Die Cyberkriminalität nimmt zu. Wie kann darauf – aus ökonomischer Sicht – reagiert werden? Dieser Beitrag sieht in der Größenbeschränkung von Netzwerken eine Option. In ihrer jüngsten Analyse zeigt die Allianz (2017), dass Cyberkriminalität immer ernster genommen werden muss und mittlerweile zu einem der größten Unternehmensrisiken aufgestiegen ist. Ursache hierfür ist, dass für viele Anwender, seien es Firmen oder Privatpersonen, die Nutzung diverser Internetdienstleistungen ein unverzichtbarer Teil ihres (Geschäfts-)Alltags ist. Jeder Internetuser ist zugleich Nutzer von Cloud Computing – sei es in Form von E-Mail-Services, Onlinedatenspeichern oder Onlineprogrammen (Textverarbeitung, Windows Terminal Service etc.). Bei allen diesen Angeboten werden mehr oder weniger sensible Daten teilweise bewusst durch die Nutzer, teilweise aber auch vom System zum Zwecke einer effizienten Nutzung und Abrechnung der Dienstleistungen, an die Anbieter übermittelt.
Topics:
Florian Bartholomae considers the following as important:
This could be interesting, too:
Swiss National Bank writes New on the website 1970-01-01 01:00:00
Dirk Niepelt writes “Report by the Parliamentary Investigation Committee on the Conduct of the Authorities in the Context of the Emergency Takeover of Credit Suisse”
Investec writes Federal parliament approves abolition of imputed rent
investrends.ch writes Novo Nordisk Studie bringt Absturz
Die Cyberkriminalität nimmt zu. Wie kann darauf – aus ökonomischer Sicht – reagiert werden? Dieser Beitrag sieht in der Größenbeschränkung von Netzwerken eine Option.
In ihrer jüngsten Analyse zeigt die Allianz (2017), dass Cyberkriminalität immer ernster genommen werden muss und mittlerweile zu einem der größten Unternehmensrisiken aufgestiegen ist. Ursache hierfür ist, dass für viele Anwender, seien es Firmen oder Privatpersonen, die Nutzung diverser Internetdienstleistungen ein unverzichtbarer Teil ihres (Geschäfts-)Alltags ist. Jeder Internetuser ist zugleich Nutzer von Cloud Computing – sei es in Form von E-Mail-Services, Onlinedatenspeichern oder Onlineprogrammen (Textverarbeitung, Windows Terminal Service etc.). Bei allen diesen Angeboten werden mehr oder weniger sensible Daten teilweise bewusst durch die Nutzer, teilweise aber auch vom System zum Zwecke einer effizienten Nutzung und Abrechnung der Dienstleistungen, an die Anbieter übermittelt.
Der Erfolg des Cloud Computing erklärt sich zum Großteil aus den sich sowohl für Privatpersonen als auch Unternehmen ergebenden Vorteilen, die insbesondere auf Netzwerkeffekte zurückzuführen sind: direkte Netzwerkeffekte, wie etwa der schnelle und einfache, weltweit mögliche Datenaustausch zwischen freigegebenen Teilnehmern, und indirekte Netzwerkeffekte, wie der Erfahrungsaustausch zwischen Anwendern der gleichen Dienstleistung. Alle diese Faktoren führen für Privatanwender zu einem Mehrnutzen und für Unternehmen zu Kostenersparnissen – sowohl in monetärer (etwa der Wegfall von Anschaffungs- und Upgradekosten) als auch in nicht-monetärer Sicht (Reduktion von Transaktionskosten, wie etwa Koordinations- und Suchkosten).
Wie sich durch zahlreiche Vorkommnisse in letzter Zeit zeigt, stehen diesen Vorteilen aber auch Nachteile gegenüber. Die mehr oder weniger bewusste Überlassung von Daten an Fremdfirmen führt dazu, dass die Sicherheit dieser Daten nur mehr bedingt gewährleistet ist, da die Sicherheitsvorkehrungen der Fremdfirma gegenüber unberechtigten Dritten relativ schwer zu überwachen sind. Dies kann im besten Fall dazu führen, dass die Daten genutzt werden, um etwa Informationen über Vorlieben zu gewinnen, die für zielgerichtete Marketingmaßnahmen eingesetzt werden und im schlechtesten Fall dazu, dass die Daten in die Hände unberechtigter Personen (Konkurrenzunternehmen, Wirtschaftsspione, Kriminelle etc.) fallen.
Um die Auswirkungen von Hacking, das heißt dem (illegalen) Eindringen in fremde Computersysteme durch unberechtigte Dritte, auf Netzwerke zu verstehen, ist zunächst zu klären, was die Ziele und Motive der Hacker sind. Opfer von Hacking kann jeder werden: Neben Unternehmen sind davon ebenso Privatpersonen, Institutionen und staatliche Einrichtungen betroffen (vgl. Katyal 2001, Adams 2001). Bei Angriffen auf die beiden letztgenannten besteht die Möglichkeit, dass es sich um sogenannten Cyberterrorismus handelt, der weniger die wirtschaftliche Aktivität sondern die Gesellschaft als Ganzes bedroht. Im Folgenden soll nur das privatwirtschaftlich motivierte Hacking betrachtet werden.
Bezüglich der Motivation unterscheiden Leeson/Coyne (2005) drei Hackertypen: den "guten Hacker", der gesellschaftlich höhere Ziele verfolgt, den "bösen Hacker", der egoistische Ziele verfolgt und den "gierigen Hacker", der Hacking aus Gründen des puren Gelderwerbs betreibt. Häufig wird auch zwischen dem, in den Grenzen der Legalität agierenden, "White Hat", dem hauptsächlich mit illegalen Aktivitäten beschäftigten "Black Hat" und dem dazwischen anzusiedelnden "Grey Hat" unterschieden. Prinzipiell lassen sich bei allen aber zwei Hauptmotivationen herausstellen: Während der überwiegend "legale" Teil der Hacker das Ziel verfolgt, sich Ruhm und Anerkennung zu verschaffen, um dadurch mittelbar seine Fähigkeiten und/oder seine beruflichen Perspektiven zu verbessern, steht der andere Teil außerhalb der legalen Wirtschaft und strebt nach unmittelbarem eigenem wirtschaftlichen Vorteil. Dabei gibt es verschiedene Arten, wie sich die gestohlenen Daten monetarisieren lassen: Sie können direkt genutzt werden, wie etwa der Missbrauch von Kreditkarteninformationen oder der Verkauf wertvoller Firmengeheimnisse an Konkurrenzunternehmen. Insbesondere bei sensiblen Daten können sie darüber hinaus auch als Druckmittel gegen den Bestohlenen verwenden werden, um diesen etwa zu erpressen. Alternativ kann der Hacker auch gegen Bezahlung im Auftrag einer dritten Partei arbeiten.
Ökonomisches Entscheidungskalkül eines Hackers
Wie bei jeder ökonomischen Aktivität, basiert das letztendliche Entscheidungskalkül des Hackers darauf, ob sein (erwarteter) Vorteil die (erwarteten) Kosten übersteigt – sofern davon ausgegangen werden kann, dass der Hacker rational agiert.[ 1 ] Die erwarteten Kosten sind dabei unabhängig von der Motivation und umfassen neben dem Arbeitsaufwand des Hackens auch den (monetären) Umfang und die psychologische Auswirkung einer möglichen Strafe. Demgegenüber hängt der erwartete Vorteil von der Intention des Hackers ab und kann einen psychologischen Nutzen etwa in Form von Anerkennung in der Community beinhalten und/oder einen monetären Gewinn aus der Verwendung der Daten. Dieser monetäre Gewinn hängt wiederum von der Größe des Netzwerks ab, zu dem sich der Hacker Zugang verschafft hat: Je mehr Nutzer das Netz umfasst, desto höher ist zum einen die Wahrscheinlichkeit an wertvolle Daten zu kommen und desto höher ist auch die Erfolgswahrscheinlichkeit des Hacking, da nicht alle Kunden mit ihren Zugangsdaten gleich sorgfältig umgehen und somit Sicherheitslücken potentiell zunehmen. Ist Hacking also möglich, steht den positiven nun ein negativer Netzwerkeffekt – der höheren Wahrscheinlichkeit, Opfer von Hacking zu werden – gegenüber.
Dieser negative Effekt reduziert letztlich die Zahlungsbereitschaft der Netzwerknutzer, da sie bei ihrer Entscheidung eine mögliche Schädigung berücksichtigen müssen (Bartholomae 2013). Dies wird dazu führen, dass die ökonomisch optimale Netzwerkgröße sehr wahrscheinlich nicht erreicht werden kann. Diese Größe kann nur dann erreicht werden, wenn das Netzwerk aus Sicht des Hackers zu klein ist, sodass es sich bei der der Hacking-Entscheidung des Hackers als unattraktiv herausstellt, insbesondere auch dann, wenn der Hacker lohnendere Ziele verfolgen kann. Ist das Netzwerk groß und damit attraktiv genug, wird der Hacker einen Hacking-Angriff unternehmen. Ähnliches war in der Anfangszeit der Konkurrenz zwischen Windows und iOs zu beobachten – da die Anzahl der iOS-Nutzer viel geringer als der Windows-Nutzer war, waren Computerviren für dieses System praktisch unbekannt. Aus Sorge um ihre Daten werden daher einige Konsumenten nicht mehr den Netzwerkservice nachfragen, da die erwarteten Kosten eines Hacking-Angriffs aus ihrer Sicht den Vorteil des Netzwerks überwiegen. Auch der Netzwerkanbieter ist davon betroffen: Da seine Konsumenten weniger bereit sind zu zahlen, kann er nur noch einen geringeren Preis durchsetzen und hat zugleich auch einen kleineren Kundenbestand.
Begrenzung des Netzwerks als Abwehrmaßnahme
Wie kann dem entgegengewirkt werden? Eine Option ist eine Begrenzung des Netzwerks auf eine für den Hacker unattraktive Größe, sodass dieser keinen Nettovorteil mehr aus dem Hacking ziehen kann. Zwar steigt dadurch die Zahlungsbereitschaft, wird aber dennoch zu erheblichen Gewinn- und Nutzeneinbußen führen und stellt somit keine wirkliche Option dar. Eine bessere Strategie ist die Ergreifung konkreter Sicherheitsvorkehrungen. Hier ist allerdings zu klären, welche Marktseite diese Maßnahmen durchführen sollte bzw. wer die Kosten hierfür zu tragen hat. Sicherheitsvorkehrungen durch die Konsumenten haben zwei Effekte: Zum einen sinken die erwarteten Kosten durch das Hacking, da die Wahrscheinlichkeit eines erfolgreichen Hacking-Angriffs reduziert wird und/oder der Zugang zu den Daten für den Hacker kaum noch möglich ist, was sich positiv auf die Zahlungsbereitschaft auswirkt. Zum anderen sinkt jedoch die Zahlungsbereitschaft, da die Konsumenten die Kosten der Maßnahmen zu tragen haben, seien es monetäre Kosten für bessere Schutzsoftware (Virenscanner, Firewall) oder höhere Transaktionskosten (Verwaltung von Passwörtern, Aneignung zusätzlicher technischer Kenntnisse). Allerdings entsteht das klassische Gefangendilemma: Da der einzelne Nutzer von den Sicherheitsvorkehrungen der anderen mitprofitiert, ist er weniger gewillt, auch in diese Vorkehrungen zu investieren. Dem könnte entgegengewirkt werden, wenn der Netzwerkanbieter die Kosten trägt. Da sich hier jedoch seine Kostenstruktur ändert – höhere Fixkosten etwa aufgrund der Entwicklung besserer Schutzmechanismen ebenso wie höhere Grenzkosten, da jeder zusätzliche Nutzer das Risiko von Sicherheitslücken potentiell erhöht – wird der Preis des Netzwerks steigen und damit die Anzahl der Nutzer reduziert. Letztlich ist es unabhängig davon, welche Marktseite die Zahllast hat, dass zumindest ein Teil der Traglast immer beim Anbieter liegt. Dieser muss also abwägen, ob es für ihn wirklich profitabel ist, Hacking zu begrenzen.
Alternativ könnte der Staat eingreifen, indem er etwa das Strafmaß erhöht oder die Strafverfolgung verbessert. Vor allem die Entdeckungswahrscheinlichkeit ist aus zwei Gründen als relativ gering anzusehen: Einerseits sind die ermittelnden Behörden oftmals nicht in der Lage Täter zu ermitteln (Kshetri 2006) oder können den aus dem Ausland agierenden Tätern nicht habhaft werden. Andererseits wird oftmals das Verbrechen gar nicht zur Anzeige gebracht: So gibt etwa der Digitalverband Bitkom (2016) an, dass sich rund 75% der betroffenen Unternehmen nicht sich an staatliche Stellen wendet, hauptsächlich aufgrund von befürchteten Imageschäden (36%). Aber auch wenn die Strafverfolgung verbessert wird, so entstehen doch Kosten, die in diesem Fall von der Gesellschaft als Ganzes zu tragen sind. Es muss hier somit abgewogen werden, ob der gesamtökonomische Vorteil – Nutzen der Konsumenten und Gewinn des Netzwerkanbieters – ausreichend hoch ist, um diese Maßnahme zu rechtfertigen.
Adams, James (2001): Virtual Defense, Foreign Affairs 80(3), 98-112.
Allianz (2017): "Allianz Risk Barometer":[https://www.agcs.allianz.com/assets/PDFs/Reports/Allianz_Risk_Barometer_2017_EN.pdf], Top Business Risks 2017, München.
Bartholomae, Florian W. (2013): Networks, Hackers, and Nonprotected Consumers, Universität der Bundeswehr München, Fachgruppe für Volkswirtschaftslehre, Volkswirtschaftliche Diskussionsbeiträge 25 (3), Neubiberg.
Becker, Gary S. (1968): Crime and Punishment: An Economic Approach, Journal of Political Economy 76(2), 169-217.
Bitkom (2016): "Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie":[https://www.bitkom.org/noindex/Publikationen/2016/Studien/Spionage-Sabotage-und-Datendiebstahl-Wirtschaftsschutz-in-der-Industrie/161110-Studie-Wirtschaftsschutz.pdf]. Studienbericht, Bitkom e.V., Berlin.
Katyal, Neal Kumar (2001): Criminal Law in Cyberspace, University of Pennsylvania Law Review 149(4), 1003-1114.
Kshetri, Nir (2006): The Simple Economics of Cybercrimes, Security & Privacy, IEEE 4(1), 33-39.
Leeson, Peter T./Coyne, Christopher (2005): The Economics of Computer Hacking, Journal of Law, Economics & Policy 1(2), 511-532.
©KOF ETH Zürich, 27. Jan. 2017