Eine Milchmädchenrechnung mit AES-Verschlüsselung

Eine Artikelüberschrift bei Heise ließ mich heute beim Frühstück aufmerken. Da hieß es nämlich: „Kryptographie: AES hat Wirtschaft 250 Milliarden Dollar gebracht„. Da kommt natürlich sofort die Frage auf, wie man denn den wirtschaftlichen Mehrwert eines kryptografischen Verfahrens berechnen will.

Mein Verdacht: Eigenlob der Amis vom NIST

Schon die Tatsache, dass nicht etwa eine Hochschule oder freie Wirtschaftsberater, sondern das National Institute of Standards and Technology (NIST), das das symmetrische Verschlüsselungsverfahren mit Hilfe der weltweiten Krypto-Szene auf Basis des in Belgien ausgearbeiteten Algorithmus Rijndael entwickelt hat, lässt hier weniger fundierte wirtschaftliche Analyse, sondern eher ein Eigenlob der Macher erwarten.

Eine auf vier Stellen genaue „konservative Schätzung“…

Um das zu überprüfen, sichtete ich die vor drei Tagen veröffentlichte englische Quelle beim NIST, wo die Antwort auf meine Frage sofort ins Auge fällt. Da liest man zum Beispiel:

„According to the new study, NIST’s investment in AES has been repaid many times over, with economy-wide benefits exceeding its costs. The study’s most conservative estimate shows a 29-to-1 benefit-to-cost ratio for the AES program. The estimated benefit-to-cost ratio for the whole economy is 1,976-to-1.“

Also eine „extrem konservative Schätzung“ der Amis, mit der sie sich dann das Kosten-Nutzen-Verhältnis auf vier Stellen genau! mit 1,976:1 zusammengeschätzt und so dann die 250 Milliarden Dollar aus der Überschrift in die Tasche gelogen haben – unseriöser geht es nun wirklich kaum noch!

Der Bericht des NIST ist reines Marketing

Schon wegen der Entwicklung mit Hilfe der weltweiten Krypto-Community ist die Berechnung der Kosten nicht wirklich möglich. Noch schlimmer ist es aber beim Nutzen, den man doch überhaupt nicht berechnen kann – und schon gar nicht in einem sensiblen Bereich, zu dem man von Unternehmen kaum ehrliche Angaben zu Schadensfällen erwarten darf.

Selbst wenn hier der Nutzen als durch AES-Verschlüsselung verhinderte Schäden auf die Rechnung gesetzt wird, muss man sich ja fragen, wer denn den Schaden durch einen imaginären (weil nicht wirklich stattgefundenen) Angriff beziffern kann – denn das ist halt einfach nicht möglich…

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Kommentar, Programmierung, Tipps und Tricks, Wirtschaft abgelegt und mit , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.