Twittert mehr Agentur-Falschmeldungen!

BLOG: Datentyp

Informatik, Daten und Privatsphäre
Datentyp

Eine Entschärfung gefährlicher Algorithmen könnte die Folge sein

 

„Zwei Explosionen im Weißen Haus; Obama verletzt.“ war der Inhalt des Tweets der Presseagentur Associated Press (AP), der viele Menschen am 24. April 2013 in Aufregung versetzte. Die Meldung einer Nachrichtenagentur wird naturgemäß ernster genommen als ein an einer Bushaltestelle schnell verfasster Tweet eines kaum bekannten Users. Es handelt sich bei @AP zudem um einen „Verified Account“, was bedeutet, dass Twitter zusichert, dass das Konto tatsächlich der Presseagentur gehört und nicht einfach jemand in ihrem Namen twittert. Tatsächlich aber war die Meldung frei erfunden. Jemand hatte das Passwort für den Account herausgefunden und sich die Doppelexplosion ausgedacht; eine gewisse Kreativität hat der Täter bewiesen: Zwei Explosionen klingen authentischer als eine einzige. Viele sind darauf für einige Minuten reingefallen; ein kleines Beben an der Börse war die Folge.

Ein Jahr ist dieses Ereignis nun her. Welche Lehren wurden gezogen? Im Nachgang zum „AP-Twitter-Hack“ wurde Kritik laut. Die Kritik richtete sich an AP, denn eine Agentur von Weltrang sollte darauf achten, dass ihre Passwörter nicht Dritten in die Hände fallen. Aber auch Twitter geriet unter Druck, denn der Zugang zu den Konten wurde für alle Kunden ohne eine sogenannte Zwei-Faktor-Authentisierung gestaltet. Wenn die Nutzer neben ihrem Twitter-Passwort noch ein zusätzliches Token verwenden (z. B. eine Chipkarte), fiele es Hackern schwerer, Konten zu übernehmen und Falschmeldungen zu verbreiten.

Ungeeignete Sicherheitstipps

Twitter geriet in die Defensive und versuchte zunächst, mit fragwürden Sicherheitshinweisen an seine Nutzer, Boden gut zu machen. Wichtige Accounts sollten von dedizierten Rechnern aus betrieben werden. Wenn AP-Mitarbeiter Zugriff auf das Twitterkonto haben, müssten sie stets einen weiteren Rechner mit sich führen, da der Twitter-Rechner zum Websurfen oder Emailen verboten ist. Niemand erwartete aber, dass praxisferne Sicherheitsmaßnahmen sich durchsetzten. Zu durchschaubar war der Versuch, den schwarzen Peter an den Kunden weiterzugeben.

Mittlerweile ist die Zwei-Faktor-Authentisierung für Twitter implementiert; frei erfundene Agentur-„Meldungen“ werden – wenn die Kunden die Funktion nutzen – seltener werden. Infolge entwickelt sich aber eine noch größere Gefahr, für die man Twitter nicht verantwortlich machen darf: Die nächste Falschmeldung ist noch glaubwürdiger, die Folgen möglicherweise umso gravierender! Wir befinden uns ein Jahr nach der folgenschweren Falschmeldung in einer trügerischen Ruhephase – und es droht ein neuer Sturm.

Denn seien wir fair: Nicht Twitter oder AP hatte Schuld daran, dass die Börsen erbebten. Es sind vielmehr diejenigen, die auf erfundene Meldungen hereinfielen und diese ungeprüft verwendeten! Wenn ein einziger falscher Tweet kurzzeitig 200 Milliarden Dollar an Börsenwert vernichtete, sagt das einiges über die Naivität oder Fahrlässigkeit der Marktteilnehmer aus. Um letztere sollte man sich Sorgen machen, nicht über die Glaubwürdigkeit einzelner Tweets.

Für eine Nachricht braucht es mindestens zwei voneinander unabhängige Quellen.

Den Grundsatz, mehrere Quellen für Nachrichten heranzuziehen, beherrscht jeder Journalist, und auch in der Wissenschaft ist es etablierter Standard, Behauptungen zu belegen. Eine Aussage muss bis hin zur primären Quelle zurückverfolgbar und damit überprüfbar sein. Je „erstaunlicher“ eine Behauptung ist, desto belastbarer sollten die (voneinander unabhängigen) Quellen sein. Ein Tweet einer Presseagentur ist aber keine Nachricht. Und – mit Verlaub – ein entwichenes Passwort ist auch noch kein Hack. Vielleicht hatte der Nachrichtenfälscher einfach einem Journalisten bei der Passworteingabe über die Schulter geschaut.

Wir sollten vielmehr damit rechnen, dass tatsächlich einmal ernstzunehmende Hacks gelingen, z. B. dass ein Angreifer mehr als ein Agenturkonto gleichzeitig kontrolliert oder eine Sicherheitslücke bei Twitter findet, die es ermöglicht, scheinbar unabhängige Quellen für eine Nachricht zu erzeugen. Wir können dann nur hoffen, dass verantwortungsvolle Marktteilnehmer nicht allein diese Tweets als Quelle heranziehen sondern auch darauf achten, andere Wege der Überprüfung in Betracht ziehen.

Wenn es automatische Orders aufgrund einzelner Tweets gibt, sollten sich diejenigen schämen, die solche Mechanismen anwenden

Tatsächlich gibt es aber Hinweise, dass einzelne institutionelle Anleger Algorithmen einsetzen, die aus Tweets automatische Verkaufsorders ableiten. Veröffentlichte Tweets werden dabei kontinuierlich nach Stichworten durchsucht, die auf Ereignisse hindeuten, die Kurse beeinflussen werden. Aufkommende Krisensituationen deuten beispielsweise auf einen kurzfristigen Abschwung auf den Aktienmärkten hin. Dann gewinnt der, der als erstes verkauft; Sekundenbruchteile können entscheiden. Die darauf folgenden Verkäufe werden bereits zu niedrigeren Preisen abgewickelt, daher führten die vermeintlichen Explosionen im Weißen Haus zu deutlichen Kursabschlägen in kürzester Zeit.

Diese Algorithmen sind gefährlich! Sie sind geeignet, die Stabilität der Finanzmärkte zu schwächen und Milliardenwerte zu vernichten. Schuld an der Misere sind aber nicht unvorsichtige Twitterer. Vielmehr sind es Anleger und Händler, die leichtfertig agieren und mehr als das eigene Kapital aufs Spiel setzen. Verantwortungslose Teilnehmer, die die Kontrolle an Rechner übergeben, verstärken erst die Anreize für Hacker, über falsche Tweets gezielte Kursmanipulationen zu betreiben und davon zu profitieren.

Eine Lösung könnte darin bestehen, automatische Orderausführungen ganz zu verbieten. Eine solche Einschränkung wäre angesichts der global aufgestellten Finanzmärkte nicht nur politisch kaum durchsetzbar. Zu groß ist die Versuchung zu mogeln und über beschleunigte, mindestens halbautomatische Prozesse einen Vorteil zu erzielen. Eine umfassende Kontrolle der Marktteilnehmer ist kaum vorstellbar.

Alternative Lösung: Agenturen sollten mehr falsche Tweets verbreiten nicht weniger!

Die Alternative zur starken Regulierung ist einfacher umsetzbar, wenn vielleicht auch schwieriger zu vermitteln. Wir brauchen mehr Falschmeldungen! Wenn es in zunehmendem Maße Fehlinformationen gäbe, wäre die Gefahr geringer, dass es zu überschießenden Reaktionen an den Finanzmärkten kommt. Wir würden uns daran gewöhnen und die übliche Frist abwarten, die bis zum Dementi vergeht. Die anfälligen Algorithmen müssten entschärft werden; Panikreaktionen würden vermieden. Eine Immunisierung gegenüber Falschmeldungen hätte zur Folge, dass die Wirkung gefälschter Nachrichten verpuffte. Diese einfache Idee einmal weitergesponnen: Wenn jede Nachrichtenagentur einen von hundert Tweets an einen talentierten Hoax-Autor verlosen würde, gäbe es nicht nur mehr unterhaltsame Falschmeldungen in den Wirtschaftsnachrichten. Das Bewusstsein, dass eine Meldung noch keine Nachricht ist, würde bei allen Lesern gefördert werden. Institutionelle Anleger, die um diesen Umstände wissen, wären gezwungen, ihre automatischen Plattformen zu entschärfen und verhängnisvolle Entscheidungen zu deautomatisieren. Eine behutsame Einführung falscher Meldungen könnte sich darauf beschränken, nur solche Meldungen zu erfinden, die von Menschen leicht als Unsinn erkannt werden, von Algorithmen aber verarbeitet werden. Das wäre aber keine dauerhafte Lösung, denn Algorithmen werden ständig verbessert, und die Immunisierung gegenüber Fehlinformationen sollte möglichst auch bei leichtsinnigen Händlern einsetzen.

Die Hoffnung, dass angesehene Nachrichtenagenturen nun gelegentlich eine Meldung vom Postillon übernehmen, ist jedoch verfrüht. Überzeugungsarbeit wäre nötig. Aber warten wir auf den nächsten Incident: Wenn die Zwei-Faktor-Authentisierung und weitere Sicherheitsmaßnahmen in den Agenturen eine Ruhephase bewirken und dann die nächste gelungene Falschmeldung eine weltweite Finanzkrise auslöst (das soll jetzt bitte keine Prognose sein!), könnte ein Umdenken einsetzen. Gerecht wäre es, wenn die Zocker, die automatische Handelssysteme mit Tweets füttern, dann die größten Verluste erleiden.

Avatar-Foto

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

2 Kommentare

  1. Das Bewusstsein, dass eine Meldung noch keine Nachricht ist, würde bei allen Lesern gefördert werden.

    Eine Meldung ist eine Notiz von faktisch Vorgefundenem, eine Nachricht etwas nach der es sich zu richten gilt. – Das Vier- oder Mehr-Augen-Prinzip [1] kann im Web unter den beschriebenen Umständen fehlleitend sein.

    Insofern wäre ein Rückfragesystem zu implementieren, das Personen real zu adressieren in der Lage ist, korrekt!

    MFG
    Dr. W (der das mit der ‘Immunisierung’ solid formuliert findet, wenn’s bspw. um richtig Kohle geht)

    [1] die grundsätzliche Idee ist hier, dass sich Irrtumswahrscheinlichen multiplizieren, dass also bspw. zwei zu 10% Unsichere eine Unsicherheit von 1% ergeben

  2. findige Brooker würden jetzt einfach nur das Vorzeichen (kaufen, anstatt verkaufen) umdrehen – und zwar eben auf kaufen 15 minuten nach der Meldung, also noch bevor der fake erkannt, aber schon reichlich Kursverfall eingetreten.

    Das ist das Üble am “ultramodernen” Handel mit dem Wertpapier. Man kann nicht nur einfach Geld in Wert anlegen und wetten, sondern auch aus dem Verlust anderer seinen Gewinn machen – und zwar ziemlich berechenbar – woraus sich ergibt, dass der Verlust anderer gar eine direkte Ursache ausserhalb eines regulären Handelsablaufs hat – ein provozierter Verlust. Es geht nicht mehr nur um einen Markt und Wettlauf darin, sondern es ist ein gegenseitiger Krieg. Man blickt nicht nach vorn, sondern zur Seite zum “Wettbewerber” und sucht dessen Achillesverse auf direktem Weg.

    Dabei hatte ich immer gedacht, es ginge letztlich tatsächlich um den Gegenstand des Wertpapieres. Etwa ein Konzern mit einem Produkt. Aber das ist offenbar schon lang nicht mehr so.

    Das ist pervers.

Schreibe einen Kommentar