{"id":237,"date":"2007-08-19T21:53:33","date_gmt":"2007-08-19T19:53:33","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/237-security-tradeoffs"},"modified":"2012-06-07T08:04:21","modified_gmt":"2012-06-07T07:04:21","slug":"security-tradeoffs","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/237-security-tradeoffs","title":{"rendered":"Security Tradeoffs"},"content":{"rendered":"<p>Sicherheit gibt es nicht umsonst. Sicherheit, insbesondere IT-Security hat immer auch mit Tradeoffs zu tun. Auf der einen Seite erreichen wir mehr Sicherheit, auf der anderen Seite werden System teurer und f\u00fcr die Benutzer unbequemer oder schlechter zu nutzen. Das f\u00e4ngt mit einfachen aber l\u00e4ngst akzeptierten Ma\u00dfnahmen wie Firewalls an. Durch die Implementierung einer Firewall im Netzwerk werden bestimmte Protokolle verboten. Je restriktiver die Firewall, umso weniger Dienste k\u00f6nnen f\u00fcr Angriffe verwendet werden aber umso weniger M\u00f6glichkeiten bleibt den Anwendern, Internet-Dienste zu nutzen.<\/p>\n<p>Gleichzeitig ist der Mensch anscheinend unendlich schlecht, das Risiko von Sicherheitsvorf\u00e4llen angemessen einzusch\u00e4tzen. Unsere Risikobewertung scheint immernoch auf den Erfahrungen kleiner Familiengruppen etwa 500.000 vor Christus im Hochland von Ostafrika zu basieren. Insbesondere f\u00e4llt es uns schwer, die notwendigen Basiswerte korrekt zu bewerten:<\/p>\n<ul>\n<li>die Eintrittswahrscheinlichkeit von Sicherheitsvorf\u00e4llen<\/li>\n<li>die Auswirkungen dieser Sicherheitsvorf\u00e4lle<\/li>\n<li>die Kosten der Sicherheitsvorf\u00e4lle und Gegenma\u00dfnahmen<\/li>\n<li>die Wirksamkeit der Gegenma\u00dfnahmen<\/li>\n<li>wir schl\u00fcssig Kosten aus Vorf\u00e4llen und Gegenma\u00dfnahmen verglichen werden k\u00f6nnen<\/li>\n<\/ul>\n<p>Bruce Schneier hat in seinem Buch &#8222;Beyond Fear&#8220; ein paar typische Probleme aufgef\u00fchrt, die weitgehend psychologisch erkl\u00e4rt werden k\u00f6nnen:<\/p>\n<ul>\n<li>Menschen neigen dazu, spektakul\u00e4re aber seltene Risiken zu \u00fcbertreiben und allt\u00e4gliche Risiken herunterzuspielen, beispielsweise Flugzeugabst\u00fcrze im Vergleich zu Verkehrsunf\u00e4llen<\/li>\n<li>Menschen haben Probleme damit, Risiken in Bereichen einzusch\u00e4tzen, die nicht ihrem typischen Erfahrungshorizont entsprechen, beispielsweise Risiken in der Raumfahrt<\/li>\n<li>Genau identifizierte und beschreibbare Risiken werden h\u00f6her eingesch\u00e4tzt als anonyme Risiken<\/li>\n<li>Menschen untersch\u00e4tzen Risiken, die sie bereit sind einzugehen und \u00fcbertreiben Risiken in Situationen, die sie nicht kontrollieren k\u00f6nnen<\/li>\n<li>Menschen \u00fcbersch\u00e4tzen Risiken, die t\u00e4glich in den Medien thematisiert werden, beispielsweise die Gefahr von Terroranschl\u00e4gen<\/li>\n<\/ul>\n<p>Dazu gibt es eine sch\u00f6ne Tabelle von Bruce Schneier:<\/p>\n<table>\n<tr>\n<th>Menschen \u00fcbertreiben Risiken die<\/th>\n<th>Menschen untersch\u00e4tzen Risiken die<\/th>\n<\/tr>\n<tr>\n<td>spektakul\u00e4r sind<\/td>\n<td>gew\u00f6hnlich sind<\/td>\n<\/tr>\n<tr>\n<td>selten auftreten<\/td>\n<td>h\u00e4ufig auftreten<\/td>\n<\/tr>\n<tr>\n<td>personifizierbar sind<\/td>\n<td>anonym sind<\/td>\n<\/tr>\n<tr>\n<td>au\u00dferhalb ihrer Kontrolle sind<\/td>\n<td>kontrollierbar sind bzw. bewu\u00dft gew\u00e4hlt werden<\/td>\n<\/tr>\n<tr>\n<td>in den Medien diskutiert werden<\/td>\n<td>verschwiegen werden<\/td>\n<\/tr>\n<tr>\n<td>absichtlich bzw. menschenverursacht sind<\/td>\n<td>nat\u00fcrliche Ursachen haben<\/td>\n<\/tr>\n<tr>\n<td>sofort passieren<\/td>\n<td>langfristig passieren<\/td>\n<\/tr>\n<tr>\n<td>pl\u00f6tzlich \u00fcberraschend eintreten<\/td>\n<td>\u00fcber einen langen Zeitraum eintreten<\/td>\n<\/tr>\n<tr>\n<td>sie pers\u00f6nlich betreffen<\/td>\n<td>andere betreffen<\/td>\n<\/tr>\n<tr>\n<td>f\u00fcr sie neu und ungewohnt sind<\/td>\n<td>sie gewohnt sind<\/td>\n<\/tr>\n<tr>\n<td>sie nicht kennen<\/td>\n<td>sie gut verstehen<\/td>\n<\/tr>\n<tr>\n<td>sich gegen ihre Kinder richten<\/td>\n<td>sich gegen sie selbst richten<\/td>\n<\/tr>\n<tr>\n<td>moralisch verwerflich sind<\/td>\n<td>moralisch erw\u00fcnscht sind<\/td>\n<\/tr>\n<tr>\n<td>ohne Vorteil sind<\/td>\n<td>mit einem abstrakten Vorteil verbunden sind<\/td>\n<\/tr>\n<tr>\n<td>nicht ihrem Bezugsfeld entsprechen<\/td>\n<td>typisch f\u00fcr ihr Bezugsfeld sind<\/td>\n<\/tr>\n<\/table>\n<p>Wie viele Menschen erkranken aufgrund ihrer schlechten finanziellen Situation, weil sie sich keine gesunde Ern\u00e4hrung oder den Arztbesuch leisten k\u00f6nnen? Trotzdem scheint die Mehrheit der Bev\u00f6lkerung in Deutschland lieber bereit, Geld f\u00fcr die Abwehr einer abstrakten Terrorgefahr auszugeben, anstatt die Situation der Menschen hier in Deutschland zu verbessern.<\/p>\n<p>Vermutlich sollten wir den Entscheidungstr\u00e4gern in Deutschland, sowohl in der Politik als auch in der IT-Sicherheit einen Psychologen als Hilfe beistellen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheit gibt es nicht umsonst. Sicherheit, insbesondere IT-Security hat immer auch mit Tradeoffs zu tun. Auf der einen Seite erreichen wir mehr Sicherheit, auf der anderen Seite werden System teurer und f\u00fcr die Benutzer unbequemer oder schlechter zu nutzen. Das f\u00e4ngt mit einfachen aber l\u00e4ngst akzeptierten Ma\u00dfnahmen wie Firewalls an. Durch die Implementierung einer Firewall [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[14,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/237"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=237"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/237\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=237"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=237"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=237"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}