Besondere Umstände erfordern besondere Einstellungen: Anfang März hatten Hackergruppen eine Waffenruhe während der Gesundheitskrise von Covid-19 angekündigt. Trotz dieser Ankündigungen war das Ministerium für Gesundheit und soziale Dienste (Department of Health and Human Services) in den USA am 16. März Opfer eines DDos-Angriffs (Distributed Denial of Service). Und am 22. März war die Assistance Publique-Hôpitaux de Paris in Frankreich ebenfalls Opfer eines heftigen Cyberangriffs, zu einem Zeitpunkt, als die völlig überlasteten Krankenhäuser immer mehr Patienten betreuen mussten. Dies ist Anlass genug, um sich die Frage zu stellen, welchen Platz die Ethik bei den Hackern hat.
Die Antwort hierauf hängt natürlich von der individuellen Ansicht und der eigenen Definition von ethischem und unethischem Verhalten ab. Vor Kurzem haben zwei Hacktivisten ihre eigene Definition von Ethik teilweise dargestellt. Im Namen des Schutzes personenbezogenen Daten der Bürger hat der französische Hacktivist Baptiste Robert (aka. Elliot Alderson) die Tracking-Apps ausführlich analysiert. Nachdem er die Schwachstellen der indischen App Aarogya Setu identifiziert und offengelegt hatte, nahm er sich der französischen Version StopCovid und der pakistanischen Version COVID-19 Gov PK an. Auf einer anderen Ebene startete Phineas Fisher im vergangenen Jahr sein eigenes Bug Bounty und belohnte alle Personen, die politisch motivierte unerlaubte Zugriffe durchführen, welche die Verbreitung von für die Öffentlichkeit interessanten Dokumenten ermöglichen … Gleichzeitig war eine Hilfsorganisation für Obdachlose in Kanada Anfang Januar 2020 Opfer einer Ransomware. Welchen Platz hat aber die Ethik in solch einem auf mehreren Ebenen komplexen Umfeld?
Ethik: ein höchst subjektiver Begriff
Wir haben Ihnen eine kurze philosophische Einführung vorbereitet. Für Jean-Jacques Nillès, Gründer des französischen Beratungsunternehmens Socrates mit dem Fachbereich Ethik, ist die Frage nicht ganz so einfach zu beantworten: „Man unterscheidet zwar allgemein unter rechtmäßig und gesetzmäßig, dies wird jedoch nicht von allen für bare Münze genommen. Das Verhältnis zwischen Recht und Ethik ist äußerst komplex, es wird häufig nur vereinfacht dargestellt. Das Recht hat die Ambition, die Ethik zu berücksichtigen. Es gibt atypische Fälle, wo eine Dissonanz zwischen gesetzmäßig und ethisch zu beobachten ist. Und das ist noch nicht mal zu 100 % richtig ... Es handelt sich hierbei eher um äußerst seltene Fälle, in denen ein Rechtsprinzip mit einer Regel zusammenstößt. Das Recht bietet keine Standardantwort. Es bietet eher die Aufzählung einer gewissen Anzahl an Möglichkeiten. Und in diesen zahlreichen Optionen platziert sich die Ethik.“ Kurz gesagt: Das Recht definiere eine gewisse Anzahl an Möglichkeiten und die Ethik bestehe darin, eine dieser Möglichkeiten auszuwählen. Für Alice Louis, Leiterin des Gründungsprojekts des „Fonds Cyber Éthique pour une souveraineté numérique“, „ist die Ethik der Gedanke der Prinzipien und Werte. Im Vergleich dazu stellt die Moral und/oder die „Moralin“ das dar, was fair, gut oder schlecht ist. Mit anderen Worten, wie es insbesondere der Soziologe Max Weber sagte: Die Ethik ist die Übertragung von Verantwortung, die nicht auf den reinen Ausdruck einer Meinung beschränkt werden kann.“ Diese Meinung teilt auch Philippe Sanchez, Berater und Ausbilder des Beratungsunternehmens Socrates: „Die Ethik ist ein subjektiver Begriff der je nach Person anders ausfällt. Sie wird sich immer dort hinsetzen, wo das Recht klaffende Lücken lässt. Ohne Regel kann jeder seine Handlungen im Namen einer frei ausgelegten Ethik rechtfertigen ...“
Die Ethik ist ein subjektiver Begriff der je nach Person anders ausfällt. Sie wird sich immer dort hinsetzen, wo das Recht klaffende Lücken lässt
Philippe Sanchez, Berater und Ausbilder des Beratungsunternehmens Socrates
In der Tat erkennen viele von uns die Ethik der Hacker, die beim arabischen Frühling mit dabei waren ... Schwieriger wird es jedoch, die Rechtmäßigkeit einer für den Kreml arbeitenden Gruppe anzuerkennen, die das Prinzip der Nichteinmischung des internationalen Rechts erschütterte, als sie sich bei den US-Demokraten bei einer Präsidentschaftswahl einschleuste. Was für manche Cyberkriminelle sind, sind für andere Hacktivisten? Dies mag sein. Insbesondere, wenn man im Gegensatz zum Philosophen Immanuel Kant der Ansicht ist, dass die Ethik ein relativer Begriff ist, der von den kulturellen Konzepten gestaltet wird ...
Die Regeln der Hacker-Community
Die Ethik der Hacker, die stark von der Unterkultur Cyberpunk beeinflusst wird, weist in ihren Ursprüngen eine weitaus rebellische Dimension auf. Die Romanfiguren sind Antihelden, oftmals manipulierte Figuren in einem Chaos aus geheimen Gesellschaften, Regierungsbehörden, kriminellen Vereinigungen, wobei das Ganze mehr oder weniger von Führungskräften von internationalen Unternehmen, die mehr Macht als die Staaten haben, gesteuert wird und deren Geschäftsführer zumeist frei von moralischem Empfinden sind. Diese Antihelden werden dann als Sand im Getriebe dargestellt. Daraufhin kam der Wunsch nach der Kenntnis und dem Verständnis der IT-Systeme hinzu. Und der Wille, das Internet als einen Bereich der absoluten Freiheit vor den Regeln der Staaten und Unternehmen zu bewahren. In diesem Sinne ist es zulässig, sich bei verschiedenen Regierungsbehörden, Finanzinstituten oder Militäreinrichtungen einzuschleusen, um ihre Architektur zu analysieren. Im Jahr 1984 fasste der Journalist Steven Levy, Autor von Hackers: Heroes of the Computer Revolution, die Ethik der Hacker wie folgt zusammen: die infiltrierten IT-Netzwerke nicht zerstören, keine Gewinne erzielen und die Informationen verbreiten.
Hat diese Hacker-Community also Regeln? Black Hat, White Hat, Grey Hat oder Blue Hat: Es gibt zahlreiche Hackerprofile und jedes Profil hat auch seine eigenen Regeln. Die Regeln fallen je nach Gefolgschaft der Hacker anders aus, da sie aus diesem Grund für einen Dritten mehr oder weniger vertrauenswürdig erscheinen: „Wie Baptiste Robert wird ein Grey Hat das Vorhandensein einer Schwachstelle, welche die Nutzer gefährdet, offenlegen, während ein White Hat die Information an das Unternehmen weitergeben wird, für das er arbeitet. Der Letztgenannte wird niemals gegen die Gesetze verstoßen, während die anderen andere Wege einschlagen können“, erklärt Fabrice Epelboin, französischer Hacktivismus-Spezialist.
Werden seine Entscheidungen im Laufe seiner Karriere beeinflusst? Anders gesagt: Ist die Ethik eine Frage der Reife? Diese Fragen beziehen sich auf das Profil der Script-Kiddies, eher von Ergebnissen als von Kenntnissen besessene Hacker mit äußerst komplexen Motivationen. „Der fundamentale Unterschied der Script-Kiddies ist, dass sie die Mechanismen nicht kennen. Sie werden fertige Skripte verwenden, anstatt ihre eigenen Codes zu entwickeln. Und dies kann zuweilen dazu führen, dass Sie die von ihnen verursachten Schäden unterschätzen“, erklärt Davide Pala, Ingenieur für die Verkaufsvorbereitung in Italien. Dies hält sie jedoch nicht davon ab, sich unter der Ägide gemeinsamer Werte, im Namen ihrer (abermals) eigenen Ethik, zu mobilisieren. „Dies ist beispielsweise bei Anonymous der Fall, erklärt Fabrice Epelboin. Bei ihnen findet man zahlreiche Script-Kiddies, die einfach nur auf Knöpfe drücken. Wenn sie allerdings massenhaft zuschlagen, kann dies verheerende Folgen haben. Dieser Masseneffekt kann sowohl in den Dienst eines politischen Angriffs als auch der digitalen Kriminalität gestellt werden. Und je nach Wertesystem der Personen kann dies zu Bug Bounties oder Ransomware führen.“
Gleichzeitig muss festgestellt werden, dass die IT-Schwachstellen heute einen eigenen Wirtschaftszweig darstellen. Hat die Ethik also einen Preis? Die Anfälligkeit kann an den öffentlichen oder Schwarzmärkten einen umfassenden Geldsegen darstellen. Und genau aus diesem Grund zieht sie seit mehreren Jahren die Mafia, große Hacker-Communities sowie auch staatliche Konzerne an. Diese haben allesamt verschiedene Ziele aber vor allem nicht dieselben finanziellen oder personellen Ressourcen. Die somit hervorgehobenen kolossalen Finanzmittel sowie die Versprechen riesiger und „einfacher“ Gewinne können gewisse Hacker anlocken und ihre Ethik ganz oder teilweise vergessen lassen. Dies gilt insbesondere, da auf der anderen Seite die von den Einrichtungen und Unternehmen eingerichteten Bug Bounties und angebotenen Gehälter nicht in derselben Liga spielen.
Inwiefern kann man also einem Hacker vertrauen? Und welchen Wert hat das Wort eines Hackers? Auf diese beiden Fragen kann man unmöglich klar antworten, da die Antwort stets von seinem Gegenüber abhängt ... Wenngleich noch ein paar Überbleibsel von den Anfängen der Hacker-Bewegung fortbestehen, ist die Topographie nun facettenreicher und die Regeln der Community haben keine besonders zentrale Stellung mehr. Um dieses komplexe Umfeld verständlicher zu gestalten, ist der Begriff „ethischer Hacker“ aufgekommen. Er hatte jedoch keinen großartigen Erfolg ...
Ethischer Hacker: ein inhaltsloser Begriff?
Wenn man diese beiden Begriffe zusammenlegt, könnte man denken, dass sie ursprünglich diametral gegensätzlich seien. Die White Hats wären also die Netten und die Black Hats die Bösen? „Das könnte nicht falscher sein“, versichert Fabrice Epelboin. „Black Hat, White Hat, ethischer Hacker oder Ingenieur für Cybersicherheit sind reine Marketingbegriffe, hinter denen nicht viel steckt. Sie stehen für den Willen der Medien, alles zu vereinfachen.“ Für ihn ist der einzige Unterschied zwischen einem Grey Hat und einem White Hat der juristische Rahmen, in dem der Letztgenannte seine Tätigkeit im Dienste der Cybersicherheit ausübt. „Somit könnte der ethische Hacker im Auftrag von Waffenhändlern oder eines Unternehmens wie Monsanto arbeiten und würde trotzdem noch als „ethisch“ angesehen. Dabei fällt dies nicht in die Zuständigkeit der Ethik, sondern lediglich der Gesetzgebung. Natürlich kann ein Hacker eine ethische und zugleich illegale Verhaltensweise an den Tag legen, beispielsweise im Kampf gegen Unterdrückerregimes ...“
Black Hat, White Hat, ethischer Hacker oder Ingenieur für Cybersicherheit sind reine Marketingbegriffe, hinter denen nicht viel steckt. Sie stehen für den Willen der Medien, alles zu vereinfachen
Fabrice Epelboin, französischer Hacktivismus-Spezialist
Für Fabrice Epelboin hat die binäre Unterscheidung zwischen einem ethischen und unethischen Hacker keine reale Komponente. Seines Erachtens nach kann ein Hacker mehrere Profile haben. „Die Hackerkultur besteht nicht wirklich darin, jeden Tag um 9 Uhr in der Firma zu erscheinen ... Es kann sein, dass manche tagsüber als White Hat ihr Geld verdienen und nachts ihre Prinzipien als Grey Hat verteidigen. Ganz ehrlich kenne ich keinen Hacker, der die rote Linie noch nie überschritten hat. Denn die Legalitätsgrenze ist so schmal und die Anonymität erleichtert so einiges. Und der Schutz der Nutzer geht zumeist darüber, die Unternehmen zu ihrem Schutz zu zwingen, was Formen annehmen kann, die das Recht missbilligt.“
Die Cyber-Ethik: auf der Suche nach einem geregelten Rahmen
Für manche ist sie allumfassend, für andere wiederum relativ ... Wenn man nach ethischen Leitlinien handeln möchte, muss dies auch durch rechtliche Regeln umrandet werden. Aus diesem Grund machen zahlreiche Plattformen wie Yogosha, YesWeHack oder HackerOne ausschließlich Jagd auf digitale Schwachstellen über Bug Bounties, während andere Unternehmen, wie Synacktiv, Penetrationstests populär machen.
Dieses ethische Hacking geschieht also in extrem kontrollierten Bereichen. In diesem Fall befolgen die Hacker von den Unternehmen und Regierungen auferlegte Compliance-Anforderungen zuzüglich zu den eigenen Regeln der Branche: jegliche Schwachstelle muss gemeldet werden; die Privatsphäre der Organisation, ihrer Mitarbeiter und Nutzer und Dritter muss gewahrt werden; und jegliche geschaffene oder ausgenutzte Sicherheitslücke muss geschlossen werden. Diese vom Forum of Incident Response and Security Teams vorgeschriebenen Prinzipien wurden in einem jüngsten Artikel der Kaspersky-Teams in Erinnerung gebracht. Die diese Voraussetzungen erfüllenden Hacker können sogar den Titel „Certified Ethical Hacker“ vom US-Organismus EC-Council erhalten.
Schlussfolgerung von Alice Louis: „Es gibt Hacker, die in einem rechtlichen Rahmen und somit nach ethischen Prinzipien im Sinne der normativen Ethik, insbesondere der Verantwortungsethik, arbeiten möchten. Dieser Ethikansatz erklärt, dass die Beurteilung der Sittlichkeit einer Handlung in Abhängigkeit ihrer Folgen geschehen muss. Und in diesem Fall werden diese Hacker zu wahrhaftigen Verbündeten der Organisationen. Natürlich sollten gewisse Vorkehrungen getroffen werden, wie vorangehende Überprüfungen insbesondere bei externen Vertrauenspersonen und letztendlich muss ihr Einsatz strengen Vertragsbedingungen unterliegen.“ Denn dies sind die wesentlichen Grundlagen für eine wahrhaftige Vertrauensbeziehung ...