Forschende in der Angriffsrolle

Abstract

Infolge der tiefgreifenden Durchdringung unserer Lebenswelt mit digitalen Systemen hat sich die gesamtgesellschaftliche Anforderung formiert, diese Systeme gegen immer neue Formen von Angriffen absichern zu können. In diesem Beitrag zeigen wir, inwiefern der IT-Sicherheitsforschung hierbei eine zentrale Rolle zukommt, aber auch, dass im Rahmen dieser Rolle eine besondere forschungsethische Problematik entsteht. Weil IT-Sicherheitsrisiken strukturell neuartige Probleme für die gesellschaftliche Gewährleistung von Sicherheit aufwerfen, treten Forschende systematisch auch in die Rolle der Angreifenden. Dabei erhöhen Forschende durch den notwendigen Schritt der Veröffentlichung gefundener Lücken die Gefährdungslage von IT-Systemen. Zugleich zielt die Entwicklung von Angriffstechniken normativ auf eine Stärkung gesamtgesellschaftlicher Sicherheit: die Sicherheitslücken sollen geschlossen und die Robustheit von IT-Systemen vergrößert werden.

Hier wird ein Konflikt im Umgang mit IT-Sicherheitsrisiken deutlich, der einen Bedarf an ethischer Orientierung erzeugt. Im Beitrag zeigen wir, inwiefern sich in der Forschungspraxis auch bereits Anfänge einer systematischen ethischen Reflexion als Antwort auf diesen Bedarf herausgebildet und institutionalisiert haben. Da die Problematik im Umgang mit Sicherheitslücken aber noch nicht adäquat adressiert wird, vertreten wir die These, dass in der IT-Sicherheitsforschung der Schritt hin zu einer Bereichsethik für IT-Sicherheitsforschung erforderlich ist, um so adäquatere Orientierungsangebote für Forschende entwickeln und um die breitere gesellschaftspolitische Rolle der Sicherheitsforschung reflektieren zu können.

As a result of the proliferation of digital technology in our lifeworld, a societal need for protection of computer systems against ever new forms of attacks has emerged. In this contribution, we show that IT security research plays a central role in addressing this need, but also that this role raises certain problems from a research ethical perspective. IT security risks raise structurally new challenges for the societal production of security, which imply that researchers take on the role of attackers. When researchers make their findings on viable forms of attacks public, this increases the threat to IT systems. At the same time, the scientific publishing is normatively guided by the goal of strengthening societal security: the vulnerabilities are meant to be closed and the robustness of IT systems strengthened.

What becomes visible here are conflicts in dealing with IT security risks that imply a need for ethical orientation. In our contribution, we explore the beginnings of systematic ethical reflection that have emerged in the field and been institutionalized in an effort to answer this need. However, since the challenges have not been adequately addressed so far, we propose that IT security research should become a new field in applied ethics so as to provide more adequate orientation to researchers and to discuss its socio-political role at large.