürlich schade für die Gamescom und ihre betroffenen Personen.Und somit wären wir beim nächsten Datenleak und zwar hast du seit längerer Zeitmit mehreren Leuten, die nicht alle genannt werden wollen,dich mit einer Online-Shop-Infrastruktur auseinandergesetzt.Und ich erinnere mich, dass wir nach unserem Camp-Vortrag, also irgendwie imAugust, haben wir mit Kai Biermann von Zeit Online gesprochen,also glaub du kurz, ich danach noch ein bisschen länger und danach irgendwieein bisschen gesprochen und diese Daten, auf die du da Zugriff hattest,oder diese Systeme, die du da gesehen hattest, sorry,das hatten wir eigentlich schon wieder weggelegt.Und dann sagte Kai, weil irgendwie war unklar, was diese Online-Shop-Infrastrukturmacht und wofür es die gibt.Und Kai sagte dann so, oh, das interessiert mich aber sehr, weil meine Tochterwollte Doc Martens bestellen im Internet, nur 40 Euro, Papa.Und hat dann für 40 Euro Doc Martens bestellt und hat auch genau so viel DocMartens bekommen, wie man für 40 Euro kriegen kann, nämlich keine.Und es war so ein bisschen wie, dass irgendwie so langsam klar wurde,okay, krass, vielleicht,deswegen will jemand viele Online-Shops haben.
Tim Pritlove
Aber dann würde sozusagen die Bezahlung abgelehnt werden, aber man weiß zumindest,dass sie jetzt auch konkret benutzt wurde.Wo kriegt man sowas her?Also ich meine, das ist ein Produkt oder das bieten Banken an oder ist das jetztfür Security-Forscher oder was?
Linus Neumann
Und die ist dafür da, dass du, keine Ahnung, die in deine beispielsweise indeinen Daten hast und weißt, okay, wenn da jemand darauf zugreift,habe ich einen Daten- Data-Case oder in dem Fall mal gucken,was noch mit der Kreditkarte passiert, mal gucken, ob die wirklich von wem dazugegriffen wird oder sonst was.Ganz praktisches Ding.Aber die zahlt ja auch nicht, diese Kreditkarte dann, oder?Vergessen zu gucken, oder?
Tim Pritlove
Das heißt die Preise liegen so bei75 Prozent von dem, was man an anderen richtigen Shops erwarten könnte.Okay, gut. Nur um so ein Gefühl dafür zu bekommen, was du meinst mit nicht zu billig.
Linus Neumann
Also gerade noch glaubwürdig, aber auch irgendwie so ein Betrag, wo...
Tim Pritlove
Wo man sagt, das lohnt sich. Genau.
Linus Neumann
Und wo du im Zweifelsfall als geprellte Person sagst, wie viel Aufwand mache ich jetzt für 40 Euro?Wie viel Aufwand mache ich für 70?Für so ein bisschen...Also vermutlich wirst du nicht so viel Zeit investieren, weil du erkennst,dass du jetzt nur noch den Schaden erhöhst.Also vollständig anwendbar, vollständig nutzbar. Wie haben die die gesammelt?
Tim Pritlove
Gab's da auch so Apple Pay oder sowas, so Online, so solche Bezahlungen,das lief teilweise über Stripe.
Linus Neumann
Ne?
Tim Pritlove
Ich bin nicht ganz sicher.
Linus Neumann
Ob es Apple, ist da auch Apple Pay betroffen?
Tim Pritlove
Ich frage mich, ob du jetzt Kreditkartennummer erfassen und gib mir noch deinen3-Nummern-Code und ich speichere das ab. Das ist ja das eine.Das andere ist, ob du wirklich auch eine reale, von Third-Party geleitete Transaktion hast.Aber ich glaube, da war auch Stripe teilweise mit im Spiel und Paypal.Also da ist schon auch echtes Processing gelaufen. Genau.Und warum, also was ist der Hintergrund, dass irgendwas abgelehnt wird?Also wer lehnt das dann ab? Dieser Webshop selber oder irgendwelche Zahlungsdienstleister?
Linus Neumann
Meine Vermutung ist, also du korrigierst mich, also normalerweise,wenn du jetzt in einem legitimen Online-Shop eine Order machst,der darf deine Kreditkartendaten gar nicht annehmen und erst recht nicht speichern.Deswegen werden die meisten dich, um die PCI-DSS-Pflichten zu umgehen,Payment Card Industry Data Security Standard, darfst du zum Beispiel den CVCspeichern, ist schlecht. Aber,Damit sie diese ganzen Vorgaben umgehen, gibt es diese ganzen Payment-Anbieter.Also theoretisch könnte ja auch jeder einfach sagen, alles klar,ich werde Kreditkarten-Anbieter.Aber die nutzen halt dann Stripe, schicken dich da hin und Stripe regelt diesen Kram für dich.Die sehen also diese Kreditkarten gar nicht und können damit gar nicht in Kontaktkommen, weil du die direkt an Stripe sendest.So wie ich das hier verstanden habe, machen die ganz einfach etwas,was wie ein Payment-Interface aussieht, damit du deine Kreditkartendaten eingibst,speichern die und sagen, hat nicht geklappt, probier nochmal.Und fürs zweite Mal schicken sie dich zum richtigen Payment-Interface.
Tim Pritlove
Korrekt?Püffig.
Linus Neumann
Ja. Ja.
Tim Pritlove
PCI-DSS ist ja auch geil. So wie PCMCIA. Weißt du, was PCMCIA heißt?
Linus Neumann
PCMicro Card Interface oder wie war das noch?
Tim Pritlove
Nee, es heißt People Can't Memorize Computer Industry Acronyms.
Linus Neumann
Okay.Aber ich glaube, es ist Card Adapter oder sowas.Ich gucke jetzt, was das heißt. Personal Computer Memory Card International Association.
Tim Pritlove
Naja.
Linus Neumann
Wenn die vor der Tür stehen, weißt du, keine Ahnung, wofür das Akronym steht.Paymentprozess. Okay, die sammeln die Kreditkarten.Ich glaube, der hat das Brudi, die ist des Ausmaßes des Problems noch nicht ganz klar.
Tim Pritlove
Als du das selber, als ihr diesen Testkauf gemacht habt mit dieser Canary-Card,wie ist da konkret, also seid ihr da auch zu Stripe noch weitergeleitet worden?Also hast du dann sozusagen deine Karte bei Stripe angegeben oder nur so hinterlassen?Ah, okay, also ihr habt letztlich gar nichts bezahlt.
Linus Neumann
Ihr habt mich verarscht.
Tim Pritlove
Also keinen echten Bezahlvorgang eingeleitet.Und ist die dann getriggert worden irgendwann?
Linus Neumann
Threat Actor.
Tim Pritlove
Also angebliche Fresslieferdienste?Also wo dann da was wiederum bestellt wurde und so, okay, verstehe.Damit es nicht weiter auffällt. Ach ja, Rattchen.
Linus Neumann
Wie sind denn die Leute auf den Online-Shop gekommen?
Tim Pritlove
Klar, Suchmaschinen. Ich meine, du haust das einfach rein, sagst,wo gibt es Herrenhandtasche günstig?Und dann kommt halt herrenhandtasche24.de.
Linus Neumann
Haben die da Werbung geschaltet?
Tim Pritlove
Ja, oder irgendwelche TikTok-Shops oder so, da hast du ja dann mittlerweileirgendwelche hampeligen Influencer, die dir das dann halt auch direkt in die Fresse werfen.Wenn ich das richtig sehe, sind aber das jetzt keine oder mehrheitlich zumindest nicht jetzt neue,wirre Domains, die irgendwie sind, genommen worden,sondern die haben dann explizit auslaufende Domains abgewartet und aufgekauftund dann quasi die Reputation, die diese Domains gerade noch hatten bei Googlequasi gleich mitgenutzt.
Linus Neumann
Und dann deployen sie da auch relativ gut durch, automatisiert einfach einen Online-Shop.
Tim Pritlove
Was meinst du mit, es wurde ein Quest angelegt?
Linus Neumann
SSEO.
Tim Pritlove
Aber allen Teilnehmern dieses Systems ist klar, es geht ausschließlich um Fake-Webshops.Also wenn du jetzt sagst, jemand nimmt diese Dienstleistung in Anspruch,dann nimmt er das wohl wissend in Anspruch, dass hier sozusagen nie irgendeinProdukt verkauft werden soll, sondern dass diese ganzen Shops nur Fake sind.Okay, die dort arbeiten. Ich meine jetzt nicht, die dort arbeiten,aber wenn du jetzt sagst, es gibt jetzt jemanden, der nimmt diese Infrastrukturin Anspruch, könnte man denken,das sind jetzt Leute, die wollen einfach einen normalen Webshop aufsetzen undwissen gar nicht, dass da so eine Hintertür ist, verkaufen aber vielleicht tatsächlichwirkliche Produkte, aber das ist nicht der Fall. Also niemand verkauft da wirkliche Produkte.
Linus Neumann
Sie bieten das nicht irgendwo offiziell an, wenn du sagst, ich hätte gerne einenWebshop, sagen die nicht, geil das Offering hier, wir haben eine gute Domain, die ist...
Tim Pritlove
Also es ist nur eine Rollenverteilung innerhalb Innerhalb dieses kriminellen Systems.
Linus Neumann
Aber Zwischenfrage, ist das so, dass Sie wirklich nie was versendet haben?Auch eine ganz schöne E-Mail-Zone.Der hat ja noch ein zweites Mal bestellt, oder?
Tim Pritlove
Ich frage mich, warum die überhaupt noch irgendwas liefern.So Legitimität herzustellen.
Linus Neumann
Eine andere Möglichkeit, also das ist jetzt wirklich reine Spekulation,aber es gibt teilweise auch das Interesse Fake-Bestellungen halt durchzuführen.Aber dann bestellst du quasi bei einem legitimen Händler, bestellst den Kramirgendwo hin, um dann nachher im Namen dieser Person ein Review zu schreibenund zu sagen, ja geiles Produkt oder so und hier ist auch wirklich angekommen,vertrauenswürdiger Händler, 5 Sterne.Aber dann würden sie das Produkt auf jeden Fall im Zweifelsfall von Amazon oderTemu oder AliExpress oder so bekommen.Das wäre jetzt eine andere Spekulation, warum auf einmal Leute Krempel kriegen.Das ist in den USA glaube ich ein relativ verbreitetes Phänomen,dass Leute irgendwie so Billigstartikel aus China bekommen, weil Leute ihreReputation als Merchant auf einer Plattform hochtreiben wollen.Das könnte ein anderer Grund sein, was man mit einer tatsächlichen Lieferungin Anführungszeichen Gewinn machen kann.
Tim Pritlove
Ich frage mich, ob gegen diese, das ist ja auch wieder so eine Lücke,finde ich, in der Art und Weise, wie so Domain-Sales und Resales funktionieren.Dass wenn jetzt eine Domain gekündigt wird und nicht weiter fortgeführt wird,dass es dann quasi kein Meldesystem gibt, dass man sagt, diese Domain ist jetztnicht mehr in Benutzung, die Besuchmaschinen liefert jetzt auch bitte keine Ergebnisse mehr.Vielleicht gibt es so einen Mechanismus, keine Ahnung, aber in dem Fall,da gibt es noch ein gutes Rating, kann man weiter benutzen und klar,du hast natürlich so Archive.org und so weiter, wenn Leute da nachschauen,sehen sie halt irgendwie, okay, da gab es mal was, aber für so Suchmaschinen,die wollen ja eigentlich relativ aktuell sein.Nein, das müsste meiner Meinung nach einen Mechanismus geben,dass in dem Moment, wo die Domain gekündigt wird, der Domain-Reseller mehr oderweniger die Suchmaschinen triggert und sagt.
Linus Neumann
Ist doch nicht doof, damit versaut er sich doch potenziell den Preis.
Tim Pritlove
Ja, es sei denn, die Regeln schreiben das halt vor, dass man das zu tun hat.
Linus Neumann
Genau, das ist nämlich, häufig werden Domains ja auch aus dem Grund aufgelöst,weil eine Domain kostet ja nicht viel.Und wenn du noch irgendein Interesse daran hättest, dann hältst du dir ja aufrecht.Ich meine, ich würde vermuten, mehrere Personen hier im Raum haben einen Batzenan Domains, die sie noch nicht mal nutzen und bis ans Ende ihres Lebens bezahlen werden.Einmal im Jahr versuche ich so ein paar zu reduzieren und das ist dann auchimmer so, oh, ja gut, aber okay, vielleicht habe ich noch 40 Jahre Lebenserwartung,sechs Domains weniger vielleicht. Vielleicht. Und,aber wenn du wirklich sagst, du cancelst das Ding, du verkaufst sie auch nichtan jemand anders, dann hast du wahrscheinlich auch einfach so ein richtigesScheißegal, die Domain ist jetzt weg. Fuck it.Und mir ist auch völlig egal, was da irgendjemand anderes als nächstes drauf macht. Das halt.Und wollten ihre Sonnenbrille. Genau. Und, war gut?
Tim Pritlove
Aber auch da sollte es wahrscheinlich auf Registrar-DNS-Verwaltungsebene soeine Art Lifetime-Record geben,dass man also wirklich so eine offizielle Meldung macht, diese Domain war imBesitz von dieser Firma von dann bis dann,auch um sich rechtlich da abzusichern.Aber auch um sozusagen eine Auskunft Teil zu sein für andere Entitäten im Internet,die das dann halt explizit befragen können und sofort wissen, okay,alles klar, diese Domain wurde da jetzt nicht mehr geführt, dann gibt es auchautomatisch eine Karenzzeit, was weiß ich, also wenn die jetzt nicht explizitals im Betrieb befindlich an jemand anders weiterverkauft werden,der es weiter betreiben soll.Weil wenn man explizit sagt, wurde aufgegeben, es gibt keine Verwendung im Sinneder ursprünglichen Nutzung mehr, zack bumm, hier ist jetzt Ende.Und so ein Mechanismus existiert einfach nicht.
Linus Neumann
Ja, aber auch das würde jetzt, also das ist ein grundsätzliches Problem,wahrscheinlich nicht nur für Fake-Shops, sondern eben auch für,oh ich habe eine Domain, die ist frei geworden, also das ist so ein grundsätzliches Problem.Die Fake Shops würde man damit jetzt nicht komplett eindämmen.Denn so wie es aussieht, du hastgesagt, insgesamt haben die über 75.000 Betrieben in einem Zeitraum von?Die haben ja dann schon auch nennenswert Infrastrukturkosten.Aber eben offenbar auch schon 50.000 Domains verloren.Oder aufgegeben.Genau, über die Zeit. Und diese Shops haben sie vermutlich offline genommen,weil sie irgendwann delistet wurden?Oder gibt es, das wäre die Vermutung?Die können sich an die wenden? Haben die eine Adresse? Oder wie passiert das?Und darauf antworten die dann?Und ihr habt aber auch festgestellt, dass sie bestimmte Produkte kann man da nicht listen.Ihr hattet quasi eine Blacklist an Marken.
Tim Pritlove
Also wer muss sich an diese Blacklist halten?
Linus Neumann
Kann man nicht bestellen oder nicht einstellen?
Tim Pritlove
Warum sind die auf der Blacklist?
Linus Neumann
Okay Ich will, also das ganz China auf der Blacklist ist, liegt wahrscheinlichdaran, dass diese Gruppe in China sitzt.Das war glaube ich auch zu großen Teilen in Kais Artikel. Dass sie schon durchausals Unternehmen funktioniert.Mit Sitz in?
Tim Pritlove
Das ist so eine größere Stadt, so an der Küste.
Linus Neumann
40 Millionen oder so.
Tim Pritlove
Wie groß sie ist. Kann ich aber kurz nachschlagen. Ja, man hat ja von den meistengroßen Chinesenstädten nichts gehört.
Linus Neumann
Aber die haben quasi dort eine,legale Entity. Die haben dort Angestellte.Die haben also ein richtiges Unternehmen.Nicht irgendwie eine Bande, die irgendwo sitzt, sondern einfach eine komplettelegale Entity in China mit Angestellten und hast nicht gesehen,die zehntausende Fake Shops betreut und fertig.Ist ja auch super easy. Ich stelle mir das so vor, wenn du jetzt so eine Web-Developerinbei einem Online-Shop bist,hast du mit allem zu tun, aber sicherlich nicht mit dem Lager und sicherlichnicht mit dem First-Level-Support der Kundinnen, die sich dort beschweren.Das heißt, ich kann mir sehr gut vorstellen, dass du da die ganze Zeit so einenOnline-Shop pflegst, Produkte rein und guck mal hier oben links noch ein Logooder so und dann siehst du vielleicht auch, dass da Bestellungen eingehen und das ist alles super.Das würde ich ja zum Beispiel auch potenziell erwarten als Mitarbeiterin oderZuarbeiterin in irgendeinem Online-Shop, dass ich da halt den Teil,der mich angeht, da kann ich dran und der, der mich nicht angeht, eben nicht.Aber, also okay, krass. Und gut, China zu dealisten ist einfach keine Beschwerdein unserer Jurisdiktion.
Tim Pritlove
Ja, ich wollte nur kurz mal rausfinden, wie die Stadt ausgesprochen wird.
Linus Neumann
Wie viele Leute wohnen da?
Tim Pritlove
8,2 Millionen.
Linus Neumann
Also ihr Kleinstauern-Dorf.
Tim Pritlove
Genau.
Linus Neumann
Also aus 80 Ländern dieses Planeten,also ungefähr die Hälfte der Länder haben das schon mal bestellt.Mehr als 100 Bestellungen. Ihr hattet auch eine Grafik angefertigt,die konzentrieren sich aber auf Europa, USA.So, jetzt sammeln, jetzt laufenda so diese Shops, irgendwo wird es dann wahrscheinlich ein Modell geben.Ich stelle mir jetzt vor, ich bin da Merchant. Also meine Aufgabe als Merchantist dann im Prinzip dafür zu sorgen, dass ich da coole Produkte drin habe.Es gibt irgendwie so eine Standardbestückung des Stores, aber ich könnte mirvorstellen, weil es ja viel Kleidung und Schuhe, das ist ja mindestens so ein saisonales Geschäft.Das heißt, da müssen diese 25.000 zum gegebenen Zeitpunkt aktiven Stores jaschon irgendwie auch immer, nicht alles so gnädig wie Doc Martens,die seit vielen Jahrzehnten mit dem gleichen Schuh einfach antreten.Okay.Dann gab es, glaube ich, auch irgendwie so eine Art Business Analytics,die man darüber gemacht hat, um zu gucken, welcher Shop jetzt oder welches Land.Also wenn ich 25.000 Online-Shops habe, das ist ja wirklich… Ja.Und das Payment Gateway wird dann auch einfach ausgerollt.Wenn ich ein Payment Gateway habe auf das, was weiß ich, 20 Online-Shops laufen,dann ändere ich das und die 20 Online-Shops werden automatisch umkonfiguriert,jetzt auf das neue zu werfen?Also schon auch wirklich von Leuten, die ungefähr wissen, wie man sowas macht.So, jetzt...Kai schaut sich das an, teilt das mit Le Monde, teilt das mit Guardian.Guardian spricht mit Betroffenen.Kai schaut sich das Firmennetzwerk dahinter an.Was passiert denn jetzt?Ist der Server denn offline?Hat denn jemand Cloudflare Bescheid gesagt?Andere Wege auf Cloudflare? Behörden.Möchtest du sagen, in welchem Land diese Behörde? Das ist keine deutsche.Also erstmal muss man glaube ich dieses Geschäftsmodell dann doch echt mal mitAnerkennung auch irgendwie sehen,weil du machst halt so ein Kleinstverbrechen, für das am Ende niemand irgendwie,ja, also Kai Biermann ist natürlich irgendwie auch verärgert gewesen,Aber das hat jetzt die Familie nicht in Notstand versetzt, dass er 40 Euro fürDoc Martens bezahlt hat.Ich meine sogar, das könnte noch ein zweites Mal passiert sein.Und aber, ne, das heißt, da gibt's dann irgendwie, ja, eine Medienkompetenzschulungfür die gesamte Familie beim Kauf von Schuhen oder so, ja,aber der wird jetzt, der wird und in dem Fall, klar, ne, Kalbiermann,Investigativjournalist, der beißt sich fest und,legt diesen ganzen hängt diesen ganzen Laden draußen zum Trocknen auf, ja, aber ähm.Die meisten Leute werden sich vielleicht ärgern, sind aber in ihrer,werden nicht so viel Energie aufbringen.Und wenn du jetzt bei irgendwie bei der Dorfpolizei auftrittst und sagst,ich habe hier eine Regenjacke für 70 Euro bestellt, die ist nicht gekommen,dann sagen die im Zweifelsfall, ja, hatte ich auch schon mal, warte mal noch.Es gibt einfach überhaupt keinen Strafverfolgungsdruck irgendwo,der groß ist. Und dann kannst du das Ding auf Millionen skalieren.Du brauchst halt nur 25.000 Online-Shops.Ich muss schon sagen, dass ich da Anerkennung für habe, dass man das so hochzieht.Stripe wahrscheinlich nicht so bekannt oder vielleicht nicht allen Hörerinnenbekannt ist ein Payment Abwechslungsanbieter ich glaube einer der größten vielleichtsogar der größte vor allem.
Tim Pritlove
Der beste also der wirklich funktioniert Funktioniert, so.Ja, die dementsprechend auch eine große Bedeutung haben. Also wird die von sehrvielen Webseiten benutzt. So Wirecard quasi.
Linus Neumann
Wirecard in echt.
Tim Pritlove
Schwieriger Vergleich. Dann auch die Meta-Ebene benutzen.
Linus Neumann
Thrive ist in Ordnung, lass Thrive in Ruhe.
Tim Pritlove
Ich wundere mich aber, dass die da nicht so empfänglich sind,weil das sollte ja nun eigentlich sehr in ihrem Interesse sein,aber keine Ahnung, was da so läuft.
Linus Neumann
I am a proud holder of the German Bundesverdienstcoin. Vielleicht.Aber 5000 ist ja verhältnismäßig wenig, wenn man jetzt so übliche Datenlecks anschaut.Also ein Online-Shop wird oder ein Leak ist gerne mal größer.Aber okay, die glauben dir nicht. Es gibt dann noch also ich meine am Ende solltedoch eigentlich derjenige Interesse daran haben, der den wirklichen Schaden hat.Also neben der Person, deren Geld weg ist. Jetzt hast du aber gesagt,die kriegen das potenziell von ihrer Bank zurück.Wo ich auch überrascht wäre, dass die Banken das tun.Aber wo in der Kette, wo sind denn jetzt, wo entsteht der, also ich würde sagen,größtenteils bei den Opfern entsteht der finanzielle Schaden.Dann vielleicht bei den Leuten, die denen Kreditkarten geben,also die Banken, kartenausgebenden Institute.Aber da ist es wahrscheinlich einfach schon viel zu divers, weil die über sound so viele Länder so und so viele Opfer haben, sodass bei denen kein ausreichendgroßer Leidensdruck entsteht.Genial. Lass uns das auch machen. Bei dieser Gelegenheit wollte ich nochmalempfehlen, LMP-Shirts könnt ihr bestellen.
Tim Pritlove
Es gibt da so einen schönen Begriff in der Bankenwelt, den fand ich schon immercool. Rentable Sicherheit.Also man macht das halt so sicher.Wie es sich rentiert. Also wenn halt irgendwie das Aussitzen von Credit CardFraud weniger Geld kostet, als irgendwas zu unternehmen, so,dann wird halt ausgesessen.Das ist eine reine Kosten-Nutzen-Analyse.
Linus Neumann
Und es ist ja auch tatsächlich, du sagst das immer so, als wäre das zynisch oder falsch.Du kaufst doch auch nur ein Fahrradschloss, was auf jeden Fall weniger als das Fahrrad kostet.
Tim Pritlove
Wann klang das jetzt so zynisch?
Linus Neumann
Ich weiß es nicht.
Tim Pritlove
Ich wollte nur diesen Begriff mal einfach in den Raum werfen,dass der halt so existiert.In gewisser Hinsicht ist er ja auch nachvollziehbar.Nur der potenzielle Schaden hier ist ja, dass sozusagen solche kriminellen Aktivitätennicht runtergefahren werden.Obwohl man ja im Prinzip das sehr gut belegen kann. Ich meine,warum lehnen die dich mit 5000 Kreditkarten ab, weil sie dir nicht glauben?Du kannst sie ja hochladen, dann können sie es ja selber überprüfen.
Linus Neumann
Du kannst aber in das Beschwerdefeld nur 4000 Zeichen eingeben.
Tim Pritlove
Ja gut, aber ich meine, da könnte man ja auch einen anderen Vorgang für vorsehen.
Linus Neumann
Da haben die dann einen Captcha, wenn du jetzt da anfängst.
Tim Pritlove
Aber du bist ja ein Roboter. Tja, naja, also auf jeden Fall ist hier noch einigeszu optimieren in diesen ganzen Meldungsprozessen.
Linus Neumann
Ich kann mir vielleicht ein bisschen außen vor gehalten.Ich glaube schon, dass ein größerer Teil der Leute, die halt irgendwie aktuelleMode bestellen, potenziell auch jünger sind und nicht so hohe Einkommen habenund es für die dann vielleicht doch schon ein Treffer ist,wenn sie da mal um 40 Euro oder 70 Euro verarscht werden, oder?Oder genau umso nicht.So, jetzt also Google hat kein wirkliches Interesse, Cloudflare hat kein wirklichesInteresse, bei Stripe sind sie auch nicht aufgesprungen, PayPal nicht, die Banken nicht.
Tim Pritlove
Jupp, keinen.
Linus Neumann
Die Verbraucherzentrale hat einen Fake-Shop-Finder.Ich hätte halt jetzt gedacht, okay, haben die beispielsweise eine Blacklist,die ich dann in meinen DNS-Server einbauen kann, also in meinen, wie heißt das denn hier,der DNS-Server, den eigentlich alle haben, ich will jetzt RetroPie heißen,aber der heißt ja Piehole, genau. Genau.Pi holt den klassischen hier DNS-Server, den man sich zu Hause hinstellt,mit Werbeblocken. Dann könnte ich ja auch mal die ganzen Fake-Shops dazu packen.Vermutlich verkaufen die einfach auch keine Produkte, wo ich Gefahr laufe, dass ich sie kaufe.Okay, aber wir könnten auch einfach das Ding auf GitHub hauen,in dem Format, für eine Host-File und dann...Oder wo jetzt schon wieder jemand anders einen Fake-Shop hat,das sind dann gar nicht mehr die, sondern die Konkurrenz.Ja, was war der Moment, den du am beeindruckendsten fandest?Du hast jetzt sich viele Monate on and off damit auseinandergesetzt.Und dann dahinter die Orchestrierung, die dafür sorgt, dass diese Webshops sichalle gleich sind und zentral gesteuert werden.Auf einem Server hattest du glaube ich gesagt so 200 Webshops teilweise auf einem?Ui.Warum mache ich denn unterschiedliche IP-Adressen auf den Server?Brauche ich doch heutzutage gar nicht mehr.Also ich könnte ja entsprechend...Auch mit TLS problemlos alle auf der gleichen IP laufen lassen.Okay. Gut, die werden sicherlich kein Geld verschwendet haben.Und dann, als du gesehen hast, wie viel Kohle die damit machen?Dass du online so viel bestellst.
Tim Pritlove
Nicht jeden Tag. Siehst du das auf deinem Konto? Wie viele Tage siehst du denn das auf deinem Konto?Du überweist es immer schnell, woanders hin.
Linus Neumann
Und hast du dir da mal irgendwie Gedanken drüber gemacht, dass du da jetzt dieganzen armen chinesischen Webdeveloper, die davon bezahlt werden,dass du denen jetzt Probleme machst? Hast du da gar kein Gewissen?Das legt sich. Also es gibt einfach viele schöne andere Länder.Seitdem ich nicht mehr in die USA reise, habe ich so viele tolle andere Länderkennengelernt. Das ist schon in Ordnung.Türkei bereise ich auch nicht mehr. Da gibt es tolle, Griechenland zum Beispiel.Okay. Ja, eine spannende Sache.Ich glaube, wir müssen noch eine Offenlegung machen.Man muss das an so einer Stelle, eine Offenlegung machen. Ja, das wäre ganz gut.
Tim Pritlove
Ich habe nichts damit zu tun.
Linus Neumann
Tim hat nichts damit zu tun, ich schon. Wir haben eigentlich seitdem Kantorkelda dran ist, ist natürlich sowieso drüber geredet.Ich habe aber jetzt keine nennenswerten Beiträge geleistet, außer klugen Rat.Besonders klugen Rat eigentlich. Immer.Und wir arbeiten zusammen. Das wurde auch von unserem Arbeitgeber oder von unsererFirma entsprechend veröffentlicht.
Tim Pritlove
Genau.
Linus Neumann
Das ist dein Problem, wenn du dir die Arbeitszeit nicht wiederholst.Ne, klar, sowas macht man natürlich nicht wirklich im 9-to-5-Ding und alleinschon auf dem Camp hatten wir ja auch Urlaub.Aber solche Dinge macht man natürlich auch aus dem Antrieb, der über,was weiß ich, dass es mein Job hinausgeht.
Tim Pritlove
Was ist denn so dein Antrieb?Was reizt dich denn da dran? Was ist denn so dein inneres Belohnungssystem?Weil bezahlt worden bist du dafür ja jetzt in dem Sinne nicht.
Linus Neumann
Und das finde ich ja auch ganz spannend, dass du diese Informationen,die du jetzt mehr oder weniger chronologisch, so wie sie im Kontext sind,wiedergibst, die hast du ja zusammen mit deinem Team über die Zeit nach und nach entdeckt.Das war ja nicht am ersten Tag auf einmal klar, sondern ganz im Gegenteil.Am Anfang war nur, es gibt Online-Shops, ja okay.
Tim Pritlove
Alright Dann sind wir eigentlich durch soweit, können wir jetzt den Bollerwagenvollladen und endlich losziehen Jetzt.
Linus Neumann
Geht's an den See.
Tim Pritlove
Ein bisschen rumpaulen, wieman das so macht heute. Naja, ich gehe jetzt erstmal ans Schneidegerät.Man muss jetzt nachsitzen, weil du so viel Privatsport betrieben hast.
Linus Neumann
Nee, es war, also tatsächlich, ich habe ja am Anfang schon gesagt,dass wir mit diesen Feiertagen durcheinander gekommen sind.Und es war bei dieser Veröffentlichung auch eines der Themen,dass Kai Biermann der festen Überzeugung war dass der 9.Mai in Berlin ja kein Feiertag ist oder nee, nur in Berlin ein Feiertag ist,weil das der Kampftag der Frauen ist und den anderen nicht machen und deswegen die Zeit am 9.Mai natürlich erscheint und dann kurzfristig so sagt er so was ich noch sagenwollte die erscheint doch am 8.Die Print, das ist ja ein Printzeit ganzseitig Artikel und dann durften Le Mondeund Guardian sagen, ja okay, dann schreiben wir es schneller,um das früher zu machen und Matthias hat sich einen schönen Call auf heute 15Uhr gelegt, weil es ja kein Feiertag ist.
Tim Pritlove
Oh Mann, ey.
Linus Neumann
Zu spät gesehen. Ja.
Tim Pritlove
So, vielen Dank, Kantorkel, für die Ausführung, für deinen dokumentierten Hacksport.
Linus Neumann
Nein, Obtain. Achso, wir haben das gar nicht aufgeklärt.
Tim Pritlove
Obtainerism.
Linus Neumann
Warum wir die ganze Zeit Obtained sagen?Weil wir haben die ja nicht gehackt. Und in dem Zeitartikel steht dann zum Beispieldrin so ein größeres Datenleck, das Zeit einsehen konnte.Wir haben die Daten. Und im Guardian-Artikel steht, Security Research Labs andIT Security Consultancy, who obtained gigabytes of data.Und dieses obtained finde ich halt sehr schön, weil, ja, obtained.
Tim Pritlove
Das würdest du wie übersetzen in dem Zusammenhang?
Linus Neumann
In dem Besitz gekommen sind.Ja, zugefallen ist es. Obtained. Wo hast du das her? Obtained. Ja.Und das finde ich... Ja, ich hab den Obtained.
Tim Pritlove
Jetzt muss ich mir doch noch mal anschauen, was so für Übersetzungsoptionen...
Linus Neumann
Erhalten, Erlangen, Erlangen.
Tim Pritlove
Besorgen, abrufen, erwirtschaften, bekommen, akquirieren.
Linus Neumann
Bekommen. Obtänt.
Tim Pritlove
Ich hab das nicht geklaut, ich hab das akquiriert.
Linus Neumann
Wie kommt dieses Gras?
Tim Pritlove
Ich bin kein Dieb, ich bin in der Akquise tätig.
Linus Neumann
Woher haben Sie den Gras in Ihrer Tasche? Den hab ich obtained. Den hab ich obtained.
Tim Pritlove
Oh Mann.
Linus Neumann
Ja genau, aber deswegen ist für mich auf jeden Fall seit dem Release gesternvon des Guardians Articles, ich freue mich, dass ich das Ding einfach nur obtain.
Tim Pritlove
Okay.
Linus Neumann
Can we obtain access to this box? I obtained data.
Tim Pritlove
Gut, Schluss jetzt mit dem Wortwitz hier. Das wird das alles wieder zu albern.Das ist ein ernstes Magazin hier, was wir hier produzieren.Sagen wir tschüss?
Linus Neumann
Vielen Dank, schönen Vatertag.
Tim Pritlove
Genau. Oder was er sonst noch so feiert. Bis bald.
Linus Neumann
Ciao, ciao.
Verwandte Episoden
Shownotes
Prolog
- de.wikipedia.org: Vatertag – Wikipedia
kantorkel
- logbuch-netzpolitik.de: LNP422 Bundesverdienstcoin
- ccc.de: CCC | CCC erbeutet Biometrie-Datenbank des US-Militärs
- media.ccc.de: Hide and seek ‒ über die Biometrie-Datenbank des US-Militärs
- media.ccc.de: Disclosure, Hack and Back
Feedback
DSGVO vs LLMs
- logbuch-netzpolitik.de: Kommentar von Wiebke
- media.ccc.de: Lass mal das Innere eines Neuronalen Netzes ansehen!
- logbuch-netzpolitik.de: Kommentar von Stefan Thesing
Bezahlkarte
- logbuch-netzpolitik.de: Kommentar von Lipfi
GamesCom Datenleck
golem.de: MÖGLICHE SCHWACHSTELLE ENTDECKT : Plötzlich Zeuge
BogusBazaar
Primärveröffentlichungen
- srlabs.de: BogusBazaar: A criminal network of webshop fraudsters
- zeit.de: Gefälschte Onlineshops: Wie chinesische Betrüger mit Fakeshops Millionen machen
- theguardian.com: Chinese network behind one of world’s ‘largest online scams’ | Scams | The Guardian
- lemonde.fr: Online scams: Behind the scenes of the world’s largest network of fake online retailers
- lemonde.fr: Arnaques en ligne: dans les coulisses du plus grand réseau de faux sites marchands au monde
Betrug- und Kartensicherheit
- verbraucherzentrale.de: Fakeshop-Finder: Prüfen Sie ob ein Online-Shop seriös ist | Verbraucherzentrale.de
- de.wikipedia.org: Payment Card Industry Data Security Standard – Wikipedia
- de.wikipedia.org: Personal Computer Memory Card International Association – Wikipedia
Weitere Berichterstattung
- heise.de: Über 850.000 Opfer: Bande in China steckt hinter zehntausenden Fake-Shops
- heise.de: BogusBazaar: gang in China behind tens of thousands of fake stores
- theregister.com: Fake e-commerce network scams $50M from Euro, Oz, US buyers • The Register
- bleepingcomputer.com: Massive webshop fraud ring steals credit cards from 850,000 people
- tomsguide.com: Over 850,000 people hit with online shopping scam that steals credit cards — how to stay safe | Tom’s Guide
Wenn man in die Definition der DS-GVO bezüglich „Verarbeiten“ schaut, ist tatsächlich auch das „Gegen eine Wand Werfen personenbezogener Daten“ eine Verarbeitung, also wortwörtlich: Verarbeiten ist „jeder […] Vorgang […] im Zusammenhang mit personenbezogenen Daten“ (Art. 4(1)). Der Anwendungsbereich der DSGVO wird nicht eröffnet sein, da sie nur gilt, wenn nicht-automatisch in einem Dateisystem verarbeitet wird, und eine Wand wird kein Dateisystem sein.
Ich stell mir mal vor es werden – von AI oder sonst jemand – Daten über jemanden gefunden, erzeugt, verarbeitet und auf Anfrage veröffentlicht, die leider falsch sind oder persönlicher Natur und nicht für die Öffentlichkeit gedacht.
Da find ich zumindest dringend geboten, daß die AI angeben kann wo sie die Daten her hat, damit eine betroffene Person dagegen vorgehen kann. Und das Recht der AI den Mund zu mir verbieten hätt ich in so einem Fall auch gerne.
Sehr spannend und vor allem schön, dass man sich darauf verlassen kann, zu allen größeren „Datengeschichten“ die Hintergrundinfos direkt in LNP auf die Ohren zu bekommen!
Die Frage, wer überhaupt ein Interesse an Aufklärung hat, musste ich mir neulich auch stellen, als mir so 150 EUR durch ein Expedia-Phishing abhanden gekommen sind, die Expedia dann aber schnell erstattet hat:
https://machteburch.social/@tomkalei/112302910371860915
https://www.mdr.de/nachrichten/deutschland/panorama/betrug-masche-expedia-booking-100.html
Das Interessante hieran war, dass Expedia mich überzeugt hat auf das Phishing hereinzufallen, nachdem ich sie eigentlich auf ihr Sicherheitsproblem hinweisen wollte … lange Geschichte. Aber am Ende wurde mir mein Geld + etwas Entschädigung erstattet und niemand will darüber reden.
25000 Webshops sind natürlich interessant. Auf die gleiche Größenordnung kommt man vielleicht, wenn man irgendwie alle Hotels angreifen könnte, die auf Booking / Expedia inserieren und vielleicht die gleiche Software benutzen, um das abzuwickeln. Wenn die eine Schwachstelle hat, die es erlaubt, den Kunden Nachrichten zu schicken, kann man das gut skalieren und ganz viele kleinere Beträge einsammeln (bzw. einfach Kreditkartendaten).
Zu „Bank erstattet das dann schnell und unkompliziert“ noch der Kommentar, dass diese VISA Debitkarten auch deshalb bei Banken so populär sind, weil da viel weniger versichert und erstattet wird. In meinem Fall habe ich die Betrugstransaktion mit 2. Faktor autorisiert, was bei diesen Webshops/Stripe sicher auch normal wäre. In diesem Fall kommt man an das Geld nicht wieder heran, das steht in den Kartenbedingungen. Alles, was per Visa Secure autorisiert wurde, ist final. Die Bank und der Zahlungsdienstleister haben kein Interesse daran, da irgendwas aufzuklären oder Chargeback auszulösen.
Hallo Linus,
Hallo Tim,
Hallo Kantorkel,
Einen Gedankengang habt Ihr garnicht beleuchtet; wenn die Gang jetzt ihre Webshops und sonstige Infrastruktur wasserdicht und nach dem Stand der Technik aufsetzt – dann stolpert auch kein Kantorkel mehr darüber! Jetzt schon will niemand diese kriminellen Machenschaften verfolgen. Wenn das in Zukunft komplett ins dunkle Netz abtaucht? Was bedeutet das für den Online-Handel oder noch größer: Was bedeutet das für das INTERNET ??
Ich verstehe überhaupt nicht, wie man sich so verrenken kann, um zu sagen, dass LLMs die Daten nicht speichern. Natürlich speichern sie die. Ob man neuronale Netze mit einer Datenbankvergleichen kann? Natürlich sind sie eine Datenbank. Die Daten werden zwar in einer irreversiblen Art komprimiert, aber das ist alles andere als neu in der IT.
Was ist mit JPEG und Co? Da werden aus Pixeldaten irgendwelche Kurven, die dann mit mathematischen Parametern abgespeichert werden. Ist ein JPEG von einem Bild deshalb nicht mehr das Bild? Die relevanten Informationen sind im JPEG vorhanden, selbst wenn man von den Rohdaten auf wenige Prozent Dateigröße kommt. Jeder würde sagen, es ist dasselbe Foto.
Was ist mit anderen Medienbrüchen? Was ist, wenn man eine Schallplatte auf Magnetband überspielt? Und das Magnetband dann abspielt und als MP3 speichert? Ist das dann nicht mehr dasselbe Lied? Gilt dann das Urheberrecht nicht mehr? Und selbst wenn man aus vielen Medien eins macht, das nicht mehr reversibel ist, dann ist es ein abgeleitetes Werk. Dafür spielt es nichtmal eine Rolle, ob man das Original heraushört.
Was ist mit Schwarzweißfotos von farbigen Gemälden? Was ist mit abfotografierten Texten? Am besten als JPEG gespeichert. Was ist mit Fotos von Skulpturen? Das erfasst auch nicht die Gesamtheit des dreidimensionalen Objekts. Dasselbe gilt ja dann auch für Fotos von Personen.
Mein Punkt ist: Die relevante Information für Urheberrecht und Datenschutz ist in vielen Fällen enthalten. Ob man sie wieder originalgetreu herausbekommt oder nicht, ist unerheblich. Die Vorstellung, dass mit LLMs irgendwas anders ist als mit anderen Medienbrüchen, finde ich nicht nachvollziehbar.
Ich bin auch der Meinung, dass das Urheberrecht mit Jahrzehnten nach dem Tod des Urhebers nicht zeitgemäß für das Internet ist. Ich bin auch ein absoluter Fan von freier Software, Wikikultur und Creative Commons. Aber das hat alles mit LLMs nichts zu tun. Erst recht nicht, wenn Vertreter der Copyright-Mafia wie Microsoft jetzt auf einmal vom Urheberrecht nichts wissen wollen.
Ein schönes Bespiel ist auch Code Whisperer vs. Copilot. Ersterer ist von Amazon und nennt bei jedem Codevorschlag Herkunft und Autor des Codes und die Lizenz. Laut den Klageschriften gegen Copilot war das bei OpenAI früher auch so, wurde aber absichtlich entfernt. Es wurde sogar extra Aufwand getrieben, um Autorenkennzeichnungen im Werk selbst zu entfernen.
Es gibt zumindest eine Möglichkeit aus ChatGPT den richtigen (zumindest laut Wikipedia, eventuell steht ja hier auch was falsches) Geburtstag zu finden. Wenn man es bittet im Internet danach zu suchen: https://chat.openai.com/share/036a384d-98af-4053-bec2-8c4d9b06ed5a
Ich hab’s beim Hören der Sendung auch direkt ausprobiert, aber einfach nur „Wann hat Tim Pritlove Geburtstag?“ gefragt. Interessanterweise kam ChatGPT bei mir von alleine auf die Idee, im Internet zu suchen. Vielleicht haben sie das im 4o-Modell getuned und fallen bei solchen Anfragen eher auf eine Internetsuche zurück.
Die „Herrentag“-Tradition haben Berliner Brauer anscheinend als verkaufsfördernde Maßnahme initiiert https://www.tagesspiegel.de/berlin/als-die-sohne-saufen-lernten-3627148.html
Hmm, jetzt wo ihr das mit dem Bogus Basar so erzählt. Ich glaub ich bin vor ein paar Jahren auch mal auf so einen Fake Shop reingefallen. Zu lange her für die Details, aber passt sehr gut. (In dem Fall hab ich ein Brillenmodell gesucht, was es wo anders nicht mehr zu kaufen gab).
Eine kleine Volksethymologie zum Vatertag:
An Christi Himmelfahrt fährt Christus auf zum Herrn. Deshalb wird der Tag unter Christen auch „Tag des Herrn“ (Jesus wird auch selbst der Herr genannt – es ist kompliziert mit der Dreifaltigkeit).
Von „Tag des Herrn“ ist es nicht weit zum „Herrentag“. Da viele Herren auch Väter sind und Gott der Herr auch Gott-Vater ist und Jesus der Herr gern Wein herbeizaubert, ist es ganz klar, dass das der Tag des Vaters ist, an dem jüngergleiches Umhervagabundieren und wunderhaftes Besäufnis aus väterlicher Güte geborenes göttliches Gebot ist.
Wir Christen fügen uns demütig in dies Schicksal.
Euer Link zu kantorkels Twitter-Account liefert von X die Meldung, dass dieser Account (@kantorkel) nicht existiert.
Die verlinkte Website zu ihm besagt zudem, er arbeite nicht mehr in der Arbeitsgruppe, die die Website hostet.
Nur als Hinweis, vielleicht gibt es ja aktualisierte Verweis bzgl. Eures Gastes…
Outdated information. Hab’s aktualisiert.
Ich bin erstaunt, dass euch bei dem dem Begriff „obtainen“ nicht direkt noch eine andere Wortassoziation gekommen ist. Wenn man weggeworfenes, aber noch essbares Obst und Gemuese containern gehen kann, dann kann man schlecht (oder garnicht) gesichterte Daten im Netz obtainern gehen. Ich dachte ehrlich gesagt bei Linus‘ erster Erwaehnung des Begriffs, dass es darauf hinauslaeuft :)
Tolle Folge, sehr spannend. Und an dieser Stelle mal ein Gesamtlob fuer eure Arbeit. Ich glaube nur LNP hat es bisher geschafft, mich laut zum Lachen zu bringen, und mich gleichzeitig intellektuell so anzuregen. Dabei sind es meist garnicht die Themen an sich, sondern die Exkurse ueber Moral, und eure differentierte Analyse der besprochenen Ereignisse.
Danke.
Ratespiel IT-Abkürzungen:
PCMCIA = People Can’t Memorize Computer Industry Acronyms
Ich lolte, thx.
Re Chongqing, einer der größten Städte der Welt – ich meine sogar die bevölkerungsreichste Stadt der Welt aktuell – lohnt sich da mal n Abend Internet reinzuinvestieren. Ungefähr jedes youtube video zu Chongqing trägt den Titel „This is CRAZY“ und es ist unterhaltsam
#roboterkellner
https://youtube.com/shorts/Tjss7uFrYmg?si=3kkIurhN4Y2YQb0K
#wievielte stock https://youtube.com/shorts/AORnSbXYot0?si=8L5V6ppQ3x1xbIso
#Autobahn
https://m.youtube.com/watch?v=YEEKl6gGtRM&pp=ygUSY2hvbmdxaW5nIG92ZXJwYXNz
#landstraße
https://youtube.com/shorts/l9A7pOAd468?si=ko6DvI740_ZE-VWo
#sightseeing
https://youtube.com/shorts/gxh__zOpw3g?si=6wTYWPKZTqpkjOX
#schaukeln
https://youtube.com/shorts/bV2mOLXbsvw?si=JhbbGHldLxLfduoZ
#amusement
https://m.youtube.com/watch?v=VyYS8cHHBn0&pp=ygUjQ2hvbmdxaW5nIG9yZG92aWNpYW4gYW11c2VtZW50IHBhcms%3D
Rechtstheoretische Fußnote zur Meta-Diskussion um OpenAI und DSGVO bzw. Feedback zum Feedback: die von Stephan so bezeichnete Unterscheidung von „oberer Ebene“ und „Meta-Ebene“ heißt im Fachvokabular „de lege lata“ (zu deutsch: „geltendes Recht“) und „de lege ferenda“ (deutsch: „zu schaffendes Recht“). Bei juristischen Aussagen de lege lata geht es darum, ob das Recht richtig angewendet wurde. Bei dieser Frage, so Tim selbst vor einiger Zeit, versucht ihr letztlich „in einem Code zu lesen, den wir nicht verstehen“. Das ist keine Kritik, sondern soll nur unterstreichen, dass für den Podcast die Musik in der Diskussion „de lege ferenda“, man kann auch sagen, in der Rechts-Politik spielt (sagt ja schon der Name: Logbuch Netz-(Rechts-)Politik). Das sind dann Fragen wie: Ist die DSGVO, die KI-Verordnung, die NIS-2-Richtlinie sinnvoll? Welche Änderungen an den Gesetzen sind wünschenswert? Auch: Ist ein Urteil in seinen Folgen richtig? Aber eben nicht: Ist das Urteil als-solches, also rechtlich richtig? Die beiden Sphären werden methodisch über die richterliche Rechtsfortbildung – im Gegensatz zur Rechtsanwendung, auf die Richterinnen aus Gründen der Gewaltenteilung ansonsten beschränkt sind – gekoppelt, aber das nur am Rande. Euer technisches Wissen führt euch regelmäßig zu sehr interessanten rechtspolitischen Aussagen, u. a. deshalb höre ich diesen Podcast so gerne. Für Aussagen zur Rechtsanwendung gilt das leider nicht immer (vgl. die Urteilsbesprechung zu Quad9 oder Tims mit Blick auf Artikel 4 Nr. 1 DSGVO doch eher mittelmäßige Ausführungen zum Begriff der Verarbeitung). Da gibt es auch andere Podcasts dazu. Insofern würde ich mir vor und bei der Diskussion der Rechtsthemen eine kurze Reflexion zu dieser Kategorien-Differenz UND eine Fokussierung auf die Aussagen de lege ferenda wünschen. Ganz liebe Grüße, macht immer weiter! Philipp
Die c’t hat gerade einen ganzen Podcast zum Thema LLMs (bzw. KI) vs DSGVO gemacht. Dort besprechen sie die neue „Orientierungshilfe“ zum Umgang mit generativer KI.
Die ist aber anscheinend ziemlich realitätsfern. Z.B. sollen vor- bzw. nachgeschaltete _Filter_ eine Lösung sein, aber das ist wohl auch nicht praktikabel. Ebenso wie die meisten anderen Vorschläge dort.
Fazit: Es gibt ein rechtliches Vakuum, welches vermutlich erst einige Zeit nach der EU-Wahl angegangen werden wird.
Wobei es dann noch den hamburgischen Datenschutzbeauftragten gibt, der die Position vertritt, dass die DSGVO bei LLMs gar nicht anwendbar ist…
https://www.heise.de/hintergrund/Auslegungssache-109-Das-KI-DSGVO-Dilemma-9721822.html
Zu der Frage, ob die „Franchise-Nehmer“ wissen, ob das Betrug ist. Wurde die Möglichkeit beleuchtet, ob das vielleicht als Dropshipping verkauft wird? So nach dem Motto „Hier kannst du das große Geld machen, in dem du deinen eigenen Online-Shop erstellst. Wir kümmern uns um die Infrastruktur und den Versand.“ In dem Fall wüssten die wahrscheinlich nicht, dass die Produkte nie geliefert werden. Das wäre doch die Gelegenheit, direkt beide Seiten abzuziehen. Das könnte ggf. auch erklären, warum die so viele IP Adressen haben. Womöglich bekommt halt jeder „Kunde“ aus irgend einem Grund eine eigene IP. Und das zahlen dann halt auch die Franchise-Nehmer.