Thema: IT & Medien
26.06.2025 | me@christianfriedrich.org
Cybersicherheit im Mittelstand
Die Transferstelle Cybersicherheit für den Mittelstand ist die Informationsstelle für kleine und mittlere Unternehmen zu Themen rund um Cybersicherheit. Wir sprechen mit Marc Dönges, dem Leiter der Transferstelle, zu Besonderheiten in deutschen KMU und erörtern Bedrohungsszenarien.
Links
Transferstelle Cybersicherheit LinkedIn
Website Transferstelle Cybersicherheit im Mittelstand
Angriff auf das Autohaus Bauer (NDR)
BSI Lagebericht: IT-Sicherheit in Deutschland 2024
Bitkom Wirtschaftsschutz Studie 2024
https://www.hdi.de/konzern/presse/hdi-studie-zu-cybersicherheit-2/#dokumente
CyberRisiko-Check, DIN Spec 27076
Podcast App Empfehlungen
Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:
Die Sicherheits_lücke im Netz
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Die Sicherheits_lücke bei Mastodon
Die Sicherheits_lücke bei LinkedIn
Die Sicherheits_lücke bei Pixelfed
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Monina Schwarz, LSI Bayern
Volker Skwarek an der HAW Hamburg
Produktion und Musik: Christian Friedrich
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.
19.06.2025 | me@christianfriedrich.org
Die Sicherheits_lücke Live vom IT-Executive Forum 2025
zu Gast: Stefanie Dreyer
Stefanie Dreyer (Digitalcluster Hamburg)
IT-Executive Club bei LinkedIn
Nächstes ITEC Forum: 09.06.2026
Podcast App Empfehlungen
Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:
Die Sicherheits_lücke im Netz
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Die Sicherheits_lücke bei Mastodon
Die Sicherheits_lücke bei LinkedIn
Die Sicherheits_lücke bei Pixelfed
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Credits
Die Kapitelbilder in dieser Folge sind Bildausschnitte der Graphic Recordings von Jessica Frische.
Volker Skwarek an der HAW Hamburg
Produktion und Musik: Christian Friedrich
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin des Episodencovers ist Anne Vogt. Urheberin der Kapitelbilder ist Jessica Frische.
28.05.2025 | me@christianfriedrich.org
Sichere Kommunikation
Wir sprechen über sicherere Kommunikation, über Messenger, Verschlüsselung, Backdoors und darüber, was bei der Kommunikation in Unternehmen zu bedenken ist.
Wikipedia: Operation Trojan Shield
BSI VS-Anforderung: Sicherer Messenger mit Video-Konferenzsystem
Podcast App Empfehlungen
Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:
Die Sicherheits_lücke im Netz
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Die Sicherheits_lücke bei Mastodon
Die Sicherheits_lücke bei LinkedIn
Die Sicherheits_lücke bei Pixelfed
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Monina Schwarz, LSI Bayern
Volker Skwarek an der HAW Hamburg
Produktion und Musik: Christian Friedrich
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.
26.05.2025 | me@christianfriedrich.org
Die Sicherheits_lücke Live von der Konferenz für Nationale Cybersicherheit
Volker Skwarek und Manuel ‚HonkHase‘ Atug sprechen live von der Konferenz für Nationale Cybersicherheit über ihre Eindrücke und Einschätzungen der Konferenz und ihrer Beiträge.
Mit dem Format von „Die Sicherheits_lücke Live“ werden wir unregelmäßig im regulären Feed von „Die Sicherheits_lücke“ von Konferenzen und Events berichten.
Website der Konferenz für Nationale Cybersicherheit
Programm der Potsdamer Konferenz für Nationale Cybersicherheit
24.04.2025 | me@christianfriedrich.org
SSL005 Human Centered Security mit Angela Sasse
Wir haben Angela Sasse, Inhaberin des Lehrstuhls für Human Centered Security an der Ruhr-Universität Bochum, zu Gast und genau darum geht es auch in dieser Folge von Die Sicherheits_lücke: Menschenzentrierte Sicherheit in der IT. Wir sprechen darüber, wie Prozesse in der IT-Sicherheit entwickelt werden können, damit Menschen sich sicher verhalten können, wie die Macht der Gewohnheit eine Gefahrenquelle sein kann oder eben zur Sicherheit beiträgt, was Phishing-Trainings bewirken könnten und was sie derzeit oft bewirken.
Mehr zu unserer Gästin
Prof. Dr. Angela Sasse, Ruhr-Uni Bochum
Links zur Episode
Wikipedia: ISO/OSI Referenzmodell 7 Schichten
Wikipedia: Schnelles Denken, langsames Denken
Adams, Anne, and Martina Angela Sasse. “Users Are Not the Enemy.” Communications of the ACM, vol. 42, no. 12, Dec. 1999, pp. 40–46. DOI.org (Crossref), https://doi.org/10.1145/322796.322806
Beautement, Adam, et al. “The Compliance Budget: Managing Security Behaviour in Organisations.” Proceedings of the 2008 New Security Paradigms Workshop, ACM, 2008, pp. 47–58. DOI.org (Crossref), https://doi.org/10.1145/1595676.1595684.
Podcast App Empfehlungen
Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:
Die Sicherheits_lücke im Netz
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Die Sicherheits_lücke bei Mastodon
Die Sicherheits_lücke bei LinkedIn
Die Sicherheits_lücke bei Pixelfed
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Monina Schwarz, LSI Bayern
Volker Skwarek an der HAW Hamburg
Produktion und Musik: Christian Friedrich
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.
03.04.2025 | Katrin Schröder
SSL04 NIS-2 mit Dennis-Kenji Kipker
Wie ist der Stand bei der Umsetzung des NIS-2 Umsetzungsgesetzes in Deutschland? Welche konkreten Punkte sollten Unternehmen, Verwaltung und Behörden schon jetzt beachten? Diese und viele weitere Fragen haben wir mit Prof. Dr. Dennis Kenji-Kipker besprochen. Dennis ist ausgewiesener Experte für Cyversicherheitsrecht und hat unter anderem als Sachverständiger in einer Anhörung des Deutschen Bundestags zum Thema NIS-2 beraten.
Mehr zu unserem Gast
Wikipedia: Dennis-Kenji Kipker
Links zur Episode
Europäische Richtlinie als Basis für NIS 2
Übersichtsseite der Bundesregierung zum Umsetzungsstand von NIS-2
Gesetzesentwurf der Regierung, über den in dieser Episode gesprochen wird
BSI: Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)
Wikipedia: Kritische Infrastruktur (KRITIS)
BSI: NIS-2 Betroffenheitsprüfung
Wikipedia: Computer Emergency Response Team (CERT)
Wikipedia: Software-Lieferkette und SBOM
Artaker: Unterschiede zwischen NIS-1 und NIS-2
Podcast App Empfehlungen
Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:
Die Sicherheits_lücke im Netz
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Die Sicherheits_lücke bei Mastodon
Die Sicherheits_lücke bei LinkedIn
Die Sicherheits_lücke bei Pixelfed
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Monina Schwarz, LSI Bayern
Volker Skwarek an der HAW Hamburg
Produktion und Musik: Christian Friedrich
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.
25.02.2025 | Katrin Schröder
SSL003 Cui Bono Sicherheitslücken?
Wer nutzt Sicherheitslücken? Und Warum? Was ändert das an der Art und Weise, wie sich Einzelne und Organisationen mit Sicherheitslücken umgehen und sich vor Angriffen schützen? Darum geht’s in dieser Folge von „Die Sicherheits_lücke“.
Links
Red Team, Blue Team (Security Team)
Spionieren unter Freunden (Deutsche Welle)
CIA Triade (IT-Service Network)
NSAKEY in Windows NT 4.0 (Wikipedia)
NSA Built Back Door In Microsoft’s All Windows Software by 1999 (Techworm)
Lagebild Cybercrime 2023 (BKA)
Bedrohung durch Innentäter (Verfassungsschutz, PDF)
Hacker-Verfahren wegen CDU-Wahlkampf-App eingestellt (Golem)
Hackerparagraf soll entschärft werden (Spiegel Online)
Referentenentwurf eines Gesetzes zur Änderung des Hacker-Paragraphen
Hackerparagraf wird entschärft, aber nicht gestrichen (heise)
Responsible Disclosure (Wikipedia)
Podcast App Empfehlungen
Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:
Die Sicherheits_lücke im Netz
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Die Sicherheits_lücke bei Mastodon
Die Sicherheits_lücke bei Pixelfed
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Monina Schwarz, LSI Bayern
Volker Skwarek an der HAW Hamburg
Produktion und Musik: Christian Friedrich
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.
06.02.2025 | Katrin Schröder
SSL001 Digitale Bilderrahmen & smarte Kaffeemaschinen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor Weihnachten bei 30.000 digitalen Bilderrahmen und Mediaplayern in Deutschland die Kommunikation der Schadsoftware BadBox unterbunden. Wir sprechen über Malware im Internet of Things, in Bilderrahmen, Kaffeemaschinen und Spülmaschinen. Was bedeuten die Risiken für Privatpersonen, Organisationen und die Gesellschaft?
Links zu dieser Folge
Meldung des BSI: Vorinstallierte Schadsoftware auf IoT-Geräten
Badbox Malware, Ursprünge in 2016
Allg. Infos über Badbox und Peachpit
„This malware also well-known brands such as Yandex TVs and Hisense smartphones. […] It first came to light in early 2023 when a Canadian security consultant found it on a T95 Android TV box. Since then, the BadBox malware has spread to other lesser-known products that available online.“ Zitat aus: https://protergo.id/badbox-malware-infects-192k-android-devices-despite-crackdown/
BSI Consumer IoT Richtlinie 303 645
Internet of Things – Wikipedia
Batterygate bei Spiegel Online
Vortrag 38C3: Wir wissen wo dein Auto steht
Pi-hole: Network-wide ad blocking via your own Linux hardware
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Volker Skwarek an der HAW Hamburg
04.02.2025 | Katrin Schröder
SSL000 Die Sicherheits_lücke stellt sich vor
Was macht unsere digitale Welt sicher – und wo bleiben wir verwundbar? Der Podcast Die Sicherheits_lücke hilft dir, Cybersecurity zu verstehen. Prof. Dr. Volker Skwarek (HAW Hamburg) spricht gemeinsam mit Monina Schwarz (LSI Bayern) und Prof. Dr. Ingo Timm (DFKI & Uni Trier) über aktuelle Risiken, technologische Trends und gesellschaftliche Herausforderungen.
Du bekommst praxisnahe Einblicke und verständliche Erklärungen – ergänzt durch eine klare Einordnung von Fakten und Meinungen. Der Podcast macht Cyber Security greifbar und verbindet fundierte Inhalte mit unterhaltsamen Gesprächen.
Ob du Entscheidungsträger:in, IT-interessiert oder einfach neugierig bist – Die Sicherheits_lücke gibt dir die Möglichkeit, digitale Risiken besser einzuschätzen und kluge Entscheidungen zu treffen.
Links zu dieser Folge
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Volker Skwarek an der HAW Hamburg
Bild: Midjourney
24.07.2024 | Meena Stavesand
Generative KI: Das musst du über Urheberrecht, Datenschutz und Transparenz wissen
ChatGPT, Co-Pilot, Midjourney, Dalle-E oder auch DeepL – das alles sind KI-Generatoren für Texte und Bilder, die künstliche Intelligenz in die Gesellschaft gebracht haben. Jeder kann sich an generativer KI versuchen, Texte, Bilder und Videos erstellen und veröffentlichen. Aber wie sieht es mit Urheberrecht und Datenschutz aus? Was darf wie genutzt werden? Wann muss man KI-generierte Inhalte kennzeichnen? Und welche Verantwortung trägt man bei der Arbeit mit KI-Generatoren? Diese Fragen haben wir der Juristin Andrea Schlotfeldt von der HAW Hamburg gestellt. Herausgekommen ist ein spannendes Interview, in dem es auch um den neuen AI Act der EU geht.
Thema Urheberrecht. Inwieweit kann es bei Erstellung und Nutzung von KI-Inhalten zu Urheberrechtsverletzungen kommen?
Andrea Schlotfeldt: Die Wahrscheinlichkeit, hierbei fremde Urheberrechte zu verletzen, ist an sich gering. Es verbleibt aber ein Restrisiko. Hierfür ist die Art des gewählten Prompts relevant und, ob ich den KI-Output noch weiterbearbeite und falls ja, in welchem Umfang. Lasse ich einen noch geschützten fremden Text übersetzen und veröffentliche ich diese Übersetzung, kann darin eine Urheberrechtsverletzung liegen. Ebenfalls wenn ich ein fremdes Bild hochlade, durch die KI geringfügig verändere und dann neu veröffentliche.
Eine Urheberrechtsverletzung kann allerdings auch zufällig bzw. unbewusst vorkommen, auch je nach zugrunde liegendem Trainingsmaterial. Sofern KI-Output mit bestehenden fremden Werken identisch ist oder diesen stark ähnelt, ohne dass ich durch meinen Prompt darauf hingewirkt habe, könnte es theoretisch also auch zu Urheberrechtsverletzungen kommen.
Wie kann ich sicherstellen, dass ich bei der Nutzung von KI-Inhalten keine Urheberrechte verletze?
Andrea Schlotfeldt: Eine pauschale Sicherstellung ist nicht möglich, aber man kann z. B. durch eine Rückwärtssuche u. a. bei Google prüfen, ob man ähnliche Ergebnisse bekommt – wenn ja, ist man eventuell im Bereich der Urheberrechtsverletzung und sollte auf die Nutzung verzichten. Aber das lässt sich nicht generell sagen, sondern man muss es im Einzelfall prüfen. Grundsätzlich ist die Rückwärtssuche ein Instrument, mit dem man zumindest eine erste Information bekommt.
Auch sollte man davon absehen, KI-generierte Übersetzungen noch geschützter Texte ohne Zustimmung der Rechteinhaber:innen zu veröffentlichen. Letztlich kommt es darauf an, wie der Prompt ausgestaltet ist. Wenn man ganz gezielt nach bestimmten Texten oder Studienauszügen fragt, dann kann es vorkommen, dass zumindest in Teilen auch 1:1-Inhalte generiert werden. Von deren Weiterverwendung sollte ich dann absehen.
Gibt es Grenzen?
Andrea Schlotfeldt: Ja, man muss immer unterscheiden, in welchem Kontext man den Content verwendet. Wenn man ihn im Rahmen einer studentischen Arbeit oder auch als lehrende Person in Folien verwendet, dann kann das unter die Schranke des § 60a Urheberrechtsgesetz fallen, der zu Studien- oder Lehrzwecken bestimmte Nutzungen erlaubt, wenn die Inhalte in einem geschlossenen Benutzerkreis bleiben und nicht öffentlich auf einer Website zugänglich gemacht werden. Allerdings besteht hier die Anforderung, dass die Quellen angegeben werden müssen. Man muss also wissen, woher die Texte oder Bilder stammen – was bei KI-Output oft schwierig bis unmöglich sein kann. Und genau der eingeschränkte Kreis der Teilnehmerinnen und Teilnehmer an einer Veranstaltung ist wichtig.
Was ist der AI Act?<br>Der Artificial Intelligence Act (AIA) ist ein von der EU-Kommission im Rahmen der EU-Digitalstrategie veröffentlichtes Gesetz zur Regulierung von Künstlicher Intelligenz (KI) in Forschung und Wirtschaft. Er legt fest, welche Anbieter:innen und Nutzer:innen von KI-Systemen in der EU den neuen Regularien unterliegen. Dies betrifft sowohl in der EU ansässige als auch außerhalb der EU befindliche Akteur:innen, deren KI-Systeme in der EU genutzt werden. Der AI Act definiert KI weit: KI umfasst demnach Systeme, die maschinelles Lernen, logik- und wissensbasierte Konzepte oder statistische Ansätze nutzen. <br><br>KI-Anwendungen werden nach ihrem potenziellen Risiko in vier Kategorien eingeteilt: unannehmbares Risiko, hohes Risiko, geringes Risiko und minimales Risiko. Systeme mit unannehmbarem Risiko sind verboten, Hochrisiko-Systeme unterliegen strengen Anforderungen wie Risikomanagement und Daten-Governance, also Datenrichtlinien für die Erfassung, Speicherung, Verarbeitung und Vernichtung von Daten. Systeme mit geringem Risiko müssen minimale Transparenzpflichten erfüllen, während Anwendungen mit minimalem Risiko keine besonderen Anforderungen haben.<br><br>Der AI Act zeigt die EU-Bemühungen, Missbrauchspotenziale wie Beeinflussung und Überwachung durch KI zu minimieren. Unternehmen sollten sich frühzeitig mit den Regulierungen auseinandersetzen und ihre Entwicklungen entsprechend anpassen.
Es gibt auch die Gemeinfreiheit bei Werken. Was ist das genau?
Andrea Schlotfeldt: Zum einen sind Werke gemeinfrei, wenn der Urheberrechtsschutz abgelaufen ist, also 70 Jahre nach dem Tod des Urhebers oder der Urheberin. Oder Werke sind gemeinfrei, wenn sie gar nicht geschützt waren, weil es sich zum Beispiel um eine sehr einfache Gestaltung handelt, die keine Schöpfungshöhe, also keine besondere Originalität, aufweist, oder wenn es sich z. B. um Gesetzestexte handelt.
Wie kann ich sicherstellen, dass meine KI-generierten Inhalte nicht kopiert werden?
Andrea Schlotfeldt: Sicherstellen lässt sich dies nicht. Hier ist die Situation dieselbe wie bei herkömmlichen urheberrechtlich geschützten Texten oder Bildern, die ich veröffentliche. Sofern kein technischer Kopierschutz gegeben ist, können Inhalte rein faktisch übernommen werden. Wer bei mir „klauen“ möchte, den oder die kann ich nicht daran hindern.
Der Unterschied zu diesen von Menschen verfassten Inhalten ist, dass bei KI-Output in der Regel ja kein Urheberrechtsschutz anzunehmen ist, so dass die Weiternutzung zumeist tatsächlich zulässig ist (Stichwort „digitales Freiwild“). Derzeit wird unter Jurist:innen diskutiert, ob KI-Output künftig über ein sogenanntes Leistungsschutzrecht geschützt werden sollte, wie dies beispielsweise in Großbritannien in bestimmten Konstellationen der Fall ist. Ob eine solche Gesetzesänderung kommt, ist aber noch unsicher. Das Gesetzgebungsverfahren würde zudem sicher eine gewisse Zeit brauchen.
Gibt es Fälle, in denen mein KI-Output gleichwohl urheberrechtlich geschützt ist?
Andrea Schlotfeldt: Wenn Inhalte von mir wie Bilder oder Texte von einer KI nur geringfügig bearbeitet bzw. verändert wurden, aber im Wesentlichen immer noch meine Arbeit, mein Werk, sind, dann unterliegen sie weiterhin meinem Urheberrecht. So interpretiere ich die aktuelle Rechtslage. Wenn ich aber mittels KI ein Bild erstellen lasse, für das ich vorgebe, dass eine Lehr- bzw. Unterrichtssituation zu sehen sein soll, klassisch – ein Raum, Tische, Stühle, Monitore, Whiteboard und Studierende – und die KI generiert mir das, dann ist das nicht mein eigenes Werk. Wenn ich dieses Bild so – auch unbearbeitet – auf meine Website stelle, dann können es theoretisch auch andere nutzen. Es unterliegt dann keinem Urheberrecht. Das ist die Besonderheit – im Vergleich zu herkömmlichen Fotos oder Texten, auch wenn es mein Prompt ist, auf dem der Output ja letztlich basiert.
Gibt es eine Verpflichtung zur Transparenz, wenn ich Inhalte mit einer KI generiere?
Andrea Schlotfeldt: Hier kommt es auf die geplante Nutzung an: Eine generelle Pflicht zur Transparenz besteht aktuell noch nicht. Allerdings können sich auch jetzt schon Kennzeichnungspflichten aus Prüfungsvorgaben ergeben, etwa im Kontext der in der Regel geforderten Hilfsmittelangabe. Hierfür sind Art, Umfang und Zweck der KI-Nutzung ausschlaggebend. Die Umsetzung dieser Pflichten kann komplex ausfallen, zumal wenn die verwendeten Prompts mit aufzuführen sind.
Auch darf ich mich nicht als Urheber:in KI-generierter Texte ausweisen, wenn diese ausschließlich von einem KI-Tool erzeugt wurden. Die Grenzen sind allerdings fließend, und Rechtsprechung hierzu steht aus (Wieviel Anteil eines Textes darf beispielsweise KI-erzeugt sein, damit dieser noch als eigener Text gilt? Dies ist auch relevant bei Übersetzungen mit Diensten wie DeepL.). Bei Presseerzeugnissen können journalistische Sorgfaltspflichten ebenfalls eine Pflicht zur Kennzeichnung mit sich bringen.
Wichtig ist auch: Die EU hat im Mai 2024 den sogenannten AI Act verabschiedet – ein Gesetz für den Umgang mit KI. Darin ist auch eine Vorschrift enthalten, die eine Transparenzpflicht vorsieht. Sie soll voraussichtlich ab August 2025 gelten. Die genauen Vorgaben sind derzeit noch unkonkret. Hier werden juristische Kommentierungen oder ggf. Konkretisierungen durch das AI Office eine wertvolle Hilfe sein, Aktuell wird an diesen gearbeitet.
Eine Frage, die sich daran anschließt, ist die nach der Kontrolle. Wie kann man kontrollieren, ob ein Content KI-erzeugt ist?
Andrea Schlotfeldt: Kontrolle ist schwierig. Es gibt u. a. die Möglichkeit, Wasserzeichen einzusetzen, um KI-Output als solchen zu kennzeichnen, aber wie dauerhaft sind diese? Kann man sie einfach „herausschneiden“? Hier ist die Forschung gefragt und auch dabei (u. a. an der HAW Hamburg), gute Lösungen zu entwickeln, damit solche Markierungen nicht einfach entfernt werden können.
Was sind Deepfakes?<br>Deepfakes sind Medieninhalte, bei denen künstliche Intelligenz verwendet wird, um realistisch aussehende Fälschungen zu erstellen. Diese Fälschungen können Videos, Audios oder Bilder umfassen, bei denen das Gesicht oder die Stimme einer Person manipuliert oder komplett ersetzt wird, um den Eindruck zu erwecken, dass diese Person etwas gesagt oder getan hat, was in Wirklichkeit nicht der Fall ist. Der Begriff „Deepfake“ setzt sich aus „Deep Learning“ und „Fake“ zusammen und weist darauf hin, dass tiefe neuronale Netze, eine Technologie des maschinellen Lernens, verwendet werden, um diese Fälschungen zu erzeugen.
Thema Verantwortung und Haftung. Bin ich für meine Inhalte verantwortlich? Und kann ich die Verantwortung abgeben?
Andrea Schlotfeldt: Man kann die Verantwortung in der Regel nicht abgeben. Wenn man die Tools nutzt und damit Inhalte erstellt, dann sind die Nutzungsbedingungen dieser Programme in der Regel so ausgestaltet, dass der Nutzer oder die Nutzerin selbst verantwortlich ist. Anders kann die Situation zu beurteilen sein, wenn bei einer Prüfung der Einsatz eines KI-Tools verpflichtend vorgesehen ist und „unwissentlich“ eine Urheberrechtsverletzung entsteht, die zudem der Öffentlichkeit zugänglich wird, etwa im Zuge der Präsentation von Abschlussarbeiten. Hier hängt die Beurteilung sehr vom Einzelfall ab.
Viele Nutzende treibt der Datenschutz um. Bei ChatGPT gibt es die Möglichkeit, die eigenen Daten dahingehend zu schützen, dass die Prompts und Ergebnisse nicht weiterverwendet werden. Ist das wirklich möglich?
Andrea Schlotfeldt: Ob diese Einstellungen ein Garant für den Schutz sind, dazu sind mir keine Erhebungen oder Studien bekannt. Viele Expert:innen sprechen bei KI-Tools von einer Black Box. Was passiert da eigentlich? Wird eingehalten, dass meine Daten oder Werke nicht für das KI-Training verwendet werden? Das lässt sich derzeit nicht mit Sicherheit sagen. Wer seine Daten schützen will, sollte z. B. bei ChatGPT auf die History verzichten – und das kann wiederum problematisch sein. Diese Art der Dokumentation wird bei Prüfungen, bei denen KI-Generatoren erlaubt oder sogar vorgesehen sind, in der Regel vorausgesetzt, siehe oben, Stichwort Kennzeichnungspflichten. Das ist auch ein Problem, für das wir praxistaugliche Lösungen brauchen.
Hast du generell einen Tipp, wie man mit seinen Daten umgehen sollte?
Andrea Schlotfeldt: Möchte ich datensparsam vorgehen, sollte ich schon bei den eigenen Eingaben darauf achten, keine persönlichen Daten einzugeben und mir genau überlegen, wie viele Informationen ich preisgeben möchte. Wenn ich zum Beispiel meinen Lebenslauf von einer KI verbessern lasse, muss ich mich bewusst entscheiden, welche Daten ich der KI gebe.
Wenn ich im Personalwesen oder in der Forschung mit KI arbeite und zum Beispiel personenbezogene Daten zusammenfassen lasse, dann muss ich eine Rechtsgrundlage bzw. eine Einwilligung der Personen haben – und die muss freiwillig sein. Das heißt, die Person, die ich um Einwilligung bitte, muss verstehen, was genau mit den Daten passiert, und sie muss die Entscheidung tatsächlich als freiwillig empfinden. Es ist wichtig, dass wir diese Datensensibilität auf beiden Seiten entwickeln.
Was meinst du damit?
Andrea Schlotfeldt: Es geht zum einen darum, dass die Nutzerinnen und Nutzer von KI wissen, dass sie nicht einfach persönliche Daten anderer in das KI-Tool kopieren können, um zum Beispiel etwas zusammenzufassen oder sich die Arbeit anderweitig zu erleichtern. Gerade im Arbeitskontext, auch an Hochschulen, wird für Datenverarbeitungen immer eine Rechtsgrundlage benötigt. Zum anderen müssen auch die sogenannten „Betroffenen“, also die Menschen, deren Daten oder Informationen genutzt werden, verstehen, was konkret mit ihren Daten passiert und worauf sie bei einer Einwilligung achten müssen.
Das Thema KI wird uns rechtlich in den nächsten Jahren noch intensiv beschäftigen. Es geht um unsere eigenen Daten, um Urheberrechte und Transparenz, aber auch um die Verletzung von Persönlichkeitsrechten, zum Beispiel durch Deep Fakes.
Andrea Schlotfeldt: Ja, die sogenannten Deepfakes sind eine der großen Herausforderungen, denen wir begegnen. Je mehr technisch möglich ist und je mehr Menschen auch mit den Tools umgehen können, desto gravierender können die Auswirkungen auf die Gesellschaft und einzelne Betroffene sein. Der Bereich der pornografischen (Fake-)Darstellungen ist bereits jetzt ein riesiges Problem.
Auch die Politik und der Journalismus haben mit Deepfakes zu kämpfen – das kann Wahlen oder andere politische Entscheidungen beeinflussen, wenn Falschinformationen über KI-erzeugte Videos oder Bilder verbreitet werden. Ein weiteres Problem können sogenannten Softfakes sein, also Bilder, Videos oder Audioclips, die manipuliert werden, um politische Kandidat:innen attraktiver oder vorteilhafter wirken zu lassen. Auch im Bereich wissenschaftlicher Forschung können negative Auswirkungen, die auf Falschinformationen basieren, nicht ausgeschlossen werden.
Was kann hier helfen?
Andrea Schlotfeldt: Wir müssen eine deutlich höhere Sensibilität für solche falschen Inhalte entwickeln. Das geht nur durch (Weiter-)Bildung – und betrifft alle Altersstufen. Die Menschen müssen vielfältige Kompetenzen in diesem Bereich erwerben. Am besten fängt man damit schon bei Kindern an.
Viele Institutionen und Einrichtungen bieten bereits geeignete Materialien und Tools wie Fakefinder an. Auch von der HOOU an der HAW Hamburg gibt es ein passendes Lernangebot, adressiert an Lehrkräfte, die ihren Schülerinnen und Schülern wichtige Kompetenzen beim Umgang mit Informationen aus dem Netz vermitteln möchten, also auch Deepfakes. Diese Angebote sollten wir nutzen.
Über Andrea Schlotfeldt:
Andrea Schlotfeldt ist wissenschaftliche Mitarbeiterin Juristische Beratung für Projekte der Hamburg Open Online University an der HAW Hamburg. In dieser Rolle berät sie OER-Produzierende in rechtlicher Hinsicht bei der Konzeption und Veröffentlichung ihrer offenen Bildungsmaterialien. Darüber hinaus ist sie mit Fragen des Urheberrechts, des Datenschutzes und KI in der digitalen Lehre befasst. Sie ist zudem seit 2008 selbständige Rechtsanwältin, Dozentin und Referentin mit Schwerpunkt Urheber-/Vertragsrecht und KI, auch hier fokussiert auf Wissenschafts- und Bildungsinstitutionen.
Lizenzhinweis für das Interview (Text): CC BY 4.0