COMPASS MAGAZINE #10
COMPASS MAGAZINE #10

ZWIESPÄLTIGE BEZIEHUNGEN Trotz eines gemeinsamen Feindes sind sich Regierungen und Wirtschaft oft uneins

Regierungsstellen und Industrie sind sich häufig uneinig, doch auf dem Gebiet der Cybersecurity könnten sie voneinander profitieren. Können diese beiden starken Interessengruppen lernen, zugunsten des Gemeinwohls miteinander auszukommen?

Auf dem Gebiet der Daten­sicher­heit sind viele Fachleute der Meinung, dass der Austausch von Informationen über Online-Gefahren und Angreifer zu mehr Sicherheit für alle Internetnutzer führen würde. In der Realität haben allerdings jene, die zu den größten Angriffszielen sowie zu den größten Datensammlern zählen – Unternehmen der Privatwirtschaft und die Regierungsbehörden eines Landes – meist konkurrierende Ziele.

Eugene Spafford, Professor für Informatik an der Purdue University in West Lafayette, Indiana (USA), glaubt, dass beide Seiten über Hindernisse stolpern, die sie sich selbst in den Weg gelegt haben. „Die Regierung möchte ihr Wissen meist nicht preisgeben, weil dadurch ihre Quellen und Methoden offengelegt würden“, sagt Spafford. Um Informationen über die Methoden der Hacker sammeln zu können, werden Angriffe auf Unter­nehmen, die von der Regierung erkannt werden, oft über Monate oder Jahre beobachtet, bevor die Opfer informiert werden – sofern dies überhaupt geschieht.

„EINE UNIVERSELLE HERAUSFORDERUNG FÜR DEN INFORMATIONSAUSTAUSCH ZWISCHEN DEM ÖFFENTLICHEN UND PRIVATEN SEKTOR SIND DIE UNTERSCHIEDLICHEN ERWARTUNGEN"

ERIK DE JONG EXPERTE FÜR INTERNETKRIMINALITÄT, FOXCERT

„Regierungen neigen auch dazu, viele Daten überzubewerten, weil sie einfach nicht wissen, wie diese am besten zu verwalten sind“, meint Spafford. „Viele Unternehmen schrecken davor zurück, Informationen über Bedrohungen preiszugeben, weil sie kein Vertrauen in ihre eigenen Schutzvorkehrungen haben. Sie befürchten, wenn sie zu viel verraten, könnten sie die Aufmerk­samkeit auf ihre sicherheitstechnischen Schwachstellen lenken.“

GESETZGEBERISCHE MASSNAHMEN

Um einige dieser Hürden aus dem Weg zu räumen, haben die Abgeordneten in den USA einen umstrittenen Gesetz­esvorschlag diskutiert, den sogenannten Cyber Intelligence Sharing and Protection Act (CISPA), durch den Unternehmen der Informationsaustausch über Cyber­angriffe mit der Regierung erleichtert werden soll. Doch die Umsetzung von CISPA scheiterte, weil Whistleblower die Reichweite der Über­wachungs­programme der US-amerika­nischen Sicherheitsbehörde NSA enthüllten.

„CISPA verfügt über das Potenzial, viele Daten anzuhäufen und damit möglicher­weise ein viel größeres Ziel für Kriminelle und Internetspione zu werden“, sagt Spafford. „Ein wichtiger Grundsatz des Datenschutzes besteht außerdem darin, Umfang und Aufbewahrungsdauer der gesammelten Daten zu beschränken, doch keiner dieser Punkte wurde in diesem Gesetzesvorschlag aufgegriffen.“

Eine universelle Herausforderung für den Informationsaustausch zwischen dem öffentlichen und dem privaten Sektor seien die unterschiedlichen Erwartungen, glaubt Erik de Jong, Experte für Internetkriminalität bei FoxCERT, einer Sicherheitsfirma mit Sitz in den Niederlanden. De Jong sagt, obwohl die niederländische Regierung die Bedeutung des Informations­austauschs ständig betone, teile sie in der Realität nur sehr wenige dieser Daten mit dem privaten Sektor.

„Ich glaube, das liegt nicht unbedingt daran, dass sie nicht willens ist, sondern vielmehr an einem unklaren Auftrag“, sagt er. „Die Regierung behauptet zwar, ihren Beitrag zu leisten, aber in der Praxis zeigt sich, dass die übergebenen Infor­mationen nicht den Erwartungen der Privatwirtschaft entsprechen.“

De Jong sagt, es sei leicht, über den Informationsaustausch zu reden, um damit ein „sichereres Internet“ und eine „sicherere digitale Gesellschaft“ zu erschaffen. Zwar sei das seiner Meinung nach für eine Regierung von primärem Interesse, doch für die meisten Privatunternehmen spiele es bestenfalls eine untergeordnete Rolle.

„Die Hauptinteressen privater Firmen, so denke ich, werden von Regierungsstellen häufig nicht explizit erwähnt oder beachtet“, sagt de Jong. „Es wäre nach meiner Ansicht fairer und effektiver, wenn beide Parteien die Interessen der jeweils anderen anerkennen würden, um zu realisieren, was man voneinander erwarten kann und was nicht.“

WIE VIEL SOLL MAN VERRATEN?

Einige bemängeln, dass die wenigen Anbieter von Internetsicherheitsdien­sten – sowie noch ausstehende Gesetze für die Vereinfachung des Informations-
­austauschs zwischen dem öffentlichen und dem privaten Sektor – nur ein noch größeres Problem überspielen: Nämlich zu wissen, welche Informationen man wann und mit wem teilen sollte.

„Die Diskussionen, die wir wegen Haftung, Anonymität und Geheimhaltung der Daten haben, sind größtenteils nur Ablenkungsmanöver jener Leute, die einfach nichts preisgeben wollen“, sagt Allen Paller, Forschungsleiter am SANS Institute, einem Sicherheitsfor­schungs- und Schulungsunternehmen in Bethesda, Maryland (USA). „Selbst wenn es Anreize oder den Wunsch nach mehr Offenheit gäbe, wäre diese Offenheit ausgerechnet dann nicht hilfreich, wenn sie am meisten gebraucht würde. Während eines Angriffs lässt sich nur schwer ermitteln, was gerade vor sich geht; und danach gibt es einfach so viele Daten, dass die Menschen darin ersticken.“

Es wäre nach Pallers Meinung besser, die Regierungen würden Internetsicherheitsanbieter – insbesondere jene, die den Großteil ihres Gewinns durch steuergeldfinanzierte Regierungsverträge erwirtschaften – dazu verpflichten, mehr von den wichtigen Informationen über Angriffe aus den betroffenen Unternehmensnetzwerken zu extrahieren und zu übermitteln.

„Zumindest in den USA werden viele (Internetsicherheits-) Unter­nehmen damit beauftragt, in betroffenen Firmen Maßnahmen zu ergreifen, um auf Daten­schutzverletzungen zu reagieren. In vielen Fällen sind die Opfer sogar recht­lich verpflichtet, ein solches Unternehmen hinzuzuziehen“, sagt Paller. „Die Regierung hat ein Recht darauf, aus solchen Unter­suchungen mehr Metadaten zu erhalten.“

Die US-amerikanische Behörde Centers for Disease Control and Prevention (CDC), die Daten aus Krankenhäusern und Arzt­praxen sammelt, um eine mögliche Ausbreitung von Infektionskrankheiten zu verhindern, könne ein hilfreiches Modell für eine Kollaboration auf dem Gebiet der Internetsicherheit sein, meint Paller.

Eventuell wäre für ein solches System die Lizenzierung bestimmter Unternehmen erforderlich, die unberechtigte Zugriffe verarbeiten. Unternehmen, deren Netzwerk gehackt wurde, müssten rechtlich verpflichtet werden, mit einem dieser lizenzierten Unternehmen zusam­men­zuarbeiten, die dann ihre Erkenntnisse zusammenfassen und mit der Regierung teilen könnten, ohne die Daten einzelner Personen preiszugeben.◆

von Brian Krebs Zurück zum Seitenbeginn