Gerade erleben wir, wie das Internet und dessen Nutzung quasi den Bach herunter geht. KI-Anbieter Anthropic verlangt nun von neuen Claude-Nutzern, dass sie ihre Identität mit einem amtlichen Lichtbildausweis und einem Live-Selfie bestätigen. Und dieser Identitätsnachweis erfolgt über die US-Firma Persona, die schon in anderem Zusammenhang aufgefallen ist. Hier kann man nur jedem Nutzer raten: Finger weg von diesem Konstrukt.
Ich hatte die Information bereits vergangene Woche bei Mike Kukets in seinem Social Media Kanal (ich meine, es war Mastodon) gesehen. Die Tage ist mir das Thema wieder in nachfolgendem Tweet untergekommen.
Die Botschaft ist klar: KI-Anbieter Anthropic verlangt nun von neuen Claude-Nutzern, dass sie ihre Identität mit einem amtlichen Lichtbildausweis und einem Live-Selfie bestätigen. Es gebe kein Gesetz, das KI-Unternehmen wie dieses zu einer vollständigen Identitätsprüfung verpflichtet. Dies scheint eine eigenständige Entscheidung von Anthropic zu sein, heißt es in obigem Tweet. Und dann hat mich die Information, dass dieser Identitätsnachweis über die US-Firma Persona erfolgt, sofort getriggert.
Ich hatte kürzlich im Blog-Beitrag LinkedIn Verifizierung mit Persona als Sozius – auf dem Weg zu "open data"? etwas zu diesem Thema. Microsofts LinkedIn nutzt ebenfalls Persona, um Benutzer eindeutig zu identifizieren. Persona (offiziell Persona Identities Inc.) ist ein US-amerikanisches Tech-Unternehmen aus San Francisco, das eine flexible Identity-Verification-Plattform anbietet.
Die Identitätsverifizierung bei Persona erfolgt dann über einen NFC-fähigen Reisepass oder ein unterstütztes ID-Dokument, dessen Daten erfasst werden. Die Identifizierung umfasst laut Angaben im Internet typischerweise den Scan oder ein Anfertigen des Fotos des Ausweisdokuments, die Anfertigung eines Selfie zur Gesichtserkennung (Liveness-Check, um Deepfakes etc. zu verhindern).
Es stellt sich natürlich sofort die Frage: Soll ich wirklich höchst sensitive Ausweisdaten zu einem unbekannten Anbieter in den USA hochladen? Persona gibt zwar an, dass biometrische und FaceID-Daten sofort nach der Verarbeitung gelöscht würden. Andere Daten werden bis zu 30 Tage aufbewahrt und dann gelöscht. Es gibt aktuell aber die Kritik in Medien und Communities (z. B. auf Reddit, Mashable, Social Media Today), dass Persona angeblich viele zusätzliche Checks (Cross-Referenzen mit anderen Datenquellen) durchführt. Und die Privacy Policy von Persona erlaubt in manchen Fällen das Teilen von Daten mit Subprozessoren oder Partnern.
Der oben erwähnte LinkedIn-Artikel thematisiert dann den Alptraum Datenschutz, weil LinkedIn auf Persona als Dienstleister zurück greift. Der Autor seziert, wo seine Daten über Persona überall landen: Sein Gesicht bzw. die biometrischen Daten werden zum AI-Training genutzt, und die Liste der "Subprozessoren" führt alles auf, was an Datenkraken, von Anthropic über Google Cloud bis hin zu Snowflake und Stripe genutzt werden könnte. Manches ist "Mandatory", also Pflicht, anderes wird von Persona von Fall zu Fall (Conditional) zum Abgleich genutzt.
In obigem Tweet gibt jemand in einer Antwort zu bedenken: Was passiert, wenn deine Daten in eine solche (Persona-)Datenbank landen und diese in fünf Jahren in falsche Hände gerät oder sich politische Verhältnisse ändern. Ein Alptraum.
MVP: 2013 – 2016
Na das ist doch ganz einfach: Jeden Anbieter, der diesen Scheiß von mir verlangen sollte, werde ich ignorieren. Das ist echt eine rote Linie für mich, und zur Not lebe ich vorher komplett ohne Internet (ich bin alt genug, dass ich noch weiß, wie das ist), bevor ich mich zu solchen Dingen zwingen lasse.
…einverstanden, aber was ist zum einen mit denjenigen, die dazu gezwungen werden (und ich sehe hier unter anderem Schulen in Gefahr, die von Schülerinnen und Schülern so etwas verlangen, egal wie illegal das nach DSGVO ist)? Oder wenn jemand auf die Idee kommt, beispielsweise Lohndokumente über einen "sicheren" Maildienst zu verschicken, die so etwas erfordern?
Da hilft nur konsequenter Boykott, z.B. einer ganzen Klasse, einer ganzen Schule, oder der gesamten Belegschaft. Man muss sich nur endlich mal zur Wehr setzen und nicht einfach alles akzeptieren.
Ich verweise mal auf das Postkasten oder Klingelschild mit deinem Namen, für bestimmte Sachen braucht es einfach eine klare Identität des Kunden oder einen Nachweis darüber wer oder wie alt du bist.
Aber meinen Ausweis oder Führerschein werde ich dennoch in die Cam hängen, zumindest nicht meinen echten!
Bei einem Polizisten fragst du ja auch nicht, ob er berechtigt ist deinen Personalausweis zu sehen oder nicht, und lässt dich freiwillig zur Personenkontrolle abführen.
Mit Deinem ersten Satz kann man ja noch konform gehen, aber alles danach… echt Dein Ernst?
Ja du darfst dich frei entscheiden, ob du die rote oder blaue Pille schluckst!
Nein, ich hab' die Freiheit mich zu entscheiden gar keine schlucken zu brauchen! 🤷♂️
Ist in meiner "KI freien Zone" zunächst kein Problem. Günter, das quasi kannst Du streichen, das Internet ist längst den Bach runter. Mit Alterskontrolle wird es völlständig begraben. War eine schöne Zeit und hat mich ein gut Stück meines Weges begleitet. Da wünscht man sich die alten zeiten der net news zurück. Das ganze schicki Klicki mit dem Browser wird total überbewertet. Wir haben seinerzeit IT gemacht, da waren die heutigen Script Kiddies noch nicht mal geboren.
https://www.activism.net/cypherpunk/manifesto.html
https://www.eff.org/cyberspace-independence
Jepp, die guten alten Zeiten vor 20–25 Jahren sind längst vorbei, mittlerweile regiert nur noch Kommerz und die Gier das Internet alles ein bisschen einfacher und Smartphone konform, wahrscheinlich kenne ich nicht mal mehr die neuesten Trends und Geeks.
Alterskontrolle ist doch gar nicht das Problem sauber umgesetzt mit dem ePerso + HardwareReader… Dienst fragt Alter an, Reader fragt ePerso ab und gibt an Dienst lediglich weiter Alter erreicht? Ja oder Nein! Dazu muss kein einziges Bit deines ePerso deinen Reader verlassen…
Es gibt nunmal Dienste wo Alter etc. wichtig sind… das kann man kaum bestreiten! Passiert das sauber umgesetzt auf deinem Rechner/Handy/Tablet etc. ist das alle kein Problem und durchaus DSGVO konform.
Kann der ePerso bereits heute, warum nutzt man das nicht? Weil man lieber an deine Daten ran will und solche Sachen nur vorgeschoben sind.
Wenn Politiker & Co. vor KiPo-/Terrorismusschutz fasseln dann geht es mitnichten genau darum! ePA das selbe Spiel, da geht es nicht darum dir als Patient von nutzen zu sein… allenfalls als Abfallprodukt.
Verstehenn die meisten nur nicht. (oder wollen es auch nicht verstehen, warum auch immer)
Moment, der "Reader" entscheidet, was weitergegeben wird? Nicht das dahinterstehende Programm, das ALLE Daten vom Perso erhält? Und welche Anweisungen erhält das Programm vom Anfragenden?
Da müsste dann ja stehen: "Perso-Progamm: Anfragender Dienst verlangt nach Adresse, Alter, Name, …", und Du müsstest wegklicken können, was Du nicht senden willst.
Habe ich noch nicht gesehen, solch ein Perso-Program…
Aber man kann schwärzen:
"Die auf dem Ausweis aufgedruckte Zugangsnummer sowie die Dokumentennummer sollten Sie schwärzen, sofern nicht gesetzliche Regelungen diese Angaben erfordern. Auch andere sensible Angaben wie Ihre Körpergröße, Augenfarbe und Unterschrift oder die maschinenlesbare Zone können Sie in der Regel schwärzen oder abdecken. Im Zweifel sollten Sie bei der die Kopie benötigenden Stelle nachfragen, welche Angaben konkret erforderlich sind. Welche Daten auf dem Personalausweis aufgedruckt sind, erfahren"
aus: "https://www.personalausweisportal.de/SharedDocs/kurzmeldungen/Webs/PA/DE/2025/Identitaetssicherheit.html"
Man muss ja nicht über jeden Stock hüpfen, der einem gereicht wird…
Was Anthropic und Persona verbindet, ist, dass beide von Peter Thiels "Founders Fund" (co-)finanziert wurden.
Da lassen sich früher oder später sicher ein paar "Synergien" mit Thiels Palantir finden. ;-)
Hände weg!
Microsoft und andere haben die Kreditkarteninformationen, Bilder holen sie sich von Linkedin, Insta oder sonstwo her. Wo ist der Unterschied?
Ich glaube eher, die wollen keine Nutzer von der Achse der Bösen.
Wieder jemand, der NICHTS zu verbergen hat. Apropos, M$, Google, Apple und Co. haben genau gar nichts von mir, keine Email, keine Telefonnummer, schon gar keine Kreditkartendaten. Und von den asozialen Medien bekommen sie nur leere Seiten, wenn sie nach mir suchen. Und dennoch gehöre ich nicht zur Achse der Bösen. Man könnte meinen, der Kommentar kommt direkt aus deren Marketingabteilungen oder aus der Politik.
wie bezahlt man M365 Abos?
Wenn man es denn überhaupt nutzen möchte:
Per Voucher zum Beispiel?
Glaubt doch bloß die Sachen nicht, wenn die eure Daten haben wollen dann bekommen die so oder so.
Man hinterlässt mittlerweile so viele Krümel auf seinem weg im Internet und braucht sie nur aufzusammeln um sie verarbeiten, da kommt keine DSGVO nach. Datenschutz ist eine sehr Coole Idee aber nur sehr schwer umzusetzen.
Habe vor Monaten entdeckt das die ZDF Mediathek, obwohl ich alle Cookies ablehne, mir doch jedes Mal einen unterjubelt wahrscheinlich einfach aus Prinzip.
Wenn ich Onlinedienste per Voucher, den ich bspw. auch bar bezahlen kann, buche, bekommen die Online-Dienste auf jeden Fall nicht meine Kreditkartendaten. Ob das hilft, personenbezogene Daten vor gigantischen Konzernen geheim zu halten, wage ich auch zu bezweifeln, darum gings in meiner Antwort aber auch überhaupt nicht.
Zu deinen ZDF-Cookies:
Ich weiß jetzt nicht, um was für einen Cookie es sich da jetzt handelt, aber Cookies sind nicht prinzipiell böse.
JA einige Wenige die das so machen, du bist damit aber auch nicht das Ziel! Und Wenn du M365 nutzt haben die dich sowieso und wissen mehr als dir lieb ist, ob du das jetzt per Kreditkarte bezahlt hast oder Voucher spielt da gar keine Rolle!
Ich nutze m365 überhaupt nicht. Ich habe nur geschrieben, dass man das auch per Voucher buchen kann…
Heutzutage brauchts keine Cookies mehr. Wenn man über mehrere Seiten hinweg tracken kann (Plugins und fremdgehostete Scripte sei Dank ists ja heute kein Problem mehr), dann reicht die bloße IP und eine eventuelle Anmeldung auf einer ganz anderen Seite aus. Und das ist nur eine von vielen Möglichkeiten. Und da auf einer Webseite mehr als 15 abgerufene Domains keine Seltenheit mehr sind, ist das keine Zukunftsmusik mehr sondern schon heute umsetzbar (und daher mit Sicherheit schon längst in Anwwendung).
wie vielProzent der Kunden bezahlen mit Voucher ihre M365 Abos?
Negiert seine nicht die Aussage, dass man es machen kann.
"Fresst Sch*, Millionen Fliegen können sich nicht irren" muss man ja nicht auch nicht machen.
naja finde den Fehler: man zahlt anonym per Voucher, nutzt dann aber M365!
Ist in etwa so als wenn du dich bei der Polizeikontrolle weigerst den Ausweis zu zeigen, die Ausweisnummer aber direkt auf die Stirn tätowiert hast… ;-P
wer sowas nutzt, ist selber schuld.
Microsoft und z.B. Google haben die Kreditkarteninformationen – nope
Bilder hole ich von Insta oder Linkedin – nope
Nutze Microsoft mit einem lokalen Account + Google bekommt nur die notwendigsten Daten (die meisten Tracker werden vor verlassen des Smartphones blockiert + Werbe ID und das Gedöns ist deaktiviert und Bilder gibt es auch unter offenen Lizenzen für den privaten Gebrauch).
Werden noch Daten "geerntet"? Na klar, doch vieles ist "ein wenig" eingeschränkt….
Liebe Grüße von der Achse des halbwegs "Privaten"
PS: Wer da heute noch ein wenig Mühe investiert kann seine Spuren auch weiterhin reduzieren
PPS: Wenn VPN – dann bitte Anbieter mit zertifizierten Ram-Server im Einsatz…
Digitale Patientenakte – nope
Social Media Account bis auf das blöde Google Konto fürs Smartphone – nope
(Ich glaube die Richtung wird klar und nach Windows 10 kommt mir nur noch Linux auf den Rechner)
Reduzieren ja, einverstanden, aber vermeiden?
Bezahlst Du nie etwas mit Kreditkarte, egal ob online oder offline? Weißt Du, an wen die dabei erhobenen/eingelesenen Daten fließen, egal ob nun legal oder illegal? Welche Sub-Sub-Unternehmen, Dienstleister usw. involviert sind?
Fliegst Du nie bzw. reist Du nie in ein Land außerhalb der Schengen-Zone? Weißt Du, an wen die dabei erfolgenden Pass-Scans, Fotos, Fingerabdrücke fließen, egal ob legal oder illegal? Glaubst Du ernsthaft, dass die Amerikaner, Chinesen, Thais, …, und, ja, auch die Deutschen oder Schweizer, diese Daten wieder löschen?
Mag sein, wenn auch unwahrscheinlich, dass tatsächlich weder Microsoft noch Google Deine Daten haben. Dafür aber hunderte von anderen.
Ich 'abe keine Kreditkarte … und reise seit Jahrzehnten nicht außerhalb von Schengen. Wenn die genannten Stellen meine Biometriedaten haben (mag ich nicht ausschließen, dann von den deutschen Behörden. Ich denke, es ist etwas anderes, als das, was bei Persona passiert.
Na, wo keine Daten sind, können natürlich auch keine bei Microsoft oder Google landen. Ist aber so wohl eher die Ausnahme als die Regel.
Ich wollte eigentlich nur darauf hinaus: Es ist naiv, anzunehmen, dass Microsoft, Google und Konsorten, nur weil man deren Produkte oder Services nicht selbst nutzt, nicht über kritische Daten von einem verfügen (können).
Da speichern, fiktives Beispiel, die Thais die erhobenen biometrischen Daten in der Microsoft-Cloud. Oder der amerikanische Beamte, der Dein ESTA bearbeitet, sucht mal bei Google nach Dir. Et voilà.
Ohne Kreditkarte und Paypal ist man aber schon ziemlich eingeschränkt was online Bezahlen angeht. Leider.
Bezahlst Du nie etwas mit Kreditkarte – nope
Fliegst Du nie bzw. reist Du nie in ein Land außerhalb der Schengen-Zone? – (In knapp 50 Jahren?) – nope
Glaubst Du ernsthaft, dass die Amerikaner, Chinesen, Thais, …, und, ja, auch die Deutschen oder Schweizer, diese Daten wieder löschen? – nope
Daten hinterlässt man überall. Die Frage ist wie viele und wie sehr sie zusammengeführt werden können.
Es gibt in dieser Angelegenheit eine Überlegung die mich umtreibt.
Entweder ich beschreite den oben und in der letzten Antwort angerissenen Weg, um meinen digitalen Fußabdruck gering zu halten, oder ich lasse es einfach laufen und gebe meine Daten jeden der mal möchte und lasse mich von dem Gedanken leiten, dass ich ja nichts zu verbergen habe und das sich die Welt ja sowieso in diese Richtung verändert.
Der letztere Teil des Gedankens öffnet nur leider Tür und Tor für allerlei Begehrlichkeiten den lieben Bürger noch ein wenig mehr "gläsern" zu gestallten.
Denn setzt sich der letztere Teil dieses Gedankens, in unserer aktuellen Situation, in Gleichmut, weiter fort, dann werden wir unsere Gesellschaft in eine unfreiere verwandeln.
Dies ist ein IT-Block und er sollte unpolitisch sein.
Deshalb belasse ich es in der aktuellen Situation mit dem Hinweis vielleicht mal die ausländische Presse, wenn nötig mit Übersetzungssoftware zu durchstöbern.
Mit einer gewissen aktuellen Ironie passt vielleicht ein Zitat von Benjamin Franklin aus dem Jahr 1775:
"Wer wesentliche Freiheit aufgeben kann, um eine geringfügige bloß jeweilige Sicherheit zu bewirken, verdient weder Freiheit, noch Sicherheit."
—Grüße—
PS: Wenn ich mich google finde ich maximal "Namensvetter" also – nope 😇
Kann ich nicht bestätigen, ich habe gestern ein Free Account über die Handyapp angelegt. Es wurden "nur" Mailadresse (logisch), eine Telefonnummer und das Geburtsdatum abgefragt. Als Name wird nicht explizit nach Vor- und Nachname abgefragt, sondern nur ein Name wie die KI einen ggf. ansprechen soll.
Habe eben auch eine Neu-Anmeldung bei Claude-AI gemacht und kann das von Chris bestätigen. Mailadresse, Telefonnummer, Geburtsdatum und Ansprechname ist nötig.
Also ich habe es grade mal für Spaß probiert. Zur Anmeldung beim Free-Plan sollte ich zuerst eine EMail-Adresse angeben, was ich auch tat. Als nächstes wird mir angezeigt, dass ich einen Verifizierungscode eingeben soll, der mir per Mail zugeschickt wurde. So weit, so normal.
Also ins Mail Postfach geklettert und dort auch die Mail gefunden, die mir geschickt wurde. Nur steht da gar kein Verifizierungslink drin, sondern ein Link, den ich anklicken soll.
Der zeigt dann auf https://claude.ai/magic-link#…
Und das soll ich dann ernst nehmen?
Wahrscheinlich verlange ich zu viel, wenn ich erwarte, dass sie sich an ihr eigenes geschreibsel halten.
Ich denke, der springende Punkt ist "a few use cases" – was immer das heißt. Unabhängig von der Frage, ob das wann kommt, finde ich den Ansatz extrem kritisch bzw. Fall von geht gar nicht. Ich habe eine Firma und x Mitarbeiter – wer lädt seinen Ausweis hoch? Jeder Mitarbeiter, der Anthropic Claude nutzten soll? Was ist, wenn jemand einen Account teilt?, Was ist, wenn ein Mitarbeiter ausscheidet?
Und vor allem ein springender Punkt: Was sagt es dem Anbieter, wenn Max Mustermann seine ID-Daten mit einem Anthropic Cloud-Konto verknüpft. Weiß Anthropic, wer hinter dem Konto steht? NEIN – der Ausweis könnte gestohlen, geliehen oder was weiß ich sein. Es wird ja wohl keine Sicherheitsüberprüfung, die das auch verdient, durchgeführt. Es ist in meinen Augen ein untauglicher Versuch, irgend etwas zu begrenzen, was nicht zu begrenzen ist, wenn ich es bereitstelle.
Von daher verstehe ich nicht wirklich, was die Firma sich von verspricht oder bezweckt. Marketing? Bullshit-Bingo? Weiße Salbe? Da ist alles möglich.
Diese als halbgar wahrgenommene Sicherheitsüberprüfung und Argumentation wie untauglicher Versuch usw. wird in Zukunft dafür dienen, als "Lösung" alles nur noch über die persönliche digitale EUid zugänglich zu machen und das ID/Tracking System dann weiter in alle Lebensbereich auszurollen.
Üblicherweise funktioniert eine ernstzunehmende Verifikation ja so, dass man nicht nur den Ausweis hochladen muss, sondern auch noch ein kurzes Video, das einen selbst zeigt, wie man eben diesen Ausweis herumwedelt. Manchmal wird zusätzlich noch verlangt, ein aktuelles Dokument, z.B. eine Tageszeitung, mit aufzunehmen, oder es gibt eine Art Challenge-Response à la "halten Sie einen roten Gegenstand in die Kamera", um sicherzustellen, dass es sich nicht um eine auf Verdacht produzierte Konserve handelt.
Da kann man dann schon einigermaßen sicher sein, dass die sich registrierende Person die ist, für die sie sich ausgibt. Bzw. konnte man, bevor es KI-Systeme gab, die solche Videos leicht und schnell fälschen können…
Challenge: Halten sie einen Dinosaurier in die Kamera, der Ihren Pass im Maul hält.
Wenn das erfüllt wird, dann wars eine KI ;)
Marketing.
Der Hauptgrund wieso die Foto/Pass-ID's und auch die "Altersverifikation" überall rein-gedrückt wird ist marketing.
Das Monster-problem ist das die Techriesen die ihr Geld mit Advertisement gemacht haben aktuell keine ROI mehr versprechen können da niemand weiß ob die Werbung an einem Menschen oder an KI-agenten gehen.
Der Hauptgrund ist Kontrolle. Niemand mehr kann dann unbequeme Dinge äussern, weil man ihm als Folge einfach die digitale ID abklemmen kann, was ihn praktisch aus dem gesamten Alltag ausschliessen würde.
Wozu braucht eine "KI" Deine Telefonnummer?
@Günter – zu 1.Abs.: "Ich hatte die Information bereits vergangene Woche bei Mike Kukets in seinem Social Media Kanal (ich meine, es war Mastodon) gesehen.".
Dort hab ich's gesehen:
*ttps://social.tchncs.de/@kuketzblog/116413887252662161
Danke, genau das war es – bin da ja mit einem Beitrag im Thread.
Die Schlinge der alternativlosen digitalen Identität für alles und jedes online und auch im echten Leben bei Einkäufen, Behörden, Mobilität usw. zieht sich überall immer weiter zu. Seit Jahren schon ist diese Entwicklung absehbar, wird aber oft nach wie vor als Verschwörungstheorie abgetan. Der Frosch wird langsam gekocht.
Ein Anthropic-Sprecher erklärte gegenüber Engadget, dass „dies für eine kleine Zahl von Fällen gilt, in denen wir Aktivitäten beobachten, die auf potenziell betrügerisches oder missbräuchliches Verhalten hindeuten und gegen unsere Nutzungsrichtlinien verstoßen".
Ich hoffe, die Leserschaft versteht den Zusammenhang, der mir nach Lesen dieses Kommentars in den Sinn kam…
http://kamelopedia.net/wiki/Wie_versteckt_man_einen_Elefanten%3F
(Tipp: Bis zum Ende lesen!)
Verstehe ich nicht. Das wäre ja so etwas wie eine nachträgliche Verifizierung.
Meinst du meinen Link? Bis zum Ende lesen!
Nein, ich meinte schon Knort.
| … in denen wir Aktivitäten beobachten …
Die wollen also erst mal machen lassen und beobachten, dann bewerten und dann eine Verifizierung anfordern. Klingt seltsam.
Das deutet sich auch schon im Bild des Tweets an:
"We are rolling out identity verification for a few use cases, and you might see a verification prompt when accessing certain capabilities, as part of our routine platform integrity checks, or other safety and compliance measures."
Soll erst auftauchen, wenn Funktionen wie z.B. der Chat aufgerufen werden. Statt bei Verletzung der Nutzungsrichtlinien direkt zu kündigen, bekommst du dann wohl eine Verifizierungsaufforderung. Ob die das nutzen wollen, um dich zu verklagen oder bei den Behörden zu melden, ist mir nicht bekannt.