Total Recall – Unter der Lupe der Künstlichen Intelligenz
Es klingt wie die Handlung eines düsteren Science-Fiction-Spionagethrillers: Ein Programm, das dich ununterbrochen überwacht und kontrolliert – natürlich nur zu deinem eigenen Schutz – und dann plötzlich kompromittiert wird. Im Zentrum steht Microsoft Recall, doch sie sind bei weitem nicht die Einzigen in diesem Spiel: Auch Schwergewichte wie Starbucks, Amazon und Walmart setzen fortwährend Überwachungstechnologien bei ihren Angestellten ein.
Lasse uns jedoch am Anfang beginnen.
Lokale Speicherung von Daten - einfach hackbar auf Windows
Was als nettes Feature mit AI gedacht war, kam nun wie ein Boomerang zurück. Stellen wir uns mal vor, wir arbeiten am Computer und ein unbemerkter Beobachter macht alle fünf Sekunden einen Screenshot von unserem Bildschirm. Klingt nach einem schlechten Sci-Fi-Agenten-Thriller, oder? Nun, das ist genau das, was Microsoft Recall, das neue "Recall"-Feature von Microsoft für Windows 11, tut - und es wurde bereits von Sicherheitsforschern gehackt, bevor es offiziell gestartet wurde.
Eigentlich wäre es ja ein gutes Feature, wir finden alles wieder, jederzeit und sofort - aber nicht, wenn natürlich andere darauf Zugriff hätten.
Microsoft behauptet, dass ein Angreifer physischen Zugriff und gültige Anmeldedaten benötigt, um auf die Daten zuzugreifen. Ethical Hackers haben jedoch gezeigt, dass dies nicht stimmt. Die Daten können auch remote abgegriffen werden, und der Sicherheitsforscher Alex Hagenah hat ein Tool namens "TotalRecall" veröffentlicht, das automatisch alle von Recall erfassten Daten extrahieren und anzeigen kann. Damit lässt sich die gesamte Benutzeraktivität in Sekunden auslesen.
Ausgelöst durch einen Tweet wurde bekannt: "Die Datenbank ist nicht verschlüsselt. Es ist alles Klartext. Es ist wirklich ein Trojaner 2.0, der eingebaut ist."
Infostealer-Malware könnte leicht modifiziert werden, um die Recall-Daten abzugreifen und zu exfiltrieren, bevor sie von Sicherheitssoftware erkannt wird. Die Daten sind effizient komprimiert, so dass Tage an Aktivitäten nur wenige Kilobyte benötigen. Forscher konnten sogar ohne Administratorrechte auf die Daten zugreifen, was die letzte Sicherheitsbarriere aushebelt.
Das britische Datenschutzbüro ICO (Information Commissioner's Office) untersucht derzeit das Recall-Feature hinsichtlich möglicher Datenschutzverletzungen. Datenschutzexperten befürchten, dass Recall gegen Datenschutzgesetze in der gesamten EU (und in Grossbritannien) verstösst. Insbesondere für Unternehmen, die sich an die DSGVO halten müssen, könnte Recall problematisch sein, z.B. in Bezug auf das "Recht auf Vergessenwerden".
Obwohl Microsoft angekündigt hat, Recall standardmässig zu deaktivieren und weitere Sicherheitsmassnahmen zu ergreifen, bleiben viele Fragen offen. Eine offizielle Zulassung oder Ablehnung durch EU-Behörden wurde bisher nicht kommuniziert. Es ist davon auszugehen, dass die Datenschutzkonformität von Recall in Europa weiterhin kritisch geprüft wird.
Aber, Du brauchst kein Recall Ai um überwacht zu werden.
Aware AI weiss, wie Du dich fühlst - indem es dir zuhört und mitliest
Laut einigen vorliegenden Quellen nutzen bereits zahlreichegrosse Unternehmen wie Starbucks, Nestlé, Walmart, Delta, T-Mobile, Chevron und AstraZeneca eine KI-Plattform des Startups Aware, um Mitarbeitergespräche auf Messaging-Plattformen wie Slack, Microsoft Teams und Zoom zu überwachen.
Die gesammelten Daten sind anonymisiert, aber ein separates Tool kann dies in extremen Bedrohungsszenarien tun.
Die Aware-Software scannt die Plattformen nach Schlüsselwörtern, die auf Unzufriedenheit der Mitarbeiter und Sicherheitsbedenken hinweisen. Die KI kann auch verschiedene Verhaltensweisen wie Mobbing und Belästigung erkennen. Laut Aware hilft ihre KI Unternehmen, die Stimmung der Mitarbeiter in Echtzeit zu verstehen und jährliche Umfragen "zu vermeiden".
Aware hat bereits bis zu 20 Milliarden Nachrichten von über 3 Millionen Mitarbeitenden analysiert. Die Daten in Awares Analyseprodukt sind anonymisiert, sodass die Namen der Mitarbeiter nicht angezeigt werden, aber ein separates Tool kann dies in extremen Bedrohungsszenarien tun.
Unternehmen wie Walmart, T-Mobile, Chevron und Starbucks nutzen Awares Technologie für Governance, Risiko und Compliance, was 80% des Geschäfts von Aware ausmacht.
Delta nutzt sowohl die Analyse- als auch die eDiscovery-Tools von Aware, um Trends und Stimmungen zu verfolgen und Feedback von Mitarbeitern und Stakeholdern zu sammeln.
Die Verwendung von KI zur Überwachung von Mitarbeitern wirft jedoch Bedenken hinsichtlich der Privatsphäre und des potenziellen Missbrauchs auf.
PS: Microsoft hat unterdessen auf die Kritik an Windows Recall reagiert und verspricht, Sicherheitsprobleme zu beheben und die Funktion optional zu machen. Microsoft wird nun "just-in-time"-Schutz einführen, der Daten nur nach Authentifizierung durch Windows Hello entschlüsselt. Zudem wird Windows Recall nicht standardmässig aktiviert sein und während der Einrichtung von Windows optional angeboten. Weitere Sicherheitsmassnahmen beinhalten die Verschlüsselung der Suchindex-Datenbank und die obligatorische Anmeldung über Windows Hello.
Disclaimer: dieser Artikel wurde aufgrund des Artikels in der Quelle geschrieben, mit Deepl Write verbessert und Mistral zusammen gefasst und vereinfacht. Das Bild stammt von IdeogramAi. Dieser Artikel ist rein edukativ und erhebt keinen Anspruch auf Vollständigkeit.
Bei Fragen? #fragRoger
Willst du mehr wissen? Sehr gerne komme ich auch bei Dir, bei deiner Firma, deiner ERFA Gruppe oder deinem Verband vorbei und helfe mit einem Workshop oder einer Keynote / Referat.
Lass uns gerne mal unverbindlich sprechen. Also wenn ich helfen kann, wende dich gerne an mich #fragRoger
Kennst Du schon meine fragRoger Newsletter: werde Teil einer Community und erhalte Vorzuüge zu Büchern und exklusive Einladungen und vieles mehr: https://fragroger.beehiiv.com/
Quellen:
[...] https://apeejay.news/ai-scrutiny-companies-to-employ-aware-software-to-monitor-employee-chats/
[...] https://www.ksby.com/is-your-company-using-ai-to-monitor-you-while-you-work
