Archiv

Fallbeispiel: Spyware

Bereits im April 2010 erschien in der Rubrik Gewissensbits – Wie würden Sie urteilen? im Informatik Spektrum (Band 33, Heft 2, Seite 215f.) das folgende Fallbeispiel. Wir reichen hiermit das Szenario nach, veröffentlichen aber diesmal mit freundlicher Genehmigung gleichzeitig eine studentische Ausarbeitung zu diesem Fallbeispiel von Sandro Rauer für das Seminar Verantwortung und Ethik in der Informatik, das Constanze Kurz an der Humboldt-Universität zu Berlin 2010 veranstaltet hat. Er diskutiert dort den verantwortlichen Umgang mit Spyware. Vielen Dank, Sandro!

Szenario

Denis ist Programmierer und nach Abschluss seiner Ausbildung gerade auf Jobsuche. Er entdeckt eine Anzeige der Danko Online-Marketing GmbH mit attraktiven Einstiegsgehältern. Denis zögert nicht lange, ruft an und vereinbart einen Vorstellungstermin, nachdem Herr Saim von der Danko GmbH am Telefon betonte, wie dringlich neue Programmierer benötigt werden.

Beim Bewerbungsgespräch läuft es gut für Denis, Herr Saim bietet ihm eine Stelle zum Ersten des nächsten Monats an. Mit der Begründung, dass momentan die Fluktuation in der Firma hoch sei und dringende Arbeiten erledigt werden müssten, legt ihm Herr Saim einen unterschriftsreifen Arbeitsvertrag zur Unterzeichnung vor. Erfreut ruft Denis danach seine Freunde an und bittet zur Feier des Tages in die Stammkneipe. Unter den Gästen ist Tina, die während der Zeit an der Hochschule seine Mentorin war und nun mit ihm befreundet ist. Sie gratuliert Denis und fragt ihn über die neue Stelle aus.

Denis erzählt über das respektable Gehalt und die großzügige Urlaubsregelung. Als er aber erwähnt, dass es sich um die Firma Danko handelt, runzelt Tina die Stirn. Sie fragt ihn, ob er denn wisse, was diese Firma eigentlich mache. Denis erklärt, dass er sich natürlich informiert habe und dass es um Online-Werbung gehe. Er sagt ihr, er habe sich ja schon während des Studiums für die Zusammenarbeit von Designern und Programmierern interessiert.

Tina weist Denis nachdrücklich darauf hin, dass sie es nicht gutheißen könne, wenn er nun Spyware und Adware schreiben würde. Sie kennt sein Profil als Programmierer und weiß, dass er die dafür benötigten Programmierkenntnissen hat. Sie wirft ihm vor, dass er doch wissen müsste, dass niemand solche Software willentlich auf dem Computer haben möchte. Nur Leute, die sich technisch nicht auskennen und sich deshalb nicht schützen können, würden dem digitalen Müll aufsitzen.

Sein Job würde daher darauf hinauslaufen, dass er hinterhältig Festplatten mit Werbebotschaften verstopfen würde, ja so gar Schäden auf den Computern in Kauf nehmen müsste. Außerdem bemerkt Tina, dass sie in ihrer eigenen Firma niemals jemanden einstellen würde, der vorher Spyware-Programmierer gewesen sei. Denis solle sich doch überlegen, wie das in seiner Vita aussehen würde. Tina fragt, ob er das mit seinem Gewissen vereinbaren könne, er hätte doch selbst unzählige Male Freunden, Nachbarn und seiner Familie geholfen, diese störende Software von ihren Rechnern zu entfernen.

Denis meint, Werbung sei im Internet etwas Normales, und jeder könne sich aussuchen, ob er sich solche Software auf den Rechner spiele. Was könne er dafür, wenn manche Leute einfach keine Ahnung hätten und überall auf „ja“ klicken würden. Außerdem gäbe es schließlich noch andere Werbearten, die von der Danko GmbH technisch implementiert werden. Im Bewerbungsgespräch sei es nicht nur um Adware und Spyware gegangen. Außerdem sei das alles rechtlich einwandfrei und nicht illegal.

Tina und Denis debattieren die halbe Nacht. Als Denis nach Hause kommt, beginnt er doch zu zweifeln. Er war so froh, dass es mit der Bewerbung gut gelaufen war. Soll er den neuen Job antreten oder sich lieber auf die Suche nach einer anderen Arbeitsstelle machen, auch wenn sie vielleicht schlechter bezahlt wäre?

Fragen

In diesem Szenario werden verschiedene Fragestellungen aufgeworfen. Es berührt ethische Fragen ebenso wie rechtliche Aspekte des Betrugs und des Datenschutzes.

  • Ist es ein ethisches Problem, dass Denis beruflich Spyware und Adware programmieren soll? Muss man dabei zwischen Spyware und Adware unterschieden?
  • Ist Spyware stets Schadsoftware?
  • Macht es einen Unterschied, dass Denis nicht genau weiß, was seine tatsächliche Arbeit bei der Firma sein wird, er also vielleicht nur mittelbar an solcher Software mitwirkt? Muss er sich genauer erkundigen? Soll er vielleicht die Probezeit abwarten?
  • Ist es ethisch problematisch, wenn man Unerfahrenheit und technische Inkompetenz von Menschen ausnutzt?
  • Ist es in Ordnung, dass Tina so viel Druck auf Denis ausübt?
  • Wie steht es um die gesellschaftlichen Kosten, die Privatmenschen und Unternehmen durch solche Software entstehen?

Diskussion des Fallbeispiels: Einleitung

Die Herstellung und Verbreitung von Spyware wirft Fragen nach richtigem und falschem Handeln auf. Wie sieht verantwortlicher Umgang mit Spyware aus? Oder ist Spyware per se zu missbilligen, und es gibt überhaupt einen verantwortlichen Umgang damit? Welche Maßstäbe sollten angewandt werden? In Bezug auf auf das im Seminar diskutierte Fallbeispiel, sollen die ethischen Probleme dargestellt werden, die bei Generierung und Verbreitung von Spyware entstehen.

Faktenlage und Abwägung

Offenbar handelt es sich um eine bedenkliche Firma. Sowohl deren Antrieb und Sinn als auch Produkte, Betriebsklima und personelle Fluktuation sind problematisch. Verbreitung und Einsatz von Ad- und Spyware stellen möglicherweise Gesetzeswidrigkeiten dar und führen zu Gewissensfragen. Die Konsequenzen eines Engagements sind u. U. Verlust der Reputation, Ausschluss und darauf folgende Berufsfeldeinschränkung, was sich negativ auf die Zukunftsperspektiven auswirken kann. Des Weiteren steht eine kritische, universitäre Ausbildung hier eventuell im Konflikt mit der pragmatischen Berufswahl und -ausübung.

Für die Annahme des Arbeitsangebots spricht ebenfalls eine Vielzahl von Faktoren. Der Aufgabenbereich liegt im persönlichen Interessenschwerpunkt, und eine Beteiligung an ähnlichen Projekten gab es schon während des Studiums. Darüberhinaus wäre die Herausforderung des Berufseinstiegs bewältigt, und praktische Berufserfahrung kann gesammelt werden. Zudem ist die gewünschte Spezialisierung möglich, vom Know-how der Firma kann profitiert werden und neue aussichtsreiche Kontakte entstehen. Ferner sind das respektable Gehalt wie auch die großzügige Urlaubsregelung nicht zu unterschätzende Aspekte.

Probleme und Entscheidungsfindung

Unmittelbar und prinzipiell kann für eine Ablehnung des Arbeitsangebotes plädiert werde. Die mit der Berufswahl verbundenen Konsequenzen, die sich vornehmlich an dem Problem Grenzbereich der ethischen und juristischen Legalität erschöpfen, würden es sicher verbieten, Tätigkeiten dieser Art vorzunehmen. Diskutable Grenzbereiche sind dabei:

a.) Schutz der Privatsphäre: Mittels Spyware werden persönliche Informationen weitergegeben, und es kommt zum Eindringen und Erforschen privater Lebensund Verhaltensformen. Das Recht, „die (aktive) Kontrolle über die in der Kommunikation (auch in der elektronischen Interaktion) abgegebenen persönlichen Daten“ zu behalten, geht verloren. (Kuhlen, R. (1999): Die Konsequenzen von Informationsassistenten, S. 262.)

b.) Schutz des Eigentums: Bei Veränderung und damit einhergehender Schädigung der eigenen Software bzw. EDV liegt eine Eigentumsverletzung vor.

c.) Informationssicherheit (Common Criteria): Vertraulichkeit, Verfügbarkeit und Integrität des informationsverarbeitenden Systems sind bei Infizierung mit Spyware nicht mehr sichergestellt. Surfverhalten, Zugangsdaten einschließlich Passwörtern werden protokolliert und an den Hersteller gesendet.

d.) Einflussnahme und Manipulation des unzureichend aufgeklärten Nutzers: Es kommt zur automatischen oder willkürlichen Veränderung von Systemeinstellungen, Aufmerksamkeitskonkurrenz und Ablenkung.

e.) Irreführung bzw. Verheimlichung: Durch Ausnutzung der persönlichen Wissenslücken des Nutzers werden informationsverarbeitende Prozesse verändert, nachgeahmt und verkompliziert. Gewöhnlich arbeitet Spyware unerkannt im Hintergrund.

Entscheidungen

Die Punkte a.) bis c.) stellen durchaus klare Ablehnungsgründe dar, wobei berücksichtigt werden muss, dass in der juristischen Wirklichkeit ein verwerflicher Eingriff selten bewiesen und somit in der unternehmerischen Lebenswelt nicht repräsentiert wird. Das Problem wird also nicht erkannt und ist damit nicht real. Hier besteht sicherlich ein wichtiger Wahrnehmungsunterschied: Während im juristischen Sinne bzw. in der Legislative bis heute keine oder kaum rechtlich eindeutige Normen hinsichtlich der Netz-Dienstleistungen erkannt oder genutzt werden, sind moralische oder ethische Bedenken weitverbreitet. Man muss hier selbst überlegen, welchen Bewertungsmaßstab man anlegt, wenn eine Firma zwar „diffusen“ Geschäften nachgeht, juristisch aber nicht belangt wird. Hier spielt die Frage der gesellschaftlichen Wirklichkeitssetzung eine entscheidende Rolle: Wann macht wer etwas nicht richtig?

Für die juristische Wirklichkeit ist hierbei stets zu unterscheiden, ob der Nutzer seine Einwilligung für die Ausführung gegeben hat oder dies ohne seine Zustimmung geschieht. Ohne Einwilligung stellt Spyware u. U. einen Straftatbestand nach § 303 StGB dar. Besitzt sie eine Schadensroutine, die zu einer Löschung oder Veränderung von Daten führt, ist der Tatbestand des § 303a StGB erfüllt. Werden Daten selbständig an den Entwickler oder dritte Personen gesendet, liegt ein Ausspähen von Daten gem. § 202a StGB vor. (Hoeren, T. (2009): Internetrecht, S. 505.)

„Unwissenheit schützt vor Strafe nicht“

Die Punkte d.) und e.) sind nicht eindeutig als Ablehnungsgründe aufzufassen. Wie in vielen Fällen des alltäglichen Umgangs mit Waren, Medien u. a. ist der Nutzer selbst dafür verantwortlich, die Nutzungsbedingungen und Nutzungsauswirkungen seines Konsumverhaltens zu erschließen und möglicherweise zu korrigieren. Sicherlich ist der Warenanbieter verpflichtet, seine Geschäftsbedingungen wahrheitsgemäß offenzulegen, eine allumfassende Aufklärungspflicht kann von einem Anbieter aber nicht erwartet werden. Dahingehend trägt auch der Konsument bzw. User eine Verantwortung. Eine Kollektivschuld aller Angestellten einer problematischen Firma kann ebenso wenig angenommen werden.

„Man muss den Feind kennen wie seinen Freund“

In dieser Perspektive kann das Arbeitsangebot durchaus angenommen werden. Ein arbeitsrechtliches Berufsverhältnis ist nicht so streng geregelt wie z. B. ein militärisches Verhältnis mit Gehorsamspflicht oder klarer Befehlskette. Einerseits kann der Arbeitnehmer dann positiv auf Firmenstrategien und Softwareentwicklung einwirken, indem er alternative Programmentwürfe mit ethisch verträglicheren Bedingungen erarbeiten, vorstellen und durchzusetzen hilft, andererseits kann er in solch einem Arbeitsverhältnis die perfiden Strategien und Programme überhaupt erst einmal kennenlernen. So gesehen ist ein Arbeitnehmer auch ein mündiger, aktiv Handelnder innerhalb einer Firmenstruktur, welcher sich auch mit seinem Aufgabenfeld selbst kritisch auseinandersetzt und dieses auch persönlich zumindest partiell lenkt. In dieser Hinsicht lebt die Firma von ihren Angestellten.

Grundsätzlich: Es ist insbesondere nur die Ignoranz oder Indifferenz sowohl gegenüber der eigenen Berufstätigkeit als auch gegenüber angeblich ethisch verwerflichen (Spyware-)Unternehmungen, die es ermöglicht, dass sich diese dann überhaupt ungestört entwickeln können. Die aktive Teilnahme und Verantwortungsübernahme an solchen Unternehmungen kann ein erster Schritt sein, um deren Änderung und Anpassung (an durchaus streitbare ethische Grundsätze) voranzutreiben.

Auf der anderen Seite – und diese durchaus radikaler – ist der Job mit einem spezifischen Erfahrungs- und Wissenspotential verbunden, welche er in langer Hinsicht in anderen Arbeitsprojekten einsetzen kann. So kann sich der Arbeitnehmer mit dem angesammelten Know-how in einer Spyware-Firma anschließend weitaus professioneller mit derer Bekämpfung bzw. Eindämmung beschäftigen.

„Der gute Ruf ist dahin“

Die Annahme des Arbeitsangebotes und die tadellose Ausführung der Aufgaben in einer Spyware-Firma sind nur in einem sehr beschränkten Berufsfeld mit positiver Reputation verbunden. Mit der Entscheidung zur Annahme der Arbeit kann der übliche Common Sense in anderen Bereichen der IT-Branche diskreditiert werden. Auch wenn eine juristische Sanktionierung nicht erfolgt, gibt es immer noch eine ethische Sanktionierung, das heißt, die angenommene Berufswahl wird von anderen Kreisen in der IT-Branche mittels Zurückhaltung, Rufschädigung oder gar Berufsausschluss sanktioniert.

Zwangsproblematik

Auch wenn dieser Umstand aus dem Fallbeispiel nicht hervorgeht, könnte die Ausführung einer bedenklichen Tätigkeit mit Spyware möglicherweise vor dem Hintergrund einer finanziellen Notsituation gerechtfertigt werden. Im Falle eines persönlichen Notstandes steht die Eigenverantwortung oder die finanzielle Absicherung der Familie neben einer ethisch korrekten Handlung im Sinne einer sozialen Verantwortung (Leitlinien der Gesellschaft für Informatik). Dieser Fall müsste jedoch unter ethischen Aspekten konkret ausgehandelt werden.

Schlussbetrachtung

Betrachtet man die Ethischen Leitlinien der Gesellschaft für Informatik e. V., kommt man unzweifelhaft zu einem vergleichbaren Ergebnis, dass jedwede Mitwirkung an Herstellung oder Verbreitung von Spyware zu missbilligen ist. Eine Beteiligung an Prozessen, die Spyware unterstützen, lässt Urteilsfähigkeit vermissen (§ 4), unterstützt Kontroll- und Überwachungstechniken (§ 7) und missachtet Zivilcourage (§ 10) sowie die soziale Verantwortung (§ 11).

Dementsprechend ist jedwede Verstrickung in Vorgänge zur Förderung von Spyware abzulehnen. Allein die feste Absicht, zu einem späteren Zeitpunkt Spyware aktiv zu bekämpfen und unter der Annahme, dass der Zweck die Mittel heiligt, könnte das nötige Wissen vorher bei einem Hersteller gesammelt werden, um eine Partizipation u. U. zu rechtfertigen.

Die Bewertung der Problemsituation verdeutlicht außerdem die Konsequenzen, die durch eine fehlende Auseinandersetzung mit den Arbeitsinhalten der Informatik entstehen können. Ethische Konflikte können zu persönlichen werden (auch hier schützt Unwissenheit nicht vor Strafe). Generell ist eine Auseinandersetzung mit der Frage, in welchen Dienst man seine wissenschaftliche Ausbildung stellt,
unumgänglich.

1 comment to Fallbeispiel: Spyware

  • Jürgen

    Sehr interessante Fragestellung(en).
    Allgemein sicherlich schlecht für sein Profil
    aber für Firmen die zum Beispiel genau das
    Gegenteil machen und Software gegen
    Spyware schreiben wiederum sehr wertvoll.

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>