![\"Copilot\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/04\/image-4.png\" "\\"Edge\\"")
Der gr\u00f6\u00dfte Autoh\u00e4ndler in den Benelux-Staaten sowie weitere Firmen sind vor einiger Zeit aufgeflogen, weil sie Kundendaten an eine obskure Analytics Firma weitergegeben haben. Dort wurden sie zum Trainieren von AI verwendet.<\/p>\n Der gr\u00f6\u00dfte Autoh\u00e4ndler in den Benelux-Staaten sowie weitere Firmen sind vor einiger Zeit aufgeflogen, weil sie Kundendaten an eine obskure Analytics Firma weitergegeben haben. Dort wurden sie zum Trainieren von AI verwendet.<\/p>\n
<\/p>\n
Es ist ein Vorfall, der bereits im Sommer 2024 bekannt wurde, aber ganz gut in die mehr oder weniger zuf\u00e4llig entstandene Artikelreihe \u00fcber die Risiken von AI bei unbedarftem Einsatz passt. Und ja, es ist nicht der erste Fall, wo jemand Kundendaten oder \u00f6ffentliche Daten zum Trainieren von AI-Modellen nutzen will.<\/p>\n
Das Ganze ist mir bereits im Juni 2024 untergekommen – und nun bei meiner Suche im Archiv wieder vor die F\u00fc\u00dfe gefallen. Sicherheitsforscher von Cybernews sind bei der Analyse des Internet auf eine Fehlkonfiguration in den Systemen von Rawdamental gesto\u00dfen.<\/p>\n
Rawdamental ist ein Unternehmen, das sich auf die Sammlung und Bereitstellung von Nutzerdaten spezialisiert hat, die prim\u00e4r f\u00fcr das Training von KI-Modellen genutzt werden. Der Dienstleister erfasst Clickstream-Daten (also Informationen \u00fcber das Verhalten und die Interaktionen von Nutzern auf Websites) und f\u00fchrt diese in gro\u00dfen Datens\u00e4tzen zusammen.<\/p>\n
Diese Datens\u00e4tze dienen Kundenunternehmen als Basis, um KI-Modelle zu trainieren, die z. B. das Verhalten von Nutzern vorhersagen sollen.\u00a0Die Kritik an Rawdamental lautet, dass das Unternehmen Daten ohne ausreichende Anonymisierung sammelt. So k\u00f6nnen pers\u00f6nliche Daten von Nutzern pl\u00f6tzlich \u00f6ffentlich werden.<\/p>\n
Am 1. Februar 2024 stie\u00df das Cybernews-Team auf eine gravierende Fehlkonfiguration in den Systemen Rawdamental. Konkret war es eine fehlende Authentifizierung beim Kibana-Dashboard des Unternehmens. Das ist ein Online-Tool zum Suchen, Visualisieren und Analysieren gespeicherter Daten. \u00dcber dieses Kibana-Dashboard konnten unbefugte Dritte auf alle Daten, die dort gespeichert waren zugreifen.<\/p>\n
Die Suche im Web ergibt f\u00fcr Rawdamental z.B. bei Google kaum Treffer, und das Unternehmen ist nicht im niederl\u00e4ndischen Unternehmensregister zu finden, schreibt Cybernews. Aber man hat herausgefunden, dass\u00a0 die Dienste dieses Unternehmens von zahlreichen niederl\u00e4ndischen Unternehmen in Anspruch genommen wurden.\u00a0 Cybernews gibt folgende Firmen an, die mit Rawdamental kooperierten:<\/p>\n
Von diesen Unternehmen landeten die Daten ihrer Kunden bei Rawdamental in der Datenbank und wurden zum trainieren von KI-Modellen verwendet. Van Mossels ist der gr\u00f6\u00dfte Autoh\u00e4ndler in Benelux, und ich habe sogar dieses PDF-Dokument<\/a> gefunden, in dem der Autoh\u00e4ndler best\u00e4tigt, dass Cookies von Rawdamental gespeichert w\u00fcrden.<\/p>\n Die fehlende Authentifizierung muss wohl seit Dezember 2021 existiert haben, so dass die Daten der Unternehmen (und damit ihrer Kunden) \u00f6ffentlich zug\u00e4nglich waren.\u00a0Das Unternehmen Rawdamental hat weder auf die Kontaktversuche von Cybernews noch auf die des Computer Emergency Response Team (CERT) in den Niederlanden reagiert.\u00a0Kurz vor Ver\u00f6ffentlichung des Artikels stellten die Forscher fest, dass das Rawdamental die Kiribati-Instanz abgesichert und so das Datenleck geschlossen hatte.<\/p>\n Die Analyse der zugreifbaren Daten durch Cybernews-Sicherheitsforscher ergab, dass sich unter den gesammelten Daten auch private Nutzerinformationen befanden. Dazu geh\u00f6rten folgende Daten:<\/p>\n In einigen F\u00e4llen wurden auch Nutzernamen und Projekte, an denen Kunden gearbeitet haben, eindeutige Nutzer-IDs, die auf der Grundlage verschiedener Arten von Metadaten erstellt wurden etc. geleaked.\u00a0Das mit privaten Daten trainierte Modell k\u00f6nnte sensible Informationen ohne Zustimmung der Nutzer preisgeben, schreiben die Sicherheitsforscher in ihrem Artikel Data leak reveals auto giant and others harvesting user data to train AI models<\/a> von Juni 2024.<\/p>\n Abgesehen von den offensichtlichen Cybersicherheitsl\u00fccken, die zu einem Datenleck gef\u00fchrt und eine Fundgrube f\u00fcr Angreifer geschaffen haben, ist ein weiteres gro\u00dfes Problem die unzureichende Anonymisierung der Benutzerdaten durch das Unternehmen, merken die Sicherheitsforscher an.<\/p>\n \"Dies ist ein bekanntes Risiko bei KI-Tools am Arbeitsplatz, das mehrere Unternehmen dazu veranlasst hat, deren Verwendung zu verbieten, aus Angst, dass sensible Unternehmensinformationen an den Betreiber des Tools weitergegeben werden k\u00f6nnten. Diese Datenpanne erinnert auch daran, dass solche Risiken auch bei herk\u00f6mmlichen Online-Tools bestehen\", sagte Aras Nazarovas, Sicherheitsforscher bei Cybernews. Es ist nicht der erste und der letzte Fall aus diesem Bereich, zeigt aber die Gefahren, die durch den unbedarften Einsatz von KI lauern.<\/p>\n \u00c4hnliche Artikel:<\/strong> Der gr\u00f6\u00dfte Autoh\u00e4ndler in den Benelux-Staaten sowie weitere Firmen sind vor einiger Zeit aufgeflogen, weil sie Kundendaten an eine obskure Analytics Firma weitergegeben haben. Dort wurden sie zum Trainieren von AI verwendet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8625,426],"tags":[8382,6932,4328],"class_list":["post-318001","post","type-post","status-publish","format-standard","hentry","category-ai","category-sicherheit","tag-ai","tag-dsgvo","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=318001"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318001\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=318001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=318001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=318001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Der Datenskandal<\/h2>\n
\n
\nKI-Irrsinn Teil 1: Wenn ChaptGPT, Copilot & Co. dich zu Fake-Orten locken<\/a>
\nKI-Irrsinn Teil 2: Amazon schickt Unterlassungserkl\u00e4rung an Perplexity AI f\u00fcr Eink\u00e4ufe \u00fcber Comet<\/a>
\nKI-Irrsinn Teil 3: KI-generiere \"Nichtigkeitsklage\" vom Gericht abgewiesen<\/a>
\nKI-Irrsinn Teil 4: Wenn die Anwender mal selber machen<\/a>
\nKI-Irrsinn Teil 5: Deloitte, die KI und der versemmelte Report in Australien<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"