Inhaltsübersicht

• Bedrohungsanalyse, Attack-Tree, Vulnerability Landscape und Defense-in-Depth
• Public Goods - öffentliche Güter
• Tragedy of the Commons - Trittbrettfahrer
• Externalitätsprobleme
• Hidden-Action - Hidden Information - Moral hazard
• Hyperbolic Discounting

 

 

Security Concepts - Konzepte der Informationssicherheit und Sicherheitsökonomie

Autor: Philipp Schaumann

Stand Nov. 2016

Bruce Schneier betont in seinen Veröffentlichungen immer wieder, dass wir (d.h. die Gesellschaft) einen anderen Zugang zu Sicherheitsfragen brauchen als wir bisher haben. Hier schreibt er über The Importance of Security Engineering. Was er mit diesem Begriff sagen will ist, dass Sicherheitsanalysen von Amateuren sehr oft "in die Hose gehen". Er nimmt als Beispiel eine Debatte in der er über die Frage diskutiert hat, ob am Flughafen Muslime strenger gecheckt werden sollten. Er schreibt, die Debatte selbst ist uninteressant, weil die beiden konsistent aneinander vorbei argumentiert haben. Der andere ging vom gesunden Bauchgefühl aus, Bruce Schneier hat versucht, das Problem mit Bedrohungsanalyse und Aufzeigen der Vulnerability Landscape zu erklären. Das war aber nicht zu vermitteln.

Bedrohungsanalyse, Attack-Tree, Vulnerability Landscapes und Defense-in-Depth

Um ein Sicherheitsproblem zu analysieren ist es extrem hilfreich, die Bedrohungen systematisch zu ergründen. Das nennt man Threat Analysis. Dies ist ein unumgänglicher Schritt bei einer gründlichen Risiko- oder Sicherheitsstudie. Nur so ist es möglich, ALLE Schwachpunkte einer Lösung zu finden. Und das ist (leider) die Herausforderung: Der Angreifer braucht nur 1 schwache Stelle zu finden, der Verteidiger muss ALLE schwachen Stellen identifizieren und für jede dieser Schwachstellen eine Gegenmaßnahme implementieren.

Zu diesem Zweck versetzt man sich in einen Angreifer: was will er erreichen und welche Möglichkeiten hat er, zu sein Ziel zu kommen. Eine wichtige Technik kann dafür das Konzept des "Vulnerability Landscapes" nach Bruce Schneier sein. Der Verteidiger versetzt sich die Angreiferrolle und skiziert die verschiedenen Möglichkeiten des Angriffs. In dem hier gezeigten Beispiel geht es darum, Informationen aus einem Unternehmen zu stehlen. Die Möglichkeiten reichen vom physischen Eindringen in das Gebäude über Eindringen über Schwachstellen in der IT bis zum Versand von Trojaner in Pseudo-Spam.

Defense-in-Depth
Unter dieser Kette von Angriffsmöglichkeiten (so stark wie ihr schwächstes Glied) ist dann Defense-in-Depth dargestellt. Dafür zeichnet man unter jede der Verwundbarkeiten Gegenmaßnahmen. Defense-in-Depth fordert, dass diese als Verteidigungsschichten organisiert sein müssen. Dabei wird unterschieden in Methoden der Prävention, Methoden der Entdeckung und Methoden des Umgangs mit dem Angriff nach dem er passiert ist. Wichtig ist dabei, dass kein Angriffstyp übersehen wird und dass gegen jeden der Angriffe mehr als eine Verteidigungsschicht existiert (denn jeder Schutz hat eine Wahrscheinlichkeit, im Bedarfsfall zufällig zu versagen).

"Vulnerability Landscapes" nach Bruce Schneier

Wie in der Graphik oben dargestellt, zeigt sich hier z.B., dass der Schutz gegen Social Engineering (wie bei ganz vielen Unternehmen) am lückenhaftesten ist, d.h. diese Verteidigung hat die geringste Tiefe. Ziel dieses schematischen Vorgehens ist es, möglichst keinen Angriffstyp auszulassen. Zu diesem Zweck wird es sinnvoll sein, ein Brainstorming mit Personen zu veranstalten, die Erfahrungen mit solchen Problemen haben, denn nur auf diese Weise kann man annehmen, dass man alle möglichen Bedrohungen erwischt hat.

Ein weiterer Aspekt, der bei der Erarbeitung des Vulnerability Landscapes berücksichtigt werden muss, ist, dass ein Angriff in allen zeitlichen Phasen eines Projekts oder eines "Lebenszyklus" eines Gerätes stattfinden kann: eine Schwachstelle, die bereits in der Designphase eingebaut wurde, bleibt immer eine Bedrohung und oft wird bei der Planung von IT-Projekten die Sicherheitsplanung im Reparaturfall und bei der Entsorgung nicht ausreichend berücksichtigt. Z.B. sollte die meiste Zeit bei der Sicherheitsplanung von Smartcard-Projekten darauf verwendet werden, Szenarien durchzuspielen, die Fälle wie Verlust und Diebstahl der Karten und das Vergessen des PIN-Codes während einer Dienstreise betreffen.

Ein anderes Beispiel betrifft die Sicherheit von Passworten. Die oft zitierte (und sehr korrekte) Forderung nach starken, d.h. langen und komplexen Passworten ist natürlich richtig, aber betrifft nur 1 von mehr als 10 Möglichkeiten, die Sicherheit von Passworten zu unterminieren - nämlich das Knacken durch Brute Force. Wie ich an anderer Stelle aufzeige sind andere Schwachstellen oft leichter auszunutzen, z.B. die "Passwort-Vergessen" Funktionalität. Hier mehr zum Thema Passworte.

Von Bruce Schneier gibt es eine weitere strukturierte Methode um Bedrohungen systematisch zu erarbeiten: Attack Trees. Der hier verlinkte Artikel erklärt die Vorgehensweise, die sehr analog zu der weiter oben beschriebenen ist, aber in einer etwas anderen Darstellung mündet.

Methoden des Threat Modelling
Eine sehr systematische Herangehensweise an die Bewertung von Bedrohungen, speziell beim Entwickeln von Computer Programmen, ist Threat Modelling. Dies wird ausführlicher im Artikel zu Risikoanalyse beschrieben.

An anderer Stelle verlinke auf einen Artikel von Bruce Schneier: How to Break Into Security. Dort versucht er zu erklären, wie man solch ein Denken in Sicherheits-Kategorien lernen kann.

Reine öffentliche Güter zeichnen sich im Konsum durch die Eigenschaften Nicht-Ausschließbarkeit und Nicht-Rivalität aus. Unreine öffentliche Güter sind Güter, die die Kriterien für öffentliche Güter nur teilweise erfüllen.

Nicht-Rivalität (non-rivalrous): kann zur gleichen Zeit von verschiedenen Individuen genutzt werden, z.B. öffentlicher Rundfunk. Digitale Güter, z.B. MP3-Dateien sind auf Grund ihrer leichten Reproduzierbarkeit nahezu nicht-rival. Erste durch diese Eigenschaft entsteht die Möglichkeit des Peer-to-Peer Filesharings (im Gegensatz zu Schallplatte und CD, die nur sehr eingeschränkt kopierbar sind und im Original nur von einer Person zu einer Zeit genutzt werden können).

Wissen (knowledge, know-how) ist ebenfalls nicht-rival. Wenn es weitergegeben wird, so verbraucht es sich dadurch nicht. Es ist auch sehr leicht vervielfältigbar und wird daher zum Teil durch Patente geschützt.

Nicht-Ausschließbarkeit (non-excludable): das öffentliche Gut steht allen ohne Einschränkung zur Verfügung. "Saubere Umwelt" oder ein Deich ist ein Beispiel dafür. Andere Güter, z.B. das Wissen das in der Wikipedia uneingeschränkt zugänglich ist, setzt einen Internet-Anschluss voraus und ist daher in Entwicklungsländern nur eingeschränkt verfügbar.

Für "reine öffentliche Güter" kann es keinen Markt geben, da die Nachfrage unbegrenzt befriedigt werden kann. Sie können dadurch auch einen verhandenen Markt zerstören, so wie die Wikipedia die kommerziellen Lexikon-Verlage.

Unter Tragedy of the Commons versteht man die Übernutzung eines nicht-ausschließlichen Gutes, z.B. die Überweidung einer Gemeinschaftsweide oder die Überfüllung eines öffentlichen (nicht-maut) Straße. Hier tritt der Effekt der Trittbrettfahrer ein (free-loader), die ein solches Gut nutzen ohne am Erhalt beteiligt zu sein. Eine gewisse Menge Trittbrettfahrer kann tolerabel sein - so beteiligt sich z.B. bei der Wikipedia nur ein sehr geringer Teil der Nutzer an der Erstellung und Pflege und auch an der finanziellen Unterstützung durch Spenden für die nicht unerheblichen IT-Kosten.

In anderen Fällen, z.B. bei der peer-to-peer Filesharing Plattform BitTorrent werden Trittbrettfahrer (die nur Dateien herunterladen aber keine anbieten) durch eine niedrige Priorität "bestraft".

Über ähnliche "Bestrafungen" (d.h. höhere Preise oder geringere Priorität) denken die Internet-Service-Provider (ISP) immer wieder nach, wenn es um die Filesharer und den Bandbreitenverbrauch geht. ISPs sagen, dass wenige Intensiv-Nutzer, die DVDs sharen, einen großen Teil der Internet-Brandbreite verbrauchen (und damit Kosten verursachen, die auf alle umgelegt werden).

Dies Problem Externalität ist verwandt mit dem Trittbrettfahrerproblem, aber bei Externalitäten geht es darum, dass Kosten nicht vom Verursacher getragen werden. Ein gutes Beispiel ist Spam-Email, das ca. 90% des Email-Verkehrs ausmacht (und damit einen erheblichen Kostenfaktor für die Internet-Infrastruktur darstellt), aber für den Spam-Versender nur extrem geringe Kosten verursacht.

Ein weiteres Problem das 2016 deutlich wurde sind die unsicheren Internet-of-Things Geräte (IoT), z.B. die privaten Überwachungskameras, aber auch die ganzen intelligenten Geräte die jetzt mit Macht in unsere Heime wollen, von der intelligenten Waschmaschine, über den Kühlschrank mit Internet-Anschluss bis zu den Glühbirnen die über das Internet gedimmt werden.

2016: Zig Millionen von unsicheren Videokameras und anderen Geräten im Internet werden für Denial of Service Angriffe (dDoS) genutzt, die ungewöhnlich hohe Bandbreiten erzeugen. Am 21. Okt. 2016 wurden große Teile der US-Infrastruktur durch einen Angriff gegen die Firma Dyn DNS lahm gelegt, betroffen sind z.B. Amazon, Spotify, Twitter, Paypal und viele andere. Cisco schätzt, dass es heute bereits 15 Milliarden vernetzte Geräte weltweit gibt. Getrieben durch den "Smart"-Boom könnten es bis 2020 bereits 50 Milliarden sein. Chiphersteller Intel geht sogar von 200 Milliarden aus.

Diese Geräte sind in vielen Fällen Billig-Artikel, deren Hersteller kein Interesse daran haben, die Geräte durch Sicherheitstechnologien wie Verschlüsselung des Datenverkehrs oder durch die Möglichkeit, später die Firmware zu aktualisieren zu verteuern. Bruce Schneier sagt korrekt, dass dies ein extremes Marktversagen ist (wie eigentlich alle Fälle von Externalitäten). Die Hersteller können kein Interesse haben, die Geräte teurer und damit finanziell unattraktiver zu machen, die Käufer der Geräte leiden nur sehr bedingt unter den Unsicherheiten, aber es ist die große Öffentlichkeit die unter den Angriffen durch die Botnetze aus billigen Geräten leidet. Der Hersteller vertreibt längst ein Nachfolgeprodukt (das vermutlich andere Schwachstellen hat) und kann es sich gar nicht leisten, eine neue Firmware für die alten Geräte entwickeln und verteilen zu lassen.

Dies ist eine Problemstellung, die durch den Markt nicht behoben werden kann. Wenn Käufer und Verkäufer kein Interesse an erhöhter Sicherheit haben, aber Schäden bei Dritten auftreten, so kann nur jemand der über dem Markt steht, dies Problem beheben. Dies könnte ein Gesetzgeber sein, aber leider ist dies kein nationales Problem und Gesetze werden typischerweise auf nationaler Ebene gemacht. Ein US- oder EU-Gesetz das unsichere Geräte verbietet ist für einen chinesischen Hersteller erst mal uninteressant, solange er die Möglichkeit hat, seine Geräte trotzdem in den USA oder der EU zu verkaufen. Eine Regulierung, die von den Herstellern von Billig-Videokameras eine Zertifizierung im Hinblick auf Sicherheit gegen Angriffe aus dem Internet verlangt würde den Markt für billige Geräte austrocknen. Bei einem Gerät unter 100 Euro rechnet sich die Zertifizierung nicht. Und die alten Geräte werden noch für 10 Jahre weiter als Bedrohung im Netz bleiben.

Ein mittlerweile nicht mehr ganz akutelles Beispiel für Externalitäten waren bis ca. 2016 ungepatchte Heim-PCs die für Botnetze genutzt werden. Dabei sind die eigentlichen primären Verursacher die Kriminellen, die fremde Rechner und das öffentliche Gut "Internet" für ihren finanziellen Vorteil nutzen wollen. Dann kommen als sekundäre Verursacher die Software-Hersteller in Frage, deren mangelhafte Software-Qualität (siehe Artikel Lausige Software) erst diese Fremdnutzung ermöglicht und die die Arbeit der Software-Nachbesserung den Anwendern überlassen. An dritter Stelle sind dann die Heim-PC-Nutzer, die aus Unkenntnis, Uninteresse oder anderen Gründen die Sicherheits-Aktualisierungen ihrer Rechner nicht aktiviert haben. Hier entstanden bis 2016 zwar Kosten (d.h. Aufwand) wenn der Rechner "gar zu sehr spinnt", aber die eigentlichen Kosten entstehen bei den Opfern der kriminellen Aktivitäten, z.B. der Denial-of-Service Angriffe.

Die neue Geschäftsoption Ransomware hat die Situation aber dramatisch verändert. Die Schäden durch die unsichere Software treten jetzt bei den Nutzern auf die entweder ihre Dateien verlieren oder Lösegeld zahlen. Ersten sind die Gewinne durch Ransomwäre sind so gigantisch, zweitens können die Internet-of-Things Geräte so viel leichter und länger für Botnets genutzt werden (die durchschnittliche "Lebensdauer" eines PCs im Botnet ist nur ein paar Tage, dann merkt der Nutzer etwas und bemüht sich das Gerät "zu fixen", die Kameras sind meist nicht "reparierbar", d.h. sie werden den Rest ihrer Lebensdauer als Mitglied eines Botnets fristen).

Informationssicherheitsprobleme sind zum guten Teil eine Mischung aus Externalitätsproblemen und Trittbrettfahrer-Effekten. Kriminelle suchen Aktivitäten, bei denen Kosten von der Allgemeinheit oder anderen getragen werden, Schäden bei anderen auftreten und wo für sie selbst nur Vorteile zu finden sind.

Der Artikel So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users bringt gute Beispiele für Externalitäten bei Sicherheitsabwägungen zu Spam und Phishing. In beiden Fällen sind die Kosten beim Angreifer extrem gering, beim direkten Opfer halten sie sich (statistisch gesehen) sehr in Grenzen, aber bei den Anbietern von Infrastruktur (in diesen beiden Fällen die Internet-Provider und die Banken) fallen Kosten an, die das tausend- bis millionenfache der Gewinner der Täter ausmachen.

An anderer Stelle bringe ich 2011-aktualsierte Beispiele für die Auswirkungen von Externallitäten, nämlich bei der Gesichtserkennung / Face Recognition.

Noch ein Beispiel aus 2014: Der Target Data Breach: Data breaches may cost less than the security to prevent them. Der US Einzelhändler hat sich 40 Mio Kreditkartendaten abnehmen lassen plus 70 Mio Kundendaten. Das Weihnachtsgeschäft ist ordentlich eingebrochen: $225 Mio Schaden. Die Versicherung hat davon $162 Mio übernommen, das ganze war steuerlich absetzbar - verbliebener Schaden $105 Mio, 0,1% des Umsatzes = Peanuts. Die US Community Banks und Credit Unions berichten, dass sie durch den Breach auf Schäden von $200 Mio hängen geblieben sind (Austausch von Kreditkarten, Schäden durch illegale Nutzung die nicht weiter verrechnet werden konnten) - man nennt so was Externalität, wenn die Schäden nicht beim Verursacher aufschlagen.

2016 haben wir noch ein sehr gutes Beispiel für Externalitäten: Die Angriffe aus dem Internet of Things, den gehackten Kameras und anderen Geräten. Bruce Schneier schreibt in We Need to Save the Internet from the Internet of Things dass es sehr schwer sein wird, das Internet gegen die unsicheren Dinge zu schützen. Er schreibt:

The market can't fix this because neither the buyer nor the seller cares. Think of all the CCTV cameras and DVRs used in the attack against Brian Krebs. The owners of those devices don't care. Their devices were cheap to buy, they still work, and they don't even know Brian. The sellers of those devices don't care: they're now selling newer and better models, and the original buyers only cared about price and features. There is no market solution because the insecurity is what economists call an externality: it's an effect of the purchasing decision that affects other people. Think of it kind of like invisible pollution.

What this all means is that the IoT will remain insecure unless government steps in and fixes the problem. When we have market failures, government is the only solution. The government could impose security regulations on IoT manufacturers, forcing them to make their devices secure even though their customers don't care. They could impose liabilities on manufacturers, allowing people like Brian Krebs to sue them. Any of these would raise the cost of insecurity and give companies incentives to spend money making their devices secure.

Of course, this would only be a domestic solution to an international problem. The Internet is global, and attackers can just as easily build a botnet out of IoT devices from Asia as from the United States. Long term, we need to build an Internet that is resilient against attacks like this. But that's a long time coming. In the meantime, you can expect more attacks that leverage insecure IoT devices.

Wieder haben wir das Problem, dass die Schäden weder beim Verursacher, noch beim Nutzer entstehen. Beide könnten (theoretisch) die Probleme beheben (vermutlich indem die Geräte verschrottet werden), aber die Schäden entstehen an ganz anderen Stellen. Da müsste ein dritter her, z.B. die Politik mit Gesetzen die Schadensersatz verankern. Bruce bezweifelt aber, dass es z.B. der US-Regierung gelingen kann, solche Gesetze gegenüber chinesischen Billiganbietern durchzusetzen.

Moral hazard bezeichnet eine Verhaltensänderung dadurch dass jemand weiß, dass sein Verhalten für ihn selbst nicht zu einem Schaden führt. Z.B. weil er eine Versicherung gegen dieses Risiko hat.

Verbunden mit der Hidden-Action/Hidden Information-Problematik (dass die Versicherung nicht weiß, welcher der Kunden ein Versicherungsbetrüger ist) entsteht ein Problem mit externalisierten Kosten (z.B. Vandalismus - im realen Leben oder besonders auch im Internet wegen der relativen Anonymität).

Um mit der Hidden Information umzugehen(nämlich wer brav ist und wer nicht), werden Verfahren wie CAPTCHAs eingesetzt, die zwar für alle Nutzer Kosten (Aufwand) erzeugen, bei denen man aber davon ausgeht, dass der "brave" Nutzer bereit ist, diese aufzubringen (und die eine Automatisierung erheblich erschweren). Dazu gehören auch die Registrierungen (kostenlos oder gegen Gebühr) bevor man gewisse Websites nutzen kann.

Viele Beispiele für Externalitäten, Hidden Action und Hidden Information finden sich in einem sehr guten Überblicksartikel zum Stand der Forschung zu Information Security Economics - and Beyond. Dort findet sich auch eine ausführliche Literaturliste zu diesem Thema und Vorschläge für Public Policies, z.B. EU Regulierungen die helfen sollen, externalisierte Probleme zu internalisieren.

Daher wird in der Ökonomie vestanden, dass Testpersonen, wenn sie zwischen 1 Euro jetzt und 3 Euro in 1 Jahr wählen sollen, fast alle den Euro jetzt wählen (siehe Wikipedia). Das Konzept ist eine Erklärung dafür, dass Internetnutzer sehr wohl wissen, dass es wichtig ist, seine Webmail-Zugänge mit unterschiedlichen starken Passworten oder sogar 2-Faktor Authentifizierung abzusichern. Aber die Umstellung aller dieser Webzugänge auf eine sicherere Methode gibt erst mal zusätzliche Arbeit, der mögliche Schaden liegt aber in einer (sehr theoretischen) Zukunft und dieser Schaden wird einer Rabattierung unterzogen, je weiter er in der Zukunft zu liegen scheint.

Das gleiche gilt für die regelmäßige Datensicherung: jeder Nutzer eines PCs weiß heute, dass es gut wäre, regelmäßig seine Daten zu sichern, überall ist das zu lesen. Aber andererseits treten Datenverluste (bei sich oder anderen) so selten auf, dass selbst IT-Profis gern darauf verzichten. Eine Datensicherung muss man ja nicht unbedingt heute machen, das geht morgen (oder nächste Woche) ja auch noch.

Der Effekt tritt übrigens auch beim Posten in Social Networks (Facebook, Twitter, etc.) auf und zwar in Kombination mit einer Verkennung des Publikums meines Posts. Wenn jemand ein Posting absetzt, so hat er oder sie dabei ein bestimmtes Publikum im Kopf, die dieses Posting bestimmt hochinteressant finden werden. Das wirkliche Publikum das den Text lesen wird ist dabei sehr oft nicht identisch, sondern enthält auch noch Arbeitskollegen, Lehrer, Eltern, usw. Dies wird aber automatisch ausgeblendet und der mögliche Schaden der durch das Posting in der Zukunft entstehen könnte "discounted" gegen den sofortigen Gewinn dass meine Freunde mich für witzig oder schlagfertig halten.

Das Ganze gilt leider nicht nur für Personen, sondern Unternehmen handeln genauso. Sie wissen z.B. dass ihre Wordpress-Installation schon längst aktualisiert gehört (und die Apache-Version und PHP und . . . ), aber das muss ja nicht unbedingt heute sein. Außerdem wissen die Web-Entwickler, dass Passwort gehasht gehören und zwar nicht nur mit MD-5, sondern mit einem besseren Algorithmus. Das führt dann zu Meldungen wie wir sie in 2012 ständig lesen konnten: xxxxxx hat 450.000 Mailadressen und Klartext-Passwörter verloren.

Was können Sicherheitsprediger gegen hypberbolic discounting tun? Ich fürchte, nicht viel. Im Privatbereich kann man sich eigentlich nur den Mund fusselig reden, bei Firmen wünsche ich mir eine strenge Aufsicht, die z.B. den Verlust von personenbezogenen Daten mit ernsthaften Strafen belegt, wenn z.B. Patientendaten der Tiroler Krankenkasse unverschlüsselt und ungeschützt auf einer externen Website gelagert werden.

Autor: Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.