Video: Frontal21: Ausbeutung Deutscher und Ausländischer Arbeiter (Dezember 2024)
Wenn ein Einbrecher einen Ziegelstein durch das Fenster eines Juweliers wirft und mit der Aktie davonläuft, sind seine Gewinne wesentlich geringer als die Verluste des Juweliers. Der Dieb muss die Gegenstände unter ihren tatsächlichen Wert bringen, da sie "heiß" sind. Der Juwelier hat nicht nur den Wert der Ware verloren, er muss auch für ein neues Fenster bezahlen. Aus dem gleichen Grund könnte ein Cyber-Gauner, der eine Million Kreditkartennummern stiehlt, diese für ein paar tausend Dollar verkaufen. Eine Million Kunden zu benachrichtigen und sie mit neuen Karten einzurichten, wird den Kartenaussteller erheblich mehr kosten.
Diese Ungleichheit löste eine Idee für Stefan Frei, Research Vice President bei NSS Labs, aus. Die meisten Cyberangriffe knacken die Sicherheit des Opfers, indem sie eine Art von Sicherheitslücke im Betriebssystem oder in einer anderen Software ausnutzen. Was wäre, wenn wir das Werkzeug den Gaunern wegnehmen könnten? In einem ausführlichen Forschungsbericht erläutern Frei und sein Analystenkollege Francisco Artes die mutige Idee, ein internationales Vulnerability Purchase Program (IVPP) zu schaffen, das mehr für Schwachstellen bezahlt, als sich die Gauner leisten können.
Die Zahlen laufen lassen
Verschiedene Experten schätzen die weltweiten finanziellen Verluste aufgrund von Cyberkriminalität unterschiedlich, aber sie bewegen sich zwischen zehn Milliarden und Hunderten von Milliarden. Frei bezifferte die 2012 veröffentlichten Zahlen zu Schwachstellen und stellte fest, dass die Anschaffungskosten für jeweils 150.000 US-Dollar weitaus geringer gewesen wären als der finanzielle Schaden, den sie angerichtet hatten.
Schauen wir uns zunächst die höchsten Kosten und die niedrigste Rendite an. Angenommen, die IVPP hat für jede Sicherheitsanfälligkeit 150.000 USD gezahlt, unabhängig vom Schweregrad oder der Verbreitung der betroffenen Software, und dadurch finanzielle Verluste von zehn Milliarden vermieden. Die Anschaffungskosten betragen in diesem Worst-Case-Szenario knapp 8 Prozent der Verluste.
Ein Drittel der ausgenutzten Sicherheitslücken wurde jedoch in Programmen der zehn größten Hersteller gefunden. Wenn man nur für diese zahlt und eine Schätzung von 100 Milliarden für Verluste akzeptiert, sinken die Kosten auf 0, 3 Prozent des verlorenen Wertes. Eine Staffelung der Zahlungsmodalitäten nach Schweregrad würde ebenfalls die Kosten senken. Zum Vergleich wird in dem Bericht festgestellt, dass Einzelhandelsunternehmen in den USA einen Verlust von 1, 5 bis 2, 0 Prozent des Jahresumsatzes aufgrund von Diebstahl oder "Bestandsverringerung" erwarten.
Der Bericht stellte auch fest, dass die Kosten für den Kauf aller Schwachstellen im Jahr 2012 etwa 0, 005 Prozent des US-BIP oder des BIP der Europäischen Union und weniger als 0, 3 Prozent des Gesamteinkommens der Softwareindustrie betragen hätten.
Sicherheitslöcher sind da, um zu bleiben
Ein Teil des Papiers untersucht die aktuelle Situation in Bezug auf Software-Schwachstellen. Einfach ausgedrückt, selbst wenn es möglich wäre, fehlerfreie Software zu schreiben, wäre dies nicht rentabel. Die hohen Kosten einer Datenverletzung gehen zu Lasten des Unternehmens, gegen das verstoßen wurde, und nicht des Anbieters der fehlerhaften Software. In geschäftlicher Hinsicht sind diese Kosten eine "negative Externalität" für den Softwareanbieter, und "gewinnorientierte Unternehmen investieren nicht in die Beseitigung negativer Externalitäten".
Möglicherweise könnten Benutzer das Problem erzwingen, indem sie den Kauf von Software von Anbietern von Software mit Sicherheitslücken ablehnen. In der Praxis sind Schwachstellen jedoch die Norm. Wir alle erwarten sie und sie werden nicht verschwinden. Der Bericht stellt fest, dass "keine rechtliche Haftung für die Qualität von Software besteht, und es unwahrscheinlich ist, dass sich dies bald ändern wird."
Der Forscher, der eine neue Sicherheitslücke entdeckt, kann diese stillschweigend beim Verkäufer einreichen, öffentlich bekannt geben oder an den Höchstbietenden verkaufen. Eine frühere NSS Labs-Studie berichtete von einem florierenden Weiterverkaufsgeschäft für Exploits auf dem Schwarzmarkt. Der Bericht stellt fest, dass die Dinge viel schlimmer wären, wenn nicht viele Sicherheitsforscher altruistisch davon Abstand nehmen, an Schwarzhändler zu verkaufen.
Gauner können nicht mithalten
In einer Welt mit Angebot und Nachfrage könnte man meinen, die Gauner würden nur mit den Guten konkurrieren und mehr für brandneue Schwachstellen bieten. Der Bericht weist darauf hin, dass das gleiche Missverhältnis zwischen geringem Gewinn für die Gauner und großem Verlust für die Opfer bedeutet, dass die Gauner einfach nicht mithalten können. Sie können nicht mehr als ihr maximales erwartetes Einkommen anbieten, während ein IVPP viel mehr bezahlen könnte, um kolossale Verluste zu vermeiden.
Tatsächlich würde die beträchtliche Belohnung für neu entdeckte Sicherheitslücken wahrscheinlich zu weiteren Entdeckungen führen. Ein Forscher, dessen einzige mögliche Belohnung ein Klopfen auf den Rücken, ein T-Shirt oder ein paar hundert Dollar ist, ist einfach nicht so motiviert. Wenn man sich den Messingring schnappt, bekommt man 150.000 Dollar, das ist eine andere Geschichte.
Große Pläne
Der vollständige Bericht enthält einen detaillierten Vorschlag dazu, wie ein internationales Vulnerability Purchase-Programm funktionieren würde. Es deckt alles ab, von der Person, die bezahlt, wie die Berichterstattung erfolgen würde, bis hin zur vollständigen Organisationsstruktur und mehr.
Wird es passieren? Das bleibt abzuwarten. Aber dieser sehr durchdachte Bericht überzeugt mich, dass es wirklich funktionieren könnte.
