Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 12 2013

Indien: Überwachung des Internets ist weitreichender als bisher bekannt

Die Überwachung des Internets in Indien ist weitreichender als bisher angenommen. Nach neuesten Informationen werden mindestens 160 Millionen Inder bereits jetzt im Internet überwacht. Ein Großteil dieser Überwachung verstößt dabei gegen Gesetze und die eigens von der indischen Regierung erlassenen Regeln zur “Privatsphäre in der Kommunikation”.

Bereits Anfang Juni berichteten wir, dass sich Indien ein riesiges Überwachungsprogramm mit dem Namen Central Monitoring System (CMS) aufbaut. Wie die indische Tageszeitung The Economic Times letzte Woche berichtete, scheint der Start des Programms nun kurz bevor zu stehen. Mit Hilfe von CMS soll es möglich sein Onlineaktivitäten, Telefongespräche, Textnachrichten und Aktivitäten in sozialen Netzwerken in Echtzeit zu überwachen, wie die Zeitung schreibt.

Am Montag dieser Woche veröffentlichte die indische Zeitung Hindu Times jedoch einen Artikel, der beschreibt wie weitreichend die Überwachung auch ohne CMS bereits ist.

While the CMS is in early stages of launch, investigation shows that there already exists — without much public knowledge — Lawful Intercept and Monitoring (LIM) systems, which have been deployed by the Centre for Development of Telematics (C-DoT) for monitoring Internet traffic, emails, web-browsing, Skype and any other Internet activity of Indian users.


Die Hindu Times berichtet, dass die indische Regierung an Schnittstellen zum internationalen Internet “einer handvoll indischer Internetprovider” Überwachungssysteme installiert habe. Diese seien außerhalb der Kontrolle der Internetprovider installiert, weshalb die Provider keine Informationen zu den genauen Funktionen und Möglichkeiten der Systeme hätten. Im Mobilfunkbereich hingegen sei es üblich, dass die Unternehmen ihre eigene Überwachungssysteme installieren. Die Regierung würde der Zugang zu den Daten nur gewährt, wenn sie eine “notwendige Genehmigung” nach Abschnitt 5(2) des Telekommunikationsgesetzes sowie nach Regel 419(A) der IT-Richtlinien hätten.

Weiter schreibt die Hindu Times, dass im Jahr 2006 zwar “Sicherheitsmaßnahmen” eingeführt wurden um die Einhaltung dieser Richtlinien auch zu gewährleisten, diese aber nahezu nutzlos seien. Demnach wurde beschlossen, dass jeder Internetprovider sogenannte “Nodal Officer” ernennen müsse. Diese würden Anfrage der Regierung entgegennehmen und bearbeiten und seien Ansprechpartner der Regierung. In der Praxis jedoch hätte der Großteil der Unternehmen überhaupt keine “Nodal Officer”, da die Regierung offizielle keine Überwachungssysteme installiert habe oder die “Nodal Officer“ einfach ignoriert würden.

[...] as a result, the ISP-level mandatory check for authenticating government’s monitoring orders to protect user privacy is absent. In effect, all Internet traffic of any user is open to interception at the international gateway of the bigger ISP from whom the smaller ISPs buy bandwidth.

Und weiter:

Since the government controls the LIMs, it directly sends software commands and sucks out whatever information it needs from the Internet pipe without any intimation or information to anyone, except to those within the government who send the Internet traffic monitoring commands. No ISP confirmed as to whether they had ever received an “authorization” letter for interception or monitoring of Internet content. [...] in the case of Internet traffic, the government’s monitoring system, which is installed between the ISPs Internet Edge Router (PE) and the core network, has an “always live” link to the entire traffic. The LIM system, in effect, has access to 100% of all Internet activity, with broad surveillance capability, based not just on IP or email addresses, URLs, fttps, https, telenet, or webmail, but even through a broad and blind search across all traffic in the Internet pipe using “key words” and “key phrases”.

Insgesamt seien diese Überwachungsmöglichkeiten für neun indische Behörden verfügbar, darunter die Nachrichtendienste Intelligence Bureau (IB) und Research and Analysis Wing (RAW) sowie das Innenministerium (MHA).

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

March 16 2012

Wozu SOPA?

Wie seit Juli letzten Jahres bekannt, haben amerikanische Provider eine freiwillige Kooperationsvereinbarung mit der Contentindustrie getroffen. Diese wird dazu führen, dass die Provider ab dem 12. Juli Maßnahmen gegen ihre Kunden ergreifen werden, wenn von der Contentindustrie beauftragte Firmen ihnen von “verdächtigen Übertragungen im Internet” berichten, wie es bei heise.de formuliert wird. Die Kunden sollen demnach erst in eine Datenbank eingetragen und verwarnt werden. Weitere Schritte wie die Drosselung des Datentransfers oder das Sperren des Zugangs erfolgen nach weiteren Warnungen.

cnet zitiert den RIAA-CEO Cary Sherman, der erklärt, warum sich der Prozess ein Jahr lang hinzog:

“Each ISP has to develop their infrastructure for automating the system,” Sherman said. They need this “for establishing the database so they can keep track of repeat infringers, so they know that this is the first notice or the third notice. Every ISP has to do it differently depending on the architecture of its particular network.[...]“


Nachdem die großen ISPs, mit denen die Absprache getroffen wurde, diese Infrastruktur geschaffen haben, werden die kleineren Zugangsanbieter vermutlich demnächst von den Contentorganisationen wegen dem Fehlen dieser Infrastruktur verklagt. Jedenfalls liegt diese Vermutung nahe, wenn man den Vergleich mit den Content-Filtern heranzieht, die YouTube einsetzte und die nach Auffassung von MPAA und RIAA deswegen auch für alle anderen verpflichtend seien.

Ein schöner Erfolg für die Contentlobbyisten von MPAA und RIAA, die ja auf politischem Weg in jüngerer Vergangenheit auf ganzer Linie gescheitert sind, nun aber dank privatwirtschaftlicher Absprachen ihre Macht gegenüber den Internetnutzern doch noch demonstrieren dürfen. SOPA ist tot, doch der Weg der Förderung der “Kooperation” von Zugangsanbietern und Rechteverwertern findet hier ein Beispiel. Gut dass sich seit der Absprache im letzten Jahr die öffentliche Wahrnehmung des Themas deutlich erhöht hat: Dass Provider bei solchen Absprachen nicht mitmachen müssen (warum sollten sie auch?), sieht man ja gerade in Deutschland, wo das 2-Strikes-Modell durchgefallen ist.

Reposted bymondkroete mondkroete

December 18 2009

Botnets, Internetanbieter und Politik – auf sanften Sohlen zu neuen nationalen Strukturen der Internet-Regulierung?

Dieser Gastbeitrag stammt von Andreas Schmidt, der an der Technischen Universität Delft zu institutionellen und organisatorischen Aspekten von Internet-Sicherheit forscht. Er bloggt seit kurzem auch dazu auf netdefences.com. (RB)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der Internetbetreiber (eco) haben vereinbart, im Rahmen einer Kooperation eine Art nationales Botnet-Zentrum zu errichten. Ist es nach der politischen Instrumentalisierung missbrauchter Kinder ein neuer Versuch, eine Organisation aufzubauen, die einen direkten staatlichen (oder privatwirtschaftlichen) Eingriff in die Kommunikation aller ermöglicht? Wo beim Sperrgesetz Schwarz und Weiß noch sehr einfach zu trennen waren, sind die Dinge hier verschlungener, nuancierter, vielschichtiger.

Es gibt eine Reihe von Gründen, die BSI und eco zu diesem Schritt bewegt haben dürften. Gestützt wird ihr Vorgehen von pragmatischen Erwägungen und einer Reihe plausibler wissenschaftlicher Argumente. Doch es könnte auch der Kern eines neuen nationalen Internet-Governance-Regimes werden, dessen gesamtes Gebilde und auch dessen Risiken und Nebenwirkungen sich erst im Laufe der Zeit offenbaren werden. Das Botnet-Problem

Botnets sind die technische Unsicherheitsinfrastruktur, von der zahlreiche technische, wirtschaftliche und politischen Risiken für das Internet ausgehen. Botnets bestehen, vereinfacht gesagt, aus einer Vielzahl von Zombie-Rechnern, sowie einer oder mehrerer Command&Control-Hierarchien von Rechnern, die darunter liegende Rechner steuern. Das Versenden von Spam basiert häufig auf Botnets, Phishing wiederum nutzt Spam-Emails, mit Phishing lassen sich Bankkonten leer räumen. In Cyberwarfare-Szenarien – wie wahrscheinlich oder unwahrscheinlich sie auch immer sein mögen (vgl. Schneier) – sind gegnerische Angriffswerkzeuge Rechner, die mit Malware oder Botnet-Clients infiziert und mit Command&Control-Rechnern zu Botnets verbunden sind. Die selben Technologien sind somit die Ursache für Sicherheitsprobleme auf unterschiedlichen Ebenen: Gefährdung der grundlegenden Funktionsfähigkeit des Internets, Funktionsfähigkeit der darauf aufbauenden Infrastrukturen, der auf das Internet aufbauenden Geschäftsaktivitäten, finanzielle Gefährdungen von Einzelpersonen und Unternehmen durch Online-Diebstahl, Beschneidung nationaler Handlungsfähigkeit durch Ausschaltung kritischer Informationsinfrastrukturen, Gefährdung der technischen IT-Sicherheit, oder Angriffe durch “superempowered
small-groups”
(John Robb).

Lassen wir die Cyberwarfare-Szenarien mit ihren geringen Wahrscheinlichkeiten, aber hohen potentiellen Schäden beiseite, und beschränken uns auf das bodenständigere, reale Problem, von dem auch in den eco-BSI-Meldungen die Rede war: Cybercrime, also das, was in der dinglichen Welt Überfall, Einbruch und Diebstahl entspräche. Tyler Moore und Richard Clayton, deren Studien zu Anti-Phishing und Take-down von der Leyens Argumentation zur Unmöglichkeit von zeitnahem Löschen diskreditierte hatten, haben mit ihren Chef Ross Anderson eine kleine Studie zu den “Economics of Online Crime” erstellt. Aus verschiedenen
Quellen haben sie Zahlen zusammengetragen, die die ökonomische Bedeutung von Cybercrime belegen sollen (Moore, Clayton & Anderson, 2009, S. 5):

Nun kann man bei diesen Zahlen natürlich eine gewisse Skepsis walten lassen, Symantec etwa ist kein unabhängiges Forschungsinstitut. Entscheidend sind die jährlichen Schäden. Ein Blick auf das untere Drittel der Tabelle lässt ahnen, dass
niemand so recht weiß, von welchen Schadensummen man eigentlich auszugehen hat. Nur dass sie offenbar nicht niedrig sind, scheint klar zu sein.

Van Eeten, Bauer und Chattopadhyay haben den Stand des Wissen über finanzielle Aspekte von Malware und Spam zusammengetragen. Sie fassen ihre Erkenntnisse so zusammen:

“Although the financial aspects of malware and spam are increasingly documented, serious gaps and inconsistencies exist in the available information. This sketchy information base also complicates finding meaningful and effective responses. For this reason, more systematic efforts to gather more reliable information would be highly desirable.” (van Eeten & Bauer, 2008)

Zu einer Zahl wagen sie sich dennoch vor:

“Global direct costs probably in 0.2-0.4% range of global GDP ($66 tr)” (Bauer, van Eeten & Chattopadhyay, 2008)

Welche Schlussfolgerungen man daraus für die Schäden durch Botnets ziehen kann, ist unklar. Genaue Zahlen über die von Botnetze angerichteten Schäden liegen meines Wissens nicht vor. Aber gehen wir der Einfachheit halber pragmatisch davon aus, dass die Kosten von Cybercrime immens hoch sind und sie zu einem großen Anteil durch Botnets ermöglicht werden. Zumal neben

den finanziellen Schäden Botnets auch die technische Sicherheit und  Leistungsfähigkeit des Netzes beeinträchtigen könnten.

Anti-Botnet-Maßnahmen

Was wird derzeit gegen Botnets getan? Man kann es in mehrere Aufgabenbereiche unterteilen: Problemanalyse, Entwicklung von Gegenmaßnahmen, Monitoring der Botnetaktivitäten, Milderung der Wirkung des Botnets, Zerstören des Botnets.

Die Analyse von Botnets erfolgt über die Auswertung des Verhaltens infizierter Clients, deren Kommunikation mit benachbarter Peer-Dronen und Kommando-Servern. (Banday, Qadri & Shah, 2009) Kommando-Server sind etwa im Falle des Storm-Worm-Botnets nachgebaut worden, wodurch Dronen kontrolliert und gesteuert werden könnten (ähnlich im Falle von Conficker, vgl. Leder & Werner, 2009, und die “Containing Conficker”-Arbeitsgruppe an der Uni Bonn von Tillmann Werner und Felix Leder).

Die Identifikation von Botnets, die Analyse ihrer Funktionsweise, die Entwicklung neuer Kommando-Software erfolgt bislang eher durch Eigeninitiative und globale Kooperation von Forschern und technischen Experten. Viele Honeypot-Systeme werden von global kooperierenden Wissenschaftlern betrieben, zum Teil in Zusammenarbeit mit der Privatwirtschaft. Die Identifikation von Bots innerhalb dedizierter Netzwerksegmente – etwa das Netz eines ISP – erfolgt mit
Werkzeugen wie BotHunter, einem “network-based malware infection diagnosis system” (BotHunter wird auch in einer Präsentation des eco-Justiziars Frank Ackermann erwähnt). Weil Fefe es erwähnte: Es scheint wohl – wenn ich den Artikel auf die Schnelle richtig deute – möglich, über HTTP kommunizierende Botnets anhand von Anomalien im Netzwerktraffic zu entdecken (Gu 2008).

Während Problemanalyse und Entwicklung noch die Neugier der Forscher wecken, ist das Monitoren und Überwachen der laufenden Aktivitäten eines Botnets eine Arbeit, der kaum jemand aus Forscherdrang oder Neugierde freiwillig längere Zeit nachgehen möchte. Wenn Botnets aber nicht ausgeschaltet werden können, ob aus technischen oder legalen Gründen, fallen über längere Zeiträume Arbeiten an, die vermutlich nur innerhalb fester Organisationen mit dediziert dafür zuständigem Personal übernommen werden können. Hier stoßen die bisherigen ad-hoc Arbeitsgruppen an ihre Grenzen. Die Botnet-Forscher wären in der Lage, einige Botnets unter ihre Kontrolle zu bringen und auszuschalten, indem sie über gekaperte Command&Control-Strukturen den Bot-Clients gutartigen Code zur Selbstlöschung zuspielen (vgl. den Proof-of-concept von Tillmann Werner und Felix Leder).

Aus rechtlichen Gründen und wegen der hohen persönlichen Haftungsrisiken nehmen Botnet-Forscher jedoch keine Maßnahmen zur Säuberung infizierter Clients vor. Einige europäische Polizeien haben sich Gerüchten zufolge schon versuchsweise vorgewagt und ein paar Remote-Säuberungstests unternommen. Allerdings verbietet die Rechtslage auch eine gut gemeinte Manipulation fremder Rechner. Der einzige legale Weg zum Säubern von Zombies ist die manuelle Entfernung durch die Benutzer der Rechner oder durch Removal-Software, die etwa vom Betriebssystemhersteller im Rahmen von Softwareupdates bereitgestellt werden. Wenn eco und BSI eine über die bloße Hotline hinausgehende Kooperation planen sollten, die auch Zwangsmaßnahmen enthält, wollten sie es wohl kaum verlautbaren, geschweige denn praktizieren, sondern eine Anpassung der Rechtslage abwarten.

Ursachen und Erklärungen für unzureichende Anti-Botnet-Maßnahmen

In den Griff hat das Problem der Botnets bislang niemand bekommen. Die Hersteller von Software wollen oder können von der Tradition der Bugs und Vulnerabilities nicht abrücken, private Anwender und Kleinunternehmen fehlen Lust, Zeit, Kenntnis und Anreize, ihre Rechner sicher und sauber zu halten, und ISPs sind Botnets bislang in Grenzen egal, solange sich damit nicht nennenswert Geld verdienen oder verlieren lässt.

Der Wissenschaft ist sind solche Problemlagen vertraut. Es gibt Konstellationen von Interessen, Ressourcen und Fähigkeiten, wo alle am Ende verlieren, selbst wenn alle das Beste wollten und Gutes können. Als Freerider-Problem oder Tragödie des Allgemeinguts (Tragedy of the commons) wird es bezeichnet (Hardin, 1968). In solchen Situationen zuckt die Hand des am Rande stehenden, beobachtenden verantwortungsvollen Staates, vielleicht doch einzugreifen (auch wenn die jüngste Nobelpreisträgerin der Wirtschaftswissenschaften, Elinor
Ostrom
, eher die These von der Tragödie für eine Tragödie hält und das Eingreifen externer, machtvoller Akteure wie dem Staat häufig kontraproduktiv findet, ohne dass sie dabei des neoliberalen Staathasses verdächtig wäre.) So gesehen geht es bei dieser Internetsicherheits-Private-Public-Partnership allein um sachorientierte Regulierung, was zum Tagesgeschäft des Staates gehören sollte. Der Staat schiebt die beteiligten Akteure ein wenig an, verteilt Anreize, justiert Verantwortlichkeiten neu, wenn die Akteure anderweitig nicht in der Lage sind, aus der gesamtgesellschaftlich nachteiligen Lage herauszukommen. In den
letzen Jahren haben sich einige Wissenschaftler mit den ökonomischen Hintergründen und den Anreizen für die einzelnen Akteure beschäftigt, etwas für die Sicherheit ihrer Internetgeräte zu tun oder nicht.

Handlungsempfehlungen der Internetsicherheitsökonomie

Moore, Clayton und Anderson jedenfalls empfehlen der Politik regulativ einzugreifen:

“Policymakers should also give Internet service providers, especially the big ones, a stronger incentive to stop infected computers attacking other users” (Moore et al., 2009).

Allerdings: Anreize geben ist etwas anderes als Kooperation, als eine Private-Public Partnership. Die Politik könnte sich darauf beschränken, ISPs Strafen aufzuerlegen, so sie bestimmte Sicherheitsleistungen nicht in gefordertem Maße erbringen, etwa infizierte Maschinen in ihrem Subnetz zu isolieren (vgl. Moore 2009). Regulierern und zuständigen Referenten in den Ministerien dürften diese Argumentationen vertraut sein. 2007 erhielten vier Wissenschaftler von der Europäischen Agentur für Netzwerk- und Informationssicherheit (ENISA) den Auftrag, einen Bericht über “Security Economics and The Internal Market” zu verfassen. Sie kamen, wie bei Vertretern von “information security economics”, zum Ergebnis, dass Probleme der Internetsicherheit nicht nur auf technische Fehler zurückzuführen sind, sondern vor allem auch auf falsche oder fehlende Anreize, die Internetakteure zu einem Sicherheit fördernden Handeln bewegen würden. Diese ökonomischen Regulationstheorien gehen davon aus, dass angesichts der zahlreichen und komplexen Problemlagen der Staat sich aus der Regulierung gesellschaftlich relevanter Dinge heraus halten möge, wenn dieBeteiligten denn in der Lage sind, ihre Angelegenheiten selbst untereinander zu regeln. Wenn nicht, dann möge der Staat sich darauf beschränken, hier und dort eine Stellschraube zu drehen, und erst, wenn alles andere nicht klappt, selbst die Zügel in die Hand nehmen. Das läuft bisweilen arg schief, wie die seit zwei Jahren anhaltende Finanzmarktkrise zeigt.

Die ENISA-Studie kommt zu einer ganzen Reihe von Handlungsempfehlungen für die EU zum Umgang mit Internetsicherheitsproblemen (Anderson, Böhme, Clayton & Moore, 2008):

  • gesetzlicher Zwang zur Offenlegung von Sicherheitsvorfällen

  • gesetzlicher Zwang zur Offenlegung monetärer Verlust bei Banken

  • Sammlung quantitativer Daten zu Spam und “bad traffic” durch ENISA

  • Bußgelder für ISPs, die nicht rasch genug Ersuchen nachkommen, kompromittierte Maschinen vom Netz zu entfernen (Anwender könnten Konnektivität zurückbekommen, wenn sie fortan volle Haftung für von
    ihrem Rechner ausgehenden Traffic übernehmen)

  • Entwicklung und Durchsetzen von Sicherheitsstandards für Geräte mit Netzwerkverbindung

  • Verpflichtung zur Offenlegung von Schwachstellen durch Hersteller, Einführung einer Hersteller-Haftung für nicht zeitnah gepatchte Softwarefehler

  • Empfehlung zur Trennung von Patch- und Feature-Releases, wobei erstere kostenlos zur Verfügung gestellt werden sollten

  • Schaffung einheitlicher Prozeduren bei Streitigkeiten zwischen Kunden und Zahlungsabwicklern

  • Maßnahmen gegen Spam-Versender

  • Finanzierung von Forschungen durch ENISA über die Effekte von Ausfällen von Internet-Knoten.

  • Errichtung eine Einrichtung zur Kooperation gegen Cybercrime

  • ENISA möge die Interessen von Sicherheitsforschern und IT-Sicherheitsindustrie schützen (um weitere Fehler in der Art
    des Hackerparagraphen zu verhindern)

Michel van Eeten u.a. hatten zwei Jahre zuvor in eine ähliche Richtungen gehende Maßnahmen vorgeschlagen, um ISPs zu Maßnahmen zu bewegen, die die Internetsicherheit stärken helfen (van Eeten, de Bruijn, Kars & van der Voort, 2006). Desweiteren forderten sie Maßnahmen zur Verbesserung der Datenlagen über Internetsicherheitsprobleme. Daten über Botnetze wie Logfiiles liegen verstreut bei Providern und Unternehmen, weshalb nur ein Zusammenspiel der Akteure Klarheit über das Ausmaß der Probleme schaffen kann. Genau dazu fehlten den Akteuren aber offensichtlich das Interesse (van Eeten et al., 2006,
S. 374). Aus diesem Grund ist die Datenlage über das Ausmaß von Sicherheitsproblemen auch heute noch, nach Jahren politischer Diskussion und Instrumentalisierung von Internetsicherheitsproblemen so dürr und gibt es kaum neutrale wissenschaftliche Studien darüber.

Aspekte staatlicher Politik gegenüber ISPs

Staaten verfügen über eine Vielzahl von Möglichkeiten auf ISPs Einfluss zu nehmen. Die britische Regierung hatte ihre ISPs Ende der 1990er mit der Androhung, andernfalls selbst tätig zu werden und den ISPs ihr Handeln durch Gesetzestexte vorzuschreiben, “gebeten”, sich zu einem Verbund zusammenzuschließen, um das ewigen Böse des Internet zu verbannen, Kindesmißbrauchsabbildungen (KMA). Von der demokratietheoretisch zweifelhaften Konstruktion der Internet Watch Foundation abgesehen – eine privater Verein gestattet sich, die Kommunikation der britischen Bevölkerung zu zensieren –, war sie immerhin sehr effektiv im Bemühen, das Hosting von KMA in GB fast vollständig zu unterbinden. Im letzen Jahr haben die USA ihre ISPs gesetzlich verpflichtet, dem National Center for Missing and Exploited Children (NCMEC) beizutreten, dass die U.S CyberTipline betreibt (Moore et al. 2009, S. 16). In Deutschland wurde vor wenigen Tagen mit domainfactory auch der
letzte Webhoster gerichtlich dazu verpflichtet, der gesetzlichen Verpflichtung zur Vorratsdatenspeicherung nachzukommen
. Die Verhandlungen über das Anti-Counterfeiting Trade Agreement (ACTA) laufen offenbar auf nationale Gesetze hinaus, die der Content-Industrie noch leichteren Zugriff auf Trafficdaten der ISPs liefern würde.

Wenn er also will, kann der Gesetzgeber sehr tief in die Tätigkeiten der ISP rein regieren.

Darüber hinaus orientiert sich das Handeln des Staates zu Internetsicherheit auch an anderen politischen Erwägungen als dasjenige, technische Internetprobleme wie Botnets oder Phishing loswerden zu wollen. Die Bemühungen der Content-Industrie, über staatliche Gesetzgebung Zugriff auf Anwenderdaten der ISPs zu
erhalten, sind bekannt. Aufgrund der engen Verflechtungen von Content-Industrie und öffentlicher Meinungsbildung ist die Politik leicht geneigt, diesem Drängen zu Lasten von ISP und Anwendern nachzugeben und die Rollen der Internetakteure zu modifizieren, ihnen andere Aufgaben und Pflichten zuzuweisen und
technische Anpassungen zu verlangen.

In dieselbe Richtungen gehen Entwicklungen auf internationaler Ebene. Die Cybersecurity-Diskurse in den USA treiben immer mehr in die Richtung eines verstärkten staatlichen Engagements, die Selbstregulierung durch Industrie wird kritischer gesehen als noch vor Jahren. Die US-Senatoren John Rockefeller und Olympia Snowe fordern gar die Abschaltbarkeit des Internets in Krisenfällen durch das Weiße Haus.  Großbritannien treibt das Thema ebenso voran. Das Mandat der ENISA wurde im letzten Jahr verlängert und an der Spitze sitzt jetzt der ehemalige Leiter des BSI. Diese Entwicklungen auf internationaler Ebene dürften auch in Bonn und Berlin nicht unbeachtet bleiben.

Die sozialwissenschaftliche Theorie des institutionellen Isomorphismus besagt, dass Organisationen, die sich in einem ähnlichen Feld bewegen, mit der Zeit sich in ihrer Kultur, ihren Abläufen, ihrem Personal immer ähnlicher werden. Denkbar,
dass dies auch für die Organisation von Internetsicherheit zutrifft.

Ein Aspekt, den man in Debatten über das institutionelle Design von Internetgovernance selten vernimmt, sind die Wirkmächte des sozialen Konservatismus. Die egalitäre Verfügbarkeit des führenden Kommunikationsmediums, das Fehlen von leicht ausfahrbaren Sperren und Hemmnissen, ist eine Anomalie, der sich Staaten und die sie tragenden Stützen der Gesellschaft in der Neuzeit nur selten ausgesetzt sahen. Vorausschauende konservative Politikstrategie denkt das “Si vis pacem para bellum” nicht nur für äußere Konflikte, zumal Peak Oil, plötzlicher Klimawandel oder die Lage der Finanzwirtschaft für unliebsame gesellschaftliche Überraschungmomente sorgen könnten. Politischen Ziele wie Beherrschbarkeit, Steuerbarkeit und Kontrollierbarkeit der Lage erforderten ein starreres Reglement der Kommunikationssphäre, als dies bislang der Fall ist.

Kalküle der ISPs

Die ISPs scheuen Regulierungsversuche des Staates. Sie sind mit Kosten verbunden, zumeist jedenfalls, mit Rechtsunsicherheiten, mit neuen Kundenproblemen. Zudem erfordern sie meist die Aufmerksamkeit der Leitungsebene. Alles Dinge, die ein ISP vermeiden möchte. Jedoch auch Nichtstun verursacht Kosten – etwa für den Support von Kunden, die sich aufgrund von Sicherheitsproblemen ihrer Rechner an die Hotlines der ISP wenden. Vagen Schätzungen zufolge werden etwa 1-2% der Umsätze mittelgroßer ISPs für
sicherheitsbezogene Supportanrufe aufgewendet (Moore et al., 2009, S. 9). Desweiteren können die von Botnets erzeugten Traffic-Mengen die Durchleitungsvereinbarungen mit dritten ISPs belasten und zu höheren Kosten führen. Schließlich kann ein Übermaß an Computerviren, Malwarebefall oder
laxer Umgang mit Spamversendern das Image eines ISP beschädigen. Auf der anderen Seite müssen ISP mit negativen Kommentaren der Öffentlichkeit rechnen, wenn sie diese Probleme mit Lösungen angehen, die die Privatsphären ihrer Kunden verletzen.

Den ISPs ist bewusst, dass sie je für sich das Botnet-Problem nicht in den Griff bekommen können. Dass in ihre Kundennetzen zahllose Bot-Clients sind, ist ihnen bekannt, sie gehen aber nicht, mit welchen Mitteln auch immer, systematisch dagegen vor. Maschinen werden allenfalls dann abgeklemmt, wenn sie massenhaft Spam verschicken oder andere Dinge tun, die Dritte dazu bringen könnten, beim ISP sich zu beschweren. Der überwiegende Prozentsatz der Bot-Clients bleibt unberührt und wartet weiter mehr oder minder stumm auf die Befehle von Peer-Bots oder einem Command&Control-Rechner. Wollte ein ISP dagegen vorgehen, würde er sich Kosten aufhalsen, die seine sorglosen Konkurrenten nicht
haben. First-mover disadvantage.

Zugleich aber drängen Gesellschaft, Wirtschaft und Politik, dass diese Internetsicherheitsprobleme wie Botnets und Viren doch bitte gelöst werden sollten. Dadurch gerät die ISP-Branche unter Zugzwang, wenn man sie als diejenige identifiziert, die den Schlüssel zur Lösung des Botnet-Problems in der Hand hält.
Damit würde sich der Charakter des ISPs wandeln, weg vom bloßen Durchleiter von Internettraffic, der nur dann eingreifen muss, wenn er von Dritten aufgefordert wird, hin zu einer proaktiven und inhaltlichen Prüfer aller Internetkommunikation. Der derzeitige Internet-Governance-Kompromiss würde damit aufgekündigt (Mueller, 2004).

ISPs stehen politisch noch aus zwei anderen Richtung massiv unter Druck: Zum einen drängt die Content-Industrie seit Jahren und in immer stärkerem Maße darauf, dass ISPs die Durchleitung von anscheinend nicht lizensiertem Material unterbinden oder zumindest den Content-Lieferanten Auskunft über die Identitäten derjenigen zukommen lassen möge, die anscheinend Lizenzverstöße
begehen. Die ISPs halten bislang noch kräftig dagegen.

Zum anderen drängen Regierungen – teils von der Content-Industrie beeinflußt, teils von eigenen Motiven angetrieben – weltweit darauf, das bei den ISPs Technologien installiert werden, die staatlichen Stellen die Filterung des Zugriffs auf bestimmte Inhalte ermöglichen.

ISPs sehen sich daher Akteuren gegenüber, die reichlich Mittel an der Hand haben, ISPs den Wunsch zu durchqueren, entspannt und angenehm Umsätze bei guten Margen zu machen. Die netzpolitisch spannende Frage ist, unter welchen Bedingungen sich ISPs gegen die Interessen ihrer Kunden zu wenden und stattdessen mit anderen Kräften gegen sie zu agieren beginnen. Oder: Wann und
wie handelt ein ISP wie Vodafone im letzten Jahr bei der Sperrinfrastruktur-Auseinandersetzung, schert aus dem Branchenkonsens aus und versucht, Kunden eine nicht gewünschte technische und organisatorische Änderung der Internetarchitektur unterzuschieben?

Die eco-BSI Kooperation

Welcher Art ist die Kooperation eigentlich? Die Meldung bei heise am 8.12.2009 lässt sich in Stichpunkten wie folgt zusammenfassen: Provider weisen Kunden auf Bot-Infektionen hin, nicht kooperative Kunden werden evtl. mit Sanktionen belegt, eventuell besteht Virenscannerzwang für Kunden, ggf. können Anwender
die Dienste des Call-Centers mit 40 Mitarbeitern kostenfrei in Anspruch nehmen, und schließlich wird über eine Netzsperre für infizierte Rechner, deren Umleitung zu einer Site mit Removal-Software sowie telefonische Unterstützung für
betroffene Anwender nachgedacht.

Wir wissen derzeit nicht viel über die Organisation des geplanten Botnet-Zentrums, über die juristische Person, in deren Händen es liegen wird, über die Gesellschafter, deren Rechte, deren Zugriffsmöglichkeiten auf operative Daten und
Entscheidungen, über Geldströme. Ein Schleier der Intransparenz ist solchen öffentlich-privaten Kooperation immer eigen. Der jüngsten Stellungnahme von eco zufolge wird es nun zwar keine eigenständige Neugründung zwischen BSI und eco geben, sondern eine wie auch immer gestaltete “rein privatwirtschafliche Initiative”. Weitere Details stehen jedoch noch aus.

Eine solche Konstruktion als “privatwirtschaftliche Initiative” schließt nicht aus, dass das BSI das Vorhaben finanziell oder anderweitig unterstützt, etwa indem es
wissenschaftliche Mitarbeiter und Ingenieure zur Problemanalyse und zum Aufbau weiterer Anti-Botnet-Dienste bereitstellt, dass Services wie Honeypot-Betrieb und Analyse, Einkauf und Auswertungen externer Informationsquellen durch das BSI erfolgen und an eco weitergeleitet werden. Der Betrieb der Hotline ist der politisch am wenigsten bedeutsame Aspekt an dieser BSI-eco-Kooperation. Interessanter und wichtiger sind Art und Umfang der gesammelten Daten und Kompetenzen für Maßnahmen, die Privatsphären oder Freiheitsrechte
von Anwendern betreffen.

Dass die Benachrichtigung der Anwender über Fehler auf mehreren Kanälen erfolgen soll und sogar auf dem rechtsgültigen Postwege, liest sich angesichts der marktüblichen Anwendersupport-Praktiken wie das Gegenstück zu einem kommenden AGB-Passus, in dem irgendeine Maßnahme angedroht wird, falls
der Anwender nicht dieses oder jenes binnen einer Frist erledigt. Zugegeben, es ist ein pragmatischer und vermutlich auch effektiver Ansatz, in Einklang mit den Empfehlungen des ökonomischen Internetregulierungsansatzes den Endpunkten die Verantwortung für ihr Tun auch monetär aufzubürden, um Malware-Schleudern aus dem Netz zu bekommen.

Fazit: Folgen für die Kommunikationsfreiheit?

Botnetze sind aufgrund der Kosten, die sie offenbar verursachen, durchaus ein ein Problem, dessen Behebung die Politik beobachten und gegebenenfalls fördern sollte. Die bisherigen Wege stoßen anscheinend an ihre Grenzen, andere Wege sind bei der Botnet-Bekämpfung erforderlich. Der Handlungskatalog von Anderson u.a. listet eine Reihe denkbarer Maßnahmen auf. Aber hinter dem unscheinbaren Begriff der Anreize stehen massive Eingriffsrechte durch ISPs in die Systeme der Anwender, die legitimiert werden sollen durch den großen Nutzen für die Allgemeinheit. So bestechend einfach es ist, das Problem der Botnets durch Ermächtigungen der ISPs zu bekämpfen – es bleibt die Frage, ob der Nutzen die Beschneidung individueller Freiheiten oder deren Bedrohung durch den Aufbau weitreichender Institutionen rechtfertigt.

Die allgemeine Interessenslage läßt allerdings vermuten, dass es auf mehr Rechte und Pflichten für ISPs hinausläuft. Die Softwarehersteller dürften dankbar sein,
wenn nicht sie für Unsicherheiten der Systeme haften müssen. Strafverfolgungsbehörden dürften den Zugriff auf die Daten der ISPs schätzen. Gewichtige politische Fraktionen wollen den Staat offenbar eine größere Rolle bei Regulierung und Betrieb des Kommunikationsraums Internet einräumen. Die
Content-Industrie würde gerne DPI-Boxen in die Rechenzentren der ISPs stellen, um dort umsatzfördernde Daten zu gewinnen. Der soziale Konservatismus wird die (aus seiner Sicht) Anomalie beseitigen wollen, keinen direkten Zugriff auf den Kommunikationsraum zu haben. Debatten um innere und äußere Sicherheit sehen
im Schutz des Internets ein gemeinsames Ziel. Eine gewichtige Allianz wächst da heran, die ISPs zu einem Gehilfen ihrer Interessen machen möchte.

Informatiker haben effektive Werkzeuge zur Botnet-Bekämpfung bereitgestellt, ökonomisch argumentierende Sozialwissenschaftler empfehlen eine ganze Reihe von bedenkenswerten Maßnahmen zur Erhöhung der Internetsicherheit. Was aber fehlt – zumal in Deutschland, wo es meines Wissens nicht einen Lehrstuhl für Internetpolitik oder Internet Governance gibt –, ist kreatives Nachdenken darüber, welches institutionelle Arrangement technische Internetsicherheit mit individueller Sicherheit vor Freiheitsbeschränkungen im Internet verbinden könnte. Es bleibt Aufgabe der netzpolitisch interessierten Öffentlichkeit, von Politik und Wirtschaft demokratische Prinzipien wie Transparenz, Überwachung der Überwacher und Sicherung von Freiheitsrechten in der Netzpolitik einzufordern.

Auch wenn der angedachten eco-BSI-Kooperation ein pragmatischer Ansatz zur Lösung des Botnet-Problems zugrunde liegt, würden eco und die Internetwirtschaft mit der im Raume stehenden Möglichkeit, Rechner vom Netz abzutrennen, zu Exekutivorganen nationaler Internetsicherheitspolitik werden. Ihnen würde die Macht zuteil, Rechner den Zugang zum Internet zu sperren und Kunden so die Teilhabe am öffentlichen Netzleben zu verwehren. Sie
müssten, um dieser Aufgabe nachzukommen, intern Prozeduren und Werkzeuge schaffen, mit denen die Netzabtrennungen effizient und effektiv durchgeführt werden können. Der technischen Sicherheit des Internets und geschäftlichen Transaktionen mag es dienlich sein, auf die Sicherheit der Kommunikationsfreiheit könnte es dagegen ein paar unerfreuliche Wirkungen haben.

Literatur

  • Anderson, R., Böhme, R., Clayton, R., & Moore, T. (2008). Security Economics and The Internal Market. European Network and Information Security Agency (ENISA).
  • Banday, M. T., Qadri, J. A., & Shah, N. A. (2009). Study of Botnets and Their Threats to Internet Security.
  • Bauer, J., van Eeten, M., & Chattopadhyay, T. (2008). Financial Aspects of Network Security: Malware and Spam. (Presentation, ITU-T Study Group 3 Geneva, Switzerland, 2 April 2008).
  • Hardin (1968). Tragedy of the Commons. Science, (162), 1243-1248.
  • Leder, F., & Werner, T. (2009). Know Your Enemy: Containing Conficker (The Honeynet Project)
  • Moore, T., Clayton, R., & Anderson, R. (2009). The Economics of Online Crime. Journal of Economic Perspectives, 23(3), 3-20.
  • Mueller, M. L. (2004). Ruling the Root: Internet Governance and the Taming of Cyberspace. The MIT Press.
  • van Eeten, M. J. G., de Bruijn, H., Kars, M., & van der Voort, H. (2006). The governance of cybersecurity: a framework for policy. International Journal of Critical Infrastructures, 2(4), 357-378.
  • van Eeten, M., & Bauer, J. (2008, July). ITU Study on the Financial Aspects of Network Security: Malware and Spam (ICT Applications and Cybersecurity Division, Policies and Strategies Department, ITU Telecommunication Development Sector)
Reposted by02mydafsoup-01lit
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl