Cyber­security – die Ethik nicht vergessen

Security-Leute stecken täglich in einer ethischen Zwickmühle. Oft ohne darüber nachzudenken. Markus Christen, PD an der Universität Zürich, tut es in der Kolumne "DSI Insights."
 
Kaum ein Tag vergeht ohne Berichte über neue Angriffe auf die digitale Infrastruktur – seien dies nun Botnet-Attacken auf Webseiten, Erpressungen mittels Verschlüsselungs-Trojanern oder der Diebstahl digitaler Zugangs-Daten durch Phishing. Entsprechend ist Cybersecurity zu einer Top-Priorität zahlreicher Behörden und Unternehmen geworden – beispielhaft dafür ist die Directive on Security of Network and Information Systems (NIS Directive) der Europäischen Union, die 2016 vorgestellt und per 9. Mai dieses Jahres von allen EU-Staaten in die jeweiligen nationalen Gesetzgebungen überführt werden musste.
 
Die NIS Directive verlangt erhöhte Kapazitäten zur Durchsetzung von Cybersecurity auf nationaler Ebene, eine verstärkte Zusammenarbeit auf EU-Ebene, sowie Risikomanagement und Meldepflichten für Betreiber kritischer Services und Anbieter digitaler Dienste.
 
Diese zunehmende Bedeutung der Cybersecurity verläuft synchron zu einer generell gewachsenen Unsicherheit in zahlreichen Gesellschaften weltweit. Ein Merkmal des heutigen Diskurses über Cybersicherheit ist denn auch die nahezu konstante Betonung von immer mehr und vielfältigeren Bedrohungsformen, die von einfachen Computerviren über Cyberkriminalität und Cyberspionage bis hin zu Cyber-Terror und Cyberwar reichen. Die Bedrohung der (nationalen) Sicherheit durch schädliche Aktivitäten im Cyberspace erscheint so als fundamentale Gefahr einer Lebensweise, die auf Informationstechnologie beruht. Dies macht es den staatlichen Akteuren auch leichter, die Cybersicherheit quasi zu militarisieren und ihre Macht im Cyberspace (wieder) durchzusetzen.
 
Es soll hier nicht darum gehen, die Gefahren im Cyberspace kleinzureden – doch hier soll auf ein wichtiges Spannungsfeld hingewiesen werden, das durch eine Intensivierung des Diskurses um Cybersecurity aufgebaut wird: Je mehr Gesellschaften auf eine funktionierende digitale Infrastruktur angewiesen sind, desto mehr werden die Menschen dazu neigen, die Sicherheit über alle anderen Werte zu stellen, auf denen unsere Gesellschaften ebenfalls aufbauen. Man neigt dazu, Polaritäten aufzubauen im Sinn von: wir müssen unsere Cybersecurity erhöhen auf Kosten anderer Werte wie beispielsweise Privatsphäre, Fairness oder Autonomie. Eine solche Betrachtungsweise wird aber dem komplexen Verhältnis von Cybersecurity mit anderen Werten nicht gerecht.
 
Security kann Privacy beeinträchtigen
Dazu einige Beispiele: Cybersecurity kann natürlich die Privatsphäre beeinträchtigen wie etwa im Fall einer vollständigen Kabelüberwachung; sie kann aber auch zum Schutz der Privatsphäre beitragen, weil die Erkennung von Sicherheitsvorfällen durch begrenzte oder gezielte Überwachung Datenlecks verhindern kann – die Privatsphäre ist gefährdet, wenn Integrität und Vertraulichkeit verletzt werden. Ebenso kann Privatsphäre Cybersecurity beeinträchtigen, weil eine vollständige Anonymität und Geheimhaltung der Kommunikation von böswilligen Personen ausgenutzt werden kann.
 
Datenschutz kann die Cybersicherheit aber auch unterstützen, weil beispielsweise Spear-Phishing-Angriffe auf schlecht geschützten Benutzerinformationen beruhen, um Angriffsziele auszuwählen.
 
Mit anderen Worten ist nur schon das oft genannte Gegensatz-Paar "Security vs. Privacy" in einem deutlich komplexeren Verhältnis als in einem einfachen "von einem mehr = vom anderen weniger".
 
Kommen weitere Werte dazu, erhöht sich die Komplexität: So schadet mangelnde Privatsphäre oft der Fairness, denn ein Profiling von Personen kann zu einer unfairen Behandlung der Nutzer führen. Cybersecurity kann zur Fairness beitragen, indem sie einen Anreiz zum Schutz von Nutzern bietet, die sich selbst keine starken Sicherheitsdienste leisten können. Sie kann im gleichen Masse auch die Autonomie des einzelnen einengen, denn die Sicherheit eines Systems ist oft die Sicherheit seines schwächsten Gliedes, was gewisse Einschränkungen für das Individuum für das Gemeinwohl mit sich bringt.
 
Allerdings gibt es auch ungerechtfertigte Einschränkungen der Autonomie des Einzelnen, indem beispielsweise gewisse staatliche Akteure Service Provider zur Überwachung zwingen, diesen gleichzeitig aber verbietet, darüber zu informieren. Autonomie wiederum kann zu Cybersecurity beitragen, weil autonome Einheiten, die sich selbst schützen und selbst Gegenmassnahmen gegen Bedrohungen finden, die Sicherheit des gesamten Internets erhöhen. Zudem kann eine Bevorzugung der Autonomie gegenüber Sicherheit für die Cybersecurity insgesamt von Vorteil sein, weil die Offenlegung und der Handel von Informationen über Software-Schwachstellen Systementwickler zwingen, Fehler zu beheben.
 
Schwer lösbare Dilemmas
All diese Beispiele zeigen, dass sich Cybersecurity in einem komplexen Geflecht von Werten bewegt, deren Gewicht zudem je nach Kontext unterschiedlich sein wird und zuweilen zu nicht einfach lösbaren Dilemmas führt. Im Gesundheitswesen beispielsweise gelten persönliche Daten rund um die Behandlung von Krankheiten als besonders sensitiv und müssen demnach erst recht geschützt werden – gleichzeitig soll der Zugang im Notfall aber so unkompliziert wir möglich sein. Der oft genannte Gegensatz zwischen Sicherheit und Bequemlichkeit kann hier zu einer Frage von Leben und Tod werden. Im Business-Bereich lassen grosse Unternehmen ihre digitale Infrastruktur von professionellen Cybersecurity-Firmen schützen, die eine enorme Zugriffstiefe auf die Informationsflüsse des Unternehmens haben, um Angriffe zu identifizieren. Doch was soll eine solche Firma tun, wenn sie Hinweise auf Ungereimtheiten im Unternehmen selbst findet? Staatliche Akteure schliesslich stehen nicht selten vor der Frage, ob sie einen laufenden Angriff weiter beobachten, um Informationen über den Angreifer zu erfahren, oder verhindern sollen. Welcher Schaden wiegt höher?
 
Wir beginnen erst langsam zu verstehen, dass eine verantwortungsvolle Cybersecurity oft mit einem Abwägen verschiedener Werte verbunden ist. Sicherheit an sich ist ein rein instrumenteller Wert – es gilt zu beachten, was gesichert werden muss und die Art und Weise, wie dies getan werden soll. Diese Diagnose gilt nicht nur für den öffentlichen Diskurs, sondern auch für die Wissenschaft selbst. So wird zwar viel über Datenschutz im Gesundheitswesen oder die Legitimität gewisser Formen von Cyberdefense geschrieben – aber kaum jemand reflektiert über die Dilemmas, welche die Cybersecurity-Experten tagtäglich in ihrer Arbeit begegnen – so jedenfalls ein Zwischenstand der Forschungen im von uns geleiteten EU-Projekt CANVAS über Cybersecurity und Ethik.
 
In einer vertiefenden Ausbildung von Cybersecurity-Fachleuten zum Umgang mit ethischen Fragen in ihrem Arbeitsfeld sehen wir denn auch eine von mehreren Lösungen, um einer Überbetonung von Cybersecurity gegenüber anderen Werten entgegenzuwirken. Die entsprechenden Materialien werden derzeit entwickelt und stehen im kommenden Jahr für interessierte Kreise zur Verfügung. (Markus Christen)
 
Über den Autor:
Markus Christen leitet eine Forschungsgruppe zu ethischen Fragen der Digitalisierung am Institut für biomedizinische Ethik und Medizingeschichte der Universität Zürich und koordiniert das EU-Forschungsprojekt CANVAS über Ethik und Cybersecurity. Er ist zudem Geschäftsleiter der UZH Digital Society Initiative.
 
Zu dieser Kolumne:
Unter "DSI Insights" äussern sich regelmässig Forscherinnen und Forscher der "Digital Society Initiative" (DSI) der Universität Zürich. Die DSI fördert die kritische, inter-disziplinäre Reflexion und Innovation bezüglich aller Aspekte der Digitalisierung von Wissenschaft und Gesellschaft.