![[Aufmachergrafik: heller, corporate design]](images/07-1-006-0.jpg)
Fruchtbarer Austausch Verlässliche Daten über Sicherheitsvorfälle – woher nehmen und nicht stehlen? Fruchtbarer Austausch Verlässliche Daten über Sicherheitsvorfälle – woher nehmen und nicht stehlen?Jede vernünftige Lösung orientiert sich an der Größe des Problems – Informations-Sicherheit sollte da keine Ausnahme sein. Doch die Informationslage bezüglich verlässlicher Daten zu Bedrohungen und Sicherheitsvorfällen ist dürftig. Viele würden gerne mehr wissen, aber kaum jemand möchte seine eigenen (möglicherweise heiklen) Erfahrungen mitteilen.
Was bezüglich Risikoanalyse und darauf aufbauender Auswahl geeigneter Schutzmaßnahmen in Unternehmen gilt, das trifft in ähnlicher Form auch auf die Politik zu – nur dass dort statt technischer und organisatorischer Maßnahmen vielmehr Gesetze, Verordnungen und Weisungen an nachgeordnete Behörden im Mittelpunkt stehen. Bezüglich der Risikoanalyse steht jedoch auch – oder sogar besonders – die Politik auf recht dünnem Eis, gibt es doch bislang keine länderübergreifenden und gleichzeitig unabhängigen Untersuchungen.
Doch die rechtlichen Rahmenbedingungen für Internet-Sicherheit sind entscheidend, um Bürger zu schützen, Unternehmen nicht zu behindern und öffentliche Verwaltungen effektiv arbeiten zu lassen. Der Gesetzgeber kann beispielsweise Spam und Spyware verbieten, Hacking unter Strafe stellen, ISPs zum Management des SMTP-Ports zwingen oder, wie im letzten Jahr durch einen ENISA-Report angeregt, Internet-Provider veranlassen getroffene Sicherheitsmaßnahmen zu melden (![[externer Link]](../../images/link.gif)
www.enisa.europa.eu/doc/pdf/deliverables/enisa_security_spam.pdf). Im Endeffekt bleibt festzuhalten, dass nationale Alleingänge selten etwas bringen, sondern Maßnahmen zumindest auf europäischer Ebene abgestimmt werden sollten, um Aussicht auf Erfolg zu haben.
Zudem lässt sich der Erfolg solcher rechtlichen Maßnahmen nicht allein danach beurteilen, ob die Menge an Sicherheitsvorfällen zurückgeht – wie auch immer man das messen mag. Vielmehr zählt, ob Unternehmen und Bürger dem Medium Internet (wieder) vertrauen, was durch statistische Erhebungen über finanzielle, administrative und soziale Transaktionen zu belegen wäre.
Genau diese beiden Messgrößen – Probleme der Internet-Sicherheit und das Vertrauen der Bürger in IT – zu erfassen, ist das Ziel einer Idee der Europäischen Kommission. Bedenkt man dabei, dass weite Teile der Netz-Infrastruktur und der darüber abgewickelten Transaktionen in privater Hand liegen, dann sind sowohl die Lieferanten als auch die Nutznießer solcher Informationen zu einem großen Teil in der freien Wirtschaft zu suchen.
Die Aufgabenstellung dieser EU-Iniative ist komplex. Daten über "Sicherheitsprobleme" können sehr verschiedener Natur sein, etwa die Anzahl erfolgreicher Port-Scans in einem IP-Segment, die prozentuale Zunahme von Spyware im Vergleich zu Viren, der Anteil an Spam im E-Mail-Traffic oder der volkswirtschaftliche Schaden durch "Identitätsdiebstahl".
Auch Wege, IT-Sicherheitsprobleme zu dokumentieren, gibt es viele. Erste Anlaufstelle könnten Computer Emergency Response Teams (CERTs) sein, die sowohl im öffentlichen Sektor, als auch in großen privaten Unternehmen und der Forschung existieren (vgl. www.enisa.europa.eu/cert_inventory) und bereits international organisiert sind. Ein umfassender Datenaustausch ist hierdurch deutlich vereinfacht, zumal sich die Partner innerhalb der Community durch jahrelange Zusammenarbeit ein gewisses Maß an gegenseitigem Vertrauen erarbeitet haben. Andererseits liegt der Fokus von CERTs naturgemäß auf Incident Response, auf eher operativer Tätigkeit. Für politische Maßnahmen ist hingegen eine langfristige Denk- und Sichtweise notwendig, denn vom Erkennen eines Problems bis hin zur um- und durchgesetzten rechtlichen Regelung können schon mal einige Jahre vergehen. Das Auftauchen eines neuen Internet-Wurms ist daher für das genannte Vorhaben völlig bedeutungslos. Langfristige Trend-Analysen würden hingegen auf besonderes Interesse stoßen.
Eine andere Quelle für Informationen über Sicherheitsprobleme könnten Managed Security Service Provider (MSSPs) sein, die Anbieter von Sicherheitsdienstleistungen, wie Firewall-, Anti-Virus- oder Intrusion-Detection-Services. Durch ihre Kunden verfügen MSSPs über eine Vielzahl von Messpunkten, an denen sie ohnehin genauestens beobachten, welche Probleme diese Unternehmen zu meistern haben. Doch nur wenn MSSPs solche Daten auch langfristig verfolgen, Volumen- und Trend-Informationen zusammenstellen und diese auch veröffentlichen (dürfen), sind sie als Partner für die Politik interessant.
Könnten CERTs und MSSPs vor allem Informationen über das Ausmaß von Problemen bereitstellen, so dürfte ein Blick auf die Betreiber von Netzen auch Informationen über den Grad der Nutzung und des Vertrauens in die IT-Systeme liefern. Dabei können Festnetzbetreiber, Mobilfunkanbieter, aber auch Anbieter von Inhalten oder Dienstleistungen ins Blickfeld rücken. In aller Regel dürften diese bereits eine eigene Sicherheitsüberwachung betreiben, was einen weiteren Datenpunkt zur strategischen Betrachtung bedeutet.
Schließlich bleibt nicht zuletzt der öffentliche Sektor selbst mit seiner eigenen Netzinfrastruktur, seinen Sicherheitsbehörden und zahlreichen Anwendern als Informationsquelle. Zudem würde auch er statistische Daten über das Konsum- und Internetverhalten von Bürgern beisteuern können. In gleicher Weise können Daten von privaten Umfragen kommen, zum Beispiel von Marktforschungsinstituten.
Obwohl alle genannten Informationsquellen zur Informationssicherheit Aussagen machen können, wird es doch schwierig sein, diese zu vergleichen: Manche Daten sind technischer, andere eher organisatorischer Natur. Auszutauschende Daten könnten unter anderem sein: Zahlen zu Viren, Würmern und Trojanischen Pferden, Spyware, Phishing und Pharming, Web-Defacements, Umsatz-, Image- oder technischen Schäden, Bot-Nets, Identitäts- oder Kreditkartenmissbrauch, Verkehrsdaten, geschäftliche, administrative oder soziale Transaktionen. Als Messungen kämen beispielsweise infrage: die Anzahl von Vorkomnissen, das Verhältnis von Schad- zu Nutzdaten, Ab- oder Zunahmen – das Ganze aufgeschlüsselt nach Zeitraum (Quartal, Jahr), Land oder Industriezweig.
Viel dringlicher jedoch als die Art der ausgetauschten Daten ist die Frage nach der Motivation: Warum sollten ein CERT, ein MSSP, ein Netzbetreiber, ein Hersteller, ein Verein oder eine Behörde bereit sein, Informationen über Sicherheitsvorfälle mit anderen zu teilen, selbst wenn dies nur in stark aggregierter Form im Jahresabstand erfolgt? Lösungsansatz: Das Geben muss mit einem (offenkundigen) Nehmen verknüpft sein.
Jeder, der Informationen beisteuern soll, braucht einen Anreiz – sei es die Möglichkeit materiellen Vorteils, politischer Einflussnahme oder ein erzielter Marktvorsprung. Umgekehrt kann auch nicht jeder in gleicher Weise zum Erfolg beitragen: Manche verfügen über einen reichen Pool an Informationen, andere sind gewillt, personelle oder IT-Ressourcen bereitzustellen oder können logistische Unterstützung liefern.
Welche Daten konkret ausgetauscht werden sollen, ist dabei weniger kritisch als die Bedingungen des Austauschs! Zunächst einmal gilt es, potenzielle Partner an einen Tisch zu bringen. Dabei dürften sich verschiedene Probleme offenbaren: Zum einen gibt es zu viele Teilnehmer, um sich schnell auf bestimmte Vorgehensweisen zu einigen, zumal wenn dies über Landesgrenzen hinweg erfolgt. Zum anderen werden einige Interessen sich diametral entgegenstehen. Daten über Trends bei Sicherheitsvorfällen und das Vertrauen der Bürger (oder Konsumenten) auszutauschen, erfordert in erster Linie, einen vernünftigen Rahmen hierfür zu definieren.
Vertrauen ist hierbei die Grundvoraussetzung! Auch wenn nur aggregierte und anonymisierte Daten ausgetauscht werden sollen, was ja als Grundlage für politische Entscheidungen vollends ausreicht, so stellen doch auch diese einen gewissen Wert da, zum Beispiel als Konkurrenz zu etablierten Status-Reports. Andere mögen befürchten, dass sich aus den Daten trotz allem Rückschlüsse auf ihre Herkunft ziehen lassen. Dies alles hängt letztlich davon ab, wie Informationen aus unterschiedlichen Quellen zusammengeführt werden und von wem.
Entscheidend erscheint zudem, dass die Art der Zusammenarbeit einerseits ein gewisses Maß an Qualität garantiert, andererseits aber auch nicht mit zu hohen Anforderungen wertvolle Partner verprellt. Idealerweise sollten verschiedene Stufen der Kooperation existieren: In einem Extrem steuert vielleicht ein Partner nur sporadisch Informationen bei, die ohnehin öffentlich vorliegen und nur in ein anderes Dateiformat überführt werden. Im anderen Extrem könnte man von Anfang an bei der Definition dieses Austauschformates mitwirken, seine Daten mit größter verantwortbarer Granularität bereitstellen und gleichzeitig von detaillierten Auswertungen und möglicher Einflussnahme profitieren.
Es ist weithin bekannt, dass technische, organisatorische und rechtliche Maßnahmen zusammenspielen müssen, um eine optimale Wirkung zu erzielen. Unternehmen sollten davon profitieren, wenn die Politik neue Maßnahmen nicht nur auf Expertenmeinungen, sondern auch auf genaue statistische Daten gründen kann. Diese Daten würden zudem auch direkt für Unternehmen nützlich sein, denn von Geheimhaltung ist hier keine Rede.
Zwar kann ein Unternehmen, das sich über die Bedrohungssituation im Internet informieren will, auch den neuesten CSI/FBI-Report, die DTI/PwC-Analyse oder die neueste <kes>-Studie zurate ziehen. Allerdings sind derartige Berichte in aller Regel national ausgelegt (in den genannten Beispielen US, UK bzw. vor allem DE), sie sind zu unterschiedlichen Zeiten und mit unterschiedlichen Methoden entstanden und zeigen daher kaum die Lage in ganz Europa. Zudem existieren zwar recht detaillierte Berichte von Herstellern, die dann auch Europa als Ganzes unter die Lupe nehmen. Diese sind aber naturgemäß nicht frei von Anbieter-Interessen: Wer Sicherheitsprodukte verkauft, wird sich schwer tun in einzelnen Bereichen Entwarnung zu geben.
Diese Schwierigkeiten sollen mit der genannten EU-Initiative angegangen werden: einer Datensammlung, die europaweit die Interessen verschiedener Hersteller von Sicherheitsprodukten, Anbieter von Sicherheitsdienstleistungen und Behörden jeglicher Couleur ausbalanciert. Es bleibt allerdings die Frage, ob ein solches Projekt realistisch ist. ENISA, die Europäische Agentur für Netwerk- und Informationssicherheit, ist beauftragt dies herauszufinden. Hierzu würden wir gerne auch die Meinung von <kes>-Lesern hören: Wie groß wäre der Nutzen einer solchen Partnerschaft zur Zusammenstellung von Daten über Internet-Sicherheit und Konsumentenvertrauen? Welche Voraussetzungen und Möglichkeiten zur Partizipation sehen Sie hierfür? Antworten und Diskussionsbeiträge zu diesen und weiteren Fragen nehmen wir gerne per E-Mail an den Autor (carsten.casper@enisa.europa.eu) oder die Redaktion entgegen (redaktion@kes.de).
Carsten Casper ist Senior Expert for Security Policies bei der European Network and Information Security Agency (ENISA).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#1, Seite 6
tag:kes.info,2007:lp:2007-1-A
| 