Was Ethik mit dem Scheitern des E-ID-Gesetzes zu tun hat
Markus Christen erklärt er, wieso ethische Fragen sowohl bei der E-ID als auch bei Hackerangriffen eine Rolle spielen.
Mit einem einzigen Login alles erledigen – von der Steuererklärung bis zur Buchung einer Reise, das soll die elektronische Identität (E-ID) leisten. Jetzt wurde das E-ID-Gesetz abgelehnt. Können Sie das nachvollziehen?
Das Problem ist, das allein die Vorstellung, alle digitalen Besorgungen auf einem einzigen Weg machen zu wollen, falsch ist. Wenn Menschen ihre Daten herausgeben, dann tun sie das immer in einem ganz bestimmten Kontext. Zum Beispiel gibt man sensible Gesundheitsdaten preis, wenn man an einer Studie teilnimmt, weil man hofft, damit helfen zu können – erwartet dann aber, dass diese Daten nicht in anderen Kontexten, zum Beispiel von einer Versicherung genutzt werden. Wir nennen das kontextuelle Integrität. Die Vorstellung, dass die Privatsphäre verletzt wird entsteht, wenn die Daten in einem anderen Kontext genutzt werden.
Wie wirkt sich das auf die E-ID aus?
Bei der E-ID interagiere ich als Bürger mit dem Staat. Wenn eine private Firma, die mir auch meinen Mobilfunkvertrag verkauft, die E-ID herausgibt, mit der ich meine Steuererklärung mache, dann ist der Kontext «Bürger-Staat» gebrochen. Das führt zu der Vorstellung, dass die Privatsphäre verletzt wird, dass der Mobilfunkanbieter weiss, wieviel Steuern ich zahle. Selbst wenn die E-ID so angelegt ist, dass dieses Wissen technisch unmöglich ist, entsteht trotzdem symbolisch eine Verletzung der Privatsphäre, weswegen wohl viele Leute dagegen gestimmt haben.
Wie kann das Problem in Zukunft behoben werden?
Ich denke, die E-ID wird vom Staat ausgestellt werden. Dies erlaubt es, den Kontext «Bürger-Staat» aufrechtzuerhalten.
In Ihrem NFP 77-Projekt beschäftigen Sie sich auch mit ethischen Fragen, und zwar in Bezug auf die Cybersicherheit. Welche Fragen sind das beispielsweise?
Es gibt immer wieder Situationen bei der Abwehr von Cyberangriffen, wo oft unter grossem Zeitdruck Entscheidungen gefällt werden müssen. Diese können ein ethisches Dilemma mit sich bringen. Zum Beispiel, wenn etwa ein «Incident Response Team» nach aufwendiger Analyse einen solchen Angriff identifiziert. Dann stellt sich die Frage, wie man mit dem potentiellen Opfer des Angriffs umgeht, zu dem man noch keine Vertrauensbasis aufgebaut hat oder das vielleicht sogar eine Verbindung zum Angreifer selbst haben könnte. Informiert das Team das Opfer, gefährdet es den Erfolg der eigenen Abwehrmassnahmen, weil der Angreifer gewarnt wird und seine Taktik anpassen kann. Verzichtet das Team auf die Information, nimmt es in Kauf, dass bei einer anderen Organisation oder einem anderen Land ein Schaden entsteht, der vermeidbar gewesen wäre.
Was soll Ihre Forschung zu solchen Problemen bezwecken?
Wir wollen generelle Richtlinien erstellen zum Umgang mit ethischen Problemen der Cybersicherheit, etwa dem oben genannten Beispiel. Das ist ein Teil unseres Projektes. Im zweiten Teil wollen wir Empfehlungen machen, wie eventuelle Gesetzeslücken bei der Cybersicherheit geschlossen werden können.
Was für Gesetzeslücken könnte es geben?
Nehmen wir das Beispiel eines privaten Cybersecurity-Service-Providers, der kritische Infrastrukturen schützt – sowohl ein Spital als auch ein Elektrizitätswerk. Wenn diese Infrastrukturen durch eine Cyberattacke angegriffen werden, dann wird er diese abwehren. Seine Ressourcen sind aber begrenzt und seine Experten können nicht beide Infrastrukturen gleichzeitig schützten, sondern entweder zuerst die des Spitals oder die des Elektrizitätswerks. Was soll der Provider nun tun? Für solche Fälle gibt es keine regulatorischen Vorgaben. Wir wollen herausfinden, wo im Gesetz solche Lücken bestehen und Empfehlungen machen, wie man diese schliessen kann.