Category Archives: Preisschild

Verdient „cyber“ so viel Aufmerksamkeit?

Millionen Euro
Schäden durch Cybercrime (2016) 51
Jahresetat des BSI (2016) 89
Schäden durch Fahrraddienbstahl (2014) 100
Jahresetat des BSI (2017) 107
Schaden durch NotPetya bei Maersk 170…256
Schaden durch organisierte Kriminalität (2016) >1.000
Schäden durch Ladendiebstahl 2.000
Schäden durch Wirtschaftskriminalität (2011) 4.100
Rundfunkgebühren (2015) 8.131
Verkehrsinfrastrukturinvestitionen (2016) 12.296
Schaden aus Cum-Ex- und Cum-Cum-Betrug (kumuliert) 31.800
Verteidigungshaushalt (2017, inkl. CIR) 37.005
Bürokratiekosten der Wirtschaft pro Jahr 45.140
Unbelegte Cyberschadensdrohung von Bitkom und Verfassungsschutz 50.000
Googles weltweiter Umsatz (2016) 79.450
(89.460 $)
Jährlicher Umsatzverlust durch schlechte Führungskräfte 105.000
Umsatz im Lebensmitteleinzelhandel (2016) 176.000
Bundeshaushalt (2017) 329.100
Bruttoinlandsprodukt (2016) 3.124.364
(3.466.639 $)

Cyberzeilen sind fett markiert. Zu jeder Zahl ist die Quelle verlinkt. Ich aktualisiere die Tabelle ab und zu mit weiteren Angaben.

Mein Gott, es ist voller Spam!

Spam kommt überall dort vor, wo jemand mit wenig Aufwand viele Empfänger erreichen kann, aus deren Reaktionen er einen Gewinn zieht. E-Mail ist das klassische Beispiel: Millionen von Nachrichten zu versenden, kostet fast nichts. Kann man Klicks der Empfänger direkt zu Geld machen, lohnt sich Spam, denn bereits bei geringer Antwortrate kommt mehr Geld zurück als der Versand gekostet hat.

E-Mail ist nur ein Träger für Spam. Ein anderer ist mir in Google Analytics begegnet: Referral-Spam. Dabei geben sich die Spammer als Website aus, die auf eine andere Website verlinkt, entweder mit Website-Besuchen durch Bots oder auch mit Fake-Daten, die sie bei der Google-Analytics-API abliefern. Im Referrer steht dabei jeweils eine URL, zu der man Besucher locken will; diese URL taucht dann in Logfiles oder eben in Google Analytics auf. Auf diese Weise kann man sich einerseits Links erschleichen, wenn Websites ihre Logfiles öffentlich machen. Andererseits weckt man die Neugier einzelner Analytics-Nutzer oder Logfile-Auswerter und lockt so Besucher auf die Spammer-Site.

So häufig wie in der E-Mail ist Referral-Spam noch nicht. Aktuell läuft aber gerade eine nertötende Kampagne, die ein unnützes Social-Buttons-Gedöns bewirbt. Wenn’s nervt, kann man sich in Google Analytics einen Filter einrichten. Ausführliche Erklärungen gibt es hier.

Stundensatz: 22 Euro

Praktikanten verderben die Preise und heulen herum, weil man sie wie Praktikanten behandelt. Dieser langjährige Trend macht auch vor der Sicherheitsbranche nicht Halt. Die Deutsche Post führt vor, wie man 1000 Stunden Pentest für 22.000 Euro einkauft: Statt eine Dienstleistung zu beauftragen und für die geleistete Arbeit zu vergüten, veranstaltet sie einen Wettbewerb und bezahlt nur für Ergebnisse. Und bekommt dafür nicht etwa einen Vogel gezeigt, sondern trifft auf ein williges Prekariat, dem Geld egal ist, wenn es nur was mit Medien^H^H^H^H^H^HHacking machen darf. Damit ist die Post nicht alleine, Bug-Bounty-Programme verbreiten sich rapide und tun im Prinzip dasselbe, nur kontinuierlich. Ist das gut oder schlecht?

Attack-as-a-Service Market Prices

An article in the latest issue of CACM (paywalled) quotes some prices advertised by criminals for elementary attack building blocks:

  • DoS – $50…$500 per day
  • hacking a private e-mail address – $30…$50
  • forged identity documents – <$30
  • software opening fake accounts – <$500
  • custom-made malware – $1,500 + monthly service fee

If you want to get rich, don’t waste your time on developing sophisiticated attack techniques. Look at the services available and devise a business model.

Flawed Security Economics

I just stumbled upon a piece of economics-of-security reasoning that amazes me:

»Bank robbers steal approximately $100 million per year in the US. (…) To prevent this, banks spend $600 million per year on armored car services and $25 million per year on vault doors. The FBI spends $50 million per year investigating robberies. A good deal more is spent on security guards—approximately 1 million in the US, paid about $24 billion per year (outsourcing makes it difficult to say how many work for banks). In summary, the cost of protecting against bank robberies far exceeds the loss.«

(Michael Lesk, Cybersecurity and Economics, IEEE S&P Nov./Dec. 2011)

I don’t doubt the figures, but the conclusion does not make sense to me. Why should one put the cost of security measures in relation to the losses that they don’t prevent? The $100 million per year are the losses that remain after security. What the security investment prevents is the losses that would occur without it, not the losses that continue to occur despite the effort. I’d love to see an estimation of this quantity. The author even gives a hint towards the possible magnitude, as he continues:

»To look at a less safe society, in a single 2007 bank robbery in Baghdad, robbers made off with $280 million (it was an inside job).«

Perhaps it is even normal for the cost of security to exceed the losses that remain, once the security spending has been optimized?

Fünf Blüten auf 10.000 Einwohner

»Rund 39 000 gefälschte Geldscheine registrierte die Notenbank im vergangenen Jahr mit einem Schaden von 2,1 Millionen Euro. Im Vorjahr hatten 60 000 Falschnoten noch Einbußen von 3,4 Millionen Euro verursacht.
(…)
Rechnerisch kommen jährlich fünf (2010: sieben) Blüten auf 10 000 Einwohner. Im gesamten Euro-Raum liegt das Verhältnis bei 18 Fälschungen auf 10 000 Einwohner.«

(Echo Online: Weniger Euro-Blüten beschlagnahmt als je zuvor)

Risikoanalyse für Gauner

FAZ.NET präsentiert in einer Galerie von Infografiken dieses schöne Stück, das die Aufklärungsquoten verschiedener Verbrechens- und Vergehensarten zeigt und ordnet. Demnach werden Geldfälscher, Geiselnehmer und Autohehler fast immer gefasst, Autoknacker sowie Auto- und Taschendiebe hingegen fast nie. Zur Berufsberatung für legalitätsflexible Arbeitssuchende fehlen jetzt noch analoge Aufstellungen der mittleren Gewinne pro Tat sowie der mittleren Strafe, falls man erwischt wird. Mit diesen Angaben könnten wir ausrechnen, welche Verbrechen sich lohnen. Falls jemand Zahlen hat oder Leute kennt, die Zahlen haben, her damit.

Wichtigtuer

Wovor die Helmzwangdebatte geflissentlich ausweicht, ist die Risikoanalyse, die dem Gezänk schnell ein Ende machte. Radfahren ist keine besonders gefährliche Tätigkeit. Das Risiko, dabei an einer Kopfverletzung zu sterben, bleibt gering. Erst in der Summe über die Bevölkerung wird dieses Risiko überhaupt sichtbar − und liegt in derselben Größenordnung wie jenes von tödlichen Badeunfällen. Das eine wie das andere Übel kann man getrost als Schicksalsschlag einordnen, tragisch für den, dem er zustößt, aber weit davon entfernt, die Bevölkerung zu dezimieren. Analoge Betrachtungen kann man über die Verletzungsrisiken anstellen.

In der Aggregation wird auch der ganze wirtschaftliche Irrwitz einer Helmpflicht deutlich. Kauften wir nur zu jedem zweiten der 70 Millionen Fahrräder in Deutschland einen Helm für günstige 20 Euro, so kämen stattliche 700 Millionen Euro Kosten zusammen. Eine zweifelhafte Investition, wenn man nüchtern rechnet und das reale Schutzpotenzial ansetzt, das die kolportierten Wunderwirkungen weit untertreffen dürfte. So ein Fahrradhelm schützt nämlich nicht einmal den halben Kopf und das am besten bei Stürzen, die man auch ohne Helm leicht überlebt.

Radfahrer handeln rational, wenn sie die mit Helmen beeinflusste Risikokomponente im Rauschen der allgemeinen und insgesamt geringen Lebensrisiken verschwinden sehen und auf besondere Schutzausrüstung verzichten. Unredlich hingegen handelt, wer solche Risikobetrachtungen unterlässt und die Staatsmacht als Bekleidungspolizei missbrauchen möchte. Wer sich mit Helm wohlfühlt, mag einen tragen. Einer Pflicht dazu fehlt jedoch jede sachliche Rechtfertigung.

P.S.: Kann mal jemand im Koran nachgucken, ob ein Fahrradhelm als Kopftuch durchgeht? Das wäre zwar gemogelt, gäbe der Diskussion aber einen ganz anderen Anstrich.

Meine teuerste Karte

X3 bringt auf den Punkt, was am neuen Personalausweis blöd ist:

(Direkt-nPA)

So etwas kommt heraus, wenn man Sicherheit als Funktion und Teilsystem missversteht und diese Funktion unabhängig vom Anwendungskontext realisiert. Wer’s besser machen möchte, muss von den Anwendungen und ihrem Sicherheitsbedarf ausgehen. Dabei können am Ende auch generische Mechanismen herauskommen. Dann aber solche, die ihr Geld wert sind und zu den jeweiligen Problemen passen. Bis das alle begriffen haben, wird meine wichtigste Karte weiterhin eine lange Nummer und das Logo einer Kreditkartenorganisation tragen. Damit kann ich online wie offline was anfangen, und Kosten wie Risiken bleiben bescheiden.

Unterschätzte Risiken: Mutter Natur

Schon etwas mehr als zehn Jahre alt, aber dennoch aufschlussreich: Naturkatastrophen in Deutschland. Schadenerfahrungen und Schadenpotentiale. Eine Veröffentlichung der Münchener Rückversicherungs-Gesellschaft. Abstract:

»Deutschland wurde und wird immer wieder von schweren Naturkatastrophen betroffen, die hier hauptsächlich als Stürme und Sturmfluten, Überschwemmungen und Hagelschläge auftreten und wegen der enormen Wertekonzentrationen in großen Teilen des Landes Schäden in Milliardenhöhe auslösen können. Neben den atmosphärisch bedingten Naturereignissen treten die reinen Erdgefahren wie Erdbeben (und Gebirgsschlag), Erdrutsch und Vulkanausbruch in den Hintergrund; sie machen im Zeitraum 1970–1998 lediglich 7 % der beobachteten Ereignisse sowie 1 % der volkswirtschaftlichen und der versicherten Schäden aus.

Bei der Beurteilung der Schadenpotentiale aus großen Naturereignissen spielt die Gefahr Erdbeben jedoch eine wesentliche Rolle und übertrifft mit Werten zwischen 25 und 200 Mrd. DM sogar alle übrigen Schadenpotentiale, zumindest wenn man die sehr geringe Eintrittswahrscheinlichkeit für ein derart extremes, aber eben doch nicht auszuschließendes Ereignis außer acht läßt. Für die viel wahrscheinlicheren Stürme sind etwa 10 Mrd. DM, für große Hagelstürme etwa 5 Mrd. DM, für eine extreme Sturmflut bis zu 60 Mrd. DM und für ein sehr großes Überschwemmungsereignis im Einzugsbereich des Rheins bis zu 20 Mrd. DM als Schadenpotentiale anzusetzen. Eine genauere Analyse dieser Katastrophenszenarien, insbesondere im Hinblick auf ihre Eintrittswahrscheinlichkeiten, erscheint unerläßlich.

Der umfangreiche Ereigniskatalog der Veröffentlichung enthält zunächst eine Aufstellung aller bedeutenden Naturkatastrophen in Deutschland, soweit sie aus der Naturwissenschaft und der Geschichtsschreibung bekannt wurden. Daran schließt sich eine umfassende Liste aller wesentlichen – insgesamt 459 – Elementarschadenereignisse in Gesamtdeutschland im Zeitraum 1970–1998 an, die, soweit möglich, Schadenangaben enthält und die Grundlage für eine aussagekräftige Statistik bildet, in der die Anteile der verschiedenen in Deutschland vorkommenden Naturgefahren an der Gesamtzahl der Schadenereignisse sowie an den volkswirtschaftlichen und versicherten Schäden dargestellt sind.«

Schadensinflation

Meine Haftpflichtversicherung schickt mir diese schöne Prosa:

»Der unabhängige Treuhänder hat eine Erhöhung des Durchschnitts der Schadenszahlungen festgestellt. Gemäß der vertraglichen Regelungen zur Beitragsangleichung wurde der Beitrag um 5% erhöht.«

Wieso brauchen die einen Treuhänder für etwas, das an der Tankstelle oder bei der Bahn einfach so funktioniert?

Werden Kreditkarten billiger?

Vielleicht können wir uns langsam von der Vorstellung verabschieden, dass man mit seinen Kreditkartendaten im Netz “vorsichtig” sein müsse oder die Karte am besten gar nicht benutze. Diese wohlmeinenden Sicherheitshinweise waren zwar schon immer Blödsinn. Eine Kreditkarte ist dazu da, dass man sie benutzt, es gibt wenige Möglichkeiten, dabei Vorsicht walten zu lassen, und beim User ist die Sicherheit ohnehin schlecht aufgehoben. Nun gibt es auch noch Hinweise darauf, dass sich reine Kartendaten ohne PIN für Kriminelle immer weniger lohnen:

»Credit cards are no longer valuable, so criminals now want PIN numbers. Earlier this week, Symantec reported credit card data can sell for as little as six cents in online criminal markets, which consist of “various forums, such as websites and Internet Relay Chat (IRC) channels, which allow criminals to buy, sell, and trade illicit goods and services.” Verizon reports the value of credit card data at fifty cents, down from a minimum of $10 in mid-2007.

In contrast, Symantec said, bank credentials can sell for $10 or more. Verizon did not disclose a price for PIN data, but said, “the big money is now in stealing personal identification number (PIN) information together with associated credit and debit accounts.”«

(Credit Cards No Longer King in Crime Networks)

Der Artikel scheint schon ein Jahr alt zu sein.

Spendenaufruf

Zwei Euro im Monat für ein gutes Gefühl, das ist das Kerngeschäft der Versicherungswirtschaft:

»Oft reichen einige Minuten Surfen im Internet – und schon sind Ihre Bankdaten in die Hände von Betrügern gelangt. Phishing-Angriffe, die gezielt Online-Banking Kunden im Visier haben, verursachen immer wieder hohe Schäden.
(…)
Anfang 2010 bietet CosmosDirekt die passende Lösung: Den Konto-Schutzbrief, der Sie ab 2€ im Monat gegen die Plünderung Ihres Kontos schützt*. Er sichert alle Schäden aus dem Missbrauch Ihrer EC- und Kreditkarte sowie Ihrer Kontodaten ab.«

Für ungefähr dieselbe Summe bekommt man übrigens schon eine kleine Haftpflichtversicherung. Der Preis taugt also noch nicht einmal als Risikometrik.