Risiken – kein triviales Gebiet, weder für die Datenschutzbeauftragten noch für die Sicherheitsverantwortlichen.  Anders als im Bundesdatenschutzgesetz (BDSG), bei de man sich auf die geeignete Auswahl der (Sicherheits-)Kontrollen  gemäß Anlage zu § 9 BDSG stützen konnte, gibt die europäische Datenschutz-Grundverordnung (DS-GVO) keine konkreten Hinweise zu der Art von technisch-organisatorischen Maßnahmen (TOM) – bis auf die klare Anforderung, angemessene TOMs im Rahmen von Risikoanalysen zu ermitteln. Zunehmende Vernetzung und Digitalisierung erhöhen zudem den Grad der Komplexität dieser Aufgabe.

„Errare humanum est, sed in errare perseverare diabolicum“ lautet eine lateinische Redewendung, die Seneca zugeschrieben wird. Zu Deutsch: „Irren  ist  menschlich.“ Doch das ist nicht die ganze Wahrheit. Korrekterweise  heißt es nämlich: „Irren ist menschlich, aber auf Irrtümern zu bestehen, ist teuflisch.“ ___STEADY_PAYWALL___

Erkenntnisfehler – ob erster oder zweiter Art – begleiten die Menschheit nicht erst seit der Industrialisierung, die die Blütezeit der Naturwissenschaften, Mathematik und Statistik markierte. Auch nicht erst seit der Renaissance, in der Grundlagen moderner Wissenschaft und Medizin in Europa gelegt wurden. Erkenntnisfehler  sind  wesentlich  älter.  Evolutorisch gesehen, sind sie wesentlicher Bestandteil der Überlebensstrategie der Gattung Homo sapiens, auf der mitunter die moderne Zivilisation ruht. Zuerst intuitiv, heute bewusst, gar strategisch oder berechnend angewandt: die Erkenntnisfehler. In zweierlei Ausprägung:

Erkenntnisfehler erster Art (false positive). Man stelle sich folgende Situation vor: Unsere Urgroßväter saßen abends  am Feuer und hörten ein verdächtiges Geräusch im Busch. Sie nahmen an, es sei ein Tiger, und ergriffen die Flucht  (oder bereiteten sich auf Verteidigung vor). In dem Busch war aber kein Tiger. Die Geräusche machte ein Hase – höchstens ein Hund –, der sich in dem Busch verfangen hat.

Erkenntnisfehler zweiter Art (false negative). Gleiche Situation wie oben: Unsere Urväter sitzen abends am Feuer und hören verdächtige Geräusche im Busch. Sie nehmen an, es  sei ein Hase – höchstens ein Hund – und bleiben unbesorgt weiter sitzen. Aus dem Busch kommt ein Tiger und frisst einige von ihnen.

Evolutorisch hat sich der Erkenntnisfehler erster Art als dominante – bevorzugte – Strategie für die Menschen erwiesen: Es war besser, beim verdächtigen Rascheln im Busch die Flucht (oder Abwehrmaßnahmen) zu ergreifen (auch wenn sich kein Tiger dort versteckte), als sitzen zu bleiben und vom Tiger gefressen zu werden. Verkürzt formuliert: Dem Erkenntnisfehler erster Art hat die Menschheit evolutorisch gesehen ihr Überleben als Gattung zu verdanken.

Imperium informaticum

Die Ära der Digitalisierung und zunehmenden Vernetzung  wird dem entgegen vom Erkenntnisfehler zweiter Art (false  negative) dominiert. Insbesondere in den neuen, zukunftsweisenden Bereichen, bei denen sich die Privatunternehmen neue Geschäftsmodelle und gute Geschäftszahlen versprechen, wie Künstliche Intelligenz, lernende Algorithmen, Big Data, Cognitive Computing, Automatisierung oder Robotik, werden die Gefahren, Risiken und Bedenken beiseite geschoben – oder aufgeschoben –, um die technische Entwicklung und den Fortschritt nicht zu behindern. Man muss heute angesichts potenzieller Gefahren aber mitnichten weglaufen bzw. auf die technischen Gadgets ganz verzichten – sich den Risiken zu stellen, wäre auch möglich, bspw. durch eine effektive Regulierung, Normen, Gesetze oder Mindeststandards, wie es etwa der US-Sicherheitsguru Bruce Schneier im Kontext der Sicherheit von netzfähigen IoT-Geräten nach den Internetausfällen in Europa und den USA forderte^[1]. Man solle sich auch als Tekkie in den politischen Prozess einbringen können und die Regierungen dazu auffordern, die Regeln zu ändern: „We’re  living in a world of low government effectiveness“, sagte Schneier der Harvard Gazette, „and there the prevailing neo-liberal idea is that companies should be free to do what they want.“^[2] Es sei nicht das erste Mal, dass Technologien die Gesellschaft ändern oder schwächen würden – und bestimmt auch nicht das letzte.

Nicht weiter verwundernd, dass für die IT-Risiken – insbesondere auch die Cyber-Sicherheit  –  genau das Gegenteil  davon gilt. Für die Systeme und Kontrollen der IT-Sicherheit sind Erkenntnisfehler erster Art (false positives) von wesentlicher Bedeutung, denn hier geht es darum, möglichst viele Fehler, Schwachstellen, Angriffsversuche, Viren, Spam-Mails etc. zu finden und zu eliminieren bzw. sich auf diese vorzubereiten oder sie abzuwehren: Präventive, detektive und reaktive Gegenmaßnahmen und Sicherheitskontrollen stehen zur Auswahl. Wenn ein Intrusion Detection System (IDS) 98 % der Angriffsversuche enttarnt, gilt es als effektiv. Bei einer Antivirussoftware werden 99 bis 100 % Effektivität erwartet, bei Spam-Mails gibt man sich auch mit 90 % Erfolgsquote zufrieden^[3] – ähnliche Erfolgsraten gelten bspw. für Sicherheitsanlagen wie Zugangsschranken.

(Sicherheits-)Kontrollen, Maßnahmen  und  Gegenmaßnahmen  sollen  dabei  helfen, die  Risikoexposition des Unternehmens (oder einer  Organisation) zu optimieren. Bezüglich  Risiken, die entstehen, wenn zwei Phänomene aufeinandertreffen, ist Folgendes anzuführen: Es existieren eine Gefahr (Gefährdung, Bedrohung) sowie eine Schwachstelle (Vulnerability), die ausgenutzt werden kann, um in  die internen Systeme einzudringen und einen Schaden zu verursachen. Die für die Berechnung und  Bewertung von Risiken von Sicherheitsvorfällen, Ausfällen etc. meistens verwendete Formel berücksichtigt zwei Indikatoren: die Eintrittswahrscheinlichkeit eines Sicherheitsvorfalls (P) und die Höhe des Schadens, der durch diesen Vorfall verursacht werden könnte (I). Das Gesamtrisiko (R) wird als Summe der Teilrisiken kalkuliert, die aus der Betrachtung verschiedener potenzieller Sicherheitsvorfälle resultieren:

Bedauerlicherweise ist es viel leichter, das Risiko zu definieren, als es zu messen, wie Lawrence Gordon und Martin  Loeb in ihrem wegweisenden Buch Managing Cybersecurity Resources festgestellt  haben.^[4]  Die Ursachen, weshalb viele Organisationen auf die traditionelle Form zur Berechnung der Risiken verzichten, liegen längst nicht immer in den oft nur rudimentären statistisch-mathematischen Kenntnissen der Verantwortlichen begründet. Sowohl die Eintrittswahrscheinlichkeit eines Sicherheitsvorfalls als auch der potenzielle Schaden eines Vorfalls sind oftmals nur schwer zu ermitteln.

Hindernisse und Herausforderungen der Risikobewertung

Einige neue Entwicklungen erschweren zudem die Ermittlung und Bewertung von Risiken:

Erstens: Unternehmen behandeln Risiken mit einem hohen Impact auf die Unternehmenswerte und niedriger Eintrittswahrscheinlichkeit ganz anders als solche mit einer potenziell niedrigen Schadenshöhe und großer Häufigkeit. Ein Beispiel: Verbindet ein Unternehmen mit einem bestimmten Sicherheitsvorfall einen Verlust von 1 Mio. Euro, wird  das  Risiko sehr wahrscheinlich im Risikobericht und/ oder Geschäftsbericht des Unternehmens erfasst (abhängig von Risikotoleranz, Größe des Unternehmens etc.). Werden durch eine Malware in eBanking-Software weltweit verteilt über einige Hundert bis Tausend Kreditunternehmen Einzelabbuchungen in Höhe von 1 Euro verursacht und summieren sich diese auf ca. 1 Mio. Euro, wird der Schaden kaum den Eingang in die Risikoberichte einzelner Unternehmen finden – obwohl der Gesamtschaden (kumuliert) den gleichen Impact hat wie im ersten Beispiel. Risiken, die – bezogen auf einzelne Organisationen – in den Bereich der vernachlässigbaren oder akzeptablen Risiken fallen, können wesentliche gesamtwirtschaftliche Folgen haben. Wie die jüngsten Internetausfälle in den USA und in Deutschland – wie auch bekannte Angriffe auf die kritischen Infrastrukturen (bspw. mithilfe des Wurms Stuxnet^[5]) – zeigen, können Sicherheitsvorfälle nicht nur monetäre Schäden für die Wirtschaft, sondern zunehmend auch ernsthafte gesellschaftliche Folgen bedeuten.^[6]

Zweitens: Neben den bekannten, für die IT relevanten Risikoarten, wie systematische, operationelle, immanente etc. Risiken, entstehen neue Risikoarten, bzw. bisher vernachlässigbare Risiken gewinnen an Bedeutung. Eine davon sind kaskadierte Risiken. Sie entstehen durch Verkettung von Risiken. Der Begriff bezeichnet ein latentes Risiko, das sich in Form einer oft durch geringfügige Schwachstellen ausgelösten Folge (Kaskade) von Fehlern, Ausfällen etc. manifestiert. Besonders anfällig für diese Art von Risiken sind vernetzte Systeme, also auch Internet of Things (IoT) oder Anlagen der Industrie 4.0. Gut lässt sich diese Art von Risiken am Beispiel von Software-Fehlern erklären. Wenn in den 1980er-Jahren ein Computer ab und zu aufgrund von Programmierfehlern abstürzte, dann kostete es höchstens Zeit, um den Rechner neu zu starten, eventuell ging also ein wenig Arbeit dadurch verloren. Dann kam das kommerzielle Internet. Und machte mit den Software-Fehlern das, was die Flugtouristik mit der Verbreitung infektiöser Krankheiten tat: Wenn Computer und Geräte miteinander verbunden wurden, konnte ein bisher tolerierbarer Programmierfehler zu einer Kaskade von Sicherheitsvorfällen führen. Mit Internet, Digitalisierung, Internet of Things und Industrie 4.0 wurde (bzw. wird noch) jeder Fehler in der Software von heute zu einer potenziellen Schwachstelle von morgen, durch die Angreifer in die Systeme eindringen können.

Drittens: Es lassen sich Sicherheitsvorfälle mit einer niedrigen Eintrittswahrscheinlichkeit nur dann angemessen berücksichtigen, wenn sich die Risikobewertung über einen entsprechend langen Zeitraum erstreckt. Um dies an einem Beispiel zu verdeutlichen: Wie sollte man in einer traditionellen Risikoformel das Risiko eines einmaligen Events, bspw. eines Zero-Day-Exploits^[7], angemessen berücksichtigen?

Die wertvollen Security-Informationen im Netz verstecken sich in  einer  Menge  von  2,5  Trillionen Bytes, schätzte  Johannes  Wiele von IBM Deutschland.^[8] Etwa 90 % davon liegen unstrukturiert vor. Die Anzahl unstrukturierter  Daten  steigt  weiter,  denn immer mehr Informationen werden als Video, Videoblog, Posts, Blogs, Tweets, Fotos, Präsentationen, Papers etc. gespeichert. Diese Daten lassen sich nur bedingt automatisch auswerten. IBM schätzte, dass ca. 8 % davon derzeit von den Unternehmen ausgewertet werden (zum Zwecke der Prognose, Analyse oder Risikobewertung). Bis zu 20 % liegen sicherheitsrelevante Informationen in einer strukturierten Form vor, die eine automatisierte Auswertung dieser Daten mittels statistisch-mathematischer Methoden ermöglichen würde.

Die Menge der Daten erwächst zu einem weiteren Problem nicht nur in Hinblick auf begrenzte Möglichkeiten, diese auszuwerten. (IBM lernt zu diesem Zweck die ‚künstliche Intelligenz’, den Cybersecurity-Watson, vorerst nur für den englischsprachigen Raum ein.) Wie Seth Stephens-Davidowitz bemerkte, geht es nicht mehr darum, möglichst viele Daten zu haben, sondern die ‚richtigen‘ Daten. Viele Wissenschaftler sind mit der exorbitanten Datenmenge, die durch die Digitalisierung entstanden ist, schlicht überfordert; das  Versprechen von Big Data, man müsse nur eine genügend große Menge an Daten gesammelt haben, und die Ergebnisse stellen sich von selbst ein, wurde nämlich nicht eingelöst. Wesentlich für den Erfolg einer Datenauswertung sind richtige Hypothesen und die richtigen, echten Daten (wie sie bspw. von Google Trends für das Suchverhalten der Internetnutzer generiert werden können).

Ein Wolf, ein Wolf!

Die Effektivität der Systeme und Kontrollen der IT-Sicherheit werden daran gemessen, wie gut sie die Risikoexposition des Unternehmens optimieren können, i.e., wie schnell und wie zuverlässig die Schwachstellen in den Tests aufgedeckt, die Angriffe, Angreifer oder Schadsoftware identifiziert oder Spam-Mail gekennzeichnet und aussortiert werden. Und wie schnell sie neue Entwicklungen und Trends adaptieren und abwehren können. Wie  schnell sie bei einem verdächtigen Muster oder Aktivität Alarm schlagen. Inzwischen auch, wie oder wie gut sie neue Angriffsarten antizipieren und in ihre Detection-Systeme integrieren können.

Dabei wird allerdings gern und oft die Auswirkung von false positives (auch als Fehlalarm, Falschalarmierung bekannt) übersehen, die bspw. zum Herabsinken des Risikobewusstseins bei den Mitarbeitenden führen kann. Nicht nur  Brandmelder können Fehlalarme auslösen, bemerkte Oliver Schonscheck.^[9]  Das können die IDS- und Alarmierungssysteme der IT-Sicherheit ebenfalls. Häufen sich die Falschalarme, also die false positives, so hat dies unangenehme Folgen:

Erstens: Ausfälle. Erkennt bspw. ein IDS-System oder eine AV-Software eine potenzielle neue Malware-Signatur auch in den Dateien des Betriebs- oder Steuerungssystems und verschiebt diese in die Quarantäne, kann dies das gesamte interne Netzwerk des Betriebs lahmlegen. Besonders effektive Systeme löschen sofort verdächtige Dateien, was endgültig  zu einem Supergau führen kann.

Zweitens: Datenverlust. Bei den von den IDS-Systemen oder  SPAM-Filtern in die Quarantäne verschobenen Dateien oder Mails kann es sich um wichtige Geschäftsinformationen handeln (Verträge, Rechnungen als Anhänge von Mails etc.). Diese können ggf. unwiederbringlich verloren gehen, zu spät oder gar nicht bearbeitet werden etc.

Drittens: Sinkendes Risikobewusstsein der Mitarbeitenden. Wie dies geschieht, erklärte Äsop bildhaft in der Fabel „Der  Hirte, der scherzt“: Ein Hirte machte immer wieder den folgenden Scherz: Er rief die Dorfbewohner zu Hilfe und behauptete, dass Wölfe sich seinen Schafen näherten. Doch es waren keine Wölfe da – und die zu Hilfe Eilenden zogen  sich dann unter Gelächter des Hirten zurück. So geschah es schließlich, dass sich seiner Herde wirklich Wölfe näherten. Doch auf seine Hilferufe reagierte diesmal niemand, da man annahm, er würde wieder scherzen. „Und so geschah es ihm, dass er seine Schafe verlor.“^[10]

Informationen zu false positives werden oft von den Herstellern der Alarmierungssoftware oder Sicherheitsanlagen angegeben. Doch man sollte sich nicht vom niedrigen Wert sofort blenden lassen. Eine Fehlalarmrate von 0,1 (oder 10 %) klingt erst mal nach wenig – ist es aber eventuell gar nicht, wie das folgende Beispiel zeigt.

Wie viel Fehlalarm ist (zu) viel

Man betrachtet eine Anlage zur Kontrolle von Zutrittsberechtigungen zu einem Gebäude – eine Zugangsschranke.^[11] Der Anteil autorisierter Mitarbeiter/-innen liegt bei 99 % (oder 0,99) gegenüber 1 % (oder 0,01) Mitarbeitenden ohne Autorisierung. Das Zutrittsberechtigungssystem im Beispiel besitzt einen Sensor, der in 95 % aller Fälle, in denen die/der zu kontrollierende Mitarbeitende autorisiert ist (d.h. eine Zutrittsberechtigung besitzt), die Schranke korrekterweise öffnet und keinen Alarm auslöst. Anders ausgedrückt: Das System gewährt einer/einem autorisierten Mitarbeitenden den Zutritt zu den Anlagen der Organisation mit einer Wahrscheinlichkeit von 0,95. Falls die/der Mitarbeitende nicht autorisiert ist (d.h. keine Zutrittsberechtigung besitzt), öffnet das System die Zutrittsschranke nicht und alarmiert über einen unberechtigten Zutrittsversuch – dies erfolgt in 90 % aller Fälle (oder mit einer Häufigkeit von 0,9).

Das Zutrittsberechtigungssystem prüft mithin von Fall zu Fall folgende Alternativen:

• Die/Der Mitarbeitende ist autorisiert (Ereignis A^C)  oder nicht (A).
• Die Schranke wird geöffnet (kein Alarm – Ereignis B^C) oder nicht (Alarm wird ausgelöst – B).

Um false positive zu ermitteln, bedient man sich der Bayesschen Formel für die bedingte Wahrscheinlichkeit. Demnach  steht die Eintrittswahrscheinlichkeit eines Vorfalls A unter der Bedingung, dass ein Ereignis B bereits eingetreten ist^[12]:

Stellen A und A^C komplementäre Ereignisse dar, die als Vorbedingung von B fungieren können, so lässt sich die Formel von Bayes in folgender Form nutzen:^[13]

Das gewünschte Ergebnis liefert die Bayessche Formel in der zweiten oben genannten Form: Neben den Wahrscheinlichkeiten für Zutrittsversuche durch autorisierte [p(A^C) = 0,99] und nichtautorisierte Mitarbeitende [p(A) = 0,01] benötigt man dazu noch p(B|A), also die Wahrscheinlichkeit, dass ein Alarm ausgelöst wird, sofern ein/e nichtautorisierte/r Mitarbeiter/-in den Zutritt versucht (0,90), sowie p(B|A^C), also die Wahrscheinlichkeit, dass ein (Fehl-)Alarm ausgelöst wird, sofern ein/e autorisierte/r Mitarbeiter/-in den Zutritt versucht (0,05).

Das Ergebnis besagt, dass nur bei rund 15,4 % der Alarmauslösungen tatsächlich ein/e nichtautorisierte/r  Mitarbeiter/-in den Zutritt versucht hat – im Umkehrschluss sind 84,6 % der Alarme mithin unnötig, weil die/der auslösende Mitarbeitende eben doch autorisiert war. Nun ist es ein Leichtes, sich auszurechnen, mit welchen Fehlalarmierungen Mitarbeitende der Unternehmenssicherheit bei einer hohen Anzahl von Beschäftigten ausgesetzt wird.

Auflösung

Wie begegnet man den false positives, und wie können die mit Fehlalarmierungen verbundenen Risiken, insbesondere  das sinkende Risikobewusstsein, aber auch Informations- oder Datenverlust bewältig werden? Gegenmaßnahmen reichen von Sensibilisierung bis hin zu Richtlinien für den IT-Einkauf und die IT-Beschaffung. Oliver Schonscheck hat sie in einer Checkliste zusammengefasst,^[14] der sich u.a. Datenschutzbeauftragter oder -auditoren bedienen können. Darin sind u.a. folgende Handlungsempfehlungen zu finden:

• False positives als Risiko (Datenrisiko) erkennen und eine angemessene Risikobehandlung einplanen.
• Die Mitarbeiter/-innen der Unternehmenssicherheit auf die Möglichkeit von Fehlalarmierung sensibilisieren.
• Über den richtigen Umgang mit den Fehlalarmierungen schulen.
• Auf die potenziellen Folgen der Fehlalarme aufmerksam machen und sensibilisieren.
• Werte für false positives bei den Herstellern (im Betrieb eingesetzte Software und Hardware) erfragen.
• Einkauf (IT-Leitung, Datenschutzbeauftragte, CISO/CIO) auf die Auswahl von IT-Produkten mit niedrigen false positives beraten.

„More people are killed every year by pigs than by sharks“, kritisierte der US-Sicherheitsguru Bruce Schneier, „which shows you how good we are at evaluating risks.“ Doch die Tatsache, dass man sich irrt, ist an sich noch kein Nachteil – es kann sich sogar, wie bei der Gattung Homo sapiens kollektiv, als ein strategischer,  evolutorischer Vorteil erweisen. Besonders sei es dann ein Vorteil, wenn man die Fehler, aus denen man lernt, möglichst früh macht. Zum Problem werden kann lediglich, wenn man im Irrtum verharrt. „Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer“, soll außerdem der US-amerikanische Journalist Dan Rather gesagt haben.

V

V

^[1]  Schneier,  “Your  WiFi-connected  thermostat  can  take  down  the  whole  Internet.  We  need  new  regulations”,  3.11.2016,  https://www.washingtonpost.com/posteverything/wp/2016/11/03/your-wifi-connected-ther mostat-can-take-down-the-whole-internet-we-need-new-regulations/?utm_term=.eea0a5205402 (zuletzt abgerufen am 7. Oktober 2016).

^[2]  Mineo, “On internet privacy, be very afraid”, Interview mit Bruce Schneier, https://news.harvard.edu/gazette/story/2017/08/  when-it-comes-to-internet-privacy-be-very-afraid-analyst-suggests/,  24.8.2017  (zuletzt  abgerufen am 7. Oktober 2017).

^[3]  Vgl. Himmel/Sowa, „Ein Tacho für die Sicherheit“. In: 4/2015, S. 36–40.

^[4]  Gordon/Loeb, Managing Cybersecurity Resources – A Cost-Benefit Analysis, McGraw-Hill.

^[5]  Stuxnet ist der Name eines Computerwurms, der vermutlich entwickelt wurde (und dafür verantwortlich gemacht wird), um die Leittechnik der Urananreicherungsanlage im Iran zu stören.

^[6]  Meinungsbarometer  (2016),  „Experten erwarten massive Hackerattacken. Was gegen Angriffe aus dem Internet der Dinge getan werden müsste“.  Interview  mit  Sowa/Krsic  vom  15.12.2016,  https://meinungsbarometer.info/beitrag/Experten-erwarten-massive-Hacker-attacken_1882.html (zuletzt abgerufen am 27. August 2017).

^[7]  In Zero-Day-Exploits werden Schwachstellen ausgenutzt, die gerade erst bekannt geworden sind und noch nicht von den Herstellern gefixt bzw. gepatcht wurden.

^[8]  Wiele, et al., “Cognitive Security”. In: IT-Prüfung, Sicherheitsaudit und Datenschutzmodell  –  Neue Ansätze für die IT-Revision, Sowa, (Hrsg.), Springer Verlag, S. 145–170.

^[9]  Vgl. Schonscheck, „False positives: Wenn sich die IT-Sicherheit irrt“,  Datenschutz Praxis, 7.3.2017, https://www.datenschutz-praxis.de/fach-artikel/fehlalarm-wenn-die-anti-viren-software-zum-risiko-wird/  (zuletzt abgerufen am 26. September 2017).

^[10]  Holzberg, Fabeln des Äsop, dt Verlag, S. 81.

^[11]  Cantournet/Sowa, „Alternative Risikoformel. Bewerten wir noch die richtigen Dinge?“. In: 3/2014, S. 44–46.

^[12]  Vgl. Bronstein/Semendjajew/Grosche/Ziegler/Ziegler, Springer-Taschenbuch der Mathematik, Springer Verlag.

^[13]  Ebenda.

^[14]  Schonscheck, „False positives: Wenn sich die IT-Sicherheit irrt“, Datenschutz Praxis, 7.3.2017, https://www.datenschutz-praxis.de/fachartikel/fehlalarm-wenn-die-anti-viren-software-zum-risiko-wird/  (zuletzt  abgerufen am 26. September 2017).