1 Ethik in der IT-Sicherheit. Das Buch im Überblick

1.1. Zwei gegensätzliche Disziplinen
1.2. Was ist das Schutzgut?
1.3. Was ist Ethik?
1.4. Was ist Verantwortung?
1.5. Was ist das Problem?
1.6. Wie geht es weiter?
1.7. Referenzen und Literatur

 1.1 Zwei gegensätzliche Disziplinen

Ethik und IT-Sicherheit haben augenscheinlich auf den ersten Blick nichts miteinander zu tun. Während es sich bei der IT-Sicherheit, wie es schon im Namen liegt, um eine technologische Disziplin im Bereich der Informatik handelt, ist die Ethik eine geisteswissenschaftliche Disziplin. Ethik ist ein Teilgebiet der Philosophie; und zwar der sogenannten praktischen Philosophie, deren wissenschaftlicher Gegenstand das Handeln von Menschen ist. ´Wie soll ich handeln?´, lautet daher eine zentrale Fragestellung der Ethik.

Was also haben Ethik und IT-Sicherheit miteinander zu tun?  Schließlich ist das das primäre Ziel der IT-Sicherheit naheliegend: Die Abwehr von Angriffen auf Daten und Informationen eines Systems. Dabei ist es zunächst irrelevant, um welche Art von System es sich handelt. Sei es das Netzwerk eines Unternehmens mit seinen Daten über Kunden, Produkte, Dienstleistungen oder Patente. Sei es eine öffentliche Verwaltung mit den Datensätzen vieler Bürgerinnen und Bürger, oder sei es die Kommunikationsinfrastruktur von sensiblen staatliche Einrichtungen mit politischen und militärischen Daten und Informationen, auf die es die Hacker abgesehen haben. Ganz zu schweigen vom Handy der Kanzlerin, für das sich mutmaßlich der amerikanische Geheimdienst interessiert, was insbesondere im Herbst 2013 durch die Medien ging.(1) Und last but least, sei es der private Computer mit den Fotos und E-Mails einer einzelnen Privatperson. Würde es also nicht reichen, wenn man die zentrale ethische Frage eines Mitarbeiters oder einer Mitarbeiterin in der Abteilung Cybersecurity ´Wie soll ich handeln?´ ganz einfach mit ´So, dass mein System geschützt wird´ beantworten würde?

 1.2 Was ist das Schutzgut?

Ein Blick jenseits der reinen technologischen Zusammenhänge kann bei der Identifikation ethischer Aspekte im Feld der IT-Sicherheit helfen. Dann nämlich, wenn man kritisch überlegt, was an den Daten das eigentlich Schützenswerte ist. Denn beim Datenschutz beispielsweise geht es „entgegen dem Wortlaut nicht um den Schutz von Daten, sondern um den Schutz von Menschen“. (2) Das Schutzgut ist also in letzter Konsequenz die informationelle Selbstbestimmung, also das Recht des Einzelnen, selbst über eigene personenbezogene Daten zu bestimmen. Es geht um nichts weniger als darum, selbst über seine Daten entscheiden und verfügen zu können und nicht bloß zu einem Objekt der Datenverarbeitung anderer instrumentalisiert zu werden. Damit sind wir bereits weit in den Bereich der Ethik vorgedrungen, denn das „Recht auf informationelle Selbstbestimmung leitet das Bundesverfassungsgericht aus dem allgemeinen Persönlichkeitsrecht […] in deutlichem Bezug zur Menschenwürde ab“.(3) Die Würde schließlich ist ein zentraler Begriff der philosophischen Ethik und damit zugleich ein wichtiger Bezugspunkt an dem sich unser Handeln orientieren soll. Welchen Stellenwert die Menschenwürde grundsätzlich für unser Zusammenleben und unser Handeln – auch in Fragen der IT-Sicherheit bzw. der Digitalisierung im weiteren Sinne – hat, verdeutlicht zu allererst auch der Artikel 1 des Grundgesetzes der Bundesrepublik Deutschland mit dem Wortlaut: „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.“ (4)

Wie die Beispiele des Datenschutzes und der Datensouveränität der Bürgerinnen und Bürger zeigen, sind die Disziplinen Ethik und IT-Sicherheit enger miteinander verwoben, als es auf den ersten Blick wohl erscheinen mag. Das Grundgesetz und der dort verankerte wichtige Begriff der Menschenwürde verweisen darüber hinaus auf das Recht als weitere Disziplin, die bei den Überlegungen zur Ethik in der IT-Sicherheit eine wichtige Rolle spielt.

Mit dem Bezugspunkt der Menschenwürde als Schutzgut befindet sich die Verbindung von Ethik und IT-Sicherheit noch auf einer sehr grundsätzlichen Ebene. Allerdings stellt sich in unterschiedlichen Anwendungskontexten durchaus die Frage, wie dieser Schutz konkreten aussehen soll. Denn mit „Blick auf das Recht auf informationelle Selbstbestimmung das Verfassungsgericht aber zugleich, dass es sich bei diesem um ein relatives, kontextabhängiges Schutzkonzept handelt. Das bedeutet, dass der Einzelne Einschränkungen dieses Rechts im überwiegenden Allgemeininteresse hinnehmen muss.“(5)

Es ist also nicht so einfach mit der Ethik und ihrer Frage ´Wie soll ich handeln?´. Zum einen gibt es Prinzipien, die allgemeine Gültigkeit beanspruchen. Zum anderen gibt es aber auch Einschränkungen, die aus konkreten Kontexten und Bereichen heraus begründet werden und die anscheinend die Allgemeingültigkeit von grundlegenden Prinzipien und Werten unterlaufen.

 1.3 Was ist Ethik?

Ethik kann man als die wissenschaftliche Reflexion von Moral verstehen. Und Moral wiederum ist ein gelebtes Wertesystem einer Gemeinschaft, nach dem die Mitglieder dieser Gemeinschaft handeln. Darauf werden wir ausführlich in den Kapiteln zwei bis vier dieses Buches eingehen.

Ein grundlegendes Verständnis von ethischen Fragen und ihren Besonderheiten ist deshalb von Bedeutung, weil es eben nicht ein für alle Mal und für alle Menschen klar ist, welche Werte gelten und damit die ´richtigen´ Werte sind. Man kann nicht davon ausgehen, dass man grundsätzlich in einem Konsens mit anderen Menschen leben würde und dass die Werte, an denen man sich selbst orientiert, zugleich auch von allen anderen Menschen geteilt würden.

Vielleicht mag es in einer Gruppe von Programmiererinnen und Programmierern, die sich schon seit dem Studium kennen, einen gewissen Konsens darüber geben, was in einem moralischen Sinne als richtig und falsch gilt. Davon würde sich dann vielleicht auch ein Konsens darüber ableiten lassen, inwieweit beispielsweise Algorithmen, die man erstellt, private Daten anderer Menschen durchsuchen dürfen. Vielleicht wäre sich diese Gruppe auch beispielsweise in der IT-Sicherheit darüber einig, was als genau schützenswert gilt und was nicht. Aber man kann nicht davon ausgehen, dass Menschen, die außerhalb dieser Gruppe mit ihren spezifischen Werten und ihrem Ausbildungshintergrund, diese Werte ebenfalls teilen. Eher würde man von einem Dissens ausgehen müssen.

Gerade in modernen, diversifizierten Gesellschaften gibt es eine Vielzahl unterschiedlicher Wertevorstellungen, die für unterschiedliche Gruppen und Gemeinschaften gelten und die von Gruppe zu Gruppe stark voneinander abweichen können. Es gibt folglich nicht nur eine Moral, sondern viele Moralen.

Die Ethik als philosophische Disziplin stellt bei der Vielzahl der faktisch vorhandenen Moralen die ´Warum-Frage´. Ethik fragt nach der Begründung einer Moral und reflektiert kritisch, ob die Wertevorstellungen, die von einer Gemeinschaft gelebt und eingefordert werden, auch belastbar sind. Ein Kriterium dieser kritischen Reflexion ist beispielsweise die Allgemeingültigkeit, also die bereits bekannte Frage, ob die Prinzipien und Werte der betrachteten Moral für alle Menschen gelten könnten. Damit gelangen wir wieder in das Spannungsfeld der Allgemeingültigkeit von Prinzipien und Werten und ihrer kontextabhängigen Einschränkung.

Um Instrumente und Argumente entwickeln zu können, mit denen man unterschiedliche Werte und Moralen besser untersuchen und die Sprengkraft eines möglichen Dissenses zwischen unterschiedlichen Gruppen und Gemeinschaften entschärfen kann, werden in den Kapiteln zwei bis vier unterschiedliche theoretische Konzeptionen von Ethik vorgestellt. Außerdem soll das Verhältnis von Ethik, Moral und Recht zueinander geklärt werden. Weiterhin werden relevante zentrale Begriffe erörtert, wie beispielsweise Tugend, Pflicht oder Nutzen und es wird in das Konzept einer Bereichsethik eingeführt, bei der neben ethischem Grundwissen auch ein bereichsspezifisches Expertenwissen relevant wird. Damit werden die Grundlagen geschaffen, um die Frage `Wie soll ich handeln?` unter den Bedingungen der Digitalisierung im Allgemeinen und unter den Bedingungen der IT-Sicherheit wirksamer beleuchten zu können.

 1.4 Was ist Verantwortung?

Ein Konzept aus dem Bereich der Ethik, das aus aktuellen gesellschaftlichen Debatten nicht wegzudenken ist, ist das Konzept der Verantwortung. Es bildet den Schwerpunkt der Kapitel fünf bis sieben.

Bei entstandenen Schäden, aber auch bei risikobehafteten Entscheidungen, die die Zukunft betreffen, tritt unmittelbar die Frage nach dem oder der Verantwortlichen auf. Vor dem Hintergrund der Digitalisierung, deren technologische Möglichkeiten die Gesellschaft (national wie global) vor unbekannte und neuartige Herausforderungen stellt, potenziert sich Verantwortungsfrage. Dass die Zukunft unbestimmt und offen ist, ist eine triviale Aussage. Es sei denn, man glaubt an eine Welt, die determiniert ist und in der es weder Entwicklungs- noch Gestaltungsmöglichkeiten gibt und jeder unserer Schritte und jede unserer Entscheidungen schicksalhaft vorherbestimmt sind.

Geht man aber von einer unbestimmten offenen Zukunft aus, so hängt die Welt, wie sie sich in beispielweise fünf, zehn oder fünfzig Jahren darlegt, von unseren heutigen Entscheidungen und Handlungen ab. Daraus können sich große Probleme für die entscheidenden und handelnden Personen ergeben. Denn ihnen werden die Folgen zugerechnet, die ihre heutigen Entscheidungen in der Zukunft hervorbringen; nur dass man nicht wissen kann, welche Folgen tatsächlich eintreten werden. Hinzu kommt, dass ein künftiger Zustand der Welt nicht nur das Ergebnis einer einzigen Handlung ist, sondern aus der Komplexität und den Wechselwirkungen resultiert, die aus den unzähligen Handlungen unzähliger Menschen generiert werden.

Nimmt man weiterhin Algorithmen hinzu, die mit ihren Rechenoperationen und der Verknüpfung von riesigen Datenmengen gleichsam auch Entscheidungen treffen, die von der virtuellen in die reelle Welt hineinwirken können, so entsteht ein unübersichtliches Wirkungsgefüge bei dem eine Verursacherin oder ein Verursacher von unerwünschten Folgen, die beispielsweise aufgrund einer technologischen und politischen Weichenstellung eingetreten sind, nicht mehr sicher identifiziert werden kann. Man denke etwa an die strittigen politischen Diskussionen um den Ausbau des Mobilfunkstandards 5G in Deutschland hinsichtlich der Auftragsvergabe an den chinesischen Konzern Huawei und die damit verbundenen Sorgen um die nationale IT-Sicherheit.(6)

Wem kann man in komplexen und digitalen Zusammenhängen noch die Verantwortung zuschreiben? Selbst wenn man einen ´Schuldigen oder eine Schuldige´ ausmachen würde, wofür wäre er oder sie schuldig bzw. verantwortlich? Wofür genau könnte man ihn oder sie verantwortlich halten? Ist es eine rein individuelle oder eher eine kollektive Verantwortung? Worin liegt die Kernverantwortung eines Unternehmens in der IT-Sicherheit?  Um Fragen dieser Art drehen sich auf einer grundsätzlichen Ebene die Kapitel fünf bis sieben.

 1.5 Was ist das Problem?

Die Digitalisierung ist ein Phänomen, das mehr oder weniger alle unsere Lebensbereiche betrifft und verändert. Daraus ergeben sich in technologischer, aber auch in geisteswissenschaftlicher Hinsicht vielfältige neue Fragefelder an die Ethik im Kontext der Digitalisierung, die gewissermaßen den allgemeinen Überbau für die spezifische IT-Sicherheit bildet. Digitalisierung hat daher nicht nur ein hohes technologisches, sondern auch eine hohes gesellschaftliche Veränderungspotenzial. Um solche grundlegenden Fragefelder der Digitalisierung geht es in den Kapiteln acht bis zehn.

„Digitalisierung bedeutet zunächst nichts anderes als die Repräsentation von etwas in elektrisch/elektronisch messbaren Differenzen.“(7) So entstehen Daten die durch Verknüpfungen zur Basis von Informationen werden können, die mittels technischer Hilfsmittel für menschliche Sinne wahrnehmbar werden können. Durch die technologischen Möglichkeiten, enorme Datenmengen zu kopieren, miteinander zu verknüpfen und mithilfe von Algorithmen zu durchsuchen, können gesellschaftliche oder individuelle Muster erkannt werden, die bislang im Bereich des Unsichtbaren lagen und von soziologischem Interesse sein können. Aus ihnen können weitere Informationen über künftiges Handeln und künftige Ereignisse gewonnen werden, denen mit verantwortlichem Handeln zu begegnen ist.

Exemplarisch für die Mustererkennung durch Algorithmen steht beispielhaft der Fall eines minderjährigen Mädchens aus Minnesota, dessen Schwangerschaft durch die Datenanalyse eines Supermarkts erkannt wurde. Durch ihr verändertes Kaufverhalten wurde sie als Target-Kundin identifiziert und bekam spezielle Werbung für Schwangere geschickt, was ihren bis dahin unwissenden Vater auf den Plan brachte.(8)

Die Verantwortung von Unternehmen – wie beispielsweise der Supermarktkette im genannten Beispiel – unter den Bedingungen der Digitalisierung wird auch als Corporate Digital Responsibility (CDR) bezeichnet.(9) Diese Bezeichnung ist angelehnt an das Konzept der CSR, der Corporate Social Responsibility, bei der es um die Frage nach der gesellschaftlichen Verantwortung von Unternehmen insgesamt geht. Wer sich mit der Digitalisierung befasst, muss sich auch mit ihrer gesellschaftlichen Seite befassen und diese verantwortungsbewusst mitgestalten. Unternehmen spielen dabei eine besondere Rolle.

CDR ist ein noch offenes und unabgeschlossenes Feld, an das auch die IT-Sicherheit anschließt. Etwa dann, wenn es darum geht zu bestimmen, wofür ein Cybersecurity-Unternehmen als Korporation verantwortlich ist und wofür nicht. Das Thema Corporate Digital Responsibility und ihre Bedeutung für Unternehmen sowie verschiedene Anwendungsbereiche, in denen man gegebenenfalls unter eine allgemeineren Perspektive auch von einer Digitalen Ethik sprechen kann, stehen im Zentrum der Kapitel acht bis zehn.

 1.6 Wie geht es weiter?

Weitergehende Untersuchungen nehmen Begriffe in den Blick, die auch ohne die spezifische Brille der IT-Sicherheit eine ethische Relevanz aufweisen. Sie führen gewissermaßen wieder auf den in Kapitel 1 eingeführten Begriff der Menschenwürde als zentralen Grundwert unseres Miteinanders zurück. Es geht um das Spannungsverhältnis, das durch die Begriffe Überwachung, Transparenz, Privatheit und Persönlichkeit aufgespannt ist.

Durch die technologischen Möglichkeiten der Digitalisierung entstehen auch bislang ungeahnte Möglichkeiten der Überwachung, die sich sowohl auf den öffentlichen als auch auf den privaten Raum erstrecken können. Mit beispielsweise der Videoüberwachung oder der Gesichtserkennung im öffentlichen Raum und mit Sprachassistenten oder Smart Home Apps im privaten Raum entstehen unzählige Schnittstellen, an den Daten gesammelt und einer Auswertung zugeführt werden können. Dasselbe gilt für Schnittstellen in der Kommunikation und Information, wie etwa durch die Verwendung von sozialen Medien oder Suchmaschinen. Das sind nur einige der Angriffsstellen, die die Privatsphäre einer Person auflösen und einer Überwachung oder Instrumentalisierung anheimstellen können. Ein prominentes Beispiel dafür ist „My friend Cayla“, eine Kinderpuppe die Gespräche und Fragen des Kindes aufnehmen und beantworten kann.(10) Die Verwendung von auf solcher Weise abgehörten Daten zu Werbezwecken dürfte dabei zwar ein lästiges, aber noch relativ kleines Übel im Vergleich zu gravierenden Schädigungen durch beispielsweise Hackerangriffe auf kritische Infrastrukturen sein.

Das Hacken von digitalen Geräten könnte unter Umständen unter ethischer Betrachtung sogar als positiv betrachtet werden. Etwa dann, wenn dadurch Sicherheitslücken detektiert werden, die nicht ausgenützt, sondern angezeigt werden.  Oder, wenn durch diesen Eingriff Daten gewonnen werden können, die möglicherweise dazu führen, dass mutmaßliche Verbrecher gefasst werden können.(11) Ein ethisches Dilemma kann dabei entstehen, dass die Grenzen zwischen einem womöglich ethisch gebotenen Hacken zur Vermeidung eines Übels mit dem womöglich ethisch verbotenen Zugriff auf persönliche Daten oder geistiges Eigentum, das in digitaler Form gespeichert ist, verwischen.

Damit verwischen auch die Grenzen zwischen richtig und falsch bzw. zwischen gut und böse. Die Schritte zur Cyberspionage aus wirtschaftlichen oder politischen Interessen und in letzter Konsequenz hin zu möglichen staatlichen oder terroristischen Formen der Cyberkriegsführung sind dann nicht mehr weit. Sie überschreiten gewissermaßen die roten Linien, die durch die grundlegenden ethischen Reflexionen und rechtlichen Regelungen gezogen werden. Sie stellen die Fragen nach Privatheit und Überwachung in einem erweiterten Kontext, die sowohl die technologischen als auch die ethischen Kompetenzen der Akteure und Akteurinnen im Kontext der Cybersecurity herausfordern.

 1.7 Referenzen und Literatur

1. Vgl. FAZ (2013).
2. Grimm et al (2019: 51).
3. ebd.: 52.
4. Art 1 (1) GG.
5. Grimm et al (2019: 52).
6. Vgl. Knobbe (2019).
7. Nassehi (2019: 105).
8. Vgl. Hill (2012).
9. Vgl. Schmidt (2019).
10. Vgl. Kühl (2017).
11. Vgl. Nakashima (2016).

FAZ (2013): Kanzlerin abgehört: Es war Merkels Parteihandy, Frankfurter Allgemeine vom 24.10.2013. https://www.faz.net/aktuell/politik/kanzlerin-abgehoert-es-war-merkels-parteihandy-12631977.html, letzter Abruf am 4.11.2019.

Grimm, Petra/ Kleber, Tobias O./ Zöllner, Oliver (2019): Digitale Ethik. Leben in vernetzen Welten, Reclam Verlag Ditzingen.

Grundgesetz der Bundesrepublik Deutschland. http://www.gesetze-im-internet.de/gg/art_1.html, letzter Abruf am 4.11.2019.

Hill, Kashmir (2012): How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did. In: Forbes vom 16.2.2012. https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did, letzter Abruf am 11.11.2019.

Knobbe, Martin (2019): Die Regierung sollte den chinesischen Konzern Huawei vom Ausbau des Mobilfunkstandards 5G ausschließen,  Der SPIEGEL-Leitartikel, Spiegel Online vom 8.11.2019. https://www.spiegel.de/plus/huawei-und-5g-fuer-sicherheit-muss-gelten-germany-first-a-00000000-0002-0001-0000-000166862903, letzter Abruf am 10.11.2019.

Kühl, Eike (2017): My Friend Cayla. Vernichten Sie diese Puppe. In ZEIT Online vom 17.2.2017. https://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur, letzter Abruf am 11.11.2019.

Manjikian, Mary (2018): Cybersecurity Ethics. An Introduction, Routledge Verlag Abington und New York.

Nakashima, Ellen (2016): FBI Paid Professional Hackers One-Time Fee to Crack San Bernadino iPhone. In The Washington Post vom 12.4.2016. https://www.washingtonpost.com/world/national-security/fbi-paid-professional-hackers-one-time-fee-to-crack-san-bernardino-iphone/2016/04/12/5397814a-00de-11e6-9d36-33d198ea26c5_story.html, letzter Abruf am 11.11.2019.

Nassehi, Armin (2019): Muster. Theorie der digitalen Gesellschaft. C.H.Beck Verlag München.

Petersen, Thomas (2017): Verantwortung in einer globalisierten Wirtschaft. In: Petersen, Thomas/ Quandt, Jan Hendrik/ Schmidt, Matthias (2017): Führung in Verantwortung. Ethische Aspekte für ein zeitgemäßes Management, SpringerGabler Verlag Wiesbaden.

Pieper, Annemarie (2017): Einführung in die Ethik, 7., aktualisierte Auflage, UTB für Wissenschaft, Franke Verlag Tübingen.

Schmidt, Matthias (2019): Auf der Suche nach ethischer Orientierung. Die Unternehmensinitiative „Charta digitale Vernetzung“ setzt sich für Corporate Digital Responsibility ein. In: CSR Magazin:  Digitales verantworten, Nr. 33/2019, S. 32. Auch online verfügbar:  https://www.csr-news.net/news/2019/09/22/auf-der-suche-nach-ethischer-orientierung, letzter Abruf am 11.11.2019.