{"id":561,"date":"2008-03-12T23:12:11","date_gmt":"2008-03-12T22:12:11","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/561-security-economics"},"modified":"2018-05-22T21:45:22","modified_gmt":"2018-05-22T20:45:22","slug":"security-economics","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/561-security-economics","title":{"rendered":"Security Economics"},"content":{"rendered":"<p>Eigentlich ist das Thema Economics of Information Security, d.h. die betriebswirtschaftliche Betrachtung von IT- und Informationssicherheit kein neues Thema. Vom 25. bis 27. Juni findet in Hanover, NH (USA) der <a href=\"http:\/\/weis2008.econinfosec.org\/\">WEIS 2008<\/a> (der 7.\u00c2\u00a0 Workshop on the Economics of Information Security) statt. Themen der letzten Jahre waren u.a.<\/p>\n<ul>\n<li><a href=\"http:\/\/weis2007.econinfosec.org\/papers\/29.pdf\">The legitimate vulnerability market: the secretive world of 0-day exploit sales<\/a> (PDF)<a href=\"http:\/\/weis2007.econinfosec.org\/papers\/29.pdf\"><br \/>\n<\/a><\/li>\n<li><a href=\"http:\/\/weis2007.econinfosec.org\/papers\/42.doc\">Economics of User Segmentation, Profiling, and Detection in Security<\/a> (DOC)<a href=\"http:\/\/weis2007.econinfosec.org\/papers\/42.doc\"><br \/>\n<\/a><\/li>\n<li><a href=\"http:\/\/weis2007.econinfosec.org\/papers\/24.pdf\">Cyber-Insurance: Copula Pricing Framework and Implications for Risk Management <\/a>(PDF)<a href=\"http:\/\/weis2007.econinfosec.org\/papers\/24.pdf\"><br \/>\n<\/a><\/li>\n<li><a href=\"http:\/\/weis2006.econinfosec.org\/docs\/5.pdf\">Economics of Security Patch Management<\/a> (PDF)<\/li>\n<\/ul>\n<p>Das ganze Thema ist jedoch irgendwie unbefriedigend gelaufen. Ich frage mich immer wieder, welchen Aufwand will\/muss man eigentlich treiben um Systeme vern\u00fcnftig abzusichern:<\/p>\n<ul>\n<li>Firewall (ok, sehe ich ein)<\/li>\n<li>Virenscanner (hmm, auf PCs bestimmt, aber auf Servern und f\u00fcr Mail?)<\/li>\n<li>VPN (sehr praktisch aber oft gen\u00fcgt auch SSH)<\/li>\n<li>Datenverschl\u00fcsselung (wichtig!)<\/li>\n<li>Intrusion Detection\/Prevention Systeme (teuer, teilweise recht nutzlos)<\/li>\n<\/ul>\n<p>Und warum eigentlich? Weil alle diese Funktionen vom Betriebssystem entweder nicht mitgebracht werden (Datenverschl\u00fcsselung und VPN wandert gerade hinein) oder damit Schwachstellen des Betriebssystems behoben werden. Von den Kosten f\u00fcr Patchmanagement gar nicht zu reden.<\/p>\n<p>Jedenfalls wird das Thema aktuell, die ENISA, die <a href=\"http:\/\/www.enisa.europa.eu\/\">European Network and Information Security Agency<\/a>, von der ich <a href=\"\/blog\/127-enisa\">schon mal schrieb<\/a> hat das Thema Security Economics f\u00fcr sich entdeckt. Die ENISA hat jedenfalls einen Forschungsbericht mit dem Titel &#8222;<a href=\"http:\/\/www.enisa.europa.eu\/doc\/pdf\/report_sec_econ_&amp;_int_mark_20080131.pdf\">Security Economics and the Internal Market<\/a>&#8220; (PDF) finanziert, der interessante Forderungen aufstellt:<\/p>\n<ul>\n<li>ein EU-weites Gesetz zur Ver\u00f6ffentlichung von Sicherheitsvorf\u00e4llen<\/li>\n<li>Regelungen, dass neu angeschlossene Ger\u00e4te per Default abgesichert sein m\u00fcssen<\/li>\n<li>Hersteller sollen f\u00fcr ungepatchte Software verantwortlich gemacht werden<\/li>\n<\/ul>\n<p>Insgesamt ein eindrucksvoller Forderungskatalog. Ich war beim Lesen wirklich \u00fcberrascht und beeindruckt.<br \/>\nDer letzte Punkt ist nat\u00fcrlich ein ganz hei\u00dfes Eisen. Zur Zeit stehlen sich die Anbieter von Software aus der Verantwortung, weil sie jede Haftung f\u00fcr Fehler in den Lizenzbedingungen ausschlie\u00dfen k\u00f6nnen. Microsoft hat beispielsweise noch nie f\u00fcr einen Software-Fehler haften m\u00fcssen, egal wie hoch der Schaden war. Autohersteller zum Beispiel k\u00f6nnen von so einer Welt nur tr\u00e4umen. Selbst wenn die Haftung auf den Anschaffungspreis begrenzt w\u00e4re, eine sinnvolle L\u00f6sung, um z.B. freie und Open Source Software nicht zu sehr einzuschr\u00e4nken, w\u00e4re das Interesse des Herstellers, mehr in die Sicherheit seiner Produkte und etwas weniger in die reinen Funktionen zu investieren auf einen Schlag gewaltig.<\/p>\n<p>Und das ist nat\u00fcrlich nicht national durchsetzbar, mit der <a href=\"http:\/\/www.heise.de\/tp\/r4\/artikel\/27\/27472\/1.html\">inkompetenten Politikerkaste<\/a> in Deutschland schon gar nicht. Eine Europ\u00e4ische Union, die gegen Microsoft ein Bu\u00dfgeld von 497 Millionen Euro in der ersten und 899 Millionen Euro in der zweiten Runde verh\u00e4ngen konnte, ist jedoch ein ganz anderer Gespr\u00e4chspartner.<\/p>\n<p>Mitautor war \u00fcbrigens <a href=\"http:\/\/www.inf.tu-dresden.de\/index.php?node_id=489&amp;ln=de\">Rainer B\u00f6hme von der TU Dresden<\/a>, das ist jemand, den man in den n\u00e4chsten Jahren im Auge behalten sollte.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eigentlich ist das Thema Economics of Information Security, d.h. die betriebswirtschaftliche Betrachtung von IT- und Informationssicherheit kein neues Thema. Vom 25. bis 27. Juni findet in Hanover, NH (USA) der WEIS 2008 (der 7.\u00c2\u00a0 Workshop on the Economics of Information Security) statt. Themen der letzten Jahre waren u.a. The legitimate vulnerability market: the secretive world [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1,14,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/561"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=561"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/561\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=561"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=561"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=561"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}