zurück zum Artikel

Entwicklermanifeste für das Internet der Dinge

Architektur/Methoden

Je mehr Organisationen die private Welt und den öffentlichen Raum mit IoT-Produkten bevölkern, desto mehr wächst die Verantwortung der Entwickler. Die Frage, ob ethische Überlegungen Teil der Planung von IoT-Projekten sein sollten, liegt daher nah.

Entwicklermanifeste für das Internet der Dinge

Je mehr Organisationen die private Welt und den öffentlichen Raum mit IoT-Produkten bevölkern, desto mehr wächst die Verantwortung der Entwickler. Die Frage, ob ethische Überlegungen Teil der Planung von IoT-Projekten sein sollten, liegt daher nah.

Ein funkelnder Jeep, eine Trutzburg von einem Auto, Ausdruck von Stärke und menschlicher Erfindungskraft, fährt einen Highway entlang. Plötzlich, gegen den Willen des Fahrers, geht die Lüftung an, dann schaltet sich das Radio ein und beschallt den Innenraum mit ohrenbetäubender Lautstärke. Die Konzentrationsfähigkeit des Fahrers nimmt ab, da versperren ihm auch noch die Scheibenwischer die Sicht. Zu guter Letzt schaltet sich der Motor einfach aus -- das Auto wird zum stehenden Hindernis für die mit hoher Geschwindigkeit nachkommenden Fahrzeuge.

Was nach dem Plot eines Agentenfilms klingt, ist das Werk der amerikanischen Entwickler Charlie Miller und Chris Valasek. Der Hack, den ein Journalist des Magazins Wired begleitete [1], schaffte es im Sommer 2015 in die wichtigsten Nachrichtensendungen weltweit. Autofahrer waren alarmiert, aber auch Nutzer anderer vernetzter Geräte begannen sich zu fragen, wie sicher sie sich in einer digitalisierten Welt bewegen können.

Dabei gibt es unter Entwicklern bereits seit einigen Jahren Initiativen, die vor unausgereiften und unsicheren Produkten warnen. 2013 stellte der Programmierer und Sicherheitsexperte Joshua Corman [2] in seinem TEDx Talk "Swimming with the sharks [3]" fest, dass die Abhängigkeit der Menschen von der IT schneller wüchse, als ihre Fähigkeit, sich vor ihr zu schützen. Die Analogie zum Schwimmen mit dem Raubtier ist geschickt gewählt: "Wir schwimmen in einem Meer aus Technik, jeder Aspekt unseres Lebens hat das Potenzial, sich mit anderen Bereichen zu vernetzen." Im Gegensatz zum Schwimmen mit Haien haben aber die wenigsten einen Sicherheitskäfig, wenn sie sich in die digitale See begeben – häufig wissen sie nicht einmal, welchen Gefahren sie sich aussetzen.

Grund genug für Corman, gemeinsam mit Gleichgesinnten das Sicherheitsnetzwerk I am the Cavalry [4] zu gründen. Der Name lässt sich auf die Erfahrungen zurückführen, die Corman machte, als er mit seinen Erkenntnissen über offensichtliche Schwachstellen bei vernetzten Produkten auf die Stellen zuging, die er für zuständig hielt. Doch weder die Strafverfolgung noch andere angesprochene Organisationen oder Verbände kamen ihm zu Hilfe. Das Ausbleiben der Unterstützung führte Corman und seine Kollegen also zu dem Credo: "Ich bin die Kavallerie".

Seither kümmert sich der Zusammenschluss aus Entwicklern, Hackern und anderen Experten um die Schwachstellen der digitalisierten Welt und will aufrütteln, um ein Bewusstsein für mehr Sicherheit im Umgang mit vernetzten Produkten schaffen, Anfang 2016 veröffentlichte die Gruppe gar den Entwurf eines hypokratischen Eids für vernetzte, medizinische Geräte [5]. Die generelle Frage in der Entwicklung sei inzwischen immer weniger, was realisierbar ist, sondern mehr, was man tatsächlich umsetzen sollte. Jeder müsse sich damit beschäftigen, ob tatsächlich Produkte entstehen sollen, deren Sicherheit der Anbieter nicht 100-prozentig garantieren kann. Zudem ist zu überlegen, ob es lohnt, auf Kundenwünsche einzugehen, wenn sie dem Nutzer am Ende schaden könnten.

Psychologisch geht I am the Cavalry gern subtiler vor, als die Köpfe hinter dem medienwirksamen Jeep-Hack. Auf der diesjährigen BSides-Konferenz in Las Vegas machte Corman klar, dass die Bewegung eine andere Strategie verfolge. Statt Konzerne mit ihren Sicherheitslücken bloßzustellen, möchte sie enger mit der Industrie zusammenarbeiten, damit diese geeignete Gegenmaßnahmen ergreifen könne. "Wir müssen ihnen auf ihrem Level begegnen" sagt Corman. Von Sicherheitsfragen betroffen ist nicht nur das vernetzte Auto: Das Netzwerk sieht außerdem Handlungsbedarf in den Bereichen Medizin, Smart Homes und Infrastruktur.

Rugged Manifesto und Thingclash

Das große Ganze: Leitsätze für Entwickler

Verschlüsselung, Datensicherheit und eine generell bessere Absicherung allein garantieren noch kein nachhaltiges Produkt. Weitere Ziele Cormans stehen in seinem mit Kollegen formulierten "Rugged Manifesto [6]", das sich als eine Art hippokratischer Eid für Softwareentwickler auslegen lässt. Darin wird die Verantwortung des Entwicklers für seinen Code betont. Wer sich darüber bewusst ist, dass sich sein Produkt angreifen oder abweichend einsetzen lässt, um anderen zu schaden, der wird von Anfang an weniger Schlupflöcher zum Einbruch lassen.

So berichtet Corman in seinem TEDx-Talk von einem an Diabetes erkrankten Kollegen, dem es wiederholt und mühelos gelang, seine implantierte Insulinpumpe via Bluetooth zu hacken. Corman fragt zurecht, wozu sie eine derartige Schnittstelle braucht und ob es sinnvoll ist, Träger medizinischer Geräte einer solchen Gefahr auszusetzen. Im Rugged Manifesto sind diese Bedenken unter anderem so formuliert:

"Ich erkenne an, dass mein Code in vielerlei Arten genutzt werden wird, die ich nicht vorhersehen kann, dass er sich auf Weisen einsetzen lässt, für die er nicht gemacht wurde und dass er länger gültig sein kann, als ich es jemals angenommen hätte. Ich erkenne an, dass mein Code von talentierten und hartnäckigen Gegnern angegriffen werden wird, die unsere physische, wirtschaftliche und nationale Sicherheit bedrohen."

Kurz gesagt: Die Sicherheit von IoT-Produkten ist gerade durch ihre Offenheit und Vernetzung stark gefährdet. Wo Entwickler früher nur mit einem abgeschlossenem System und dessen Sicherheitslücken zu tun hatten, ist eine unterschwellige Bedrohung heute allgegenwärtig. Statt ein Produkt zu entwerfen und erst später Updates zu liefern, die potenzielle Sicherheitslücken schließen, ist von Anfang an das schlimmste Szenario einzuplanen. Dabei darf auch das Zusammenspiel mit anderen Produkten nicht unterschätzt werden.

Gut gemeint und trotzdem schädlich

Mit Wechselwirkungen zwischen IoT-Projekten und ihren kulturellen Auswirkungen beschäftigt sich das Projekt Thingclash [7]. Mitbegründer Scott Smith tritt weltweit als Fürsprecher für ein "menschlicheres" IoT auf. Den Ansatz von Thingclash erklärt Smith mit einem Verweis auf eine Warnung der Londoner Verkehrsbetriebe. Sie informieren Fahrgäste damit über einen sogenannten Cardclash, bei dem sich die zum Fahren benötigte Oyster Card und ebenfalls mit NFC-Technik (Near Field Communication) ausgestattete Kreditkarten beim Einchecken in die U-Bahn in die Quere kommen können. Für sich genommen zwei Produkte, die ihrem Nutzer das Leben erleichtern sollen, sind die Karten miteinander nicht kompatibel und verursachen womöglich einen Schaden – wenn das System die Fahrtgebühr zum Beispiel von beiden Karten abbucht.

Eine solche Tendenz zum Zusammenstoß sieht Smith bei vielen vernetzten Produkten. Dabei müssen es nicht zwangsläufig nur Geräte sein, die sich aufgrund nicht kompatibler Software gegenseitig Probleme bereiten. Viel häufiger kommt es zu Zusammenstößen zwischen Mensch und Technik. Ein Beispiel ist der Eingriff in die Privatsphäre des Menschen durch datensammelnde Geräte wie Google Glass. "Wir existieren nicht in einem Vakuum allein mit der Technologie die wir auswählen, sondern die Technologie anderer 'passiert' auch uns. Die Probleme, die uns das bereitet, fangen wir gerade erst an zu verstehen", schreibt Smith in seinem Blog.

Damit spricht Smith das schwer einzuschätzende Problem kultureller Nebenwirkungen vernetzter Geräte an. Vor allem stellt sich die Frage, ob sich die vernetzten Produkte dem Menschen anpassen oder ob es nicht anders herum der Fall ist. Smith sieht im Moment noch die IoT-Produkte im Vorteil, möchte das aber ändern: "Wenn wir in einer Welt leben wollen, in der Millionen vernetzter Geräten unsere Bewegungen überwachen, unsere Wünsche und Nöte zu erkennen versuchen und uns etwas geben sollen, das unser Leben verbessert, müssen Produkte und Dienstleistungen so designet sein, dass sie in unsere Welt passen – nicht so, dass wir uns ihnen zu beugen haben."

Ein sich Beugen passiert etwa dort, wo bei der Entwicklung eines Produkts nicht an die langfristigen Folgen gedacht wurde. Smith berichtete auf der ThingsCon 2015 in Berlin von solch einem Fall: Ein Unternehmen entwickelte eine vernetzte Armprothese und passte sie einem Patienten an. Als die Firma später aufgelöst wurde, wurde die Prothese unbrauchbar und der Nutzer war auf die Hilfe von Maker-Communities angewiesen, um sie weiter nutzen zu können. Nachhaltigkeit ist also nicht nur ein Schlagwort, das sich Unternehmen auf die Fahnen schreiben.

Nicht immer ist es jedoch einfach, Zeit für entsprechende Überlegungen zu finden. Das weiß auch Smith: "Die Dinge, die wir im Moment in der IoT-Geschäftswelt als Erfolg bejubeln – der erste sein, möglichst schnell Gewinn machen und groß werden – führen nicht unbedingt zu überdachten Entscheidungen. Der Grundsatz "Move fast and break things" funktioniert nicht, wenn es um Menschen geht. Das langfristige Versprechen des Internets der Dinge ist, dass wir immer mehr Lebensbereiche über IoT-Plattformen zugänglich machen, ob bei Themen wie Gesundheit, Sicherheit oder Bildung. Entscheidungen darüber, wie wir uns das vorstellen, werden jetzt getroffen und sie werden die Menschheit formen. Ich denke, wir sollten versuchen, am Ende statt eines Geschäftsmodells, auf dessen Entwicklung wir keinen Einfluss haben, unsere eigenen Werte im IoT wiederzufinden."

IoT Design Manifesto

Dem Hype wiederstehen

Der Schnelllebigkeit und dem Druck einer ständig wachsenden Branche bewusst widersetzen, wollen sich die Verfasser des jüngsten Versuchs eines Manifests für das Internet der Dinge. Das IoT Design Manifesto 1.0 [8] versteht sich als Leitlinie für verantwortungsvolles Design in einer vernetzten Welt. In zehn Grundsätzen haben die Initiatoren formuliert, wie sich Dinge für das IoT besser entwerfen lassen. Ihr erster Eckpunkt lautet, nicht einfach jedem Hype zu vertrauen: "Wir versprechen, dem Kult des Neuen gegenüber skeptisch zu sein. Einfach das Internet über ein Produkt zu stülpen ist nicht die Antwort. Vernetzung allein garantiert keinen nachhaltigen geschäftlichen Erfolg."

Wie bei I am the Cavalry mit ihrem Rugged Manifesto oder bei Thingclash stehen die Urheber für ein verantwortungsvolles Handeln im Internet der Dinge – aber nicht nur aus ethischen, sondern auch aus geschäftlichen Gründen. Denn wer nicht nur auf den kurzfristigen Gewinn aus ist, sondern sich mit seinen Ideen langfristig am Markt etablieren möchte, darf die Auswirkungen seiner Produkte auf Kunden und Nutzer nicht vergessen. So erklärt der Designer und Mitbegründer Marcel Schouwenaar, dass das Bedürfnis nach einem Manifest direkt aus dem Arbeitsalltag entstand: Kunden seines Designbüros verlangten nach Produkten, die Schouwenaar und seine Kollegen nicht gutheißen konnten, die sie gar für falsch hielten. Gesichtserkennung in Geschäften zum Beispiel, die mit Verbindung zu entsprechenden Datenbanken erkannt hätte, welcher Kunde schon einmal einen Ladendiebstal begangen hat.

Die Designer waren sich einig, dass solche Programme nicht im Interesse der Allgemeinheit sind: "Wenn wir IoT-Produkte entwerfen und im öffentlichen Raum einsetzen, müssen wir uns der ethischen Tragweite bewusst sein". Weder Schouwenaar noch seine Kollegen hatten das Gefühl, dass ethische Aspekte der Vernetzung bisher genügend berücksichtigt wurden. Auf IoT-Konferenzen, die sie besuchten, standen wirtschaftliche oder technische Themen im Vordergrund. Wenn überhaupt, kam die Sprache vielleicht auf Sicherheit und Datenschutz – allerdings aus Sicht der Unternehmen. So standen in solchen Szenarien etwa Fragen nach dem Schutz der Geschäftsdaten im Raum, um sich vor der Konkurrenz zu schützen. Die Designer fühlten sich damit nicht gut vertreten und wollten ihre Sicht der Dinge in die Diskussion einbringen: "Als Designer bin ich in den Anfangsstadien der Produktentwicklung dabei, kann also wirklich etwas beeinflussen. Als ich andere Designer fragte, ob sie ähnliche Erfahrungen gemacht hatten, wenn es um mangelnde Diskussionen um die ethischen Implikationen eines Produkts ging, war die Antwort eindeutig ja."

Auf der ThingsCon 2015 stellte das Team, das sich aus mehreren Designern und einer Wissenschaftlerin zusammensetzt, das Manifest vor. Es ist nicht nur für Designer gedacht, wie Schouwenaar erklärt: "Jeder, der neue Produkte und Technologien in diesem Bereich entwickelt, ist in gewissem Sinne ein Designer."

Von Anfang an war das Manifest als offenes Dokument gedacht, das durch Diskussionen angepasst und konkretisiert werden sollte. Designer und Programmierer mit akademischem sowie wirtschaftlichen Hintergrund beteiligten sich. Sie alle hatten Vorschläge, meinten aber auch, dass es in ihrem jeweiligen Bereich zu viele spezifische Details gäbe, die sich so einfach nicht generalisieren ließen. Daher ist der momentane Stand der Dinge: Gerade weil das Manifest so generisch ist, lässt es sich in vielen Kontexten einsetzen. Folgerichtig wird es keine nächste, verbesserte Version geben. Vielmehr suchen die Macher jetzt nach Wegen, wie das Manifest konkret zum Einsatz kommen kann, denn das sei im Moment noch das größte Problem.

Viele Designer und Entwickler sind zwar grundsätzlich bereit, den Leitsätzen zuzustimmen, allerdings fehle ein nächster Schritt, damit es nicht beim Lippenbekenntnis bleibe. Schouwenaar gibt zu: "Die passenden Werkzeuge zur Umsetzung haben wir heute noch nicht." Doch das Team arbeite daran und holt sich dabei auch juristischen Rat, damit das Manifest seine Wirkung bald entfalten kann. "Es soll eine Vorlage werden, eine Checkliste, mit der man ein IoT-Vorhaben auf seine Nachhaltigkeit hin überprüfen kann." Im Zuge der Entwicklung konnten die Designer bereits feststellen, dass es schwieriger als gedacht ist, sich an die eignen Richtlinien zu halten: "Wir dachten, wir hätten bisher nichts entworfen, mit dem wir aus ethischer Sicht nicht übereinstimmen. Aber als wir dann unsere Projekte wirklich noch einmal Punkt für Punkt auf die Richtlinien des Manifestes überprüften, stellten wir fest, dass wir unsere neu formulierten Grundsätze nicht immer einhalten konnten."

Gemeinschaftsprojekt ethische Grundlagen

Wenn es schon den Initiatoren eines Manifests für ethischeres Handeln schwer fällt, ihre Richtlinien umzusetzen, liegt die Frage nach dem Rest und der Relevanz der drei genannten Projekte nah. Scott Smith gibt sich wenig Illusionen darüber hin, welche Rolle ethische Diskussionen im gewöhnlichen Arbeitsalltag einnehmen: "Für sich allein gesehen gibt es wenig Anreiz für ein Entwicklerteam, ein IoT-Produkt zu entwerfen, das sich unseren sozio-kulturellen Normen anpasst. Die Anreize, aufregende Hardware oder eine ungewöhnliche Software zu entwickeln, sind viel größer, als sich die Arbeit zu machen, das Produkt unserer Welt anzupassen und dabei unsere Wünsche, Bedürfnisse und Verlangen nach Dingen wie Privatsphäre, Zustimmung, Vertrautheit und intuitiver Bedienung nicht außer Acht zu lassen."

Trotz mangelnder Anreize scheint es aber nicht wenige zu geben, die sich umfassender mit dem Thema beschäftigen wollen. Mit der Resonanz auf Thingclash etwa zeigt sich Smith zufrieden. Gute Reaktionen bekommt er vor allem von unabhängigen Forschern und Designern, auch ein paar Politiker sind dabei. Diese interdisziplinären Bemühungen weiß Smith zu schätzen. Aber zu viel will er nicht auf Hilfe von außen setzen: "Damit das Projekt Erfolg hat, dürfen wir nicht nur mit Gleichgesinnten außerhalb der Grenzen des Technikbetriebs reden, sondern auch mit denen darin. Es gibt dort einige Parallelen zur Nachhaltigkeitsdebatte: Es ist besser, von innen heraus eine Wandel zu bewirken, als von außen mahnend zu rufen."

Marcel Schouwenaar dagegen freut sich über rege Beteiligung über die Grenzen der Branche hinaus: "Ich hatte zu Beginn vermutet, dass überwiegend Designer das Manifest unterzeichnen würden. Es ist dann aber eine schöne Mischung geworden. Wir haben Unterstützer aus dem akademischen Bereich dabei, Softwareingenieure, Plattform- und Hardwareentwickler sowie große und kleine Designunternehmen."

Fazit

Die Frage nach der Notwendigkeit eines moralischen Gesetzes, das Programmierern und Softwarearchitekten beim Entwickeln Grenzen aufzeigt, bleibt nach wie vor bestehen. Scott Smith hält etwas derartiges nicht für nötig, sondern setzt wie so viele auf einen freiwilligen Ansatz: "Da Quellcode heute auf zunehmend mehr Menschen Auswirkungen hat, sollten sich Softwareentwickler Zeit nehmen, um über die Implikationen ihrer Produkte nachzudenken – so wie es ein Ingenieur tun muss, der eine Brücke oder ein Auto baut. Das kostet weder viel Zeit noch es ist besonders schwierig, es braucht nur das generelle Verständnis um den Nutzen einer solchen Überlegung und den Willen, diesen Überlegungen Priorität neben anderen Anforderungen des Projekts einzuräumen. Wenige Menschen wollen mit ihrem Design anderen Individuen oder Gruppen, die sie nicht bedacht haben, aktiv schaden. Es wäre jedoch begrüßenswert, wenn Technologie-Ethik ein Teil der generellen Ausbildung wäre."

Nicht nur die Entwickler sieht Smith in der Pflicht, auch den Nutzer mahnt er zu verantwortungsvollen Entscheidungen: "Entwickler können sich über die Bedeutung und die Konsequenzen ihrer Designs bewusster werden und Nutzer können sich entscheiden, mehr darüber zu wissen, wie ihre Produkte funktionieren und welche Werte in ihnen impliziert sind."

Als unumstößliches Gesetz für den Entwurf von IoT-Produkten will sich auch das IoT Design Manifesto nicht verstanden sehen. Zu vielfältig sind nach Meinung der Initiatoren die Ansprüche der am Entwicklungsprozess beteiligten Berufsgruppen. Gerade in seiner Vagheit liegt ihrer Meinung nach die Stärke des Manifests, weil sich dadurch alle angesprochen fühlen können. Cavallery-Mitgründer Corman plädiert derweil dafür, Nutzen und Gefahren immer wieder aufs Neue gegeneinander abzuwägen. Von Entwicklern fordert er, dass sie sich ihrer Schwächen und Grenzen bewusst sind, dass sie daran aber weder verzweifeln noch eine fatalistische Gleichgültigkeit an den Tag legen. Vielmehr sollen sie auf ihren eigenen moralischen Kompass vertrauen.

Unterm Strich muss jeder Entwickler für sich entscheiden, ob und wie stark er in den von den genannten Gruppen angeregten Dialog eintritt. Eine wünschenswerte Grundhaltung findet sich jedoch im letzten Absatz des IoT Design Manifesto:

"Letztlich sind wir Menschen. Design ist ein einflussreicher Akt. Wir haben mit unserer Arbeit die Macht, Beziehungen zwischen Mensch und Technik, aber auch zwischen Menschen untereinander zu formen. Wir nutzen unseren Einfluss nicht, um Umsatz zu machen oder robotische Herrscher zu schaffen. Stattdessen liegt es in unserer Verantwortung, Design so zu nutzen, dass Menschen, Gemeinschaften und Gesellschaften daran wachsen und gedeihen." (jul [9])

Lisa Öztürkoglu
lebt als freie Autorin in London. Sie schreibt unter anderem über die Wechselwirkungen zwischen Technik und Gesellschaft.


URL dieses Artikels:
http://www.heise.de/-3159932

Links in diesem Artikel:
[1] https://www.wired.de/collection/latest/lebensgefahr-hacker-konnen-den-jeep-cherokee-fernsteuern
[2] http://www.buildingiot.de/veranstaltung-5109-keynote%3A-cybersafety-for-the-internet-of-everything%3A-bits-&-bytes-meet-flesh-&-blood.html?id=5109
[3] https://www.youtube.com/watch?v=rZ6xoAtdF3o
[4] https://www.iamthecavalry.org/
[5] https://www.iamthecavalry.org/domains/medical/oath/
[6] https://www.ruggedsoftware.org/
[7] http://www.thingclash.com/
[8] http://www.iotmanifesto.org/
[9] mailto:jul@heise.de