Ah ja. Auch Google erkennt (einfache) Cyber-Awareness-Trainings als nutzlos an
“You can’t “fix” people, but you can fix the tools”
Damit Cyber-Awareness sinnig wäre, müsste sie wie ein echter Feueralarm valide Metriken liefern, wie so ein Incident echt abläuft. Um das nächste Mal beim echten incident genau zu wissen, was passieren würde.
@apas_csc um zu dem Feueralarm-Vergleich und den Analogien bei Cybersystemen zu kommen:
Könnte ein Button sein in Unternehmenssystemen „Diese Mail ist komisch“ - Aktuell ist der Prozess zum Melden von phishy Mails oftmals nicht niederschwellig und braucht etwas Überwindung, das vor der „it“ zuzugeben, sowas bekommen zu haben und nicht damit zurechtzukommen
Finde es schön, dass die @republica an der Strategie festhält, meine Vorträge immer parallel zu den Interviews mit Regierungsmitgliedern zu legen (2022 Olaf Scholz, 2023 Christian Lindner, 2024 Annalena Baerbock). Jetzt habe ich die gesamte Ampel eingesammelt.
"Die Krankenkassen haben den Versicherten, bevor sie ihnen gemäß § 342 Absatz 1 Satz 1 eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen."
Auf den ersten Blick nicht finden konnte ich diese Informationen bei den AOK(en). Bei der Knappschaft musste ich erst verstehen, dass die elektronische Patientenakte dort "meine Gesundheit" heißt, wohingegen sie bei der Barmer "eCare" heißt, bei der TK "TK-Safe" und eigentlich alle Krankenkassen irgendeinen Marketingbegriff verwenden, der mit Glück an elektronische Patientenakte erinnert.
"At first glance, the Recall feature seems like it may set the stage for potential gross violations of user privacy. Despite reassurances from Microsoft, that impression persists for second and third glances as well."
Generell gut: Daten sind "nur" lokal auf dem Device und werden nur dort ausgewertet
Fraglich: Cloud Sync über Microsoft Accounts?
Bad Actors:
Stalkender Partner … wird wahrscheinlich auch physikalischen Zugriff auf Rechner haben ("Komm Schatz, ich manage den Rechner für dich") -> Worst Case
Stalkendes Unternehmen seinen Mitarbeitenden gegenüber (Mitarbeiterüberwachung) -> hat Zugriff und Kontrolle über Device
-> Worst Case für Mitarbeiterüberwachung
…
Threat Actor -> Früher musstest du aufwändig physikalisch vor Ort Devices manipulieren, um Inhalte bildlich abzugreifen, jetzt macht Microsoft die Screenshots automatisch mit. Wie nett von denen.
Torpediert damit auch Sicherungsmaßnahmen zur Device Integrity, weil du halt literally eine weitere Möglichkeit zum Integrity Leak hast – per Design
Das Problem dabei ist, dass das ein viel zu großer Attack Vector ist, ihn nicht zu nutzen. Das ist egal, wie gut Microsoft das schützen will.
Wenn wir mal davon ausgehen, dass es ein zwei drei sinnige Anwendungen von sog. KI gibt, muss da wegen den Folgen der Technik nicht weniger an Transparenz und Betroffenenrechten gelten, sondern mehr.
Wir erleben aber gerade eine Entwicklung ins genaue Gegenteil.