«Wir müssen uns fragen, wie wir mit gehackten Daten umgehen sollen»

ETH-News: D¨¹rfen Wissenschaftler gehackte und im Internet ver?ffentlichte Daten auswerten, rein rechtlich gesehen?
Marcello Ienca: Die kurze Antwort ist ja ¨C zumindest wenn die Wissenschaftler nicht selbst verantwortlich sind f¨¹r das Hacken, denn das Hacken selbst ist eine Straftat. Ver?ffentlichen anonyme Hacker Daten jedoch im Internet, handelt es sich um ?ffentliche Daten. Weniger eindeutig ist es, wenn Wissenschaftler diese Daten auf ihre eigenen Rechner herunterladen m?chten. In manchen L?ndern k?nnte das als Besitz von gestohlenem Eigentum ausgelegt werden. Mir ist allerdings kein Fall bekannt, in dem Wissenschaftler daf¨¹r angeklagt worden w?ren.

Und wie sieht es aus ethischer Perspektive aus? D¨¹rfen Wissenschaftler alles machen, was rechtlich erlaubt ist, also auch Daten analysieren, die urspr¨¹nglich jemandem gestohlen wurden?
Nein, denn Wissenschaft ist nicht eine Aktivit?t wie eine beliebige andere, sondern eine menschliche Kulturleistung mit hohen ethischen Anspr¨¹chen. Wir Wissenschaftler haben eine soziale Verantwortung, der wir gerecht werden m¨¹ssen. Daher reicht allein die Aussicht auf neue Erkenntnisse nicht aus, um eine Studie durchzuf¨¹hren. Wissenschaft muss sorgf?ltig und verantwortungsvoll ausge¨¹bt werden.

In ihrer Arbeit geben Sie einige Beispiele f¨¹r Analysen von gehackten Daten: Detaillierte Daten von Benutzern der Fremdgeh-Plattform Ashley Madison sowie Kriegstageb¨¹cher des amerikanischen Milit?rs aus Afghanistan und dem Irak. Wissenschaftler haben diese Daten in den vergangenen Jahren analysiert. War das ethisch vertretbar?
In einigen F?llen mag es vertretbar gewesen sein, in anderen weniger. In unserer Studie machen Effy Vayena und ich den Punkt, dass wissenschaftliche Forschung mit gehackten Daten immer moralisch problematisch ist. In ganz bestimmten Umst?nden und unter ganz bestimmten Bedingungen k?nnte eine solche Analyse jedoch ethisch akzeptabel sein. Wir nennen in unserer Studie sechs Bedingungen:

• Die Datenquelle und die Hintergr¨¹nde der Datensammlung m¨¹ssen transparent gemacht werden. Damit soll auch verhindert werden, dass sich andere Wissenschaftler bem¨¹ssigt f¨¹hlen, selbst Daten zu stehlen.
• Privatsph?re und Datenschutz m¨¹ssen eingehalten werden. Wissenschaftler m¨¹ssen die Daten anonymisieren, selbst dann, wenn pers?nliche Daten im Rahmen eines Hacks ?ffentlich zug?nglich sind.
• Durch das Forschungsprojekt darf keine betroffene Person einem h?heren Risiko ausgesetzt werden, als sie es m?glicherweise ohnehin schon ist durch das Hacking.
• Das Forschungsprojekt muss einen hohen wissenschaftlichen und gesellschaftlichen Nutzen bringen.
• Das Forschungsziel kann nur durch Nutzung der gehackten Daten und nicht anderweitig erreicht werden.
• Und schliesslich: Jedes Forschungsprojekt, das gehackte Daten nutzt, soll von einer Ethikkommission bewilligt werden m¨¹ssen.

Gibt es eigentlich Grenzen bei der Verwendung von Daten aus moralisch verwerflichen Quellen? W?re es etwa ethisch vertretbar, Ergebnisse von medizinischen Experimenten an Gefangenen in Konzentrationslagern des Dritten Reichs heute wiederzuverwenden, um sie neu zu analysieren?
Es gibt in der Wissenschaft den klaren Konsens, dass keine unethischen Studien gemacht werden sollen. Und diese Experimente waren unethisch, daran besteht kein Zweifel. Schwieriger ist die Frage, was andere Wissenschaftler allenfalls mit Ergebnissen machen d¨¹rfen, wenn die Studien bereits gemacht worden sind. Denn in diesem Fall sind die Wissenschaftler nicht am unethischen Verhalten beteiligt. Im Prinzip kann man die oben genannten Kriterien auch auf andere F?lle von Daten anwenden, die in moralisch problematischer oder klar verwerflicher Weise gewonnen wurden.

Zur¨¹ck zu ?ffentlich zug?nglichen gehackten Daten. Heute braucht es f¨¹r Forschung mit ?ffentlich zug?nglichen Daten in der Regel keine Bewilligung einer Ethikkommission. Br?uchte es da eine ?nderung?
Ja, Forschung mit gehackten Daten ist aus unserer Sicht nicht gleichzusetzen mit anderer Forschung, die ?ffentliche Daten nutzt. Es sollte nicht Aufgabe der einzelnen Forschenden sein, zu bestimmen, ob ein Forschungsvorhaben mit gehackten Daten die ersten f¨¹nf genannten Bedingungen erf¨¹llt. Diese Evaluation sollte eine professionelle Ethikkommission vornehmen. Man k?nnte diesen Punkt in die Humanforschungsgesetzgebung aufnehmen.

Was sonst bleibt zu tun?
Wir m?chten mit unserer Arbeit eine Debatte in der Wissenschaftsgemeinschaft lancieren. Wir hoffen, dass diese Diskussion zu einem Konsens f¨¹hren wird. Und wir werden versuchen, zusammen mit internationalen Organisationen und Fachgesellschaften ethische Leitlinien und Empfehlungen zum Umgang mit gehackten Daten zu formulieren. Wir gehen davon aus, dass mit der Zunahme von Cyberkriminalit?t auch die Menge von ?ffentlich zug?nglichen gehackten Daten steigen wird. Wir als Wissenschaftler m¨¹ssen uns fragen, was wir mit solchen Daten tun sollen.