Der Heise-Artikel ist schon ein paar Tage alt. Aber ich komme erst heute dazu, ihn zu kommentieren. Dabei geht es mir weniger um den Fall ansich. Es geht um Sicherheit im Internet in den USA. Und insofern ist das Thema für uns alle interessant. Denn die Sicherheit dort betrifft die Sicherheit des Internet global. Das wiederum ist eine wichtige Erkenntnis, die sich auch erst noch durchsetzen muss. Nicht nur bei sich selbst muss jeder Massnahmen zur Qualitätsverbesserung des Netzes ergreifen, sondern auch die Sicherheit weltweit fördern.
So, jetzt müssten wir uns natürlich erst einmal definieren, von welcher Sicherheit wir reden. Mich persönlich interessiert hierbei vor allem das Umfunktionieren von Firmen- und Heim-Computern zu Botnetzen, aus denen dann z.B. DoS-Attacken gefahren werden oder massenhaft Spams in die Welt raus gehen. Dieses Problem ist eines der schwierigsten überhaupt. Denn das Sicherheitsniveau hängt hier vom popligen PC zu Hause ab. Schon länger ist hier in der Diskussion, Internetzugänge mit einer Art Versicherung zu verknüpfen, die man abschließen muss, um sich von Schadensersatzforderungen zu schützen, die durch die Aktionen des eigenen PCs entstanden sind. Den Rest könnte dann der Markt regulieren. Die nachweisliche Verwendung eines geeigneten Virenschutzpaketes bringt dann evtl. ein paar Prozent Versicherungspremie, so dass das Antiviruspaket praktisch zum Nulltarif zu haben ist, weil man das Geld bei der Versicherung wieder spart. Wer Linux, BSD oder MacOS X fährt zahlt weniger, als ein Windows-Benutzer. Alles eine Frage der Wahrscheinlichkeiten. Wie hoch ist die Wahrscheinlichkeit, dass ein BSD-System teil eines Botnetzes wird? Das könnte einige dazu bringen, tatsächlich mit Linux und Co ins Netz zu gehen.
Für Firmen, die Opfer solcher Angriffe werden, könnte sich das ebenfalls bessern. Denn zumindest Teile der entstehenden Kosten könnten über entsprechende Schadensersatzansprüche wieder zurückgewonnen werden. Auf der anderen Seite würde sich die Benennung eines Sicherheitsbeauftragten genauso lohnen wie die Einführung eines Sicherheitskonzeptes. Denn alle diese Maßnahmen könnten wiederum den Versicherungspreis drücken.
Die Sache hat zwei Haken:
- Man müsste erst wieder neue Kosten erzeugen, um den Anreiz zu schaffen.
- Die Maßnahmen wären nur dann richtig erfolgreich, wenn sie weltweit umgesetzt würden.
Zu 1. sei gesagt, dass wir schon heute diese Kosten tragen. Nur tragen wir sie zur Zeit über die Preise der Hersteller, die ihre Internetattacken inkl. Spam-Bewältigung irgendwie auf die Endverpraucher umlegen müssen. Warum soll meine Oma, die gar kein Internet benutzt dafür mitzahlen, dass mein Nachbar einen Virenverseuchten PC rumzustehen hat?
Das Prinzip: “makrtwirtschaftliche Anreize für Cyber-Sicherheit” ist in jedem Fall ein guter Ansatz. Nur der richtige Weg fehlt hier irgendwie noch. Wo könnte er liegen?
Zu sagen mit Linux ist die Wahrscheinlichkeit sich einen Virus einzufangen geringer als mit Windows halte ich für falsch. Natürlich ist diese Aussage statistisch richtig aber warum sollte ich als Windowsnutzer mit sicherem System (hinter einem Router, aktueller Virenscanner, Browser/Mailclient/usw. immer aktuell) mehr für meine Versicherung zahlen als jemand mit gleichem Wissensstand, der Linux benutzt.
Wie wird nachgewiesen zu wie viel Prozent meiner Onlinezeit Windows oder Linux läuft?
Das ginge dann wieder in Richtung totale Überwachung.
Vermutlich würde es auch Tarife für solche Benutzer geben, die wissen, was sie tun. Wie man das gegenüber der Versicherung jeweils nachweist, dürfte dann an den Konditionen des jeweiligen Anbieters liegen. Vermutlich würde sich keiner die Mühe machen, zu überprüfen, wann man wie lange Windows oder Linux benutzt. Vermutlich würde es doch wieder darauf hinaus laufen, dass man die preiswerte Versicherung für Linux abschließt. Entsteht dann ein Schaden durch das Windows-System, zahlt man den Schaden selbst. Ähnlich könnte es auch mit der Verpflichtung aussehen, jeweils die aktuellen Patches eingespielt zu haben, bestimmt Dienste z.B. nicht zu nutzen oder oder oder.
Versicherungen arbeiten doch immer über Statistiken. Und Statistiken ignorieren stets Einzelschicksale.
Die “totale Überwachung” befürchte ich nicht aus dieser, sondern aus vielen anderen Ecken.
Egal, wie einfach man es den Benutzern macht. Sie können offensichtlich nicht für die Sicherheit ihrer Systeme sorgen. Schwenken wir auf das System, dass es jemand anderes tun würde, müsste ich die Kontrolle aus meiner Hand geben. TCPA geht in die Richtung. Ich würde mir die Freiheit, mein System selbst zu kontrollieren auch etwas kosten lassen. Mit einer wirklich fairen Geldverteilung würde ich dabei nicht rechnen.
Wie könnten also alternative Modelle aussehen?