Constanze

Dieser Beitrag „On ethics in information technology“ von RAPHAËL VINOT erschien zunächst auf boingboing. Wir veröffentlichen ihn in deutscher Übersetzung (von Adrian, Daniel und Constanze) mit freundlicher Genehmigung.

Zur Ethik in der Informationstechnologie

Unser Forschungsfeld benötigt einen ethischen Rahmen, den wir akzeptieren, anstatt Regeln, die zwar technisch ungebrochen sein mögen, aber deren Sinn von uns Hackern mit bemerkenswertem Einfallsreichtum unterlaufen wird.

Während ich diesen Text schreibe, befinde ich mich inmitten des Mission District, dem Alternativen Viertel von San Francisco. Draußen versammeln sich meine Kollegen an den Ecken und Bushaltestellen. Sie sind meine Tech-Community, manche arbeiten wie ich in der IT-Sicherheit. Alle paar Minuten fahren spezielle Busse vor und bringen sie in ihre Büros, was den Kontakt mit der Außenwelt drastisch reduziert. Das ist ein Problem.

Nehmen wir einen dieser Profis als Beispiel: Es läuft nicht gut im Internet, und alles ist im Internet. Sehr wenige Menschen haben einen vollständiges Bild der Problemlage, und die wenigen, die das verstehen, gehören zu einer von drei Gruppen. Die einen wollen aus dem Desaster Geld machen und scheren sich nicht um die Ursachen, die anderen sind von Regierungen und Institutionen, die sich das Problem für ihre Machtpositionen zu Nutze machen wollen, die dritte ist die – hoffentlich – größte, aber am wenigsten mächtige Gruppe: die Techies, die die Infrastruktur reparieren und die Öffentlichkeit informieren wollen.

Das ganze Netzwerk ist in einem grauenhaften Zustand. Gestohlene Identitäten schwirren zu Millionen umher. Die Privatinformationen auf Deinem Telefon und Deinem Computer sind über das ganze Internet verstreut, gespeichert auf unglaublich schlecht gesicherten Servern – die nennen wir übrigens Cloud. Das Internet der Dinge und die Infrastruktur sind oft zugreifbar aus öffentlichen Netzwerken. Nur sehr wenige Leute interessiert es, daran etwas zu ändern. All dieser Kram ist genauso langweilig wie der Zustand der Infrastruktur in den USA: Niemand will Geld darin investieren.

Einen Vorteil daraus ziehen statt sich zu kümmern

Ernsthaft, Ihr, die nicht technisch interessierten Menschen, habt gute Gründe, Angst zu haben, weil die Dinge furchterregend sind. Seit den Snowden-Enthüllungen habt Ihr gesehen, was außer Kontrolle geratene Techies mit unbegrenzten finanziellen Mitteln und ohne moralische Grundsätze Eurer Privatsphäre und allgemein der Demokratie antun können.

Die Regierungen der Welt hatten keine Angst vor den Möglichkeiten des Überwachungsapparats, der durch Edward Snowden aufgedeckt wurde. Sie verstanden, welche Möglichkeiten sie selbst haben, das Internet für ihre Zwecke zu nutzen. Die NSA-Dokumente lesen sich eher wie ein Wunschzettel von Regierungen und Strafverfolgungsbehörden. Heutzutage kann man in der ganzen Welt beobachten, dass Regierungen neue Überwachungsmaßnahmen erlassen und ihre Techies beauftragen, diese umzusetzen. Sehr wenige Regierungen zeigten sich empört im Hinblick auf die Maßnahmen der NSA. Sie arbeiten alle mit Höchstgeschwindigkeit daran, ihre eigenen Überwachungsapparate aufzubauen, nachdem ihnen aufgefallen ist, dass sie der USA hinterherhinken. Sie geben Erklärungen ab, dass sie unbedingt mehr Überwachung und Zensur brauchen. Das gilt insbesondere, nachdem in der Presse Artikel erschienen sind, die erklären, dass diese oder jene Institutionen und wichtige Unternehmen, die mit dem Betrieb von kritischer Infrastruktur beschäftigt sind, kompromittiert wurden oder kompromittierbar sind. Das Problem ist, dass all diese tollen neuen Institutionen mit neuen ausgefuchsten „Cyber“-Namen das gleiche Ziel wie die NSA verfolgen: mehr Überwachung, mehr Kontrolle der Netzwerke, weniger Privatsphäre für Bürger und wenig bis gar kein Interesse an echter Sicherheit.

Führende Persönlichkeiten und Bürokraten verfolgen oft zwei Ziele: nachweisbare, zählbare Ergebnisse bekommen, dabei weniger anstrengende Menschen einbeziehen. Das ist der Grund, warum sich unsere Entscheidungsträger auf ausgefeilte automatisierte Systeme konzentrieren, wie etwa Videokameras auf den Straßen, ungefilterte Roh-Daten aus dem Internet, Gesetze zur Vorratsdatenspeicherung usw. Das alles landet in riesigen Datenbanken, die veraltete, private, illegal eingepflegte und/oder falsche Informationen über Dich enthalten und von privaten oder öffentlichen Institutionen verwaltet werden.

Wir wissen aus dem täglichen Leben, dass alles zu überwachen, nur weil wir es können, falsch ist. Wenn wir das mit Fremden anstellen, erfüllt das den Tatbestand des Stalkings. Wenn wir das online machen, mit einem Computer zwischen uns und dem „Ziel“, und wir für eine große Organisation arbeiten, erscheint das aber auf einmal in Ordnung.

Nichts davon bedeutet aber echte Sicherheit, welche immer weiter zurückgeht. Alle Daten werden geleakt, und alle Computer werden unsicherer. Anstatt daran zu arbeiten, die Infrastruktur (auch bekannt als das Internet) zu reparieren, investieren unsere Entscheidungsträger in mehr offensive Ressourcen, weil wir alle daran glauben, dass Angriff die beste Verteidigung ist. Das ist ungefähr so, als ob man ein Kernkraftwerk an einem Vulkanhang baut und es dann absichert, in dem man die Nachbarschaft wegbombt.

Jedermanns Fehler

Unsere Entscheidungsträger können ihre erschreckend schlechten Ideen nur voranbringen, weil die meisten Menschen die Technologie dahinter nicht verstehen. Das schließt nicht nur normale Leute ein, sondern auch Politiker, Rechtsanwälte und Journalisten. Diese Menschen, die eigentlich die Gemeinschaft schützen sollten, haben nicht genug Fachwissen, um Argumente zu liefern, die beim Kampf gegen die Umsetzung der schlechten Ideen helfen können, bevor sie zu Gesetzen werden.

Diese Situation führt zu einem gewaltigen Missverständnis zwischen technikaffinen Personen und dem Rest der Welt. Im Ergebnis bedeutet das mehr Feindseligkeit, Misstrauen und den Willen, mehr Dinge zu illegalisieren in der Hoffnung, so all diese komplexen Sachverhalte verschwinden zu lassen. Diese Reaktion ist nachvollziehbar, da wir, um etwas Neues und etwas Angsteinflößendes zu verstehen, gern auf altbekannte Mittel zurückgreifen – selbst dann, wenn diese Mittel dafür nicht geeignet sind. Selten sind alte Gesetze und Metaphern der richtige Weg, um zu erklären, wie das Internet funktioniert und wie es reguliert wird.

Das Problem ist teilweise der Fehler der Techies selbst, weil wir es nicht mögen, andere Leute in unseren Techie-Club hineinzulassen. Aber es ist eben nicht unser alleiniger Fehler, zu verstehen, was wir da tun, denn dazu bedarf es einiger Hausaufgaben. Jemand fängt nicht auf demselben Stand an, ein Musikinstrument zu spielen, wie ein professioneller Musiker. Es gibt Konzepte, die Anfängern auseinandergesetzt werden müssen, um das Netzwerk zu verstehen, auf dem unsere Welt basiert, aber sie sind weitestgehend auf sich gestellt, um herauszufinden, wie das funktioniert – zumindest momentan. Nur ein paar Leute wissen eigentlich, wo man damit anfangen soll.

Forschung zur IT-Sicherheit ist kein Verbrechen (oder sollte zumindest keines sein)

Ohne dass der Rest der Gesellschaft eine Ahnung davon hat, wie das Internet funktioniert, kann niemand für den Bereich der IT-Sicherheit die richtigen Entscheidungen treffen. Etwas faktisch Sinnvolles wie das Überprüfen von Quellcode, um Schwachstellen zu finden (und auszumerzen), wird großteils vernachlässigt, selbst wenn es sich um Code handelt, auf den sich die ganze Welt verlässt. Wenn wir Forscher selbst den Code ansehen, werden wir bestenfalls in den „Common Vulnerabilities and Exposures“ (CVE) landen. Wir hoffen dann, dass dadurch jeder informiert wird und so die Möglichkeiten hat, Fehler im Code zu beheben, bevor die Schwachstelle sich zu weit ausbreitet. Wenn wir Glück haben und einen Namen dafür erfinden, der im Gedächntnis bleibt, können wir mit Pressebeachtung rechnen und damit, das der Fehler behoben, sogar schnell behoben wird. Das nennen wir „responsible disclosure“: Der Forscher kontaktiert die Menschen mit dem angreifbaren Code und hilft ihnen, bevor die Schwachstelle publik wird.

Wenn wir weniger Glück haben, werden wir mehr oder weniger freundlich von einer Armee von Anwälten gebeten, das Maul zu halten, und der Fehler wird nicht behoben. Das ist relativ gängig, denn „responsible disclosure“ hat kein Äquivalent wie „responsible response“. Egal wie, es passiert nicht viel, in ein paar Monaten haben es wieder alle vergessen, nur das Leben eines Forschers wurde oder wurde eben nicht zerstört. Und all das, weil einen Computer sicher zu machen, einfach nicht sexy ist. Ein Job wie meiner versucht sicherzustellen, dass niemals irgendwas passiert, und wenn wir es können, die Scheiße zu stoppen, bevor sie in den Ventilator fliegt. Und wenn es dann doch passiert, sind wir schuld, besonders wenn wir die grauenvolle Idee hatten, zu viele Fragen zu stellen.

Es gibt zwei wesentliche Konsequenzen, die uns, die Sicherheitsforscher, in eine Position drängen, in der wir nicht mehr forschen können, ohne zu riskieren, dass wir rechtlich dafür belangt werden können: Die erste ist das Wachsen des dunkelgrauen Marktes, wo Menschen mit kaum akzeptablen moralischen Grundprinzipien ihre Sicherheitslücken ein- und verkaufen können. Die zweite ist: Wenn ein Forscher nicht riskieren möchte, dass seine Entdeckungen in den falschen Händen landen und die Sicherheitslücken damit nie ausgemerzt wird, kann er anonym alles zu veröffentlichen, und zwar so, dass es jeder sehen kann. Und dann schauen wir allen anderen dabei zu, wie sie ausrasten.

Das ist eine furchtbare Situation. Es führt dazu, dass sich Menschen machtlos fühlen, weil es den Anschein hat, dass die ganze Macht der großen Unternehmen und Regierungen gegen uns gerichtet ist. Regierungen haben sichergestellt, dass sie am längeren Hebel sitzen, während sie das tun, was sie immer tun, um ihre Bevölkerung bei Laune zu halten: Reden schwingen und einen Haufen neuer Gesetze erlassen, die Grenzfälle thematisieren oder auf diejenigen zielen, die nicht zu ihrem Sinne denken.

0‑Day-Exploits zu finden ist schlecht, es sein denn, Du verkaufst sie an Regierungen (besonders an Deine eigene). Schadsoftware entwickeln ist schlecht, sobald man sie aber der Polizei verkauft, ist es in Ordnung.

Verantwortung als Kultur

Warum ziehen wir diese Institutionen und Regierungen nicht zur Rechenschaft? Weil wir keinen Zugriff auf sie haben. Wenn wir über die Polizei reden, sollten wir eigentlich von Polizeimitarbeitern reden. Wenn wir über Regierungen reden, sollten wir eigentlich von Politikern reden. Wenn wir über Geheimdienste reden, sollten wir eigentlich über … naja, die da eben arbeiten reden. Wir haben nicht mal einen passenden Namen, mit dem wir sie benennen könnten. Die Mitglieder dieser Institutionen sind von außerhalb ihrer Institution unidentifizierbare menschliche Wesen, und immer mehr scheint es so, als ob wir das auch sind, zumindest von deren Standpunkt aus betrachtet: Wir sind aus ihrer Sicht einfach eine laute Masse Leute, die sammelbare Daten produziert.

Was wir jetzt brauchen, ist ein sozialer Umschwung. Es wird schwer werden, Zeit brauchen und eine Menge Überzeugungsarbeit. Die Fähigkeit, auf alles Wertvolle und/oder Private Zugriff zu haben, ist nicht an sich böse und bedeutet schon gar nicht, dass Personen mit Zugriff darauf immer etwas Böses tun werden, nur weil sie es können.

Ich spreche hier nicht über die Grenzen der Legalität, da eine Regierung, die eine legale Datenbank haben will, auch eine bekommen wird, ganz egal, ob das jetzt richtig oder falsch ist. Wir müssen akzeptieren, dass es Menschen gibt, die diese Datenbanken nutzen. Aber ein Angestellter kann entscheiden, ob die Organisation, für die er arbeitet, unethisch handelt, selbst wenn er von ihrem Gehalt seine Rechnungen bezahlt. Das ist genauso bei Soldaten, die Befehle verweigern, wenn ihr eigenes Land Kriegsverbrechen begeht. Der Soldat kann dafür bestraft oder sogar erschossen werden, wenn man ihn erwischt, dennoch wird er für sein Handeln vielleicht später rehabilitiert werden. Ein IT-Forscher aber wird nur am Ende des Monats sein Gehalt verlieren – was jetzt nicht ganz so übel ist.

Ich glaube nicht, dass irgendeine Regierung oder eine andere zentrale Organisation oder Institution dieses Problem lösen kann, das ist ein gesamtgesellschaftliches Problem, und das müssen wir zusammen lösen. Teil der Lösung ist, dass diejenigen, die hinter den Computern sitzen und in den Leben anderer schnüffeln, sich bewusster werden, was sie da tun. Ein Beispiel: Wenn ich eine forensische Untersuchung bei einer Schadsoftware beginne, habe ich einen kleinen Einblick in Speicher und Festplatten. Nehmen wir an, es ist Dein Computer, und nehmen wir an, alles darauf wäre am Laufen gewesen, private und geschäftliche Dokumente, E‑Mails, Browser-Tabs mit sozialen Netzwerken, einfach Dein ganzes Leben.

An diesem Punkt habe ich die technische Fähigkeit, alle Passwörter der Accounts von sozialen Medien, Mailboxen und alle privaten Nachrichten zu lesen, und niemand wird jemals erfahren, dass ich das getan habe. Sagen wir, der Computer war infiziert mit drei verschiedenen Malwares (was nicht ungewöhnlich wäre). Jeder dieser Angreifer könnte seine Malware dazu genutzt haben, von einem Tor Exit Note aus über Monate das Opfer auszuspionieren. Werde ich diesen Zugang missbrauchen? Nope. Kann ich beweisen, dass der Missbrauch nicht von mir ausging? Nope. Sollte die Untersuchung der Malware deswegen verboten sein? Ich denke nicht. Hätte ich einen von meinem und Deinem Anwalt geprüften und zwischendurch noch zehnmal umformulierten Vertrag unterzeichnet, der mir verbietet, über meine Forschung zu sprechen, also ein Non Disclosure Agreement (NDA)? Naja, das ist Dein Problem, Du bist der derjenige, dessen Rechner kommpromittiert wurde, ich kann warten.

NDAs in der IT-Sicherheit sind Bullshit. Immer. Wenn ich Dir schaden wollte, könnte ich das einfach tun. Ich habe Deine Daten schon, weil ein Angreifer auf Deinen Computer Zugriff hatte. Wenn diese Daten im Internet landen, kann ich das ganz einfach auf diesen Angreifer schieben.

Oder Du kannst einfach darauf vertrauen, dass ich ethisch arbeite, und lässt mich sofort anfangen. Nun kommt der verzwickte Teil: Du wirst nie wissen, wer ehrliche Arbeit macht und wer nicht, weil wir immer noch Menschen sind, und als Krönung dessen kannst Du nicht einmal sicher sein, dass ich etwas finde, das Dir helfen wird.

Diese Fähigkeit zu haben, etwas Schadhaftes zu tun, heißt nicht, dass jeder das auch tun wird. Zertifizierung und Monitoring sind jedenfalls nicht die Antwort darauf. Eine Person, die eigenverantwortlich arbeiten kann, ohne dafür von irgendjemand in einer Institution haftbar gemacht werden zu können, ist eines der Grundprinzipien von Forschung und Wissenschaft. Wir werden keinen Schritt zurück machen und uns eine spezielle Authorisation einholen, nur um nmap oder metasploit nutzen zu können, genauso wie Wissenschaftler es nicht wollen, ihre neuesten Erkenntnisse zum Klimawandel vom US-Kongress überprüfen zu lassen.

Heutzutage beauftragen Regierungen und die Zivilgemeinschaft manchmal unabhängige Forscher, weil wir nicht wirklich haftbar sind. Das stimmt zwar, aber wir haben noch nicht einmal einen Rahmen der Haftbarkeit. Manche machen Schlechtes, aber die meisten machen Gutes, und wir müssen Letztere unterstützen, während wir mit Ersteren reden müssen.

Erwachsen werden

Ethisch korrektes Handeln ist schwer. Man kann es nicht messen, es zu lernen, braucht Zeit, und du weißt vielleicht nie, wenn jemand Mist baut. Aber, Mensch-sein ist auch schwer, so wie das Leben überhaupt, und wenn Du Sachen erledigt haben willst, wird es Dir längerfristig nicht den Arsch retten, alles auf Papierkram zu reduzieren.

Jetzt ist die Zeit gekommen, in der wir in der IT über eine Art Verhaltenskodex nachdenken müssen. Wir brauchen unbedingt etwas, auf das wir verweisen können, wenn wir uns nicht sicher sind, was passieren sollte, wie wir auf bestimmte Ereignisse in der Welt reagieren sollten. Damit das aber funktioniert, müssen wir auch akzeptieren, dass wir eine mächtige politische Gruppe sind und nicht nur ein Haufen Kinder, der mit Bytes spielt.

Ich argumentiere nicht für gesetzlich festgeschriebene Regeln, und ich will auch die Diskussion nicht in diese Richtung gelenkt sehen. Wir sind keine Rechtsanwälte, wir sind Hacker und wir wissen, dass jede Regel umgangen werden kann und umgangen werden wird. Das ist unsere Aufgabe.

Zu sagen: „Vertraut uns, wir sind nur ein Haufen lauter Eigenbrödler mit komischen Hobbies, die auf Schwachstellen in Deiner Infrastruktur schauen. Die meisten von uns sind nett, aber manche von uns werden diese Schwachstellen an jeden x‑Beliebigen verkaufen“, führt offensichtlich nicht dazu, dass sich irgendjemand wohler fühlt.

Was wir jetzt brauchen ist, dass die IT-Sicherheit ein Berufsfeld wird. Selbst wenn wir es lieben zu glauben, dass wir die Einzigen sind, die in einer so gearteten Situation eine Menge sehr entscheidendes Wissen in einem ganz bestimmten Feld haben, wir sind es nicht. Rechtsanwälte, Mediziner, Geistliche und Journalisten zum Beispiel haben ähnliche Voraussetzungen. Da aber diese Berufe älter sind als unsere, hatten die Profis in diesen Gebieten mehr Zeit, über dieses Problem nachzudenken.

Auf der anderen Seite, wenn man sich Journalisten ansieht, die haben etwas, dass sie „Munich Charter“ nennen, als Beispiel für einen Ethik-Kodex. Es ist eine Sammlung aus fünfzehn Sätzen, die keine Gesetzeskraft haben. Die Durchsetzung wird von der Gemeinschaft forciert, und wenn Du richtigen Mist baust, bist Du danach kein Journalist mehr. Es hat eine viel größere Flexibilität oder Schlupflöcher – wenn man so will –, aber es enthält auch Grundprinzipien.

Der hippokratische Eid

Anstelle eines Gesetzes, bei dem wir Hacker versuchen herauszufinden, wie wir schnellstens das Prinzip dieses Gesetzes missachten können, ohne das Gesetz brechen zu müssen, würde ich mich sehr freuen, etwas ähnliches wie bei den Medizinern oder Journalisten in der IT-Sicherheit zu erleben: Unser Arbeitsfeld muss ein echter Berufsstand werden, mit Grundregeln, Linien im Sand, von denen wir alle wissen, dass man sie nicht übertreten sollte.

Das ist der Grund, warum ich etwas möchte, auf dass sich die Menschen in der Community einigen können, etwas, das sich schnell genug entwickeln kann, damit wir die rauswerfen können, die sich inakzeptabel verhalten, ohne auf ein passendes Gesetz zu warten, dass jedesmal die Fesseln anlegt, sobald jemand ein Arsch ist, oder 0‑Day-Exploits an korrupte Regierungen verkauft.

Aber um diesen Plan in die Tat umzusetzen, brauchen wir eine echte Community von Leuten, die sich für die Welt und ihre Entwicklung interessieren. Wir müssen von einer hauptsächlich technisch orientierten Gruppe mehr zu einer sozialeren werden. Ich glaube, langsam aber sicher, kommen wir dorthin. Wir sind alle ziemlich faul, und wir wollen auch wissen, was woanders passiert. Denn das Langweiligste, was man tun kann, ist das nochmal zu tun, was jemand schon einmal vor einem getan hat. Deshalb gibt es so viele Konferenzen überall. Selbst wenn wir nicht die sozialkompetentesten Menschen sind – wir lieben es zu reden, wir lieben es, Ideen mit unseren Peers auszutauschen. Es wird ein Punkt kommen, an dem wir, als Community, uns entscheiden sollten, mit wem wir in Verbindung gebracht werden wollen und mit wem nicht. Wenn ein Mitglied oder eine Gruppe von Mitgliedern sich nicht als verantwortungsbewusster Teil verhält, müssen wir das ansprechen und wenn möglich den Ausreißer wieder auf Kurs bringen, oder wenn nicht möglich aus der Gemeinschaft ausschließen.

Letztlich müssen wir das Bewusstsein unserer Freunde und Peers wecken. Lasst uns schmutzige Wörter benutzen: Wir müssen politischer sein, verantwortlicher, und wir müssen unsere Macht für das Gute einsetzen.

Es gibt viele Kräfte, Unternehmen und Regierungen, die nicht wollen, dass wir lernen, wie man eine richtige Community wird. Sie wollen uns gefangenhalten in unserer Welt und lassen uns ihre Drecksarbeit erledigen. Wir sind als Gesellschaft in derselben Blase der Isolation gefangen wie IT-Spezialsten durch ihre Busfahrten isoliert werden. Wir müssen raus aus dieser Blase und müssen uns der Welt stellen, so wie sie ist: dreckig, komplex und voller Menschen.