Eigentlich ist das Thema Economics of Information Security, d.h. die betriebswirtschaftliche Betrachtung von IT- und Informationssicherheit kein neues Thema. Vom 25. bis 27. Juni findet in Hanover, NH (USA) der WEIS 2008 (der 7. Workshop on the Economics of Information Security) statt. Themen der letzten Jahre waren u.a.
- The legitimate vulnerability market: the secretive world of 0-day exploit sales (PDF)
- Economics of User Segmentation, Profiling, and Detection in Security (DOC)
- Cyber-Insurance: Copula Pricing Framework and Implications for Risk Management (PDF)
- Economics of Security Patch Management (PDF)
Das ganze Thema ist jedoch irgendwie unbefriedigend gelaufen. Ich frage mich immer wieder, welchen Aufwand will/muss man eigentlich treiben um Systeme vernünftig abzusichern:
- Firewall (ok, sehe ich ein)
- Virenscanner (hmm, auf PCs bestimmt, aber auf Servern und für Mail?)
- VPN (sehr praktisch aber oft genügt auch SSH)
- Datenverschlüsselung (wichtig!)
- Intrusion Detection/Prevention Systeme (teuer, teilweise recht nutzlos)
Und warum eigentlich? Weil alle diese Funktionen vom Betriebssystem entweder nicht mitgebracht werden (Datenverschlüsselung und VPN wandert gerade hinein) oder damit Schwachstellen des Betriebssystems behoben werden. Von den Kosten für Patchmanagement gar nicht zu reden.
Jedenfalls wird das Thema aktuell, die ENISA, die European Network and Information Security Agency, von der ich schon mal schrieb hat das Thema Security Economics für sich entdeckt. Die ENISA hat jedenfalls einen Forschungsbericht mit dem Titel „Security Economics and the Internal Market“ (PDF) finanziert, der interessante Forderungen aufstellt:
- ein EU-weites Gesetz zur Veröffentlichung von Sicherheitsvorfällen
- Regelungen, dass neu angeschlossene Geräte per Default abgesichert sein müssen
- Hersteller sollen für ungepatchte Software verantwortlich gemacht werden
Insgesamt ein eindrucksvoller Forderungskatalog. Ich war beim Lesen wirklich überrascht und beeindruckt.
Der letzte Punkt ist natürlich ein ganz heißes Eisen. Zur Zeit stehlen sich die Anbieter von Software aus der Verantwortung, weil sie jede Haftung für Fehler in den Lizenzbedingungen ausschließen können. Microsoft hat beispielsweise noch nie für einen Software-Fehler haften müssen, egal wie hoch der Schaden war. Autohersteller zum Beispiel können von so einer Welt nur träumen. Selbst wenn die Haftung auf den Anschaffungspreis begrenzt wäre, eine sinnvolle Lösung, um z.B. freie und Open Source Software nicht zu sehr einzuschränken, wäre das Interesse des Herstellers, mehr in die Sicherheit seiner Produkte und etwas weniger in die reinen Funktionen zu investieren auf einen Schlag gewaltig.
Und das ist natürlich nicht national durchsetzbar, mit der inkompetenten Politikerkaste in Deutschland schon gar nicht. Eine Europäische Union, die gegen Microsoft ein Bußgeld von 497 Millionen Euro in der ersten und 899 Millionen Euro in der zweiten Runde verhängen konnte, ist jedoch ein ganz anderer Gesprächspartner.
Mitautor war übrigens Rainer Böhme von der TU Dresden, das ist jemand, den man in den nächsten Jahren im Auge behalten sollte.