Sie müssen für eine Operation ins Krankenhaus und Ihr Arzt macht zur medizinischen Dokumentation ein Foto von Ihnen. Natürlich darf der Arzt diese Aufnahme nur zu diesem Zweck verwenden. Doch Jahre später finden Sie genau dieses Foto von Ihnen im Internet in der Datenbank einer künstlichen Intelligenz. Die KI generiert daraus neue Bilder.
Diese verstörende und die Privatsphäre verletzende Erfahrung machte eine in San Francisco lebende Künstlerin, die sich auf Twitter Lapine nennt. Dass sie diesen Skandal aufdecken konnte, hat mit ihrem Beruf zu tun. Als Künstlerin fertigt sie Bilder an und stellt sie ins Internet, wo sie öffentlich zugänglich sind. Im Jahr 2022 sind Bildgeneratoren in Mode gekommen, die mit Hilfe künstlicher Intelligenz neue Fotos erzeugen oder bestehende Bilder bearbeiten können.
Bekannt ist zum Beispiel die App Lensa, die Porträtfotos von Ihnen in Bilder von Superhelden, Feen und anderen Fantasiefiguren verwandelt. Lensa nutzt dazu den KI-Bildgenerator Stable Diffusion der Firma Stable AI. Damit solche KI-Bildgeneratoren funktionieren, müssen sie zunächst mit Millionen von Fotos trainiert werden.
Ein Großteil dieser Trainingsdaten stammt aus dem Internet und umfasst öffentlich zugängliche Bilder. Daraus lernt die KI nicht nur, wie Menschen, Hunde und Katzen aussehen, sondern auch, in welchem Stil Künstler malen. Die KI lernt beispielsweise den Stil von Salvador Dalí oder Vincent van Gogh. Dieser Eklektizismus sorgt für viel Kritik.
Auch die Künstlerin Lapine aus San Francisco wollte wissen, ob ihre Bilder in einer KI stecken und lud unter anderem ein Porträtfoto von sich zur Suchmaschine "Have I been trained" hoch. Diese spukte dann ähnliche Bilder aus, darunter auch die Aufnahmen, die ihr Arzt Jahre zuvor vor Ihrer Operation gemacht hat.
Lapine berichtete dem Magazin Ars Technica, dass der Chirurg, der sie fotografiert hatte, 2018 gestorben sei. Sie vermutet, dass die Bilder irgendwann danach aus der Obhut der Praxis in die Fänge von Datensammlern gelangten und schließlich in der Datenbank Laion landeten, die rund 400 Millionen verschlagwortete Bilder enthält. Laion hat die Bilder allerdings nicht auf eigenen Servern gespeichert, sondern verwaltet sie nur über Links zu anderen Quellen. Dadurch kann die Datenbank die Verantwortung für missbräuchlich verwendete Bilder leicht von sich weisen.
So suchen Sie nach eigenen Bildern in den KI-Bilddatenbanken
Wenn Sie wissen möchten, ob Fotos von Ihnen bereits in einer der großen Datenbanken enthalten sind, die jetzt von den neuen KI-Bildgeneratoren verwendet werden, können Sie den Dienst unter https://haveibeentrained.com nutzen. Der Name des Dienstes bezieht sich auf den existierenden Dienst https://haveibeenpwned.com, mit dem Sie nach gestohlenen Zugangsdaten suchen können.
Idealerweise verwenden Sie die Suchmaschine Have I been Trained so, dass Sie den Link zu Ihrem Foto, das sich bereits im Internet befindet, in die Suche eingeben. Wenn sich der Link und damit das Foto in der Datenbank von Laiom befindet, werden Sie darüber informiert und erhalten Hilfe, wie Sie den Eintrag aus der Datenbank entfernen können. Auf diese Weise wird das Foto zumindest nicht mehr von zukünftigen KI-Generatoren verwendet.
Anstelle eines Links zu Ihrem Foto können Sie auch eine Fotodatei in die Suchmaschine hochladen. Aber das wollen Sie wahrscheinlich nicht: noch mehr Fotos von sich im Internet. Die Suchmaschine richtet sich in erster Linie an Künstler, die herausfinden wollen, ob Bilder von ihnen in der AI-Datenbank gelandet sind, da es in der Folge zu Urheberrechtsproblemen kommen kann.
Datenlücke bei Facebook: 500 Millionen Daten gestohlen
Im November 2022 machte eine Nachricht die Runde: "Riesiger Whatsapp-Leak - 6 Millionen deutsche Nutzer betroffen". Die Nachricht stieß auf großes Interesse, da unter den gestohlenen Daten auch Telefonnummern waren. Gleichzeitig schien es zu dieser Zeit vermehrt SMS- und Telefon- Spam-Angriffe auf deutsche Nutzer zu geben. Obwohl unklar ist, ob die Spammer die Daten aus dem Datenleck verwendet haben, war und ist die Verunsicherung bei vielen Nutzern groß.
Die sechs Millionen Datensätze stammen übrigens nicht aus einem neuen Whatsapp-Leak aus dem Jahr 2022, sondern sind Teil eines Datendiebstahls bei Facebook, der 2021 bekannt wurde und wohl bereits 2019 stattfand. Damals sollen Daten von rund 553 Millionen Facebook-Nutzern entwendet worden sein. Das sind mehr als 20 Prozent aller Facebook-Nutzer weltweit. Von den betroffenen Facebook-Nutzern wurden unter anderem folgende Daten gestohlen: Mailadresse, Geburtstag, Geschlecht, Arbeitgeber, geografischer Standort, Name, Telefonnummer und Beziehungsstatus.
Sind Sie vom Facebook-Leak betroffen?
Findige Anwaltskanzleien haben speziell für den Facebook- oder Whatsapp-Leak eine Suchmaschine entwickelt, die prüft, ob Ihre Telefonnummer betroffen ist. So bietet die Kanzlei "Wilde Beuger Solmecke" eine Abfrage unter https://www.wbs.legal/i/dl-facebook. Sollte Ihre Handynummer als Teil des Facebook-Leaks erkannt werden, bietet Ihnen die Kanzlei sofort an, für Sie 1000 Euro Schadensersatz von Facebook zu erstreiten.
Twitter-Datenleak: Namen, Mailadressen und Telefonnummern
Die Daten von mehr als 200 Millionen Twitter-Nutzern liegen in Untergrundforen. Sie stammen unter anderem aus einer früheren Schwachstelle in der Twitter-API und sollen Ende 2021 gestohlen worden sein. Unter den erbeuteten Daten sollen sich unter anderem Kontennamen, Telefonnummern und Mailadressen befinden. Das ist besonders ist für Nutzer tragisch, die Twitter anonym nutzen und auf diese Anonymität angewiesen sind. Um herauszufinden, ob Ihre Daten Teil der Hehlerware sind, verwenden Sie eine Spezialsuchmaschine wie Have I been pwned.
Datendiebstahl bei IT-Dienstleister der Krankenkassen
Anfang Januar wurde bekannt, dass die Firma Bitmarck Opfer eines Datendiebstahls geworden ist. Bitmarck verwaltet Daten von Krankenkassen.
Zu den Kunden gehört unter anderem die Betriebskrankenkasse DAK. Insgesamt sollen die Informationen von 25 Millionen Versicherten der gesetzlichen Krankenkassen bei Bitmarck liegen. Welche und wie viele Daten von dem Diebstahl betroffen sind, war bei Redaktionsschluss noch unklar. Allerdings wurden bereits gestohlene Bitmarck-Daten im Darknet zum Kauf angeboten.
Was Sie über Identitätsdiebstahl wissen müssen
Die oben genannten Beispiele zeigen einige besonders schwerwiegende Fälle von Datendiebstahl in Form von Identitätsdiebstahl. Die gestohlenen Daten können dazu verwendet werden, die Identität einer anderen Person anzunehmen. Mit gestohlenen Anmeldedaten können Hacker zum Beispiel in Onlineshops einkaufen oder sich mit den Anmeldedaten in die Firma des Opfers hacken. Dort erbeuten sie dann weitere Daten. Mit gestohlenen Ausweisen können Kriminelle Mobilfunkverträge inklusive neuem Luxushandy abschließen oder andere hochpreisige Waren erwerben.
So schützen Sie sich vor Identitätsdiebstahl
Um sich vor Identitätsdiebstahl zu schützen, sollten Sie sorgfältig mit Ihren persönlichen Daten umgehen und äußerst datensparsam sein. Konkret bedeutet dies, dass Sie jedes Mal innehalten sollten, wenn Sie im Begriff sind, ein Foto von sich, Ihre Mailadresse oder andere persönliche Informationen ins Internet zu stellen. Muss dieses Foto wirklich online sein? Muss ich diese Daten wirklich an diesen Onlinedienst weitergeben? Je weniger Daten Sie im Internet preisgeben, desto weniger können gestohlen werden.
So finden Sie heraus, ob Ihre Daten gestohlen wurden
Es gibt verschiedene Möglichkeiten herauszufinden, ob gestohlene persönliche Daten von Ihnen im Internet angeboten werden.
Google & Co: Eine Möglichkeit besteht darin, regelmäßig herkömmliche Suchmaschinen wie Google zu verwenden, um Ihren Namen und andere persönliche Informationen einzugeben und zu sehen, ob Ergebnisse auf illegalen Websites oder Onlinemärkten erscheinen.
Spezielle Suchen: Eine andere Möglichkeit besteht darin, spezielle Websites zu nutzen, die sich auf die Suche nach gestohlenen persönlichen Daten im Internet spezialisiert haben, wie z.B. "Have I Been Pwned". Auf dieser Website können Sie Ihre Mailadresse eingeben und sehen, ob sie in einem bekannten Datenleak enthalten ist. Meist erfahren Sie, aus welcher Quelle die gestohlenen Daten stammen und ob neben Benutzername und Passwort noch weitere Informationen gestohlen wurden.
Dark-Web-Suchen: Einige der gestohlenen Datensätze werden im Dark Web zum Kauf angeboten. Um das Dark Web zu erreichen, benötigen Sie einen speziellen Browser, etwa den Tor-Browser. Die Websites im Dark Web sind grundsätzlich versteckt. Nur wer die genaue Adresse kennt, kann eine Website öffnen. Dennoch gibt es ein paar Dark- Web-Suchmaschinen, die zumindest einen Teil des Dark Webs kennen. So können Sie etwa über Torch (http://xmh-57jrzrnw6insl.onion), Duck Duck go (https://3g2upl4pq6kufc4m.onion) oder Not Evil (http://hss3uro2hsxfogfq.onion) nach persönlichen Daten von Ihnen suchen.
Aber Vorsicht: Bitte beachten Sie, dass das Dark Web von Kriminellen genutzt wird. Sein Sie dort noch mal vorsichtiger mit der Preisgabe von Informationen.
Passwort ändern: Sollten Ihre Log-in-Daten in einem Datenleak auftauchen, sollten Sie dringend das verwendete Passwort ändern, und zwar bei allen Ihren Log-ins, bei denen Sie dieses Passwort genutzt haben.
Kostenpflichtig: Professionelle Dienste für den Identitätsschutz
Neben den Spezialsuchmaschinen zu Datenleaks gibt es auch kostenpflichtige Dienste, die Sie abonnieren können und die automatisch nach gestohlenen persönlichen Daten suchen. Die Dienste versprechen, Sie möglichst schnell über neu in Untergrundforen aufgetauchte Daten zu informieren, und sie bieten darüber hinaus Hilfe bei einem Identitätsdiebstahl an. Allerdings gibt es diese Zusatzleistungen in Deutschland nicht oder nur sehr eingeschränkt. Entsprechend lohnen sich die Dienste unserer Ansicht nach für Bewohner in der EU eher nicht. Es sei denn, Geld spielt keine Rolle.
Bekannte Dienste für den Identitätsschutz sind: Identity Guard, ID Watchdog, Identity Force und Life Lock.
Schutztools: Identitätsschutz von F-Secure und McAfee
Zwei Antivirenhersteller haben ihre Antivirensuiten um eine Funktion zum Identitätsschutz ergänzt.
Beim Hersteller F-Secure finden Sie den zusätzlichen Schutz in seinem Passwort-Manager ID Protection. Das Tool überwacht das Internet kontinuierlich auf illegal veröffentlichte persönliche Informationen des Nutzers von ID Protection und benachrichtigt ihn umgehend. ID Protection greift laut Anbieter auf eine Datenbank mit über 100 Milliarden Einträge zu Datenschutzverstößen zu. Die Datenbank umfasst zudem über 20 Milliarden Passwörter im Klartext.
Der Antivirusexperte McAfee hat seine Sicherheitssuite ebenfalls erweitert und bietet einen Identitätsschutz in den Varianten McAfee Plus und Plus Advanced (ab 65 Euro für ein Jahr und fünf Geräte). Die letztgenannte Variante soll auch einen telefonischen Support bieten, wenn Ihnen wichtige persönliche Daten, wie der Personalausweis, gestohlen wurden.
In unserem Schnelltest entdeckte McAfee, dass unsere Log-in-Daten in Untergrundforen kursieren. Kontakt zu einem Experten wurde uns deswegen aber nicht angeboten. Stattdessen empfahl die Software, dass wir unsere Passwörter ändern.
Wer kennt meine Daten? Die Frage, wer heute Ihre Daten kennt, lässt sich kaum beantworten. Klar ist: Jeder Dienst, dem Sie Daten von sich preisgegen, kennt diese. Was Sie bei Facebook posten, kann Facebook lesen – ganz gleich, ob der Post öffentlich oder nur für den engsten Freundeskreis freigegeben wurde. Und wenn Facebook es lesen kann, dann kann das grundsätzlich auch ein Hacker lesen, der Daten von Facebook stiehlt. Und natürlich betrifft das nicht nur die Datenkrake Facebook. Auch das Foto, dass ein Arzt von Ihnen aufnimmt, kann in falsche Hände geraten. Bislang waren Hacker an persönlichen Daten wie Log-ins und Kreditkartennummern interessiert. Die neuen Unternehmen mit künstlichen Intelligenzen im Programm benötigen dagegen Fotos und Texte. Diese holen sie sich aus jeder Ecke des Internets, die nicht geschützt ist. Das heißt, jedes Foto von Ihnen im Internet, dass öffentlich einsehbar ist, könnte Teil einer künstlichen Intelligenz geworden sein. Mit den Beispielen in diesem Beitrag zu KI-Datenbanken und aktuellen Datenleaks möchten wir Sie bestärken, bei jeder persönlichen Information zu überlegen, ob Sie diese wirklich ins Internet stellen wollen. |
(PC-Welt)