Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at
Nov. 2015 Unterstützung von unerwarteter Stelle: Bindesminister Thomas de Maizière will Anbieter von IT-Produkten und ITDiensten gegebenenfalls stärker in die Haftung nehmen, um die Sicherheit zu verbessern.
"All You Need is Love", oder das Internet als Kind seiner Zeit
16.04.2005 - Philipp Schaumann
1967 Die Beatles singen "All You Need Is Love"
1969 das Arpanet, der Vorgänger des Internets, geht online.
1969 Woodstock Music and Art Festival
1969 Dennis Hopper dreht Easy Rider
1983 TCP/IP ersetzt das bisherige NCP Protokoll
Das IP-Protokoll und auch die höheren Protokolle basieren auf der Idee, dass es keine bösen Menschen im Netz gibt und dass niemand (über seine Identität) lügt. Absenderadressen in Paketen werden grundsätzlich als korrekt angenommen, jeder Router vertraut seinen Nachbarn, jeder DNS-Server vertraut allen anderen, E-Mails kommen von dem Absender, der im Text angegeben ist, alle Benutzer verhalten sich so, dass jeder das Gemeinwohl im Auge hat.
Das ist auch eine ganze Weile gut gegangen, stößt jetzt aber deutlich an seine Grenzen. Die organisierte Kriminalität hat entdeckt, dass man die Hacker gut für sich arbeiten lassen kann und dadurch risikolos und ohne große Arbeit Banken ausrauben, indem man z.B. einfach die Bankkonten der Internetbanking-Benutzer leer räumt.
Die sog. Phishing-Angriffe werden immer smarter, der EDV-Laie hat kaum noch eine Chance, eine falsche Website zu erkennen. Sog. Man-in-the-Middle Angriffe erlauben es den Angreifern, sich in beliebigen Internetverkehr, auch wenn er SSL-verschlüsselt ist, hineinzuhängen und die E-Commerce-Verbindungen der Internet-Nutzer für ihre Zwecke zu missbrauchen. Die Angreifer spielen heute nicht nur Banken-Websites vor, sondern auch Reiseportale und andere kommerzielle Websites. Mittlerweile geht man davon aus, dass die Mehrzahl der Computer am Internet von Trojanern infiziert ist, viele davon als sog. Zombies für kriminelle Zwecke ferngesteuert werden.
Wie kommen wir da raus? Es gibt Forderungen nach weniger Anonymität und Privatsphäre, jeglicher Zugang zum Internet würde dann eine offizielle Authentifizierung, z.B. über Smart-Card voraussetzen. Damit haben aber viele Leute (auch der Autor) ein Problem, die Privatsphäre geht sowieso zu schnell verloren.
Bruce Schneier, Sicherheitsguru in den USA, setzt in seinen Beiträgen im Cryptogram auf verstärkte Haftung, sowohl was Software-Qualität betrifft und bei Phishing. Phishing ist ein Spezialfall von Identity-Theft. Das ist in den USA ein Riesenproblem, weil dort außer dem Führerschein keine Ausweispapiere mit Lichtbild existieren und ich unter Vorlage eines Führerscheins mit falschen Namen und Angabe der sog. Social Security Number leicht einen Bankkredit aufnehmen kann. Den Führerschein bekomme ich, indem ich mir mittels MS Word eine offziell aussehende Geburtsurkunde erstelle und mich damit bei der ausstellenden Behörde ausweise. Die WTC-Angreifer hatten zum Teil solche Führerscheine. Mehr dazu im folgenden zu den Lösungsvorschlägen rund um verschärfte Haftung.
Nach Bruce Schneier haben wir es bei vielen der Sicherheitsprobleme mit akutem Marktversagen zu tun: Die Schäden treten nicht beim Hersteller und oft nicht mal beim Kunden ein, sondern irgendwo anders in der Gesellschaft, dies nennt man Externalitäten. Solche Probleme können nur durch entsprechende gesetzliche Regelungen angegangen werden, der Markt kann nur auf Marktteilnehmer einwirken und nur dann wenn dort auch die Schäden eintreten. An anderer Stelle mehr zu Externalitäten.
Haftung bei Vertraulichkeitsverletzungen von Datensammlern
Hier ein Link zur Website von Bruce Schneier, einem "Guru" der Sicherheitsszene. Er bringt sehr ähnliche Argumente, wenn er erklärt, dass der Kunde letztendlich immer die Kosten der Unsicherheit trägt, z.B. durch die Kosten wenn der Rechner neu aufgesetzt werden muss weil er infiziert wurde. Wenn der Kunde sowieso zahlt, dann lieber für das Fixen der Software-Probleme, statt für Behebung von Schäden, die immer wieder eintreten werden.
Bruce Schneier schlägt auch noch in einem anderen Zusammenhang stärkere Haftung vor. Die Auskunftei ChoicePoint, ein sog. Daten-Aggregator, der personenbezogene Informationen aus den in den USA weitgehend öffentlichen Regierungsdatenbanken (freedom of information act), z.B. bei den Gerichten abzieht und zusammenfasst, hatte übrigens Ende 2004 ein ziemliches Desaster (das erste war in 2002). Kriminelle hatten einen Vertrag mit ChoicePoint abgeschlossen und ganz legal die Bankdaten von 145 000 Personen abgerufen und dann für einige der Personen in deren Namen Kredite aufgenommen. Ein Gesetz in Kalifornien verpflichtet neuerdings Unternehmen, solche Probleme an die betroffenen Kunden weiterzumelden, daher kam das 2004-Problem zusammen mit dem Vorfall von 2002 erst an die Öffentlichkeit. (In den Artikeln werden meist nur 35 000 Bürger erwähnt, die informiert wurden, weil die anderen Opfer außerhalb von Kalifornien leben und für die gilt das Gesetzt nicht). Mehr dazu auch in Privatsphäre.
Bruce Schneier erklärt im ChoicePoint-Fall, dass der Schutz der personenbezogenen Daten sich so lange nicht verbessern wird, wie Firmen wie ChoicePoint nicht für die Schäden haften, die durch solche Fehler entstehen. "So whether it's fear of lawsuits or fear of going to jail, regulation increases the cost of not doing security, which will increase security," Schneier said. "That's the way capitalism works. We don't expect people to do things just because they're nice, they do it because it's in their best financial interest."
Haftung bei Betrug im Namen anderer (z.B. Phishing)
Die obige Debatte ist stark mit Phishing verknüpft, wo der Angreifer ja auch versucht, sich als ein anderer auszugeben und wo bei den Banken auch keine starke Begeisterung dafür besteht, die Sicherheit zu verbessern, der Kunde haftet ja sowieso für die Schäden. Mehr dazu auch in der Glosse zu Phishing (und da steht auch, was Banken und andere Firmen tun könnten, wenn sie genügend motiviert wären). Die gleiche Problematik haben wir bei den Bankomaten, wo die Banken regeln, dass der Kunde für die Sicherheit verantwortlich ist und für alle Schäden haftet, außer der Kunde kann nachweisen, dass die Bank Schuld hat und das kann er kaum schaffen. Selbst wenn ein Bankmitarbeiter die PINs weiterverkaufen würde, so hätte der Kunde, dessen Konto leergeräumt wird, kaum eine Chance, das nachzuweisen. Wann immer eine Bankomatkarte gestohlen wird und der Dieb die korrekte PIN eingibt, wird heute davon ausgegangen, dass der Kunde sie aufgeschrieben hatte oder sich bei einer PIN-Eingabe über die Schulter schauen hat lassen. Und die Maximalsumme beträgt in Österreich bei fast allen Banken 3000 Euro (im Foyer der Bank). Der Kunde haftet sogar noch einige Stunden nach dem er den Verlust gemeldet hat.
Bruce Schneier argumentiert im Cryptogram, dass Verletzungen der Vertraulichkeit letztendlich immer wieder passieren werden (wer kann sich schon sicher gegen Insider schützen, die meisten Angriffe kommen von innen). Er sagt, wenn Banken dafür haften, dass sie Kredite vergeben ohne ganz sicher zu sein, mit wem sie es zu tun haben, werden Sicherheitsmechanismen und -prozeduren entstehen, die wir noch gar nicht kennen. Wer die Haftung trägt, lässt sich was einfallen, so arbeitet der Kapitalismus, ist sein Argument. Er führt als Beispiel die Kreditkarten an, bei denen die Identifizierung des Kunden kaum eine Rolle spielt, selten wird die Unterschrift geprüft und im Internet ist das gar nicht möglich. Die Kreditkartenunternehmen legen das Schwergewicht auf die Absicherung der Zahlungstransaktion, sie haben komplizierte Plausibilitätsprüfungen, sie belohnen die Händler, wenn sie den komplizierteren Weg der online-Verifizierung gehen, u.ä.
Genauso sagt er, die Überweisung ist der Schritt, der abgesichert werden muss, nicht nur das Einloggen auf der Internet-Banking-Website. Und richtig, da ist viel mehr möglich. Meine Bank in Singapur verlangt nicht mal TANs von mir, aber ich kann nur auf die Konten überweisen, für die ich eine Überweisungsvorlage habe. Und um eine Vorlage einzurichten, muss ich mir einen TAN auf das Handy schicken lassen. Jede Vorlage hat ein Überweisungslimit pro Tag. D.h. selbst wenn jemand mein Konto übernehmen würde, so könnte er doch nichts auf SEIN Konto überweisen, außer er hätte auch mein Handy. D.h. ich brauche TANs nur wenn ich einen neuen Empfänger eintragen will, das ist sehr bequem und doch sicher.
Auf diese Weise sind sehr viele zusätzliche Sicherungen denkbar. Banken müsste es auch auffallen, wenn während eines Phishing-Angriffs auf einmal ganz viele Überweisungen unterschiedlicher Personen auf ein Konto gehen, auf das früher noch nie überwiesen würde. Bei Kreditkartenunternehmen wäre das ein Ereignis, was ein Warnlicht auslösen würde (siehe Artikel weiter unten). Warum nicht bei unseren Banken? Weil sie für die falschen Überweisungen eben nicht haften. Bei jeder Überweisung die zweifelhaft ist, könnte erst mal ein E-Mail rausgehen und eine Bestätigung eingeholt werden. Ich denke, die Kunden hätten sehr gern dafür Verständnis. Kreditkartenkunden akzeptieren ja auch, dass hin und wieder die Zahlung nicht sofort klappt und sie erst mit der Kreditkartenfirma sprechen müssen, oft sogar direkt telefonisch vom Hotel aus wo man zahlen möchte.
Das Beispiel aus den 70igern: Kreditkartenbetrug und Wiliam Proxmire
Aus einem Artikel in der New York Times (nur für Abonnenten verfügbar, Text auf Wunsch von mir):
In den frühen 70igern war es in den USA üblich, dass Banken Kreditkarten ungefragt mit der Post verschickten. Viele davon gingen verloren und wurden betrügerisch benutzt. Die Kunden waren bez. Kreditkarten verunsichert. Der Senator Wiliam Proxmire formulierte ein Gesetz, dass diese Praktiken verbot. Als nächstes kam er mit einem Gesetz, das die Haftung des Kunden für Kreditkartenbetrug auf 50 USD beschränkte. Die Banken schrieen zuerst auf, lösten dann aber das Problem durch Einführung von Sicherheitsmaßnahmen. Letztendlich ist der Siegeszug der Kreditkarten ein Erfolg der Tatsache, dass sich Kunden bei missbräuchlicher Nutzung keine großen Sorgen machen müssen.
Der Nilsen Report, eine Zeitschrift der Kreditkarten-Industrie, berichtet, dass die Schäden durch Kreditkartenbetrug von 15 cents für jede 100 USD in 1992 auf 5 cents für 100 $ in 2004 gesunken sind. (Zitat aus der NY Times)
Im Gegensatz dazu steht heute die Bankomatkarte und Internet-Banking. Hier haftet der Kunde und die Banken wehren sich heftig gegen eine Übernahme einer Haftung. Und die Kunden sind mehr und mehr verunsichert, wie Umfragen zeigen und das Vertrauen sinkt.
Ein vernünftiger Ansatz ist, dass grundsätzlich die Haftung dort liegen sollte, wo die besten Möglichkeiten zur Behandlung des Risikos und zur Absicherung des Vorgangs vorliegen. Sehr gut zu diesem Thema die Arbeiten von Ross Anderson, z.B. Economics of Information Security (PDF, relevant sind speziell die Kapitel 2.2 und 3.1). Dieser Ansatz sollte nicht nur für Kreditkarten gelten, sondern für alle Geschäftsvorgänge, die mit Risiken verbunden sind, so z.B. e-Banking. Mehr Papiere von Ross Anderson hier.
Ein Beispiel für eine Umkehr der Haftung ist 3-D Secure (pdf) von MasterCard und VISA. Bei diesem System wird für die Nutzung von Kreditkarten im Internet ("card not present") ein zusätzliches Passwort vereinbart. Dieses Verfahren wird den Händlern schmackhaft gemacht, indem bei der Nutzung dieses Verfahren die Haftung für Betrug vom Händler auf die Kreditkartenorganisation übergeht. Leider wird derzeit (2009) das Verfahren (zumindest in den USA) aber so ungeschickt umgesetzt, dass zusätzliche Sicherheitslücken entstehen, z.B. bei der Anmeldung für Verified by VISA (Es gab auch Vorfälle in Europa, wo es für andere leicht war sich dort zu registrieren).
Ebenfalls sehr gut zur Haftungsfrage ist das Buch von Ross Anderson, Security Engineering - The Book, Chapter 10: Banking and Bookkeeping, ab Seite 348 (weitgehend als pdf verfügbar). Ross Anderson hat als Experte bei der Implementierung und Überprüfung vieler Zahlungssysteme (wie z.B. Bankomatkarten) mitgeholfen und sein Hauptzorn gegenüber den Banken, speziell in England, ist, dass sie trotz bewiesener Unsicherheit darauf bestehen, dass jegliche Betrügereien mit Bankomat- oder Kreditkarten Schuld des Kunden sind, weil ihr System ja fehlerfrei arbeiten würde. Ross zeigt viele aktiv genutzte Schwachstellen der Systeme auf. So ist die Einführung der Chipkarten auf den Bankomatkarten auch nicht wirklich hilfreich beim Verhindern von Betrügereien (denn bei der Nutzung einer kopierten Karte im Ausland wird doch wieder der Magnetstreifen genutzt, der leicht zu kopieren ist), aber sehr hilfreich beim Verschieben der Haftung zu den Kunden.
Ross Anderson und ähnlich Interessierte haben 2008 einen Workshop zum Thema Sicherheitspsychologie und Sicherheitsökonomie organisiert. Der Link listet viele Arbeiten der Referenten dieses Workshops.
Aktualisierung März 2010:
Eine Veröffentlichung der Universität Cambridge mit dem Titel Verified by by Visa and MasterCard SecureCode: or, How Not to Design Authentication (pdf) erklärt sehr schön, was sich zwischenzeitlich auf dem Gebiet Kreditkartenbetrug getan hat und wie mit Hilfe einer schlampig konzipierten Technologie, aber einer geschickten Verteilung der finanziellen Anreize der Kreditkartenbutzer die Haftung zurückbekommen soll.
Aktualisierung April 2010:
Ein sehr interessanter Artikel Internalizing Identity Theft (pdf) stellt eine Untersuchung zu Identity Theft in den USA vor. Es geht dabei um die Bewilligung von sog. "instant credits" und das Beantragen von Kreditkarten durch Betrüger. Auf Grund eines speziellen US-Gesetzes konnten die Researcher die internen Unterlagen zu diesen Geschäftsvorgängen einsehen. Deutlich wird dabei dass es sehr viele Hinweise auf das Vorliegen von Betrug gab, aber die Interessenlage der Banken, z.B. bei der Vergabe von Kreditkarten war/ist ganz klar dass es kaum Vorteile für die Bank hat, einen Kreditkartenantrag abzulehnen.
Wenn der Betrüger dann mit dieser Kreditkarte einkaufen geht, so zahlen die Händler 86% der Schäden, die Bank übernimmt 9% der Schäden und die Opfer, d.h. die Personen in deren Namen der Betrüger operiert hat übernehmen überraschende 5% der Schäden selbst (i.d.Regel um ihre Kreditwürdigkeit nicht zu verlieren). Gleichzeitig schneidet die Bank bei den betrügerischen Käufen auch noch mal 1 - 2% Provision mit, d.h. es zahlt sich letztendlich aus so großzügig wie möglich zu sein.
Noch etwas zur Interessenlage: Kreditkartenunternehmen sind sehr interessiert an Kunden, die ein sehr schlechtes Kredit-Rating haben. Dies sind nämlich die Kunden deren Kreditkarte immer bis zum Anschlag verschuldet ist und die die horrenden Zinsen für solche Überziehungen zahlen müssen.
Dies gilt nicht für Kredite sondern nur für Kreditkarten. Bei betrügerischen Krediten bleibt die Bank (fast immer auf dem Verlust sitzen). Aber letztendlich hat der Bankberater (oder der freischaffende Finanzberater) der den Kredit vergeben hat aber seine Provision längst kassiert. D.h. auch in diesen Fällen zahlt es sich für die Person die den Kredit bewilligt auf jeden Fall aus. Eine restriktive Kreditvergabe treibt die Kunden zur "großzügigeren" Konkurrenz.
Deworming the Internet und andere Vorschläge
Ein sehr gutes Papier von Douglas Barnes, Deworming the Internet, diskutiert ausführlich die Möglichkeiten zur Lösung des Sicherheitsproblems im Internet aus juristischer Sicht. Aus dem Abstract:
Both law enforcement and markets for software standards have failed to solve the problem of software that is vulnerable to infection by network-transmitted worms. Consequently, regulatory attention should turn to the publishers of worm-vulnerable software. Although ordinary tort liability for software publishers may seem attractive, it would interact in unpredictable ways with the winner-take-all nature of competition among publishers of mass-market, internet-connected software.
Der Autor legt recht ausführlich dar, dass die bisherigen juristischen Gesetze auf Grund der Marktgesetze nicht geeignet sind, um eine deutliche Verbesserung der Softwarequalität und damit der Resistenz gegen Viren und Würmer zu schaffen. Er schlägt daher 4 kurzfristige Vorgehensweisen vor:
1. (Wieder-)Einführung von "bug bounties", d.h. finanzielle Belohnungen für diejenigen, die Schwachstellen finden und diese an den Hersteller weiterleiten. Solche Programme gab es früher, sie sind aber weitgehend eingeschlafen. Er sieht darin einen Anreiz, Fehler zu suchen und damit Geld zu verdienen. Die Preise müssten gar nicht so hoch sein, die Presse berichtet, dass Schwachstellen bei organisierten Kriminalität auch nur für einige 1000 $ gehandelt werden
2. Qualitätsstandards mit Strafen für Software, die diesen Anforderungen nicht genügt (analog zu Umweltgesetzen mit Strafen für Gefährdung der Öffentlichkeit durch Ausstoß von Schadstoffen). Hintergrund ist, dass es für einen Software-Entwickler heute wichtig ist, so früh wie möglich mit seiner Lösung einen Markt zu besetzen, damit dessen Schnittstellen und Protokolle zum De-Facto-Standard werden und damit die Konkurrenz behindern. Der Software-Hersteller, der wartet bis sein Produkt ausreichend getestet ist, riskiert, dass ein anderes, schlampigeres Produkt zum Standard wird.
"Lemon Law". Dieser Gesetzesvorschlag ist angelehnt an Verbraucherschutzgesetze aus dem Automobilbau, bei denen es darum geht, dass ein Kunde eine Rückgabe verlangen kann, wenn zu viele Fehler in den ersten Monaten nach dem Kauf auftreten ("Montagsauto"). So gäbe es dann ein Rückgaberecht, wenn eine zu hohe Zahl von Schwachstellen in einem Produkt entdeckt werden
Strafen für Benutzer, die trotz alternativer Lösungen oder vorhandener Sicherheitspatches unsichere Produkte benutzen, sich ihre Rechner infizieren lassen und damit die anderen Internet-Benutzer auch wiederum gefährden. Eine alternative Lösung wären Strafen für ISPs (Internet-Anbieter) die infizierte Systeme ihrer Kunden nicht zwangsweise vom Netz nehmen. Dies findet heute schon recht oft statt, aber ein entsprechendes Gesetz würde verhindern, dass diese Kunden "ihren" ISP bestrafen, indem sie zur Konkurrenz wechseln. Die müsste sich nämlich bei einem infizierten System genauso verhalten.
Ross Anderson hat eine ganze Reihe von guten Artikeln zum Thema Ökonomie und Sicherheit zusammengestellt (engl.). Es geht dabei um die Problematik, dass die ökonomischen Anreize für die IT-Industrie nicht in Richtung mehr Sicherheit gehen und welche Auswirkungen das hat. Noch eine Sammlung von hochinteressanten Dokumenten: Workshop on Economics and Information Security, Boston, MA June 30 - July 1, 2008.
Sehr lesenswert ist Why Information Security is Hard (PDF, 100KB). Ross Anderson erklärt, warum die Marktanreize ganz klar die Hersteller und Produkte favorisieren die Sicherheit keine ihrer Prioritäten machen und warum ein Angreifer mit einem viel geringem Aufwand ausreichend viele Sicherheitslöcher finden kann.
Die EU hat (über die ENISA) eine Studie in Auftrag gegeben, in der Regulierungsvorschläge für eine bessere Informationssicherheit gemacht werden: Security Economics and the internal Market (pdf), Autor u.a. Ross Anderson. Sehr interessante Vorschläge, u.a. in Richtung Haftung. Sehr vereinfacht sieht sein Konzept folgende Punkte vor:
Auf der Grundlage von: "wer das Problem beheben kann, sollte Anreize haben, dies auch zu tun" beginnt er mit einer Haftung, wenn ISPs infizierte Rechner nicht vom Netz nehmen. Der Nutzer kann gegen eine solche Sperrung Einspruch erheben, übernimmt aber dann die Haftung für evtl. Schadenersatzforderungen. Alle Geräte und Software muss "secure by default" sein, d.h. die Grundeinstellungen reduzieren eine Gefährdung (auch anderer) auf ein Minimum (z.B. durch automatische Sicherheitsupdates aktiviert). Wenn ein Benutzer diese Einstellungen ändert, übernimmt er selbst die Haftung. Wenn die "sicheren Grundeinstellungen" nicht sicher sind, haftet der Hersteller und der ISP kann sich an ihm schadlos halten.