Jahresauftakt 2026: Fake-Brücken, der Mandela-Effekt und die Illusion der Sanitarisierung

Samuel: Hallo Matthias und ein frohes, neues und gesundes Jahr, auch wenn es schon ein bisschen später und fortgeschritten ist. Bist du gut ins Jahr gekommen.

Matthias: Hallo Samuel, ich bin gut ins Jahr gekommen und auch dir und unseren Hörern einen guten Start ins neue Jahr. Wir hatten ja eigentlich vorgehabt, bisschen Jahresrückblick zu machen. Kamen nicht dazu vor lauter vorweihnachtlichem Stress und Arbeit. Aber umso mehr freut es mich, dass wir mit ganz vielen spannenden, tollen jetzt in das Jahr 2026 starten können.

Samuel: Ja, und das erste Thema, können wir keine Brücke zuschlagen oder vielleicht im wortwörtlichen Sinn dann doch irgendwie schon? Was hast du uns mitgebracht?

Matthias: das ist schöner Pann. Ja, ich habe Anfang Dezember einen Artikel gesehen beim BBC, den wir natürlich in gewohnter Manier wieder verlinken werden, wo ein Bild in den Medien auftauchte, auf Social Media auftauchte, das eine Bahnbrücke zeigte, die zerstört war oder die kaputt war. Und das führte dann dazu, dass der Zugverkehr eingestellt wurde.

Samuel: Das heißt, kann sich das so vorstellen, irgendjemand hat einfach ein KI-Bild generiert von dieser Brücke und das hat dann wirklich dazu geführt, dass der Bahnverkehr eingestellt wurde. Richtig?

Matthias: Genau das, also im ersten Moment, ist ein berichtenswertes Ereignis, wird bei BBC dann dementsprechend laufen mit diesem Bild. Irgendjemand hat das gesehen, der da entscheiden durfte, ob die Züge weiterfahren oder nicht. Und richtigerweise hat er in dem Moment ja entschieden, erstmal Stopp. Und dann hat man das verifiziert und herausgefunden, das ist KI generiert. Und da sieht man dann auch, dass das Thema Deepfakes, KI generierte Bilder doch ganz andere Auswirkungen haben kann. Und in dem Fall waren vielleicht sogar Einsatzkräfte gebunden. Also schlussendlich etwas, wo man, bevor man solche Entscheidungen zukünftig trifft, auch verifizieren muss, ist dieses Bild echt oder nicht. Und das wird halt immer schwieriger.

Samuel: Das ist natürlich ein ganz spannendes Thema, weil wir sehen ja sowieso schon andauernd irgendwelche Notrufe, eingehen, die falsche Lagen vorgeben, wo wir uns Bereich Swatting auch bewegen, wo irgendwelche Notlagen vorgetäuscht werden, was natürlich Einsatzkräfte auch bindet, was im schlimmsten Fall dazu führen kann, dass sie an der Stelle, an der sie eigentlich gebraucht werden, wo wirklich ein Notfall vorliegt. dann nicht mehr verfügbar sind. das muss man hier auch ganz klar sagen, das ist kein kleiner Streich, sondern das ist wirklich etwas, was ganz ernsthafte Konsequenzen haben kann. Deswegen jeder, irgendwie denkt, es ist ganz witzig, so was zu machen, dem sei wirklich gesagt, mach das nicht. Das hat hoffentlich dann auch echte Konsequenzen strafrechtlich.

Matthias: In dem Fall kann sowas auch zur Sabotage genutzt werden. also nicht tatsächlich physisch etwas zu sabotieren, also kritische Infrastruktur, sondern einfach den Anschein zu erwecken. Und das bindet wiederum Einsatzkräfte, die vielleicht an einer anderen Stelle dementsprechend fehlen. Und wir haben im letzten Podcast ja auch das BBK mit drin gehabt, die auch vor Desinformation gewarnt haben als Gefahr für die Bevölkerung. Und jetzt haben wir dann quasi so einen Nachfolger dazu, wieder das BBK, die sich mit dem Thema Open Source Intelligence beschäftigt. und auch hier Sabotage-Potenziale und da auch der Ramian Fati mit Autor dieses Dokuments ist, den wir bei der zweiten USINT-Konferenz dabei hatten. Also ist hier wieder schön zu sehen, wie auch USINT hier eine Rolle spielen kann, einerseits zur Aufklärung, aber andererseits auch zur, ich nenne es mal, Tatbegehung.

Samuel: Tatsächlich würde ich gerne noch zu der Brücke zwei Punkte sagen. zwar erinnerst du dich noch an diesen Aktionskünstler aus London, der mit dem Bollerwagen und einer Handvoll Smartphones Google Maps Daten verändert hatte?

Matthias: Ich erinnere mich dran, weißt aber nicht mehr, ob in London war, müsste man verifizieren, aber ja.

Samuel: Es müsste in London gewesen sein. Und tatsächlich erinnert mich das ein Stück weit auch daran, über so ein AI-generiertes Bild kannst du ja dann, haben wir jetzt gesehen, tatsächlich den Bahnverkehr beeinflussen, was dann wieder Verzögerungen hervorruft. Und die andere Komponente, da hast du mich eben draufgebracht. Hier reicht es ja dann aus, dass du eine Sabotageaktion vortäuschst, die gar nicht wirklich durchführst. Aber in der Bevölkerung sorgt das natürlich im ersten Moment trotzdem wieder zu einer Verunsicherung. Also wenn wir uns zurückerinnern, diese ganzen kleinen Sticheleien auf Flughäfen, Kasernen in Europa, genau das kannst du jetzt quasi rein digital auch durchführen.

Matthias: Ja, und das ist für mich im Endeffekt auf dem gleichen Niveau einer physischen Sabotageaktion, weil die Auswirkungen im ersten Moment identisch sind. Also es kann sein, dass der Flugverkehr eingestellt wird. Es kann sein, dass der Bahnverkehr eingestellt wird. Es kann sein, dass Einsatzkräfte irgendwo gebunden werden, irgendwo hingeroutet werden, wo sie nicht benötigt werden. Und es ist überspitzt gesagt für den Täter zu Hause in der Unterhuse möglich, am Rechnersitzend dies durchzuführen.

Samuel: und dadurch natürlich ein viel geringeres Entdeckungsrisiko. Zu dem Artikel vom BBK, vom Ramian, da finde ich es wirklich super. Also zum einen beschreibt er ganz allgemein, was Osend leisten kann, auch für den Bevölkerungsschutz, aber zum anderen bringt er natürlich auch auf, welche Gefahr mit OSINT besteht und wie OSINT auch missbraucht werden kann, eben genau für diese Sabotagezwecke, vor allem wenn man die dann vielleicht auch tatsächlich durchführen will. Weil natürlich Open Source Daten, kennen Kartendienste, Open Infra Map ist so Beispiel, wo dann wirklich kartiert ist, wo ist Kritis, wo sind neuralgische Punkte, wie ist das Stromnetzwerk zum Beispiel aufgebaut. Und genau darüber lässt sich dann natürlich auch herausfinden, wo sind denn vielleicht Punkte, die besonders sensibel sind. Das heißt, umso offener ein Staat ein puncto kritis ist, umso leichter angreifbar ist er natürlich auch.

Matthias: Es ist fast schon so, als hätten wir das gescriptet. Wir haben diesen Artikel vom Ramian und seinen Kollegen gelesen. Und kurze Zeit später gab es diesen Stromausfall in Berlin aufgrund einer Sabotageaktion. Und dann hat sich Christina Lecati hingesetzt und hat das quasi reverse-ingeniert, also wirklich mal versucht herauszufinden mit offen verfügbaren Quellen, wie identifiziere ich einen solchen neuralgischen Punkt, bevor ich ihn angreife. Und das werden wir dementsprechend auch teilen, dass man sich das angucken kann. Es ist keine Anleitung, wie man es machen soll, sondern im Endeffekt vielleicht auch so der Hinweis, dass ein oder andere müsste man besser schützen. Wenn ich weiß, dass es einen solchen neuralgischen Punkt gibt und es gibt diese Daten offen verfügbar, dann muss ich solche Standorte besser härten und schützen.

Samuel: Für mich zeigt das einfach mal wieder, welchen Stellenwert Osendt heutzutage einfach haben muss, weil es nicht mehr ausreicht, Fall der Fälle ist es was vorgefallen, mal Google anzuwerfen, sondern Osendt ist für mich mittlerweile ein fester Bestandteil jeder Risikobewertung und jedes Unternehmen, jede Behörde muss regelmäßig eigene Sichtbarkeitsanalysen, eigene Risikobewertungen durchführen und da gehört Osendt einfach mit dazu. dass ich schaue, was ist denn überhaupt über meine Organisation frei verfügbar im Netz zu finden und wo sind vielleicht Punkte, die ich besser schützen sollte.

Matthias: Und ein ganz wichtiger Punkt ist das Muss. proaktiv, das muss im Vorhinein gemacht werden. Das bringt also nichts, wenn etwas geschehen ist und dann versucht man im Nachgang herauszufinden, wie sind denn die Täter dazu zu erzüge kommen. Sondern wie du richtigerweise sagst, im Rahmen einer Risikobewertung, einer Risikoanalyse muss ich mich gedanklich in die Rolle des Täters versetzen und dann überlegen, was kann ich denn mit diesen offen verfügbaren Informationen anfangen? Wenn ich das weiß, dann kann ich vielleicht entsprechende Schutzmaßnahmen. daraus ableiten.

Samuel: Ja und vielleicht schaffen wir jetzt eine gute Überleitung wieder zu den Behörden. Und zwar gab es bei dem letztjährigen, also gerade vor kurzem Chaos Computer Kongress, dem 39C3 einen Vortrag, der sich thematisch damit befasst hat, dass Behörden alte Domains aufgeben. Also Behörden haben ganz viele Domains registriert, gerade Bundesministerien oder für irgendwelche Aktionen werden Domains registriert. Und dann irgendwann werden die vielleicht auch einfach abgegeben, also nicht weiter verlängert. Und in dem Vortrag hatte sich Tim Philipp Schäfers damit befasst, diese Domains aufzufinden. und wenn die dann frei waren, mal ein paar zu registrieren und zu schauen, was passiert da. Und so einen ähnlichen Beitrag hatten wir, glaube ich, vor einem Jahr schon mal aus den Niederlanden, wenn ich mich richtig erinnere. Und da wurde eben auch geschaut, ich richte einfach eine Catch-all-E-Mail-Adresse ein und schaue einfach mal, was gibt es da denn so an E-Mails, die reinkommen. Das wurde in dem Vortrag auch gemacht, aber er ist dann noch einen Schritt weiter gegangen und hat sich Prinzip auch angeschaut, was gibt es denn da für Netzwerk Traffic, was gibt es für Requests an meinen Web-Server, was für DNS-Anfragen existieren. und hat dann eben festgestellt, der Tatsache, dass eben noch E-Mail-Adressen mit irgendwelchen Accounts verknüpft sind und teilweise auch als Test-Accounts in Produktivsystemen hinterlegt waren.

Samuel: hat er eben Abhängigkeiten zu anderen Systemen festgestellt. hat gesehen, zum einen versuchen Nutzer auf diese Webseite zuzugreifen. Das heißt, wäre ein Leichtes gewesen, da ein Login-Interface als Phishing-Seite zu hinterlegen. Zum anderen aber, dass tatsächlich auch Abhängigkeiten zu Produktivsystemen bestanden, die teils dann vermutlich sensible Daten sogar übermittelt haben, wenn man eben diese Anfragen anders beantwortet hätte. Und das Was er eigentlich als besonderes Risiko feststellt, ist, dass wir in Deutschland ein Wir-Wahr haben an Domains. Das kann jeder sehr einfach nachvollziehen, wenn man sich einfach mal ein paar Behörden-Domains anschaut. Da gibt es keine einheitliche Struktur, weder auf Bundesebene noch wirklich auf Landesebene. Da macht jeder so sein eigenes Programm. Und die laufen alle unter der Top-Level-Domain oder größtenteils unter der topleveldomain.de. GOF-Domain, die genutzt wird oder eine einheitliche Top-Level-Domain, wo wir einfach sicher sein können. Diese Domains gehören einer Behörde. Das existiert nicht. Teilweise machen das Bundesländer, dass sie so etwas haben. Ich glaube NRW hat die Top-Level-Domain.nrw, wenn ich mich nicht ganz täuche. Das heißt, stellenweise gibt es das, aber eben nicht flächendeckend. Und das macht das natürlich für den Bürger für den Autonomalverbraucher fast schon unmöglich zu verifizieren. Handelt es sich jetzt hier eine legitime Behördenwebsite oder ist das jemand, der sich einfach eine Domain gesichert hat, die so aussieht, als wäre sie offiziell und vielleicht sogar ganz sensible Daten abfragt? Und ich meine mich zu erinnern, gerade so Bereich

Samuel: Online-Formulare, wo man vielleicht irgendwelche kleinen Behördengänge macht, gibt es zig Anbieter, die eigentlich kostenlose Behördendienstleistungen für teils recht günstig, aber gegen Entgelt anbieten. Das heißt, etwas, was ich eigentlich ganz offiziell kostenlos machen kann, damit verdient irgendjemand mit einer Website dann Geld, weil er jedes Mal fünf Euro für diesen Behördengang den Leuten abknüpft. Einfach weil die Website relativ offiziell aussieht. und diese Dienstleistung zur Verfügung stellt.

Matthias: Wie du gesagt hast, eröffnet das auch Angriffsszenarien. Fishing gegen User gerichtet, andererseits auch vielleicht die Möglichkeit in das ein oder andere geschlossene Behördensystem einzudringen. Das passt dann wieder zu dem, was wir vorher gesagt haben. Diese Art der Recherche muss gemacht werden vor dem Hintergrund, was könnte ein potenzieller Täter tun. Dann sollte man solche Sicherheitslücken schließen.

Samuel: Ja, aber manchmal ist der Spieß auch umgedreht. Das Bundesamt für Verfassungsschutz hat letztes Jahr in der Weihnachtszeit eine kleine Aktion gestartet auf LinkedIn. Und ich weiß nicht, ob das Bundesamt für Verfassungsschutz das als Scherz gemeint hat oder ob sie das als Informationsabschöpfung geplant hatten, weil die Aktion war so, die Frage war, wie lautet ihr Tarnname Weihnachtsedition? Ihr Anfangsbuchstabe des Vornames und dann hatte jeder Buchstabe einen Begriff zugewiesen und dann der Geburtsmonat, der wieder einen weihnachtlichen Begriff zugewiesen hatte. Und daraus ergibt sich dann der weihnachtliche Tarnname. Matthias, was wäre denn dein Tarnname?

Matthias: Es hat keinen zu interessieren, welchem Monat ich Geburtstag habe. Ganz einfach. Das ist wieder so ein Problem. Digitalkompetenz. Es gab viele, die darunter geantwortet haben. Jetzt kann man natürlich sagen, was bringt das denn, wenn man den Geburtstermonat einer Person weiß? Das ist wieder ein kleiner Puzzleteil im Großen, was vielleicht dazu genutzt werden könnte, in eine Fishing-Mail aufzusetzen oder was weiß ich. Also derjenige, der jetzt nicht ganz die Digitalkompetenz hat und sich dann Sparkling Elf nennt, also der Hans-Jürgen, der März Geburtstag hat, da weiß ich, er hat im März Geburtstag. Eine witzige Aktion, aber grundsätzlich zeigt es auch, dass wir in Deutschland, eigentlich nicht nur in Deutschland, aber im Vergleich zum europäischen Ausland, dazu kommen wir gleich verstärkt in Deutschland, auch ein Problem haben mit Digitalkompetenz. Das heißt, wie fahrlässig gehen wir denn mit unseren persönlichen Daten Und man hätte das Spiel auch weiterspielen können. Man hätte auch eine Wortkombi erstellen können mit vier Namen. Und ich garantiere, dass ganz viele Menschen auch darauf eingestiegen werden. Hätten Sie jetzt noch Ihren Geburtstag, also den Tag im Monat, irgendeinem einem Code versehen müssen, dann hätten wir die gleichen Antworten.

Samuel: Das hat mich ehrlicherweise wirklich erschrocken, dass so viele Menschen darunter geantwortet haben. Es gab zwar auch manche, die gesagt haben, also, Verfassungsschutz, nice try, ich durchhau euer Spiel, aber erschrecken, wie viele da wirklich dann mitmachen. Und wie du gesagt hast, es ist natürlich wieder ein Puzzleteil mehr. An sich, ja, Anfangsbuchstabe vom Vornamen, wenn du auf LinkedIn mit deinem Klarnamen unterwegs bist, dann ist das nicht besonders verräterisch. Aber dann kommt eben noch der Geburtsmonat dazu und zack, hast du schon wieder ein kleines Datum mehr und irgendwann summiert sich das eben und dann hast du ein recht vollständiges Personenprofil mit ganz sensiblen Daten und was mich eigentlich am meisten stört an der Art und Weise, wie wir mit Daten, persönlichen Daten umgehen, ist, dass das Geburtsdatum an so vielen Stellen eine sicherheitsrelevante Information ist. Die wird so oft genutzt, irgendwas zu legitimieren, sich zu verifizieren. Und das finde ich so falsch. Weil meiner Meinung nach sollte das Geburtsdatum etwas sein, was man eben verwenden kann, damit man seinen Geburtstag feiern kann und nicht immer ein Geheimnis aus dem eigenen Geburtstag machen muss. Aber es wird an so vielen Stellen einfach genutzt. ist das eigentliche Problem. Dass wir so tun, als wäre Geburtstatum etwas, was geheim ist, was es aber ganz offensichtlich nicht ist. Und es gibt genug Aufklärungsvideos, wo eben Angreifer aus Facebook-Kommentaren dann herausfinden können, wann jemand Geburtstag hat und dann das Alter auch relativ schnell sich ableiten lässt. das ist das eigentliche Problem an dieser ganzen Sache.

Matthias: Ich spinne das mal weiter. Man kann ja in Deutschland unter Angabe von Name, Geburtsdatum und der Stadt, in der eine Person wohnt, eine Anfrage machen beim WM und bekommt die genaue Adresse raus. So, jetzt ist jemand auf LinkedIn, von dem ich weiß, wie er heißt und dann hat er gepostet, wo er wohnt. Er arbeitet ja dort in dem Raum, dann weiß ich jetzt den Geburtsmonat, dann schaue ich mir die Vita dementsprechend an und stelle fest, wann die Person studiert hat. Dann kann ich auch zusammenrechnen, wann sie geboren ist. Und dann kann ich mit dieser Erkenntnis dann loslaufen. Dann fehlen mir vielleicht noch die Tage 1 bis 31. Nur das ist dann einfach eine Fleißarbeit, Abfragen zu gestalten vom 1. bis zum 31. Januar Jahr XY zu der Person. Und schon hat man den Wohnort. Also das mal in einem praktischen Beispiel zu zeigen, liebe Kinder, weswegen das eine schlechte Idee ist, so was dann ernsthaft zu antworten. Aber wenn wir gerade bei Kindern sind und gibt es auch ein paar Länder in Europa, die machen das, glaube ich, ein bisschen besser. Zum Beispiel die skandinavischen Länder und hier vor allem in Finnland. Was machen die denn jetzt in Richtung Digitalkompetenz?

Samuel: Hättest du die Überleitung nicht so gemacht, ich sie gemacht, als hättest du meine Gedanken gelesen. Tatsächlich ist es in Finnland so, dass sie bei dreijährigen Kindern, also in der Vorschule schon anfangen, die fit zu machen gegen russische Propaganda. Das heißt, die bringen den Medienkompetenz bei, die zeigen denen, woran lässt sich erkennen, dass hier gerade eine Desinformation vorliegt und machen die so eben fit. Und das muss man sich mal auf der Zunge zergehen lassen. Wir haben hier dreijährige Kinder, den beigebracht gebracht wird. Guck mal im Internet, da gibt es so Seiten und da gibt es solche Informationen und das sind die Merkmale. Daran kannst du erkennen, dass das vielleicht nicht ganz so glaubwürdig ist. wir hier in Deutschland, das zumindest mein Gefühl, Wir haben das noch nicht mal bei unseren Jugendlichen in der weiterführenden Schule richtig drauf, dass das da flächendeckend gemacht wird. Natürlich hat jetzt Finnland auch sehr viel näheren Bezug zu Russland und vielleicht ist da die Bedrohung deshalb etwas höher. Nichtsdestotrotz, Russland ist bei uns ja auch regelmäßig ein Thema und russische Desinformationskampagnen, die auch in Deutschland sehr viel... Schaden anrichten und sehr aktiv sind. Deswegen, ich finde, wir sollten hier in Deutschland auch mehr in die Richtung machen und tatsächlich kann man eigentlich nicht früh genug anfangen. Deswegen, finde, Finnland ist da auf einem sehr guten Weg.

Matthias: nicht nur Digital Kompetenz, sondern auch in diesem aktuellen Beispiel Medien Kompetenz, wo auch tatsächlich in den Lehrplan das Thema AI Literacy aufgenommen wird, also dass man auch aufzeigt, diese Thematik, die wir eingangs hatten mit mit potenziellen Deepfakes und wie geht man damit und wie verifiziert man das. Also ein ganz, ganz tolles Programm, wo tatsächlich dann die Kinder schon von früh auf altersgerecht damit konfrontiert werden und hoffentlich dann zu jungen Erwachsenen heranwachsen, die das besser beurteilen, besser entscheiden können, sich besser und ihre Privilegatsphäre besser schützen können.

Samuel: Aber du hast ein ganz persönliches Erlebnis zum Thema Desinformation und vielleicht auch Mangel der Fähigkeit, die eigene Perspektive zu verifizieren, zu überprüfen, ob man da wirklich auf dem richtigen Pfad ist.

Matthias: Desinformation war es nicht, weil Desinformation ist ja eine Information die falsch ist, die bewusst gestreut wird. In diesem Fall war es ja eine Missinformation. Eine falsche Information, die unbewusst weitergegeben wird, weil man es nicht besser weiß. Im Hintergrund ist folgender, ich habe einen Artikel geschrieben, wo ich ein Zitat genommen habe eines ehemaligen Wehrmachtsgenerals, Kurt von Hammerstein-Eckardt und habe das quasi auf Intelligence umgemünzt. Den Artikel kann man sich durchlesen, das Zitat kann man sich durchlesen. Das ist aber von ihm. Das ist auch nachgewiesen, dass es von ihm ist. Und dann hat er einer auf LinkedIn drunter gepostet, das stimmt ja gar nicht, das ist ja von einem anderen deutschen Feldmarschall von Molke. Und dann bin ich mit dieser Person ins Gespräch gekommen auf LinkedIn und hab gesagt, nein mein Freund, du liegst falsch. Ja, nee, das stimmt alles nicht. Und wenn er das googelt, dann findet er diese Zitate, die dem von Molke zugeordnet werden und nicht dem von Hammerstein. Und dann habe ich versucht, rational, auch unter Angabe von Quellen, auch in privaten Nachrichten, das dem klar zu machen und der beharrte auf seinem Standpunkt, weil wenn er recherchierte, dann fand er auch Ergebnisse, die seine Theorie bestätigten. Und das ist ein klassisches Beispiel für Missinformation. Also da war kein böser Wille dahinter. Das ist einfach nur das Verbreiten einer Falschinfo, weil man es nicht besser weiß. Aber in dem Fall war dann das Problem. Da kam tatsächlich der Authority Bias mit rein. Den hören wir vielleicht nachher auch nochmal. dass er dann sagte, Professor an der Uni 1990 hat mir das erzählt. Und dann hat es mich wirklich gepackt und ich habe wirklich versucht herauszufinden, wann in der Geschichte der Fehler passiert ist, dass dieses Zitat nachweislich vom Court von Hammerstein-Ecourt anderen Personen angedichtet wurde. Und habe relativ viel Zeit damit verbracht und habe eine Webseite gefunden, die ganz cool ist, Quote Investigator, wo sich Wissenschaftler, Doktoren hinsetzen. und Zitate recherchieren im Laufe der Zeit. Und das verlinken wir auch. Und dann kann man ganz klar sehen, die ersten Nennungen der Zitate von 1933, wo es ausgesprochen wurde, bis hin zu, glaube ich, in 1995, war alles Kurt von Hammerstein-Eckardt. Und dann hat so ein, entschuldigt meine Aussprache, Bullshit Lifestyle Buch.

Matthias: dass einer anderen Person zugedichtet, dann gab es ganz viele Menschen, in Indien saßen und haben Blogs geschrieben Anfang der 2000er, wo es falschen Menschen zugedichtet wurde. Aber jede seriöse Quelle hat das richtig wiedergegeben. Jede seriöse Quelle hat das falsch wiedergegeben und viele Menschen, unter anderem der Gesprächspartner von mir, hat sich auf diese unseriösen Quellen verlassen. Und interessant war noch ein anderer Aspekt für mich. Ich konnte mehr oder weniger nachweisen, dass dieses Verfälschen des Zitats ab Mitte der 90er geschehen ist. Und er war felsenfest davon überzeugt, dass sein Professor an der Uni 1990 in Rom ihm das so gesagt hat. Und da vermute ich den sogenannten Mandela Effekt, dass man sich an etwas erinnert, was faktisch so nicht stimmt. Also ganz, ganz interessant, auch vielleicht psychologisch das Ganze zu betrachten, aber für mich einfach ein Paradebeispiel für Missinformation. Jetzt darf man diesem Mann nicht böse sein. Er hat jedes Mal, wenn er gefragt hat, Google gesagt, gib mir den Verfasser dieser Quelle, das ist doch der von Molke, und hat dementsprechend Ergebnisse in diese Richtung geliefert bekommen. Also auch hier wieder so der kleine Hinweis, wenn man recherchiert, dann sollte man versuchen, Ergebnisse offen und neutral zu recherchieren, man sollte die Quellen dementsprechend bewerten und am Ende des Tages stellt man dann in diesem konkreten Beispiel fest, der Matthias hat Recht.

Samuel: Matthias hat meistens recht, zumindest bei Ursund. Nein, ich ... Tatsächlich finde ich diese diese Schnittmenge oder diesen Bereich, wo ... Intelligence ...

Matthias: Na, nicht immer, nicht immer.

Samuel: Intelligence Arbeit und Psychologie zusammenkommen, den finde ich wahnsinnig spannend. Ich meine, das haben wir im Bereich von den ganzen Biases, das haben wir jetzt hier wieder schön. Du hast ein paar Beispiele genannt, Authority Bias und Mandela Effect. Genau das finde ich ein sehr spannendes Feld, wo wir, glaube ich, alle auch uns noch mehr damit auseinandersetzen sollten. Und was wirklich für jemanden der professionell Intelligenz betreibt, sich auch einfach auseinandersetzen muss. Weil wir sind alles Menschen, wir sind alle an der einen oder anderen Stelle gebiased, was unsere Suchen beeinflusst, was unsere Schlussfolgerungen beeinflusst, was unsere Wahrnehmung einfach beeinflusst. Und man muss sich dessen auch... Bewusstsein, sich regelmäßig auch hinterfragen und dann kommt man auch zu besseren Ergebnissen. Ich finde die Webseite Quote Investigator auch total spannend. Kennst du die Känguru Chroniken von Mark-Uwe Kling? Ja, sehr witzig. Kann ich kann ich auf alle Fälle empfehlen. Und zwar geht er da auch hin und dann ist es ein Spiel, dass die Zitate anderen Personen zugeordnet werden.

Matthias: von gehört, nie gelesen.

Samuel: halt total lustig, sorgt dann aber natürlich dafür, dass die Verifizierung, wem ein Zitat wirklich zuzudichten ist, noch viel wichtiger ist.

Matthias: Wie ich es gerade eben auch angesprochen habe, das Thema Quellenbewertung ist ganz ganz wichtig. Egal welche Informationen wir konsumieren und für welchen Zweck. Und das wird natürlich zunehmend schwieriger, wenn man mit KI arbeitet. Weil sind wir mal ganz ehrlich, viele von uns nutzen für banalste Dinge, ChatGPT und Perplexity und Copilot. Und die wenigsten schauen sich dann die Quellen an, wo diese KI's die Informationen hergezogen haben. ich vor einem halben Jahr, glaube ich, oder vor einem Jahr haben wir darüber geredet, dass dieses ganze Geschäftsmodell von diesen KI's ja eigentlich nicht nachhaltig ist. Die verdienen ja auch kein Geld daran und irgendwann muss doch der Punkt kommen, wo sie Geld verdienen. Und so langsam fängt das an, weil es gibt Berichte, dass OpenAI, also Chat-GPT, im Endeffekt bezahlte Beiträge ranken wird in den Antworten. Also Prioritize Advertisers in Conversations. Also wir kommen zu dem Punkt, dass die KI, die wir vermeintlich als neutral wahrnehmen, sie ist noch nie wahr, aber noch weniger neutral wird, weil man dafür bezahlen kann, dass seine Information höher gerankt wird.

Samuel: Das ist wieder so ein klassischer Moment. Wir haben es euch gesagt und wir behalten hier Recht. Und da stecken ja zwei Komponenten drin. Einmal das Ganze, dass die Antwort die Quellen bei vielen AIs gar nicht sichtbar macht. Das heißt, wir haben hier eine Abstrationsebene. Es fällt uns viel schwieriger, Antwort zu verifizieren. Wir können die Quelle gar nicht mehr bewerten, weil wir die Quelle gar nicht sehen bei vielen. Antwortmaschinen. Google und Bing haben ja auch mittlerweile solche Möglichkeiten eingebaut. Das heißt, wir gehen gar nicht mehr auf die ursprüngliche Quelle und können gar nicht Warnsignale feststellen. Und hier dann neben dem Byis, der ohnehin bei einer Suche schon existiert, haben wir wieder ein Ranking, dass das eben Werbetreibende bevorzugt werden. Das haben wir in den klassischen Suchmaschinen natürlich auch. Bei Google die ersten Treffer sind alles Werbeanzeigen. Also da hat das auch schon existiert, aber da war es etwas einfacher festzustellen, weil wir uns einfach daran gewöhnen konnten, das erste Ergebnis ist sponsored, da hat jemand für bezahlt, dass er da auftaucht. Das kann ich mit einem Werbeblocker vielleicht sogar ausblenden. Bei jetzt ChatchieBT, da wird das viel schwieriger. Wie will ich denn die gesponsorte Antwort? Ausblenden ich kann hier keinen werbeblocker nutzen weil für mich gar nicht ersichtlich ist Wo kommt denn diese antwort her also ich habe hier gar nicht mehr diese möglichkeit und natürlich KI ist super erstmal schnell überblick zu bekommen aber wenn wir dann in die tiefe gehen wollen und das bewerten wollen und genau das müssen wir machen Quellenkritik üben verifizieren genau an dem punkt wird es ja dann unheimlich schwierig vorzugehen

Matthias: Ich glaube, wenn wir alle unsere Podcasts, also die die Transcripts dazu zusammenlegen würden und würden die KI fragen, welches Wort taucht denn am häufigsten auf, bin ich mir relativ sicher, dass Verifikation oder Verifizieren ganz weit oben ist. Und das nächste Beispiel zeigt, weswegen die Verifikation von Informationen ganz ganz wichtig ist. Ich habe dazu auch einen Artikel geschrieben, weil es relativ komplex ist, aber ich versuche das mal jetzt in wenigen Worten zu erklären. Und zwar handelt es sich einen Sachverhalt in England, bei dem die Mannschaft Aston Villa gegen Maccabi Tel Aviv im Eurocup spielen sollte. Fußball. So und die lokale Polizei sollte eine Risikobewertung vornehmen dieses Spiels. Also wie ist das einzustufen? Welche Kräfte soll ich denn einsetzen? Und dann haben sie sich auf die Suche gemacht nach Informationen, auch quasi mit O-Send, also geschaut, was öffentlich verfügbar ist und haben festgestellt, es gab schon mal ein Spiel von Makabi Tel Aviv gegen die Mannschaft West Ham und da gab es Ausschreitungen. Und das führte dann dazu, dass man dieses Spiel als Hochrisikospiel einstufte. und ausfertige Fans ausgeschlossen hat. Parallel dazu hat man dann auch in den Niederlanden angefragt, weil es beim letzten Spiel von Makkabi Tel Aviv oder von einer israelischen Mannschaft dort zu Ausschreitungen kam und hat die Erkenntnisse der Holländer mit in diese Berichterstattung eingebaut. Also wir haben zwei Quellen, einmal offen und einmal quasi human, die im Endeffekt gesagt haben, Mensch, wenn die aus Israel ankommen, dann knallts und dann durften die aus Israel nicht anreisen. Das war natürlich schlecht. Dann haben einige Leute das nachrecherchiert, das ist bis zum Parlament hochgegangen. Und dann hat man festgestellt, dass das zitierte Spiel West Ham gegen Makabi Tel Aviv, wo es scheinbar Ausschreitungen gab in der Vergangenheit, so ein Spiel gab es nie. Haben sie nichts zu gefunden. Und in einem etwas längeren Prozess, in dem die Polizei sich immer wieder gesprochen hat und immer wieder neue Geschichten erfunden hat, kam dann tatsächlich schlussendlich raus, dass dieser

Matthias: Wichtige Fixpunkt in der Berichterstattung. Ausschreitungen bei einem Spiel West Ham gegen Tel Aviv tatsächlich von Co-Pilot, Microsoft Co-Pilot einer KI, halluziniert wurde. Das gab es nicht. Zusätzlich kommt noch hinzu, dass die Polizei hätte gar nicht KI einsetzen dürfen. Und weiterhin kam hinzu, dass die Berichterstattung aus den Niederlanden stark übertrieben wurde und auf Nachfrage in den Niederlanden auch angegeben wurde. Das hat so in der Form keiner berichtet. Das heißt, wir haben drei Probleme hier. Das erste Problem ist die KI-Halluzination, die keiner hinterfragt hat, die keiner verifiziert hat, die es dann in Berichterstattung geschafft hat. Dann die Third-Party-Information, also quasi Dishumend, was stark aufgebläht wurde und nicht hinterfragt wurde. Und letztendlich das Problem, als das alles in einer offiziellen Berichterstattung war, hat es die Autorität bekommen. den Authority Bias und es hatte keiner mehr hinterfragt, sodass die Entscheidung getroffen wurde, wir stellen ganz viele Einsatzkräfte zur Verfügung, weil es knallen könnte und wir lassen keine Auswärtsfans zu. Also eine schöne Geschichte, ein schöner Use Case, ich zukünftig in meinen Schulungen einbauen werde, zu zeigen, wie man es nicht machen sollte.

Samuel: Wir sind schon aber auch bisschen gemein. Auf der einen Seite sagen wir den Behörden hier, ihr müsst Rosen nutzen, ihr sollt eine Risikobewertung machen, weil ihr habt schützenswerte Güter, ihr müsst schauen, was kann ein Angreifer alles rausfinden. Und dann auf der anderen Seite, wenn sich dann mal eine Polizei auf den Weg macht, digital affin zu recherchieren, dann hauen wir drauf, ihr habt ja falsch gearbeitet. Natürlich, natürlich... Am Ende des Tages interessant, aber fehlergemacht, also einfach fehlerhaft analysiert. Das ist ein Prinzip, wie man es zusammenfassen kann.

Matthias: Und das zeigt ja auch wieder, ist also Intelligence Analysis. Das ist ein hochkomplexes Feld. Das ist ein hochkomplexer Beruf und das ist nichts, was man mal mit einer zwei Tage Schulung irgendwie locker flockig hinbekommt. Da steckt schon ein bisschen mehr dahinter an an Skills, an Erfahrung, am korrekten Tool Einsatz zum Beispiel, weil das ist ja auch immer etwas, man versucht dann zunehmend weniger Personal einzustellen, mehr Tools zu nutzen. Aber gerade bei Tools, wenn man die einsetzt, da haben wir auch schon häufig drüber gesprochen, ist es ja auch nicht ganz so einfach. Man darf auch nicht allem vertrauen, was man da vorgesetzt bekommt.

Samuel: Absolut und zwar haben wir ein artikel von der hacker news und zwar geht es da eher gefälschte github repositories zu osentools und custom gpt die tatsächlich malware auch verbreitet haben und ich glaube das ist etwas was wir uns auch viel zu selten vor augen führen dass das thema operation als security obseck digitale hygiene generell wichtig ist aber wenn ich Als Osent-Ermittler unterwegs bin und Tools nutze und wir alle nutzen irgendwo in unserem Prozess Tools. Vielleicht bauen wir unsere eigenen verketten paar Tools, bauen die zusammen oder wir nutzen eben Tools direkt von GitHub oder sogar Online-Tools. Dann müssen wir uns einfach anschauen, wer steckt denn dahinter? Gibt es da irgendwelche Gefahren? Und am Ende des Tages sind Osenta ein interessantes Ziel. Weil in den meisten Fällen arbeiten diese Personen in sensiblen Bereichen, sei es in Behörden, sei es in Unternehmen, sei es Journalisten. Und blindlings irgendeinem Tool zu vertrauen, das setzt uns einer Gefahr aus. Wir müssen einfach überprüfen, gibt es hier eine Hintertür? Und da muss man sich einfach auch den Code dann vielleicht anschauen. Was führe ich denn da überhaupt auf meiner Maschine aus? Und was für Daten gebe ich da rein? Weil natürlich kann ich Daten auch ein Stück weit sanitarisieren, was uns zu einem ganz interessanten Schlagabtausch von dir bringt, Matthias.

Matthias: Ich bin ja so ein Stinkstiefel und streite mich ja gerne. Das Thema OSINT Tools liegt mir auch am Herzen, aber vor allem die Überprüfung solcher Tools. Also so wie du es gerade eben gesagt hast. Ich bin auch ein Verfechter davon, viele Tools selbst zu bauen. Also gerade mit Python und heutzutage mit KI sich Python-Skript erstellen zu lassen ist viel einfacher als es früher war. Aber nichtsdestotrotz, wenn sich dann das Python-Script irgendetwas zieht von GitHub oder von irgendeinem anderen Tool, also quasi ein Modul in meinem Tool, dann sollte ich mal reinschauen, was passiert denn da drin. Damit ich mir auch sicher sein kann, dass nicht irgendwelche Daten unerwünscht abfließen. Und im Zuge dieser Diskussion ist auch diese Woche gewesen ein bekannter, ja, ein Anführungszeichen, investigativ Journalist und OSINT-Trainer. hat eine spannende Geschichte auf LinkedIn geteilt, die aus vielen Gesichtspunkten sehr erschreckend ist. Er hat gesagt, in einem Kurs von ihm, wo es KI-Nutzung ging, kam ein Gerichtssachverständiger an und hat gesagt, hier ist meine gerichtliche Akte, kannst du da was mit KI machen? Also ein laufendes Verfahren. Erstmal, als ich das gelesen habe, habe ich mir gedacht, Gottes Willen, dieser Sachverständige gehört gekündigt. Also du kannst ja nicht einfach irgendwelche Ermittlungsakten an irgendwelche unbeteiligten Leute weitergeben. Dann hat die Person gesagt, klar, ich und ich baue dir jetzt ein lustiges Tool, wo wir das mit KI auswerten. Natürlich kann man das nicht bei KI hochladen, aber am Ende hat er das tatsächlich zum Schluss getan. Also gegebenenfalls hier einen Datenabfluss, ich nenne es mal in die Cloud oder ins Internet. Dann haben wir uns bisschen gestritten, nicht gestritten, aber konstruktiv ausgetauscht. Und zum Schluss wurde dann auch der Code aufgezeigt, weil dieser Mensch dann sagte, naja, ich habe die Daten ja vorher sanitarisiert. 4700 Seiten Text und da waren Namen, Geburtsdaten, Orte drin. Und ich habe einen Skript gebaut, was das alles sanitarisiert hat. Und dann habe ich das erst zu der KI geschickt. So, dann habe ich mir die Tools angeguckt und habe festgestellt, das ist totale Grütze, weil es kein...

Matthias: Modell gibt, was diese ganzen Namen, Geburtsdaten, Fahrzeuge und so weiter und so fort zuverlässig erkennen würde, das zu sanitarisieren. Und ein Beispiel, wo ich in diesen Code reingeguckt habe, den er geteilt hat, war, da waren scheinbar arabische Namen drin, aber die Sprachmodelle, die er zur Klassifizierung von Namen genutzt hat, da war keins, was auf arabisch dabei war. Und dann stelle ich mir die Frage, wie will dieses Tool das dann tatsächlich vernünftig umsetzen? Also das einfach noch mal aufzuzeigen. Man kann auch in so ein Code reingucken und dann würde ich feststellen dieses Modul fehlt und wenn ich zum Beispiel arabische Namen klassifizieren möchte, dann müsste ich ein arabisches Modul mit einbauen, wenn es das gibt. Oder ich kann nicht sagen das ist das beste Tool der Welt und es funktioniert. Das ist so ein bisschen. Wovor wir immer warnen, einfach sich blindlings auf Aussagen von anderen zu verlassen, sondern ich muss selber Arbeit reinstecken, ich muss selber schauen, passen diese Tools zu meinem Use Case, funktionieren die, tun die das, was quasi im Marketing angekündigt wird oder auch nicht. Und ich meine, lassen wir den Sachverhalt komplett weg, dass eine Gerichtsakte in einem Kurs nichts beim Trainer verloren hat. Das ist für mich sowieso im Englischen sagt man mind blowing.

Samuel: Stimm ich dir absolut zu, finde ich auch erschreckend. In Deutschland hätte das auf alle Fälle auch rechtliche Konsequenzen und das zu Recht. Ich finde den Gedankengang, dass man Daten erst mal sanitarisiert, bevor man sie in irgendein Tool gibt, absolut lobenswert. Weil das ist auch etwas, was ich immer schule, gerade in Bilder rückwärts suche, wirklich nur das reingeben, was zwingend rein gehört, was man anders nicht weglassen kann. Und das ist etwas, was viele überspringen. Ich finde aber auch, du hast vollkommen recht ...

Matthias: definitiv coole Idee.

Samuel: der ganze Workflow hinkt. Und bei der Sanitarisierung muss man auch unterscheiden. Zum einen haben wir die ganz klassische technische Sanitarisierung. Also wir nehmen alles weg, was personenbezogene Daten sind, Namen, Kennzeichen, irgendwelche Individualnummern. Und dafür gibt es Algorithmen, die zu erkennen. Aber hier haben wir natürlich auch kein hundertprozentiger Treffer des Chans. Wie du schon gesagt hast, dann sind die am arabischen Namenssets, Zeichenssets gar nicht hinterlegt. Das heißt, die werden nicht erkannt. Wir hatten auch schon mal Tools, mit denen man Gesichter in Bildern weich zeichnen kann. Aber selbst da kam auch immer der Hinweis, passt auf, es kann sein, dass nicht jedes Gesicht erkannt wird. Was man ja auch bedenken muss, selbst wenn du das Gesicht einer Person weichzeichnest, existieren zum so ganz gruselige Tools, die diese Weichzeichnung wieder rückgängig machen, was wieder eine ganz andere Diskussion wäre. Aber aus dem Kontext heraus lässt sich ja vielleicht auch wieder deanonymisieren, wer diese Person ist. Anhand von Statue, Kleidung, Ort und Zeit. auch genug beispiele und jemand der eine person in diesem bild kennt der würde sie wahrscheinlich trotzdem erkennen also wir alle haben das ja schon mal erlebt dass wir irgendwo in unserer fotosammlung gesehen haben da ist jemand von hinten zu sehen und gesagt haben ach mensch guck mal das ist doch der matthias allein weil man weiß ok die kleidung die statur das passt und den habe ich doch mal da irgendwie in dem kontext auch gesehen

Matthias: bleiben wir mal bei Gesichtern, weil da haben wir ja noch ein anderes cooles Beispiel. Wir haben ja schon das ein oder andere mal über die Plattform PIM-ICE gesprochen, also eine Rückwärts-Bildersuche für Gesichter. Ja, ja, natürlich, du klickst ja an, ich habe hier alles gelesen, die Terms of Service und nur für mich und für mein eigenes Gesicht ist...

Samuel: Genau, aber nur fürs eigene Gesicht.

Samuel: Und dafür braucht man dann monatliches Abo, sich selbst im Internet zu suchen.

Matthias: Genau, jeden Tag 30 Mal oder so. Auf jeden Fall haben die jetzt gesagt, wir springen jetzt auf diesen Bandwagon auf und machen jetzt auch irgendwas mit OSINT und KI. Und haben gesagt, wir bieten jetzt eine Plattform, wo du quasi eine, ich nenne es mal, Do Diligence Investigation machen kannst, lädst ein Gesicht hoch und kriegst einen fertigen Bericht durch KI erstellt, der dir sagt, guter oder böser Junge, jetzt mal überspitzt gesagt.

Samuel: Genau.

Matthias: Ich probiere halt gerne mal alles aus und habe das auch dementsprechend getan mit Beispielen die ich auch kannte.

Samuel: Und dann kam raus, er ist guter Junge, ne?

Matthias: Genau, also das war jetzt eine Person, die habe ich hochgeladen und dann kam so als Ergebnis zurück eine RISKSCORE 10 von 100 und ist low. Und dann guckt man so rein. Risk Factors, Politically Exposed Persons, Sanctions, Illegal Activity, Criminal, High Risk Industry, quasi alles Null. Aber mit 17 Seiten Informationen dazu. Das war ein Riesenbericht. Und dann fängt man an. die Details zu lesen. das ist wirklich in diesem Bericht, muss man sich mal auf der Zunge zergehen lassen. In diesem Bericht die Details. Die Person, die ich angegeben habe, ist ein ehemaliger GRU Spätznatz FSB-Offizier in Russland, hat unter der KGB-Akademie noch studiert, war danach CEO von Sapsib Gazprom, einer Gazprom-Tochterfirma. Und zum Schluss steht dann halt unter dem Ganzen drunter No illegal or controversial activities are mentioned in the provided summaries. Jeder bei uns außerhalb von Russland würde ich jetzt mal sagen, aufgrund dieser Kurzzusammenfassung würde er zumindest mal sagen, Hopala, Sanctions, Gazprom, müssen wir den Wert anheben, Hopala, High Risk Industry auch, und die ganze nachrichtendienstliche Spezialkräftehintergrund würde auch zu einem höheren Rating führen. Und das fand ich total spannend, dass das Tool das nicht konnte, obwohl er die Daten zur Verfügung hatte. Wenn man dann weiter recherchiert und nicht kannte, ist auch Mitglied der Health Angels in Moskau. Da habe ich mich tatsächlich sein Health Angels Bild mit Kutte hochgeladen, was von der KI auch irgendwie nicht erkannt wurde. Der arbeitete für staatsnahe russische Propaganda-TV-Sender und war viel in Syrien unterwegs, quasi als Embedded Journalist für das Militär. Also nach unseren, ich nenne es mal westlichen Standards, gibt es keine Möglichkeit, dass der eine sehr low risk hat, wenn es eine due diligence geht. Und ich habe das auch probiert mit einem Deutschen, der auch sehr viele Bezüge nach Russland hat. Da kam auch zurück, ist alles nicht so schlimm, keine Risken hat die Person tatsächlich auch gar nicht erkannt, obwohl es eine Person des öffentlichen Lebens ist. Also schlussendlich auch wieder hier ein Beispiel. Es gibt Tools und die haben coole Ideen und coole Ansätze, nur man muss die auch selber testen.

Matthias: zu schauen, ob das für den eigenen Use Case passt. Und nachdem ich das jetzt mit zwei, drei kontroversen Menschen gemacht habe und die alle schön mit weißer Weste rausgekommen sind, scheidet dieses Tool für mich tatsächlich aus.

Samuel: Und das finde ich ja das Erschreckende, dass es sicherlich Leute gibt, die zahlen dafür viel Geld, nutzen das dann, packen das Ergebnis in einer schönen Grafik, in irgendeinen Bericht und sagen hier, alles gut, kein Problem, keine Sanktionen, keine Gefahr, kannst du machen. Und hinterher fällt einem das dann ganz mächtig auf die Füße. noch mal ganz kurz zu dem Sanitarisierungsansatz von davor. Neben der rein technischen Sanitarisierung haben wir auch noch die inhaltliche Sanitarisierung, die eigentlich notwendig ist. Jetzt hast du über diese Person eigentlich so viel erzählt, dass wahrscheinlich jemand, der ein bisschen Osend auf dem Kasten hat, sich hinsetzen kann und wahrscheinlich herausfindet, über wen du da gerade gesprochen hast. Genau, das ist eine relativ einfache

Matthias: Das dauert keine drei Sekunden, glaube ich.

Samuel: Online-Recherche, wahrscheinlich reicht hier sogar Google aus oder irgendeine KI per Plexity, der ein paar Infos geben und die Chance relativ schnell auf die richtige Person zu kommen ist recht hoch. Und das zeigt natürlich auch, es spielt gar keine Rolle, ob ich jetzt den Namen Matthias Wilson ersetze durch Person A und Samuel Lodegaard durch Person B. wenn sich aus dem Kontext ergibt, hier die zwei reden regelmäßig in ihrem deutschsprachigen Podcast über Open Source Intelligence organisieren, eine Konferenz. Ja, okay. Herauszufinden, wer die zwei Personen sind, da brauch ich kein Foto, da brauch ich keinen Namen. Das erschließt sich dann allein aus dem Kontext. Und das wird natürlich hier auch einfach hinten runterfallen gelassen. Und zeigt natürlich auch wieder, selbst wenn wir meinen etwas ... zu sanitarisieren und keine personenbezogenen Daten preiszugeben, kommen wir doch relativ schnell in einen Zustand, wo sich allein aus dem Kontext dann diese einzelne Person wieder herausfinden lässt. Und das finde ich das Spannende, immer wieder bei OZ, dass eigentlich so wenige Datenpunkte ausreichen, zu sagen, das ist wahrscheinlich diese Person. Zum Beispiel bei mir, ganz plumpes Beispiel, Samuel plus Osendt ist eine relativ zuverlässige Suche, recht schnell bei mir zu landen. Das sind jetzt nicht viele Informationen. Natürlich ist der Name Samuel nicht so häufig und Osendt ist auch irgendwie eine Niche. Aber meiner Meinung nach zu fast jeder Person mit zwei, drei Datenpunkten kann man die relativ schnell aus einer Masse N-Personen rausfiltern. Das finde ich immer wieder das Spannende bei bei Open Source Intelligence.

Matthias: Und auch hier Kontext ist König könnte man fast schon sagen, denn schlussendlich, egal in welcher Richtung ich irgendwie ermittle, was ich mache, ich muss mich mit der Thematik auskennen. Und das ist etwas, was eine KI vielleicht nicht ganz so gut kann. Jemand, der quasi am Fließband Osint Analysen erstellt zu Themen, der er oder sie überhaupt keine Ahnung hat, wird das auch nie hinbekommen, weil es ganz, ganz häufig die kleinen feinen Details geht. Ein super Beispiel hierfür hat Nico Degens Anfang des Jahres

Samuel: Mhm.

Matthias: in einem Blogpost verpackt, da gab es Ausschreitungen in den Niederlanden, weil es das letzte Jahr war, wo sie bollern durften. Sehr freiheit, ich darf bollern. Und schlussendlich hat er dann gesagt, na ja, wenn du jetzt hingehst und willst die Lage monitoren und willst dir diese Böllerei, diese Ausschreitungen in Amsterdam angucken, dann musst du mindestens 150, glaube ich, Namen auf dem Schirm haben, wie Amsterdam genannt wird von den Einheimischen. Denn das wird nicht immer Amsterdam sein. Und dann hat er sich mal die Mühe gemacht, auf Basis dessen, was er als gebürtiger Amsterdamer weiß, aber auch auf Basis dessen, was er so im Netz gefunden hat, und hat mal diese Keyword-List zusammengestellt. Und sprich, geht jetzt irgendein Dienstleister hin und sagt, ich mach dir ein tolles Monitoring, wieder Tool-basiert, und ich frage Amsterdam Ausschreitungen ab, dann wird er nichts finden, weil die Leute vielleicht von ihrem Stadtbezirk als D020 sprechen. oder Mokum, oder Mokum Aleph, oder The Free City, oder Sin City of Europe, das muss man alles vorher wissen. Also auch hier wieder der Brückenschlag zu Tools, gerade Monitoring Tools. Da muss ich vorher schon Experte sein und muss die richtigen Suchbegriffe definieren, damit das Tool gescheit funktioniert. Und das ist halt so etwas, was auch viele Menschen vernachlässigen, selber zum Experten zu werden in der Thematik, in der man recherchiert. damit man auch solche Kleinigkeiten tatsächlich erkennt.

Samuel: Das sage ich auch immer wieder. Die ganze Methodik, die ganzen Techniken, das ist das eine. Die dann aber auf wirklich ein Deliktsfeld anzuwenden, ist nochmal etwas komplett anderes. Und da muss man einfach Sachverhaltskenntnis haben, da muss man sich mit der Thematik auseinandersetzen, da muss man ein Stück weit auch reinwachsen. Du musst erstmal den Slang, Lingo der Zielgruppe lernen und genau, Emojis.

Matthias: Auch die Emojis.

Samuel: Und das bringt uns genau zu einem Artikel von Korrektiv, die sich nämlich mal damit auseinandergesetzt haben, was denn Rechte so für Emojis nutzen, irgendwelche rechtsradikalen Ansichten zu verschleiern.

Matthias: Ja, relativ interessant und eigentlich auch naheliegend. Wenn ich den Phänomenbereich Rechtsextremismus mir angucke, dann muss ich auch diese Lingo beherrschen. So, und wenn jetzt jemand in, und das ist ein schönes Beispiel von Korrektiv, der haben ein Profil mal aufgezeigt und da hat jemand als Profilbeschreibung Sieg geschrieben und dann der Emoji, der die Hand hebt und danach eine Deutschlandfahne. dann brauchst du dir das Profil eigentlich gar nicht anzugucken, sondern weißt genau, welche Richtung die Reise geht. Und das sind halt Sachen, das muss man auch verstehen. Das muss man recherchieren, bevor man anfängt, an dem Thema zu arbeiten, weil ansonsten kann das vielleicht einem untergehen oder bei einer Automatisierung gar nicht erst erfasst werden. Und ich glaube, dieses Thema Emojis haben wir schon mal in irgendeiner Folge gehabt, weil es ja auch Emojis für Drogen, so Brokkoli für Gras.

Samuel: hatten wir schon mal genau, welche Bedeutung hat für Drogen. Wir hatten es aber auch schon mal ganz allgemein. Welche Bedeutung hat denn überhaupt ein Emoji? Der Daumen hoch heißt das Zustimmung, das, ich habe es zur Kenntnis genommen, das, habe es gesehen. Was ist die Aussagekraft davon? Und das zeigt natürlich auch wieder, Sprache verändert sich, Sprache entwickelt sich und Emojis sind meiner Meinung nach immer noch unterschätzt bei der Recherche. Ich weiß... Das hat Michael Buzell schon ganz früher in seinem Osin Handbook immer drin gehabt, dass wenn du nach Kontaktmöglichkeiten zu einer Person suchst, dass du halt auch das Symbol für einen Telefonhörer nutzt, dass du den Briefumschlag für die E-Mail-Adresse verwendest, eben auch so etwas zu finden, wo das vielleicht jemand abkürzt. Und das zieht sich eben durch. Emojis gehören auch zu Sprache. Wir nutzen sie im Alltag. Sie haben in unterschiedlichen Kontexten unterschiedliche Bedeutungen. Und dessen müssen wir uns auch einfach bewusst sein.

Matthias: Ja, so wissen wir jetzt auch durch diesen Artikel, wenn jemand in seinem Profil Sieg und dann den Emoji mit der sich hebenden Hand zeigt, dann ist das ein kleiner Nazi. Punkt. Wobei, man bei Nazis sind, da haben wir auch was feines im Netz entdeckt. eine Dating Seite. OK, stupid, beziehungsweise ja nicht die Dating Seite selbst, aber die Daten, davon stammen.

Samuel: Ja, da hast du nämlich eine Seite geteilt, die hat einmal eine rechte Dating-Plattform gescrapet und alle Nutzerdaten jetzt als durchsuchbare Datenbank zur Verfügung gestellt. Man könnte natürlich sagen, das ist Doxing à la carte nach bester Definition. Und dann kann man schauen, wo sind denn diese ganzen Nazis? Denn spannenderweise waren in diesem geleakten Daten auch noch Fotos mit Exif-Daten mit drin. Und das heißt, man hat so eine schöne Europa-Karte, auf der man sich bewegen kann und dann ganz viele Kartoffeln sieht. Sogar global. interessantes Projekt. Ich fand's ganz witzig, dass es auch eine eigene DeleteMe-Funktion gibt, also ein Formular, man den Take-down seiner Daten nach DSGVO anfragen kann. Würde mich echt mal interessieren, wie viele Leute das anfragen und inwiefern die Webseite dann der Anfrage auch folgt.

Matthias: Ja, so wie du es gesagt hast, zwei schneidige Schwert, vielleicht eine ergiebige Osint-Quelle, wenn ich im Bereich Rechtsextremismus arbeite, aber doch ein sehr umfassender Bereich, sehr umfassender Eingriff in die Privatsphäre von den Personen, die vorher auf whitedate.net als blonden blauäugigen Arya eine Treadwife gesucht haben. zeigt auch wieder hier die Ambivalenz, in der wir uns bewegen. Einerseits kann das eine gute Quelle sein, andererseits ist das natürlich etwas, wo wir auch immer wieder sagen, Mensch, ist Doxing. Da bin ich glaube ich auch bei dir nicht Borderline-Doxing, sondern tatsächlich Doxing ist wahnsinnig schwierig. Und dann ist halt natürlich immer die Frage, darf ich das nutzen? Rechtlich ja, nein. Sollte ich das nutzen ethisch? Ja, nein. Das ist auch immer wieder eine Diskussion, die wir haben. Aber gehen wir mal von dem weg, bleiben wir aber trotzdem bei dem Thema Moral und Ethik in Usind. Und da haben wir etwas gehabt, da habe ich mich mal wieder maßlos aufgeregt, wie so häufig in den letzten Episoden. Und zwar eine Usind-Konferenz, die demnächst stattfindet von einem Deppen. Nicht unsere, nein, ich nenne es jetzt einfach mal, also ich sage die Konferenz nicht, den Namen nicht, aber ein selbsternannter Usind-Experte aus Italien.

Samuel: ja.

Samuel: Nicht unsere. Nicht unsere, genau.

Matthias: den ich persönlich für in depp halte, aber das ist persönliche Meinung. Und der hat einen Sprecher zu seiner Konferenz eingeladen, der aufzeigt, wie man quasi Only Fans Accounts recherchiert. Samuel, was sagst du denn dazu?

Samuel: Ich weiß noch, als ich darüber gestolpert bin, ich hab dir glaub ich den Screenshot geschickt und gesagt, das ist ethisch-moralisch so verwerflich. Also ich sag's mal so. Es gibt durchaus Anwendungsfälle und Bereiche, wo auch ein Onlyfans-Account ermittelt werden muss und...

Matthias: Und in diesem Fall muss man auch dazu sagen, es steht Research on de-anonymizing OnlyFans Creators. Das heißt, man möchte die de-anonymisieren, man möchte Klarnamen und Lebensort und alles mögliche herausfinden. Also nur das mal nochmal zu verdeutlichen.

Samuel: ins richtige Licht zu rücken. Absolut. Und das ist meiner Meinung nach so falsch auf so vielen Ebenen. Es erinnert mich an eine Aktion, wo, glaube ich, Porno-Darstellerinnen in erster Linie von Pornhub deanonymisiert wurden. Und nicht mit der Zielrichtung, Finanzermittlungen, sondern wirklich einfach nur, herauszufinden, wer ist denn das, den Namen herauszufinden. Ähnliche Seiten mit diesem Geschmack. Und in diese Richtung gibt es natürlich viele, wo dann auch irgendwelche andere Content-Creators meistens leider weiblich deanonymisiert werden und irgendwelche Daten gedoxt werden. Also das ist schon echt gruselig. Sowas auf einer Anführungszeichen professionellen Osinkonferenz hat meiner Meinung nach nichts zu suchen, weil es sich moralisch einfach nicht gehört. Die Techniken, die sind natürlich die gleichen wie bei fast jeder sozialen Plattform, bei jeder Plattform, wo man irgendwie jemanden identifizieren kann. Aber das Ganze so zu frame, so zu benennen, finde ich mehr als fragwürdig.

Matthias: ethisch, unmoralisch, absolutes Unding. Punkt.

Samuel: Gut, bringt uns nur noch zu einem letzten Punkt, was echtig moralisch auch schwierig ist und mir auf alle Fälle und dir wahrscheinlich auch die Lust und die Chance auf eine Einreise in die USA recht schwierig machen. Was ist denn passiert, Matthias?

Matthias: Wir haben ja schon das ein oder andere Mal gesprochen über die Tatsache, dass die Lage in den USA, auch vor allem die digitale Lage, immer schwieriger wird. Man verbietet dort Faktenchecker und Verifikationsteams die Einreise und gegebenenfalls auch Menschen, die sich kritisch über das dortige Regime äußern. Und jetzt demnächst wird umgesetzt, dass bei der E-Star-Anmeldung, also quasi dieses verkürzte Visa-Verfahren, umgangssprachlich gesagt, bis zu fünf Jahre Social Media History, was sie darlegen muss. Also man muss die Accounts angeben, was hat man genutzt. Man muss alle Telefonnummern der letzten fünf Jahre angeben, alle E-Mail-Adressen der letzten fünf Jahre und nicht nur von sich, sondern von Eltern, Partnerinnen, Partner, Ehegatten, Kinder, Bruder, Schwester. Also dass man da wirklich digital zum gläsernen Menschen wird, wenn man sich daran hält und das alles einträgt und Noch ein Grund mehr nicht darüber zu fahren, weil die Idee ist ja ganz klar, wenn ich E-Mail-Adressen, Telefonnummern von mir und meinem ganzen Umfeld dorthin liefern und die sich fünf Jahre Social Media Activity anschauen, dann betreiben sie quasi Ozen for Bad. Meiner Ansicht nach. Und wenn man sich anguckt, wo das Ganze jetzt momentan sich hin entwickelt unter dem Deckmantel von freier Rede, free Speech. Nur nicht, wenn es mich betrifft. So ungefähr ist ja die Maxime dort. dann ist das eine ganz, ganz gefährliche Situation, wo ich auch inzwischen immer mehr Personen in meinem Umfeld kenne, die mich dann auch fragen, Mensch, wie gehe ich denn mit so was wenn ich in die USA dienstlich reise oder privat rüberreise? Und ganz ehrlich, da habe ich keine Antwort für. Meine persönliche Antwort ist, ich fliege da nicht hin. Oder man muss halt im Endeffekt lügen. Das ist so, wenn man nicht alles angibt und... hat dann vielleicht die Gefahr, dass jemand doch etwas übereinfindet und man wird nicht reingelassen.

Samuel: Ja, also für mich war es ja schon schwierig, ... als es hieß, ja alle die Verifikationen ... Faktschecking machen, weil was bedeutet, dass für denjenigen, Kurse in dem Bereich anbietet ... ... und quasi die Faktschecker ausbildet und denen zeigt, wie es gemacht wird ... und sich auch, ja wir reden ja auch ... regelmäßig in unserem Podcast hier ... ... Verifikation, du hast es vorhin gesagt, ... wahrscheinlich ist es eines der Worte, das am häufigsten auftaucht. Wir reden nonstop über dieses Thema. da war es schon schwierig. Und wenn ich mir jetzt überlege, ich sollte alle E-Mail-Adressen, alle Accounts, alle Handynummern der letzten fünf Jahre irgendwie offenlegen. Also zum einen will ich das nicht, zum anderen könnte ich es aber auch gar nicht, weil dadurch, dass man eben Recherche-Identitäten anlegt für Kurse, als Test, sich irgendwelche Tools und Plattformen anzuschauen. Ich habe so viele E-Mail-Adressen. die würde ich alle gar nicht mehr zusammen bekommen. Selbst wenn ich wollte. Selbst wenn ich wollte, hätte ich Schwierigkeiten wirklich wahrheitsgemäß alle zu rekonstruieren. Natürlich kann ich über meinen Passwortmanager einiges rekonstruieren, aber selbst da ist nicht alles drin, weil es Sachen gibt, die sind isoliert, sind gekapselt, die sind, wenn sie dann nicht mehr benötigt werden, auch komplett gelöcht und weg. Weil das gehört natürlich auch dazu, dass man einen vernünftigen Off-Boiling-Prozess hat und so einen Account auch einfach mal vollständig platt machen muss. Und das wäre ja nur meine Social-Media-Präsenz, das wäre ja nur mein digitaler Fußabdruck von meiner Familie, von meinen Eltern, von meinen Verwandten. Also zum einen, von manchen habe ich gar nicht diese Identitäten, diese digitale Präsenz und dann Bei wie vielen Kindern ist es denn so, dass sie mehr als eine digitale Identität haben? Eine, die mit den Eltern verknüpft ist und dann noch mal die, die im Freundeskreis genutzt wird, die, fürs Online-Gaming genutzt wird, die für irgendwelche anderen Themen benutzt werden, wovon Eltern ja gar nichts mitbekommen und auch gar nichts mitbekommen sollen. Und dann soll man auf einmal ein Formular ausfüllen und sagen, hier, das sind übrigens die drei Social-Media-Accounts von meinem Kind.

Samuel: alle unter Klarnamen und hier sind die Links. Und dann hat man eigentlich schon gelogen, weil es gibt ja noch fünf weitere. ... ja, ich weiß nicht, wo das hinführen soll. Erinnert mich mehr und mehr immer an die Serie Black Mirror, wo man dann irgendwann an der ... bei der Grenzkontrolle quasi einen Abriss seines Lebens der letzten Jahre im Schnelldurchlauf abspielen muss, um ... einen Reisegewähr zu bekommen. Ja, ich weiß nicht, wo das hinführt.

Matthias: Auf jeden Fall das mal abzuschließen, das gehört auch zum Thema Digitalkompetenz dazu, dass man sich über seinen eigenen digitalen Footprint bewusst ist, sich auch darüber bewusst ist, was andere damit anstellen können, im Guten wie im Bösen und dann für sich selber abzuwägen, wie man damit umgeht. Und ich glaube, dann haben wir zum Jahresauftakt eine spannende Folge hinbekommen mit wahnsinnig vielen coolen Themen. Und ich freue mich jetzt schon auf die nächste Folge.

Samuel: Ich mich auch und bis bald. Ciao, ciao Matthias.

Matthias: Dann bis zum nächsten Mal, ciao!