|
|
Constanze Kurz & Rainer Rehak
Angus hat einen Bachelor in Mathematik und anschließend an einer anderen Hochschule einen Informatik-Master abgeschlossen.
Nach einiger Suche hat er an einer renommierten Universität eine drittmittel-finanzierte Doktorandenstelle gefunden, die in Kooperation mit einem großen Datenverarbeiter im Bereich Data-Mining ausgeschrieben war. Gerade Datenbanken und die Theorie dahinter hatten es ihm im Studium angetan. Insbesondere die Verknüpfung von Elementen in heterogenen Datenbanken ohne Fremdschlüssel wurden zu seinem Spezialgebiet. In seiner neuen Stelle würde es sicherlich interessant werden, seine Ideen und Implementierungen mit praktischen Daten und umfangreichen Datenmengen auf tatsächlich in derWirtschaft genutzten leistungsfähigen Großrechnern zu testen.
 Physical Virtual Infrastructure – CC BY-NC-ND delbz Die DeepKnowl AG (DKAG), der Datenverarbeiter, mit dem Angus zusammen an seinen Projekten arbeitet, speichert für Dritte Daten und sucht bei Bedarf darin auch nach Mustern oder Abhängigkeiten. Kunden der DKAG sind vornehmlich große Restaurantketten, Krankenkassen, internationale Reiseveranstalter und Mobilfunkkonzerne. Die Reputation der Firma ist tadellos, sie hat sich einen Namen damit gemacht, niemals Daten zu ,,verlieren“; ganz im Gegensatz zu manchen Konkurrenten, die zuletzt wiederholt mit Sicherheitslücken zu kämpfen hatten. Die DKAG betreibt auch eigene Rechenzentren, wo Angus nun seine Experimente auf Kundendaten durchführen kann.
Er arbeitet gerade an einem neuen Verfahren, große Datenmengen aus verschiedenen Quellen zu verketten, deren Verknüpfung in der Struktur der Daten nicht vorgesehen war und daher als recht schwierig gilt. Für seine aktuelle Methode nutzt er sehr rechenintensive statistische Verfahren, die mit den einfach strukturierten Testdaten in der Uni erstaunlich gut funktionierten. Angus nimmt nun an, dass seine Methode der Verkettung auch für echte und damit unstrukturiertere Daten gut funktionieren sollte. Jetzt möchte er diese Methode mit den Daten testen, die der Projektpartner von der DKAG ihm am nächsten Tag zugänglich machen wird.
Am Abend schaut Angus wie üblich die Nachrichten, da fällt ihm eine Meldung besonders auf. Die große und recht bekannte Firma ,,MediData GmbH“, die Krankenversicherungsdaten verarbeitet, ist überraschend in Konkurs gegangen.
Viele Arbeitsplätze sind nun bedroht. Im Bericht kommen Gewerkschaftsvertreter zu Wort, die Managementfehler anführen und Konsequenzen für die verschiedenen Standorte und Insolvenzpläne kommentieren. Eventuell gäbe es aber eine letzte Möglichkeit, all die Arbeitsplätze noch zu retten, da sich ein noch unbekannter Investor interessiert gezeigt hätte. Es soll ein Konkurrent sein, die Verhandlungen dauerten jedoch noch an.
Am nächsten Tag fährt Angus, wie so oft in den letzten Tagen, zu der DKAG-Zweigstelle, wo sich sein temporärer Arbeitsplatz befindet.
Die Projektverantwortliche der DKAG begrüßt ihn freundlich und merkt kurz an, dass er mit seinem Datenbank-Login ab heute Zugriff auf die versprochenen neuen Daten hätte und nun zeigen könne, wozu seine Verknüpfungs-Implementation in der Praxis fähig wäre. Die neuen Daten sollten testweise mit einer großen DKAG-eigenen, verteilten Datenbank verkettet werden.
Als er die riesige Datenbank initial inspiziert, merkt Angus, dass es sich um elektronische Gesundheitsdaten handelt. Es tritt ihm kalter Schweiß auf die Stirn als ihm klar wird, dass er mit den Daten der insolventen Firma MediData arbeitet und wovon es abhängen wird, ob der ,,unbekannte Investor“ die MediData GmbH retten würde.
Fragen
- Ist es sinnvoll, neue Informatikmethoden von Universitäten direkt mit tatsächlichen Daten in der freien Wirtschaft zu testen?
- Wie kann er testen, ob seine Methode bei echten Daten wirklich funktioniert?
- Darf Angus die Daten, mit denen er arbeitet, inhaltlich bewerten?
- Muss sich Angus gar dafür interessieren, mit welchen Daten er inhaltlich arbeitet?
- Hat Angus eine Handlungspflicht, nachdem er Kenntnis erlangt, dass er mit Daten arbeitet, die der insolventen Firma MediData GmbH anvertraut worden sind? Wenn ja, wie sollte er handeln? Soll er die Daten der MediData GmbH mit denen der DKAG verknüpfen?
- Ändert sich dadurch etwas, dass Angus noch in der Probezeit ist? Sollte er in seine Überlegungen einbeziehen, dass seine Karrierelaufbahn einen Knick bekommen könnte?
- Ist es vertretbar, dass er seine noch experimentelle Methode nun unbedingt erfolgreich umsetzen muss, um möglichst gute Verknüpfungen zu erzeugen und so vielleicht die Arbeitsplätze zu retten?
- Sollte Angus eine Vertrauensperson der Universität oder der DKAG hinzuzuziehen?
- Sollte sich Angus an die Öffentlichkeit wenden, als ihm klar wird, dass hier gerade ausgesprochen sensible Daten von Menschen im Rahmen einer Insolvenz weitergegeben und neu verknüpft werden?
- Darf sich Angus dabei anmaßen, selbst zu entscheiden, was von öffentlichem Interesse ist und was nicht?
Erschienen Informatik-Spektrum, 38 (5), 2015, S. 429-430
Steven Strehl & Stefan Ullrich
Sertaç arbeitet als studentische Hilfskraft in dem kleinen inhabergeführten Unternehmen MediHaus, das rezeptfreie Arzneimittel vertreibt. Das Unternehmen hat sich auf die kurzfristige Lieferung von Medikamenten per Fahrradkurier spezialisiert. Der Dienst wird vor allem am Abend und am Wochenende stark genutzt. Seine Chefin lotet derzeit die Möglichkeit aus, zusätzlich verschreibungspflichtige Medikamente zustellen zu können. Dabei soll mit Firmen kooperiert werden, die »virtuelle Sprechstunden« anbieten, um auch an Wochenenden, wenn die meisten Hausarztpraxen geschlossen sind, Rezepte ausstellen lassen zu können und die Medikamente noch am selben Tag mit einem hohen Aufschlag zu liefern.
MediHaus teilt sich ein Großraumbüro mit dem Investoren-finanzierten Start-Up DocTermin, das Arzttermine über ein Online-Formular vermittelt. So wird die Arbeit der Sprechstundenhilfen in den Praxen erleichtert und Patienten können sich selbst einen freien Termin suchen. Ein weiteres Verkaufsargument ist, dass Sprechstunden gleichmäßiger ausgelastet werden können als über den telefonischen Weg. Martina kümmert sich als Teamleiterin um das fünfköpfige Support-Team. Hier rufen vor allem Menschen an, die Ihren Arzttermin absagen möchten, weil das online nicht möglich ist. Ihre Kernaufgabe ist jedoch die telefonische Betreuung der praktizierenden Ärzte und Sprechstundenhilfen, also der Kunden und deren Beratung.
Beide Firmen vereinbarten jüngst eine Werbepartnerschaft und so bekommt MediHaus tatsächlich von DocTermin ein paar Patienten vermittelt, die sich entschieden haben, über solche Dienste informiert zu werden. Auch informell kooperieren beide Firmen: Martina und Sertaç trinken häufig zusammen Kaffee im Innenhof des Bürokomplexes, der früher eine Fabrik war. Durch die Kooperationsvereinbarung bekommen die beiden Mitarbeiter viel von der Arbeit des anderen mit, zudem liegen ihre Arbeitsplätze im Großraumbüro direkt gegenüber. Sertaç trägt in der Regel Kopfhörer und hört Musik, um nicht durch Martinas Telefonate von der Arbeit abgelenkt zu werden.
Eines Abends, eigentlich schon längst im Feierabend, hört Sertaç durch Zufall aber doch ein Telefonat mit. Er hatte die Musik schon ausgemacht, die Kopfhörer aber noch nicht abgesetzt. Martina scheint in einem Gespräch mit einem Facharzt zu sein, der von den Vorteilen der Software nicht vollständig überzeugt zu sein scheint. Dann kommt ein Gesprächsfetzen, der Sertaç verwundert: »Wir haben natürlich auch die Möglichkeit, unseren Premiumkunden exklusive Termine anzubieten, die zeitnah sind. Sie können auch bestimmte Tage für Kassenpatienten blocken. Diese werden dann als interne Weiterbildungstage angezeigt oder einfach, als gäbe es keinen freien Termin mehr. Je mehr Premiumkunden Ihre Praxis hat, desto niedriger fällt Ihre monatliche Lizenzgebühr aus. Darüber hinaus speichern wir, welche Patienten oft kurzfristig Termine absagen und so Probleme verursachen.« Premiumkunden sind solche, die einwilligen, dass Ihre Daten auch zu anderen als den angegebenen Zwecken verwendet werden dürfen. Den Vorwurf, dass Ärzte privat versicherte Menschen nicht so lange warten lassen wie Kassenpatienten, kennt Sertaç schon. Aber dass die Patientenliste, die MediHaus von DocTermin bekommt, so zustandegekommen ist, findet er erschreckend. Gleichzeitig kommt er sich blauäugig vor, da es ja nahe liegt, alle Informationen, die über Patienten gespeichert werden, auch gewinnbringend zu nutzen.
So richtig mag er aber nicht glauben, was er sich aus dem mitgehörten Gespräch zusammengereimt hat. Für ihn steht demnächst ein Besuch beim Orthopäden an. Den Termin hatte er über DocTermin gebucht. Wartezeit: fast sieben Wochen. Aus Neugier legt er sich einen neuen Account bei DocTermin unter einem anderen Namen und mit einer anderen E-Mail-Adresse an und gibt vor, privat versichert sowie »interessiert an besonderen Gesundheitsangeboten unserer Partner« zu sein. Dann sucht er seine Orthopädin im Verzeichnis heraus und versucht, einen Termin zu buchen. Was er in der Auswahlmaske sieht, ist unglaublich: in der nächsten Woche sind noch drei Termine frei. Ihm fällt es schwer zu glauben, dass diese Termin kurzfristig frei geworden sind. Irritiert bucht er einen der Termin und erhält Sekunden später eine Bestätigungsmail in seinem elektronischen Postfach. Ist es wirklich so, dass diese Praktiken im Büro schon immer Usus waren und er nichts davon mitbekommen hat?
Zu allem Überfluss sieht Sertaç, dass die Software auch noch schlampig programmiert wurde: Als er sich wieder mit den Login-Daten seines eigentlichen Accounts einwählt, bleibt er Premiumkunde. Anstatt aus einer Datenbank wird diese Information ganz offensichtlich lediglich aus einem Browser-Cookie ausgelesen. Ein kurzer Blick in die Patientenliste, die MediHaus von DocTermin bekommt, verschafft ihm Gewissheit. Auch die E-Mail-Adresse, die er für seinen echten Account angegeben hatte, taucht nun auf, obwohl er für diesen die entsprechende Checkbox nicht angeklickt hatte. Da Martina immer noch telefoniert, beschließt er, sie am nächsten Tag darauf anzusprechen. Er nickt ihr zum Abschied zu, sie erwidert seinen Gruß.
Am nächsten Morgen fragt Sertaç Martina über ihre Meinung zu Premiumkunden und dem entdeckten Softwarefehler. Sie lächelt und sieht gleichzeitig unzufrieden aus, als sie ihm erzählt, dass es diesen Service seit dem letzten Treffen mit den Investoren gibt. Sie trinkt ihren Becher leer: »Und außerdem machen wir ja nichts, was nicht eh schon Praxis ist. Den Bug kann man ja schnell fixen. Übrigens hast du gegen unsere AGB verstoßen! Man muss sich mit dem Namen anmelden, auf den man bei der Krankenkasse versichert ist. Wir zeigen eigentlich Leute an, die wir bei solchen Dingen ertappen. Betrug und so…« Dann geht sie zurück an den Arbeitsplatz.
Fragen
- Inwiefern hat MediHaus moralische Verpflichtungen, wenn sie Patientenlisten von Partnern kauft?
- Sertaç blickt einfach so in die Patientenliste seines Arbeitgebers. Was hätten die Software-Entwickler machen sollen, um so etwas zu erschweren?
- Sertaç hat einen Softwarefehler entdeckt, hat dafür aber gegen die Allgemeinen Nutzungsbedingungen verstoßen. Wie ordnen Sie das moralisch ein?
- Stellt es ein moralisches Problem dar, dass die Lizenzgebühr von der Anzahl der Premiumpatienten abhängt? Welche Verpflichtung haben die teilnehmenden Arztpraxen?
- Verändert sich die moralische Bewertung, wenn DocTermin von nun an einen Teil des Gewinns an eine Organisation spendet, die sich für die medizinische Versorgung von Menschen ohne Krankenversicherung einsetzt?
- Sollte Sertaç als Informatiker mit Gespür für Ungerechtigkeiten seine Beobachtungen zum Anlass nehmen, die Daten einer NGO oder Journalisten zuzuspielen?
- Soll Martina ihre Vorgesetzten informieren, dass ihr Geschäftsmodell von der Nachbarsfirma so kritisch gesehen wird?
- Wer würde die Verantwortung dafür tragen, wenn Sertaçs medizinischen Daten nach seinen Untersuchungen eventuell schon für andere Zwecke ausgewertet oder sogar an Dritte weitergegeben würden, ohne dass er dafür je sein Einverständnis gegeben hatte?
- Ist es aus IT-Sicht aufwändig, wenn Patienten ihre Termine kurzfristig absagen? Ist es anderweitig problematisch/schwierig?
- Sollten Softwarefirmen „interne“ Bewertungen wie „Premiumkunde“, oder „Kunde der oft Termine ändert“ für sich behalten dürfen?
Erschienen im Informatik Spektrum 39(4), 2016, S. 336–337
2024 (.inf)
2023 (.inf)
Bis 2022 werden die Gewissensbits im Informatik Spektrum veröffentlicht. Seit 2023 in .inf Das Informatik-Magazin.
2022 (Band 45)
2021 (Band 44)
2020 (Band 43)
2019 (Band 42)
2018 (Band 41)
2017 (Band 40)
2016 (Band 39)
2015 (Band 38)
2014 (Band 37)
2013 (Band 36)
2012 (Band 35)
2011 (Band 34)
2010 (Band 33)
2009 (Band 32)
B1: Buch 1, Gewissensbisse – Fallbeispiele zu Informatik und Ethik. Biometrie – Datenschutz – geistiges Eigentum. Mit Christina Class, Wolfgang Coy, Constanze Kurz und David Zellhöfer. Transkript Verlag : Bielefeld. 2009. ISBN 978-3-8376-1221-9
B2: Buch 2 (in Arbeit)
Christina B. Class & Debora Weber-Wulff
Die Firma AlgoConsult entwickelt hochspezialisierte Verfahren für verschiedenste Anwendungsbereiche. Aus Marketing-Gründen werden sie gegenüber Kunden und zunehmend auch hausintern ‘Algorithmen’ genannt, auch wenn dies eher Etikettenschwindel ist.
Im Projekt „CompanyRate“ wird für Investoren im Bankensektor ein Ratingsystem für in Deutschland tätige Unternehmen erstellt. Der Index soll zukünftige Investmententscheidungen erleichtern. Eine erste Version wurde im letzten Monat einigen ausgewählten Beta-Kunden vorgestellt und die ersten Rückmeldungen sind sehr positiv.
Um das Rating zu erstellen, werden verschiedene Ansätze des maschinellen Lernens kombiniert. Die Menge der Einflussfaktoren ist sehr groß, neben Börsenkursen und aktuellen Marktinformationen werden u.a. Daten über bekannte Werbebudgets, Medienpräsenz, Messebeteiligungen, Marktanteil, etc. herangezogen. Die verwendeten Algorithmen und Einflussfaktoren werden von AlgoConsult streng geheim gehalten, auch um eine Manipulation des „CompanyRate“-Index zu verhindern, wie AlgoConsult auf ihrer Projektwebseite anpreist.
Alle Projektteilnehmer werden daher unter den Mitarbeitern, die schon mindestens ein Jahr bei AlgoConsult tätig sind, sorgfältig ausgewählt und müssen für das Projekt spezifische NDAs, non-disclosure agreements, unterschreiben. Auch dürfen sie privat nicht in indizierte Firmen investieren oder in Fonds, in denen diese Firmen einen großen Anteil im Portfolio haben. Dafür werden die Software-Analysten sehr gut bezahlt.
Achim ist stolzes Mitglied im Kernteam von „CompanyRate“, das für den Index zuständig ist. Er verabschiedet sich von seinem Kollegen Martin in die Mittagspause. Obwohl sie eigentlich immer zusammen beim Japaner oder Mexikaner im Erdgeschoss des Hochhauses essen, sagt Martin, dass er heute etwas von zu Hause mitgebracht hat. Am Fahrstuhl, der sich nur mit Passierkarte öffnen lässt, stellt Achim fest, dass sein Portemonnaie noch im Regenmantel steckt. Er geht zurück zum Büro.
Als er an der Tür steht, hört er, wie Martin, sonst sehr ruhig, aufgeregt telefoniert. Es ist keiner im Flur und so bleibt Achim neugierig stehen und lauscht verstohlen. Er meint herauszuhören, dass Martin mit jemandem bei PFC telefoniert, „People’s Fruit Company“. Trotz amerikanischem Namen handelt es sich um eine deutsche Firma, die im Index geführt wird. Achim räuspert sich und geht ins Büro. Martin legt schnell auf. „Meine Mutter, jeden Tag muss sie mich wegen irgendwas anrufen,“ lacht Martin nervös. Achim holt sein Portemonnaie und trifft sich mit den Kollegen einer anderen Abteilung wie gewohnt zum Essen, aber er kann sich auf die Gespräche nicht so recht konzentrieren.
Obwohl es eigentlich eine ruhige Phase im Projekt ist, da der Index gerade bei einigen Beta-Kunden ausprobiert wird, ist Martin am Nachmittag ungewöhnlich konzentriert und beschäftigt. Noch nicht einmal für den Nachmittagskaffee scheint er Zeit zu haben. Er ist auch immer noch am arbeiten als Achim nach Hause fährt.
Am nächsten Morgen stellt Achim fest, dass Martin am Abend zuvor viel Code eingecheckt hat, der über Nacht erfolgreich durch die Test-Suite gelaufen ist. „Meine Güte, Martin war aber fleißig denkt Achim, als er die Logs ansieht. Lauter Dokumentationen in den verschiedensten Ecken des Systems, das wird den Chef freuen. Achim lässt sich ein paar Programmänderungen, die alle wie üblich kommentiert sind, anzeigen, um zu sehen, ob die geänderten Dokumentationen wirklich korrekt sind.
Bei der dritten Änderung stutzt Achim. Da wurde auch etwas an den Formeln geändert. Neu wird ein Wert bizarrer weise von einer Datei in der Cloud gelesen, statt wie zuvor errechnet zu werden. Bei genauerer Betrachtung stellt er fest, dass der Wert der Cloud nur in Fällen, die ziemlich genau auf die PFC zutreffen, verwendet wird.
Jetzt ist Achim unsicher, was er tun soll. Gerade letzte Woche wurde Anne fristlos entlassen, obwohl sie eine hervorragende Programmiererin ist. Sie wirkte seit einigen Wochen ziemlich bekümmert und hatte sich beim Chef einen Termin geben lassen. Nach dem Gespräch wurde die vom Sicherheitsdienst an ihren Schreibtisch eskortiert, um ihre Sachen zu holen, und aus des Gebäude begleitet. Das war ziemlich schockierend für das Team. Aber um nicht in irgendwas hineingezogen zu werden, haben alle weitergemacht und so getan, als sei nichts passiert.
Am Abend hatte Achim mehrfach versucht, Anne zu erreichen, aber sie drückte ihn immer weg. Er war sogar am Wochenende vorbeigefahren und hat draußen vor Annes Wohnung gestanden, bis sie zum Einkaufen rauskam. Als sie ihn sah, zischte sie nur „Geh bitte weg, ich kann nicht reden!“.
Achim ist sehr verunsichert. Er kennt Anne schon vom Studium. Sie ist hochbegabt und sehr ehrlich. Er kann sich nicht wirklich vorstellen, dass sie gegen die NDAs verstoßen hat oder irgendetwas getan haben soll, was AlgoConsult schaden könnte. Ob das Rating-System evtl. auch an anderer Stelle manipuliert wurde und sie das gemeldet hatte? Soll er riskieren, mit seinem Chef über seine Beobachtungen zu sprechen? Soll er wirklich den gut bezahlen Job auf’s Spiel setzen? Als er ins Auto steigt, läuft gerade eine Wiederholung des Wirtschaftsprogramms eines lokalen Senders. Der Pressesprecher einer Investor-Gruppe erzählt in einem Interview, dass sie nun eine Software basierend auf künstlicher Intelligenz entwickeln, um Kleinanleger gute Anlagemöglichkeiten aufzuzeigen und diese bei Investitionsentscheidungen zu unterstützen.
Was soll Achim tun?
Fragen
- Gibt es irgendeinen Grund, der rechtfertigt, warum Achim das Gespräch von Martin mithörte?
- Wie sicher kann sich Achim sein, dass Martin mit PFC telefoniert hat? Spielt das für den vorliegenden Fall eine Rolle?
- Ist es in Ordnung, dass Achim mit Hilfe der Programmänderungen Martins Arbeit genauer unter die Lupe nimmt? Wie weit darf so eine „Kontrolle“ gehen?
- Wie ist zu beurteilen, dass Martin so viele Änderungen und Ergänzungen der internen Programmdokumentation generiert hat, um seine Änderung der Berechnung zu „verschleiern“? Besteht die Möglichkeit, dass Martin die Kommentare zu den Änderungen einfach mit copy-paste eingetragen hat? Wie zuverlässig sind solche Kommentare? Wie wichtig ist es, Programmänderungen präzise zu dokumentieren?
- Kann Achim davon ausgehen, dass diese Änderung mit der Absicht geschah, PFC zu bevorteilen?
- Ist es möglich, dass der Chef über die Änderungen Martins informiert ist und ihn evtl. sogar angewiesen hat, diese vorzunehmen?
- Ist es für die Achim relevant, dass Anne anscheinend gefeuert wurde und jetzt nicht mehr darüber sprechen mag?
- Soll man generell an Softwaresystemen arbeiten, die mit einem non-disclosure-Agreement behaftet sind?
- Rating- und Matching-Algorithmen können das Kerngeschäft und einen zentralen Vermögenswert einer Firma ausmachen. Oft werden diese Algorithmen und Einflussfaktoren daher geheim gehalten. Aus ökonomischer Sicht verständlich, aber wie abhängig werden die Benutzer dann von den Algorithmen? Welche Manipulationsmöglichkeiten ergeben sich? Welche Gefahren können sich daraus nicht nur für den einzelnen Benutzer, sondern für Wirtschaftssysteme oder Gesellschaften ergeben?
Erschienen in Informatik-Spektrum, 39 (3) 2016, S. 247-248
Manchmal ist die ablehnende Antwort auf eine Anfrage nach dem Informationsfreiheitsgesetz so inakzeptabel, dass man das nicht auf sich sitzenlassen kann. Nach dem Informationsfreiheitsgesetz (IFG), das im Jahr 2006 in Kraft trat, besteht ein Anspruch auf Zugang zu amtlichen Informationen für jedermann. Ohne Begründung kann jeder Einsicht in Behördenakten verlangen. Die Informationsfreiheit ist in Deutschland aber auch ein Grundrecht aus Artikel 5 Abs. 1 Grundgesetz.
In den letzten Jahren ist eine Entwicklung zu beobachten, die Ausnahmen des IFG weit auszulegen und insbesondere im Bereich der Polizeibehörden, Geheimdienste und der dafür zuständigen Ministerien mit phrasenhaften Verweisen auf die nationale Sicherheit abzulehnen. Häufig wird bei IFG-Anfragen in diesen Bereichen nicht mehr preisgegeben als unbedingt nötig ist oder gleich jegliche Auskunft verweigert.
Die hier gemeinte Anfrage, die von Rainer Rehak gestellt wurde, bezieht sich auf die Rigaer Straße in Berlin als sogenannter „kriminalitätsbelasteter Ort“ nach dem Berliner Allgemeinen Sicherheits- und Ordnungsgesetz (ASOG). Die Berliner Polizei hat die Anfrage nach Informationen, ob und warum die Rigaer Straße und damit ein Teil des Nordkiezes in Berlin-Friedrichshain als „kriminalitätsbelasteter Ort“ eingestuft wird, im März abgelehnt (pdf) und mit der folgenden Begründung beschieden, nämlich dass…
…staatliches Handeln, insbesondere polizeiliches Handeln […] nicht kalkulierbar oder voraussehbar sein
dürfen. Wenn dieses Handeln kalkulierbar und voraussehbar wäre und man die „Einsatzkonzeption Rigaer Straße“ herausgebe, könnte…
…die gesetzlich übertragene Aufgabe der Gefahrenabwehr und der vorbeugenden Strafverfolgung (sic) nicht mehr erfüllt werden.
Es geht dabei um erhebliche Einschränkungen von Grund- und Bürgerrechten in der Rigaer Straße. Im Juni war dort das Haus mit der Nummer 94 zudem unrechtmäßig teilgeräumt worden, was im beginnenden Wahlkampf zu anhaltenden politischen Scharmützeln führt, da der Berliner Innensenator Frank Henkel (CDU) dafür die Verantwortung trägt.
Das FIfF bittet um Unterstützung
Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V. (FIfF) klagt nun gegen die Informationsverweigerung und bittet gleichzeitig um Spenden für die Finanzierung des Rechtsstreits. Das FIfF schreibt in seiner Mitteilung:
Wenn jedoch nur IFG-Anfragen nach dem Kaffeeverbrauch von Ministerien beantwortet werden, nicht aber nach tatsächlich relevanten Dokumenten staatlichen Handelns, dann wird der Kern dieser Gesetze konterkariert.
Wer sich beteiligen möchte, kann hier spenden.
Die Washington Post widmet sich in einem längeren Artikel Fragen des wissenschaftlichen Fehlverhaltens und der Sicht von Studenten auf Grundregeln wissenschaftlichen Arbeitens.
 Seit der Diskussion um Donald Trumps Gattin Melania Trump und ihre Rede beim Nominierungsparteitag der Republikaner, die in Teilen von einer Rede von Michelle Obama abgekupfert war, wird in den Vereinigten Staaten Plagiarismus wieder öffentlich diskutiert. Argumentativ erinnern viele Wortmeldungen an die deutsche Diskussion um die Plagiate in den Doktorarbeiten von Bildungsministerin Annette Schavan und Verteidigungsministerin Ursula von der Leyen, obwohl natürlich eine politische Rede nicht mit einer akademischen Qualifizierungsarbeit zu vergleichen ist. Denn selbstverständlich ist von angehenden Promovierten ein anderes Wissen darum zu erwarten, wie man wissenschaftlich sauber arbeitet.
Nur die allgemeine Berlusconisierung in der Politik verbindet die Diskussionen wohl. Melania Trumps Rede hat immerhin das Gespräch über betrügerische Energien und Verlogenheit geweckt. Die Kontroverse hat auch einen sehenswerten kreativen Ausschlag der US-Cartoonisten ausgelöst, die mit Spott nicht sparen.
Die WaPo nimmt nun aber Osteuropa in den Blick und schreibt über das Denken und Verhalten bei westlichen Studenten gegenüber Studenten des ehemaligen Ostblocks, wenn es um Plagiieren, Betrügen und Kopieren geht. Es ist schließlich kein deutsches Phänomen, dass nur hierzulande Politiker mit gefälschten Arbeiten auffliegen, wie zwei dreiste Plagiatsfälle in der rumänischen Spitzenpolitik zeigen.
Unabhängig davon, ob man den Argumenten in der WaPo folgen möchte, wonach die Unterschiede bei der Wahrnehmung von Plagiaten und Betrügereien auf das politische System und die verschiedenen Werteordnungen zwischen den einst real existierenden Kapitalismus- und Sozialismus-Varianten zurückzuführen sei, werden eine ganze Reihe an internationalen Studienergebnissen zusammengetragen:
Im Jahr 2002 verglichen Forscher US-amerikanische mit russischen Studenten. 64 Prozent der Russen gaben zu, schon mal betrogen zu haben. Zum Vergleich: Bei den US-Studenten waren es 55 Prozent. Für tschechische Befragte war die Signifikanz einer späteren Studie höher: 44,8 Prozent gegenüber nur 14,1 Prozent bei ihren US-amerikanischen Altersgenossen gaben zu, schon mal von jemandem kopiert oder abgeschrieben zu haben. Bei kroatischen Studenten gaben 20 Prozent an, dass Täuschen bei Prüfungen schon irgendwie statthaft sei, wohingegen britische Studenten das nur zu 7 Prozent so sahen.
Ein weiterer Vergleich zwischen ukrainischen und US-amerikanischen Studenten: Untersucht wurde beispielsweise, wie häufig sie betrogen und wie ihre Sicht auf Mogeleien und Täuschungen ist. Insgesamt gab es auch hier signifikante Unterschiede: Auf einer Art Mogel-Skala von 1 („nie“) bis 5 („täglich“) kamen die US-Studenten auf einen Wert von 1,3, die aus der Ukraine auf 2,38. Gleichzeitig hielten mehr US-Studenten Betrügen auch für ein falsches Verhalten. Man hatte den Studenten sechs verschiedene Arten von Täuschungen vorgegeben, die allesamt von den ukrainischen Studenten als weniger falsch eingestuft wurden als das die US-Studenten einschätzten. Zugleich wurden alle sechs Täuschungsarten auf der ukrainischen Seite auch häufiger angewendet.
Allerdings könnte das auch der Grund für die niedrigeren Werte bei der Angabe über Betrügereien sein:
If U.S. students believe plagiarism and cheating to be worse than students in post-Communist Europe do, they might underreport having done so. Instead of revealing that cheating is more prevalent in Eastern Europe, these studies may simply be telling us only that it’s less embarrassing to admit.
Gründe für das studentische Plagiieren könnten auch natürlich darin liegen, nicht genau zu wissen, was ein Plagiat ist. In den angegebenen Studien spielt die Frage, welches Wissen die Studenten über Grundregeln wissenschaftlichen Arbeitens haben, keine große Rolle, da die abgefragten Arten der Täuschungen sehr einfach als wissentliches Betrügen zu klassifizieren sind.
Es gibt im Artikel auch ein kleines Fallbeispiel zu betrügerischem Verhalten:
Here’s the hypothetical scenario: Two of them cheated during an exam. Student A copied answers from Student B, with B’s consent. Student C reported this to the department.
Wie schätzen wohl russische und US-amerikanische Studenten das Verhalten von A, B und C ein? Nicht gleich hinklicken, sondern erst Vermutungen anstellen, wie neben A und B der „Informant“ C bewertet wird und warum.
Bei der Gelegenheit legen wir nochmal unser Fallbeispiel über Betrug und Plagiat ans Herz.
Bildlizenz: CC BY-ND 2.0, disneyabc.
Rainer Rehak & Stefan Ullrich
Tim kann man wohl landläufig als ,,politisch interessierten Techie“ bezeichnen. Er studierte technische Informatik an der Hochschule in seiner Heimatstadt und verbrachte auch privat viel Zeit am Gerät. Nach einem Kurs zu IT-Sicherheit hatte eine Dozentin ihn auf einen großen jährlichen ,,Hackerkongress“ hingewiesen und prompt war er ohne viel nachzudenken einfach so mit einem Kommilitonen hingefahren.
Er besuchte allerlei interessante, verstörende und skurrile Vorträge. Ein Vortrag hatte ihn besonders beeindruckt. Es ging um einen Hack, wobei hunderttausende Passwörter veröffentlicht worden waren. Da bauten die besten Techniker und Technikerinnen die sichersten Computersysteme, die Tim jemals gesehen hatte und die Leute verwendeten ,,12345“, ,,password“ oder gar ,,changeme“ um ihre Daten zu schützen. Das war für ihn unfassbar, aber traurige Realität. An diesem Abend besuchte er einen Workshop zu funkbasierten Smartcards, dabei ging es um das Auslesen, Analysieren und überhaupt Verstehen dieser bald allgegenwärtigen Minisysteme. Die Workshopleiterin namens Juliane beantwortete alle seine Fragen und war selbst nachwie vor begeistert von dieser Technik.
 Cartes 2012 – CC BY-NC Pierre Metivier Gegen Ende des Workshops fiel ihm ein, dass er ja die so genannte ,,Multikarte“ seiner Hochschule dabei hatte. Wie zu erwarten war, sendete die Karte nur eine ID undwartete auf eine irgendwie geartete Authentifizierung, bei willkürlichen Eingaben folgte wenig überraschend Kauderwelsch. Er probierte alles Mögliche aus, was er so in seinenVorlesungen gelernt hatte, aber nichts klärte sich. Als die letzte Workshopteilnehmerin gegangen war, kam Juliane zu ihm und sie diskutierten über die vorliegende Situation. BeimHerumflachsen über Sicherheitsproblematiken und -fallstricke war es schließlich Juliane, die ihn an den Vortrag des Hackerkongresses erinnerte. Tim legte seine ,,Multikarte“ wieder auf das Lesegerät, aktivierte die einfachste aller Authentifizierungsarten und gab als Passwort den Hersteller-Standard ,,changeme“ ein – bingo! Nun gab die Karte bereitwillig Auskunft über Bezahlvorgänge, Aufladedaten und auch über den Kontostand. Scheinbar war die günstigste aller Lösungen ohne Schattenkonten oder andere Sicherungsmaßnahmen verwendet worden, ein sicherheitstechnischer Alptraum!
Er rief seinen Kommilitonen herbei, der auch so eine Karte verwendete, und auch dort waren die Informationen mit diesem Passwort einfach auslesbar, kopierbar und änderbar. Den ganzen Abend dachte er darüber nach,welche Systeme um ihn herum wohl ebenso unsicher waren. Türschlösser, EC-Karten, Herzschrittmacher, Kinderspielzeug, Spielzeugdrohnen – das Internet der angreifbaren Dinge. Sollte er den ,,Fehler“ nun der Herstellerfirma melden, sich bei der Hochschule beschweren oder erst mal ein paar kostenlose Essen vertilgen? Dann dachte er daran, dass man mit der Multicard auch Kopien und Scans in der Bibliothek bezahlen konnte. Die Digitalisierung eines Buches kostet um die 30 Euro, das würde sich durchaus lohnen.
Je mehr Tim über die Möglichkeiten nachdachte, desto eher kamen ihm auch soziale Projekte in den Sinn. Im Winter könnte man Schlüsselkarten an umliegende Obdachlose verteilen oder Mensakarten an weniger bemittelte Kommilitonen. Aber wie würden die Angesprochenen reagieren? Er war unentschlossen und fragte im privaten Forum seiner Studienkollegen nach Handlungsoptionen.
Am Morgen des nächsten Tage hatte er ein paar neue E-Mails im Postfach. Sein Kommilitone berichtete in einer E-Mail von vielen interessanten Gesprächen über diese Entdeckung, die er mit allerlei Leutenauch inanderen Foren geführt hatte, ein paar Spam-Mails waren dabei und dann eine E-Mail mit merkwürdigem Betreff und Absender. Da schrieb jemand, dass er großes Interesse daran hatte, dass dieser Fehler nicht behoben und auf gar keinen Fall an die Öffentlichkeit kommen sollte. Dieses Schweigen würde auch großzügig bezahlt werden. Zusätzlich war die Person auch an weiteren ,,Fehlern“ des Abrechnungskartensystems interessiert. Bedroht kam er sich nicht vor, aber seltsam war das doch. Er überlegte, was das nun eigentlich bedeutete.
Fragen
- Sollte Tim seinen Mitstudierenden aus wirtschaftlich schwachen Familien helfen, indem er das Guthaben ihrer Mensakarte auflädt?
- Welche Verantwortung trägt die Betreiberfirma der Mensa, die ein solches unsicheres Passwort eingesetzt hat?
- Macht es einen moralischen Unterschied, ob der Unbekannte sich als ein Hacktivist für sozial minderbemittelte herausstellt oder als Mitarbeiter der Herstellerfirma oder gar als Geheimdienstzuarbeiter?
- Welche Anreize setzt es, wenn ein Akteur Geld für Sicherheitslücken bietet?
- Machen sich die Mitglieder des privaten Forums mitschuldig, wenn sie von einer solchen Geschichte erfahren, aber nichts unternehmen?
- Hätten die Vortragenden des ,,Hackerkongresses“ nicht ihrerseits die Sicherheitslücken bereits dem Hersteller melden und somit beseitigen können?
- Würde es einen (moralischen) Unterschied machen, wenn die Schwachstelle nur durch aufwändige Verfahren (Ablösen des Chips, Betrachtung unter Elektronenmikroskop etc.) auffindbar gewesen wäre?
Erschienen im Informatik Spektrum 39(2), 2016, S. 166–167.
Thomas Kittel, Carsten Trinitis
A Bavarian company that develops camera systems and software for video surveillance in public places is expanding its product’s functionality to include the precise localization of various sounds (for example, gunshots) using multiple microphones. A record is made of all the data captured by the microphones.
The data collected is of such high quality that individual conversations can be easily extracted. So now it’s possible in real-time to use facial recognition posted in a Facebook search to identify who is in a surveillance video and to extract what that person is saying automatically.
Even though company employees are fully aware of the implications for the privacy of people being observed, they consider it an essential crime-fighting tool because they believe it will deter would-be criminals who come within viewing range of the cameras.
So that’s why they’re marketing the product as a video security system.
As an employee, Bernd knows that this new technology not only stores people’s movement profiles but also saves their conversations for thirty days. But he simply can’t imagine why anyone would abuse this data for nefarious purposes. Besides, he thinks the company is so small that no one would be interested in the data they collect anyway.
Plus, the budget for the system is limited, so he decides to set up the servers and databanks for storing all this sensitive data himself without knowing enough about data security to do this.
After an eighteen-month test phase at two centrally located public squares and in the city’s public transportation system, the audio-visual surveillance system is slated for city-wide installation.
Politicians and business executives speak in terms of a crucial system that’s already reduced the city’s crime rate and can now reduce it even further with this new technology (“Our success rate speaks for itself!”). Many residents were initially skeptical because it meant that their every move would be caught on tape, and now even their conversations would be recorded (and saved). Still, most of them quickly got used to it and now feel comfortable (and safe) with the system.
One balmy summer evening after the test period had run, two foreign correspondents ride a bus through the city center as tourists. Through the bus window, they witness a man stumble backward out of a bar and into the street. Behind him, two other stockily built individuals follow and attack the man lying on the ground. The journalists also watch as bystanders retreat rather than intervene and stand idly by at a safe distance as the offenders continue to beat the victim bloody as he is lying on the ground. Peter is among the locals passing by: he just assumes that the perpetrators will be easily identified and apprehended with the help of the audio and video recordings, so he figures there’s no need to risk his own life by getting involved.
Meanwhile, the out-of-town journalists urge the driver to call in an emergency and stop so the bus they can get out and intervene. But all the bus driver has to say is, “Don’t worry about it; that’s all on video. They’ll catch the perpetrators.” One of the passengers screams at them, “Do you want to get yourselves killed, or what? They won’t stop with you!” As they drive by, they see the victim’s motionless body lying in his blood.
After the incident, police officer Karl was tasked with reviewing the video data to ascertain precisely what happened that evening and who the perpetrators were. The officer first questioned some of the passersby, Peter included, whose contact information had been obtained through a radio cell inquiry and who were automatically summoned. Most witnesses, though, only vaguely recalled the incident. They’ve already suppressed it from memory, assuming that what happened was captured on video anyway. So Karl requests access to audio and video recordings from the crime scene. But about two weeks later, he learns that the cameras for that location were inoperable when the crime was committed. However, from the audio recordings, he knows that the perpetrators had been threatening the victim for quite some time inside the bar. Because there’s no video footage, though, the investigation hits a dead-end.
Upon their return home, the two journalists pen an article about civic courage in Germany—using the bus incident as a case in point. It’s published in the print edition of a major newspaper and on the paper’s website. A debate about the incident quickly ensues on social media, prompting traditional news outlets to delve more deeply into the matter. It becomes apparent that perceived security leads to widespread insecurity and indifference since people no longer feel any sense of personal responsibility. Closer examination reveals that crime hasn’t diminished; it’s merely moved from the significant public squares to other less highly surveilled places. Crime in some of these different areas has gotten so bad that people are afraid even to visit these neighborhoods. Even the police struggle to gain control over these new crime hotspots.
As a result, the developers of the surveillance system are suddenly subject to widespread media scrutiny. However, the developers are becoming increasingly aware of the drawbacks to deploying this technology: The system that was intended to make the city safer has led to the death of at least one individual. Bernd doubts how the cameras just happened to have failed, so he steals a second look at the database log files and notices that someone has accessed them multiple times. Could it be that someone deliberately deleted the data? If so, that would mean that there was a flaw in his design of the databank and corresponding access privileges. So he decides to keep the discovery to himself.
Secretly, he’s hoping that all the media scrutiny will soon subside.
Questions:
- Should technology be seen as an all-encompassing panacea for solving all society’s problems?
- How should the sheer volume of data collected from the population under surveillance be handled?
- What risks are involved?
- What actions should Bernd take as a result of his discovery?
- Should he invest his private time in the project even though there is no budget for it? Should he get out ahead of the story and contact the press himself?
- Who should have access to the collected data? What are the (legal) justifications to determine who has access?
- Have the passersby exposed themselves to legal liability for failing to render aid?
- Has responsibility shifted from the civic arena to the authorities in charge of surveillance?
- Can anyone ever be called to account for anything once everything has been left to technology?
Erschienen im Informatik Spektrum 39 (1), 2016, S. 82-84
— Translated from German by Lillian M. Banks
 openDemocracy – cyberspace – CC-BY-SA In zahlreichen netzpolitischen Konferenzen, Dialogen und Diskussionen wird derzeit die Thematik „neue Regeln für den Cyberspace“ angegangen. Es geht dort den Umgang mit Beleidigung, Immaterialgüterrechten bis hin zum „Cyberkrieg im Netz“. Dabei zeugt die Begriffswahl „Cyberspace“ von grundsätzlichem Unverständnis der Materie und sie erschwert fruchtbare Debatten sogar noch.
Der Begriff „Cyberspace“ tauchte erstmals in den 1980er Jahren in der Science-Fiction-Literatur auf und wurde in den 1990ern – zur Zeit der Kommerzialisierung des Internet – auch darüber hinaus geläufig. Gemeint war immer ein von der echten Welt verschiedener, virtueller Raum, in dem andere Regeln galten. Mit Peter Steiner gesprochen: „On the internet, nobody knows you’re a dog“. Nun, zwanzig Jahre danach, bemerken wir jedoch, dass es diese zweite Welt gar nicht gibt, sondern dass das Digitale einfach Teil unserer normalen Welt wurde. Niemand ist mehr „online“ oder „offline“, weil auch unsere mobilen Geräte nun per default verbunden, ja ohne Netzverbindung teilweise völlig nutzlos sind. Weder die elektronisch übermittelte Steuererklärung noch die digitalen Videoüberwachungssysteme oder soziale Netzwerke sind auch nur ansatzweise virtuell. Es geht immer um reale Aktion und reale Konsequenz. Menschen werden wegen ihrer Äußerungen in sozialen Netzwerken auf echte „No-Fly“-Listen gesetzt; Personen bekommen echte Hausdurchsuchungen, weil sie bestimmte Daten veröffentlicht haben; wenn wir online etwas bestellen, kommt es tatsächlich zu uns in den Briefkasten; neue Autos sind immer mit dem Netz verbunden und das Internet bringt uns Filme, Telefon und Fernsehen ins Haus. Auch die Kommunikationsinfrastruktur selbst ist keineswegs virtuell: Router, Kabel, Netzknoten, Server – die Komponenten des Internet sind physisch existent und territorial verortbar. Von einem rechts- und regierungsfreien „Cyberspace“ kann also keine Rede sein, denn niemand lebt, arbeitet, kommuniziert oder leidet in diesem Cyberspace.
Wir stehen ohne Zweifel vor riesigen Herausforderungen, die Digitalisierung der Gesellschaft vernünftig zu gestalten, vorhandene Regelungen der vordigitalen Zeit zu aktualisieren und nötigenfalls zu erweitern. Aber Beleidigung, Erpressung, Datenklau und Spionage finden nicht im „Cyberspace“ statt, sondern sie werden von realen Tätern an realen Opfern begangen. Zuletzt muss darauf hingewiesen werden, dass in der öffentlichen Debatte meist nur dann von „Cyber-“ gesprochen wird, wenn es um undefinierte Gefahren geht (Cyberkriminalität, Cyberabwehrzentrum, Cyberkrieg). Positiv spricht man dagegen von der „digitalen Agenda“, „Onlinehandel“, „Internet Governance“ oder „e-government“, denn da geht es um spezifische informationstechnische Aspekte unserer echten vernetzten Welt, nicht um ein (fernes) Land. Insgesamt ergibt sich, dass die Cyberspacemetapher nicht hilfreich ist, wenn man über konkrete Gestaltung sprechen will – ganz im Gegenteil, denn sie blendet reale Machtverhältnisse aus und verhindert so Chancen echter Veränderung.
Folglich gilt es, den Fokus auf die prägenden Akteure zu richten und darauf, welche Regeln sie befolgen. Wenn mächtige Geheimdienste ganz genau wissen, wo sich jedes ans Internet angeschlossene Gerät befindet und zu welcher Person es gehört, so ist das politisch gewollt und kein Versehen. Wenn globale Konzerne Daten global verknüpfen, so ist das oftmals rechtlich erlaubt oder wird bewusst nicht geahndet. Wenn westliche Hersteller Überwachungssoftware an beliebige Drittstaaten liefern, so geschieht das vielfach nicht ungeregelt, sondern von Exportgesetzen gedeckt. Die aktuelle Situation entstand folglich nicht aus zufälliger „Wildwest“-Regellosigkeit, sondern aus den durchgesetzten, handfesten Interessen der jeweiligen Profiteure, egal ob es um Kriegsaktivitäten oder Datenhandel geht. Möchte man also ernsthaft über die Gestaltung der digitalen Welt nachdenken, muss man über Interessen und Macht sprechen, nicht über den „Cyberspace“ der 1980er.
|
|
Beiträge als RSS abonnieren
Kommentare