Handel mit Bedrohungen

Ein unter anderem von der CIA unterstütztes Forschungsprojekt will einen so genannten Prognosemarkt für IT-Sicherheitsprobleme einrichten, der Unternehmen und Behörden als Frühwarnsystem dienen soll.

Die jüngsten Angriffe auf das Sony-Playstation-Netzwerk, den Internationalen Währungsfonds und andere Unternehmensserver haben die Betroffenen kalt erwischt. Laut Cisco-Forscher Patrick Peterson müssen sich Unternehmen und Behörden aber darauf einstellen, zunehmend ins Visier von Angreifern zu geraten. IT-Sicherheitsforscher aus Industrie, Universitäten und US-Geheimdiensten wollen nun einen „Prediction Market“ als Frühwarnsystem installieren, um sich besser auf Bedrohungen aus dem Netz vorbereiten zu können.

Ein Prediction Market funktioniert ähnlich wie eine Börse: Statt Aktien werden jedoch Prognosen über künftige Entwicklungen gehandelt. Indem die Teilnehmer „Anteile“ an diesen Einschätzungen kaufen und verkaufen, versuchen sie, den Wert ihres Portfolios zu mehren. Dabei bilden sich Kurse für die Prognosen heraus, die als Indiz für die Wahrscheinlichkeit gelten, dass ein bestimmtes Ereignis eintritt.

Handelbar wären dann beispielsweise Hypothesen wie diese: „Die Menge an Spam-Emails wird im dritten Quartal 2011 um zehn Prozent zunehmen.“ Auch langfristig mögliche Ereignisse könnten gehandelt werde, etwa ob der US-Kongress neue Gesetze zur Netzsicherheit verabschiedet, oder ob in den kommenden 24 Monaten häufig verwendete Kryptografie-Algorithmen geknackt werden.

Wichtig sei, dass alle Daten juristisch relevant seien, also die von ihnen beschriebenen Ereignisse strafrechtliche Konsequenzen haben könnten, erläutert Greg Shannon vom CERT-Programm des Software Engineering Institute an der Carnegie Mellon University. „Als Mobilfunkbetreiber, der Unternehmensressourcen verteilen muss, würden sie gerne wissen, welche Schadsoftware für mobile Anwendungen am Horizont zu erkennen ist“, sagt Shannon, der an der Entwicklung der Sicherheitsbörse beteiligt ist.

Prediction Markets werden bereits seit einiger Zeit eingesetzt, etwa um den Sieger eines Sportwettkampfes oder den Markterfolg von neuen Produkten zu prognostizieren. Die Software für die neue Sicherheitsbörse liefert Consensus Point, das bereits firmeninterne Prediction Markets für Unternehmen wie General Electric, Qualcomm und Best Buy entwickelt hat.

Auch für die Politik sind Prediction Markets interessant. So liegt der Iowa Electronic Market der University of Iowa vor den US-Präsidentschaftswahlen regelmäßig besser als klassische Wahlprognosen. Im Vergleich zu knapp tausend Umfragen seit 1988 waren dessen Ergebnisse um 74 Prozent dichter am tatsächlichen Wahlausgang dran. Die University of Iowa nutzt das Tool außerdem, um den Verlauf der jährlichen Grippewellen abzuschätzen.

Die relative Treffsicherheit von Prognosebörsen ist durchaus erstaunlich. Denn die Teilnehmer bilden keine zufällig zusammengestellte Gruppe wie in einer Umfrage. „Prediction Markets sind keine Umfragen, wo jeder nach seiner Meinung gefragt wird“, sagt Robin Hanson, leitender Wissenschaftler bei Consensus Point. Vielmehr verfolgen die Teilnehmer eigene Interessen – die Wertsteigerung ihres Portfolios – und gehen nur auf Fragestellungen ein, für die sie sich kompetent fühlen.

Laut Consensus Point-CEO Linda Rebrovick soll die Pilotversion der Sicherheitsbörse 250 Experten einbinden. Noch nicht geklärt ist, wie korrekte Einschätzungen belohnt werden. „Es wird wohl eine Kombination aus finanziellen Anreizen und anderen Prämien sein“, sagt Rebrovick.

Selbst wenn die Teilnehmer auf einige Prognosen nicht anspringen sollten, wäre das eine nützliche Information, betont Dan Geer, Sicherheits- verantwortlicher von In-Q-Tel, dem Wagniskapital-Anleger der CIA, der ebenfalls zur Entwicklungsgruppe des Sicherheits-Prognose-rse gehört. „Das würde darauf hindeuten, dass der Sachverhalt nicht eindeutig ist, oder dass wir eine Uneinigkeit hinsichtlich einer Prognose messen, die nicht richtig quantifizierbar ist“, sagt Geer. „Umfragen sind anfällig für idiotische Antworten, Prediction Markets für dumme Fragestellungen.“

(nbo)