Macht Informationssicherheit überhaupt noch Sinn oder reicht es, die gesetzlichen Anforderungen nachzugehen? Was steht hinter dem Konzept ISMS?
Wir schauen hinter die Fassaden und blicken in die Gründe, warum Unternehmen sich so schwertun, Sicherheitskonzepte pragmatisch anzugehen und warum noch immer nach ROSI (Return On Security Investment) gefragt wird.
Die Sicherheitslandschaft in Europa ist gezeichnet von Regularien, Gesetzen und Normen, die derzeit ausgerollt werden, dabei ist der eigentliche Hintergrund der Informationssicherheit motiviert von ökonomischen Faktoren. In ihren Schriften verdeutlichen Ross Anderson und Tyler Moore sowie andere Co-Autoren, wie die Informationssicherheit von der Ökonomie gesteuert wird, welche Probleme daraus resultieren und mit welchen Empfehlungen die Experten aufwarten können – Ein Einblick in die treibende Kraft der Informationssicherheit.
Um zu verstehen, ob eine Umsetzung von Informationssicherheit für Unternehmen sinnvoll ist, muss zuerst verstanden werden, wozu Sicherheit benötigt wird und von wem sie ausgeht. Hierbei gibt es in der Wirtschaft noch weitreichende Herausforderungen, die zu bewältigen sind, wenn Sicherheit im Fokus der Dienstleistungen stehen soll.
Bisher, so nach Anderson und Moore, fehlt der Anreiz für Unternehmen, ihre Leistungen sicher zu entwickeln und anzubieten, was auf fehlende Einsicht in die Vor- und Nachteile der Leistungen zurückzuführen ist. Dieser Umstand wird deutlicher, wenn wir die Perspektiven der Beteiligten näher beleuchten: Dienstleister und Käufer verfügen über unterschiedliche Informationen über den Stand der Sicherheit von dem angebotenen Produkt. Diese Informationsasymmetrie ist eines der großen Herausforderungen in der Sicherung von Dienstleistungen und Systemen. Da Sicherheit wenig Vorausschau bietet und sich sichere Dienstleistungen in Ihrer Form kaum von unsicheren unterscheiden, gibt es wenig Bedarf für kostenintensive, sichere Systeme, solange günstigere Dienstleistungen angeboten werden¹. Aus Käufersicht bietet sich von Anfang an kein Anreiz für den Erwerb einer sicheren Dienstleistung. Dies hat zur Folge, dass auch aus Verkäufersicht der Anreiz, in sichere Dienstleistungen zu investieren, schwindet. In den USA wird dieses Problem der Sichtbarkeit von Sicherheitsproblemen und daraus resultierenden Vorfällen angegangen, indem per Gesetz ein Unternehmen, das einen Sicherheitsvorfall zu beklagen hat, diesen Vorfall einer zuständigen Behörde melden muss². Zumindest im Ansatz wird der Vorteil bzw. Nachteil von unsicheren Dienstleistungen hierdurch sichtbar. In Europa gibt es seither ähnliche Ansätze in diese Richtung. Diese Meldepflicht hat zur Folge, dass ein Wandel von obligatorischen Maßnahmen hin zum Anreiz für die Unternehmen künstlich erschaffen wird, Sicherheitsmaßnahmen zu ergreifen, sofern sie einer Veröffentlichung ihrer Missstände entgehen wollen³.
Es bleibt jedoch unklar, ob und inwieweit Informationsasymmetrie und fehlenden Anreizen zur Umsetzung von Informationssicherheit entgegengewirkt werden kann. Äußere Regularien haben nur bedingten Einfluss auf die externe Darstellung von sicheren Dienstleistungen und solange diese nicht entsprechend der erweiterten Kosten für die Entwicklung bzw. Durchführung entlohnt werden, bleibt den Unternehmen zu entscheiden, ob sich Sicherheit am Ende für den Dienstleister rentiert.
Die Folgen von Sicherheitsvorfällen werden häufig nicht direkt von dem Verantwortlichen wahrgenommen. Ein Beispiel: Jemand, der in seinem Firmennetz ein unsicheres Gerät anschließt, muss nicht unbedingt die Folgen eines Angriffes spüren, den er selbst erst ermöglicht hat. Hierbei bleibt die Frage offen, bei wem die Verantwortung liegen sollte, diese Vorfälle zu vermeiden. Sinnvoll ist es, diese Verantwortung zur Vermeidung von Risiken, wie die Benutzung von unsicheren Geräten, so zu verteilen, dass nicht nur derjenige, der die Folgen leiden muss, Rechenschaft ablegt, sondern auch derjenige, der mit dem entsprechenden Risiko am besten umgehen oder es eindämmen kann⁴. Bestenfalls wären dies ein und dieselbe Person. Leider ist diese vorteilhafte Verteilung von Verantwortlichkeiten nicht immer der Fall. Der Anreiz, das Risiko zu vermindern, liegt häufig nicht bei demjenigen, der die Folgen eines Vorfalls zu beklagen hat, sondern schlimmstenfalls bei demjenigen, der zumal auch keine Einsicht in den Umgang mit dem Risiko hat. Ein klassisches Beispiel wäre eine Schadensversicherung, bei der der Versicherte rücksichtslos handelt und somit die Chance auf einen Versicherungsfall erhöht⁵.
Ein Laissez-faire-Prinzip der Übertragung von Verantwortung und ein Schaffen von Anreizen mag trotz aller Bemühungen nicht ausreichend sein, um ein angemessenes Sicherheitsniveau oder sogar eine weitgehende Umsetzung von effektiven Sicherheitsmaßnahmen durchzusetzen. Die Kosten für eine weitgehende Umsetzung ausreichender Sicherheit sind im Vergleich zu den Einbußen für Unternehmen noch zu gering. Eine Möglichkeit der Durchsetzung wären feste Strafen⁶. Diesen Ansatz fährt die EU zumindest im Bereich des Datenschutzes mit der 2018 in Kraft getretenen EU-Datenschutzgrundverordnung. Anlass für ein EU-weites Gesetz zum Schutze personenbezogener Daten mag bei den einzelnen Personen Anklang finden, ist aber noch immer sehr weit weg von einer ganzheitlichen Lösung zum Sicherheitsproblem. Des Weiteren löst es nicht das Problem einer effizienten Lösung zur Umsetzung.
Dieses Phänomen geht allerdings noch weiter, denn die Anreize der einzelnen mögen divergieren. Je mehr Gruppen sich ähneln und ich gehe davon aus, dass dieses Prinzip auch auf Infrastrukturen technischer Art anzuwenden ist, desto anfälliger wären diese für Angriffe⁷. Dieses Phänomen hätte weitere politische Folgen⁸. Die Autoren beziehen in diesem Fall auf die Lage der Wohlfahrtsgemeinschaften, die sich dafür einsetzen, durch Solidarität, mehr soziale Sicherheit zu schaffen. Angewendet auf das Feld der Sicherheit, bleibt zu entscheiden, ob sich eine Aufteilung von Sicherheitszonen mit unterschiedlichen Präferenzen in einer Organisation auf der einen Seite einen gewissen Mehraufwand mit sich bringt, aber auf der anderen Seite Angriffe durch die unterschiedlichen Eigenschaften erschwert.
Der fehlende Anreiz, Sicherheitsmaßnahmen umzusetzen, birgt einige Hürden, ist jedoch nicht das einzige von den Autoren angesprochene Problem, Systeme und Dienstleistungen sicherer umzusetzen. Mit Anspielung auf die Frage nach Verantwortung für die Umsetzung von Maßnahmen zur Risikovermeidung bleiben externe Faktoren weiterhin im Vordergrund. Die Folgen von externen Einflüssen erschweren zusätzlich zum fehlenden Anreiz die Umsetzung von Sicherheitsmaßnahmen. In vielen Fällen muss eine gewisse Anzahl an Systemen oder Endpunkten eine Maßnahme umsetzen, damit ein Mehrwert entsteht⁹. Dieser Umstand verhindert nicht selten die Implementierung von Maßnahmen, die von allen Parteien gleichzeitig umgesetzt werden sollen. Insbesondere möchte ich hier darauf verwiesen, dass dieses Problem seither angegangen wurde und Lösungen existieren. Ein Beispiel ist die Normenserie NIST SP 800, d. h. speziell NIST Risk Management Framework, welche hieran ansetzt und Sicherheit mit in den Entwicklungszyklus von Systemen einbezieht. Nicht nur, dass die sichere Entwicklung dadurch verbessert wird, es wird zusätzlich eine kontinuierliche Anpassung der umzusetzenden Maßnahmen an das jeweilige einzelne System durchgeführt. Diese Normenserie hat Einzug in US-amerikanische Gesetzgebung durch FISMA erhalten und scheint in dieselbe Richtung zu gehen, Maßnahmen systemgebunden anstatt systemübergreifend umzusetzen. Weitere Ansätze gibt es auch in Europa, die weiterhin in Entwicklung sind und sich an international etablierte Standards richten.
Die Herausforderung anzugehen, zumindest für Dienstleister, die Anwendungen anbieten, könnte ein Gesetz zutage kommen, dass nur noch sichere Ware angeboten werden dürfe. Die Hersteller und letztendlich die Entwickler sollten verantwortlich gemacht werden, wenn unsichere Anwendungen von Nutzern gekauft und verwendet werden¹⁰. Die Autoren basieren ihre Annahme darauf, dass Sicherheit bei dem Produkt für den Endnutzer nicht ersichtlich ist¹¹ und selbst wenn sie deutlich sichtbar wäre, wäge der Käufer noch immer die Sicherheit gegen den Aufpreis beim Produkt ab. Fragen darüber, was ein „sicheres Produkt“ für Merkmale erfüllen muss und inwieweit ein Patching mit hineinfällt, müssen geklärt werden.
Insgesamt scheint es kaum einen effizienten Weg zu geben, der von außen auf die Unternehmen drückt, Sicherheit umfassender umzusetzen. Adelman hatte gezeigt, dass selbst Zertifikate, die Sicherheit vergewissern sollen, nicht als Qualitätsmerkmal angesehen werden können¹². Grund hierfür war, dass insbesondere Unternehmen, die unsichere Webseiten angeboten haben, sich um diese Zertifikate bemühten, um von dem unsicheren Umstand abzulenken. Anderson und Moore zeigen auf, dass unabhängig des Standes der Technik einige Faktoren dafür sprechen, dass Informationssicherheit für viele Unternehmen ein unattraktives Thema ist und nur vage durch Regularien durchgesetzt werden kann. Es bleibt zu beobachten, ob die ökonomischen Verhältnisse weiterhin eine Durchsetzung von Sicherheitsanforderungen erschweren, solange Risiken nicht sichtbar gemacht und Verantwortlichkeiten nicht deutlich aufgezeigt werden. Wir sehen heutzutage in vielen Branchen, dass Sicherheit zu einem Minimum und vor allem aus dem Grund der Einhaltung von Gesetzen umgesetzt wird. Spannend bleibt die Frage, ob und bei wem es in Zukunft einen kulturellen Wandel geben wird, Sicherheit als Gut anzusehen, die einen gewissen Aufpreis rechtfertigt.
Ein Beitrag von Alexander Kühl.
[1] EIS, Seite 5; aus „The Economics of Information Security“, von Ross Anderson and Tyler Moore, University of Cambridge, UK, 2006 veröfftl. in „Science“; hier kurz EIS
[2] SEEP, Seite 5; aus „Security Economics and European Policy“, von Ross Anderson, Rainer Böhme, Richard Clayton and Tyler Moore. Computer Laboratory, University of Cambridge, UK, Technische Universität Dresden, DE, 2008, veröffentl. in ISSE 2008 Securing Electronic Business Processes; hier kurz SEEP
[3] SEEP, Seite 5
[4] EIS, S. 2
[5] EIs, S. 2
[6] SEEP, S. 10
[7] SEEP, S. 3
[8] SEEP, S. 3
[9] EIS, S. 4
[10] SEEP, S. 13
[11] EIS, S. 5
[12] B. Edelman, Proceedings of the Fifth Workshop on the Economics of Information Security (2006).