In den Anfängen

Mittlerweile sind die Möglichkeiten unüberschaubar geworden, Menschen mit Hilfe digitaler Programme in ihren Lebensvollzügen und Lebensplänen zu überwachen. Dies ist aber nicht nur ein Problem im Blick auf höchst sensible, gefährliche wissenschaftliche Forschung. Die neuen Techniken bieten ausgezeichnete Angriffsmöglichkeiten für eine Industrie- und Wirtschaftsspionage.

Selbst staatliche Organisationen beteiligen sich daran, wie der NSA-Abhörskandal zeigt. Hier geht es nicht nur um die Abwehr von Terrorakten, sondern darum, die modernen Methoden zum Wohl der USA, einschließlich der US-Wirtschaft, einzusetzen. Dabei braucht sich die NSA um die Rechtslage in den ausspionierten Ländern nicht zu kümmern.

Auch bei der Unternehmenssicherheit gilt der allgemein gültige ethische Grundsatz: Es gibt keine moralische Verpflichtung jenseits der eigenen Möglichkeiten. Was die Unternehmenssicherheit angeht, kann weder vom Sicherheitspersonal noch von allen übrigen Mitarbeitern gefordert werden, die Arbeitsplätze so abzusichern, dass auf keinen Fall eine Spionage möglich ist.

Computerviren wie Stuxnet, aber auch die Möglichkeiten von Großorganisationen wie der NSA lassen erkennen, dass dieser Forderung nicht nachzukommen ist. Freilich entbindet das niemanden im Unternehmen davon, bestimmte, klar definierte Vorsichtsmaßnahmen einzuhalten, die die Abteilung IT-Sicherheit vorgibt, beispielsweise das Verbot, private USB-Sticks an Dienstcomputer anzustecken. Nur gilt auch hier: Diese Maßnahmen haben zugleich Maß am realen Menschen zu nehmen. So scheint auch unsere Bundeskanzlerin von der modernen Technik im Blick auf Sicherheitsmaßnahmen überfordert gewesen zu sein, da sie unverschlüsselt telefonierte und simste.

Die eingesetzten Systeme verlangen mittlerweile Entscheidungen, die schwer einzuschätzen sind. Ein Beispiel: Die Sekretärin des Chefs beantragt für seine Indienreise ein Visum. Sie muss dazu im Browser die Sicherheitsstufe absenken, sonst lässt sich das Onlineformular des indischen Konsulats nicht ausfüllen. Damit aber wird der Browser möglicherweise zu einem Einfallstor für Viren.

Wie weit können in einem solchen Fall die Zuständigen der Unternehmenssicherheit eingreifen? Geht man unternehmensethisch davon aus, dass Maßnahmen dem Wohl der Menschen gerade auch im Unternehmen dienen sollen, so ist als erste Herausforderung an die Sicherheit im Unternehmen zu klären, welche Sicherheitsmaßnahmen bei den Mitarbeitern realistisch durchsetzbar sind. Es genügt nicht, eine Liste von Vorschriften zu erlassen, die viele Mitarbeiter nicht nachvollziehen können. Die Materie ist einfach zu komplex geworden.

Viele Firmen verlangen von den Mitarbeitern, Kennwörter nach drei oder sechs Monaten zu ändern. Aber erst wenn Routinen eingebaut sind, die zu einer entsprechenden Änderung zwingen, werden die Mitarbeiter einer solchen Regel folgen.

Der Preis für derartige Vorschriften ist nicht zu unterschätzen. Da mittlerweile E-Mails über die Cloud von überall her abgerufen werden können, müssen die Kennwörter entsprechend synchronisiert werden. Sicherheitsmaßnahmen kosten also gutes Geld des Unternehmens.

Außerdem lassen sich gerade mit Blick auf die elektronische Post eine Fülle von Maßnahmen unterlaufen, da beispielsweise Googlemail bequem und einfach zu bedienen ist und so unkompliziert zu funktionieren scheint. Für eine ethische Bewertung der Wirtschaftsspionage hängt also bei den Sicherheitsmaßnahmen sehr viel von den Menschen im Unternehmen ab. Außerdem von den Kosten, die man bereit ist, für die Maßnahmen zu investieren, von Zeit und Geld, die dafür an anderer Stelle eingespart werden müssen. Schließlich müssen diese Kosten in einer vertretbaren Relation zum möglichen Schaden für das Unternehmen durch Datendiebstahl stehen.

Eine Ethik der Sicherheit im Unternehmen steht erst in den Anfängen. Nur wenn sie die Grenzen und Möglichkeiten aller Mitarbeitenden ernst nimmt – einschließlich der für die Sicherheit Verantwortlichen – wird sie für Unternehmen lebensdienliche Normen aufstellen. Sicherheitsleitlinien im Sinne von moralischen Appellen allein werden der Aufgabe, das Unternehmen beispielsweise vor Diebstahl und Spionage zu schützen, sicher nicht gerecht. Sie können sogar das Gegenteil von dem bewirken, was sie intendieren.

Der Sicherheitschef eines Unternehmens weiß, dass es im Führungspersonal einen Maulwurf gibt. Er steht nun vor der Frage: Zapfe ich alle Telefone und Computer des Führungspersonals an, um den Maulwurf zu finden? Wenn dies rechtlich zulässig wäre, dann gibt es einen Konflikt zwischen mindestens drei ethisch relevanten Werten: dem Unternehmenswohl, der Privatsphäre der Führungskräfte und dem eigenen Wohl als Sicherheitschef, der möglicherweise seine Karriere gefährdet, und zwar sowohl für den Fall, dass er die Privatsphäre respektiert, aber nicht das Unternehmenswohl präferiert, als auch für den umgekehrten Fall.

Wenn dies rechtlich nicht zulässig wäre, dann kommt auf der Negativseite erschwerend hinzu, dass die Anzapfaktion, wenn sie publik würde, dem Image des Unternehmens schadet und der Sicherheitschef straf- und zivilrechtliche Konsequenzen befürchten müsste.

Wer unternehmensethisch von einer kantischen Position ausgeht, wird sich die grundsätzliche Frage stellen, ob die Handlung (Anzapfen der Telefone und Computer) dem kategorischen Imperativ entsprechen könnte, also ob es eine Regel geben kann, die es erlaubt, das Vertrauen der Führungskräfte in ihre Privatsphäre zu verletzen. Dies ist wohl im Rahmen einer derartigen Ethik selbst dann nicht zulässig, wenn es das geltende Recht zuließe.

Anders verhält es sich, wenn man von einer utilitaristisch geprägten Unternehmensethik ausginge. In diesem Fall müsste sich der Sicherheitschef fragen, ob eher die Handlung oder das Unterlassen der Handlung den größtmöglichen Nutzen bringt, freilich nicht nur für das eigene Unternehmen, sondern insgesamt für das Gemeinwohl aller Lebewesen, die Interessen haben.

Nochmals anders verhält es sich, wenn der Sicherheitschef der traditionellen Ethik folgt, die Aristoteles begründet hat. Dann hat sein eigenes gutes Leben Vorrang, freilich nicht im Sinne eines Egoismus, der den eigenen Nutzen maximiert, sondern im Sinne eines Menschen, der nur dann glücklich sein kann, wenn er selbst, aber auch seine Familie, sein Unternehmen und der Staat, in dem er lebt, „blüht und gedeiht“. In einer solchen Güterabwägung wird es wohl von entscheidender Bedeutung sein, ob das geltende Recht die Handlung erlaubt oder verbietet. Im ersten Fall wird er abhören, im Verbotsfall dagegen dem geltenden Recht folgen, es sei denn, er hält die Rechtsvorschriften für so gravierend fehlerhaft, dass die Tugend der Gerechtigkeit ein Handeln verlangt, das den Vorschriften widerspricht.

Noch einmal anders würde eine ordonomische Unternehmensethik argumentieren. Sie würde verlangen, dass das geltende Recht, also die Regelebene, so gestaltet wird, dass sie möglicherweise in bestimmten Fällen dem Sicherheitschef sogar vorschreibt, die Abhör- und Überwachungsaktion zu starten. Allerdings ist bei einer solchen Regelung zu bedenken, dass dieser tiefe Eingriff in die Privatsphäre nicht nur ethisch, sondern auch politisch und rechtlich problematisch sein würde. Andererseits würde eine derartige Regelung den Sicherheitschef nicht in das Dilemma bringen, sein Eigeninteresse zu gefährden, sondern den ethischen Konfliktfall ordonomisch, also auf der Regelebene zu lösen.