Archiv

Fallbeispiel: Sensible Gesundheitsdaten

Stefan Ullrich,  Constanze Kurz

Ulli ist in ständiger Geldnot. Die Online-Anzeige eines Call Centers kommt ihr deshalb gerade recht. Sie klingt verlockend, denn Ulli könnte von zuhause aus an ihrem eigenen Computer arbeiten. Außerdem bezahlt ihr die Firma eine Internet- und Telefon-Flatrate, die sie auch privat nutzen darf. Allerdings müsste sie nachts in der Kundenbetreuung einer Krankenversicherung arbeiten, um die Fragen von Anrufenden aus dem Ausland zu beantworten, die sich in anderen Zeitzonen befinden. Kein Problem für Ulli. Die alleinerziehende Mutter eines achtjährigen Mädchens und eines 13-jährigen Jungen kann sich gut vorstellen, ihren Schlaf nachzuholen, während die Kinder in der Schule sind. Sie bewirbt sich also und erhält eine Zusage.

Selbst vier Wochen nach Beginn der Arbeit ist sie ist noch oft über die Fragen der Leute erstaunt, die ihr spät in der Nacht gestellt werden. Ihr Arbeitsgeber, die Versicherungsgesellschaft Freie Assekuranz, hat Ulli für ihre Arbeit ein Passwort überlassen, mit dem sie die Stammdaten und die Informationen zu den Versicherungspolicen der Fragesteller abrufen kann. So ist es ihr möglich, die Fragen zu beantworten und anfallende Probleme zu bearbeiten.

Gegen vier Uhr morgens fällt es ihr meistens besonders schwer wachzubleiben, in dieser Zeit gibt es wenige Anrufe. Um sich abzulenken und die Langeweile zu vertreiben, sucht sie eines Nachts im System ihres Arbeitgebers nach den Daten ihres Ex-Mannes Ralf. Sie ist leicht irritiert, als sie tatsächlich einen Treffer findet: Er besitzt eine Familienkrankenversicherung bei der Freien Assekuranz. Sie brennt darauf, mehr über seine neue Familie zu erfahren und über seine jetzige Frau Saskia. Als Saskia von Ralf schwanger wurde, zerbrach Ullis Ehe, ihre Familie fiel auseinander. Sie zögert zwar einen Moment, klickt dann aber auf »Details«. Gerade als sie zu lesen anfangen will, klingelt das Kundentelefon. Sie druckt die Seite mit den Familiendetails von Ralf schnell aus, dann nimmt sie den Anruf entgegen.

Am nächsten Nachmittag kommt ihre beste Freundin Susanne zum Essen vorbei. Nachdem die Kinder vom Tisch aufgestanden sind, erzählt Ulli von ihrer nächtlichen Entdeckung und zeigt ihr die ausgedruckten Informationen: Saskia hatte im letzten Jahr eine Fehlgeburt erlitten, und das Kind, dessen Vater Ralf ist, ist anscheinend sehr krank. Susanne ist zunächst schockiert über Ullis heimliche Recherche, aber während sie sich darüber unterhalten, beginnen sie nachzudenken, welche Daten man auf diese Art und Weise noch bekommen könnte. Susanne entschließt sich zu bleiben, bis Ulli ihre Nachtschicht beginnt, und zusammen schauen sie, was sie noch herausfinden können.

Es stellt sich heraus, dass Ulli nicht nur die Informationen über Namen, Adressen, Geburtstage, Arbeitgeber und Versicherungsdaten abrufen, sondern auch jeweils auf den vollständigen medizinischen Datensatz zugreifen kann, der für die Abrechnung benötigt wird. Sie sehen sich die ganze Krankenhistorie von Ralfs neuer Familie an. Susanne nennt dann aus Neugier noch den Namen ihres neuen Freundes, dessen Daten sie ebenfalls inspizieren. Sie entdecken dabei die Informationen über seinen letzten Zahnarztbesuch. Offenbar hat er ein makelloses Gebiss, die Freundinnen lachen.

In dieser heiteren Stimmung kommt Susanne eine verrückte Idee: Stand nicht erst gestern in der Zeitung, dass ein Datendieb jede Menge Geld von den Finanzbehörden erhalten hatte – im Austausch gegen eine gestohlene Steuersünder-CD? Vielleicht könnte man mit Informationen über den Gesundheitszustand Prominenter, Unternehmensbosse oder Politiker einen schönen Urlaub herausholen, wenn man sie der Presse anbieten würden. Natürlich würden sie die Datensätze nicht stehlen oder rausgeben, denn das wäre ja kriminell. Aber für den einen oder anderen Hinweis spränge vielleicht etwas für die Urlaubskasse raus.

Ulli wird ein wenig nervös – sie will ihren Job ja nicht verlieren. Aber sie werden doch gar keine Daten stehlen, betont Susanne nochmal. Ulli willigt schließlich in den Plan ein. Sie sind beim Zugriff auf die Daten sehr vorsichtig und speichern interessante Informationen nicht auf der Festplatte des Rechners, sondern machen sich nur Notizen auf einem Papierzettel.

Sie haben gerade Informationen über einige Lokalpolitiker, einen Filmstar und sogar einen international bekannten Sänger gesammelt, als sie morgens die Nachricht im Radio hören, dass jemand die Freie Assekuranz mit vertraulichen Daten erpresst. Ulli und Susanne schauen sich kurz an und entscheiden, das Projekt sofort abzubrechen. Sie zerreißen die Zettel und werfen die Reste in den Müll.

Diskussionsfragen

  • Was sind jenseits der rechtlichen Fragen die ethischen Probleme in diesen Fallbeispiel?
  • Ist es überhaupt ein ethisches Problem, wenn Ulli und Susanne sich die Krankendaten eines gemeinsamen Bekannten ansehen?
  • Macht es einen Unterschied, ob Ulli auf Informationen von ihr bekannten oder vollkommen fremden Menschen zugreift? Ist es nicht verständlich, dass Ulli ein persönliches Interesse an den Daten von Ralf hat?
  • Ist wirklich etwas Schlimmes passiert, obwohl Ulli und Susanne die Daten zerstört haben, bevor sie diese genutzt haben?
  • Macht es einen Unterschied, dass Ulli Daten ihres Ex-Mannes auch speichert und ausdruckt und nicht nur betrachtet?
  • Ist es ethisch fragwürdig seitens des Krankenversicherers, dass Ulli eine Volltextsuche über den gesamten Datenbestand machen kann? Wäre es nicht sicherer, wenn sie beispielsweise nur nach Kundennummern suchen könnte? Oder müßten die Daten nicht besser durch Versichertenpasswörter geschützt werden?
  • Hätte das Duo Susanne und Ulli die vollständigen Daten auf einem USB-Stick gespeichert: Würde das in der ethischen Bewertung einen Unterschied machen?
  • Sind in diesem Fallbeispiel auch Personen direkt betroffen, die gar nicht erwähnt sind?

Erschienen in Informatik-Spektrum 33(6), 2010, S. 668–669.

English version

Dezember 31st, 2010 | Tags: , | Category: Fallbeispiele, Vertrauliche Daten | 4 comments

Scenario: Sensitive Health Data

Stefan Ullrich,  Constanze Kurz

Chris was in desperate need of money, and answered on online ad for a call center. It was an interesting job, and she didn’t even have to drive to work, she could do the work from home using her own computer. The company paid her a flat-rate for Internet and telephone that she could use privately as well.

She had to work nights, but that was okay. She was a single mother of a 13-year-old boy and an 8-year-old girl. She slept while the kids were in school. Her job was to answer calls that people made in the middle of the night to their health insurance carrier.

She often amazed at the questions that people had at these hours of the night. The insurance company, Free & Easy Insurance, had given her a password so that she could access policy data in order to answer questions or issue tickets to solve people’s problems.

4 am was the worst hour, usually nothing happened and she had to amuse herself to keep awake. On an impulse she searched for the name of her ex-husband, Ralph. She was a little shaken to see that she indeed got a hit – he had a family policy with Free & Easy. She way dying to know more about his new family, and especially Priscilla, who had gotten herself pregnant by him and destroyed Chris’ own family.

Chris hesitated for a moment, and then clicked on “Details”. Just as she started to read, a call came in. She quickly printed out the page on Ralph’s new family and then answered the call.

The next afternoon her best friend, Susan,  came over for dinner. After the kids were excused Chris told her about her discovery. Priscilla had had a miscarriage last year and the baby she had with Ralph was apparently quite sick. Served them right! Susan was shocked at first, but as they talked about it, they started to wonder what kinds of data they could access. Susan stayed on as Chris started her shift, and together they looked around at what they could see.

In particular, they could not only see information such as name, address, birthday and account information – they also had complete access to the medical history of the insured people. Susan – who was out of work, but had some basic computing skills – had an idea. She had of course heard about the extortionists who had downloaded information from foreign banks and earned a lot of money selling them to governments. Maybe they could get some data on politicians or famous people and sell them to a newspaper so they could finally go somewhere warm on vacation together.

Chris was a bit nervous – she didn’t want to lose her job, which didn’t pay much, but kept food on the table. But it was kind of exciting. They were careful to only save the interesting data they found on a memory stick, not on the computer, in case there was any trouble and someone would investigate the computer. They had just gathered a good bit of information on some local politicians and a movie star and a singer, when the news broke that someone else had had the same idea and was blackmailing Free & Easy for return of data.

Chris and Susan decided to abandon the project and smashed the memory stick with a hammer and threw it in the garbage.

Questions

  • Who are the actors in this scenario? There may be unnamed actors, and not all named actors are truly involved in the case.
  • What are the ethical problems (not the legal problems) involved in this scenario?
  • Since Chris and Susan destroyed the data before attempting anything, has any real harm been done?
  • Is there a problem with Chris’ children having access to her computer?
  • Are there any side issues that need to be addressed?

Published in Informatik-Spektrum 33(6), 2010, S. 668–669.

Translated by Debora Weber-Wulff.

German version

Dezember 31st, 2010 | Category: Medizin, Scenarios, Vertrauliche Daten | Leave a comment

Fallbeispiel: Übungsaufgaben

Der Fachbereich Praktische Informatik an der Universität Bernau bietet für die Studierenden im ersten Semester die Übung „Programmieren 1“ an. Etwa 150 Studierende sollen in sechs Gruppen die Grundlagen des Programmierens erlernen. Begleitend zur Vorlesung sollen die Übungen den Stoff des Semesters mit praktischen Aufgaben vertiefen.

Joachim ist wissenschaftlicher Mitarbeiter des Professors und in diesem Semester erstmalig Übungsleiter für „Programmieren 1“. Im Oktober sollen die Übungen beginnen. Joachim hat in der vorlesungsfreien Zeit aber noch zwei Paper anzufertigen, die unbedingt fertig werden müssen. Außerdem soll er den Vortrag der Forschungsgruppe auf der Jahres¬tagung der GI Ende September halten, wofür er sich noch mächtig vorbereiten muss.

Der Beginn des Semesters ist bedenklich nahe gerückt und Joachim hat noch nicht einmal angefangen, die Aufgaben zu formulieren, geschweige denn die Musterlösungen zu programmieren. Als sich Joachim nach der Tagung mit den Tutoren Sascha und Julia zusammensetzt, um den Ablauf zu besprechen, fragen sie schon nach die Lösungen, damit sie sich besser für die Übungsbetreuung vorbereiten können. Joachim verspricht sie für das nächste Treffen.

Joachim ahnt schon, dass es ein Problem sein könnte, in so kurzer Zeit gute Übungsaufgaben zu entwerfen. Er hat aber eine Idee. Die Übungsaufgaben der letzten beiden Jahre hatten sich als geeignet herausgestellt, und sie sind noch online zu bekommen. Er surft weiter und findet an andere Hochschulen viele gute Übungen, teilweise sogar mit Lösungen! Er erinnert sich auch an ein altes Lehrbuch. Die Aufgaben dort sind für eine nicht mehr gebräuchliche Programmiersprache gedacht, aber lassen sich sicherlich problemlos übertragen.

Er sucht sich sieben Aufgaben aus; zunächst drei gelöste aus dem Internet. Außerdem entnimmt er eine aus dem alten Lehrbuch, und dann drei weitere aus dem Fundus des alten Semesters. Bis zum Zeitpunkt der Kontrolle hat er sicherlich entweder Musterlösungen von Kollegen oder kann sie selber programmieren. Und da diese Aufgaben bereits erprobt sind, sind sie sicherlich besser als alles, was er sich auf der schnelle ausdenken könnte.

Beim Treffen mit den Tutoren unmittelbar vor Vorlesungsbeginn ist er immerhin so ehrlich, ihnen die Herkunft der Aufgaben mitzuteilen. Sascha und Julia werfen sich unsichere Blicke zu. Dass die alten Aufgaben erneut verwendet werden, hatten sie nicht erwartet. Beide wissen, dass mehrere ältere Studenten Webseiten mit den genauen Lösungen anbieten. Und wenn einige Aufgaben und Lösungen so schnell im Internet gefunden werden können dann werden sie wahrscheinlich 150-mal dieselbe Lösung eingereicht bekommen.

Sascha meldet seine Einwände an, aber Joachim winkt ab. Es sei nun eine richtig gute Mischung geworden, lässt er die beiden wissen. Die Studierenden werden auch gewarnt, keine Aufgaben vom Internet oder von Kommilitonen zu kopieren. Schließlich hat die Hochschule jetzt eine Software gekauft, um solche Kopien aufzuspüren. Wer mit Kopien erwischt wird, fällt durch die Übung und muss das Modul noch einmal belegen.

Julia fragt nach, ob das nicht etwas hart sei, schließlich wären die Aufgaben auch kopiert. Joachim verneint energisch: er habe ja Änderungen vorgenommen, die Bezeichner verändert und andere Zahlen verwendet. Sascha und Julia stimmen zu – sie sind auf ihre Tutoren-Jobs angewiesen, um die Miete zu zahlen.

FRAGEN

  • Handelt es sich hier um ein ethisches Problem? Wie beurteilen Sie das Handeln der drei Personen Joachim, Sascha und Julia?
  • Ist es überhaupt ein Problem, wenn alte Aufgaben wiederverwendet werden? Ist es gerecht gegenüber allen Studierenden, wenn einige die Lösungen schon kennen oder schnell finden können?
  • Einige Aufgaben wurden aus dem Internet kopiert. Muss Joachim belegen, wo er die Aufgaben her hat? Was ist, wenn dort auch Antworten zu finden sind?
  • Gerade alte Aufgabenstellungen musste man eigentlich als bekannt voraussetzen. Darf man sie wirklich verwenden? Ist es in Ordnung, sie zu verändern? Oder gibt es Aufgaben, wie die Türme von Hanoi, die alle Informatik-Studierende machen müssen?
  • Sind Übungsaufgaben überhaupt eine schöpferische Leistung, die geschützt ist?
  • Sollte Joachim seinerseits die Aufgaben im Netz publizieren? Kann er das guten Gewissens tun?
  • Ist es von Bedeutung, ob die Bewertung der Aufgaben in die Endnote mit eingehen?
  • Ist es nicht sinnvoll, sehr ähnliche Übungen anzubieten? Die Lernziele sind ja identisch geblieben, und es ist so für Wiederholer ein Vorteil.
  • Sind veröffentlichte Aufgaben einfach so, ohne Erlaubnis, nutzbar? Und wenn sie ohne Quellenangabe aus dem Netz übernommen wurden, ist dann nicht auch die Abgabe von Lösungen ohne Quellenangabe zulässig?
  • Ressourcenknappheit ist ein generelles Problem an vielen Universitäten. Ist es daher besser, alte Aufgaben zu nehmen, aber dafür eine gute Betreuung anzubieten? Denn wichtig ist ja, dass der Stoff verstanden wird.
  • Gibt es überhaupt die Erwartungshaltung, dass in jedem Semester neue Übungen verwendet werden?
  • Ist es ethisch vertretbar, Software einzusetzen, um gleiche Übungen aufzuspüren?
Dezember 4th, 2010 | Tags: , , | Category: Fallbeispiele | One comment

Registration removed

Ich habe als Admin erst mal alle suspekte Nutzerkonten hier gelöscht – wir hatten Besuch von einige Bots, die versucht haben, einen Spam-Farm hier zu installieren. Sollte ich jemand ungerechterweise gelöscht haben – bitte melden bei mir. Registrierung ist abgeschaltet, aber Kommentare werden noch gerne gesehen. Wer ein neues Konto haben will, soll bitte Debora Weber-Wulff schreiben, email ist ergooglebar.

September 12th, 2010 | Category: Allgemein | Leave a comment

Fallbeispiel: Anonymizer

Paula ist wissenschaftliche Mitarbeiterin am Lehrstuhl für Informatik an der Universität Werne, sie hat ihr Studium gerade erst beendet und nun ihre erste Anstellung. Als sie nach den ersten Wochen Arbeit in ihrem Büro ist, ruft sie ein Mitarbeiter des universitären Rechenzentrums, Herr Reck, an und bittet Sie um einen Termin für ein Gespräch. Gern sagt sie dies für den nächsten Tag zu.

Am Tag danach erscheint Herr Reck mit einem Paula unbekannten Mann in ihrem Büro. Er wird ihr auch nicht vorgestellt. Herr Reck schließt die Tür und fragt, ob er sie zu TOR befragen könne.

TOR (Akronym für The Onion Router) ist ein freies Programm, das von US-amerikanischen Entwicklern in Zusammenarbeit mit der US Navy entwickelt wurde, um eine Verkehrsdatenanalyse unmöglich zu machen und damit anonymen Zugang zum Internet zu erlauben. Jedes Datenpaket bewegt sich bei Nutzung von TOR über verschiedene Router, dabei wird die Routing-Information verschlüsselt. Paula ist das Programm wohlbekannt, generell sind Anonymisierer Teil ihrer Lehre. Herr Reck legt ihr einige Auszüge von Log-Dateien vor, aus denen hervorgeht, dass sie TOR verwendet. Paula streitet dies natürlich auch gar nicht ab.

Herr Reck teilt Paula mit, dass nur sie sowie zwei weitere Universitätsangehörige, mit denen ebenfalls bereits gesprochen wurde, deren Namen er jedoch nicht nennen will, TOR am Universitätsrechner benutzt. Einer dieser beiden Benutzer hätte sich vermutlich strafbar gemacht und dabei TOR verwendet, zudem sei dies ein ehemaliger Kommilitone von Paula.
Nun möchte Herr Reck wissen, warum sie TOR benutze. Paula antwortet ganz offen, dass sie zum einen diese Technologie in ihrer Lehre bespreche und dazu selbstverständlich eigene Erfahrungen sammeln wollte, andererseits aber auch die Idee hinter dem Programm – den Schutz der Privatsphäre des Surfenden – voll unterstütze. Schließlich spreche sie in dem Seminar über Zensur und Meinungsfreiheit, über Blogger und Freiheit. Gerade in weniger freien Gesellschaften sei die Nutzung dieser Technologien sehr bedeutsam, daher gehöre dies in ihre Lehre.

Paula legt sowohl in ihrem beruflichen als auch in ihrem privatem Leben Wert auf ihre Privatsphäre. Sie benutzt TOR auch, um kommerziellen Datensammlern zu entgehen oder um zu verhindern, dass ihre privaten Hobbies und Neigungen rückverfolgt werden können. Auch dies berichtet sie Herrn Reck.

Die Herren hören ihr aufmerksam zu, händigen ihr dann aber recht wortlos eine Kopie der Nutzungsbedingungen des universitären Rechnernetzes aus. Eine der Bedingungen, die Paula schon als Studentin unterzeichnet hatte, besagt, dass keine ungenehmigten Programme verwendet werden dürften.

Paula sind die Bedingungen gut bekannt, sie hatte damals in der Fachschaft sogar gemeinsam mit anderen Studierenden und der damaligen Leitung des Rechenzentrums an der Überarbeitung der Regeln mitgewirkt. TOR war damals noch gar nicht im Umlauf und nur wenigen Entwicklern überhaupt bekannt. Entsprechend findet das Programm keine Erwähnung in den Nutzungsbedingungen.

Herr Reck bittet Paula nun eindringlich, TOR nicht mehr zu verwenden und auch in der Lehre nicht mehr zu besprechen, denn sollten immer mehr Studenten das Programm nutzen, „wäre hier bald Anarchie“. Er erzählt über Fälle von Straftaten, die unter Verwendung von Tor begangen wurden.

 

August 25th, 2010 | Category: Allgemein, Fallbeispiele | Leave a comment

Fallbeispiel: Spyware

Bereits im April 2010 erschien in der Rubrik Gewissensbits – Wie würden Sie urteilen? im Informatik Spektrum (Band 33, Heft 2, Seite 215f.) das folgende Fallbeispiel. Wir reichen hiermit das Szenario nach, veröffentlichen aber diesmal mit freundlicher Genehmigung gleichzeitig eine studentische Ausarbeitung zu diesem Fallbeispiel von Sandro Rauer für das Seminar Verantwortung und Ethik in der Informatik, das Constanze Kurz an der Humboldt-Universität zu Berlin 2010 veranstaltet hat. Er diskutiert dort den verantwortlichen Umgang mit Spyware. Vielen Dank, Sandro!

Szenario

Denis ist Programmierer und nach Abschluss seiner Ausbildung gerade auf Jobsuche. Er entdeckt eine Anzeige der Danko Online-Marketing GmbH mit attraktiven Einstiegsgehältern. Denis zögert nicht lange, ruft an und vereinbart einen Vorstellungstermin, nachdem Herr Saim von der Danko GmbH am Telefon betonte, wie dringlich neue Programmierer benötigt werden.

Beim Bewerbungsgespräch läuft es gut für Denis, Herr Saim bietet ihm eine Stelle zum Ersten des nächsten Monats an. Mit der Begründung, dass momentan die Fluktuation in der Firma hoch sei und dringende Arbeiten erledigt werden müssten, legt ihm Herr Saim einen unterschriftsreifen Arbeitsvertrag zur Unterzeichnung vor. Erfreut ruft Denis danach seine Freunde an und bittet zur Feier des Tages in die Stammkneipe. Unter den Gästen ist Tina, die während der Zeit an der Hochschule seine Mentorin war und nun mit ihm befreundet ist. Sie gratuliert Denis und fragt ihn über die neue Stelle aus.

Denis erzählt über das respektable Gehalt und die großzügige Urlaubsregelung. Als er aber erwähnt, dass es sich um die Firma Danko handelt, runzelt Tina die Stirn. Sie fragt ihn, ob er denn wisse, was diese Firma eigentlich mache. Denis erklärt, dass er sich natürlich informiert habe und dass es um Online-Werbung gehe. Er sagt ihr, er habe sich ja schon während des Studiums für die Zusammenarbeit von Designern und Programmierern interessiert.

Tina weist Denis nachdrücklich darauf hin, dass sie es nicht gutheißen könne, wenn er nun Spyware und Adware schreiben würde. Sie kennt sein Profil als Programmierer und weiß, dass er die dafür benötigten Programmierkenntnissen hat. Sie wirft ihm vor, dass er doch wissen müsste, dass niemand solche Software willentlich auf dem Computer haben möchte. Nur Leute, die sich technisch nicht auskennen und sich deshalb nicht schützen können, würden dem digitalen Müll aufsitzen.

Sein Job würde daher darauf hinauslaufen, dass er hinterhältig Festplatten mit Werbebotschaften verstopfen würde, ja so gar Schäden auf den Computern in Kauf nehmen müsste. Außerdem bemerkt Tina, dass sie in ihrer eigenen Firma niemals jemanden einstellen würde, der vorher Spyware-Programmierer gewesen sei. Denis solle sich doch überlegen, wie das in seiner Vita aussehen würde. Tina fragt, ob er das mit seinem Gewissen vereinbaren könne, er hätte doch selbst unzählige Male Freunden, Nachbarn und seiner Familie geholfen, diese störende Software von ihren Rechnern zu entfernen.

Denis meint, Werbung sei im Internet etwas Normales, und jeder könne sich aussuchen, ob er sich solche Software auf den Rechner spiele. Was könne er dafür, wenn manche Leute einfach keine Ahnung hätten und überall auf „ja“ klicken würden. Außerdem gäbe es schließlich noch andere Werbearten, die von der Danko GmbH technisch implementiert werden. Im Bewerbungsgespräch sei es nicht nur um Adware und Spyware gegangen. Außerdem sei das alles rechtlich einwandfrei und nicht illegal.

Tina und Denis debattieren die halbe Nacht. Als Denis nach Hause kommt, beginnt er doch zu zweifeln. Er war so froh, dass es mit der Bewerbung gut gelaufen war. Soll er den neuen Job antreten oder sich lieber auf die Suche nach einer anderen Arbeitsstelle machen, auch wenn sie vielleicht schlechter bezahlt wäre?

Fragen

In diesem Szenario werden verschiedene Fragestellungen aufgeworfen. Es berührt ethische Fragen ebenso wie rechtliche Aspekte des Betrugs und des Datenschutzes.

  • Ist es ein ethisches Problem, dass Denis beruflich Spyware und Adware programmieren soll? Muss man dabei zwischen Spyware und Adware unterschieden?
  • Ist Spyware stets Schadsoftware?
  • Macht es einen Unterschied, dass Denis nicht genau weiß, was seine tatsächliche Arbeit bei der Firma sein wird, er also vielleicht nur mittelbar an solcher Software mitwirkt? Muss er sich genauer erkundigen? Soll er vielleicht die Probezeit abwarten?
  • Ist es ethisch problematisch, wenn man Unerfahrenheit und technische Inkompetenz von Menschen ausnutzt?
  • Ist es in Ordnung, dass Tina so viel Druck auf Denis ausübt?
  • Wie steht es um die gesellschaftlichen Kosten, die Privatmenschen und Unternehmen durch solche Software entstehen?

Diskussion des Fallbeispiels: Einleitung

Die Herstellung und Verbreitung von Spyware wirft Fragen nach richtigem und falschem Handeln auf. Wie sieht verantwortlicher Umgang mit Spyware aus? Oder ist Spyware per se zu missbilligen, und es gibt überhaupt einen verantwortlichen Umgang damit? Welche Maßstäbe sollten angewandt werden? In Bezug auf auf das im Seminar diskutierte Fallbeispiel, sollen die ethischen Probleme dargestellt werden, die bei Generierung und Verbreitung von Spyware entstehen.

Faktenlage und Abwägung

Offenbar handelt es sich um eine bedenkliche Firma. Sowohl deren Antrieb und Sinn als auch Produkte, Betriebsklima und personelle Fluktuation sind problematisch. Verbreitung und Einsatz von Ad- und Spyware stellen möglicherweise Gesetzeswidrigkeiten dar und führen zu Gewissensfragen. Die Konsequenzen eines Engagements sind u. U. Verlust der Reputation, Ausschluss und darauf folgende Berufsfeldeinschränkung, was sich negativ auf die Zukunftsperspektiven auswirken kann. Des Weiteren steht eine kritische, universitäre Ausbildung hier eventuell im Konflikt mit der pragmatischen Berufswahl und -ausübung.

Für die Annahme des Arbeitsangebots spricht ebenfalls eine Vielzahl von Faktoren. Der Aufgabenbereich liegt im persönlichen Interessenschwerpunkt, und eine Beteiligung an ähnlichen Projekten gab es schon während des Studiums. Darüberhinaus wäre die Herausforderung des Berufseinstiegs bewältigt, und praktische Berufserfahrung kann gesammelt werden. Zudem ist die gewünschte Spezialisierung möglich, vom Know-how der Firma kann profitiert werden und neue aussichtsreiche Kontakte entstehen. Ferner sind das respektable Gehalt wie auch die großzügige Urlaubsregelung nicht zu unterschätzende Aspekte.

Probleme und Entscheidungsfindung

Unmittelbar und prinzipiell kann für eine Ablehnung des Arbeitsangebotes plädiert werde. Die mit der Berufswahl verbundenen Konsequenzen, die sich vornehmlich an dem Problem Grenzbereich der ethischen und juristischen Legalität erschöpfen, würden es sicher verbieten, Tätigkeiten dieser Art vorzunehmen. Diskutable Grenzbereiche sind dabei:

a.) Schutz der Privatsphäre: Mittels Spyware werden persönliche Informationen weitergegeben, und es kommt zum Eindringen und Erforschen privater Lebensund Verhaltensformen. Das Recht, „die (aktive) Kontrolle über die in der Kommunikation (auch in der elektronischen Interaktion) abgegebenen persönlichen Daten“ zu behalten, geht verloren. (Kuhlen, R. (1999): Die Konsequenzen von Informationsassistenten, S. 262.)

b.) Schutz des Eigentums: Bei Veränderung und damit einhergehender Schädigung der eigenen Software bzw. EDV liegt eine Eigentumsverletzung vor.

c.) Informationssicherheit (Common Criteria): Vertraulichkeit, Verfügbarkeit und Integrität des informationsverarbeitenden Systems sind bei Infizierung mit Spyware nicht mehr sichergestellt. Surfverhalten, Zugangsdaten einschließlich Passwörtern werden protokolliert und an den Hersteller gesendet.

d.) Einflussnahme und Manipulation des unzureichend aufgeklärten Nutzers: Es kommt zur automatischen oder willkürlichen Veränderung von Systemeinstellungen, Aufmerksamkeitskonkurrenz und Ablenkung.

e.) Irreführung bzw. Verheimlichung: Durch Ausnutzung der persönlichen Wissenslücken des Nutzers werden informationsverarbeitende Prozesse verändert, nachgeahmt und verkompliziert. Gewöhnlich arbeitet Spyware unerkannt im Hintergrund.

Entscheidungen

Die Punkte a.) bis c.) stellen durchaus klare Ablehnungsgründe dar, wobei berücksichtigt werden muss, dass in der juristischen Wirklichkeit ein verwerflicher Eingriff selten bewiesen und somit in der unternehmerischen Lebenswelt nicht repräsentiert wird. Das Problem wird also nicht erkannt und ist damit nicht real. Hier besteht sicherlich ein wichtiger Wahrnehmungsunterschied: Während im juristischen Sinne bzw. in der Legislative bis heute keine oder kaum rechtlich eindeutige Normen hinsichtlich der Netz-Dienstleistungen erkannt oder genutzt werden, sind moralische oder ethische Bedenken weitverbreitet. Man muss hier selbst überlegen, welchen Bewertungsmaßstab man anlegt, wenn eine Firma zwar „diffusen“ Geschäften nachgeht, juristisch aber nicht belangt wird. Hier spielt die Frage der gesellschaftlichen Wirklichkeitssetzung eine entscheidende Rolle: Wann macht wer etwas nicht richtig?

Für die juristische Wirklichkeit ist hierbei stets zu unterscheiden, ob der Nutzer seine Einwilligung für die Ausführung gegeben hat oder dies ohne seine Zustimmung geschieht. Ohne Einwilligung stellt Spyware u. U. einen Straftatbestand nach § 303 StGB dar. Besitzt sie eine Schadensroutine, die zu einer Löschung oder Veränderung von Daten führt, ist der Tatbestand des § 303a StGB erfüllt. Werden Daten selbständig an den Entwickler oder dritte Personen gesendet, liegt ein Ausspähen von Daten gem. § 202a StGB vor. (Hoeren, T. (2009): Internetrecht, S. 505.)

„Unwissenheit schützt vor Strafe nicht“

Die Punkte d.) und e.) sind nicht eindeutig als Ablehnungsgründe aufzufassen. Wie in vielen Fällen des alltäglichen Umgangs mit Waren, Medien u. a. ist der Nutzer selbst dafür verantwortlich, die Nutzungsbedingungen und Nutzungsauswirkungen seines Konsumverhaltens zu erschließen und möglicherweise zu korrigieren. Sicherlich ist der Warenanbieter verpflichtet, seine Geschäftsbedingungen wahrheitsgemäß offenzulegen, eine allumfassende Aufklärungspflicht kann von einem Anbieter aber nicht erwartet werden. Dahingehend trägt auch der Konsument bzw. User eine Verantwortung. Eine Kollektivschuld aller Angestellten einer problematischen Firma kann ebenso wenig angenommen werden.

„Man muss den Feind kennen wie seinen Freund“

In dieser Perspektive kann das Arbeitsangebot durchaus angenommen werden. Ein arbeitsrechtliches Berufsverhältnis ist nicht so streng geregelt wie z. B. ein militärisches Verhältnis mit Gehorsamspflicht oder klarer Befehlskette. Einerseits kann der Arbeitnehmer dann positiv auf Firmenstrategien und Softwareentwicklung einwirken, indem er alternative Programmentwürfe mit ethisch verträglicheren Bedingungen erarbeiten, vorstellen und durchzusetzen hilft, andererseits kann er in solch einem Arbeitsverhältnis die perfiden Strategien und Programme überhaupt erst einmal kennenlernen. So gesehen ist ein Arbeitnehmer auch ein mündiger, aktiv Handelnder innerhalb einer Firmenstruktur, welcher sich auch mit seinem Aufgabenfeld selbst kritisch auseinandersetzt und dieses auch persönlich zumindest partiell lenkt. In dieser Hinsicht lebt die Firma von ihren Angestellten.

Grundsätzlich: Es ist insbesondere nur die Ignoranz oder Indifferenz sowohl gegenüber der eigenen Berufstätigkeit als auch gegenüber angeblich ethisch verwerflichen (Spyware-)Unternehmungen, die es ermöglicht, dass sich diese dann überhaupt ungestört entwickeln können. Die aktive Teilnahme und Verantwortungsübernahme an solchen Unternehmungen kann ein erster Schritt sein, um deren Änderung und Anpassung (an durchaus streitbare ethische Grundsätze) voranzutreiben.

Auf der anderen Seite – und diese durchaus radikaler – ist der Job mit einem spezifischen Erfahrungs- und Wissenspotential verbunden, welche er in langer Hinsicht in anderen Arbeitsprojekten einsetzen kann. So kann sich der Arbeitnehmer mit dem angesammelten Know-how in einer Spyware-Firma anschließend weitaus professioneller mit derer Bekämpfung bzw. Eindämmung beschäftigen.

„Der gute Ruf ist dahin“

Die Annahme des Arbeitsangebotes und die tadellose Ausführung der Aufgaben in einer Spyware-Firma sind nur in einem sehr beschränkten Berufsfeld mit positiver Reputation verbunden. Mit der Entscheidung zur Annahme der Arbeit kann der übliche Common Sense in anderen Bereichen der IT-Branche diskreditiert werden. Auch wenn eine juristische Sanktionierung nicht erfolgt, gibt es immer noch eine ethische Sanktionierung, das heißt, die angenommene Berufswahl wird von anderen Kreisen in der IT-Branche mittels Zurückhaltung, Rufschädigung oder gar Berufsausschluss sanktioniert.

Zwangsproblematik

Auch wenn dieser Umstand aus dem Fallbeispiel nicht hervorgeht, könnte die Ausführung einer bedenklichen Tätigkeit mit Spyware möglicherweise vor dem Hintergrund einer finanziellen Notsituation gerechtfertigt werden. Im Falle eines persönlichen Notstandes steht die Eigenverantwortung oder die finanzielle Absicherung der Familie neben einer ethisch korrekten Handlung im Sinne einer sozialen Verantwortung (Leitlinien der Gesellschaft für Informatik). Dieser Fall müsste jedoch unter ethischen Aspekten konkret ausgehandelt werden.

Schlussbetrachtung

Betrachtet man die Ethischen Leitlinien der Gesellschaft für Informatik e. V., kommt man unzweifelhaft zu einem vergleichbaren Ergebnis, dass jedwede Mitwirkung an Herstellung oder Verbreitung von Spyware zu missbilligen ist. Eine Beteiligung an Prozessen, die Spyware unterstützen, lässt Urteilsfähigkeit vermissen (§ 4), unterstützt Kontroll- und Überwachungstechniken (§ 7) und missachtet Zivilcourage (§ 10) sowie die soziale Verantwortung (§ 11).

Dementsprechend ist jedwede Verstrickung in Vorgänge zur Förderung von Spyware abzulehnen. Allein die feste Absicht, zu einem späteren Zeitpunkt Spyware aktiv zu bekämpfen und unter der Annahme, dass der Zweck die Mittel heiligt, könnte das nötige Wissen vorher bei einem Hersteller gesammelt werden, um eine Partizipation u. U. zu rechtfertigen.

Die Bewertung der Problemsituation verdeutlicht außerdem die Konsequenzen, die durch eine fehlende Auseinandersetzung mit den Arbeitsinhalten der Informatik entstehen können. Ethische Konflikte können zu persönlichen werden (auch hier schützt Unwissenheit nicht vor Strafe). Generell ist eine Auseinandersetzung mit der Frage, in welchen Dienst man seine wissenschaftliche Ausbildung stellt,
unumgänglich.

Juli 18th, 2010 | Tags: , | Category: Fallbeispiele | One comment

Fallbeispiel: Online-Banking

Sicherheitslücke bei einer Bank

Andreas ist Informatiker und Kunde der SicherBank. Er füllt mehrmals in der Woche die Überweisungsformulare auf der Webseite der SicherBank online aus. Da er dies so oft tun muss, überlegt er sich, ein Skript zu programmieren.

Mit Verwunderung entdeckt er durch einen Tippfehler bei seiner Kontonummer, dass er das Feld „Kundenkontonummer“ im Formular ganz frei wählen kann. Er probiert nun mit seinem Skript aus, welche Felder des Webformulars er mit welchen Werten belegen kann. Andreas entdeckt schnell, dass er ohne viel Mühe auf die Konten wildfremder Kunden zugreifen kann. Viele Informationen persönlicher Natur findet er dort: Kontostände, Mietzahlungen, Kreditkartendaten oder regelmäßige Zahlungen an nicht jugendfreie Anbieter im Internet.

Andreas ist kein Krimineller, er hat auch kein spezielles Wissen über das Onlinesystem der Bank. Doch er kann durch bloßes Probieren an diese Daten gelangen. Ihm wird klar, dass die Bank schlicht keine Sicherheitsbarrieren in ihr System eingebaut hat. Hat er als Kunde der Bank nach dem Einloggen eine Session-ID bekommen, kann er mit dieser einfach jede beliebige Kontonummer abfragen. Diese ID ist offenbar nicht an das Konto gebunden. 

Neugierig geworden, programmiert Andreas sein Skript derart, dass es systematisch alle möglichen Kontonummern durchtestet. Zu seinem Erstaunen funktioniert auch das.

Nun ist Andreas entsetzt, er sieht, dass er sofort handeln muss. Aber was soll er jetzt machen? Sich gleich bei der Bank melden? Ob die Techniker dort das Problem schon kennen? Sich vielleicht anonym an die Presse wenden? Sich bei der Polizei beraten lassen? Er zögert und überlegt. Er hat Angst, dass ihm dann vielleicht strafrechtliche Konsequenzen drohen würden. Er schreibt nach einiger Überlegung einen Brief an die Bank und legte den Fall genau dar. Er versicherte hierin auch, nur ganz zufällig und ohne böse Absicht an sein Wissen gelangt zu sein. Er forderte die Bank auch auf, Sicherheitsbarrieren einzubauen, damit die persönlichen Daten der Kunden in Zukunft geschützt sind.

Fragen

In diesem Szenario werden verschiedene Fragestellungen aufgeworfen. Es berührt ethische Fragen ebenso wie rechtliche Aspekte des Betrugs und des Datenschutzes.

  • Ist es ein ethisches Problem, dass Andreas zufällig an die privaten Daten fremder Menschen gelangt ist? Macht es einen Unterschied, dass er nicht sofort aufhörte, nach diesen Daten zu suchen, sondern auch noch alle möglichen Kontonummern durchprobierte?
  • Wie sieht es mit der Bank aus – hat sie eine ethische Verpflichtung, sofort zu reagieren? Ist es ein ethisches Problem, wenn sie keine genügenden Sicherheitsbarrieren in ihre Systeme einbaut? Schließlich ist Andreas kein Spezialist, konnte aber ohne viel Mühe an die Daten gelangen.
  • Wie sollte sich Andreas nach dem Finden der Sicherheitslücke verhalten, hat er überhaupt Handlungsspielraum? Hat er Handlungspflicht? Ist er verpflichtet, sich zuerst an die Bank zu wenden? Muss er nicht vielmehr sofort alle Kunden warnen, schließlich könnten böswillige Personen in der Zwischenzeit oder gar zuvor bereits an deren private Daten gelangt sein?
  • Es gibt auch andere ethische Fragestellungen: Andreas war ja von Anfang an klar, dass die Daten nicht für ihn zugänglich sein sollten. Ist es ethisch vertretbar, dass er dennoch weiterprobierte, was er alles runterladen kann? Er hat sogar bei manchen Kunden genau auf die Kontobewegungen und andere persönliche Daten geschaut, ist das richtig?
  • Muss Andreas nun der Bank sein volles Wissen über die Sicherheitslücken zugänglich machen? Soll er helfen, die Lücken zu schließen? Kann er ein Entgelt verlangen? Was soll er tun, wenn die Bank nicht reagiert? Darf er Freunden berichten, was er entdeckt hat?

Erschienen Informatik-Spektrum 33(3) 2010

Juni 26th, 2010 | Tags: | Category: Fallbeispiele | One comment

Überwachung total für Fernstudenten

Continue reading Überwachung total für Fernstudenten

Juni 26th, 2010 | Tags: | Category: Allgemein | One comment

Überwachung von Schüler-Laptops

Wir hatten kürzlich auf einen realen Fall hingewiesen, bei dem heimliche Spionagesoftware auf Schüler-Laptops installiert worden war. Insgesamt waren 1.800 Schüler an zwei High Schools betroffen, welche die Laptops in den vergangenen Monaten entliehen hatten. Die hinter dem Rücken der Kinder und Eltern aufgespielte Überwachungssoftware, die den Zweck hatte, Diebstahl aufzuklären, war immer wieder aktiviert worden.

Nun sind einige neue Details bekanntgeworden: Die Software zeichnete nicht nur tausende Fotos über die Webcams der Rechner auf, welche die Kinder auch zuhause zeigen, sondern speicherte zusätzlich besuchte Webseiten sowie Inhalte von Gesprächen per Chat. Von dem 15jährigen Blake Robbins, dessen Eltern den Fall im Februar ins Rollen gebracht hatten, wurden innerhalb von zwei Wochen mehr als vierhundert Fotos aufgenommen. philly.com hat mehr Details im Artikel von John P. Martin: 1,000s of Web cam images, suit says.

bild einer laptop-webcamBlake Robbins was photographed by a laptop while he slept in bed, his lawyer asserts. The Robbins family provided this image.

April 18th, 2010 | Tags: , | Category: Fallbeispiele | Leave a comment
« Newer Entries  
  Older Entries »