Mit Beginn des Informationszeitalters verursachten der alle erste Hacker und der erste Sicherheitsverantwortliche die Geburt der Informationsschutzbedarfsfeststellung. Der Hacker wollte in Computersysteme einbrechen, darin enthaltene „interessante“ Informationen unerlaubt kopieren und damit angeben. Der Sicherheitsverantwortliche, nachdem er verstanden hatte, was ein Hacker ist und dass sein System lange nicht so sicher ist wie angenommen, versuchte die anvertrauten Informationen mehr oder weniger kompetent zu schützen.
Die älteste, mir bekannte Schutzbedarfsfeststellung hat ihren Ursprung im September 1988. Ein Hacker stolperte im System AIMSX der Firma BellSouth über ein Dokument mit dem Titel „Bell South Standard Practice 660-225-104SV Control Office Administration of Enhanced 911 Services for Special Services and Major Account Centers dated March 1988”[1] und erstellt eine Kopie davon auf seinem eigenen Computer. Genauso spannend wie der Titel ist auch der Inhalt, der aus zwei Teilen besteht: einer mit Fachjargon durchsetzten Beschreibung des amerikanischen Telefon-Notrufdienstes sowie einem Glossar. Das Dokument[2] beschreibt für Spezialisten in erster Linie den Umgang mit dem Notrufdienst, nicht wie oft fälschlich dargestellt eine Software[3] oder gar Einbruchanleitung in Computersysteme, auf denen der Notrufdienst läuft. Man wird beim Lesen konfrontiert mit schwer verdaulichen Sätzen wie
Although Node to PSAP circuit are official services, the MMOC will refer PSAP circuit troubles to the appropriate SSC/MAC.
Und dann? Der Hacker freut sich über seinen „Schatz“; die Kopie wird weiterverteilt und landet schlussendlich bei den Behörden. Der Sicherheitsverantwortliche findet sich plötzlich im Rampenlicht einer Ermittlung und später Anklage[4], wird von den Behörden nach dem Wert des Dokuments befragt und erstellt daher schnell die erste quantitative Schutzbedarfsfeststellung der Welt für ebendieses Dokument, welche die Bedeutung des Falls und den damaligen emotionalen Aufruhr widerspiegeln sollte:
US$ 79.445
Der unerlaubte Zugriff auf dieses Dokument und die Weiterverteilung hatte in 1990 zu einem sehr großen Aufschrei gehen den „Digitalen Untergrund“ geführt. US Strafverfolgungsbehörden, allen voran der Secret Service, trugen die Flagge der Gerechtigkeit und Vergeltung in den Krieg gegen Hacker. Auf der Flagge war mahnend von US$ 79.445 zu lesen.
Selbst inflationsbereinigt sprechen wir im Jahr 2022 von nur US$ 180.000!
Heutzutage ist die Schutzbedarfsfeststellung im Grundsatz ausreichend definiert. Laut IT-Grundschutz: „Hierzu werden für […] die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen.“[5]
Übersetzt in heutige Sprache und Denke, zum Beispiel mit FIPS PUB 199[6] im Hinterkopf, würde man bei einem Ereignis, welches im Worst Case zu einer Manipulation und nachfolgend Ausfall des Notrufdienstes führen kann, sicherlich von einem hohen Schadenspotential sprechen. Also die höchste Einstufung, bei der für den Geschädigten (sowohl die Telefongesellschaft als auch die notleidende Person) ein katastrophaler Schaden entstehen kann. Der IT-Grundschutz spricht hier von einem schwerwiegenden Schaden. Nur war das Dokument nicht in der Lage, dieses Ereignis hervorzurufen.
Laut dem Computer Underground Digest[7] war bereits diese erste Schutzbedarfsfeststellung massiv überbewertet. Ähnliche, vergleichbare Informationen bot BellSouth zum Preis von $13 an. Später im Verfahren wurde der Schutzbedarf des Dokuments dann auf US$ 23.900 reduziert. Laut dem Wikipedia-Artikel über Craig Neidorf, einem der angeblichen Täter, sind u.a. die Kosten des Computers in die Schutzbedarfsfeststellung mit eingeflossen, mit dessen Hilfe das Dokument bei BellSouth geschrieben wurde. Das war dann wohl selbst für das Gericht zu viel.
Kann man dem Sicherheitsverantwortlichen einen Vorwurf machen? Auch heute, mehr als 30 Jahre später, sind mir keine standardisierte Methodik und Best Practices bekannt, um quantitative Schutzbedarfsfeststellungen zu erstellen. Auch heute wird der Schadenswert von Geschäftsinformationen immer wieder massiv überbewertet.
[1] Aus dem Buch „The Hacker Crackdown“, Bantam Books, Bruce Sterling, 1992
[2] Veröffentlich im Hacker-Magazin „Phrack“, Volume 2, Number 24, 25.02.1989
[3] Laut dem Hacker-Magazin „2600 Magazin“ vom 15.05.1990
[4] United States vs. Robert J. Riggs & United States vs. Craig Neidorf, 743 F.Supp. 556 (N.D. Ill. 1990)
[5] BSI-Standard 200-2, IT-Grundschutz-Methodik Version 1.0, Kapitel 7.5
[6] NIST Computer Security Resource Center, Federal information systems publication 199
[7] Computer Underground Digest, Volume 2, Issue #2.04, 23.09.1990