«Wir müssen uns fragen, wie wir mit gehackten Daten umgehen sollen»
In den vergangenen Jahren wurden immer wieder Datenbanken gehackt, und die Hacker ver?ffentlichten die gestohlenen Daten im Internet. Dürfen Wissenschaftler solche Daten für ihre Forschung nutzen? Die ETH-Bioethiker Marcello Ienca und Professorin Effy Vayena haben sich mit dieser Frage in einer Fachpublikation in der Zeitschrift ?Nature Machine Intelligence? auseinandergesetzt. ETH-News hat sich mit Ienca unterhalten.
ETH-News: Dürfen Wissenschaftler gehackte und im Internet ver?ffentlichte Daten auswerten, rein rechtlich gesehen?
Marcello Ienca: Die kurze Antwort ist ja – zumindest wenn die Wissenschaftler nicht selbst verantwortlich sind für das Hacken, denn das Hacken selbst ist eine Straftat. Ver?ffentlichen anonyme Hacker Daten jedoch im Internet, handelt es sich um ?ffentliche Daten. Weniger eindeutig ist es, wenn Wissenschaftler diese Daten auf ihre eigenen Rechner herunterladen m?chten. In manchen L?ndern k?nnte das als Besitz von gestohlenem Eigentum ausgelegt werden. Mir ist allerdings kein Fall bekannt, in dem Wissenschaftler dafür angeklagt worden w?ren.
Und wie sieht es aus ethischer Perspektive aus? Dürfen Wissenschaftler alles machen, was rechtlich erlaubt ist, also auch Daten analysieren, die ursprünglich jemandem gestohlen wurden?
Nein, denn Wissenschaft ist nicht eine Aktivit?t wie eine beliebige andere, sondern eine menschliche Kulturleistung mit hohen ethischen Ansprüchen. Wir Wissenschaftler haben eine soziale Verantwortung, der wir gerecht werden müssen. Daher reicht allein die Aussicht auf neue Erkenntnisse nicht aus, um eine Studie durchzuführen. Wissenschaft muss sorgf?ltig und verantwortungsvoll ausgeübt werden.
In ihrer Arbeit geben Sie einige Beispiele für Analysen von gehackten Daten: Detaillierte Daten von Benutzern der Fremdgeh-Plattform Ashley Madison sowie Kriegstagebücher des amerikanischen Milit?rs aus Afghanistan und dem Irak. Wissenschaftler haben diese Daten in den vergangenen Jahren analysiert. War das ethisch vertretbar?
In einigen F?llen mag es vertretbar gewesen sein, in anderen weniger. In unserer Studie machen Effy Vayena und ich den Punkt, dass wissenschaftliche Forschung mit gehackten Daten immer moralisch problematisch ist. In ganz bestimmten Umst?nden und unter ganz bestimmten Bedingungen k?nnte eine solche Analyse jedoch ethisch akzeptabel sein. Wir nennen in unserer Studie sechs Bedingungen:
- Die Datenquelle und die Hintergründe der Datensammlung müssen transparent gemacht werden. Damit soll auch verhindert werden, dass sich andere Wissenschaftler bemüssigt fühlen, selbst Daten zu stehlen.
- Privatsph?re und Datenschutz müssen eingehalten werden. Wissenschaftler müssen die Daten anonymisieren, selbst dann, wenn pers?nliche Daten im Rahmen eines Hacks ?ffentlich zug?nglich sind.
- Durch das Forschungsprojekt darf keine betroffene Person einem h?heren Risiko ausgesetzt werden, als sie es m?glicherweise ohnehin schon ist durch das Hacking.
- Das Forschungsprojekt muss einen hohen wissenschaftlichen und gesellschaftlichen Nutzen bringen.
- Das Forschungsziel kann nur durch Nutzung der gehackten Daten und nicht anderweitig erreicht werden.
- Und schliesslich: Jedes Forschungsprojekt, das gehackte Daten nutzt, soll von einer Ethikkommission bewilligt werden müssen.
Gibt es eigentlich Grenzen bei der Verwendung von Daten aus moralisch verwerflichen Quellen? W?re es etwa ethisch vertretbar, Ergebnisse von medizinischen Experimenten an Gefangenen in Konzentrationslagern des Dritten Reichs heute wiederzuverwenden, um sie neu zu analysieren?
Es gibt in der Wissenschaft den klaren Konsens, dass keine unethischen Studien gemacht werden sollen. Und diese Experimente waren unethisch, daran besteht kein Zweifel. Schwieriger ist die Frage, was andere Wissenschaftler allenfalls mit Ergebnissen machen dürfen, wenn die Studien bereits gemacht worden sind. Denn in diesem Fall sind die Wissenschaftler nicht am unethischen Verhalten beteiligt. Im Prinzip kann man die oben genannten Kriterien auch auf andere F?lle von Daten anwenden, die in moralisch problematischer oder klar verwerflicher Weise gewonnen wurden.
Zurück zu ?ffentlich zug?nglichen gehackten Daten. Heute braucht es für Forschung mit ?ffentlich zug?nglichen Daten in der Regel keine Bewilligung einer Ethikkommission. Br?uchte es da eine ?nderung?
Ja, Forschung mit gehackten Daten ist aus unserer Sicht nicht gleichzusetzen mit anderer Forschung, die ?ffentliche Daten nutzt. Es sollte nicht Aufgabe der einzelnen Forschenden sein, zu bestimmen, ob ein Forschungsvorhaben mit gehackten Daten die ersten fünf genannten Bedingungen erfüllt. Diese Evaluation sollte eine professionelle Ethikkommission vornehmen. Man k?nnte diesen Punkt in die Humanforschungsgesetzgebung aufnehmen.
Was sonst bleibt zu tun?
Wir m?chten mit unserer Arbeit eine Debatte in der Wissenschaftsgemeinschaft lancieren. Wir hoffen, dass diese Diskussion zu einem Konsens führen wird. Und wir werden versuchen, zusammen mit internationalen Organisationen und Fachgesellschaften ethische Leitlinien und Empfehlungen zum Umgang mit gehackten Daten zu formulieren. Wir gehen davon aus, dass mit der Zunahme von Cyberkriminalit?t auch die Menge von ?ffentlich zug?nglichen gehackten Daten steigen wird. Wir als Wissenschaftler müssen uns fragen, was wir mit solchen Daten tun sollen.
Zur Person
Marcello Ienca war bis vor Kurzem Oberassistent in der Gruppe von Effy Vayena, Professorin für Bioethik an der ETH Zürich, und er ist nun als Gruppenleiter an der EPFL t?tig. Ein Schwerpunkt seiner Forschung ist die Ethik von biomedizinischen Daten, künstlicher Intelligenz und Technologien an der Schnittstelle zwischen Mensch und Maschine.
Literaturhinweis
Ienca M, Vayena E: Ethical requirements for responsible research with hacked data, Nature Machine Intelligence 2021, 3: 744, doi: externe Seite 10.1038/s42256-021-00389-w