Schluss mit der Security-Katastrophe: Reden wir wieder normal ĂĽber Sicherheit!
Ständig Hiobsbotschaften, schlimmste IT-Security überall! Doch das verzerrt den Blick auf den echten Stand der Dinge. Schluss damit, meint Dennis-Kenji Kipker.
(Bild: iX)
- Prof. Dennis-Kenji Kipker
Cyber-Hiobsbotschaften, so weit das Auge reicht: Die Stuttgarter Nachrichten treffen es mit ihrem aktuellen Kommentar zur neuen Bitkom-Cybersecurity-Studie schon ganz gut: "Alte Geschichte im neuen Gewand". Das, was momentan auf allen Medienkanälen großflächig kommuniziert wird, als wäre es eine bahnbrechende Erkenntnis, ist in Wahrheit nichts anderes als alter Wein in neuen Schläuchen. Denn jede Studie führt uns jeden Tag von Neuem vor Augen, wie vulnerabel Staat, Wirtschaft und Gesellschaft sind, wie exorbitant die eingetretenen wirtschaftlichen Schäden sein sollen und wie verunsichert die Menschen durch Cyberangriffe werden.
Jede Statistik ist eine Frage der Auslegung
Dabei sind die abstrakten Zahlen für sich genommen durchaus erst einmal beeindruckend: "7 von 10 Unternehmen fühlen sich stark durch analoge und digitale Angriffe bedroht", heißt es beim Bitkom. 91 Prozent der deutschen Unternehmen waren in den letzten zwölf Monaten betroffen oder vermutlich betroffen von Diebstahl, Industriespionage oder Sabotage, und der Schaden im Zusammenhang mit Cybervorfällen und Sabotage ist auf massive 266,6 Milliarden Euro in einem Jahr angestiegen. Doch natürlich ist die gefühlte Bedrohungslage etwas anderes als die tatsächliche – gerade wo gemeinhin bekannt ist, dass in Unternehmensleitungen oft das vertiefte fachliche Know-how für Cybersicherheit fehlt und Unwissenheit Ängste schürt. Und wenn festgestellt wird, dass 91 Prozent der Unternehmen im vergangenen Jahr von Cyberangriffen betroffen waren, so waren es laut Bitkom-Studie sogar 100 Prozent im Jahr 2021 und 89 Prozent im Jahr 2016. Selbstredend sprechen wir bei den Cyberbedrohungen jedes Jahr wieder von neuen "Rekordschäden": Wo es dieses Jahr 266,6 Milliarden Euro sind, waren es 2022 etwa 202,7 Milliarden Euro, 2019 rund 102,9 Milliarden Euro und 2016 etwa 55 Milliarden Euro per anno. Natürlich hat sich die Cyberbedrohungslage deutlich verschärft, aber es wurde in den vergangenen Jahren auch massiv digitalisiert und vernetzt, womit zugleich neue Angriffsvektoren entstanden sind und die Abhängigkeit von Wirtschaft und Gesellschaft von vernetzter Technologie erheblich zugenommen hat – kehrseitig bei entsprechendem Schadenspotenzial.
Manchmal, so könnte man meinen, ginge es genau darum und um nichts anderes: Negative Cyberbotschaften sind die besten Cyberbotschaften, auf die alle nur gewartet haben. Wie langweilig wäre es denn, wenn wir sagen könnten, dass wir bei der Cybersicherheit in bestimmten Bereichen besser als noch vor einigen Jahren aufgestellt sind und vielleicht sogar etwas erreicht haben? Damit stellt sich aber auch die Frage: Wie groß ist der Erkenntnisgewinn solcherlei Studien in einem Zeitalter allgegenwärtiger Cyberbedrohungen noch? Suggerieren sie doch eine scheinbare Ohnmacht vor Cyberangriffen, wenn es uns trotz all der Anstrengungen und Investitionen der letzten Jahre noch so wenig gelungen sein soll, die Cybersicherheit wirklich nachhaltig zu verbessern – ganz im Gegenteil: Sich trotz aller Bemühungen die nationale Cybersicherheitslage sogar noch deutlich verschlechtert hat und weiterhin zu verschlechtern scheint, ohne dass jemals ein Ausweg erkennbar wäre. Bestes Beispiel für diese zunehmende Art von sensationsgetriebener Gleichgültigkeit gegenüber immer neuen "Rekordbedrohungen" sind die mittlerweile in aller Regelmäßigkeit wiederkehrenden massiven globalen Millionen-Databreaches, die einen ganzen Tag lang prominent durch die Medien schwirren, nur um am nächsten Tag im Sediment neuer Hiobsbotschaften wieder vergessen zu werden.
Geht es uns ĂĽberhaupt noch um Cybersicherheit?
Und mit genau dieser Feststellung drängt sich zugleich eine bittere Erkenntnis auf: Dass es denjenigen, die sich dieser Studien regelmäßig als Kommunikationsinstrument bedienen und manche derjenigen, die so ausführlich über sie berichten, eigentlich gar nicht so sehr auf die Cybersicherheit ankommt, sondern viel lieber doch die Cyberunsicherheit gesehen wird – denn schlechte Nachrichten lassen sich eben einfach besser verkaufen als gute Nachrichten. Und wer doch richtig berichtet oder einordnet, muss bald erkennen, dass die positiven Beispiele neben den schlimmen Zahlen untergehen. Und das ist sehr schade, denn ausgerechnet die Erfolgsnachrichten, die es doch immer mal wieder auch in der Cybersicherheit gibt, wenn zum Beispiel von einem Unternehmen oder einer Behörde infolge guter Vorbereitung ein Ransomware-Angriff erfolgreich abgewehrt wird, werden dadurch zu oft entwertet und die Cybersecurity wird hierdurch auf eine scheinbar aussichtslose Flucht vor einem übermächtigen Gegner reduziert.
Cyberunsicherheit wird dadurch quasi zur selbsterfüllenden Prophezeiung: Weil wir sowieso erwarten, dass es jedes Jahr schlechter wird, wird auch unsere Stimmung immer pessimistischer. Manch einer mag nun argumentieren, dass wir derlei Zahlen unbedingt brauchen, um die Wirtschaft nun endlich zum Handeln zu animieren und Investitionen in die Cybersicherheit zu tätigen. Das aber ist ein Trugschluss, denn es wird bereits seit Jahren über immer wiederkehrende "Rekordschäden" berichtet, ohne dass sich den Statistiken nach irgendetwas zum Positiven verändert hätte – und daran wird auch ein neuer prognostischer "Rekordschaden" für das Jahr 2025 nichts ändern.
Cybersicherheit ist Resilienz, und das ist etwas Positives!
Was nämlich zunehmend in Vergessenheit gerät: Cybersicherheit ist nichts Negatives, sondern etwas Positives, weil sie Unternehmen die Chance gibt, innovativer und zugleich widerstandsfähiger zu werden, indem sie ihre IT-Infrastruktur besser kennenlernen. Wenn wir jedoch gefühlt fast ausschließlich nur noch über Cyberangriffe und ihre immer neuen "Rekordfolgen" berichten, um das mediale Feuer der Cyber-Apokalypse stetig weiter zu schüren, geht genau dieser Glaube an den technischen Fortschritt und die Lösungsmöglichkeit von Problemen verloren. Wir werden zunehmend zu passiven Getriebenen einer Entwicklung degradiert, die wir scheinbar nicht und noch nie aufhalten konnten. Sein Unternehmen vor Cyberangriffen zu schützen, ist jedoch kein aussichtsloses Unterfangen, sondern eine realistische Möglichkeit – und es gibt mehr als genügend positive Beispiele dafür. Deshalb an dieser Stelle der Appell: Lasst uns endlich ein Umdenken darüber wagen, wie wir über Cybersicherheit sprechen wollen! Anstelle uns jeden Tag von Neuem wieder mit genau denselben Hiobsbotschaften zu überschwemmen, die wir eigentlich alle nicht mehr hören und sehen können, sollten wir Betroffene und uns selbst doch vielmehr darin bestärken, durch engagiertes und proaktives Handeln durchaus etwas leisten zu können, um der scheinbar allgegenwärtigen Cyberbedrohungslage Herr zu werden.
(fo)