# Pentaradio vom 22. April 2025 # Titel: "Schwachstellen in der KI-Nachrichtenrepublik" Mit Mole, Simon und Xyrill. Der April war voll von Abkürzungen, die unser Leben aufwühlen: KI, CVE, ePA, DOGE und mehr. Damit ihr euch nicht mit abgekürzten Erklärungen zufriedengeben müsst, stellen wir wie immer unseren Tisch auf die richtige Abstraktionshöhe ein. Auf Basis der Livesendung vom 22. April 2025. ## Feedback Till schreibt: > Falls euch das Tesla-Thema vertiefungsmäßig interessieren täte, es gibt ein paar hörenswerte Podcast-Folgen: zu den Grundlagen [\[1\]](https://podcastaddict.com/ones-and-tooze/episode/175894869) und [\[2\]](https://podcastaddict.com/system-crash/episode/192854557), sowie zum Tesla-Boykott [\[3\]](https://podcastaddict.com/system-crash/episode/195249930) und [\[4\]](https://podcastaddict.com/tech-won-t-save-us/episode/193176339). Dominic schreibt: > Hallo, hier meine Aufstellung der letzten Tischhöhen: > - Oktober: hatte ich schon geschrieben. \[siehe Sendung vom November - Red.] > - November: 1,31 Einheiten = ich denke es könnten Meter sein... 1,31m > - Dezember: 4,2 Lichtnanosekunden = 126cm > - Januar: die Tischhöhe war umstritten ... (oder wurde wegen dem Datenschutztag nicht erhoben🙂) > - Februar: 319 Gerstenkörner = 99,9cm (Sumerische Einheit) oder 270cm (alte Englische Maßeinheit 1/3 Inch) aber ich denke ihr meint das erstere... 😉 > - März: 0,44 Saschen = 94cm Außerdem gemäß Vorschlag von Dominic: Die heutige Tischhöhe ist 31,8 Attoparsec. ## News ### Nachträge zu vergangenen Sendungen - zu Windows Recall ([Juni 2024](https://c3d2.de/news/pentaradio24-20240625.html), [Dezember 2024](https://c3d2.de/news/pentaradio24-20241224.html)): [Recall schnorchelt private Chats aus WhatsApp und Signal ab](https://cyberplace.social/@GossiTheDog/114360637766024432) - [unsere Reaktion](https://i.kym-cdn.com/entries/icons/original/000/027/475/Screen_Shot_2018-10-25_at_11.02.15_AM.png) - zur elektronischen Patientenakte ([Januar 2025](https://c3d2.de/news/pentaradio24-20250128.html)): [ePA startet zum 29. April](https://netzpolitik.org/2025/bundesgesundheitsministerium-elektronische-patientenakte-kann-ab-29-april-bundesweit-genutzt-werden/) - Aus dem Wortlaut des BMG geht nicht hervor, dass irgendwas anderes gemacht wurde, als die bekannten Lücken zu flicken. - Zitat: "In Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik konnten Sicherheitsmaßnahmen umgesetzt werden, die Voraussetzung für die bundesweite Nutzung \[der ePA] sind." - Was für Maßnahmen? `¯\_(ツ)_/¯` - zu den Koalitionsverhandlungen ([März 2025](https://c3d2.de/news/pentaradio24-20250325.html)): [Sabrina Gehder und Linus Neumann besprechen im Parlamentsrevue-Podcast die netzpolitischen Aspekte des Koalitionsvertrages](https://parlamentsrevue.de/2025/04/17/koanetz/) ### Vermischtes - Kalenderblatt: [20 Jahre Git](https://github.com/git/git/commit/e83c5163316f89bfbde7d9ab23ca2e25604af290) - Pentaradio berichtete zu Git im [Juli 2021](https://c3d2.de/news/pentaradio24-20210727.html) - Video: [Analyse der Doxxing-Seite DogeQuest](https://www.youtube.com/watch?v=DSkPqJlvRVY) - Money Quote: "I've talked with people who go like, 'Oh, I don't care about cyber security. I've got nothing to hide.' And that may be true right now, but your life can change. Situations can change. I own a Tesla. I bought it back in 2021, \[when] buying a Tesla was not a political act. It was just a car. And today, owning a Tesla _is_ a political act." - Übersetzung (mit Hilfe von [DeepL](https://deepl.com)): "Ich habe mit Leuten gesprochen, die meinen: 'Oh, ich mache mir keine Sorgen um Cybersicherheit. Ich habe nichts zu verbergen.' Das mag jetzt gerade stimmen, aber Dein Leben kann sich ändern. Situationen können sich ändern. Ich besitze einen Tesla. Ich habe ihn im Jahr 2021 gekauft. Damals war der Kauf eines Tesla kein politischer Akt. Es war einfach nur ein Auto. Und heute _ist_ der Besitz eines Tesla ein politischer Akt." - [DOGE will 60 Mio. Zeilen Cobol in 4 Monaten auf was anderes umstellen](https://www.golem.de/news/veraltetes-it-system-der-usa-doge-will-weg-von-cobol-2503-194812.html) - das [Intermediate-COCOMO-Modell](https://en.wikipedia.org/wiki/COCOMO) schätzt für eine Codebasis mit 60 Mio. Zeilen einen Aufwand von 56165 Personenjahren - [Android wird weniger offen](https://www.golem.de/news/google-android-entwicklung-vor-radikalen-umbruch-2503-194726.html) - bisher Open-Source-Entwicklungszweig sowie Google-interner Zweig - Abgleich zwischen beiden Seiten für Google jetzt zu lästig - [Vorschlag für einen Standard für maschinenlesbare EULA](https://arstechnica.com/gadgets/2025/03/doc-searls-myterms-aims-to-offer-user-first-privacy-contracts-for-the-web/) - inklusive Zustimmungsworkflow, sprich: Webseiten können Inhalte oder Dienste verweigern, bis der EULA zugestimmt wurde - [Alternativvorschlag von 2022](https://pluralistic.net/2022/08/10/be-reasonable/#i-would-prefer-not-to) auf der rechtlichen statt technischen Ebene: Gesetzgeber definiert einen Standardregelsatz für Datenverarbeitungsverträge (analog dazu, wie im BGB Standardregeln für Kaufverträge definiert); Nutzer können dann entweder der EULA des Anbieters zustimmen oder auf die Standardregeln zurückfallen - Enshittification bei Synology: [Neue Plus-Modelle de facto nur mit zertifizierten Festplatten betreibbar](https://www.hardwareluxx.de/index.php/news/hardware/festplatten/65949-synology-weitet-den-zwang-zur-eignen-oder-zertifizierten-festplatte-auf-die-plus-modelle-aus.html) - zertifizierte Festplatten "20% teurer als vergleichbare \[Modelle]" ### ✨KI✨ - Lesetipp: ["Why I stopped using AI code editors"](https://lucianonooijen.com/blog/why-i-stopped-using-ai-code-editors/) - Analogie zum selbstfahrenden Auto: sich auf das Auto verlassen führt zum graduellen Verlust der eigenen Fahrkünste - "loss of Fingerspitzengefühl" - Vorschlag: nicht die ✨KI✨ den Code ändern lassen, sondern Instruktionen generieren, anhand derer man selber die Änderung durchführen (und damit auch validieren) kann - im Gespräch erwähnt: [Klassifizierung von Automatisierungsstufen beim Autofahren gemäß SAE J3016](https://de.wikipedia.org/wiki/SAE_J3016) - apropos Code-Editoren: [Mail-Support von Cursor stellt sich als LLM heraus, halluziniert neue Restriktionen, bringt damit zahlende Kunden zur Kündigung](https://old.reddit.com/r/cursor/comments/1jyy5am/psa_cursor_now_restricts_logins_to_a_single/) - apropos Halluzinationen: [GPT o3 denkt sich erst die Lösung aus und erfindet dann einen passenden Lösungsweg](https://news.ycombinator.com/item?id=43713502) - Wir nehmen alles zurück und stellen fest, dass ✨KI✨ jetzt wie menschliche Gehirne funktioniert. :) - hierzu ein Literaturtipp: [Wikipedia zu "On Bullshit"](https://de.wikipedia.org/wiki/On_Bullshit) - als Nachruf auf Papst Franziskus: Zitate aus ["Antiqua et nova - Note über das Verhältnis von künstlicher Intelligenz und menschlicher Intelligenz"](https://www.vatican.va/roman_curia/congregations/cfaith/documents/rc_ddf_doc_20250128_antiqua-et-nova_ge.html) von Januar 2025 - aus Absatz 46: "Was die Maschine tut, ist eine technische Auswahl unter mehreren Möglichkeiten und beruht entweder auf genau definierten Kriterien oder auf statistischen Rückschlüssen. Der Mensch hingegen wählt nicht nur aus, sondern ist in seinem Herzen zu einer Entscheidung fähig." - aus Absatz 27: "Im Zeitalter der künstlichen Intelligenz dürfen wir nicht vergessen, dass zur Rettung des Menschen Poesie und Liebe notwendig sind." ### Veranstaltungstipp - apropos Poesie und Liebe: [Datenspuren 2025 suchen Vorträge, Workshops, Kunst etc.](https://talks.datenspuren.de/ds25/cfp) ## Musik - ["Red Melting Plastic Box", Fat Worm of Error (2009)](https://freemusicarchive.org/music/Fat_Worm_of_Error/Live_at_WFMU_on_Brian_Turners_Show_on_12212004/Red_Melting_Plastic_Box/) - ["Black Hat Python", .crk (2017)](https://freemusicarchive.org/music/crk/Error_1916/03__crk_-_black_hat_python/) ## Thema: Chaostage bei CVE/MITRE - [Hintergrund](https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html) - [CVE](https://de.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures) und [CWE](https://en.wikipedia.org/wiki/Common_Weakness_Enumeration): kostenlos nutzbare Datenbanken für bekannte Software-Sicherheitslücken und Kategorien derselben - gepflegt von der [MITRE Corp.](https://de.wikipedia.org/wiki/Mitre_Corporation), finanziert durch das US-Heimatschutzministerium - 15. April: abrupter Ende der Finanzierung (DOGE?), Panik in der ganzen Branche - 16. April: Kommando zurück, [CISA](https://de.wikipedia.org/wiki/Cybersecurity_and_Infrastructure_Security_Agency) (ungefähr das BSI der US-Regierung) springt ein und sichert die Finanzierung - hierzu von [Poul-Henning Kamp](https://en.wikipedia.org/wiki/Poul-Henning_Kamp) eine [Einschätzung auf Mastodon](https://fosstodon.org/@bsdphk/114346662385723066) - "\[Das] CVE-Register war ein Prototyp, aus einer Zeit, in der es insgesamt (nur!) 231 bekannte Sicherheitslücken gab. Wir haben viel aus diesem Prototyp gelernt. Er hat uns gezeigt, wie groß das Problem ist und dass die IT-Industrie das Problem nicht lösen will und kann \[...]" - Vorschläge von Kamp: 1. vollständige und bedingungslose Produkthaftung für alle (Gegenargument: könnte Open Source töten, wenn nicht auf gewerbliche Inverkehrbringung beschränkt) 2. verpflichtende Rückrufe für unsichere Softwareprodukte (Gegenargument: könnte als Kill-Switch missbraucht werden) 3. verpflichtende Quelloffenheit für systemisch wichtige Software (z.B. Betriebssysteme) 4. Verpflichtung zum unabhängigen Review systemisch wichtiger Software 5. Berichtspflicht an unabhängige Unfalluntersuchungsbehörden mit umfassender Offenlegungspflicht (vgl. Flugwesen, Eisenbahn) - Produkthaftung für Software kommt übrigens: ab 12. Dezember 2027 gilt der [Cyber Resilience Act (CRA) der EU](https://de.wikipedia.org/wiki/Cyberresilienz-Verordnung) - Videotipp: [Fukami zum CRA und anderen EU-Regulierungen für IT-Sicherheit](https://media.ccc.de/v/ds24-345-cra-and-friends-eu-product-service-and-software-regulation) - Themenbesprechung bei [LNP520](https://logbuch-netzpolitik.de/lnp520-surfen-heisst-jetzt-doomscrolling?t=45%3A51)