ITSD_526_Teil 2.qxd:ITSD_526_Teil 2-4_korr.qxd
27.06.2007
8:23 Uhr
Seite 526
PRAXIS – ANWENDUNGEN – LÖSUNGEN
Thomas Böcker
Alles bloß Werbung? Virenwarnungen, Security-Reports und Marketing „Verbraucherängste treiben Kosten für Online-Sicherheit in die Höhe“ – so überschrieb Yahoo Finance am 7. Juni 2007 einen Beitrag zur Akzeptanz von Online-Banking und -Handel. Tenor: Zwar gehe die Zahl der Opfer, die aufgrund gestohlener Kontound Kreditkarteninformationen große finanzielle Verluste erlitten, seit längerem konstant zurück. Gleichzeitig sei jedoch das Kundenvertrauen auf einem Tiefpunkt angelangt mit der Folge, dass zumindest in den USA immer weniger Verbraucher das Web für Einkäufe oder Überweisungen nutzten. Der Artikel sorgte für einige Aufregung – wenngleich nicht so, wie man sich das bei Yahoo gewünscht haben mag. Einer aktuellen Veröffentlichung des Informationsdienstes eMarketer zufolge verhalten sich Konsumenten im Internet vorsichtiger, als sie es eigentlich müssten
Grundlage des Beitrags war eine Meldung des Informationsdienstes eMarketer, der sich seit seiner Gründung 1996 auf Untersuchungen zum Thema E-Business spezialisiert hat. Dabei wertet das Unternehmen mit Sitz in New York nach eigenen Angaben Informationen aus „mehr als 2.800 Quellen“1 in aller Welt aus und fasst die so gewonnenen Erkenntnisse in eigenen Analysen, Artikeln für die Tagespresse und der so genannten eStat Database zusammen. Auf dieser Basis entstand auch die jüngste Studie „Online Security: Counting the Cost of Fear“, deren zentralen Befund eMarketer in die eingangs erwähnte Pressemitteilung goss und anschließend über das Presse- und PRBüro Market Wire verbreiteten, wo sie neben Yahoo auch andere Internet-Portale aufpickten. Bis hierhin ging alles seinen klassischen Gang, und alle hätten zufrieden sein können – die Portale mit den Klikkzahlen für die Meldung und eMarketer mit der Publicity. Alle bis auf einen – und das war mit Javelin Strategy & Research ausgerechnet jenes Beratungsunternehmen, aus dessen Zahlenmaterial Ben Makklin, Autor der eMarketer -Studie, seine zentrale These ableitete. Tatsächlich aber, so ließ sich am folgenden Tag Javelin-Chef James Van Dyke vernehmen, belegten die Statistiken seines Hauses nichts dergleichen. Im Gegenteil: Tatsächlich übersteige der Anteil der USHaushalte mit Internet-Anschluss, die mehr Bankgeschäfte und Ein-
[1]
526
Vgl. dazu: http://www.emarketer.com/AboutUs.aspx?page=Faqs&src=faqs_topnav_about.
IT-Sicherheit & Datenschutz 07 | 2007
ITSD_526_Teil 2.qxd:ITSD_526_Teil 2-4_korr.qxd
27.06.2007
8:23 Uhr
Seite 527
PRAXIS – ANWENDUNGEN – LÖSUNGEN
käufe online erledigten, bei weitem die Zahl jener, die diese Möglichkeiten aus Furcht vor Hackern und Betrügern weniger nutzten.2 Wer Wert auf seriöse Analysen lege, möge sich daher bitte gleich an sein Unternehmen wenden. Selektive Wahrnehmung So weit sieht alles aus wie der Streit zwischen zwei relativ unbekannten Playern, die im weltweiten Informationsdschungel Internet um Marktanteile streiten. Darüber könnte man eigentlich zur Tagesordnung übergehen – wäre der Konflikt nicht gar so typisch und würde er nicht gar so ernste Zweifel am Wert der täglichen Warnungen vor Schadsoftware, Phishing-Mails usw. sowie von Reports zur Sicherheitslage des Web im Allgemeinen wecken.
Tatsächlich ergibt sich aus den von eMarketer genannten Quellen jedoch ein völlig gegensätzliches Bild
Typisch ist der Fall insofern, als er ein Schlaglicht darauf wirft, wie selektiv insbesondere Marktforscher im Web-Zeitalter vorgefundenes Zahlenmaterial interpretieren. Zwar galt unter hartgesottenen Zynikern schon immer die Faustregel „Traue keiner Statistik, die Du nicht selbst gefälscht hast“. Aber selbst sie dürften sich über die Unverfrorenheit gewundert haben, mit der eMarketer nicht zum erwarteten (oder erwünschten) Ergebnis passende Werte einfach ausblendete. Indes vergaß der Javelin-Chef zu erwähnen, dass die Studie des Konkurrenten sich keineswegs ausschließlich auf Forschungsergebnisse seines Hauses stützt, sondern beispielsweise auch auf den Internet Security Threat Report von Symantec, dem unumstrittenen Marktführer unter den Anbietern von Sicherheitssoftware. Zu klären wäre somit, ob womöglich dessen Resultate die These vom schwindenden Kundenvertrauen trotz nachlassender Bedrohung rechtfertigen. Quellenstudium Der Internet Security Threat Report – kurz ISTR – erscheint zweimal jährlich und soll einen umfassenden Überblick über die Bedrohungslage im Web sowie künftige Trends in der Entwicklung von Schadsoftware, Betrugsversuchen etc. geben. Trotz des zum Teil üblen Rufs von Symantec bei Privatanwendern gilt der Dienst als verlässliche Quelle – kein Wunder, denn schließlich fasst er nicht bloß die Erkenntnisse aus weltweit über 30 Forschungs- und Notfallzentren zusammen, sondern auch die Beobachtungen von rund 50.000 Abonnenten der renommierten Mailingliste Bugtraq, die seit der Übernahme des Informationsdienstes Security Focus 2002 zum Konzernportfolio gehört. Eine gewisse Einschränkung ergibt sich daraus, dass der ISTR vor allem die technischen und organisatorischen Aspekte von IT-Sicherheit betrachtet, während er psychologische Gesichtspunkte, die das Nutzerverhalten prägen, eher zurückstellt. [2]
So warnt etwa Symantec in seinem Internet Security Threat Report vor weiter wachsenden Gefahren
Vgl. dazu: http://www.javelinstrategy.com/2007/06/08/emarketer-cites-javelin-but-gets-themain-issue-wrong-whats-the-cost/.
IT-Sicherheit & Datenschutz 07 | 2007
527
ITSD_526_Teil 2.qxd:ITSD_526_Teil 2-4_korr.qxd
27.06.2007
8:23 Uhr
Seite 528
PRAXIS – ANWENDUNGEN – LÖSUNGEN
Im vorliegenden Fall interessiert uns allerdings zunächst die Frage, ob die „hard facts“ den Befund von eMarketer stützen. Tatsächlich meldete Symantec am 19. März dieses Jahres, dass „die gegenwärtige Bedrohungslage im Internet von einem Zuwachs an Datendiebstählen, Datenlecks und der gezielten Herstellung von Schadcode für den Diebstahl vertraulicher Informationen“ geprägt sei.3 Das ergab die Auswertung aller Sicherheitsvorfälle, die dem Security-Marktführer in der 2. Jahreshälfte 2006 bekannt wurden. In dieser Zeit fanden die Experten allein 2.526 Software-Sicherheitslücken, zwölf Prozent mehr als in den ersten sechs Monaten und mehr als in allen Vergleichsperioden zuvor. Gut 100 dieser Schwachstellen (vier Prozent) stuften sie als kritisch ein, weitere 1768 (70 Prozent) als problematisch – und nur rund ein Viertel erforderte kein unmittelbares Eingreifen. Ferner hätten sich von Juli bis Dezember letzten Jahres ca. 6 Millionen Computer weltweit (plus 29 Prozent) mit so genannten Bots infiziert – Schadprogrammen, die den betroffenen Rechner wahlweise zum Versenden von Spam bzw. Spionageprogrammen oder zu beidem „animieren“ und von professionellen Datendieben eingesetzt werden, um schneller und effizienter an Konto- und Kreditkarteninformationen zu gelangen. Die größte Bedrohung geht laut ISTR inzwischen von modular aufgebauten Trojanern aus, die zunächst eine Hintertür auf dem befallenen System öffnen und dann die jeweils benötigten Schadroutinen wie z. B. Keylogger aus dem Internet „nachladen“. Schon diese Resultate und Einschätzungen legen alles andere als ein Nachlassen der Bedrohung nahe. Ein weiteres Kapitel des Reports befasst sich mit „data breaches that could lead to identity theft“ – also Verletzungen der Datensicherheit respektive Verstößen gegen die einschlägigen Richtlinien von Behörden und Unternehmen, die zum Missbrauch persönlicher Informationen führen könnten. In 54 Prozent aller Fälle sei die Ursache dafür der Diebstahl oder Verlust von Rechnern oder Speichermedien, die solche vertraulichen Daten enthalten. Rund ein Viertel dieser Verstöße gehe auf das Konto des öffentlichen Sektors, also von Ministerien, Polizeiund Justizbehörden, Ämtern oder den besonders in den USA wichtigen Organisationen zur Betreuung von Kriegsveteranen. Das Abhandenkommen dieser Informationen sorgt denn auch regelmäßig für großes Aufsehen und stärkt keineswegs das Vertrauen in die Sicherheit der DV im Allgemeinen und der elektronischen Informationsübermittlung im Besonderen. Fazit: Weder die Zahlen von Javelin noch die ISTR-Ergebnisse rechtfertigen die Analyse von Ben Macklin. Weit eher scheint es so, als
[3]
528
Vgl. dazu die zugehörige Pressemitteilung unter http://www.symantec.com/about/news/ release/article.jsp?prid=20070319_01. Eine Kurzfassung der aktuellen ISTR-Ausgabe (22 S.) findet sich unter http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_internet_security_threat_report_xi_keyfindings_03_2007.en-us.pdf, der vollständige Text (104 S.) unter http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_ internet_security_threat_report_xi_03_2007.en-us.pdf.
IT-Sicherheit & Datenschutz 07 | 2007
ITSD_526_Teil 2.qxd:ITSD_526_Teil 2-4_korr.qxd
27.06.2007
8:23 Uhr
Seite 529
PRAXIS – ANWENDUNGEN – LÖSUNGEN
habe der eMarketer-Mann nach dem Motto „Minus mal minus gibt plus“ zwei negative Befunde zu einem positiven zusammengerührt – warum, bleibt vermutlich auf ewig sein Geheimnis. Was taugen Sicherheitsanalysen?
Das Beispiel zeigt: Analysen mit kommerziellem Hintergrund sind immer mit einem gesunden Misstrauen zu betrachten
Schnellschüsse nach Art des eben vorgestellten finden sich im Internet mittlerweile zuhauf. Kaum überraschend streiten daher inzwischen die Experten im IT-Mutterland USA lautstark darüber, ob und inwieweit Anwender den Informationsangeboten von Security-Software-Herstellern, IT-Dienstleistern und Beratungsunternehmen überhaupt glauben dürfen. Nach einem Bericht der Computerworld lassen sich dabei zwei extreme Standpunkte unterscheiden: Während eine Gruppe Untersuchungen und Artikel mit „kommerziellem“ Background generell ablehnt und kurzerhand als „Info-Spam“ abtut, warnt die andere zwar auch davor, jede Meldung für bare Münze zu nehmen, verweist jedoch darauf, dass durchaus „gute“ Studien existieren, die wie neutrale Statistiken ihre Datenbasis und ihre Untersuchungsmethoden offenlegten.4 So begreiflich der Ärger mancher Verbraucheranwälte auch erscheint, so zweifelhaft ist, ob eine radikale Ablehnung wirklich weiterhilft. Tatsache ist, dass Unternehmen wie Privatanwender nicht ohne Informationen der Hersteller und Dienstleister auskommen: Oft genug würden sie Schädlinge bzw. Angriffe ohne diese gar nicht bemerken, ehe es zu spät ist, ganz abgesehen davon, dass zumindest Privatanwender mit der fachgerechten Entfernung dieser Programme ohne geeignete Tools schlichtweg überfordert sind. Vor diesem Hintergrund lässt sich die Eigen-PR von Herstellern und Dienstleistern schon ertragen – vor allem wenn man in Rechnung stellt, dass diese als einzige über das notwendige Expertenwissen und die notwendige Infrastruktur verfügen, um Sicherheitswarnungen und Schutzprogramme zeitig an die Anwender zu bringen, wie das Beispiel Symantec zeigt. Unabhängige Instanzen, die das gleiche leisten, gibt es leider noch zu wenig – in Deutschland etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI). Und selbst diese stützen sich dabei wieder auf die „kommerziellen“ Befunde.
Völlig ohne diese Informationsquelle wird man aber zumindest auf absehbare Zeit nicht auskommen
Zum Autor: Thomas Böcker ist freier IT-Fachjournalist und seit 2005 Leitender Redakteur von IT-Sicherheit & Datenschutz. E-Mail-Kontakt:
[email protected] [4]
S. hierzu: http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Security&articleId=9024141&taxonomyId=17&intsrc=kc_li_story.
IT-Sicherheit & Datenschutz 07 | 2007
529
