Externalitätsprobleme
Dies Problem Externalität ist verwandt mit dem Trittbrettfahrerproblem, aber bei Externalitäten geht es darum, dass Kosten nicht vom Verursacher getragen werden. Ein gutes Beispiel ist Spam-Email, das ca. 90% des Email-Verkehrs ausmacht (und damit einen erheblichen Kostenfaktor für die Internet-Infrastruktur darstellt), aber für den Spam-Versender nur extrem geringe Kosten verursacht.
Ein weiteres Problem das 2016 deutlich wurde sind die unsicheren Internet-of-Things Geräte (IoT), z.B. die privaten Überwachungskameras, aber auch die ganzen intelligenten Geräte die jetzt mit Macht in unsere Heime wollen, von der intelligenten Waschmaschine, über den Kühlschrank mit Internet-Anschluss bis zu den Glühbirnen die über das Internet gedimmt werden.
2016: Zig Millionen von unsicheren Videokameras und anderen Geräten im Internet werden für Denial of Service Angriffe (dDoS) genutzt, die ungewöhnlich hohe Bandbreiten erzeugen. Am 21. Okt. 2016 wurden große Teile der US-Infrastruktur durch einen Angriff gegen die Firma Dyn DNS lahm gelegt, betroffen sind z.B. Amazon, Spotify, Twitter, Paypal und viele andere. Cisco schätzt, dass es heute bereits 15 Milliarden vernetzte Geräte weltweit gibt. Getrieben durch den "Smart"-Boom könnten es bis 2020 bereits 50 Milliarden sein. Chiphersteller Intel geht sogar von 200 Milliarden aus.
Diese Geräte sind in vielen Fällen Billig-Artikel, deren Hersteller kein Interesse daran haben, die Geräte durch Sicherheitstechnologien wie Verschlüsselung des Datenverkehrs oder durch die Möglichkeit, später die Firmware zu aktualisieren zu verteuern. Bruce Schneier sagt korrekt, dass dies ein extremes Marktversagen ist (wie eigentlich alle Fälle von Externalitäten). Die Hersteller können kein Interesse haben, die Geräte teurer und damit finanziell unattraktiver zu machen, die Käufer der Geräte leiden nur sehr bedingt unter den Unsicherheiten, aber es ist die große Öffentlichkeit die unter den Angriffen durch die Botnetze aus billigen Geräten leidet. Der Hersteller vertreibt längst ein Nachfolgeprodukt (das vermutlich andere Schwachstellen hat) und kann es sich gar nicht leisten, eine neue Firmware für die alten Geräte entwickeln und verteilen zu lassen.
Dies ist eine Problemstellung, die durch den Markt nicht behoben werden kann. Wenn Käufer und Verkäufer kein Interesse an erhöhter Sicherheit haben, aber Schäden bei Dritten auftreten, so kann nur jemand der über dem Markt steht, dies Problem beheben. Dies könnte ein Gesetzgeber sein, aber leider ist dies kein nationales Problem und Gesetze werden typischerweise auf nationaler Ebene gemacht. Ein US- oder EU-Gesetz das unsichere Geräte verbietet ist für einen chinesischen Hersteller erst mal uninteressant, solange er die Möglichkeit hat, seine Geräte trotzdem in den USA oder der EU zu verkaufen. Eine Regulierung, die von den Herstellern von Billig-Videokameras eine Zertifizierung im Hinblick auf Sicherheit gegen Angriffe aus dem Internet verlangt würde den Markt für billige Geräte austrocknen. Bei einem Gerät unter 100 Euro rechnet sich die Zertifizierung nicht. Und die alten Geräte werden noch für 10 Jahre weiter als Bedrohung im Netz bleiben.
Ein mittlerweile nicht mehr ganz akutelles Beispiel für Externalitäten waren bis ca. 2016 ungepatchte Heim-PCs die für Botnetze genutzt werden. Dabei sind die eigentlichen primären Verursacher die Kriminellen, die fremde Rechner und das öffentliche Gut "Internet" für ihren finanziellen Vorteil nutzen wollen. Dann kommen als sekundäre Verursacher die Software-Hersteller in Frage, deren mangelhafte Software-Qualität (siehe Artikel Lausige Software) erst diese Fremdnutzung ermöglicht und die die Arbeit der Software-Nachbesserung den Anwendern überlassen. An dritter Stelle sind dann die Heim-PC-Nutzer, die aus Unkenntnis, Uninteresse oder anderen Gründen die Sicherheits-Aktualisierungen ihrer Rechner nicht aktiviert haben. Hier entstanden bis 2016 zwar Kosten (d.h. Aufwand) wenn der Rechner "gar zu sehr spinnt", aber die eigentlichen Kosten entstehen bei den Opfern der kriminellen Aktivitäten, z.B. der Denial-of-Service Angriffe.
Die neue Geschäftsoption Ransomware hat die Situation aber dramatisch verändert. Die Schäden durch die unsichere Software treten jetzt bei den Nutzern auf die entweder ihre Dateien verlieren oder Lösegeld zahlen. Ersten sind die Gewinne durch Ransomwäre sind so gigantisch, zweitens können die Internet-of-Things Geräte so viel leichter und länger für Botnets genutzt werden (die durchschnittliche "Lebensdauer" eines PCs im Botnet ist nur ein paar Tage, dann merkt der Nutzer etwas und bemüht sich das Gerät "zu fixen", die Kameras sind meist nicht "reparierbar", d.h. sie werden den Rest ihrer Lebensdauer als Mitglied eines Botnets fristen).
Informationssicherheitsprobleme sind zum guten Teil eine Mischung aus Externalitätsproblemen und Trittbrettfahrer-Effekten. Kriminelle suchen Aktivitäten, bei denen Kosten von der Allgemeinheit oder anderen getragen werden, Schäden bei anderen auftreten und wo für sie selbst nur Vorteile zu finden sind.
Der Artikel So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users bringt gute Beispiele für Externalitäten bei Sicherheitsabwägungen zu Spam und Phishing. In beiden Fällen sind die Kosten beim Angreifer extrem gering, beim direkten Opfer halten sie sich (statistisch gesehen) sehr in Grenzen, aber bei den Anbietern von Infrastruktur (in diesen beiden Fällen die Internet-Provider und die Banken) fallen Kosten an, die das tausend- bis millionenfache der Gewinner der Täter ausmachen.
An anderer Stelle bringe ich 2011-aktualsierte Beispiele für die Auswirkungen von Externallitäten, nämlich bei der Gesichtserkennung / Face Recognition.
Noch ein Beispiel aus 2014: Der Target Data Breach: Data breaches may cost less than the security to prevent them. Der US Einzelhändler hat sich 40 Mio Kreditkartendaten abnehmen lassen plus 70 Mio Kundendaten. Das Weihnachtsgeschäft ist ordentlich eingebrochen: $225 Mio Schaden. Die Versicherung hat davon $162 Mio übernommen, das ganze war steuerlich absetzbar - verbliebener Schaden $105 Mio, 0,1% des Umsatzes = Peanuts. Die US Community Banks und Credit Unions berichten, dass sie durch den Breach auf Schäden von $200 Mio hängen geblieben sind (Austausch von Kreditkarten, Schäden durch illegale Nutzung die nicht weiter verrechnet werden konnten) - man nennt so was Externalität, wenn die Schäden nicht beim Verursacher aufschlagen.
2016 haben wir noch ein sehr gutes Beispiel für Externalitäten: Die Angriffe aus dem Internet of Things, den gehackten Kameras und anderen Geräten. Bruce Schneier schreibt in We Need to Save the Internet from the Internet of Things dass es sehr schwer sein wird, das Internet gegen die unsicheren Dinge zu schützen. Er schreibt:
The market can't fix this because neither the buyer nor the seller
cares. Think of all the CCTV cameras and DVRs used in the attack against
Brian Krebs. The owners of those devices don't care. Their devices were
cheap to buy, they still work, and they don't even know Brian. The
sellers of those devices don't care: they're now selling newer and
better models, and the original buyers only cared about price and
features. There is no market solution because the insecurity is what
economists call an externality: it's an effect of the purchasing
decision that affects other people. Think of it kind of like invisible
pollution.
What this all means is that the IoT will remain insecure unless
government steps in and fixes the problem. When we have market failures,
government is the only solution. The government could impose security
regulations on IoT manufacturers, forcing them to make their devices
secure even though their customers don't care. They could impose
liabilities on manufacturers, allowing people like Brian Krebs to sue
them. Any of these would raise the cost of insecurity and give companies
incentives to spend money making their devices secure.
Of course, this would only be a domestic solution to an international
problem. The Internet is global, and attackers can just as easily build
a botnet out of IoT devices from Asia as from the United States. Long
term, we need to build an Internet that is resilient against attacks
like this. But that's a long time coming. In the meantime, you can
expect more attacks that leverage insecure IoT devices.
Wieder haben wir das Problem, dass die Schäden weder beim Verursacher, noch beim Nutzer entstehen. Beide könnten (theoretisch) die Probleme beheben (vermutlich indem die Geräte verschrottet werden), aber die Schäden entstehen an ganz anderen Stellen. Da müsste ein dritter her, z.B. die Politik mit Gesetzen die Schadensersatz verankern. Bruce bezweifelt aber, dass es z.B. der US-Regierung gelingen kann, solche Gesetze gegenüber chinesischen Billiganbietern durchzusetzen.