»Wir brauchen Security by Design – und zwar ab heute«

Peter Wirnsperger › Nicht gut genug. Die Digitalisierung kommt bei vielen nur zeitverzögert an – und so stehen auch die damit einhergehenden Risiken und die Sicherheit, die man bräuchte, eher in der zweiten Reihe. Aus meiner Sicht besteht die drängendste Aufgabe zunächst aber darin, überhaupt zu digitalisieren, also Lösungsansätze zu finden, mit denen das analoge Leben und Arbeiten digital transformiert werden kann. Die Chancen, die sich dabei bieten, sollten im Vordergrund stehen und nicht durch Bedenken im Keim erstickt werden. Der Wunsch nach Sicherheit darf den Aufbruch ins digitale Zeitalter nicht behindern, mitgedacht werden sollte er aber schon. Wenn das heute oft nicht geschieht, liegt das auch daran, dass ein Sicherheitsbedürfnis immer auf dem Erfahrungsschatz beruht. Wessen Konten noch nie gehackt oder Daten noch nie gestohlen wurden, der hält die Chance, Opfer einer Cyberattacke zu werden, für eher klein. Das ist ein Irrtum. Ein Risiko existiert, auch wenn man persönlich noch nicht betroffen war. Deshalb haben wir diese Szenarien entwickelt, um unseren Kunden das „Was-wäre-wenn?“ zu zeigen.

Wirnsperger › Gerade bei der digitalen Kommunikation waren zumindest wir in Europa eher zurückhaltend, schließlich war es die Pandemie, die uns einen Schubs gegeben hat. Die Techniken der Videokonferenzen waren seit Jahrzehnten erprobt, durchgesetzt hatten sie sich aber nicht. Das ist jetzt anders. Bei vielen unserer Kunden müssen wir heute nicht mehr direkt vor Ort präsent sein. Selbst im öffentlichen Bereich, wo Angebotspräsentationen noch sehr traditionell gehalten wurden, geht plötzlich alles digital. Ob das Bestand hat, muss sich zwar erst noch erweisen. Da die Pandemie aber nicht vom einen auf den anderen Tag verschwinden wird, könnte uns diese digitale Art der Kommunikation wohl noch länger erhalten bleiben oder sich endgültig so etablieren. Das bietet auch Cyberrisiken mehr Raum. Früher standen der digitalen Kommunikation in sogenannten unsicheren Räumen, also zu Hause oder am Flughafen, größte Bedenken entgegen. Jetzt mussten wir kurzfristig die Fahrtrichtung ändern, Gedanken zur Cybersecurity und zur Absicherung der Privacy machen wir uns aber erst im Nachhinein.

Wirnsperger › Was das „Star Trek“-Universum auszeichnet ist ein solider Grundkonsens darüber, wie die Mitglieder der Gesellschaft miteinander umgehen. Auf Cyberrisiken übersetzt, hieße das: Politik wie auch Unternehmen kennen die Gefahren und kümmern sich auf ihre Weise entsprechend darum. Cyber steht auf dem Lehrplan der Universitäten, Unternehmen etablieren Compliance-Programme und betten das Thema in die Entwicklung von Software, Produkten und IT-Infrastrukturen ein. Es ist alles in bester Ordnung, und sollte einmal doch ein größeres Problem auftreten, kommt – im übertragenen Sinne – Jean-Luc Picard, Kapitän des Raumschiffs Enterprise, „to the rescue“. In dieser idealen Welt ist Cyber also in alle relevanten Bereiche integriert mit verantwortungsvollen Unternehmen und einem Staat, der seine regulatorische Rolle ausfüllt, ohne gleich diktatorisch für Sicherheit zu sorgen. Nachteilig an diesem Szenario ist, dass bei zu viel Einigkeit immer die Gefahr besteht, „eingelullt“ zu werden. Man genießt den Komfort und wiegt sich in Sicherheit, und plötzlich taucht jemand auf, der die allgemeine Harmonie ausnutzt. Denn Bösewichte gibt es auch in der schönsten Utopie – sogar bei Star Trek.

Wirnsperger › Auch hier haben wir noch eine gute Balance zwischen den staatlichen und privatwirtschaftlichen Akteuren, aber es herrscht zu viel Patchwork. Im Gegensatz zum „Star Trek“-Szenario, in dem alles übergreifend funktioniert, existieren hier zu viele technische Standards nebeneinander her. Jeder macht, was er will, und eine Integration auf operativer Ebene findet nicht statt. Ein aktuelles Beispiel für das Gegenteil ist der Bankensektor, wo wir heute einen hohen Harmonisierungsgrad erreicht haben und ihn meist still genießen. Im öffentlichen Sektor hingegen haben wir es auf Länderebene noch zu oft mit Alleingängen zu tun. Das „Pandora’s Box“-Szenario wird von ganz einfachen Dingen geprägt. Zwar werden beispielsweise ständig Fortschritte bei der Cybersecurity gemacht, die Unternehmen kommen aber mit dem Aktualisieren ihrer technischen Ausstattung gar nicht hinterher und sind deshalb angreifbar. Für die IT-Verantwortlichen bedeutet das, in einer ständigen Defensivspirale gefangen zu sein, anstatt konstruktiv nach vorne planen zu können. Es existiert zwar ein Grundniveau an Sicherheit, dennoch werden Angreifer immer einen Schritt voraus sein.

Wirnsperger › Hier ist die Balance of Power völlig aus dem Gleichgewicht geraten. Die Regierungen erfüllen ihre Aufgabe nicht, die Unternehmen schlagen sich komplett egoistisch durch. So wie im titelgebenden Film die Autos aus den unmöglichsten Ersatzteilen zusammengeschweißt herumfahren, so funktioniert auch hier die Sicherheit nur durch ein Höchstmaß an Improvisation. Um noch einmal zum Beispiel auf den Bankensektor zurückzugenommen: Gäbe es hier nicht die heute übliche Abstimmung – wir hören derzeit ja immer seltener von Banken-Hacks – , würde jede Bank ihre eigenen Maßstäbe an die Sicherheit stellen und dabei aufs eigene Überleben hoffen. Das „Mad Max“-Szenario ist das Gegenbeispiel zu regulierenden Behörden, die realistische Vorgaben machen, und Unternehmen, die diese nicht nur umsetzen, sondern auch aktiv an ihnen mitwirken. Jeder wird alleingelassen, und die Kosten für Sicherheit sind gewaltig. Am Ende ist nur der abgesichert, der es sich leisten kann. Das hat auch einen sehr negativen volkswirtschaftlichen Effekt, denn es fehlt die rechtliche Verbindlichkeit, die den globalen Handel heute funktionieren lässt. Es kann auch dazu führen, dass sich Teile der Gesellschaft aus der digitalen Welt zurückziehen.

Wirnsperger › Hier bestimmen einige wenige privatwirtschaftliche Großkonzerne die technologischen Standards – und eben nicht der Staat und seine regulatorischen Behörden. Die Regierungen können nichts anderes tun, als die vorgegebenen Standards so gut es geht zu integrieren. Das hat nicht etwa mit einer intendierten Kriminalität der Unternehmen zu tun, sondern liegt an einer Schwäche im Kräfteausgleich, die sich durch Versäumnisse auf beiden Seiten entwickelt hat. Das bedeutet aber auch, dass eine Sozialpartnerschaft zwischen Politik und Wirtschaft, wie wir sie beispielsweise in Österreich und Deutschland genießen, nicht mehr funktionieren würde. Der Vorteil dieses Szenarios läge zwar in hohen und gut funktionierenden Sicherheitsstandards. Ich habe allerdings Zweifel daran, ob alle dann einen in einer Demokratie wünschenswerten paritätischen Zugang hätten. Das Szenario ist dem Chaos und der Anarchie von Mad Max vorzuziehen, aber die gesellschaftliche Macht ginge eben nicht mehr von den demokratisch legitimierten Institutionen aus.

Wirnsperger › Solche Szenarien sind sehr hilfreich in Diskussionen, in denen sich die Diskutanten nur zu gerne in Details verlieren. Zeigen wir sie unseren Kunden, dann liegt für die meisten natürlich nah, der nächste Jean-Luc Picard sein zu wollen – allerdings mit mehr Haar (lacht). Um in Richtung dieses Wunschszenarios zu gelangen, müssen sie aber schon jetzt ihre Verantwortung wahrnehmen und sollten sich nicht auf andere verlassen, die sich ihrer Problemstellungen annehmen. Für einen Mittelständler bedeutet das, nicht auf erste behördliche Schritte und Maßnahmen zu warten, sondern initiativ zu prüfen, wie die eigenen Geschäftsmodelle risikobasiert in die Zukunft transferiert werden können. Kein Geschäftsmodell endet an der Haustür, sondern beinhaltet immer eine Supply Chain. Unternehmer müssen sich fragen, was beispielsweise die Käufer ihrer Werkzeugmaschinen damit herstellen: nur ein harmloses Stück Metall oder vielleicht doch etwas, mit dem auch Schaden angerichtet werden kann? Wird diese Eigenverantwortung nicht zum Standard, besteht das Risiko, in eines der schlechten Szenarien abzugleiten. Wir brauchen Security by Design – und zwar ab heute. Alles andere wäre fahrlässig. Dafür sollen die Szenarien als Gedankenanstoß dienen und die Meinungsbildung erleichtern.

Wirnsperger › Meine Wunschwelt ist natürlich das „Star Trek“-Szenario. Das ist es, was ich uns allen eigentlich wünsche und worauf wir hinarbeiten sollten. Dieses Ziel verfolgen wir auch durch unser Engagement in vielen Verbänden und Gremien, die sich mit Cybersecurity beschäftigen. Nur wenn wir das Sicherheitsniveau allgemein heben und allen einen gleichberechtigten Zugang zu den Mitteln der Digitalisierung geben, werden wir verhindern können, dass wir zukünftig möglicherweise auch Entwicklungen aus den anderen drei Szenarien erleben.