KI
Im Jahr 2023 verlor Tim Utzig, ein blinder Student aus Baltimore, tausend Dollar durch einen Betrug auf X. Tim war treuer Fan eines bekannten Sportjournalisten. Dieser postete eines Tages vom Verkauf brandneuer MacBook Pro, wobei es auch um „wohltätige Zwecke“ ging. Tim brauchte einen neuen Laptop für sein Studium und nutzte die Gelegenheit. Nach ein paar kurzen Chatnachrichten überwies er das Geld.
Leider war der X-Account des Journalisten gehackt worden, und Tims Überweisung landete geradewegs bei den Kriminellen. Es gab zwar verdächtige Anzeichen, allerdings rein visueller Natur: Die Seite war als „vorübergehend eingeschränkt“ markiert. Zudem waren Bio und Follower-Liste geändert worden. Tims Bildschirmleser (ein Programm, das Bildschirmtexte und Grafiken in Sprache umwandelt) erwähnte diese Auffälligkeiten jedoch nicht.
Bildschirmleser ermöglichen es blinden Nutzern, sich ganz normal in der digitalen Welt zu bewegen. Trotzdem ist diese Benutzergruppe besonders gefährdet. Auch für sehende Nutzer ist es schwierig, eine gefälschte Website zu erkennen. Für Menschen mit einer Sehbehinderung ist dies jedoch eine echte Herausforderung.
Neben Screenreadern gibt es auch spezielle mobile Apps und Dienste, die blinde und sehbehinderte Menschen unterstützen. Eine der beliebtesten Apps ist Be My Eyes. Sie verbindet Nutzer über einen Live-Videoanruf mit sehenden Freiwilligen, die ihnen bei alltäglichen Aufgaben helfen. Zum Beispiel, wenn sie den Backofen richtig einstellen wollen oder etwas auf dem Schreibtisch suchen. Be My Eyes verfügt auch über eine integrierte KI, die Texte scannen und vorlesen oder Objekte in der Umgebung des Nutzers identifizieren kann.
Aber kommen diese Tools auch mit komplexen Aufgaben zurecht? Können sie im Ernstfall tatsächlich vor einem Phishing-Versuch warnen oder das Kleingedruckte erkennen, wenn es um die Eröffnung eines Bankkontos geht?
Unsere Fragen heute: Mit welchen spezifischen Online-Hürden sind sehbehinderte Nutzer konfrontiert? Wann ist es sinnvoll, sich auf menschliche oder virtuelle Assistenten zu verlassen? Und wie schützt man sich bei der Nutzung solcher Dienste?
Häufige Cyberbedrohungen für blinde und sehbehinderte Menschen
Zunächst wollen wir den Unterschied zwischen diesen beiden Gruppen klären. Sehbehinderte Menschen verfügen über eine verbleibende Sehkraft, auch wenn ihre Sehfunktion erheblich eingeschränkt ist. Zur Navigation auf Displays und Monitoren verwenden sie häufig Bildschirmlupen, große Schriftarten und hohen Kontrast. Für sie sind Phishing-Websites und E-Mails besonders gefährlich. Absichtlich eingebaute Tippfehler (Typosquatting) in Domänennamen oder E-Mail-Adressen werden leicht übersehen. Ein aktuelles Beispiel: rnicrosoft{.}com.
Blinde Personen orientieren sich hauptsächlich nach Gehör, mithilfe von Bildschirmlesern und speziellen Berührungsgesten. Im Vergleich mit sehbehinderten Personen können blinde Nutzer eine Phishing-Website besser erkennen: Der Bildschirmleser liest die URL laut vor und man hört, wenn etwas nicht stimmt. Wenn ein Dienst (egal, ob legitim oder bösartig) jedoch nicht vollständig mit Bildschirmlesern kompatibel ist, steigt das Risiko, auf einen Betrug hereinzufallen. Und genau das passierte Tim Utzig.
Wichtig: Bildschirmlupen und Lesegeräte sind einfache Bedienungshilfen. Sie vergrößern oder ergänzen eine Benutzeroberfläche. Sicherheit steht auf einem anderen Blatt. Sie können den Nutzer nicht von sich aus vor Bedrohungen warnen. Dafür ist spezielle Software notwendig – Tools, die Bilder und Dateien analysieren, verdächtige Formulierungen bemerken und den breiteren Kontext des Bildschirminhalts beschreiben können.
Wann man einen Assistenten verwenden sollte
Be My Eyes ist mit rund 900.000 Nutzern und über neun Millionen Freiwilligen ein wichtiger Dienst im Bereich der Barrierefreiheit. Es ist für Windows, Android und iOS verfügbar und schließt eine Lücke: Blinde und sehbehinderte Nutzer werden per Videoanruf mit sehenden Freiwilligen verbunden, die ihnen bei alltäglichen Aufgaben helfen. Die App ist beispielsweise zur Stelle, wenn jemand an der Waschmaschine ein bestimmtes Programm wählen möchte, aber nicht die richtige Taste findet. Sie verbindet ihn mit dem ersten verfügbaren Freiwilligen, der seine Sprache spricht und ihn über die Smartphone-Kamera unterstützt. Der Dienst ist derzeit in 32 Sprachen verfügbar.
Seit 2023 bietet die App auch den virtuellen Assistenten „Be My AI“, der auf OpenAIs GPT-4 basiert. Der Nutzer macht ein Foto, und die KI analysiert das Bild, erstellt eine detaillierte Textbeschreibung und liest den Text vor. In einem Chat-Fenster kann der Nutzer weitere Fragen stellen. Aber kann diese KI eine Phishing-Website tatsächlich erkennen?
Zeit für ein Experiment: Wir luden den Screenshot einer gefälschten Social-Media-Anmeldeseite auf Be My Eyes hoch. Auf einem Smartphone kannst du dazu ein Foto oder eine Datei aus der Galerie oder deinen Dateien auswählen, auf Teilen klicken und dann auf Mit Be My Eyes beschreiben. Unter Windows können Screenshots direkt hochgeladen werden.
Beispiel für eine Phishing-Seite, die das Facebook-Anmeldeformular nachahmt. In der Adressleiste steht eine falsche Domäne
Die KI gab zuerst eine detaillierte Beschreibung der Seite aus. Wir fragten im Chat nach: „Kann ich dieser Seite vertrauen?“ Die KI erkannte den Fehler beim Domänennamen sofort. Sie empfahl, die gefälschte Anmeldeseite zu schließen, und schlug vor, die offizielle URL direkt im Browser einzugeben oder die offizielle Facebook-App zu verwenden.
Be My AI erklärt, warum die Seite verdächtig wirkt: Domäne und offizielle Website stimmen nicht überein. Die App schlägt vor, die offizielle URL direkt in den Browser einzugeben oder die offizielle Facebook-App zu verwenden
Auch der Test mit einer Phishing-E-Mail brachte ein gutes Ergebnis. Die KI wies schon in der ersten Beschreibung der Nachricht auf einen möglichen Betrug hin. Sie gab folgende Warnung: „Das sieht wie eine verdächtige E-Mail aus. Öffnen Sie keine Anhänge und klicken Sie nicht auf Links. Gehen Sie stattdessen manuell zur offiziellen Website oder App oder rufen Sie die Nummer an, die auf der offiziellen Website angegeben ist.“
Be My AI erkennt nicht nur Cyberbedrohungen, sondern hilft auch bei der Navigation in Online-Shops, Banking-Apps und digitalen Diensten. Die KI kann beispielsweise in folgenden Situationen nützlich sein:
- Vorlesen von Beschreibungen, Namen und Preisen, wenn eine Shop-Website oder eine App den Bildschirmleser oder große Schriftarten nicht unterstützt
- Untersuchung von kniffligen Bedingungen, die oft im Kleingedruckten versteckt oder für den Bildschirmleser aus anderen Gründen nicht zugänglich sind (z. B. beim Abschließen eines Abonnements oder bei der Eröffnung eines Bankkontos)
- Abrufen wichtiger Informationen aus Produktbeschreibungen oder Bedienungsanleitungen
Risiken bei der Nutzung von Be My AI
Das häufigste Problem bei der KI sind Halluzinationen, bei denen das Sprachmodell den Sinn verzerrt, wichtige Details überspringt oder einfach fantasiert. Bei Cyberbedrohungen kann es gefährlich sein, wenn die KI einer bösartigen Website oder E-Mail vertraut. Darüber hinaus besteht die Gefahr von Prompt-Injektionen, mit denen Betrüger nicht nur Be My AI austricksen können, sondern alle möglichen KI-Agenten.
Obwohl die KI unseren Test bestanden hat, kann man sich nicht bedingungslos auf sie verlassen. Es gibt keine Garantie dafür, dass sie immer richtig reagiert. Diese Einsicht ist besonders wichtig für blinde und sehbehinderte Menschen, da ein neuronales Netz oft die einzige verfügbare visuelle Hilfe ist.
Be My AI schlägt am Ende jeder Antwort vor, sich bei Zweifeln an einen Freiwilligen zu wenden. Wenn es jedoch darum geht, eine gefälschte Webseite zu erkennen, raten wir davon ab. Man kann nie wissen, ob ein zufälliger Freiwilliger technisch versiert und vertrauenswürdig ist. Außerdem könnten versehentlich sensible Daten preisgegeben werden. Zum Beispiel eine E-Mail-Adresse oder ein Passwort. Bevor man sich mit einem Fremden verbindet, muss sicher sein, dass auf dem Bildschirm keine vertraulichen Informationen zu sehen sind. Dafür bietet die App eine extra Funktion: Man kann eine private Gruppe aus Familienmitgliedern, Freunden oder vertrauenswürdigen Kontakten erstellen. Dann gehen Videoanrufe nur an Personen, die man tatsächlich kennt, und nicht an einen zufälligen Freiwilligen.
Aus Sicherheitsgründen empfehlen wir die Installation eines vertrauenswürdigen Sicherheitstool auf allen Geräten. Diese Programme blockieren Phishing-Versuche und verhindern den Besuch bösartiger Websites. Auch sehr praktisch für sehbehinderte Nutzer ist ein Passwort-Manager. Diese Apps füllen die Anmeldeinformationen nur auf der legitimen, gespeicherten Website automatisch aus und lassen sich auch von pfiffigen Domänenfälschungen nicht irreführen.
Verarbeitung und Speicherung von Daten in Be My AI
Gemäß der Datenschutzrichtlinie von Be My Eyes können Videoanrufe mit Freiwilligen aufgezeichnet und gespeichert werden, um den Dienst bereitzustellen, die Sicherheit zu gewährleisten, die Einhaltung der Nutzungsbedingungen zu überwachen und die Produkte zu verbessern. Wenn du Be My AI verwendest, werden deine Bilder und Texteingaben an OpenAI gesendet, um eine Antwort zu generieren. Diese Daten werden auf Servern in den USA verarbeitet, und OpenAI verwendet sie nur zur Beantwortung der spezifischen Anfrage. Die Richtlinie besagt ausdrücklich, dass Benutzerbilder und Abfragen nicht zum Training von KI-Modellen genutzt werden.
Fotos und Videos werden sowohl während der Übertragung als auch bei der Speicherung verschlüsselt. Zudem sorgt das Unternehmen dafür, dass vertrauliche Informationen entfernt werden. Ebenfalls wichtig: Aufzeichnungen von Videoanrufen können auf unbestimmte Zeit aufbewahrt werden, es sei denn, du verlangst die Löschung. Dann werden die Daten in der Regel innerhalb von 30 Tagen gelöscht. Daten aus Interaktionen mit Be My AI bleiben bis zu 30 Tage gespeichert, es sei denn, du löschst sie manuell in der App. Wenn du dein Konto entfernst, können deine personenbezogenen Daten bis zu 90 Tage lang gespeichert werden. Du kannst der Datenfreigabe jederzeit widersprechen oder die Löschung deiner vorhandenen Daten anfordern. Dazu ist eine Kontaktaufnahme mit dem Support-Team von Be My Eyes notwendig.
Be My Eyes sicher nutzen
Trotz der strengen Datenschutzrichtlinie von Be My Eyes solltest du bei der Nutzung des Dienstes einige wichtige Regeln beachten:
- Verwende Be My AI zur ersten Überprüfung verdächtiger E-Mails oder Seiten, aber verlasse dich nicht ausschließlich darauf. Spezielle Sicherheitssoftware kann Bedrohungen besser erkennen und neutralisieren.
- Wenn eine Website, E-Mail oder Nachricht ungewöhnlich erscheint, sind Links oder Anhänge tabu. Gib stattdessen die Adresse der offiziellen Website manuell in deinen Browser ein oder öffne die offizielle App, um die Informationen zu überprüfen.
- Nicht vergessen: Ein freiwilliger Helfer schaut quasi durch deine Kamera. Deshalb ist es wichtig, dass keine Daten im Bild sind, die andere Personen nicht sehen sollten. Beispielsweise ein Tresorcode oder ein aufgeschlagener Reisepass. Vermeide es, deinen Namen zu nennen, dein Gesicht zu zeigen oder deine Umgebung preiszugeben. Vorsicht auch mit Spiegelungen, die dich oder deine persönlichen Daten zeigen könnten. Zeige nur das, was für die konkrete Aufgabe unbedingt erforderlich ist.
- Wende dich nur an vertrauenswürdige Personen. Erstelle in der App eine spezielle Gruppe und füge deine Freunde und Familienmitglieder hinzu. Dadurch wird sichergestellt, dass deine Videoanrufe nur an Personen gehen, die du kennst, und nicht an zufällige Freiwillige.
- Verwende Be My AI nicht, um Dokumente zu lesen, die vertrauliche Informationen enthalten. Beachte, dass deine Bilder und Texteingaben an OpenAI gesendet werden, um die Anfrage zu verarbeiten und eine Antwort zu generieren.
- Lösche Chats, die du nicht mehr benötigst. Andernfalls bleiben sie 30 Tage gespeichert.
- Wenn du etwas Persönliches oder Vertrauliches lesen möchtest, sind Apps mit Echtzeit-Lesefunktionen besser geeignet. Dazu gehören z. B. Envision, Seeing AI und Lookout. Diese Apps verarbeiten Daten lokal auf deinem Gerät und senden sie nicht in die Cloud.
Tipps