Cyber Security Economics – Das Versagen der Märkte und Beispiele der Regulierung

In dem vielbeachteten Paper “Why information security is hard” [1] hat Ross Anderson 2001 das Forschungsgebiet der „Cyber Security Economics“ gegründet. Darin hatte er festgestellt, dass es ökonomische Prinzipien des Informationsmarktes gibt, welche die effektive Praktizierung von Cybersicherheit oft erschweren. Seitdem haben sich viele Forscher weltweit des Themas angenommen. Ziel dieses Artikels ist es, einen groben Einblick in wichtige Ergebnisse der Forschung zu geben. Zunächst werden ein paar typische Charakteristiken von Informationsmärkten, wie geringe Grenzkosten und Technical Lock-In, erklärt. Danach werden Gründe für das Versagen der Informationsmärkte hinsichtlich der Cybersicherheit genannt und allgemeine regulatorische Eingriffsmöglichkeiten beleuchtet. Zuletzt werden einige Beispiele von konkreten Eingriffen genannt zusammen mit einer Einschätzung, wie effektiv diese Eingriffe letztlich waren.

Nachfolgend wird auf die wichtigen Merkmale von Informationsmärkten, wie den Preis von Informationen, das technical lock in, Netzwerkeffekte und die vielen Monopole eingegangen.

Der Preis von Informationen

Der Marktpreis für ein Produkt oder eine Dienstleistung wird durch den Wettbewerb in der Markt-wirtschaft auf die Grenzkosten reduziert. Die Grenzkosten zur Herstellung einer zusätzlichen Einheit von Information sind häufig vernachlässigbar. Das ist ein wichtiges Merkmal von Informa-tionsmärkten, die Information sollte nichts kosten, also im wahrsten Sinne des Wortes frei sein. Als Beispiel kann man die digitale Enzyklopädie „WIKIPEDIA“ mit seinem analogen Vorgänger Brockhaus vergleichen. Die Nutzung von Wikipedia kostet nichts (abgesehen von freiwilligen Spenden), während eine Sammlung von Brockhaus schnell vierstellige Euro-Beträge kosten kann. Der Grund liegt in den geringen Kosten zur Herstellung einer zusätzlichen Kopie von Wikipedia im Gegensatz zum Druck eines oder mehrerer Bücher beim Brockhaus. 

Technical Lock in

Der Kauf eines Produkts verpflichtet häufig zum Erwerb von zusätzlichen Komponenten, zum Beispiel einer App für das Handy, Business-Software für den Laptop, Spiele für die Konsole oder Musik für den iPod. Dazu kommen Investitionen in Wissen und Kenntnisse, die man für die Benutzung eines Produkts benötigt. Wenn man einen Windows-Laptop kauft, wird man sich andere Kenntnisse über das Betriebssystem und die Software aneignen, als wenn man einen Apple Mac oder Linux Laptop anschafft. Die Umschulung vom einen auf das andere System ist zwar machbar, kostet aber in der Regel erheblichen Aufwand. Weiterhin wird man für ein Produkt mit zusätzlichen Dienstleistungen beworben, z.B. wird ein Handy mit einem Vertrag für einen bestimmten Mobilfunk-anbieter angeboten, der mit zusätzlichen Freiminuten oder Datenvolumen wirbt. Google versucht seine Kunden an seine Suchmaschine zu binden, indem es Zusatzdienste wie Google Mail und andere Apps zusätzlich anbietet. Generell versuchen alle Anbieter, Kunden an sich zu binden und den Wechsel zum Konkurrenten so schwer wie möglich zu machen. Eine Studie von Carl Shapiro und Hal Varian [2] hat dazu ergeben, dass der Kapitalwert der Kundenbasis so hoch ist, wie die Gesamtkosten des Wechsels zu einem Konkurrenten.

Netzwerkeffekte

Ein Netzwerk wird für jeden Benutzer umso wertvoller, je mehr Leute es benutzen. Bob Metcalfe, der Erfinder des Ethernets, hat in dem nach ihm benannten Gesetz [2] propagiert, dass der Wert eines Netzwerks proportional zum Quadrat der Benutzeranzahl ist. Je mehr Nutzer zu einem Netzwerk gehören, desto wertvoller ist dieses Netzwerk für jeden von ihnen. Am Anfang wachsen diese Netzwerke in der Regel langsam, um dann mit einer großen Geschwindigkeit abzuheben, sobald eine kritische Masse erreicht wurde. Als Beispiele seien hier das Telefon am Anfang des zwanzigsten Jahrhunderts, das Fax um das Jahr 1985 und E-Mail Mitte der Neunziger Jahre des letzten Jahrhunderts genannt. Zu diesen Netzwerken gibt es virtuelle Netzwerke, die aus den PCs, der Software, den Telefonen oder den Apps bestehen.

Monopole 

Monopole sind in der Informationsbranche wegen der Netzwerkeffekte, wegen des Lock-In Effekts und wegen der geringen Grenzkosten weit verbreitet. Viele Anbieter in der Informationsbranche versuchen daher, zum dominanten Spieler in ihrem Marktsegment zu werden. Das geht häufig auf Kosten der Sicherheit. Zum Beispiel hatte Microsoft in den 1990er Jahren die Devise heraus-gegeben, lieber neue Features zu bauen, als in Qualität oder Sicherheit zu investieren. Das hat sich erst 2002 mit der „trustworthy computing“ Initiative [3] geändert, nachdem die Marktdominanz von Windows und Office gefestigt war. Monopolisten haben den Vorteil, dass sie anders als in einer vollkommenen Konkurrenzsituation, alle verfügbaren Überschüsse am Markt für sich vereinnamen können. Auf der anderen Seite sind sie auch angreifbarer, da sich die Cyber Angriffe auf die Systeme konzentrieren, die eine große Marktmacht besitzen. Monopolisten nutzen Ihre Macht auch aus, um immer mehr Informationen über Ihre Kunden zu sammeln. Diese Informatio-nen können Sie verwenden, um den Kunden noch Zusatzdienste zu verkaufen oder um den Kunden noch stärker an sich zu binden.

Das Versagen des Marktes

Nicht immer funktioniert die gewünschte Selbstregulierung des Marktes – in diesem Fall dem der Informationsindustrie. Ein Versagen von Märkten rechtfertigt regulatorische Eingriffe und hilft zu erklären, wie die Politik zur Kontrolle der Märkte gestaltet werden sollte. Es erklärt auch, warum private Investitionen in die Cybersicherheit oft suboptimal ausfallen.

Asymmetrische Information

Asymmetrische Information (englisch asymmetric information) ist ein wirtschaftswissenschaftlicher Begriff und bezeichnet den Zustand, in dem zwei Vertragsparteien bei Abschluss und/oder Erfüllung eines Vertrags oder Marktteilnehmer nicht über dieselben Informationen verfügen. [4]

The Market for Lemons

Der Market for Lemons ist ein Spezialproblem der asymmetrischen Information, hidden characteristics genannt [3]. Diese versteckten Charakteristiken besagen, dass ein Käufer vor Vertragsabschluss die Qualität des angebotenen Produktes nicht kennt oder beurteilen kann. Ohne die richtigen Informationen lassen sich dann keine optimale Entscheidungen fällen.

Das klassische Beispiel ist der Markt für Gebrauchtwagen. Ein Käufer eines Gebrauchtwagens kann die Qualität eines Autos nur sehr schwer bewerten. Wenn aber der Käufer die Qualität nicht unterscheiden kann, wird er sich wiederum weigern, eine Prämie für die höhere Qualität zu zahlen. Infolgedessen wird der Markt mit nur minderwertigen Waren überflutet, weil sie die einzigen Waren sind, die bereitwillig gekauft werden. Und genau das ist auch ein Problem der Informations-sicherheit [5]. Softwarehersteller möchten glaubhaft darlegen, dass ihre Software sicher ist, sie können diesen Wert aber als solchen nicht vermarkten. Der Käufer hat wenige Möglichkeiten, sich davon zu überzeugen, dass die angebotene Software sicherer ist als jede andere Alternative. Deswegen sind Käufer i.d.R. nicht bereit, eine Prämie für sicherere Software zu bezahlen. Sie schauen stattdessen auf andere Merkmale, von der sie die Qualität messen können, wie z.B. die Benutzerschnittstelle oder der Preis. 

Als Folge setzen die Entwickler wieder mehr auf die Erfüllung der Qualitäten, die von den Kunden tatsächlich beobachtet werden können. Aber das führt zu einem schlechteren Ergebnis, weil die Sicherheit nicht so betont wird, wie es sein sollte. Auch jenseits der Software sind Sicherheits-investitionen schwer zu argumentieren. Wenn ein Unternehmen seine Kunden überzeugen muss, dass es ihre Daten respektiert, kann das sehr schwierig sein, in einem positiven Sinne zu tun. 

Wenn aber erst das Vertrauen verloren ist, steht meistens die Behauptung im Raum, sie haben die Sicherheit nicht glaubwürdig respektiert.

Fehlende Incident-Daten

Ein weiterer Bereich der Informationsasymmetrien ist der systematische Mangel an robusten Incident Daten. Durch das IT-Sicherheitsgesetz und die BSI KritisVerordnung sind verpflichtende Meldungen von Sicherheitsvorfällen zumindest für den Bereich der Kritischen Infrastrukturen vorgesehen. Solange es aber keine allgemeine gesetzliche Pflicht zur Offenlegung solcher Vorfallsdaten besteht, werden viele Firmen diese Daten lieber geheim halten. Was eine vernünftige Strategie für ein einzelnes Unternehmen darstellen mag, macht es aber für alle übrigen Unter-nehmen schwierig, die wahre Natur und das Ausmaß von Cyber-Risiken einzuschätzen. Es ist schwer, die Eintrittswahrscheinlichkeit und das Schadensmaß a priori zu beurteilen, wenn bereits betroffene Firmen diese Daten nicht offenlegen. Die Firmen, welche noch nicht Ziel eines Angriffs waren, können daher das Risiko damit nicht genau beurteilen. Dieser Mangel an Informationen macht es schwer, die Effektivität von Investitionen in die Cybersicherheit einzuschätzen. [6]

Unerwünschte Selektion

Eine unerwünschte Selektion erfolgt zum Beispiel im Markt für Krankenversicherungen. Kranke Menschen sind häufiger geneigt, eine Police abzuschließen als gesunde Menschen. Sie haben durch diese Versicherung größere Chancen mehr zu gewinnen, als zu verlieren. Dadurch wird der Pool der Versicherten mit kranken Patienten überlastet, was die Prämien nach oben treibt. Das vertreibt die gesunden Patienten jedoch noch mehr. Denselben Effekt sieht man zu einem gewissen Grad im Cyberversicherungsmarkt. Es ist sehr schwierig für eine Versicherung Unternehmen auf der Grundlage ihrer betrieblichen Sicherheitspraktiken zu diskriminieren. Der Markt leidet dann an einem Ungleichgewicht, wo schlechte Unternehmen eher Cyberver-sicherungen kaufen und somit höhere Prämien mit niedriger Beteiligung auslösen als unter optimalen Bedingungen. [7]

Gefahr der schlechten Moral

Wenn man einen Schutz gewährt, ändern Menschen als Folge häufig ihr Verhalten. Im Kontext von Autoversicherungen fahren die Leute rücksichtsloser, wenn sie vollkaskoversichert sind mit niedrigem Selbstbehalt. Wenn etwas passiert, sind sie voll abgesichert und haben keinen (direkten) finanziellen Schaden zu erwarten. Ähnlich verhält es sich mit dem Kreditkartenbetrug. Die meisten Kreditkartenunternehmen bieten eine 0-Euro Haftpflicht für Kreditkartenbetrug an. Die Leute sind dann aber eher bereit, ihre Karte auch in zweifelhaften Verkaufsstellen zu benutzen. 

Es ist auch schwer festzustellen, ob ein Einzelhändler gute Sicherheitshygiene betreibt. Auch bei den Banken hat man ein ähnliches Verhalten gesehen. Als die Banken im Vereinigten Königreich in den 1990er Jahren dereguliert wurden, wurde Betrug nicht mehr so stark beachtet und die Kosten einfach an die Kunden durch höhere Preise umgeleitet. Damit ist es wieder schwierig, gute Marktteilnehmer von schlechten zu unterscheiden. Und man endet mit einer Situation, in der die schlechten Ergebnisse dominieren oder Menschen ihr Verhalten ändern und als Ergebnis schlecht handeln.

Externe Effekte

Als externen Effekt (auch Externalität) bezeichnet man in der Volkswirtschaftslehre die unkompensierten Auswirkungen ökonomischer Entscheidungen auf unbeteiligte Marktteilnehmer, also Auswirkungen, für die niemand bezahlt oder einen Ausgleich erhält [5].

Positive externe Effekte

Ein positiver externer Effekt stellt einen Vorteil für eine Partei als Folge der Handlungen einer anderen Partei dar. Das Problem mit einem positiven Effekt ist, dass die Vorteile einer Transaktion nicht vollständig erfasst werden und damit dessen wahrer Wert unterschätzt wird. Besonders im Bereich der Investitionen in Sicherheit werden häufig positive externe Effekte generiert, da die Risiken nicht nur für das eigene System reduziert werden, sondern für alle voneinander abhängigen Systeme. Außerdem funktionieren diverse Sicherheitslösungen wirklich nur, wenn viele Unternehmen diese auch adoptieren. Als Beispiel sei hier das Secure BGP Protokoll erwähnt [9]. Dieses Protokoll wurde Mitte der 1990er Jahre entwickelt, um die Pfade zwischen Routern zu authentifizieren. S-BGP hätte Dutzende von Netzwerkausfällen verhindert, so wie zum Beispiel der Fall als die Pakistanische Telekom den lokalen Zugriff auf Youtube zensieren wollte und dabei versehentlich den globalen Zugriff auf Youtube stundenlang ausgeschaltet hatte [10]. Trotzdem hat fast niemand S-BGP übernommen, weil es erst dann wertvoll wird, wenn viele andere es auch übernehmen. Dazu wäre aber die Kooperation von vielen Marktteilnehmern erforderlich gewesen. Andere Protokolle, wie zum Beispiel SSH, wurden dagegen schnell angenommen, da dieses einen sofortigen Wert bei der Absicherung der paarweisen Kommunikation ermöglicht. 

Negative externe Effekte

Ein negativer externer Effekt stellt einen Schaden einer Partei infolge der Handlung einer anderen Partei dar. Der klassische Fall ist die Umweltverschmutzung. Angenommen, eine Fabrik produziert Geräte, aber als Folge der Herstellung muss Schlamm als Abfallprodukt in einen Fluss eingeleitet werden. Der Käufer muss das möglicherweise nicht berücksichtigen, da die Kosten für das Entsorgen des Schlamms nicht in den Preis für das Gerät einbezogen werden. Durch den geringen Preis werden mehr Geräte produziert, als für die Gesellschaft sozial optimal wären. Den Schaden für die Umwelt muss die Allgemeinheit tragen sowie die Kosten für die Säuberung des Flusses. Die Informationsunsicherheit leidet oft unter diese negativen Effekten. Hier sind Botnets das beste Beispiel. Wenn ein Rechner infiziert wird, ist der Schaden nicht auf diesen Rechner allein beschränkt. Dieser Rechner wird dafür verwendet, weitere Systeme zu schädigen, indem Spam versendet oder ein Denial-of-Service-Angriff von hier aus gestartet wird. Letztendlich wird lokal kein großer Schaden verursacht, daher besteht auch wenig Anreiz für den Computerbesitzer, diesen zu säubern, da der wirkliche Schaden an einer anderen Stelle auftritt.

Zusammenfassend kann man sagen, bei positiven externen Effekten erhält man einen suboptimalen Anteil des möglichen Gewinns, während man bei negativen Effekten den möglichen Verlust für alle noch vergrößert. 

Öffentliche Güter

Bestimmte Waren können nicht privat konsumiert werden, wie die Investitionen in die Landesver-teidigung oder in den Umweltschutz. Der „Verbrauch“ des nationalen Verteidigungsschutzes einer Person verhindert nicht dessen Gebrauch durch eine andere Person. Öffentliche Güter haben zwei Eigenschaften, die sie von traditionellen Waren unterscheiden. Zuallererst sind sie nicht konkurrierend, was bedeutet, dass der Verbrauch einer Person nicht verhindert, dass es auch durch eine andere Person konsumiert werden kann. 

Zweitens sind sie nicht ausschließbar, das heißt, es gibt keinen praktischen Weg, andere von dessen Verbrauch abzuhalten. Öffentlich Güter neigen dazu, nicht ausreichend finanziert zu sein, wie man aus der gesellschaftlichen Perspektive aber gerne haben möchte. Es gibt auch das Problem von Trittbettfahrern, die öffentliche Güter konsumieren, ohne dafür zu bezahlen. 

Informationswaren, wie Software, Filme oder Musik, sind nicht konkurrierend, da deren Verbrauch niemand anderen davon ausschließt. Sie können aber über Sicherheitsmechanismen, wie Digital Rights Managements, vom kostenlosen Verbrauch durch dritte ausgeschlossen werden. So stellt sich heraus, eine wichtige Anwendung der Sicherheit ist es, Informationsgüter daran zu hindern, sich genau so zu verhalten wie öffentliche Güter.

Eingriffe durch Richtlinien und Gesetze

In diesem Abschnitt werden Beispiele von Richtlinien, wie. z.B. Zertifizierung, Offenlegungspflicht oder Vermittlerhaftung, kurz erläutert.

Ex-Ante und Ex-Post Richtlinien

Generell unterscheidet man bei den Richtlinien Ex-Ante bzw. Ex-Post. Ex Ante wird angewendet, wenn man Maßnahmen ergreift, bevor etwas schiefgehen kann. Bei Ex-Post überlässt man die Akteure sich selbst, weist aber die Verantwortung für das Scheitern dann jemanden im Nachhinein zu. Ex-Ante Ansätze werden bevorzugt, wenn die zu verhindernde Situation so bedrohlich ist, dass man verhindern möchte, dass diese überhaupt auftreten. Klassisches Beispiel ist die nukleare Sicherheitsregulierung, wo niemand auf einen Unfall warten möchte. Ex-Ante Ansätze werden aber auch dann bevorzugt, wann immer es schwierig ist, die Ergebnisse im Nachhinein zu messen, so wie es leider häufig in der Cybersicherheit der Fall ist. Ex-Post Haftung wurde in vielen anderen Branchen, wie z.B. der Autoindustrie, übernommen, wurde aber bisher nicht auf die Softwareindustrie angewendet.

Beide Ansätze haben erhebliche Nachteile im Kontext der Sicherheit. Ex-Ante Sicherheitsregeln fördern den Compliance Ansatz für Sicherheit. Den wirklichen Gewinn dieses Ansatzes kann man nur verwirklichen, solange man die richtigen Maßnahmen auswählt und umsetzt. Es ist aber nicht immer einfach die Maßnahmen zu identifizieren, welche auch wirklich die tatsächlichen Schäden verhindern oder minimieren. Die Softwarehaftung hat auch erhebliche Nachteile. Insbesondere würde es Innovationen im Kontext der Entwicklung von Open-Source Software behindern. Wie viel Open Source Software Entwicklung würde ganz aufhören, wenn diejenigen freiwilligen Entwickler für Fehler haftbar gemacht werden, die sie zufällig einführen? Außerdem würden die Zugangsbarrieren erhöht, so dass kleinere Unternehmen in den Markt überhaupt nicht mehr eintreten könnten. Es existiert also ein Kompromiss zwischen Innovation und Sicherheit bei der Frage der Softwarehaftung.

Zertifizierung

Ein Ansatz zur unabhängigen Bewertung von Produkten besteht in der Verwendung von Zertifizierungssystemen. Da es für einen Kunden oder Endbenutzer oft schwierig ist, die Sicherheit selber objektiv zu bewerten, wird das Problem an Experten delegiert, um Abhilfe bei der Informationsasymmetrie zu beheben.

Common Criteria

Die „Common Criteria for Information Technology Security Evaluation“ [9] sind ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten. Die Funktionalität und Vertrauenswürdigkeit eines Produktes werden separat betrachtet, es gibt keine formalen Vorgaben, welche Funktionalität umgesetzt werden muss oder welche Stufe der Vertrauenswürdigkeit geprüft werden muss. Diese Vorgaben kommen vom Hersteller und werden von der Zertifizierungsbehörde nach diesen Vorgaben geprüft. 

Abbildung-1: Common Criteria Logo

Es hat sich in der Vergangenheit gezeigt, dass man genau hinterfragen muss, wie der Zertifi-zierungsprozess entworfen und implementiert wurde. Der Prüfer kann mit falschen Anreizen dazu bewogen werden, nicht so genau zu prüfen, wie es nötig wäre. Das ist dann der Fall, wenn der Hersteller sich den Prüfer selber aussuchen kann, da dieser vom Hersteller bezahlt wird. Um den Auftrag zu erhalten, wird die Überprüfung dann oft nur in reduzierter Form durchgeführt.

Zum Beispiel wurde ein PIN-Eingabegerät durch Common Criteria als manipulationssicher bewertet. Trotz erfolgreicher Zertifizierung ist es Forschern mit einer einfachen Büroklammer gelungen, die Platine anzuzapfen und die PIN auszulesen, wenn diese über die Leitung versendet wurde.

Abbildung-2: Kompromittiertes Zertifiziertes System

Web Siegel

Für Benutzer ist es schwierig, die Qualität der Suchergebnisse einer Suchmaschine einzu-schätzen. Kriminelle versuchen daher, dass die von ihnen durch Malware infizierten Webseiten weit oben in der Liste der Suchergebnisse erscheinen, damit möglichst viele Benutzer auf den Link klicken und zum Ziel eines Angriffs werden. Um dabei möglichst seriös zu erscheinen, werden diese Seiten gerne mit Siegeln wie z.B. McAfee Secure oder Verisign zertifiziert, um die Legitimität zu signalisieren. Es gibt verschiedene Studien, die belegen, dass diese Siegel häufig von Kriminellen missbraucht wurden. Zum Beispiel wurden Daten von SiteAdvisor von Webseiten mit dem TrustE [13] ausgewertet. Unsichere Webseiten waren mehr als doppelt so wahrscheinlich mit TrustE zertifiziert als sichere Webseiten. Damit hatte man genau das Gegenteil der beabsichtigten Linderung der Informationsasymmetrien erreicht. 

Abbildung-3: TrustE Web-Siegel

Es gibt aber auch „gute“ Siegel, welche die von ihnen zertifizierten Webseiten genauer analysieren, wie z.B. das Better Business Bureau Siegel. Aber für den Verbraucher bleibt es schwierig, „gute“ von „schlechten“ Siegeln zu unterscheiden.

Offenlegungspflicht

Eine Offenlegungspflicht könnte Licht ins Dunkel der bisher verborgenen oder verheimlichten Security Incidents bringen. Der US-Bundesstaat Kalifornien hat im Jahr 2002 ein Gesetz verabschiedet, dass Unternehmen verpflichtet, jede Verletzung der Informationssicherheit bei persönlichen Daten zu veröffentlichen [10]. Als Ergebnis wurde im letzten Jahrzehnt eine Kaskade von Daten an die Öffentlichkeit gebracht, welche unter normalen Umständen wohl verloren gegangen wären. 

Ähnliche Gesetze sind in weiteren US-Bundesstaaten und anderen Ländern in der Planung oder bereits implementiert. Als Auswirkung des Gesetzes hat das Risiko von Datenschutzverletzungen in vielen Unternehmen höhere Aufmerksamkeit bis zur Chefetage erhalten. Das ist ein generelles Prinzip für schwierige Sicherheitsprobleme: Man kann diese Probleme gut managen, wenn man die Risiken genau messen und im Falle eines Incidents die Verantwortlichen genau benennen kann. Aber auch andere Bereiche können von der Offenlegung solcher Daten profitieren. Zahlen zu Finanzbetrug sind ansonsten kaum zu erhalten, was es schwierig macht, deren wahre Dimensionen abzuschätzen. 

Ähnliches gilt für Cyber Spionage oder Angriffe auf Steuerungssysteme von kritischen Infra-strukturen. Allgemeiner gesagt, eine umfassende und fortlaufende Sammlung von Daten über Cybercrime-Verluste würde der Gesellschaft insgesamt bei der Verbesserung von Cybersicherheit helfen.

Vermittlerhaftung

Es besteht die Möglichkeit, unbeteiligte Dritte mit in die indirekte Vermittlerhaftung zu nehmen, die in der Position sind, Schäden zu erkennen und zu mildern. Beispielsweise sind bei Botnet-Angriffen die Internet Service Provider gut in der Lage zu beobachten, wenn einer ihrer Kunden infiziert wurde. Auch Suchmaschinen könnten die Ergebnisse daraufhin überprüfen, ob sie selber Malware verbreiten. In den USA gibt es eine lange Geschichte der Vermittlerhaftung, die auch mehr und mehr im Internet angewendet wird. 

Der „Communications Decency Act“ [10] in den USA hat zwar ISPs von der Verantwortung für anstößige Inhalte auf ihren Plattformen befreit, aber nur, sofern sie diese selber entfernen. Die ISPs haben daher diese Inhalte lieber freiwillig entfernt, um nicht in Haftung zu geraten. Der „Digital Millenium Copyright Act“ [11] hat die Online-Dienstleister auch von der Haftung von Handlungen ihrer Kunden befreit, bei Urheberrechtsverletzungen müssen sie die Inhalte aber löschen. Der „unlicensed internet gambling enforcement Act“ [12] verlangt von Payment Prozessoren, dass sie Kreditkartenzahlungen z.B. an bekannte Glücksspiel-Webseiten blockieren.

Strafverfolgung

Die Strafverfolgungsbehörden haben einen schweren Stand gegen die Cyberkriminalität, da diese Form der Kriminalität sehr internationalisiert ist. Kriminelle können einfach in andere Länder mit lascheren Gesetzen wechseln. Der Großteil der Cyberkriminalität basiert auf großen Volumen aber begrenzten individuellen Schaden. Häufig wird der Schwellwert unterschritten, wo die Ermittler aktiv werden. Nur wenn man die Schäden aggregiert, rechtfertigt der Schaden den Einsatz von Strafverfolgungen. Da der meiste Schaden aber vor der Verhaftung entsteht und auch die indirekte Kosten schnell den direkten Schaden übersteigen können, ist der präventive Ansatz besser bei der Cybersicherheit verankert.

Es gibt trotzdem immer wieder Erfolge zu vermelden, z.B. wurden dieses Jahr die mutmaßlichen Hacker hinter dem Yahoo Datendiebstahl von 2014 in Kanada festgenommen [13]. 

Beispiele für Markteingriffe

In diesem Abschnitt sollen 2zwei konkrete Beispiele von Markteingriffen bzw. Regulierungen zusammen mit ihrer Wirksamkeit kurz untersucht werden.

Europay, Mastercard und Visa (EMV)

Abbildung-4: EMV Siegel

Die Kreditkartenindustrie ist ein klassischer zweiseitiger Markt [19], auf der einen Seite die Kunden mit ihren Kreditkarten der emittierenden Bank, auf der anderen Seite der Händler mit seiner Bank, die die Zahlung verarbeitet, das Guthaben auf sein Konto überweist. 

Wer ist jetzt haftbar, wenn Kreditkartenbetrug stattfindet? Bis zum Jahre 1970 hatten die Kunden keinen Schutz und blieben auf den Verlusten sitzen. Danach wurde die Haftung bei 50$ gedeckelt und die ausstellende Bank für den Restbetrag haftbar gemacht. Der anfängliche Verdacht, dass die Kosten für die Banken zu einer großen Belastung führen würden, hatte sich nicht bestätigt. Stattdessen wurde für Kunden ein starker Anreiz geschaffen diese Karten zu verwenden und für Händler diese zu akzeptieren. Die Kartennetze sind dann rasant gestiegen und einige wenige Akteure dominieren heute den Markt. Die Emissionsbanken haben durch Echtzeit-Betrugs-erkennung ihre Verluste begrenzen können. Die Struktur dieses Marktes hat auch Konsequenzen für die Sicherheit. Es ist allseits bekannt, dass die Magnetstreifen-Technologie nicht sehr sicher ist. 

Als Verbesserung wurde EMV entwickelt, was für Europay Mastercard und Visa steht, den Entwicklern des Protokolls. EMV vertraut auf Smartcards, die in die Kreditkarte eingebettet sind, zusammen mit einer PIN zur Authentifizierung. Die Technologie wurde vor 15 Jahren entwickelt, hat sich aber nur sehr langsam am Markt etabliert. Die Händler hatten anfangs wenig Interesse an einer Umrüstung Ihrer Zahlungsterminals, da sie für Betrug nicht haftbar waren. Daher hat der Gesetzgeber die Haftung für Betrug auf den Händler geändert, welcher keine Chip- und Pin-Technologie bei der Zahlung verwendet hatte. Da EMV nicht global eingeführt wurde, war der Effekt auf die Reduktion von Kreditkartenbetrug nicht so wie erhofft. Am Beispiel Großbritanniens haben Forscher ermittelt, dass die Betrugszahlen sogar teilweise angestiegen sind [20]. Sie begründen dieses Resultat damit, dass die Kriminellen ihre Taktik angepasst haben, und die Karten in Ländern ohne EMV oder zum Online-Einkauf verwenden. Die Kriminellen suchen immer den schwächsten Punkt. Solange EMV nicht global gesetzlich vorgeschrieben ist, kann man nur von einer Risikoakzeptanz und keiner Risikoverringerung beim Kreditkartenbetrug sprechen.

Abbildung-5:Auswirkungen der Einführung von EMV in UK 

Payment Card Industry Data Security Standard

Der PCI DSS ist eine Ansammlung von Regeln, welche von den Kartennetzbetreibern zur Verbesserung der Sicherheit bei Händlern ausgearbeitet wurde [14]. Die Idee ist, unsichere Praktiken, wie die unverschlüsselte Speicherung oder Übertragung von Karteninformationen zu vermeiden. Händler, denen eine Nichtkonformität mit dem Standard nachgewiesen werden kann, sind haftbar bei Betrug und müssen zusätzlich eine Geldbuße entrichten. 

Abbildung-6: PCI DSS Siegel

Unglücklicherweise sind Händler in der Praxis oft entmutigt, diesen Standard zu befolgen, da sie bei einem Vorfall häufig rückwirkend als nicht konform erklärt werden. Der PCI-Standard ist vollständig selbstregulierend außerhalb der Gesetzgebung. PCI hat die Praktiken vieler Teilnehmer deutlich verbessert, aber es ist weniger erfolgreich gewesen, die tatsächliche Anzahl an Missbrauch von Kartendaten zu reduzieren. Eine mögliche Erklärung ist, dass PCI die Latte für Compliance eher niedrig ansetzt. Man weiß von der geringen Effektivität von PCI, da die Unternehmen Missbräuche offenlegen müssen. Sie sind aber nicht verpflichtet, das genaue Ausmaß der Verluste zu veröffentlichen und spielen die Größenordnung lieber herunter. Die Intention dahinter ist klar, die direkten Verluste sind zwar schmerzhaft, aber die indirekten Kosten wären oft um ein Vielfaches höher, z.B. wenn die Kunden das Vertrauen in Kreditkarten verlieren würden und nicht mehr online einkaufen würden.

Fazit und Ausblick

Dieser Artikel hat einen kurzen Einblick in die Problematik der „Cyber Security Economics“ gegeben. Das Forschungsgebiet umfasst aber noch viele weitere Felder. Dazu gehört unter anderem das „Security Investment and Management“, worin erforscht wird, welche Sicherheitsstrategien von verschiedenen Firmen im Markt verfolgt werden, wie man unter wirtschaftlichen Gesichtspunkten optimale Investitionen in die Informationssicherheit berechnen bzw. rechtfertigen kann und wie man die Risiken der Cybersecurity optimal einschätzt und verwaltet. Aber auch der Faktor Mensch wird unter dem Aspekt der „Behavioral Economics“ näher betrachtet, da auch die psychologischen Faktoren eine große Rolle spielen. Da die Bedeutung der Informationssicherheit in Zukunft mit hoher Wahrscheinlichkeit weiter zunehmen wird, werden auch die Fragen nach den Investitionen in verschiedene Maßnahmen, den Regulierungen und deren messbare Effektivität weiterhin sehr aktuell bleiben.

Autor: Dr. Stefan Klinger, GAI NetConsult GmbH

Literaturverzeichnis

[1] R. Andersson, „Why Information Security is Hard – An Economic Perspective,“ Annual Computer Security Applications Conference, 2002. 

[2] H. R. V. Carl Shapiro, Information Rules: A Strategic Guide to the Network Economy, Harvard Business Review Press. ISBN 0-87584-863-X., 1998. 

[3] B. Gates. [Online]. Available: www.microsoft.com/mscorp/execmail/2002/07-18twc.mspx. [Zugriff am 13 12 2017].

[4] [Online]. Available: de.wikipedia.org/wiki/Asymmetrische_Information. [Zugriff am 14 12 2017].

[5] G. A. Akerlof, „The Market for ‚Lemons‘: Quality Uncertainty and the Market Mechanism,“ Quarterly Journal of Economics. The MIT Press. 84 (3), pp. 488-500, 1970. 

[6] B. Schneier. [Online]. Available: www.schneier.com/blog/archives/2007/04/a_security_mark.html. [Zugriff am 13 12 2017].

[7] T. Moore, „Introducing the Economics of Cybersecurity: Principles and Policy Options,“ International Journal of Critical Infrastructure Protection, 2010. 

[8] R. C. a. R. A. Tyler Moore, „The economics of online crime.,“ Journal of Economic Perspectives, 2009. 

[9] „Wikipedia,“ [Online]. Available: de.wikipedia.org/wiki/Externer_Effekt. [Zugriff am 13 12 2017].

[10] C. K. S. S. Kent, „Secure Border Gateway Protocol (S-BGP),“ IEEE Journal on Selected Areas in Communications, pp. 582-592, April 2000. 

[11] D. McCullagh, 25 2 2008. [Online]. Available: www.cnet.com/news/how-pakistan-knocked-youtube-offline-and-how-to-make-sure-it-never-happens-again/. [Zugriff am 14 12 2017].

[12] [Online]. Available: www.commoncriteriaportal.org. [Zugriff am 13 12 2017].

[13] [Online]. Available: www.trustarc.com/privacy-certification-standards/. [Zugriff am 14 12 2017].

[14] [Online]. Available: leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml. [Zugriff am 13 12 2017].

[15] [Online]. Available: de.wikipedia.org/wiki/Communications_Decency_Act. [Zugriff am 13 12 2017].

[16] [Online]. Available: de.wikipedia.org/wiki/Digital_Millennium_Copyright_Act. [Zugriff am 13 12 2017].

[17] [Online]. Available: en.wikipedia.org/wiki/Unlawful_Internet_Gambling_Enforcement_Act_of_2006. [Zugriff am 13 12 2017].

[18] [Online]. Available: www.cbc.ca/news/technology/russia-hackers-charged-yahoo-breach-1.4026006. [Zugriff am 13 12 2017].

[19] M. Rysman, „ The Economics of Two-Sided Markets.,“ The Journal of Economic Perspectives, Bd. 23, pp. 125-143, 2009. 

[20] T. M. a. R. Anderson., „Internet security. Section 3.4 (Payment System Security),“ The Oxford Handbook of the Digital Economy, pp. 572-599, 2012. 

[21] „PCI DSS,“ [Online]. Available: de.pcisecuritystandards.org. [Zugriff am 13 12 2017].

[22] C. S. a. H. R. Varian, Information Rules., Harvard Business Press. ISBN 0-87584-863-X., 1999. 

Autor: Dr. Stefan Klinger