«Wir müssen uns fragen, wie wir mit gehackten Daten umgehen sollen»
In den vergangenen Jahren wurden immer wieder Datenbanken gehackt, und die Hacker veröffentlichten die gestohlenen Daten im Internet. Dürfen Wissenschaftler solche Daten für ihre Forschung nutzen? Die ETH-Bioethiker Marcello Ienca und Professorin Effy Vayena haben sich mit dieser Frage in einer Fachpublikation in der Zeitschrift «Nature Machine Intelligence» auseinandergesetzt. ETH-News hat sich mit Ienca unterhalten.
ETH-News: Dürfen Wissenschaftler gehackte und im Internet veröffentlichte Daten auswerten, rein rechtlich gesehen?
Marcello Ienca: Die kurze Antwort ist ja – zumindest wenn die Wissenschaftler nicht selbst verantwortlich sind für das Hacken, denn das Hacken selbst ist eine Straftat. Veröffentlichen anonyme Hacker Daten jedoch im Internet, handelt es sich um öffentliche Daten. Weniger eindeutig ist es, wenn Wissenschaftler diese Daten auf ihre eigenen Rechner herunterladen möchten. In manchen Ländern könnte das als Besitz von gestohlenem Eigentum ausgelegt werden. Mir ist allerdings kein Fall bekannt, in dem Wissenschaftler dafür angeklagt worden wären.
Und wie sieht es aus ethischer Perspektive aus? Dürfen Wissenschaftler alles machen, was rechtlich erlaubt ist, also auch Daten analysieren, die ursprünglich jemandem gestohlen wurden?
Nein, denn Wissenschaft ist nicht eine Aktivität wie eine beliebige andere, sondern eine menschliche Kulturleistung mit hohen ethischen Ansprüchen. Wir Wissenschaftler haben eine soziale Verantwortung, der wir gerecht werden müssen. Daher reicht allein die Aussicht auf neue Erkenntnisse nicht aus, um eine Studie durchzuführen. Wissenschaft muss sorgfältig und verantwortungsvoll ausgeübt werden.
In ihrer Arbeit geben Sie einige Beispiele für Analysen von gehackten Daten: Detaillierte Daten von Benutzern der Fremdgeh-Plattform Ashley Madison sowie Kriegstagebücher des amerikanischen Militärs aus Afghanistan und dem Irak. Wissenschaftler haben diese Daten in den vergangenen Jahren analysiert. War das ethisch vertretbar?
In einigen Fällen mag es vertretbar gewesen sein, in anderen weniger. In unserer Studie machen Effy Vayena und ich den Punkt, dass wissenschaftliche Forschung mit gehackten Daten immer moralisch problematisch ist. In ganz bestimmten Umständen und unter ganz bestimmten Bedingungen könnte eine solche Analyse jedoch ethisch akzeptabel sein. Wir nennen in unserer Studie sechs Bedingungen:
- Die Datenquelle und die Hintergründe der Datensammlung müssen transparent gemacht werden. Damit soll auch verhindert werden, dass sich andere Wissenschaftler bemüssigt fühlen, selbst Daten zu stehlen.
- Privatsphäre und Datenschutz müssen eingehalten werden. Wissenschaftler müssen die Daten anonymisieren, selbst dann, wenn persönliche Daten im Rahmen eines Hacks öffentlich zugänglich sind.
- Durch das Forschungsprojekt darf keine betroffene Person einem höheren Risiko ausgesetzt werden, als sie es möglicherweise ohnehin schon ist durch das Hacking.
- Das Forschungsprojekt muss einen hohen wissenschaftlichen und gesellschaftlichen Nutzen bringen.
- Das Forschungsziel kann nur durch Nutzung der gehackten Daten und nicht anderweitig erreicht werden.
- Und schliesslich: Jedes Forschungsprojekt, das gehackte Daten nutzt, soll von einer Ethikkommission bewilligt werden müssen.
Gibt es eigentlich Grenzen bei der Verwendung von Daten aus moralisch verwerflichen Quellen? Wäre es etwa ethisch vertretbar, Ergebnisse von medizinischen Experimenten an Gefangenen in Konzentrationslagern des Dritten Reichs heute wiederzuverwenden, um sie neu zu analysieren?
Es gibt in der Wissenschaft den klaren Konsens, dass keine unethischen Studien gemacht werden sollen. Und diese Experimente waren unethisch, daran besteht kein Zweifel. Schwieriger ist die Frage, was andere Wissenschaftler allenfalls mit Ergebnissen machen dürfen, wenn die Studien bereits gemacht worden sind. Denn in diesem Fall sind die Wissenschaftler nicht am unethischen Verhalten beteiligt. Im Prinzip kann man die oben genannten Kriterien auch auf andere Fälle von Daten anwenden, die in moralisch problematischer oder klar verwerflicher Weise gewonnen wurden.
Zurück zu öffentlich zugänglichen gehackten Daten. Heute braucht es für Forschung mit öffentlich zugänglichen Daten in der Regel keine Bewilligung einer Ethikkommission. Bräuchte es da eine Änderung?
Ja, Forschung mit gehackten Daten ist aus unserer Sicht nicht gleichzusetzen mit anderer Forschung, die öffentliche Daten nutzt. Es sollte nicht Aufgabe der einzelnen Forschenden sein, zu bestimmen, ob ein Forschungsvorhaben mit gehackten Daten die ersten fünf genannten Bedingungen erfüllt. Diese Evaluation sollte eine professionelle Ethikkommission vornehmen. Man könnte diesen Punkt in die Humanforschungsgesetzgebung aufnehmen.
Was sonst bleibt zu tun?
Wir möchten mit unserer Arbeit eine Debatte in der Wissenschaftsgemeinschaft lancieren. Wir hoffen, dass diese Diskussion zu einem Konsens führen wird. Und wir werden versuchen, zusammen mit internationalen Organisationen und Fachgesellschaften ethische Leitlinien und Empfehlungen zum Umgang mit gehackten Daten zu formulieren. Wir gehen davon aus, dass mit der Zunahme von Cyberkriminalität auch die Menge von öffentlich zugänglichen gehackten Daten steigen wird. Wir als Wissenschaftler müssen uns fragen, was wir mit solchen Daten tun sollen.
Zur Person
Marcello Ienca war bis vor Kurzem Oberassistent in der Gruppe von Effy Vayena, Professorin für Bioethik an der ETH Zürich, und er ist nun als Gruppenleiter an der EPFL tätig. Ein Schwerpunkt seiner Forschung ist die Ethik von biomedizinischen Daten, künstlicher Intelligenz und Technologien an der Schnittstelle zwischen Mensch und Maschine.
Literaturhinweis
Ienca M, Vayena E: Ethical requirements for responsible research with hacked data, Nature Machine Intelligence 2021, 3: 744, doi: externe Seite 10.1038/s42256-021-00389-w