Konzepte der Informationssicherheit und Sicherheitsökonomie
Autor: Philipp Schaumann
Stand Dez. 2009
Public Goods - öffentliche Güter - Allmendegut
Reine öffentliche Güter zeichnen sich im Konsum durch die Eigenschaften Nicht-Ausschließbarkeit und Nicht-Rivalität aus. Unreine öffentliche Güter sind Güter, die die Kriterien für öffentliche Güter nur teilweise erfüllen.
Nicht-Rivalität (non-rivalrous): kann zur gleichen Zeit von verschiedenen Individuen genutzt werden, z.B. öffentlicher Rundfunk. Digitale Güter, z.B. MP3-Dateien sind auf Grund ihrer leichten Reproduzierbarkeit nahezu nicht-rival. Erste durch diese Eigenschaft entsteht die Möglichkeit des Peer-to-Peer Filesharings (im Gegensatz zu Schallplatte und CD, die nur sehr eingeschränkt kopierbar sind und im Original nur von einer Person zu einer Zeit genutzt werden können).
Wissen (knowledge, know-how) ist ebenfalls nicht-rival. Wenn es weitergegeben wird, so verbraucht es sich dadurch nicht. Es ist auch sehr leicht vervielfältigbar und wird daher zum Teil durch Patente geschützt.
Nicht-Ausschließbarkeit (non-excludable): das öffentliche Gut steht allen ohne Einschränkung zur Verfügung. "Saubere Umwelt" oder ein Deich ist ein Beispiel dafür. Andere Güter, z.B. das Wissen das in der Wikipedia uneingeschränkt zugänglich ist, setzt einen Internet-Anschluss voraus und ist daher in Entwicklungsländern nur eingeschränkt verfügbar.
Für "reine öffentliche Güter" kann es keinen Markt geben, da die Nachfrage unbegrenzt befriedigt werden kann. Sie können dadurch auch einen verhandenen Markt zerstören, so wie die Wikipedia die kommerziellen Lexikon-Verlage.
Tragedy of the Commons - Trittbrettfahrer
Unter Tragedy of the Commons versteht man die Übernutzung eines nicht-ausschließlichen Gutes, z.B. die Überweidung einer Gemeinschaftsweide oder die Überfüllung eines öffentlichen (nicht-maut) Straße. Hier tritt der Effekt der Trittbrettfahrer ein (free-loader), die ein solches Gut nutzen ohne am Erhalt beteiligt zu sein. Eine gewisse Menge Trittbrettfahrer kann tolerabel sein - so beteiligt sich z.B. bei der Wikipedia nur ein sehr geringer Teil der Nutzer an der Erstellung und Pflege und auch an der finanziellen Unterstützung durch Spenden für die nicht unerheblichen IT-Kosten.
In anderen Fällen, z.B. bei der peer-to-peer Filesharing Plattform BitTorrent werden Trittbrettfahrer (die nur Dateien herunterladen aber keine anbieten) durch eine niedrige Priorität "bestraft".
Über ähnliche "Bestrafungen" (d.h. höhere Preise oder geringere Priorität) denken die Internet-Service-Provider (ISP) immer wieder nach, wenn es um die Filesharer und den Bandbreitenverbrauch geht. ISPs sagen, dass wenige Intensiv-Nutzer, die DVDs sharen, einen großen Teil der Internet-Brandbreite verbrauchen (und damit Kosten verursachen, die auf alle umgelegt werden).
Externalitätsprobleme
Dies Problem Externalität ist verwandt mit dem Trittbrettfahrerproblem, aber hierbei geht es um Kosten die nicht vom Verursacher getragen werden. Ein gutes Beispiel ist Spam-Email, das heute (2009) 90% des Email-Verkehrs ausmacht (und damit einen erheblichen Kostenfaktor für die Internet-Infrastruktur darstellt), aber für den Spam-Versender nur extrem geringe Kosten verursacht.
Das gleiche gilt weitghehend für fehlerhafte Software. Die Nutzer müssen auf eigene Kosten die Pflege der Software durch Installation von Patches betreiben, ohne dafür entschädigt zu werden (anders als bei einer regulären Ware während der Gewährleistung).
Ein weiteres Beispiel sind die vielen ungepatchten Heim-PCs die für Botnetze genutzt werden. Die eigentlichen primären Verursacher sind die Kriminellen, die fremde Rechner und das öffentliche Gut "Internet" für ihren ökonomischen Vorteil nutzen wollen. Dann kommen als sekundäre Verursacher die Software-Hersteller in Frage, deren mangelhafte Software-Qualität (siehe Artikel Lausige Software) erst diese Fremd-Nutzung ermöglicht und die die Arbeit der Software-Nachbesserung den Anwendern überlassen. An dritter Stelle sind dann die Heim-PC-Nutzer, die aus Unkenntnis, Uninteresse oder anderen Gründen die Sicherheits-Aktualisierungen ihrer Rechner nicht aktiviert haben. Hier können zwar Kosten (d.h. Aufwand) entstehen, wenn der Rechner "gar zu sehr spinnt", aber die eigentlichen Kosten entstehen bei den Opfern der kriminellen Aktivitäten, z.B. der Denial-of-Service Angriffe.
Informationssicherheitsprobleme sind zum guten Teil eine Mischung aus Externalitätsproblemen und Trittbrettfahrer-Effekten. Kriminelle suchen Aktivitäten, bei denen Kosten von der Allgemeinheit oder anderen getragen werden, Schäden bei anderen auftreten und bei sich selbst nur Vorteile zu finden sind.
Der Artikel So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users bringt gute Beispiele für Externalitäten bei Sicherheitsabwägungen zu Spam und Phishing. In beiden Fällen sind die Kosten beim Angreifer extrem gering, beim direkten Opfer halten sie sich (statistisch gesehen) sehr in Grenzen, aber bei den Anbietern von Infrastruktur (in diesen beiden Fällen die Internet-Provider und die Banken) fallen Kosten an, die das tausend- bis millionenfache der Gewinner der Täter ausmachen.
Hidden-Action - Hidden Information - Moral hazard
Moral hazard bezeichnet eine Verhaltensänderung dadurch dass jemand weiß, dass sein Verhalten für ihn selbst nicht zu einem Schaden führt. Z.B. weil er eine Versicherung gegen dieses Risiko hat.
Verbunden mit der Hidden-Action/Hidden Information-Problematik (dass die Versicherung nicht weiß, welcher der Kunden ein Versicherungsbetrüger ist) entsteht ein Problem mit externalisierten Kosten (z.B. Vandalismus - im realen Leben oder besonders auch im Internet wegen der relativen Anonymität).
Um mit der Hidden Information (nämlich wer brav ist und wer nicht) werden Verfahren wie CAPTCHAs eingesetzt, die zwar für alle Nutzer Kosten (Aufwand) erzeugen, bei denen man aber davon ausgeht, dass der "brave" Nutzer bereit ist, diese aufzubringen (und die eine Automatisierung erheblich erschweren). Dazu gehören auch die Registrierungen (kostenlos oder gegen Gebühr) bevor man gewisse Websites nutzen kann.
Viele Beispiele für Externalitäten, Hidden Action und Hidden Information finden sich in einem sehr guten Überblicksartikel zum Stand der Forschung zu Information Security Economics - and Beyond. Dort findet sich auch eine ausführliche Literaturliste zu diesem Thema und Vorschläge für Public Policies, z.B. EU Regulierungen die helfen sollen, externalisierte Probleme zu internalisieren.
Autor: Philipp Schaumann, http://sicherheitskultur.at/
Home
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz