Unsicherheit in der IT-Sicherheit
Von Kaya Cassing (Bochum) und Sebastian Weydner-Volkmann (Bochum)
Die Sicherheit unserer IT-Infrastruktur ist von äußerster Relevanz für unsere digitalisierte Gesellschaft [[1]]. Die Forschung zur IT-Sicherheit übernimmt hier eine zentrale Rolle, wirft aber zugleich ethische Probleme auf, deren Bewältigung derzeit noch kaum Aufmerksamkeit erfährt. In diesem Beitrag soll ein wesentlicher Aspekt dargestellt und dessen normative Aufarbeitung im Kontext der IT-Sicherheit beleuchtet werden: Die paradoxal anmutenden Effekte der Veröffentlichung von Forschungsergebnissen.
Um diese Problematik zu skizzieren, ist es nötig einen Blick auf die Struktur der IT-Sicherheitsforschung und gleichsam der erzielten Ergebnisse zu werfen. Die Struktur der Forschung lässt sich als Teil eines Katz-und-Maus-Spiels beschreiben: Sowohl Forschende als auch Angreifende untersuchen IT-Systeme auf Sicherheitslücken und Schwachstellen und beabsichtigen, jeweils schneller zu sein als die Gegenpartei. Die Absicht der Forschung ist es dabei, IT-Systeme robuster gegen (in jedem Fall auftretende) Angriffe zu machen [[2]], indem aufgedeckte Lücken gemeldet und geschlossen werden. Angreifende wollen Sicherheitslücken hingegen finden, um sie für (zumeist) kriminelle Zwecke auszunutzen; also beispielweise, um Zugang zu gespeicherten Daten zu erhalten, oder um sie zu verschlüsseln und anschließend Lösegeld für die Entschlüsselung zu erpressen.
Je nach betroffenem System kann ein Angriff massive Auswirkungen auf Individuen oder die Gesamtgesellschaft haben. Es gibt zahlreiche Beispiele, die die Spannbreite verdeutlichen; sie reichen von der Offenlegung von „sicher“ geglaubten Datensätzen, wie beim Angriff auf die Hotelkette „Motel One“ im Jahr 2023, über Angriffe auf Notfallversorgungen in Kliniken, wie beim Angriff auf die Uniklinik Düsseldorf im Jahr 2020 bis hin zu Eingriffen in die Energieversorgung, wie beim Angriff auf den US-Treibstoffversorger „Colonial Pipeline“ im Jahr 2021. Die Arbeit der IT-Sicherheitsforschung und insbesondere der Schutz der Systeme gegen Angriffe liegen also im direkten Interesse der Gesellschaft. Und hiermit geht in Kombination mit der Tatsache, dass die Forschung und Angreifende in gleicher Weise vorgehen, also Sicherheitslücken in Systemen aufdecken, ein Problem einher: Unter Umständen kann die Arbeit von Forschenden Dritten relevante Informationen für einen Angriff auf kritische IT-Systeme und somit auf die Sicherheit der Gesellschaft liefern.
Diese Gefahr ergibt sich insbesondere dann, wenn Forschende ihre Ergebnisse veröffentlichen, wie es im Forschungsprozess üblich und notwendig ist. Die Ergebnisse können Sicherheitslücken, Methoden zum Aufspüren von Sicherheitslücken oder die Information sein, dass ein System unsicher ist. Paradoxerweise stellen sie somit Informationen bereit, die das Potential bergen, für einen Angriff missbraucht zu werden. Strukturell liegt hier also eine Dual-Use-Problematik vor. Die inhärente Schwierigkeit im Umgang ist dabei in der jeweiligen Risiko-Nutzen-Abwägung zu finden [[3]]: Eine Veröffentlichung birgt zwar die Risiken, dass Kriminelle überhaupt auf Schwachstellen aufmerksam werden und dass konkrete Informationen über (potentielle) Sicherheitslücken einen Angriff erleichtern, aber sie erhöht zugleich auch die Chance, dass Gegenmaßnahmen ergriffen und Information zur Schließung der Lücke unter Nutzer:innen verbreitet werden.
Natürlich ergibt sich auch immer wieder die Situation, in der eine Lücke zum Zeitpunkt des Fundes nicht schließbar ist und es daher keine konkreten Gegenmaßnahmen gibt. Auch hier muss zwischen Veröffentlichung und Zurückhalten abgewogen werden – immerhin könnten Kriminelle die Lücke ja auch unabhängig von den Forschenden finden. Die Frage bleibt bestehen, ob es das größere Risiko (für die Gesellschaft) ist, die Unsicherheit des Systems (und die entsprechende Sicherheitslücke) unter Verschluss zu halten oder sie publik zu machen, um die Nutzer:innen vor der Unsicherheit des Systems zu warnen. Zuletzt wurde diese Thematik in Deutschland öffentlich im Zusammenhang mit der „Log4Shell“-Lücke diskutiert bevor diese schließlich öffentlich gemacht wurde [[4]].
Insbesondere im Kontext der Forschung erhält die Risikoabwägung eine weitere zu beachtende Komponente: Die Publikation von Forschungsergebnissen muss als wesentlicher und daher auch von der Forschungsfreiheit geschützter Bestandteil der wissenschaftlichen Arbeit verstanden werden. Dies hat einerseits funktionale Gründe, beispielsweise, dass Forschung den Fortschritt gerade durch offenen Austausch erzielt und Kriterien wie Objektivität nur durch Transparenz, also dem Zugang zu Forschungsergebnissen, überprüft werden können. Andererseits gibt es individuelle Aspekte, wie das Verfolgen einer wissenschaftlichen Karriere, die nur durch Publikationen möglich ist. Der Forschungskontext verlangt also in erster Linie, die Ergebnisse zu veröffentlichen; die Abwägung in Bezug auf die Dual-Use-Problematik gilt dann der Frage, unter welchen Umständen diese Freiheit der Veröffentlichung eingeschränkt werden darf [[5]].
Nun sind weder die Tatsache, dass es ethische Problemstellen in der Arbeit der IT-Sicherheitsforschung gibt, noch Dual-Use-Probleme per se etwas Neues. Es finden sich diverse Antwortversuche auf die skizzierte Schwierigkeit. Aus Platzgründen kann hier nicht detailliert auf einzelne Ansätze eingegangen werden, jedoch seien beispielhaft einige genannt, um zu verdeutlichen, dass sie die Herausforderungen nicht adäquat adressieren können [[6]]. So sind ethische Verhaltenskodizes im IT-Bereich durchaus vorhanden, sie bieten allerdings häufig keine ausreichend konkreten Handlungsempfehlungen. Zudem geben Industriestandards wie bspw. Responsible Disclosure zwar vor, wie mit gefundenen Lücken umgegangen werden soll. Hierbei geht es aber vor allem um einen Zeitrahmen, in dem die Lücke vor Veröffentlichung nur den Herstellenden gemeldet wird, um sie durch ein Update schließen zu können. Doch insbesondere, wenn dieses Verfahren auf technische oder organisatorische Grenzen stößt, liefert es keine adäquate Lösung, sondern verschiebt das Dual-Use-Problem lediglich um einen gewissen Zeitraum.
Aktuelle Empfehlungen zum Umgang mit Dual-Use und Dual Use Research of Concern (DURC) helfen ebenfalls nur begrenzt, denn entsprechende Empfehlungen fokussieren stark auf „klassische“ sicherheitsrelevante Forschungsbereiche, wie die Biowissenschaften. Zwar gibt es auch immer mehr Projekte, die etwa KI und digitale Überwachung in den Blick nehmen (exemplarisch: Projekt „Dual-Use: IT-Research of Concern“), allerdings stehen die damit zusammenhängenden Empfehlungen vor allem im Kontext einer zivil- militärischen Doppelnutzung. Die alltäglichen Problemstellen der IT-Sicherheitsforschung, wie das hier im Artikel knapp skizzierte Dual-Use-Problem des Missbrauchs von Veröffentlichungen, werden hingegen nicht aufgearbeitet.
Es lassen sich jedoch Bewegungen im Feld der IT-Sicherheit beobachten, die die ethischen Problemstellen bzw. Lücken explizit in den Fokus nehmen. Als Beispiel sei die Gründung eines ethischen Komitees auf der Konferenz der IEEE, einer der größten und relevantesten Institutionen der IT-Sicherheit, genannt. Das Komitee wurde initiiert, um Beiträge auf ihre ethische Eignung zur Veröffentlichung zu beurteilen. Es ist als Reaktion auf einen methodisch hochproblematischen Beitrag zu verstehen, der zunächst zur Veröffentlichung auf der Konferenz akzeptiert wurde („Hypocrite Commits Paper“) [[7]]. Nicht zu vernachlässigen sind auch die Kommissionen für Ethik sicherheitsrelevanter Forschung (KEFs), die sich zunehmend finden lassen [3]. Sie deuten darauf hin, dass sich eine neue ethische Ära in der IT-Forschung anbahnt.
Und doch ist festzustellen, dass es trotz dieser Entwicklungen immer noch keine adäquaten Handreichungen und Empfehlungen für Dual-Use-Problematiken in der IT-Sicherheitsforschung gibt. Handlungsempfehlungen, die eine ethische Orientierungshilfe liefern, dürften im Sinne aller Beteiligter sein: im Sinne der Forschenden selbst, der Kontrollinstanzen wie Komitees oder KEFs, und letztlich auch der Gesellschaft. Denn: Wir leben in einer digitalisierten Gesellschaft, in der IT-Systeme allgegenwärtig sind und eine große Eingriffstiefe in unser Leben besitzen. Daher ist IT-Sicherheit eng mit unserer gesellschaftlichen, physischen und psychischen Sicherheit verwoben.
Entsprechend sind belastbare ethische Orientierungshilfen für das Forschungsfeld wie auch für die Gesellschaft von großer Tragweite. Nicht zuletzt deshalb lässt sich auch dafür argumentieren, dass sich die Philosophie bzw. die Ethik hier stärker einbringt, um die gesellschaftspolitische Aufgabe der Sicherheitsforschung angemessen reflektieren zu können und sie dabei zu unterstützen, dieser Aufgabe auch gerecht zu werden. Das sollte nicht als reine Dienstleistung für den Bereich der IT-Sicherheitsforschung missverstanden werden; auch für die Philosophie und insbesondere Ethik selbst eröffnet sich hier ein interessantes, noch weitgehend unerschlossenes Gebiet. Gerade mit Blick auf die gesellschaftspolitische Relevanz der IT-Sicherheit und der damit zusammenhängenden Dual-Use-Fragen scheint eine „Bereichsethik der IT-Sicherheit“ durchaus wünschenswert.
Hierfür scheint zunächst aber relevant zu sein, das Bewusstsein für die ethischen Problemstellen und die Fragilität der IT-Sicherheitsstrukturen unserer Gesellschaft zu schärfen und die damit zusammenhängenden Wertvorstellungen und Prioritäten in der Gesellschaft stärker zu beleuchten.
Dieser Blogbeitrag basiert auf einem Aufsatz in der neuen Ausgabe der Zeitschrift für Praktische Philosophie.
Sebastian Weydner-Volkmann ist Juniorprofessor für Ethik der digitalen Methoden und Techniken an der Ruhr-Universität Bochum. Nach dem Studium in Freiburg promovierte er 2017 am dortigen Centre for Security and Society sowie am Husserl-Archiv im Schnittbereich von Technikethik, Moralpragmatismus und Sicherheitsforschung.
Kaya Cassing promoviert an der Juniorprofessur für Ethik der digitalen Methoden und Techniken an der Rur-Universität Bochum zum Thema Ethik in der IT-Sicherheit. Sie arbeitet im landesgeförderten Projekt SecHuman – Sicherheit für Menschen im Cyberspace.
[1] Die in diesem Beitrag präsentierte Forschung wurde gefördert durch das Forschungskolleg „SecHuman – Sicherheit für Menschen im Cyberspace“ des Landes NRW.
[2] Wagner, Manuela. 2020. „IT-Sicherheitsforschung in rechtlicher Grauzone. Lizenz zum Hacken.“ In Datenschutz und Datensicherheit – DuD 44: 111-120. https://doi.org/10.1007/s11623-020-1233-0
[3] Fritsch, Johannes. 2019. „Kommissionen für Ethik sicherheitsrelevanter Forschung entsprechend den Empfehlungen von Leopoldina und Deutscher Forschungsgemeinschaft (DFG).“ Bundesgesundheitsblatt – Gesundheitsforschung – Gesundheitsschutz, 62(6), 744–750. https://doi.org/10.1007/s00103-019-02954-6
[4] BSI. 2021. „Update: Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage.“ Bundesamt für Sicherheit in der Informationstechnik. Abgerufen 08.11.2023. https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html;jsessio nid=31C02769B9E3132B8C098B18EDE52188.internet471?nn=520690
[5] DFG und Leopoldina (Deutsche Forschungsgemeinschaft und Nationale Akademie der Wissenschaften Leopoldina). 2022. „Wissenschaftsfreiheit und Wissenschaftsverantwortung: Empfehlungen zum Umgang mit sicherheitsrelevanter Forschung.“ Abgerufen 08.11.2023. https://www.sicherheitsrelevante-forschung.org/publikation-wissenschafts freiheit2022/
[6] Eine detailliertere Betrachtung der Ansätze findet sich in „Forschende in der Angriffsrolle“: Weydner-Volkmann, Sebastian und Cassing, Kaya. 2023. „Forschende in der Angriffs rolle: Zum besonderen forschungsethischen Bedarf in der IT-Sicherheit.“ In Zeitschrift für praktische Philosophie, 10(1).
[7] Loschwitz, Martin Gerhard. 2021. „Bugs mit Vorsatz: Linux Foundation legt Analyse der Kernel-Patches vor.“ Heise Online. Abgerufen 04.11.2023. https://www.heise.de/news/Bugs-mit-Vorsatz-Universitaet-legt-Bericht-zur-Analyse-der-Kernel-Patches-vor-6041701.html.
