Der Valentinstag mag für manche ein zu vernachlässigendes Marketingklischee der Floristenbranche sein, andere Paare wiederum nutzen den Tag als Anlass für ein schönes gemeinsames Erlebnis. Und dann gibt es noch die unfreiwilligen Singles, die sich ihrer Einsamkeit an diesem Tag mitunter bewusster werden als im restlichen Jahr.

So zeigen Statistiken, dass rund um den 14. Februar die Downloads von Dating-Apps in die Höhe schnellen, gleichzeitig ist seit Monaten ein Trend zu "AI Girlfriends" zu beobachten: keinen echten Menschen, sondern per KI generierten Avataren, mit denen einsame Männer stundenlang chatten (DER STANDARD berichtete). Doch die Suche nach der Traumfrau, egal ob virtuell oder real, kann sich zum Datenschutzalbtraum mit teils schweren Konsequenzen entwickeln, wie verschiedene Sicherheitsforscher warnen.

Die KI-Freundin als Datenkrake

So hat Privacy Not Included, eine Tochterorganisation der Mozilla Foundation, elf unterschiedliche KI-Chatbots unter die Lupe genommen, die in Summe allein in Googles Play Store über 100 Millionen Mal heruntergeladen wurden. Dazu gehören populäre Anwendungen wie Replika, Chai und Eva. Die Organisation versieht ausnahmslos alle von ihnen mit Warnhinweisen. Die Kritikpunkte reichen von fehlendem Jugendschutz über mangelhafte Sicherheitsvorkehrungen bis zu irreführenden Bezeichnungen als Gesundheitsapps und einer möglichen Weitergabe von Daten.

Zehn der untersuchten Apps erfüllen noch nicht einmal minimale Sicherheitsanforderungen, etwa die Notwendigkeit eines staken Passworts. Bei Replika AI, einem sehr beliebten Chatbot, konnten die Sicherheitsforscher etwa einen Account unter Nutzung des leicht zu knackenden Passworts “11111111" anlegen. Auch heißt es, dass Replika AI von Usern geteilten Text ebenso wie Bilder und Videos speichere und diese Daten definitiv mit Werbetreibenden teile.

Bei einer anderen KI-Dating-App, Romantic AI, wurden innerhalb einer Minute nach dem Start der Anwendung 24.354 Tracker gestartet. Diese sendeten den Sicherheitsforschern zufolge Daten an andere Unternehmen, etwa an Facebook sowie an diverse Werbe- und Marketingagenturen. Auf Bitten um Stellungnahmen seitens der Mozilla Foundation reagierten die Anbieter nicht.

Training via Sex-Talk

Auch liefern die Anbieter sehr wenig Information darüber, wie die Daten der Userinnen und User für das Training der KI-Modelle verwendet werden. Ebenso gibt es kaum transparente Informationen darüber, wie die KI-Modelle funktionieren. Dementsprechend besteht ein großes Potenzial, dass die teils sehr intimen Daten für Zwecke verwendet werden, die vom Nutzer nicht beabsichtigt waren. Die meisten Anbieter bieten hier keine Möglichkeit zum Opt-out.

Die einzige Ausnahme ist der Anbieter Genesia AI, welcher eine entsprechende Option geschaffen hat – was wiederum zeigt, dass eine Implementierung nicht an technischen Hürden scheitern muss. "Die Entwickler dieser Anwendungen können oft nicht einmal eine Website bauen oder eine verständliche Datenschutzerklärung verfassen", bemängelt Jen Caltrider, Leiter von Privacy Bot Included. "Das zeigt, dass sie wenig Wert auf den Schutz der Userdaten legen."

Haftungsausschluss IN GROSSBUCHSTABEN

Kritisch sehen die Sicherheitsforscher auch, dass die Apps teils als Anwendungen zur Verbesserung der psychischen Gesundheit vermarktet werden, während die Nutzungsbedingungen – die selten von jemandem gelesen werden – anderes darlegen. "Romantic AI is here to maintain your MENTAL HEALTH", heißt es etwa (mit den entsprechenden Großbuchstaben) auf der Startseite von Romantic AI.

In den Nutzungsbedingungen liest man jedoch (erneut unter der exzessiven Verwendung von Großbuchstaben) das Gegenteil: "Romantic AI is neither a provider of healthcare or medical Service nor providing medical care, mental health Service, or other professional Service. Only your doctor, therapist, or any other specialist can do that. Romantic AI MAKES NO CLAIMS, REPRESENTATIONS, WARRANTIES, OR GUARANTEES THAT THE SERVICE PROVIDE A THERAPEUTIC, MEDICAL, OR OTHER PROFESSIONAL HELP", schreibt der Anbieter dort und spricht sich selbst somit von jeglicher Verantwortung frei.

Die Auswirkungen auf die Psyche der User sind jedoch ein ernstzunehmendes Risiko. "Das Gruseligste an KI-Beziehungsbots ist wohl die Gefahr der Manipulation", sagt Caltrider. "Was hält böswillige Akteure davon ab, Menschen durch KI-Bots besser kennenzulernen, um sie auf Basis der aufgebauten Beziehung dazu zu überreden, gefährlichen Ideologien zu folgen oder sich oder anderen zu schaden?" Es brauche daher dringend mehr Transparenz und mehr Nutzerkontrolle.

Mit fünf Klicks zum Porno

Und schließlich ist da noch das Thema Jugendschutz. So sind die Apps auch für Jugendliche unter 18 Jahren leicht zugänglich, ohne dass es einen Schutz vor möglicherweise verstörenden Inhalten gebe. Bei drei der untersuchten Apps hat es im Schnitt nur fünf Klicks beziehungsweise 15 Sekunden gedauert, bis die Sicherheitsforscher auf pornografische oder illegale Inhalte stießen.

"AI-Freundinnen und -Freunde sind keine echten Freunde", fasst Misha Rykov, Sicherheitsforscher bei Mozilla, zusammen. Auch wenn diese Bots als etwas angepriesen werden, das der psychischen Gesundheit diene, sei in Wahrheit das Gegenteil der Fall: "Diese Anwendungen sind darauf spezialisiert, Einsamkeit und Abhängigkeit zu fördern, während so viele Daten wie möglich abgesaugt werden."

Auch Tinder & Co sammeln eifrig Daten

Doch nicht nur neuartige KI-Bots stellen laut Sicherheitsforschern ein Risiko dar. Auch klassische Dating-Apps, bei denen nach der menschlichen Liebe gesucht wird, können eifrig Daten absaugen. Laut Informationen des Sicherheitsportals onlinesicherheit.gv.at verwenden in Österreich etwa 600.000 Personen Dating-Apps wie Tinder oder Grindr, dem VPN-Anbieter Nord VPN zufolge steigen die Downloads am Valentinstag weltweit um 17 Prozent an.

Laut Angaben von Nord VPN verlangt eine Dating-App durchschnittlich fast 23 Geräteberechtigungen, darunter den Zugriff auf den Standort oder Fotos und Videos. Bis zu sechs der Berechtigungen sind für die Funktionalität einer Anwendung unnötig. "Dating-Apps gehören zu den Anwendungen, die am eifrigsten den Zugriff auf Gerätefunktionen verlangen, die für deren Leistung nicht erforderlich sind", sagt Adrianus Warmenhoven, Berater für Cybersicherheit bei Nord VPN. "Die gesammelten Daten könnten gegen die Interessen des Nutzers verwendet werden und zu Problemen für die Privatsphäre von Nutzern führen."

Auf onlinesicherheit.gv.at wird ebenfalls darauf hingewiesen, dass zum Beispiel bei der beliebten App Tinder sämtliche Häkchen für die Datennutzung standardmäßig gesetzt sind und dies entsprechend in den Datenschutzeinstellungen deaktiviert werden sollte. In den Datenschutzerklärungen von Grindr ist wiederum zu lesen, dass für die Funktion der App auch Daten an Dritte weitergegeben werden. Unter anderem würden der HIV-Status, das letzte Testdatum und der Covid-19-Impfstatus mit all jenen Dienstleistern geteilt, die Daten im Namen von Grindr hosten. Konkret handelt es sich bei diesem Partner um Amazon Web Services (AWS), die Cloud-Sparte des Amazon-Konzerns.

Zusammengefasst sollten Nutzer daher abwägen, welche Daten für die Nutzung der App tatsächlich nötig sind, heißt es seitens Nord VPN ebenso wie auf onlinesicherheit.gv.at: immerhin werden auf derartigen Portalen sensible Daten mit der Community geteilt, wie etwa private Informationen und Fotos, die nicht in falsche Hände geraten sollten. Weiters sollte vor dem Download über die Seriosität der App recherchiert und diese nur von offiziellen Quellen heruntergeladen werden, ebenso empfiehlt sich ein Blick in Datenschutzbestimmungen und -einstellungen. Von einer Anmeldung mit Social-Media-Konten wird abgeraten, da hier ebenfalls ein Datenaustausch stattfinden könnte.

Stalking und Standortdaten

Eine Sonderrolle nimmt in diesem Kontext der Zugriff auf Standortdaten ein. Hier rät man seitens Nord VPN, diesen zu genehmigen, wenn er für die Funktionalität erforderlich ist. Jedoch nicht permanent, sondern nur während der Nutzung der App.

Auf onlinesicherheit.gv.at wird wiederum darauf verwiesen, dass die Standortberechtigung bei Tinder nicht nur berechtigt, sondern auch ratsam sein kann. Denn in Kombination mir einer zusätzlich verfügbaren App namens Noonlight weiß Tinder, wo und wann ein Treffen stattfindet, über Noonlight ist im Ernstfall das Absetzen eines Hilferufs möglich.

Die Gefahr von Stalking und Bedrohungen ist nicht zu unterschätzen, wie eine aktuelle Umfrage des IT-Sicherheitsunternehmens Kaspersky in Deutschland zeigt: Demnach wurden 18 Prozent der Befragten online gestalkt, als sie jemanden frisch kennengelernt hatten. Nahezu die Hälfte (42 Prozent) berichtet zudem über Formen von Gewalt oder Missbrauch durch einen aktuellen oder früheren Partner.

Der Missbrauch in Beziehungen nimmt der Umfrage zufolge unterschiedliche Formen an. Beispielsweise wurden 17 Prozent der Befragten unerwünschte E-Mails oder Nachrichten geschickt, in zwölf Prozent der Fälle wurden sie ohne ihr Einverständnis gefilmt oder fotografiert. Weiters gab fast jede Zehnte (neun Prozent) an, dass ihr Standort geortet wurde, ihre Social-Media-Konten oder E-Mails gehackt wurden (sechs Prozent) oder jemand Stalkerware ohne ihre Zustimmung auf ihren Geräten installierte (sechs Prozent).

Love-Scams

Womit der thematische Bogen an dieser Stelle weg von technischen Bedenken und hin zu menschlichen Abgründen gespannt wird. Und somit muss an dieser Stelle erneut vor der Gefahr der "Love-Scams" ("Liebesbetrug") gewarnt werden. Hier geben sich Betrüger als attraktive Männer oder Frauen aus, bauen zunächst Vertrauen auf und versuchen schließlich, ihre Opfer zu Geldüberweisungen oder riskanten Investments zu überreden.

In zahlreichen Beiträgen weist die österreichische "Watchlist Internet" auf diese Gefahr hin und bietet zudem eine Anleitung zum Selbstschutz. Demnach geben sich männliche Liebesbetrüger meist als erfolgreiche Ärzte, Soldaten oder Piloten aus, weibliche Profile begeistern durch aufreizende Fotos oder sexuelle Freizügigkeit. Die neuen Bekanntschaften erzählen offen über angeblich persönliche Geschichten und reden schon vor dem persönlichen Kennenlernen von der großen Liebe. Die Online-Kommunikation wird gepflegt, persönliche Treffen kommen aber nie zustande.

Diese Anzeichen, und spätestens Bitten um Überweisungen oder Aufforderungen zu schwindligen Investments, sollten skeptisch stimmen. Ratsam ist es laut Watchlist Internet auch, die Person durch eine Websuche zu recherchieren oder das Profil auf der Onlinedating-Plattform zu überprüfen: Wie lange gibt es das Profil bereits? Und wie viele Kontakte hat diese Person? Da die Kriminellen oft Bilder von fremden Facebook- und Instagram-Profilen verwenden, empfiehlt sich außerdem die Nutzung einer umgekehrten Bildersuche.

Gemeinsam statt einsam

Und schließlich ist zu beachten, dass KI-Liebesbots ebenso wie Dating-Apps psychologische Tricks anwenden, um die Verweilzeit zu erhöhen und somit für Werbekunden attraktiver zu sein. Ähnlich wie bei anderen Social-Media-Plattformen werden die Userinnen und User hier mit Likes, Matches und Chat-Nachrichten entsprechend konditioniert.

"Eine weitere Gefahr besteht darin, dass potenziellen Partnerinnen und Partnern keine echte Chance gegeben wird, weil man davon ausgeht, nach einem weiteren Swipe nach links jemand Besseres zu finden", heißt es passend dazu auf onlinesicherheit.gv.at. "Es empfiehlt sich daher, die App zu löschen, sobald eine ernsthafte Beziehung in Aussicht ist." So könne man der Versuchung des Swipens gar nicht erst erliegen. Und der Traum von der großen Liebe könnte doch noch in Erfüllung gehen. (Stefan Mey, 14.2.2024)