Wann sind IT-Security-Audits nützlich?

Transkript

1 Wann ind IT-Security-Audit nützlich? Rainer Böhme Wetfäliche Wilhelm-Univerität Münter Intitut für Wirtchaftinformatik / ERCIS Leonardo-Campu 3, Münter, Deutchland rainer.boehme@wi.uni-muenter.de ZUSAMMENFASSUNG Informationtechnologie vereinfacht die Vernetzung von Wirtchafteinheiten und erhöht o die Abhängigkeit einzelner Wirtchaftubjekte von anderen. Die führt nicht nur zu neuen Riiken, ondern auch zu neuen Anreiztrukturen beim Riikomanagement. In Literatur und Praxi werden IT-Security-Audit oft abtrakt al Mittel gegen Trittbrettfahrer genannt, die Maßnahmen zur Riikoreduzierung bewut unterlaen. Security-Audit ind jedoch aufwändig und müen exakt da richtige Signal liefern, um poitiven Nutzen zu generieren: Die im Einzelfall erforderliche Gründlichkeit eine Security-Audit hängt von Parametern de zu unteruchenden Wirtchaftubjekt und deen Umfeld ab. Dieer Beitrag formaliiert Security-Audit im Rahmen der Theorie von IT-Sicherheitinvetitionen und leitet au einem pieltheoretichen Modell mit interdependenten Riiken Empfehlungen für Management und Regulierer ab. Schlüelwörter IT-Security-Audit, Zertifizierung, Interdependenz, Ökonomie der Informationicherheit, Riikomanagement, Informationmanagement, Spieltheorie 1. EINLEITUNG Die Vernetzung von Wirtchaft und Geellchaft verpricht Wohlfahrtgewinne durch Steigerung der Produktivität. Die it jedoch auch mit neuen Riiken verbunden. Diee Riiken untercheiden ich von herkömmlichen Riiken vor allem durch einen hohen Grad an Interdependenz. 1.1 Interdependente Riiken Interdependenz bedeutet, da der Erfolg von Maßnahmen zur Riikoreduzierung nicht allein von Handlungen der potenziell betroffenen Partei abhängt, ondern auch und inbeondere bei IT-Riiken von Handlungen anderer. E handelt ich alo um eine klaiche Externalität im ökonomichen Sinn [17]. Beipiele für interdependente Riiken findet man auf allen Abtraktionebenen. In der Softwareentwicklung it e bpw. üblich, wiederverwendbare Komponenten neu zu kombinieren. Da die Sicherheit einer Anwendung bereit durch eine einzige Sicherheitlücke gefährdet werden kann, it der Anwendungentwickler bei der Reduzierung diee Riiko auf die Mitwirkung der Entwickler von Komponenten, Bibliotheken und Entwicklungwerkzeugen owie deren tranitiver Hülle d. h. Bibliotheken der Komponenten, Entwicklungwerkzeuge der Bibliotheken etc.) angewieen. Zahlreiche Beipiele laen ich auch zwichen Partnerunternehmen kontruieren. In Lieferketten, beim Outourcing oder bei der Nutzung von Service-Providern für die Datenverarbeitung hängt die Vertraulichkeit, Verfügbarkeit und in einigen Fällen auch die Integrität der mit einem Gechäftproze verbundenen Daten von den Sicherheittandard aller Partner ab. Die betrifft auch die Öffnung vormal verchloener Informationreourcen für mehr oder weniger gechloenen Benutzergruppen, wie die z. B. beim Einatz von Social Networking Service gechieht. Die Vertraulichkeit gechäftlicher oder privater Information hängt von der Vertrauenwürdigkeit aller Mitglieder der Benutzergruppe und de Betreiber de Service ab. Auch die Sicherheit im Internet allgemein it hochgradig interdependent. Die Mehrzahl bedrohlicher Angriffe wird heutzutage über Botnetze augeführt. Diee können nur dehalb betehen und wachen, weil andere, nämlich die Beitzer und Adminitratoren der kompromittierten Rechner, keine aureichenden Sicherheitvorkehrungen treffen. Die Mechanik hinter allen dieen Beipielen lät ich gut mit Hilfmitteln der Spieltheorie bechreiben. Die Entcheidung zur Invetition in Sicherheit führt dann je nach Wahl der Parameter entweder zu einem Koordinationpiel oder einem Gefangenendilemma [17]: Alle Parteien würde von höherer Sicherheit profitieren, allerding hat niemand einen Anreiz, unilateral ein Sicherheitniveau zu verbeern. Diee pezielle Problematik interdependenter Riiken wird in wienchaftlichen Quellen, die die Potenziale von Vernetzung und Öffnung von Informationreourcen betonen, entweder ignoriert, oder marginaliiert d. h. al offene, aber technich löbare Problem genannt), oder e wird abtrakt auf die Möglichkeit von Audit und Zertifizierung hingewieen z. B. [18]). Diee organiatorichen Maßnahmen würden ichertellen, da höchte Sicherheittandard eingehalten werden. Solche Behauptungen geben Anla, den Nutzen von IT-Security-Audit unter Berückichtigung der Interdependenz zu analyieren, um Empfehlungen für Management und Regulierer abzuleiten. 1. Internationale Tagung Wirtchaftinformatik, Februar 211, Zürich, Schweiz

2 1.2 IT-Security-Audit Die Sicherheit eine Produkte, Sytem, Service oder einer Organiation it nur im Aunahmefall direkt mebar. Die liegt einereit an der Schwierigkeit, alle Schutzziele exakt zu pezifizieren Bug veru Feature) und anderereit an der Tatache, da Gefahren weder determinitich eintreten noch in Echtzeit beobachtbar ind. Die Schlufolgerung, ein Sytem ei icher, weil in der Vergangenheit kein Schaden beobachtet wurde, it alo unzuläig. Vielmehr könnte auch zufällig kein Angriff tattgefunden haben oder die Folgen eine erfolgreichen Angriff ich ert päter bemerkbar machen. E it offenichtlich, da ich die Schwierigkeiten bei der Meung der Sicherheit eigener Syteme verchärfen, wenn e im Zuammenhang mit Interdependenz darum geht, Auagen über die Sicherheit fremder Syteme zu machen. Sicherheit it damit fat immer ein Vertrauengut [3]. E beteht jedoch die Möglichkeit, ein Objekt eingehend auf icherheitrelevante Merkmale zu überprüfen und o deen tatächliche Sicherheiteigenchaften abzuchätzen. Die it aber mit erheblichem Aufwand verbunden, denn die Prüfungen ind nicht volltändig automatiierbar und etzen pezielle Kenntni und Erfahrung de Prüfer vorau. Außerdem teigt der Aufwand oft überproportional mit der Komplexität de Unteruchunggegentand, weil immer mehr Abhängigkeiten berückichtigt werden müen. Für einen Überblick über Arten von Sicherheitprüfungen ei z. B. auf [25] owie die darin referenzierten Vorgehenmodelle hingewieen. Durch teiltandardiierte Prüfungen lät ich zumindet Unicherheit gegen bekannte pezifiche Gefahren relativ zuverläig erkennen und oft anchließend auch beheben. Uner Begriff de Security-Audit geht über die reine Sicherheitprüfung hinau und beinhaltet auch die Zertifizierung durch einen Prüfer, dem Dritte vertrauen. Damit it da Ergebni der Prüfung zweifelfrei belegbar und kann anderen Marktteilnehmern al glaubhafte Signal kommuniziert werden. Sicherheitevaluationen zu auchließlich internen Zwecken ind nicht Gegentand de vorliegenden Beitrag, weil ie nicht zur Löung der Problematik interdependenter Riiken beitragen können. In der Praxi ind IT-Security-Audit mit anchließender Zertifizierung allgegenwärtig und verurachen nicht unerhebliche Koten. Al Beipiele eien hier die Common Criteria bzw. deren Vorgänger Orange Book USA) und ITSEC Europa) für die Bechaffung der öffentlichen Hand, owie maßgebliche Indutrietandard wie PCI DSS für Zahlungyteme oder ISO bzw. ISO 271 BSI Grundchutz) genannt. Weiterhin exitiert offenbar ein Markt für eine Vielzahl pezialiierter Güteiegel, die durch Geellchaften mit oder ohne Profitabicht verliehen werden z. B. VeriSign, TrutE oder da europäiche Datenchutziegel EuroPriSe). 1.3 Ökonomicher Nutzen von Security-Audit Au ökonomicher Sicht gibt e zwei Kanäle, über die Security- Audit poitiven Nutzen tiften können: 1. Überwinden von Informationaymmetrien Au der Definition von Sicherheit al Vertrauengut ergibt ich ein Lemon-Market-Problem [1]: Der Nachfrageeite liegen keine Informationen über die Qualität im einfachten Fall: icher oder unicher) angebotener Güter vor, dehalb fällt der Prei auf die Zahlungbereitchaft für die chlechte Qualität. Für ichere Güter exitiert kein Markt. Security-Audit ignaliieren Qualität und beheben da Marktveragen. 2. Löung de Koordinierungproblem Die pieltheoretichen Modelle zur Wirkung von Interdependenz können um zuätzliche Strategien erweitert werden, wenn Security-Audit al glaubhafte Signale zur Verfügung tehen. Die Parteien entcheiden damit nicht nur über die Höhe der Sicherheitinvetition, ondern auch über die Auendung eine Signal, da ein erreichte Sicherheitniveau attetiert. Die kann im Idealfall neue wohlfahrtmaximierende Gleichgewichte generieren oder betehende tabiliieren. Beide Wirkungzuammenhänge ind zweifello relevant, allerding teht nur der zweite in einem direkten Zuammenhang mit Vernetzung und Interdependenz. Dehalb wird im Folgenden auchließlich die Löung von Koordinierungproblemen betrachtet. Bezüglich Informationaymmetrien eien intereierte Leer auf die Literatur [3, 21, 2] verwieen. E it anzumerken, da Security-Audit in der Praxi auch wenn nicht ogar primär aufgrund geetzlicher oder vertraglicher Verpflichtungen durchgeführt werden. Oder ie dienen al eine Art moraliche Vericherung : E könnte Entcheidern im Erntfall beer gelingen, Verantwortung von ich zu chieben, wenn poitive Ergebnie regelmäßiger Security-Audit vorliegen egal wie auagekräftig diee waren [23]). Beide Motive können individuell Nutzen tiften. Jedoch it e gerade Ziel unerer Analye, die ökonomiche Rechtfertigung von geetzlichen und vertraglichen Regelungen owie deren Durchetzung aufgrund der oben genannten Wirkungzuammenhänge zu überprüfen. 1.4 Forchungfrage und Relevanz Wir ind nun in der Lage, die Forchungfrage zu formulieren: Unter welchen Bedingungen generieren die in Abchnitt 1.2 definierten Security-Audit poitiven Nutzen durch Löung der in Abchnitt 1.3 bechriebenen Koordinierungprobleme, welche andernfall eine Reduzierung von interdependenten Riiken verhindern würden? Die Antwort darauf it relevant für Manager, die entcheiden müen, ob ich die Durchführung eine Security-Audit lohnt 1, gegeben a) eine unternehmenpezifiche Security- Produktivität iehe Ab. 2.2), b) eine zu erwartende Gründlichkeit der Sicherheitprüfung und c) einem durch da Unternehmenumfeld betimmte Stärke der Interdependenz. Uner Modell kann außerdem al Entcheidunguntertützung herangezogen werden wann immer eine Änderung dieer drei Bedingungen a c) eintritt bzw. geplant it. Letztere betrifft vor allem die Entcheidung, den Grad der Vernetzung und damit die Interdependenz zu verändern. 1 Da die Koten von Security-Audit nicht explizit modelliert werden, it der Begriff lohnen nicht im Sinne der Invetitionrechnung zu vertehen, ondern al Frage nach trikt poitivem Nutzen.

3 Da die Löung von Koordinationproblemen nicht nur individuellen Nutzen erhöht, ondern auch oziale Wohlfahrtgewinne verpricht, ind Modell und Löung gleichermaßen für Regulierer relevant. Vorchriften können bpw. o getaltet werden, da Security-Audit nur dann erforderlich ind, wenn e ökonomich innvoll it. Außerdem können Anforderungen an Security-Audit o formuliert werden, da diee für die jeweilige Situation wohlfahrtmaximierend wirken. Schließlich kann alle, wa für Regulierer gilt, auch auf Marktituationen übertragen werden, in denen ein Marktteilnehmer die Standard für einen Wirtchaftzweig definiert. Die kann z. B. ein Indutrieverband ein oder ein Großkonzern, der eine Zulieferer organiiert. 1.5 Weitere Gliederung Zur Beantwortung der Forchungfrage lät e ich nicht vermeiden, trategiche Sicherheitinvetitionen von Unternehmen mit Interdependenz zu ihrem Umfeld zu modellieren. Der nächte Abchnitt tellt uner Modell vor, welche o einfach wie möglich gehalten wurde, ohne jedoch für die Interpretation nötige Betandteile zu vernachläigen. Außerdem wird da Modell gelöt und Gleichgewichte identifiziert. In Abchnitt 3 werden diee Gleichgewichte dann bezüglich de Nutzen von IT-Security-Audit analyiert und Schlufolgerungen gezogen. Abchnitt 4 etzt unere Ergebnie inhaltlich und methodich in Beziehung zur betehenden Literatur. Der Beitrag chließt mit einer kritichen Dikuion owie einem Aublick Abchnitt 5). 2. MODELL Uner analytiche Modell etzt ich au drei Komponenten zuammen: einer Formaliierung von Security-Audit, einem Modell für Sicherheitinvetitionen und einem Modell interdependenter Riiken. Jede Komponente enthält genau einen Parameter, der jeweil eine der oben informell bechriebenen Merkmale a c in Abchnitt 1.4) abbildet. 2.1 Abtraktion de Audit-Prozee Für die ökonomiche Analye it e notwendig, den Audit- Proze auf eine relevanten Merkmale zu reduzieren. Inbeondere kommt e hier nicht darauf an, wie die Sicherheitprüfung durchgeführt wird, ondern nur auf ihr Ergebni. Dazu nehmen wir an, da jede überprüfbare Objekt X Produkt, Sytem, Service, Organiation etc.) ein latente d. h. nicht direkt beobachtbare) Attribut X R + beitzt, da ein Sicherheitniveau bechreibt. Die Wahrcheinlichkeit, da ein Schaden durch Schutzzielverletzung entteht, inkt monoton mit teigendem Sicherheitniveau. Ein Security-Audit lät ich nun al Funktion definieren, die al Eingabe da Objekt X erwartet, deen Sicherheitniveau mit einem Schwellwert t vergleicht und dann ein Bit augibt, o da { 1 fall X t SecAuditX) = 1) ont. Da Ergebni ei zweifelfrei gegenüber Dritten belegbar, z. B. in Form eine Zertifikat oder mit Hilfe einer digitalen Signatur. E tellt allerding eine Momentaufnahme dar und mu mit einem Zeittempel verehen werden, wenn Zutandänderungen von X betrachtet werden ollen. Schadenwahrcheinlichkeit p) 1 β = e 8 β = e 4 β = e 2 Sicherheitinvetition Abbildung 1: Security-Produktivität β betimmt die Wirkamkeit von Sicherheitinvetitionen zur Reduzierung der Schadenwahrcheinlichkeit Der Schwellwert t ergibt ich au der Tatache, da Prüfungmethoden teiltandardiiert ind und die Genauigkeit der Prüfung meit vorab fetgelegt werden mu. Selbtvertändlich it e denkbar, eine Familie von Funktionen SecAudit t zu betrachten, au denen die für die jeweilige Situation angemeene Funktion augewählt wird. In der Praxi it e allerding unwahrcheinlich, ein derartige Kontinuum an möglichen Schwellwerten vorzufinden. Die Funktion SecAudit veruracht in der Praxi Seiteneffekte: E fallen Koten an die i. d. R. von X und t abhängen) und e kann zu verdeckten Informationabflüen kommen, denn ein Auditor bzw. deen Mitarbeiter erfahren im Prüfungverlauf mitunter enible Interna über X. Modelliert man die Zeitdimenion, o it auch eine Latenzzeit zwichen Beginn der Prüfung und Ergebni zu berückichtigen. Im vorliegenden Beitrag werden diee Seiteneffekte vernachläigt. Durch diee Vereinfachung könnten Security-Audit in unerer Analye nützlicher ercheinen, al ie tatächlich ind. Unere Auagen ind alo tendenziell zugunten von Security-Audit fehlerbehaftet. 2.2 Invetition in IT-Sicherheit Wir betrachten zunächt ein einzelne Unternehmen, da Sicherheitinvetitionen tätigt, um die Wahrcheinlichkeit p zu reduzieren, mit der e einen Schaden der Höhe l = 1 erleidet. In Anlehnung an da bekannte Gordon Loeb-Modell für Sicherheitinvetitionen [13] formulieren wir den Zuammenhang zwichen Sicherheitinvetition und p) al Funktion mit abnehmender Grenzwirkamkeit von zuätzlichen Sicherheitinvetitionen, p) = β. 2) Über Parameter β e 2 geht dabei die unternehmenpezifiche Security-Produktivität ein. Abbildung 1 zeigt den Einflu von β auf die Effizienz bei der Reduktion der Schadenwahrcheinlichkeit. Der Wertebereich von it auf [; 1] begrenzt, da Sicherheitinvetitionen > l = 1 für riikoneutrale Entcheider immer ungüntiger ind al die Alternative =. Um die Anzahl der Parameter überchaubar

4 Schadenwahrcheinlichkeit p, 1) 1 1 = 1 = 1 /2 1 = 1 1 = Sicherheitinvetition von Unternehmen Schadenwahrcheinlichkeit p, 1) 1 α = 1 α = 1 /2 α = Sicherheitinvetition = 1 Abbildung 2: Interdependenz α > : Die Schadenwahrcheinlichkeit für Unternehmen hängt auch von Unternehmen 1 ab β = 8, α = 1 /2) Abbildung 3: Interdependenz α erhöht die Schadenwahrcheinlichkeit, elbt wenn beide Unternehmen gleich viel in Sicherheit invetieren β = 8) zu halten, wird, abweichend von [13], die Verwundbarkeit bei v = 1 fixiert: Ohne Sicherheitinvetition tritt der Schaden mit Sicherheit ein. Al weitere Vereinfachung werden in dieem Beitrag Sicherheitniveau und Sicherheitinvetition gleichgeetzt. Die impliziert die Annahme, da die Sicherheitinvetitionen effektiv ind. In der Praxi kann dagegen die Situation eintreten, da au Kotenicht) überinvetiert wird, im Ergebni aber nur ein uboptimale Sicherheitniveau erreicht wird. Inofern it Voricht geboten, wenn Schlufolgerungen bzgl. Über- oder Unterinvetiton au analytichen Modellen in die Praxi übertragen werden. Mit der Funktion für die erwarteten Koten, c) = + p) = + β, 3) könnte diee Modell bereit zur Optimierung der Sicherheitinvetition verwendet werden. Die it aber für einzelne Unternehmen hier nicht von Interee. Für augewählte Werte β ind olche Optima al Spezialfall an der linken Kante von Abbildung 5 unten) ablebar. 2.3 Interdependenz Der einfachte Fall, Interdependenz zu modellieren, beteht in der Annahme von zwei ymmetrichen a priori homogenen Unternehmen, die ihre Sicherheitinvetitionen und 1 elbt wählen. Die Annahme kontanter Security-Produktivität β in beiden Unternehmen lät ich mit einer Übertragung von Carr Argument [9] auf Sicherheittechnologie rechtfertigen. Demnach teht Sicherheittechnologie al Commodity zur Verfügung und dient nur in eltenen Fällen zur trategichen Differenzierung zwichen Unternehmen. Die Schadenwahrcheinlichkeit p i für Unternehmen i {, 1} ei gegeben al p i i, 1 i) = 1 1 β i )1 αβ 1 i ). 4) Diee Formulierung entpricht der Intuition, da ein Unternehmen nur dann keinen Schaden erleidet, wenn e weder elbt Opfer eine Sicherheitvorfall wird, noch ich ein Vorfall beim Partnerunternehmen fortpflanzt [17]. Parameter α [; 1] modelliert dabei den Grad der Interdependenz al Faktor de Unternehmenumfeld. Für α = keine Interdependenz) it Gl. 2) offenichtlich ein Spezialfall von Gl. 4). In Abbildung 2 it die eingang informell bechriebene Wechelwirkung bei moderater Interdependenz erichtlich α = ). Die chwarzen Kurven zeigen, da die Schadenwahrcheinlichkeit von Unternehmen für jede eigene Sicherheitinvetition > auch von der Sicherheitinvetition 1 von Unternehmen 1) abhängt. Die graue Kurve zeigt zum Vergleich, welche Schadenwahrcheinlichkeit vorliegt, wenn beide Unternehmen gleich viel in Sicherheit invetieren. Diee Annahme wird in Abbildung 3 beibehalten; tattdeen wird der Parameter α variiert. Man ieht, da die Schadenwahrcheinlichkeit bei kontanter Sicherheitinvetition = 1 > teigt, je höher die Interdependenz it. 2.4 Soziale Optimum Ein oziale Optimum liegt vor, wenn die Summe der erwarteten Koten beider Unternehmen minimal it, alo = arg min 2 c, ) 5) = arg min β )1 αβ ). 6) Die Subtitution der individuellen i durch ergibt ich dabei au der Symmetrieeigenchaft. Abbildung 4 zeigt die Zielfunktion de Minimierungproblem für augewählte Parameter. Analytich ergeben ich die Minima au der Bedingung erter Ordnung von Gl. 6) al ) 1+α) für α > owie ln = 1+α) 2 8αln 1 β) 4α lnβ) 7) = lnlnβ))ln 1 β) 8) für den Spezialfall α =.

5 ergibt ich direkt au der in Abb. 3 dargetellten Beziehung.) Koten Ec + c1) 2 β = 8 α = 1 α = 1 /2 α = 2.5 Nah-Gleichgewichte Die Betimmung ozialer Optima impliziert nicht, da diee in der Praxi tatächlich erreicht werden. Die it nur dann der Fall, wenn die einzelnen Akteure Anreize haben, ihre Sicherheitinvetition tatächlich auf da Niveau anzuheben. Zur Analye der Anreize die im Modell offenichtlich von den Handlungen de jeweil anderen Unternehmen abhängen bedarf e einer pieltheoretichen Betrachtung und der Suche nach Nah-Gleichgewichten. 1 Sicherheitinvetition = 1 Abbildung 4: Optimale Sicherheitinvetition durch Minimierung der erwarteten Koten beider Unternehmen β = 2, außer oberte Kurve) oziale Optimum 1/4 β = 8 β = 2 β = 1 β = 4 Interdependenz α Abbildung 5: Lage der ozialen Optima in Abhängigkeit von Interdependenz und Security-Produktivität Wenn die Interdependenz hoch it und die Security-Produktivität ehr gering, kann e paieren, da ein Minimum am unteren Rand de Wertebereich von entteht. Die grau gepunktete Kurven für β = 8) in den Abbildungen 4 und 5 veranchaulichen dieen Fall, auf den auch in Abchnitt 3.4 noch einmal eingegangen wird. Abbildung 5 zeigt die Lage der ozialen Optima al Funktion von α für augewählte Werte von β. E it erichtlich, da ich die ozial optimale Sicherheitinvetition nicht monoton zur Security-Produktivität verhält. Abgeehen von der oben angeprochenen Dikontinuität zeigt ich außerdem, da ich da oziale Optimum mit zunehmender Interdependenz nach oben verchiebt. Salopp interpretiert bedeutet die, da ich zunehmend vernetzende Wirtchaftyteme und Geellchaften ceteri paribu immer mehr in Sicherheit invetieren müen, um ihre Wohlfahrt zu maximieren. Dieer Befund it allerding nicht ehr überrachend und In dieem Beitrag betrachten wir auchließlich reine Strategien. Die bete Reaktion + von Unternehmen i auf ein gegebene 1 i it: + 1 i) = arg min + p, 1 i) 9) = arg min β ) 1 αβ 1 i ) 1) u. d. B.. Über die Nulltellen der erten Ableitung erhalten wir nach Umformung: { ) } ln lnβ)) + ln 1 αβ 1 i + 1 i) = up lnβ),. 11) Abbildung 6 zeigt die bete Reaktion al Funktion von 1 für unterchiedliche Interdependenz α =, 1 /2, 1)) und zwei Werte für die Security-Produktivität β = 2, 1)). Nah- Gleichgewichte ind al Fixpunkte der beten Reaktionen definiert und liegen damit auf den Schnittpunkten mit der Winkelhalbierenden. Zum Vergleich ind auch die ozialen Optima au Gl. 7) eingezeichnet. Je nach Parameterwahl kann e bi zu drei Nah-Gleichgewichte geben, und zwar bei lnβ) ± ) ln 2 β) 4αlnβ) 1,2 = ln ln 1 β) 12) 2 fall Dikriminante und Audruck poitiv ind) owie bei 3 = fall α > 1 ln 1 β). 13) Abbildung 6 it o gewählt, da alle intereanten Fälle mindeten in einer Kurve dargetellt ind. Eine Dikuion der einzelnen Fälle findet zuammen mit der inhaltlichen Interpretation in Abchnitt 3 tatt. Die formalen Bedingungen für da Auftreten der Gleichgewichtituationen ind in Anhang A.4 zuammengefat. 3. INTERPRETATION Wenn in unerem Modell Nah-Gleichgewichte exitieren, liegen diee für α > immer unter der de jeweiligen ozialen Optimum. Die repliziert da bekannte 2 Ergebni: Sicherheit al öffentliche Gut wird am freien Markt nicht im aureichenden Maße zur Verfügung getellt [24, 17]. Grund dafür ind Anreiz- und Koordinierungprobleme. Wenn Unternehmen i icher wüte, da Unternehmen 1 i kooperativ handelt und 1 i = invetiert, dann wäre e einfacher, 2 Dehalb ehen wir hier von einem formalen Bewei ab.

6 Security-Produktivität β A Abb. 6 recht) Abb. 6 link) Interdependenz α Abbildung 7: Falluntercheidung im Parameterraum ich ebenfall für die ozial optimale Handlungalternative zu entcheiden. Allerding it 1 i in der Praxi kaum beobachtbar iehe Abchnitt 1.2). Hier kommen Security-Audit in Spiel. Sie bieten die Möglichkeit, die eigene Sicherheitinvetition glaubhaft zu ignaliieren und damit andere von einer Kooperationbereitchaft zu überzeugen. Die allein kann Koordinationprobleme löen, wenn mehrere Gleichgewichte exitieren. Soll da Sicherheitniveau darüber hinau geteigert werden, um ich dem ozialen Optimum weiter anzunähern, dann ind zuätzliche Anreize notwendig. Diee können zum Beipiel in Form von Strafen oder Subventionen geetzt werden. 3 In beiden Fällen werden ebenfall Security-Audit benötigt, um Zahlungen an da tatächliche Sicherheitniveau zu koppeln. Unter welchen Bedingungen Security-Audit diee Funktionen erfüllen können, wird im Folgenden für alle Fälle im durch α und β aufgepannten Parameterraum erörtert und bezüglich dem dritten Parameter t interpretiert. Dazu it e innvoll, Abbildung 7 zu betrachten. Sie zeigt alle Regionen im α-β-parameterraum, in denen unterchiedliche Gleichgewichtituationen herrchen. Die Security-Produktivität wird dabei auf einer logarithmichen Skala dargetellt. Sech Rautenymbole markieren die Poitionen im Parameterraum, zu denen Abbildung 6 Kurven zeigt. 3.1 Region A: Nur gründliche Audit nützlich E exitiert genau ein Nah-Gleichgewicht iehe getrichelte Kurven in Abb. 6). Da die bete Reaktion + i auf Sicherheitinvetitionen 1 i unterhalb de Gleichgewicht von Gl. 12) immer größer it al 1 i, haben Unternehmen An- 3 Strafen und Subventionen können regulatoricher Natur ein, müen e aber nicht. Eine Tit-for-Tat-Strategie in einem Gefangenendilemma über mehrere Perioden enthält bpw. Strafen. Diee Strategie etzt aber vorau, da die Handlung in der Vorrunde zweifelfrei beobachtbar it. Dazu bedarf e in unerem Modell Security-Audit. C B D reize, mindeten 1 zu invetieren. Security-Audit mit geringem Schwellwert t 1) führen zu keiner zuätzlichen Verbeerung und ind damit wirkunglo. Gründliche Security-Audit mit Schwellwert t > 1 können dagegen zu einer Steigerung de Sicherheitniveau führen und verprechen Wohlfahrtgewinne olange t. Gründliche Security- Audit ind am wirkungvollten, wenn ie beide Unternehmen durchführen, da ont da jeweil andere Unternehmen keinen Anreiz hat, exakt auf da gleiche Niveau t nachzuziehen. Unilateral durchgeführte Security-Audit oberhalb de ozialen Optimum für α = ind niemal beer al unilaterale Security-Audit mit Schwellwert an dieem Punkt markiert durch den Stern in Abb. 6, der durch Überlagerung der Symbole und + für α = entteht). 3.2 Region B: Bai-Audit bewirken viel E exitieren drei Nah-Gleichgewichte, davon eine, in dem beide Unternehmen völlig auf Sicherheitinvetitionen verzichten iehe gepunktete Kurve in Abb. 6 recht). Security- Audit können in dieem Fall ihre maximale Wirkung bei der Löung de Koordinierungproblem entfalten. Jedoch mu dazu der Schwellwert t marginal über 2 liegen. It die der Fall, reicht ein unilaterale Audit, um beide Unternehmen in bete Gleichgewicht zu heben. Schwellwerte 2 < t 1 verbeern da Ergebni nicht weiter. Selbt da bete Gleichgewicht it immer chlechter al da oziale Optimum. Weitere Verbeerungen der Wohlfahrt ind mit gründlichen Audit t > 1 möglich; e gilt dann da in Abchnitt 3.1 Geagte. Für Audit t 2 entpricht die Situation der in Region C. 3.3 Region C: Alle Audit nützlich E exitiert genau ein Nah-Gleichgewicht, bei dem beide Unternehmen auf Sicherheitinvetitionen verzichten iehe gepunktete Kurve in Abb. 6 link). Da oziale Optimum it in dieem Fall am weiteten vom Gleichgewicht entfernt. Da kein Koordinierungproblem im engeren Sinne vorliegt, it die Wirkung von Security-Audit vergleichweie geringer al in Region B. Trotzdem können ie zu einer Steigerung de Sicherheitniveau führen, und zwar exakt bi auf da Niveau t, wenn beide Unternehmen Audit durchführen. Innerhalb de Abchnitt, wo die gepunkete Linie in Abbildung 6 horizontal verläuft, ind unilaterale Security-Audit wirkunglo, da ihr Signal verpufft. Wie auch in Region B ind unilaterale Security-Audit oberhalb de ozialen Optimum für α = niemal beer al unilaterale Security-Audit mit Schwellwert an dieem Punkt. 3.4 Region D: Alle Audit kontraproduktiv E exitiert genau ein Nah-Gleichgewicht, bei dem beide Unternehmen auf Sicherheitinvetitionen verzichten. Die it auch da oziale Optimum vgl. die graue Kurve in Abb. 4). Damit lohnt ich überhaupt keine Sicherheitinvetition; die Unternehmen ind chlicht nicht chützbar. Unternehmen würden freiwillig keine Security-Audit veranlaen und vorgechriebene Security-Audit zu Schwellwerten t > ind kontraproduktiv, indem ie zu Überinvetition führen und damit Wohlfahrt vernichten. Mögliche Auwege wären, entweder die Security-Produktivität durch beere Technologie zu teigern oder die Interdependenz zu verringern. Beide würde die Situation in Region C bewegen.

7 β=2 β=1 = 1 = 1 Sicherheitinvetition 1/4 α = α = 1 /2 α = 1 Sicherheitinvetition 1/4 α = α = 1 oziale Optimum Nah-Gleichgewicht Sicherheitinvetition 1 Sicherheitinvetition 1 Abbildung 6: Bete Reaktion von Unternehmen auf Sicherheitinvetition von Unternehmen 1; Nah- Gleichgewichte liegen auf den Schnittpunkten mit der Winkelhalbierenden graue Linie) 3.5 Linke Kante: Keine Audit In Abbildung 7 it nicht direkt erichtlich, da die linke Kante α = ) nicht zu Region A gehört, ondern einen Spezialfall dartellt. Wenn die Unternehmen nicht interdependent ind, optimiert jede für ich elbt. E gibt genau ein Nah-Gleichgewicht, da mit dem ozialen Optimum übereintimmt iehe durchgezogene Linie in Abb. 7). Freiwillig würde kein Unternehmen Security-Audit durchführen. Vorgechriebene Audit liefern keine handlungrelevanten Signale, wenn t < 1 = und ind kontraproduktiv, wenn t > 1 =. 4. VERWANDTE ARBEITEN Den Autoren ind keine Vorarbeiten bekannt, die die konkrete inhaltliche Fragetellung bearbeiten, ert recht nicht in Kombination mit der gewählten Methodik. Der für dieen Beitrag einchlägige Forchungtand lät ich alo grob untergliedern in Arbeiten, die ich inhaltlich mit Security- Audit und Zertifizierung aueinanderetzen, und Arbeiten, die verwandte analytiche Modelle verwenden, um andere Geichtpunkte unter der Berückichtigung von interdependenter Sicherheit zu beleuchten. Zur erten Kategorie gehört Anderon [3], der ich kritich zu Anreizen der Security-Auditoren äußert. Er bemerkt, da Herteller von zu zertifizierenden Produkten nach dem unkritichten Auditor uchen. Baye und Morgan [4] betrachten Zertifizierung al Qualitätmerkmal im E-Commerce. Sie unterlegen ihr analytiche Modell zur trategichen Preietzung im Wettbewerb zwichen zertifizierten und nicht zertifizierten Anbietern mit empirichen Daten. Ebenfall empirich arbeitet Edelman [11]. Er tellt fet, da gerade nicht vertrauenwürdige Marktteilnehmer vertärkt da TrutE- Zertifikat nachfragen und auch erhalten). Damit kehrt ich de facto da beabichtigte Signal al Güteiegel um. Während eine TrutE-Zertifizierung vollkommen freiwillig it, plädiert Rice [21] für obligatoriche Zertifizierung. Einen ähnlichen Vorchlag unterbreiten Paramewaran und Whinton [2], allerding für Intermediäre wie Service Provider. Interdependente Riiken werden nicht nur zur Analye von Security-Audit modelliert. Zur Literatur der zweiten Kategorie gehören Varian [24] owie Kunreuther und Heal [17], die ertmal IT-Sicherheit al öffentliche Gut formaliierten und damit den Begriff der Interdependenz prägten. Varian überträgt dazu drei Aggregierungfunktionen au der klaichen Literatur zu öffentlichen Gütern: weaket link, total effort, und bet hot. Groklag et al. [15] greifen diee Idee auf und erweitern ie chrittweie in einer Reihe von Arbeiten. Die Autoren modellieren dabei jeweil noch eine zweite Art von Sicherheitinvetition, die keine Externalität generiert und unterchiedlich hohe Koten veruracht. Die meiten Interdependenz-Modelle werden auf Möglichkeiten zur Internaliierung von Externalitäten unterucht. Die gechieht in verchiedenen Kontexten wie z. B. IT-Vericherung [19], Security-Outourcing mit [26] oder ohne [22] Riikotranfer, oder der Regulierung von Intermediären [16]. Uner Modell untercheidet ich von anderen Modellen für interdependente Riiken durch die Kombination von tetigen Sichererheitinvetition mit abnehmender Grenzwirkamkeit und einem variablen Grad der Interdependenz. In der Literatur werden oft nur dikrete Fälle α {; 1}) bzw. dikrete Aktionen {; 1}) betrachtet. Dafür it uner Modell auf zwei Unternehmen bechränkt, während viele Autoren ihre Löung in gechloener Form auf n > 2 Agenten verallgemeinern können iehe dazu auch Abchnitt 5.4). Da in Abchnitt 2.2 verwendete Gordon Loeb-Modell [14] hat zu einer Vielzahl an nachfolgenden Arbeiten geführt [5]. Grob kann man untercheiden zwichen einem betriebwirtchaftlich orientierten Strang, deen Autoren ich mit der Übertragung von au der Invetitionrechnung bekannten Faktoren wie Dikontierung und fikaler Effekte befaen z. B. [7, 12]), und einem eher ingenieurwienchaftlichem Strang. Letzterer verucht, die Modelle an die Beonderhei-

8 ten von Sicherheitinvetitionen anzupaen, z. B. durch Berückichtigung von pro-aktiven und reaktiven Verteidigungtrategien oder durch Formulierung pezificher Angreifermodelle zur Berechnung der Schadenwahrcheinlichkeit [6]. 5. DISKUSSION Kein Drei-Parameter-Modell kann alle Apekte der Realität abbilden. Trotzdem laen ich au dem Zuammenpiel von Security-Produktivität, Interdependenz, und Gründlichkeit de Security-Audit neue intereante Schlufolgerungen ableiten, deren Mechanik zumindet qualitativ auf Situationen in der Praxi übertragbar it. 5.1 Techniche Schlufolgerungen Region A deckt weit mehr al die Hälfte de Parameterraum ab, inbeondere alle Situationen mit geringer oder moderater Interdependenz α < 1 /2. Selbt wenn e in der Praxi kaum möglich it, die exakten Parameter zu betimmen, können daher Schlufolgerungen für Region A al Daumenregeln empfohlen werden. Hier und in anderen Regionen zeigt ich, da die Überprüfung und Zertifizierung von Sicherheittandard auf kleintem gemeinamen Nenner in vielen Fällen wirkunglo it. Ingenieure, die Audit-Verfahren und dazugehörige Werkzeuge entwickeln, ollten daher vor allem ein Augenmerk auf die zweifelfreie Fettellung von hohen und höchten Sicherheitniveau legen. Weiterhin folgt au unerer Analye, da der geeignete Schwellwert von Audit tark von der Situation abhängt. Für die Praxi wäre e dehalb wünchenwert, wenn Security-Audit in einer Art Baukatenverfahren maßgechneidert an die Situation angepat werden könnten. Auch die bedarf entprechender technicher Vorauetzungen, owohl bei der Kontruktion der zu überprüfenden Syteme al auch beim Entwurf der Audit-Verfahren. Nicht zuletzt ollten techniche Maßnahmen, die die Parameter α und β beeinfluen z. B. Wechel der Architektur, Sicherheittechnologie oder Vernetzung), immer auch mit Hinblick auf die Verfügbarkeit dann geeigneter Security-Audit beurteilt werden. 5.2 Schlufolgerungen für Management und Regulierer Interdependente Riiken entwickeln eine beondere, nichttriviale Mechanik, die verhindert, da individuell rationale Riikomanagement auch ozial wohlfahrtmaximierend it. Ein erter wichtiger Schritt beteht darin, Managern und Regulierern diee Mechanik zu vermitteln. Nur o können ie ihre Entcheidungen anpaen und bpw. davon abehen, blind Security-Audit zu beauftragen oder von Partnern zu verlangen). Unere Analye hat gezeigt, da chlecht auf die Situation abgetimmte Audit ineffizient oder betenfall wirkunglo ein können. So it bpw. ein freiwillig durchgeführter reiner Grundchutz-Tet zur Zertifizierung, da ein Minimum an Sicherheitmaßnahmen vorhanden it > ), in den meiten Fällen überflüig. Sehr wirkungvoll ind dagegen Audit, wenn ie wie in Region B, iehe Ab. 3.2) trotz relativ niedrigem Aufwand und damit vermutlich zu geringen Koten ein Gleichgewicht auf einem deutlich höheren Sicherheitniveau tabiliieren. Eine weitere Erkenntni it, da ehr gründliche Security-Audit, die ein hohe Sicherheitniveau betätigen, nur in gegeneitiger Abprache mit den Partnerunternehmen durchgeführt werden ollten. Nur o können Trittbrettfahrer effektiv verhindert werden. Regulierer ollten genau analyieren, in welchen Situationen ie verbindliche Security-Audit verlangen und wie gründlich die Audit durchzuführen ind. Inbeondere ind vorgechriebene Security-Audit dann überflüig, wenn Unternehmen auch elbt einen Anreiz hätten, entprechende Audit durchzuführen. E ercheint elbtvertändlich, da keine Audit vorgechrieben werden ollten, die keinen Nutzen tiften. Um die zu vermeiden, könnte e innvoll ein, Security-Audit nicht pauchal, ondern abhängig von unternehmen- und umfeldpezifichen Faktoren zu verordnen. Wenn diee Kriterien tranparent ind, haben Marktteilnehmer dann die Wahl, bpw. ihre Interdependenz zu verringern oder ich verchärften Security-Audit zu unterziehen. Eine Herauforderung für die Entcheidunguntertützung bleibt die Betimmung der relevanten Parameter in der Praxi. Weil hierzu vergleichbare und teilweie enible Daten von vielen Marktteilnehmern benötigt werden, it diee Aufgabe vermutlich prädetiniert für hoheitliche Regulierer. 5.3 Alternativen Al alternative Mechanimen zur Internaliierung der Externalitäten von interdependenten Riiken kommen auch Reputation und Haftungregelungen infrage. Reputation it vor allem dann geeignet, wenn die Schäden durch Sicherheitvorfälle nicht katatrophal ind owie alle Marktakteure eindeutig identifizierbar ind und einen langen Zeithorizont haben. Löungen de Koordinierungproblem ergeben ich dann durch eine Erweiterung der pieltheoretichen Analye auf mehrere Perioden [8]. Trotzdem bleiben die Schwierigkeiten, a) Reputationignale zu erheben die impliziert, von indeterminitich eintretenden Schäden ex pot auf da Sicherheitniveau zu chließen owie b) die Verteilung der Signale am Markt zu organiieren. Techniche Reputationyteme, die die Signaliierung zweifello vereinfachen owie ytematicher und effizienter machen, geben elbt Anla für Sicherheitbedenken [1]. Haftungregelungen ind zwar im IT-Sektor politich umtritten, tellen aber theoretich eine Möglichkeit dar, Externalitäten volltändig zu internaliieren [2]. Die funktioniert allerding nur, wenn nach Sicherheitvorfällen der Schaden hinreichend gut quantifiziert werden kann und foreniche Methoden zur Verfügung tehen, um die Schadenurache zweifelfrei zu betimmen. Nur dann kann die verantwortliche Partei zur Rechenchaft gezogen werden. Haftungregelungen mit definierten Strafen um die Quantifizierung zu vermeiden) mögen im Einzelfall funktionieren z. B. [2, 16] zur Regulierung von ISP), allerding it den Autoren noch keine allgemeine und ytematiche Modellierung für den Bereich IT-Sicherheit bekannt. 5.4 Aublick Da hier verwendete Modell war bewut einfach gehalten, um die Aufmerkamkeit auf deen Kernauagen zu konzentrieren. Folgende Erweiterungen ind vortellbar und auichtreich. Zunächt könnten die Unternehmen aymmetrich modelliert werden, um Marktmacht in Lieferketten abzubilden. Im Extremfall degeneriert dadurch da piel-

9 theoretiche Modell zu einem Principal Agent-Modell. Ein naheliegender Schritt it auch die explizite Modellierung von Audit-Koten, um diee dem Nutzen von Security-Audit gegenüberzutellen. Solche Modelle könnten auch von Anbietern von Security-Audit zur Preietzung verwendet werden. Außerdem könnte man damit die Frage unteruchen, ob Security-Audit ubventioniert werden ollten, da ie der Bereittellung eine öffentlichen Gute dienen. Weiterhin könnten Unteruchungen, die da Ergebni de Security-Audit probabilitich modellieren, die Robutheit der Schlufolgerungen gegenüber uncharfen oder fehlerbehafteten Audit überprüfen. Die Verallgemeinerung unere Modell auf mehr al zwei Unternehmen führt zu Polynomen n-ter Ordnung in den Audrücken für da oziale Optimum und die Gleichgewichte n ei die Anzahl der Unternehmen). Hier bieten ich numeriche oder approximative Löungen an. Nicht zuletzt it zu überlegen, welche Betandteile de Modell und welche einer Schlufolgerungen auf allgemeine Riikomanagement-Standard und deren Zertifizierung übertragbar ind. Die könnte angeicht der anhaltenden Dikuion um ISO 31 ehr relevant und aufchlureich ein. Dankagung Diee Arbeit enttand während eine DAAD-geförderten Aulandaufenthalt am International Computer Science Intitute ICSI) in Berkeley, USA. Diana Böhme, Lar Greiving und Sacha Hunold haben den Beitrag Korrektur geleen. 6. LITERATUR [1] G. A. Akerlof. The market for lemon : Quality uncertainty and the market mechanim. The Quarterly Journal of Economic, 843):488 5, 197. [2] R. Anderon, R. Böhme, R. Clayton, and T. Moore. Security Economic and the Internal Market. Study commiioned by ENISA, 28. [3] R. J. Anderon. Why information ecurity i hard An economic perpective, 21. [4] M. R. Baye and J. Morgan. Red queen pricing effect in e-retail market. Working Paper, 23. [5] R. Böhme. Security metric and ecurity invetment model. In I. Echizen, N. Kunihiro, and R. Saaki, editor, Advance in Information and Computer Security Proc. of IWSEC), LNCS 6434, page 1 24, Berlin Heidelberg, 21. Springer-Verlag. [6] R. Böhme and T. W. Moore. The iterated weaket link. IEEE Security & Privacy, 81):53 55, 21. [7] J. Brocke, H. Grob, C. Buddendick, and G. Strauch. Return on ecurity invetment. Toward a methodological foundation of meaurement ytem. In Proc. of AMCIS, 27. [8] L. M. B. Cabral. The economic of trut and reputation: A primer. Mimeo, 25. [9] N. G. Carr. IT doen t matter. Harvard Buine Review, 815):41 49, 23. [1] E. Carrara and G. Hogben, editor. Reputation-baed Sytem: A Security Analyi. ENISA, 27. [11] B. Edelman. Advere election in online trut certification. In Workhop on the Economic of Information Security WEIS), Univerity of Cambridge, UK, 26. [12] U. Fait, O. Prokein, and N. Wegmann. Ein Modell zur dynamichen Invetitionrechnung von IT-Sicherheitmaßnahmen. Zeitchrift für Betriebwirtchaftlehre, 775): , 27. [13] L. A. Gordon and M. P. Loeb. The economic of information ecurity invetment. ACM Tran. on Information and Sytem Security, 54): , 22. [14] L. A. Gordon, M. P. Loeb, and W. Lucyhyn. Information ecurity expenditure and real option: A wait-and-ee approach. Computer Security Journal, 142):1 7, 23. [15] J. Groklag, N. Chritin, and J. Chuang. Secure or inure? A game-theoretic analyi of information ecurity game. In Proceeding of the International Conference on World Wide Web WWW), page , Beijing, China, 28. ACM Pre. [16] J. Groklag, S. Radoavac, A. A. Cárdena, and J. Chuang. Nudge: Intermediarie role in interdependent network ecurity. In A. Acquiti, S. W. Smith, and A.-R. Sadeghi, editor, Trut and Trutworthy Computing TRUST 21), LNCS 611, page , Berlin Heidelberg, 21. Springer-Verlag. [17] H. Kunreuther and G. Heal. Interdependent ecurity. Journal of Rik and Uncertainty, 262-3):231 49, March May 23. [18] D. Molnar and S. Schechter. Self hoting v. cloud hoting: Accounting for the ecurity impact of hoting in the cloud. In Workhop on the Economic of Information Security WEIS), Harvard Univerity, Cambridge, MA, 21. [19] H. Ogut, N. Menon, and S. Raghunathan. Cyber inurance and it ecurity invetment: Impact of interdependent rik. In Workhop on the Economic of Information Security WEIS), Harvard Univerity, Cambridge, MA, 25. [2] M. Paramewaran and A. B. Whinton. Incentive mechanim for internet ecurity. In H. R. Rao and S. Upadhyaya, editor, Handbook in Information Sytem, volume 4, page Emerald, 29. [21] D. Rice. Geekonomic The Real Cot of Inecure Software. Addion-Weley, New York, 27. [22] B. R. Rowe. Will outourcing IT ecurity lead to a higher ocial level of ecurity? In Workhop on the Economic of Information Security WEIS), Carnegie Mellon Univerity, Pittburgh, PA, 27. [23] B. Schneier. Hacking the buine climate for network ecurity. IEEE Computer, page 87 89, April 24. [24] H. R. Varian. Sytem reliability and free riding. In Workhop on the Economic of Information Security WEIS), Univerity of California, Berkeley, 22. [25] S. Winkler and C. Prochinger. Collaborative penetration teting. In Buine Service: Konzepte, Technologien, Anwendungen 9. Internationale Tagung Wirtchaftinformatik), volume 1, page , 29. [26] X. Zhao, L. Xue, and A. B. Whinton. Managing interdependent information ecurity rik: A tudy of cyberinurance, managed ecurity ervice and rik pooling. In Proc. of ICIS, 29.

10 ANHANG A. BEWEISSKIZZEN A.1 Herleitung de ozialen Optimum Anatz au Gl. 6): = arg min β )1 αβ ) Nulltelle der erten Ableitung nach : 1 = lnβ) 1 αβ ) β + αlnβ) 1 β ) β 1 = lnβ)β + αlnβ)β 2αlnβ)β 2 1 = 1 + α) lnβ)β 2αlnβ)β 2 1. Fall: α = 1 = lnβ)β = lnlnβ))ln 1 β) Dieer Audruck entpricht Gl. 8). 2. Fall: α >. Wir erhalten die Nulltelle für da Minimum durch Subtitution u = β, Löen der quadratichen Gleichung und anchließender Reubtitution: = ln 1 + α) 1 + α) 2 8αln 1 β) ln 1 β) 4α Dieer Audruck entpricht Gl. 7). A.2 Herleitung der beten Reaktion Anatz au Gl. 1): + 1 i) = arg min β ) 1 αβ 1 i ) u. d. B. Nulltelle der erten Ableitung nach : = 1 lnβ)β + 1 αβ 1 i ) 1 = lnβ)β + 1 αβ 1 i ) β + = lnβ) 1 αβ 1 i ) + lnβ) = ln lnβ)) + ln 1 αβ 1 i ) Umtellen und Berückichtigung der Nebenbedingung: { ) } ln lnβ)) + ln 1 αβ 1 i + = up lnβ) Dieer Audruck entpricht Gl. 11)., A.3 Herleitung der Nah-Gleichgewichte Fixpunkte der beten Reaktion = + ) ohne Berückichtung der Nebenbedingung: = ln lnβ)) + ln 1 αβ ) lnβ) lnβ) = ln lnβ)) + ln 1 αβ ) lnβ ) = ln lnβ)) + ln 1 αβ ) lnβ ) = ln lnβ) 1 αβ )) ) lnβ ) = ln lnβ) αβ lnβ) β = lnβ) αβ lnβ) β lnβ) = αβ lnβ) β 2 lnβ)β = αlnβ) β 2 lnβ)β + αlnβ) = Wir erhalten die Nulltelle für da Minimum durch Subtitution u = β, Löen der quadratichen Gleichung und anchließender Reubtitution: 1,2 = ln lnβ) ± ln 2 β) 4αlnβ) 2 Dieer Audruck entpricht Gl. 12). ) ln 1 β) Fixpunkte ind Nah-Gleichgewichte wenn ie die Nebenbedingung > erfüllen. Aufgrund der Nebenbedingung in Gl. 1) liegt ein zuätzliche Nah-Gleichgewicht bei 3 = fall + ) = : ln lnβ)) + ln 1 α) lnβ) 1 lnβ) 1 α) α 1 ln 1 β) Dieer Audruck entpricht Gl. 13). A.4 Formale Bedingungen der Gleichgewichte ohne Bewei) Grenze zwichen Region A und B Anatz: Den kleineren Fixpunkt au Gl. 12) mit Null gleichetzen, α = 1 ln 1 β). Grenze zwichen Region B und C Anatz: Determinante in Gl. 12) mit Null gleichetzen, β = e 4α. Grenze zwichen Region C und D Anatz: c ) mit c) gleichetzen au Gl. 3) und 7)), 1 β ) 1 αβ ) =.