Ethik in der Informationssicherheit

Ethik in der Informationssicherheit

IT-Sicherheitsspezialisten haben eine hohe Verantwortung!

Als Informationssicherheitsspezialist hat man die Verantwortung, sein Wissen ethisch verantwortungsbewusst einzusetzen. Durch das Kennen der Angriffsvektoren verfügt man theoretisch über die Möglichkeit, diese anzuwenden.

Ein IT-Sicherheitsspezialist, der ethisch handelt, wird niemals sein Wissen einsetzten, um sich ohne Zustimmung in ein System zu hacken oder eine solche Methode anwenden.

Was ist ein Hacker eigentlich?

Man muss unbedingt festhalten, dass ein Hacker grundsätzlich selbst noch niemand mit bösen Absichten ist. Gemäß der Definition ist ein Hacker jemand, der ein starkes technisches Interesse hat und das Ziel verfolgt, ein technisches System perfekt zu beherrschen und seine Funktionsweise sowie Hintergründe genau zu verstehen. Durch dieses Verständnis ist es ihm möglich, das System zu modifizieren und damit zu arbeiten. Ein Techniker, der ein sehr tiefes Fachwissen von IT-Systemen hat. Hacker werden in definierte Hauptgruppen = „hats“ (Hüte) unterteilt:

White hat

– Ein Hacker mit den gleichen Kenntnissen wie ein "Black Hat" setzt sein Wissen ein, um entweder sein eigenes System oder das eines Kunden abzusichern. Der Kunde beauftragt den Sicherheitsexperten gezielt damit, das System anzugreifen, um mögliche Schwachstellen aufzudecken. Dabei handelt es sich jedoch ausschließlich um legale und autorisierte Tests, bei denen der Sicherheitsstatus des Systems verbessert wird.

Black hat

– Dies beschreibt einen Hacker, der sein Wissen bewusst für kriminelle Handlungen einsetzt, indem er ohne Zustimmung in Systeme eindringt, um Daten zu stehlen und sich dadurch vermutlich persönlich zu bereichern.

Gray hat

– ist der Hacker, der dazu beitragen möchte, die Sicherheit von Systemen zu verbessern, kann aber leider oft in einen rechtlichen Graubereich geraten. Obwohl er Schwachstellen aufdecken möchte, ist das unerlaubte Eindringen in ein System eine illegale Handlung, die er unter Umständen begeht, um sich selbst zu beweisen oder einen Auftrag zu bekommen.

Die ethischen Prinzipien in der Sicherheitsforschung (Schrittwieser et al., o. D.) sind wie folgt definiert worden:

• Füge Menschen nicht absichtlich Schaden zu
• Schaue nicht zu, wie schlimme Dinge passieren
• Führe keine illegalen Aktivitäten durch, um illegale Aktivitäten zu schaden
• Betreibe keine verdeckte Forschung

Quellenangabe:

Schrittwieser S.; Mulazzani M.; Weippl E. et al.: Ethik in der Sicherheitsforschung.
https://www.sba-research.org/wp-content/uploads/publications/DACH-Camera%20Ready.pdf, zuletzt geprüft am 6.März.2015.