Archiv

Fallbeispiel: Sicherheitslücke bei Bewerbungen

Florian ist angehender Student der privaten Universität Elite International School. Er hat sich über das Formular auf der Webseite der Universität beworben und dabei Informationen zu seiner Person und seinem Werdegang eingetragen. Nun wartet er gespannt, ob die Bewerbung angenommen wird.

Zeitgleich bewirbt sich Julius bei einer anderen Universität, der Common Sciences University. Wie die Elite International School und andere private Universitäten, hat die Common Sciences University die Realisierung ihres Online-Bewerbungsverfahren an einen Dienstleister ausgelagert, die CreativeSoul GmbH.

Julius bezeichnet sich selbst als „Freizeit-Hacker“. Kurz nach der Bewerbung entdeckt er eine Sicherheitslücke in der Web-Applikation der CreativeSoul-Software. Er findet über diese Lücke heraus, dass er auf die Datenbank der CreativeSoul GmbH mit den Bewertungen und Ergebnissen aller Bewerber der Universitäten zugreifen kann. Damit erhält er Einblick in den Prozess der Bewertung durch die Professoren und kann noch nicht bekanntgegebene Entscheidungen über die Bewerber einsehen. Julius versucht sogar, die Ergebnisse der Entscheidungen zu manipulieren, aber aufgrund mangelnder Kenntnisse über Datenbanken kommt er hier nicht weiter.

Julius programmiert ein Skript, das sein Vorgehen zum Einsehen der CreativeSoul-Datenbankeinträge automatisch vollzieht. Es funktioniert, und er denkt sich nun, dass dieses Skript auch für andere Bewerber von Nutzen sein könnte. So kommt er auf die Idee, sein Skript in ein Internetforum zu stellen. Er überlegt sich vorher, dass es vielleicht keine gute Idee wäre, jedem Benutzer alle Datenbankeinträge zugänglich zu machen. Er modifiziert das Skript daher leicht. Nun kann man nur den Eintrag der Datenbank abfragen, dessen ID-Nummer man kennt. So kann ein Bewerber nur seinen eigenen Bewerbungsstatus abfragen, da er ja nur seine eigene Bewerbungsnummer kennt. Diese Nummer muss man eintippen, um die Abfrage mit Julius‘ Skript zu starten.

Wenn es nun jemand das Skript im Browser startet, kann er den Status der Bewerbung herausfinden. Julius hat das Skript in eine Webseite eingebaut, den Link dahin postet er ins Forum. Er macht dazu keine großen Worte, denn er möchte niemandem sagen, was er konkret programmiert hat. Für denjenigen, der auf den Link klickt, erscheint nur eine Internetseite und ein kleines Formular, das die Eingabe der Bewerbungsnummer fordert.

Als Julius am Tag darauf den Link auch noch in das gutbesuchte Uni-Forum postet, verbreitet es sich in Windeseile. Viele Bewerber versuchen noch am gleichen Tag, den Status ihrer Bewerbung einzusehen. Die CreativeSoul GmbH bemerkt die vermehrten Zugriffe und unautorisierten Lesevorgänge auf die Datenbank. Umgehend informiert die Firma die betroffenen Universitäten und deaktiviert den Zugriff auf die Datenbank vorerst vollständig.

Die Elite International School entschließt sich nach Diskussion im Kuratorium, allen Bewerbern, die versuchten, auf die Datenbank zuzugreifen, einen Zugang zu ihrer Universität zu verwehren. Die Betroffenen können anhand der Bewerbungsnummer herausgefunden werden. Deren Bewerbung wird umgehend gelöscht, die Betroffenen erhalten ein Schreiben. Das Ergebnis der Bewerbung wird hierbei nicht berücksichtigt. Die Elite International School veröffentlicht dann eine Stellungnahme und verlautbart, dass ein solches Verhalten von Bewerbern unethisch und nicht in Einklang mit den Werten der Universität zu bringen sei. Daher sei auch eine neuerliche Bewerbung der betroffenen Aspiranten nicht möglich.

Die Common Sciences University findet eine abweichende Lösung. Sie streicht zwar die Bewerbung derjenigen, die ihren Status abgefragt haben, erlaubt aber eine Wiederbewerbung nach sechs Monaten.

Florian hat Julius‘ Skript nicht benutzt. Er erhält jedoch ein Schreiben der Elite International School, in welchem ihm mitgeteilt wird, dass seine Bewerbung aufgrund eines Betrugsversuches zurückgewiesen wird. Eine neuerliche Bewerbung sei ausgeschlossen. Nach etwas Internetrecherche liest Florian über die Vorfälle und erkennt, dass er zu Unrecht beschuldigt wird. Er schreibt der Elite International School und legt dar, dass er nicht versucht hätte, seinen Status in Erfahrung zu bringen. Er mutmaßt, dass jemand zufällig oder versehentlich seine Bewerbungsnummer in das Skript eingegeben haben könnte.

Diskussionsfragen

  • Ist es ein ethisches Problem, dass Julius auf die Datenbank zugegriffen hat? Macht es einen Unterschied, dass er neben der eigenen auch andere Bewerbungen eingesehen hat?
  • Wie hätte sich Julius nach dem Finden der Sicherheitslücke verhalten sollen? Ist er verpflichtet, sich an die CreativeSoul Gmbh oder eine der Universitäten zu wenden?
  • Julius war von Anfang an klar, dass die Daten nicht zugänglich sein sollten. Ist es ethisch vertretbar, dass er das Skript schrieb und es dann veröffentlichte? Er hat zwar das Skript modifiziert, aber macht das die Sache besser?
  • Hätte Julius das Skript nicht in ein Forum gepostet, wäre es möglicherweise unentdeckt geblieben. Wäre es weniger bedenklich von Julius gewesen, das Skript nur einigen wenigen Bekannten zukommen zu lassen?
  • Ist es ein ethisches Problem, wenn die CreativeSoul GmbH keine genügenden Sicherheitsbarrieren in ihre Software einbaute?
  • Darf Florian bestraft werden? Muss die Universität aufgrund der weitreichenden Konsequenzen nicht von Fall zu Fall entscheiden?
  • Ist es nicht auch verständlich, dass Bewerber das angebotene Skript nutzen? Hätten nicht die meisten Menschen, die von dem Skript erfahren hätten, genauso gehandelt? Sollte überhaupt eine Strafe verhängt werden?

Erschienen in Informatik Spektrum 32(6), 2009, S. 552–553

November 1st, 2009 | Category: Fallbeispiele | 3 comments

Leseprobe Gewissensbisse

Buchcover GewissensbisseDer Verlag transcript hat neben einem kurzen Interview über die Gründe für unser Buchprojekt auch eine neunseitige Leseprobe (pdf) online gestellt. Wer Interesse hat, eine Buchrezension zu schreiben, kann sich gern an uns wenden oder dem Link auf der Verlagswebseite zum Leserforum folgen.

Oktober 5th, 2009 | Tags: | Category: Allgemein | Leave a comment

Verantwortung 2.0

TagungsflyerDas FIfF veranstaltet vom 13. bis 15. November 2009 seine Jahrestagung mit dem Titel Verantwortung 2.0 in Bremen. Am Programm, das sich um Themen der gesellschaftlichen Verantwortung beim Umgang mit Informations- und Kommunikationstechnik dreht, beteiligt sich auch die Arbeitsgruppe „Informatik und Ethik“ mit einem Vortrag zum Thema „Gewissensbisse oder Zivilcourage? – Ethik und Informatik in der Lehre“.

Oktober 2nd, 2009 | Tags: | Category: Allgemein | Leave a comment

Fallbeispiel: Medizinische Datensammlung

Christina B. Class, Debora Weber-Wulff

Johanna arbeitet seit einigen Jahren bei der Firma eApotheke als Datenbank­administratorin. Die eApotheke hat erfolgreich das System easyPharm auf den Markt gebracht, mit dem Ärzte die Verschreibungen gleich auf eine Chipkarte des Patienten schreiben. Die Patienten gehen zu einer beliebigen Apotheke der eApotheken-Kette und bekommen dort ihre Medikamente, ohne weitere Papiere vorlegen zu müssen. Eine mögliche Selbstbeteiligung wird direkt vom Konto eingezogen.

Um der gesetzlichen Aufbewahrungspflicht nachzukommen, speichert easyPharm alle Daten über Versicherte, Krankenkasse, Medikamente und Sozialstatus für fünf Jahre. Eines Tages stellt Johanna fest, dass von mehreren IP-Adressen, die zwar zu ihrer Firma, aber nicht zu den Rechnern des easyPharm-Systems gehören, auf die Datenbank zugegriffen wird.

Johanna geht zu ihrem Chef Ralf und fragt ihn, ob er etwas mit den IP-Adressen anfangen kann. Ralf schaut kurz auf die Liste der IP-Adressen und sagt: „Ist schon in Ordnung, kümmere Dich nicht darum.“ Danach beendet Ralf das Gespräch.

Johanna ist verwundert und beschließt am nächsten Tag, eine Log-Datei der Zugriffe einzurichten, um herauszufinden, welche Anfragen von diesen IP-Adressen kommen. Bald stellt sie fest, dass medizinische Daten zu einzelnen Patienten abgefragt werden. Durch die Daten entsteht ein ziemlich klares Krankheitsprofil der Versicherten, und zwar ohne direkten Zugang zu den Krankenblättern bei den einzelnen Ärzten.
Verunsichert erzählt sie am selben Tag ihrem Mann Walther von ihrer Entdeckung. Walther ist selbständig tätig und berichtet, dass er neulich ein Angebot bekommen habe, gegen Gebühr Krankheitsprofile für einzelne Personen anfertigen zu lassen. Dadurch könne er seine Angestellten oder zukünftige Mitarbeiter vorab auf Arbeitstauglichkeit testen.

Da Walther und Johanna unterschiedliche Nachnamen haben, beschließen sie, dass Walther bei dem Anbieter über Johanna ein Dossier anfordert. Johanna erweitert dafür ihre Log-Datei in der Datenbank, um Ausschau nach ihren eigenen Daten zu halten. In der Tat: Kaum hat Walther bezahlt, findet Johanna eine Anfrage von einer dieser IP-Adressen, die ihre Daten anfordert. Sie und Walther versuchen seit einiger Zeit, ein Kind zu bekommen, und Johanna wurde auch medikamentös wegen Depressionen behandelt. Letzteres hat sie niemandem erzählt – auch Walther nicht. Sie ist erschrocken – was soll sie nun tun?

Fragen:

  • Durfte Johanna auf eigene Faust der Sache nachgehen und eine Log-Datei für die Zugriffe einrichten?
  • Ralf hat Johanna gesagt, sie solle sich nicht um die Sache kümmern. Dennoch sammelt sie Daten und berichtet zudem ihrem Mann von ihren Entdeckungen. Verletzt Sie damit ihre Loyalitätspflicht ihrem Arbeitgeber gegenüber?
  • Ist es ein ethisches Problem, dass Walther zu Testzwecken ein Profil anfordert?
  • Wie soll Johanna weiter vorgehen? Welche Möglichkeiten hat sie?
  • easyPharm erleichtert Vorgänge in Arztpraxen und Apotheken. Dafür werden Daten vieler verschiedener Ärzte an einer weiteren zentralen Stelle gespeichert. Unter welchen Voraussetzungen dürfte ein solches System eingeführt werden? Welche Personengruppen müssten in eine Planung einbezogen werden?
Oktober 1st, 2009 | Category: Fallbeispiele | 6 comments

Fingerprint scanner in the lunch line

Wie im Szenario des Fallbeispiels Biometrie gibt es biometrische Erkennungssysteme für über 2.000 Kinder einer Schule sowie deren Lehrer und Angestellte bereits in der Realität: an der Elyria High School in Ohio. Hier erweist sich nun wie erwartet, dass ein Teil der kindlichen Benutzer nicht erkannt wird.

Schüler bei der Benutzung des über 90.000 Dollar teuren Erkennungssystems
Schüler bei der Benutzung des über 90.000 Dollar teuren Erkennungssystems

August 22nd, 2009 | Tags: | Category: Allgemein | Leave a comment

Gewissensbisse erscheint in September!

Gewissensbisse

Gewissensbisse

Unser Buch erscheint im transcript-Verlag Mitte September 2009 unter der ISBN-Nummer 978-3-8376-1221-9!

August 21st, 2009 | Category: Allgemein | 4 comments

Fallbeispiel: Biometrie

Andy ist Informatiker und arbeitet als IT-Betreuer an einer großen privaten Schule. Momentan hat er alle Hände voll zu tun, denn die Schule hat ihm den Auftrag gegeben, für die Schulmensa ein neues Bezahlsystem zu entwickeln. Mit Hilfe einer Softwarefirma, die wegen ihrer speziellen Hard- und Software hinzugezogen wurde, hat Andy das System LEO entworfen. Jetzt laufen die ersten Tests und es gibt nur wenige Probleme.
LEO wird für alle Schüler und Schülerinnen verpflichtend eingesetzt werden. Da es sich um ein biometrisches Erkennungssystem handelt, müssen die Schüler ihre Fingerabdrücke in der Schuldatenbank speichern lassen und können danach mit ihrem Zeigefinger in der Mensa bezahlen. Die Eltern bekommen dann die Rechnung automatisch von ihrem Konto abgebucht.
Einige Eltern hatten in der Schulkonferenz Bedenken gegen LEO angemeldet. Aber der Schuldirektor und Andy konnten die große Mehrheit der Eltern und Schüler hinter sich bringen. Beide stellten klar, dass die biometrischen Daten der Kinder sicher verwahrt und vor fremdem Zugriff geschützt werden werden.
Für die wenigen Eltern und Schüler, die weiterhin Einwände gegen das Bezahlsystem haben, wurde eine Kompromisslösung gefunden: Wer seine Fingerabdrücke nicht in der Schuldatenbank hinterlassen möchte, kann weiterhin mit Bargeld bezahlen, muss jedoch einen dreiprozentigen Aufschlag hinnehmen.

Kurz nach Beginn des Testlaufs in der Mensa entdeckt Andy, dass einige der Testpersonen immer wieder vom LEO zurückgewiesen werden. Er findet heraus, dass manchmal eine Neuaufnahme des Vergleichsfingerabdruckes in der Schuldatenbank Abhilfe schafft. Bei einigen wenigen Personen hilft jedoch auch das nicht, sie müssen dann bar mit dem Aufschlag bezahlen.
Nicht ohne Stolz beendet Andy die Testphase und schlägt dem Direktor vor, nach den Sommerferien alle Abdrücke der Kinder einzulesen und LEO im Regelbetrieb laufen zu lassen. So wird es auch getan. Die Fingerabdrücke sind innerhalb einer Woche eingelesen und gespeichert. LEO funktioniert in den allermeisten Fällen problemlos.

Im Januar werden in der Schule zwei teure Beamer gestohlen. Der Direktor hegt gegen einen der Schüler einen Verdacht, da er annimmt, dass nur ein Insider hätte wissen können, wo die Beamer verwahrt wurden.
Er beauftragt Andy, der Polizei alle gespeicherten Fingerabdrücke der Schüler über 14 Jahre zur Verfügung zu stellen, damit der Schuldige schnell dingfest gemacht werden kann. LEO läuft nun über ein halbes Jahr und bis auf wenige Einzelfälle haben alle Schüler ihre Fingerabdrücke in der Datenbank speichern lassen. Andy aber ist skeptisch. Er sagt dem Direktor, dass die Polizei doch gar nichts über gefundene Fingerabdrücke gesagt hätte und außerdem bisher auch nichts von der privaten Schuldatenbank mit den Abdrücken wisse. Außerdem sei mit den Eltern abgemacht, dass diese biometrischen Daten ausschließlich zur Bezahlung in der Mensa verwendet werden dürfen.

Der Direktor raunt Andy zu, dass man ja den Eltern nichts darüber sagen müsse, es gehe schließlich um schweren Diebstahl, da müsse man von früheren Abmachungen eben abweichen. Er fragt Andy sogar, ob er vielleicht den Täter decken wolle. Der Direktor sagt zudem, dass es ja auch prinzipiell nicht schaden könne, wenn die Polizei bei der Gelegenheit überprüfe, ob unter den Schülern anderweitig gesuchte Straftäter seien.

Fragen

  1. Werden Kinder, die keine qualitativ ausreichenden Fingerabdrücke in der Schuldatenbank hinterlegen können, diskriminiert?
  2. Ist es ethisch vertretbar, dass wer aus persönlicher Ablehnung das Bezahlsystem nicht benutzen möchten, dazu gezwungen wird, den Aufschlag zu zahlen?
  3. Ist es hinnehmbar, dass die Privatsphäre der Kinder verletzt wird?
  4. Ist es eine ethisch vertretbare Herangehensweise des Direktors, den Kindern den Diebstahl zu unterstellen?
  5. Wie schwerwiegend ist der Vertrauensbruch, der mit der freiwilligen Weitergabe der biometrischen Daten verbunden ist?
  6. Welchen Entscheidungsspielraum hat Andy tatsächlich?
  7. Sollen vor der Herausgabe zumindest die Eltern und Kinder unterrichtet werden?
August 1st, 2009 | Tags: , , | Category: Fallbeispiele | 6 comments

Gewissensbits – Wie würden Sie urteilen?

Im Anfang war ein Buch.

Joseph Weizenbaums „Computer Power and Reason“ (Deutsch: Die Macht der Computer und die Ohnmacht der Vernunft) hat Generationen von Informatikern und Studierenden klargemacht, dass es nicht nur um die Machbarkeit programmierter Visionen gehen kann, sondern auch um die Verantwortung der Macher für die Folgen ihres Handelns. Der GI ist es nicht immer leicht gefallen, sich der manchmal hitzigen Debatten über solche Fragen zu stellen, aber letztlich hat 1988 ein von Karl-Heinz Rödiger initiierter und vom Präsidium eingesetzter Arbeitskreis ein Diskussionspapier zur „Informatik und Verantwortung“ vorgelegt.

Der damalige GI-Präsident Roland Vollmar hat diesen Impuls aufgegriffen und in einem denkwürdigen Waldspaziergang um Schloss Dagstuhl herum die Formulierung einer ethischen Grundsatzerklärung für die GI angeregt – dem Vorbild angelsächsischer Berufsorganisationen folgend. Wiederum unter der Leitung von K.-H. Rödiger entstanden in relativ kurzer Zeit die „Ethischen Leitlinien der GI“, die 1994 in einem Abstimmungsprozess von den Mitgliedern mit überwältigender Mehrheit angenommen wurden. In der Folge entstand eine Fachgruppe „Informatik und Ethik“, welche die Leitlinien in der derzeit gültigen Form präzisierte.

Die Forderung der Leitlinien: „Die GI initiiert und fördert interdisziplinäre Diskurse zu ethischen und sozialen Problemen der Informatik“ hat sich die Fachgruppe, nun unter der Leitung von Debora Weber-Wulff, vorgenommen. Dem Vorbild der ACM folgend, wurden hypothetische, aber realistische Fälle entworfen, die als Diskussionsmaterial in der Lehre, aber auch für Berufspraktiker dienen können. Die Fälle decken ein breites Spektrum ab – von problematischen Finanzportalen bis hin zu Plagiaten in Lehre und Forschung.

Eine erste Erprobung des Diskussionsmaterials fand 2006 auf der GI-Jahrestagung in Dresden statt, eine weitere auf der FB8-Tagung „Kontrolle durch Transparenz“ in Berlin, wobei die Fälle in kleinen Gruppen von drei bis sechs Teilnehmern diskutiert wurden. Der Prozess verlief nach einem einfachen Schema. Anfangs waren sich alle Teilnehmer einig, dass es sich um eine „eigentlich ganz klare“ Entscheidungslage handelt. Nachdem diese wechselseitig dargestellt wurde, entwickelten sich schnell komplexe Widersprüche und Meinungsdifferenzen: Die geplante Diskussionszeit reichte oft nicht aus. Immer aber waren die Teilnehmer erstaunt, dass scheinbar klare Ausgangslagen zu differenzierten und differierenden Urteilen führen konnten (die nach hinreichender Aussprache meist zu gemeinsamen Lösungsansätzen führten). Auch in Lehrveranstaltungen hat sich dieses Vorgehen als produktiver Ansatz erwiesen, um die Urteilskraft der Beteiligten zu üben und zu stärken.

Um das Verfahren deutlicher darzustellen, wollen wir in den Informatik-Spektrum-Heften ab August 2009 eine Reihe solcher Fälle zur Diskussion stellen. Die Leser sind aufgefordert, sich jeweils ihr Urteil zu bilden. Spannender wird es auf jeden Fall, wenn sich mehrere Leser über einen Fall unterhalten. Interessierte, die tiefer einsteigen wollen, sind auf die Buchveröffentlichung hingewiesen.

Mai 31st, 2009 | Tags: | Category: Allgemein | 2 comments
« Newer Entries