Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Umgang mit Unsicherheit im Cyberspace

1. Einführung

Der Cyberspace wurde als das komplexeste System bezeichnet, das die Menschheit je geschaffen hat. Seine rasante Entwicklung und die massive Nutzung haben zu einer Herausforderung geführt: Wir sind schnell „völlig abhängig von einem technologischen System geworden, das sowohl sehr störend ist als auch schlecht, wenn überhaupt, verstanden wird. Der globale Charakter des Cyberspace, die riesige Anzahl von Nutzern und Verbindungen und die rasante technologische Entwicklung tragen zu einem Gefühl der Unsicherheit bei, das den Cyberspace umgibt. Während Nationalstaaten, Organisationen und Endnutzer alle das enorme Potenzial sehen, das ein global vernetztes Netzwerk bietet, ist gleichzeitig klar geworden, dass dieser Raum eine Vielzahl von Risiken birgt, für die es keine einfachen Lösungen gibt.

In den letzten Jahrzehnten hat das Gefühl der Unsicherheit unter den Nationalstaaten, im privaten Sektor und in der Öffentlichkeit angesichts dreier miteinander verbundener und sich gegenseitig beeinflussender Trends zugenommen: die Globalisierung, die zunehmende Komplexität der Geopolitik und die wachsende Verflechtung durch den Einsatz digitaler Netzwerktechnologien. Globalisierung bezieht sich hier auf eine Reihe von sozialen Prozessen, die zu einer zunehmenden Globalität führen. Dies ist ein „sozialer Zustand, der durch die Existenz globaler wirtschaftlicher, politischer, kultureller und ökologischer Verbindungen und Ströme gekennzeichnet ist, die viele der derzeit bestehenden Grenzen und Abgrenzungen irrelevant machen. Schlüsselelemente des Globalisierungsbegriffs, die in der Literatur erwähnt werden, sind das Verschwinden der Grenzen, die Tatsache, dass die kapitalistische Wirtschaft zur globalen Norm geworden ist, und die zunehmenden kulturellen Ströme rund um den Globus. Während diese Entwicklungen große wirtschaftliche und politische Vorteile mit sich gebracht haben, werden sie auch als eine wichtige Quelle der Unsicherheit angesehen. Eine damit verbundene Entwicklung ist die zunehmende Instabilität in der Geopolitik. Seit dem Ende des Kalten Krieges haben wir den Niedergang traditioneller Machtblöcke in der internationalen Politik, opportunistischere und kurzlebigere Partnerschaften zwischen Nationalstaaten und eine schnellere Dynamik bei den Bündnissen, die Nationalstaaten mit anderen Nationalstaaten eingehen, erlebt. Diese Entwicklungen führen zu Spannungen auf dem internationalen Parkett. In den Worten von Robertson und White: „Das gegenwärtige internationale System befindet sich in einem Zustand großer und rätselhafter Veränderungen„. Der Aufstieg des Populismus und die zunehmende Polarisierung in den Ländern der Welt in jüngster Zeit passen zu diesem Phänomen. Ein letztes damit zusammenhängendes Phänomen ist der Aufstieg der digitalen Netzwerktechnologien in den letzten Jahrzehnten. Informations- und Kommunikationstechnologien wurden in Netzwerke eingebunden, die heute den ganzen Globus umspannen und den sofortigen Austausch von Informationen und Kommunikationsmitteln ermöglichen. Zusammen bilden diese Netzwerke ein Ökosystem von unglaublicher Komplexität, den sogenannten Cyberspace. Einerseits hat der Aufstieg digitaler vernetzter Technologien die Globalisierung gestärkt, andererseits kann die globale Ausbreitung des Cyberspace auch als eine Auswirkung der Globalisierung betrachtet werden. In den letzten Jahrzehnten hat sich der Cyberspace zu einem wichtigen Rückgrat der Wirtschaft rund um den Globus entwickelt und ist ein wesentlicher Bestandteil der täglichen Aktivitäten der Endnutzer.

Die Globalisierung, die zunehmende geopolitische Instabilität und das Aufkommen digitaler, vernetzter Technologien führen zusammengenommen zu mehr Unsicherheit für die internationale Gemeinschaft, für Nationalstaaten, für Organisationen und sogar für Einzelpersonen. Es ist daher nicht verwunderlich, dass diese verschiedenen Akteure versuchen, diese Ungewissheit zu „zähmen“, um Risiken, Unklarheiten und Unsicherheiten zu verringern. Dieser Artikel erörtert fünf gängige Strategien, die von verschiedenen Akteuren eingesetzt werden, um die Unsicherheit im Cyberspace zu verringern. Das Verständnis dieser Strategien ermöglicht es uns, die Vorzüge und Schwächen der einzelnen Strategien zu bewerten und einen Ansatz für die Auswahl bestimmter Strategien für bestimmte Herausforderungen im Cyberspace zu entwickeln. Die folgenden fünf allgemeinen Strategien werden unterschieden:

  • versuchen, die Ungewissheit zu verringern, indem sie durch Risikomanagement mehr Kontrolle erlangen;
  • Erhöhung der Anpassungsfähigkeit von Systemen, um Zwischenfällen zu widerstehen, durch den Begriff der Widerstandsfähigkeit;
  • Verringerung der Unsicherheit durch Steuerung oder Beeinflussung des Verhaltens der Akteure im Cyberspace durch Regulierung;
  • Aufhebung von Unsicherheiten durch Vertrauen; und
  • Unsicherheiten zu ignorieren, indem Sie sich entscheiden, nicht darauf zu reagieren.

In den nächsten Abschnitten werden die einzelnen Strategien näher erläutert.

2. Risikomanagement: Kontrolle der Unsicherheit

Risikomanagement ist das vorherrschende Paradigma im Umgang mit Risiken in unserer modernen Zeit. Frühe Formen des Risikomanagements entstanden Mitte des 20. Jahrhunderts als Antwort auf die Frage nach der Versicherbarkeit von Risiken. Danach wurde es zu einem festen Ansatz für die Kontrolle von Risiken in verschiedenen Bereichen, zum Beispiel im Finanzsektor und im Gesundheitswesen. In den letzten Jahrzehnten hat sich das Risikomanagement auch zu einer Schlüsselaktivität in Organisationen entwickelt, die versuchen, Risiken intern, aber auch in Bezug auf die Produkte oder Dienstleistungen, die sie ihren Kunden anbieten, zu reduzieren. Am bekanntesten ist das Risikomanagement für seine Beiträge zur Technik, insbesondere im Zusammenhang mit der Entwicklung neuer Systeme und Technologien, einschließlich digitaler, vernetzter Technologien.

2.1. Fünf Schritte zum Risikomanagement

Als Methode besteht das Risikomanagement aus einer Reihe von verschiedenen Schritten. Der erste Schritt besteht in der Identifizierung von Risiken: Es geht darum, ein Verständnis für die Quellen und den Inhalt von Risiken zu erlangen, die zu Zwischenfällen in Bezug auf eine bestimmte Aktivität, ein System, einen Prozess oder eine Technologie führen können. Als nächstes werden die einzelnen Risiken analysiert oder bewertet. Dazu gehört die Ermittlung der Wahrscheinlichkeit des Eintretens bestimmter Risiken sowie die Bestimmung der potenziellen Auswirkungen, die sie haben können, wenn sie eintreten. Risikobewertungen können qualitativ oder quantitativ durchgeführt werden, aber das Risikomanagement ist vor allem für Letzteres bekannt: für seine Fähigkeit, die Größe von Risiken durch eine Formel auszudrücken, wie z.B. Risiko = Wahrscheinlichkeit x Auswirkung oder eine komplexere Version davon. Ein dritter Schritt ist die Priorisierung von Risiken. Dies bedeutet, dass die Entscheidungsträger festlegen, welche Risiken zuerst angegangen werden müssen und auf welches Risikoniveau sie reduziert werden müssen. Diese Entscheidung basiert auf der Risikobereitschaft des Unternehmens, das die Risiken verwaltet. Ziel ist es, die Risiken auf ein akzeptables Risikoniveau zu reduzieren. Im vierten Schritt werden die priorisierten Risiken behandelt: Es werden Maßnahmen ergriffen, um die Wahrscheinlichkeit und/oder die Auswirkungen ihres Eintretens zu verringern. Die Behandlung kann je nach Art des Risikos, dem Kontext und der Risikobereitschaft des Unternehmens unterschiedliche Formen annehmen. Vier gängige Formen der Behandlung sind:

  • Risiken zu akzeptieren, d.h. sie nicht (weiter) zu behandeln, weil das Kosten-Nutzen-Verhältnis so ist, dass dies angesichts der Tatsache, dass ihre Wahrscheinlichkeit und/oder ihre Auswirkungen gering sind, als Ressourcenverschwendung angesehen würde;
  • der Abbruch von Aktivitäten, bei denen zu viel auf dem Spiel steht, weil die Auswirkungen des Eintretens eines Risikos katastrophal wären und/oder die Wahrscheinlichkeit des Eintretens außergewöhnlich hoch ist;
  • Übertragung des Risikos auf eine andere Partei, die besser in der Lage ist, die Last zu tragen, zum Beispiel auf eine Versicherungsgesellschaft. Dies geschieht meist in Fällen, in denen die Wahrscheinlichkeit von Zwischenfällen gering ist, die Auswirkungen jedoch schwerwiegend sind; und
  • Abschwächung des Risikos, d.h. der Versuch, vorbeugende oder wiederherstellende Maßnahmen zu ergreifen, damit die Wahrscheinlichkeit und/oder die Auswirkungen eines Risikos sinken.

Der letzte Schritt im Risikomanagementprozess ist die Risikoüberwachung. In diesem letzten Schritt werden alle vorherigen Schritte bewertet. Die Unternehmen überprüfen, ob die Behandlung der Risiken wirksam war und überwachen, ob neue Risiken am Horizont auftauchen. Mit diesem Schritt schließt sich der Kreislauf des Risikomanagements und führt zurück zu Schritt 1 der Risikoidentifizierung.

2.2. Kritikpunkte am Risikomanagement

Besonders erfolgreich ist das Risikomanagement im Bereich der Technik, wo es eingesetzt wird, um sicherere Produkte und Dienstleistungen zu entwickeln und zu liefern – von Autos, Flugzeugen und Gebäuden bis hin zu komplexen Infrastrukturen und digitalen Technologien. Aufgrund seines Erfolges hat sich das Risikomanagement auf andere gesellschaftliche Bereiche ausgeweitet und ist für Organisationen und Regierungen gleichermaßen zum vorherrschenden Paradigma für den Umgang mit Risiken geworden. In den letzten Jahren wurden jedoch mehrere Kritikpunkte gegen die Anwendung des Risikomanagements außerhalb seines ursprünglichen Lebensraums, der Technik, vorgebracht. Diese Kritik konzentriert sich hauptsächlich auf drei Punkte:

  • Komplexität,
  • Vorhersehbarkeit, und
  • Modellierung.

Kritiker weisen darauf hin, dass technische Herausforderungen wie die Erhöhung der Sicherheit von Autos oder Flugzeugen zwar eine Herausforderung darstellen, weil Autos und Flugzeuge komplexe Maschinen sind, dass aber die Komplexität dieser Systeme im Vergleich dazu verblasst, wenn es beispielsweise darum geht, einen Krieg gegen einen anderen Staat zu führen oder den Cyberspace sicherer zu machen. Flugzeuge und Autos sind Systeme, bei denen die Anzahl der Variablen, die zu Unsicherheit führen können, zwar groß, aber nicht unbegrenzt ist. Die Anzahl der Variablen, die im Cyberspace zu Risiken führen können, ist unendlich viel größer und das Gleiche gilt für alle Aktivitäten, bei denen menschliches Handeln und menschliche Absichten eine Rolle spielen, wie z.B. das Führen eines Krieges. Forscher weisen darauf hin, dass hochkomplexe Systeme neu entstehende Eigenschaften haben, d.h. Eigenschaften und Wechselwirkungen zwischen Teilkomponenten, die niemand vorhersehen konnte. Der Cyberspace gilt als eines dieser hochkomplexen Systeme. Aufgrund der enormen Komplexität des Cyberspace ist es sehr viel schwieriger, die Wahrscheinlichkeiten und Auswirkungen von Risiken in diesem Bereich zu bestimmen. Infolgedessen steigt der Grad der Unsicherheit bei Risikoberechnungen so stark an, dass es fraglich wird, wie nützlich solche Berechnungen sind. Es kann daher unklug sein, lineare Vorhersagemodelle, die bei der Risikoquantifizierung verwendet werden, anzuwenden, um die Risiken in prinzipiell unvorhersehbaren komplexen Systemen in den Griff zu bekommen.

Dieses Problem wird durch die Tatsache verschärft, dass es bei der Cybersicherheit ein Datenproblem gibt, das z.B. in der Luftfahrtindustrie nicht vorhanden ist. Seit ihren Anfängen im frühen 20. Jahrhundert hat die Luftfahrtindustrie weltweit zusammengearbeitet, um einen einzigen Datensatz zu erstellen, in dem alle Beinaheunfälle und Unfälle gemeldet werden. Dieser umfangreiche Datensatz wird verwendet, um sicherzustellen, dass die Lehren aus vergangenen Vorfällen dazu beitragen können, deren Wiederholung zu verhindern. Da so viele Daten zur Verfügung stehen, lassen sich die Wahrscheinlichkeit und die Auswirkungen von Zwischenfällen recht genau berechnen, was zur Vorhersehbarkeit beiträgt. Für den Cyberspace haben wir keinen solchen Datensatz. Vorfälle im Cyberspace sind äußerst vielfältig und komplex, und es tauchen regelmäßig neue Vorfälle der Kategorie „Schwarze Schwäne“ auf. Es gibt auch ein erhebliches Underreporting, da Unternehmen, die von Angriffen oder Ausfällen betroffen sind, diese Informationen aus Angst vor Rufschädigung oft lieber für sich behalten. Außerdem gibt es derzeit keine Struktur, um überhaupt zentral zu berichten. Auch die Anreizstruktur zur Meldung ist anders als in der Luftfahrtindustrie. Und schließlich: Der Cyberspace hat noch keine hundertjährige Geschichte, so dass wir immer noch lernen, wo die Schwachstellen im Cyberspace liegen. Da der Cyberspace weitaus formbarer ist als Flugzeuge und sich weiter in neue Richtungen entwickeln wird, kann es lange dauern, bis wir die Sicherheitsfragen verstehen, mit denen wir im Zusammenhang mit dem Cyberspace konfrontiert werden könnten.

Schließlich ist die Modellierung in Bezug auf den Cyberspace sehr schwierig. In der Luftfahrt werden neue Funktionen von Flugzeugen unter einer Vielzahl von Bedingungen in einer modellierten Umgebung getestet, und Piloten lernen den Umgang mit Flugzeugen in Flugsimulatoren. In virtuellen Umgebungen führen Zwischenfälle nicht zu realen Schäden an Menschen und Systemen. Aber wie kann man einen Teil des Cyberspace so simulieren, dass er die Bedingungen der realen Welt wirklich nachahmt? Obwohl auf dem Gebiet der simulationsbasierten Erforschung von Unfallszenarien erhebliche Fortschritte erzielt wurden, ist es nach wie vor schwierig, Simulationen zu erstellen, die der Komplexität und Konnektivität in realen Cyberspace-Kontexten tatsächlich gerecht werden.

Die Kombination dieser drei Kritikpunkte – die Komplexität des Cyberspace, der Mangel an Daten und die fehlenden Simulationsmöglichkeiten – veranlasst einige Kritiker zu der Behauptung, dass das Risikomanagement nur einen begrenzten Wert für die Cybersicherheit hat. Gleichzeitig ist es für öffentliche und private Organisationen oft das Mittel der Wahl. In den letzten Jahren haben neben dem Risikomanagement mehrere andere Ansätze für den Umgang mit Risiken im Cyberspace an Popularität gewonnen.

3. Widerstandsfähigkeit: sich von Unsicherheit erholen

Der erste davon ist die Widerstandsfähigkeit. Dieser Begriff hat in politischen Dokumenten, in Strategien für das Krisenmanagement und ganz allgemein in Ansätzen für den Umgang mit Unsicherheiten im Bereich der Sicherheit an Bedeutung gewonnen. Auch im Zusammenhang mit Ungewissheiten im Cyberspace ist er zu einem wichtigen Ansatz geworden. Für den Begriff der Resilienz gibt es keine klare Definition. Es gibt unterschiedliche Ansichten darüber, was Resilienz ist oder wie sie erreicht werden kann. Es lassen sich drei Hauptinterpretationen von Resilienz unterscheiden:

  • Widerstandsfähigkeit als eine Form des Schutzes;
  • Resilienz als Bereitschaft; und
  • Resilienz als die Fähigkeit, sich anzupassen.

3.1. Resilienz bedeutet Schutz

Eine erste Interpretation von Resilienz sieht sie als eine Form des Schutzes. Metaphorisch könnte man sagen, dass die Befürworter dieser Ansicht Resilienz als Schutz für einen Schatztresor sehen. Wenn man die Wege aufzeichnet, auf denen Räuber in diesen Tresor einbrechen könnten, können Unternehmen Maßnahmen ergreifen, um einen Einbruch in den Tresor zu verhindern. Je mehr vorbeugende Schritte man unternimmt, um den Tresor zu schützen, desto besser ist er geschützt und desto widerstandsfähiger ist er. Dieser Ansatz ist mit dem des Risikomanagements vergleichbar. In dieser Interpretation ist die Widerstandsfähigkeit das Ziel eines Risikomanagementprozesses: Sie ist das Ergebnis, das sich aus der Umsetzung eines angemessenen und gut ausgeführten Risikomanagementrahmens ergibt.

3.2. Resilienz ist eine Frage der Bereitschaft

Eine zweite Interpretation von Resilienz sieht sie als ein Mittel zur Vorbereitung auf potenzielle Zwischenfälle. Diese Perspektive überschneidet sich teilweise mit dem Schutz und der Vorbeugung in dem Sinne, dass auch hier das Ziel darin besteht, Systeme durch verstärkte Verteidigung zu schützen. Sie unterscheidet sich von der ersten Perspektive dadurch, dass sie davon ausgeht, dass Zwischenfälle eintreten werden, auch wenn wir alles tun, um sie zu verhindern. Folglich sollten wir uns auf die Momente vorbereiten, in denen es zu Zwischenfällen kommt. Dies bedeutet, dass beim Umgang mit der Unsicherheit im Cyberspace zwei wichtige organisatorische Strategien verfolgt werden sollten:

  • die Robustheit der Systeme zu erhöhen, damit sie ein Höchstmaß an Stress und Schocks aushalten können, und
  • Sicherstellen, dass eine Vielzahl von Fähigkeiten vorhanden ist, so dass sich das Unternehmen bei einem Systemausfall oder einer Unterbrechung von Diensten während eines Zwischenfalls so schnell wie möglich erholen oder erholen kann.

Die Vorbereitung auf Zwischenfälle zielt darauf ab, dass Unternehmen nach Zwischenfällen so schnell und effizient wie möglich wieder den normalen Betrieb aufnehmen können. Die Fähigkeit von Unternehmen, wieder auf die Beine zu kommen, wird oft mit dem Begriff der Business Continuity in Verbindung gebracht. Um dies zu erreichen, müssen Unternehmen sicherstellen, dass sie über eine so genannte „umfassende Wiederherstellungsplanung“ verfügen. Zu den Strategien für eine umfassende Wiederherstellungsplanung gehören Notfall- und Krisenübungen, Simulationen und Kriegsspiele. Wie Pfeifer erklärt, „[e]xercises, simulations and war games are ways to gain insight into decision-making when under stress and confronted with novelty„. Insbesondere bei komplexen Vorfällen mit Kaskadeneffekten ist es wichtig, dass Organisationen üben, wie sie diese intern und in Zusammenarbeit mit anderen Organisationen lösen können. Dies hilft den Entscheidungsträgern, die Abhängigkeiten zwischen den Systemen zu verstehen und verschiedene Szenarien zu antizipieren. Darüber hinaus ist es wichtig, dass Playbooks für Vorfälle erstellt werden, die verschiedene Szenarien einschließlich Protokollen für die Zusammenarbeit zwischen verschiedenen Gruppen enthalten.

Vorsorge kann auch technische Maßnahmen umfassen, wie z.B. den Einbau von Teilredundanzen und Diversität in die Systeme, so dass beim Ausfall eines Teilsystems ein anderes System einspringen kann, oder dass die Systeme problemlos ausfallen können. Dies erhöht die Robustheit. Ein weiterer möglicher Ansatz ist das Hinzufügen zusätzlicher Schutzschichten um die Systeme herum. Die Idee dahinter ist, dass einzelne Barrieren zwar Schwachstellen haben können, dass aber aufgrund der Aneinanderreihung verschiedener Schichten die Wahrscheinlichkeit besteht, dass ungünstige Ereignisse nicht zu schweren Schäden führen. Dies ist als ‚Schweizer Käse-Modell‘ bekannt geworden, das manchmal auch als ‚Defense-in-Depth‘ oder als ‚All-Gefahren-Ansatz‘ bezeichnet wird. In Bezug auf die Cybersicherheit beinhaltet die Erhöhung der Robustheit Maßnahmen wie die Erhöhung der Redundanz von Systemen, die stärkere Segmentierung von Netzwerken und die geschützte Speicherung von geheimen oder sensiblen Informationen.

3.3. Resilienz bedeutet Anpassungsfähigkeit

Die dritte und letzte Interpretation des Begriffs Resilienz beruht auf der Annahme, dass Systeme in der Lage sein müssen, plötzlichen und erheblichen Schocks zu widerstehen, die ihr Funktionieren in Frage stellen, und diese Schocks zu überwinden, indem sie in der Lage sind, sich an veränderte Umstände anzupassen. Systeme sind manchmal schwerwiegenden Vorfällen ausgesetzt, die nicht verhindert oder vermieden werden können. Solche Veränderungen können zu einem produktiven Wandel führen: Systeme, die sich an veränderte Umstände anpassen können, können gedeihen und stärker werden.

Eine Metapher, um diese Interpretation der Resilienz zu beschreiben, ist die des Körpers: Manchmal dringt ein Virus in den Körper ein und macht ihn krank. Als Reaktion darauf versucht der Körper, das Virus abzuwehren, indem er Antikörper bildet und sein Immunsystem stärkt. Wenn dies gelingt, geht der Körper mit einem stärkeren Immunsystem aus der Krankheit hervor als zuvor. Wenn Sie diese Metapher auf die Unsicherheit und den Cyberspace anwenden, müssen Sie zunächst einmal akzeptieren, dass Risiken und Unsicherheiten im Cyberspace nicht beseitigt werden können. Vorfälle können ein produktiver Teil des Cyberspace sein: Sie können uns etwas über Schwachstellen und Möglichkeiten zu deren Überwindung lehren. Starke Cybersicherheit bedeutet, dass eine Organisation einer Vielzahl verschiedener Arten von Vorfällen standhalten kann und dass die Organisation, wenn es zu lähmenden Vorfällen kommt, in der Lage ist, sich in der Zeit danach umzuwandeln und weiterzuarbeiten, selbst wenn eine Rückkehr zum vorherigen Zustand nicht mehr möglich ist. Dies unterscheidet sich von der zweiten Interpretation von Resilienz, nämlich der Rückkehr zu einem früheren Zustand, in dem Sinne, dass es bei Resilienz darum geht, dass ein „… System in der Lage [ist], die Auswirkungen unvorhergesehener Störungen abzufedern, indem es den Schock absorbiert und sich an die veränderten Bedingungen anpasst und so nicht zurück, sondern vorwärts zu einem fortgeschritteneren Niveau springt, das besser für zukünftige Gefahren geeignet ist„. Was dies in der Praxis für die Erhöhung der Cybersicherheit bedeutet, ist zum Beispiel die Nutzung von Selbstheilungsfähigkeiten und beschleunigten Reparatur- und Wiederherstellungsprozessen.

Die Reaktion auf Vorfälle ist ein entscheidender Teil der Resilienz in Form von Anpassungsfähigkeit. Sie bezieht sich auf die Reaktionen von Organisationen oder Einzelpersonen auf Cybersicherheitsvorfälle. Die Reaktion auf Vorfälle besteht in der Regel aus Aktivitäten wie:

  • Erkennen und Analysieren des Vorfalls und seiner Ursachen, einschließlich digitaler Forensik;
  • die Eindämmung des Vorfalls und die Beseitigung seiner Ursachen;
  • Wiederherstellung von Systemen und Wiederherstellung von Daten oder Informationen; und
  • Maßnahmen zu ergreifen, um zu verhindern, dass sich derartige Vorfälle in Zukunft wiederholen.

Resilienz ist in Bezug auf den Cyberspace noch ein relativ neuer Begriff, was sich darin zeigt, dass es drei parallele Interpretationen des Begriffs gibt. Vor allem die zweite und die dritte Interpretation von Resilienz passen oft nicht zu Organisationskulturen, in denen Unsicherheit im Sinne des Risikomanagements behandelt wird. Die Verwendung von Resilienz als Ausgangspunkt anstelle von Risiko führt zu einer Neukonzeption der organisatorischen Prozesse, der Governance und der wichtigsten Strategien zur Bewältigung der Herausforderungen, denen sich Organisationen gegenübersehen.

4. Regulierung: Beeinflussung der Unsicherheit

Während das Risikomanagement versucht, die Ungewissheit im Cyberspace zu kontrollieren, und die Widerstandsfähigkeit darauf abzielt, die Art und Weise zu verbessern, wie sich Systeme von Zwischenfällen erholen können, besteht eine dritte Reaktion auf die Ungewissheit im Cyberspace darin, das Verhalten der Akteure zu regulieren, die diesen Raum nutzen oder zu seiner Entstehung beitragen. Das Wesen der Regulierung besteht darin, das Verhalten in bestimmte Richtungen zu lenken. Auch dies ist eine Möglichkeit, die Unsicherheit zu zähmen, da die Vorhersehbarkeit der Akteure in bestimmten Kontexten erhöht werden kann.

Die Regulierung im Zusammenhang mit dem Cyberspace nimmt verschiedene Formen an. In einigen Fällen wird das Verhalten der Akteure durch die Architektur des Netzwerks reguliert. Dies ist als Technoregulierung und Nudging bekannt geworden. In anderen Fällen entstehen soziale Normen zwischen verschiedenen Akteuren im Cyberspace, die gemeinsam festlegen, was Gemeinschaften in bestimmten Kontexten als angemessenes Verhalten betrachten. Auch Marktkräfte können das Verhalten von Akteuren im Cyberspace regulieren, lenken und beeinflussen. Und schließlich können auch rechtliche Rahmenbedingungen das Verhalten im Cyberspace regulieren. Grundsätzlich ist es eine Herausforderung, das Verhalten im Cyberspace durch Gesetze zu regeln, da dieser Raum über nationale Grenzen hinausgeht und sich über den ganzen Globus erstreckt. Gleichzeitig haben Nationalstaaten und regionale Einheiten wie die Europäische Union in den letzten Jahrzehnten versucht, rechtliche Rahmenbedingungen für spezifische rechtliche Herausforderungen im Cyberspace zu schaffen, die auf ihr Territorium anwendbar sind. Es lassen sich drei verschiedene Arten der Regulierung unterscheiden: „Inside-in-Regulierung“, „Inside-out-Regulierung“ und „Outside-out-Regulierung“.

4.1. Inside-in-Regulierung

Der Begriff „Inside-in-Regulierung“ bezieht sich auf die Idee, dass Nationalstaaten oder Regionen versuchen, das Verhalten bestimmter Akteure innerhalb ihres eigenen Territoriums zu beeinflussen. In der Praxis bedeutet dies oft, dass Nationalstaaten versuchen, Grenzen im Cyberspace zu errichten, um bestimmte Verhaltensweisen zu kontrollieren. Trotz des deterritorialen Charakters des Cyberspace können Nationalstaaten regulierende Eingriffe auf Parteien innerhalb ihrer Gerichtsbarkeit, d.h. innerhalb der Grenzen ihres Nationalstaates, ausrichten. Beispiele für diese Art der Regulierung gibt es zuhauf. Denken Sie zum Beispiel an die Regulierung lokaler Internetvermittler wie Telekommunikations- und Kabelunternehmen, die die nationalen Gesetze zur Unterstützung der Strafverfolgungsbehörden bei strafrechtlichen Ermittlungen in Bezug auf Betrug, Geldwäsche oder Kinderpornographie einhalten müssen. Oder denken Sie an Vorschriften für Suchmaschinen, die sich auf Notice-and-Takedown-Verfahren und das Filtern und Sperren von Inhalten konzentrieren. Und schließlich denken Sie an Kreditkartenunternehmen und Banken, die in einigen Staaten gesetzlich verpflichtet sind, zweifelhafte Finanztransaktionen zu prüfen und zu sperren und bei der Aufdeckung von Betrug und Geldwäschepraktiken zu helfen. Der Hauptgrund, warum Nationalstaaten diese Parteien regulieren können, selbst in Bezug auf einen grenzüberschreitenden Bereich wie den Cyberspace, liegt darin, dass Telekommunikationsunternehmen und Banken zwangsläufig lokale Vermögenswerte sind. Ein Telekommunikationsunternehmen muss in jedem Staat über eine Infrastruktur (Kabel, Leitungen, Router, Schalter usw.) verfügen, um seinen Kunden einen Dienst anbieten zu können. In ähnlicher Weise müssen Banken über lokale Niederlassungen verfügen, um mit ihren Kunden in Kontakt zu treten. Ihre territoriale Präsenz in einem Nationalstaat ermöglicht es dem Staat, seine Vorschriften gegenüber diesen Parteien durchzusetzen.

4.2. Regulierung von innen nach außen

Während die Inside-In-Regulierung darauf abzielt, das Verhalten von Akteuren innerhalb der Grenzen eines bestimmten Nationalstaates zu beeinflussen, ist die Inside-Out-Regulierung eine Regulierung, die darauf abzielt, ein Verhalten innerhalb eines Staates oder einer Region zu steuern, das eine (zufällige, globale) Wirkung auf Akteure außerhalb dieses Staates oder dieser Region hat. Eines der bekanntesten Beispiele für Inside-Out-Regulierung ist der so genannte „Brüsseler Effekt“, der zuerst von Anu Bradford beschrieben wurde. Mit diesem Begriff bezieht sich Bradford auf die Tatsache, dass in den vergangenen Jahrzehnten die strengen Regulierungsstandards, die die Europäische Union zum Schutz der EU-Bürger und zur Harmonisierung des EU-Binnenmarktes festlegt, zu weltweiten Regulierungsstandards wurden. Dies geschah in einer Vielzahl unterschiedlicher Bereiche, vom Kartellrecht bis zum Umweltschutz und von der Lebensmittelsicherheit und Gesundheit bis zum Datenschutz. Es war nicht die ausdrückliche Absicht der Europäischen Union, Regulierungsstandards für den gesamten Globus zu schaffen; dies geschah als Nebenprodukt. Ihre Rahmenbedingungen wirken sich zum Beispiel auf globale Unternehmen aus anderen Teilen der Welt aus, da diese Unternehmen die EU-Vorschriften einhalten müssen, um in der EU Geschäfte machen zu dürfen. Im Zuge der Einführung von Rechtsvorschriften, die die Sicherheit der EU-Bürger gewährleisten und den EU-Markt harmonisieren sollen, übernehmen globale Unternehmen diese Standards und wenden sie auf alle ihre Kunden weltweit an, da dies wirtschaftlich effizienter ist. So hat die Europäische Union, wie Bradshaw betont, durch die Grundsätze der Harmonisierung und des Verbraucherschutzes einseitig die Standards weltweit angehoben. Der globale Standard für den Datenschutz hat sich erhöht, da Unternehmen wie Facebook und Google diesen Standard nun innerhalb der EU einhalten müssen und sich dafür entscheiden, dies auch außerhalb der EU zu tun.

4.3. Outside-out Regulierung

Eine dritte Form der Regulierung, die im Zusammenhang mit der Unsicherheit im Cyberspace anzutreffen ist, kann als „Regulierung von außen“ bezeichnet werden. Nationalstaaten oder globale Unternehmen versuchen manchmal auch, das Verhalten von (anderen) Nationalstaaten zu regulieren. Gegenwärtig findet ein Großteil dieser Bemühungen in Form von Debatten über internationale Verhaltensnormen für den Cyberspace statt. In den letzten anderthalb Jahrzehnten haben sich die Nationalstaaten über die UN Group of Global Experts und die Open-ended Working Group (OEWG) an internationalen Gesprächen über Normen für das Verhalten von Staaten im Cyberspace beteiligt. Aber staatliche Akteure sind nicht die einzigen, die sich an Debatten über Cyber-Normen beteiligen. Internationale Unternehmen haben sich z.B. im Tech Accord Consortium (unter der Leitung von Microsoft), in der Charter of Trust (unter der Leitung von Siemens) und in der Cyber Threat Alliance (unter der Leitung von Cisco) zusammengeschlossen, um sich in Bezug auf Normen für den Cyberspace Gehör zu verschaffen, sowohl für die Industrie selbst als auch für staatliche Akteure. Schließlich gibt es Multistakeholder-Normenprozesse, in denen z.B. staatliche Akteure, Vertreter aus der Industrie, Nichtregierungsorganisationen und der Wissenschaft Normen diskutieren und beraten, wie z.B. im Pariser Aufruf für Vertrauen und Sicherheit im Cyberspace.

In all diesen Prozessen versuchen die Teilnehmer, Verhaltensstandards oder ‚Spielregeln‘ zu formulieren, die die Akteure im Cyberspace einhalten sollten, um die Sicherheit aller in diesem Ökosystem zu gewährleisten. Eine eng damit verbundene Debatte ist die über die Entwicklung des internationalen Rechts für den Cyberspace. Einige Autoren argumentieren, dass auf längere Sicht neue Gesetze für den Cyberspace auf internationaler Ebene entwickelt werden sollten, zusätzlich zum bestehenden Völkerrecht oder unabhängig davon. Andere weisen auf die Schwierigkeiten hin, die damit verbunden sind, wie z.B. die „sich schnell entwickelnde Technologie [, die] die Langlebigkeit eines potenziellen internationalen Abkommens in Frage stellt“ , aber auch die Tatsache, dass die Herausforderungen bei der Durchsetzung vielschichtig und äußerst komplex sind: Parteien im Cyberspace rechtlich zur Verantwortung zu ziehen, ist aufgrund von Fragen der Anonymität und der Zurechnung schwierig.

5. Vertrauen: Unsicherheit aussetzen

Eine vierte Strategie im Umgang mit Ungewissheit besteht darin, zu akzeptieren, dass es sie gibt, sie aber auszusetzen, um unter mehrdeutigen Bedingungen handeln zu können. Ein Beispiel hierfür ist die Verwendung von Vertrauen als Reaktion auf Ungewissheit. In diesem Fall akzeptiert man, dass eine grundlegende Ungewissheit besteht, dass eine vollständige Kontrolle grundsätzlich unerreichbar ist und dass es unkonstruktiv ist, eine solche Kontrolle anzustreben. Stattdessen macht man sich die Idee zu eigen, dass man trotz der Tatsache, dass es keine vollständige Kontrolle gibt, darauf vertrauen kann, dass Systeme und Menschen in einer vorhersehbaren Weise funktionieren – zumindest bis zu einem gewissen Grad und unter bestimmten Bedingungen. Durch Vertrauen wird die Komplexität reduziert; es ermöglicht uns, vor dem Hintergrund einer hohen Mehrdeutigkeit und Variabilität zu handeln. Wenn wir anderen oder Systemen vertrauen, setzen wir die Komplexität vorübergehend in Klammern und handeln so, als ob das Ergebnis dessen, worauf wir uns einlassen, vorhersehbar und stabil wäre.

Vertrauen kann in Bezug auf die Unsicherheit im Cyberspace auf mehreren Ebenen als Strategie dienen:

  • Die Nutzung des Cyberspace erfordert Vertrauen in Systeme, in Code, in Daten, in die Organisationen und Regierungen, die das Funktionieren dieses Ökosystems ermöglichen, und in die Organisationen und Einzelpersonen, mit denen wir über den Cyberspace in Verbindung stehen. Debatten über Cybersicherheit konzentrieren sich zu Recht regelmäßig auf die Förderung und Stärkung des Vertrauens im Cyberspace.
  • Vertrauen ist ein wichtiger Mechanismus bei der Einführung von Prozessen, Verfahren und Ansätzen zur Erhöhung der Cybersicherheit. Das Risikomanagement hat sich zur vorherrschenden Strategie für die Cybersicherheit entwickelt, aber bisher gibt es nur wenige wissenschaftliche Beweise für seine Wirksamkeit in diesem Bereich. Die Einführung des Risikomanagements für die Cybersicherheit kann daher als ein Akt des Vertrauens betrachtet werden.
  • Vertrauen wird auch als explizite Cybersicherheitsstrategie eingesetzt: Es wird verwendet, um die Unsicherheit in Bezug auf die Sicherheit im und des Cyberspace zu verringern. Dies ist immer dann der Fall, wenn Einzelpersonen oder Gruppen mobilisiert werden, um dazu beizutragen, Teile des Cyberspace sicherer zu machen. Denken Sie zum Beispiel an Programme zur Offenlegung von Schwachstellen, bei denen Endbenutzer ein Kopfgeld auf Schwachstellen in den Systemen großer Internetunternehmen oder Plattformen aussetzen. Programme zur Offenlegung von Schwachstellen beruhen auf gegenseitigem Vertrauen: Unternehmen müssen darauf vertrauen, dass Einzelpersonen ihren Code scannen und die gefundenen Schwachstellen nicht ausnutzen. Gleichzeitig müssen die Personen, die an diesen Programmen zur Aufdeckung von Sicherheitslücken teilnehmen, darauf vertrauen, dass das Unternehmen ihre Arbeit ernst nimmt, auf ihre Entdeckungen reagiert und ihre Bemühungen anerkennt.

6. Nichtstun: Unsicherheit ignorieren

Die vorangegangenen vier Strategien nehmen alle eine aktive Haltung gegenüber der Unsicherheit im Cyberspace ein: Sie alle zielen darauf ab, angesichts dieser Unsicherheit etwas zu tun. Eine letzte Strategie im Umgang mit der Unsicherheit im Cyberspace besteht jedoch darin, nicht nur radikal zu akzeptieren, dass sie ein grundlegendes Merkmal dieses Ökosystems ist, sondern auch nichts gegen ihre Erscheinungsformen zu unternehmen. Diese Strategie wird derzeit im Bereich der Cybersicherheit nicht sehr oft praktiziert. Forscher und Praktiker auf diesem Gebiet äußern manchmal ihre Besorgnis über die mangelnde Reaktion von Wirtschaftsführern oder Regierungsvertretern auf festgestellte Risiken im Cyberspace und plädieren für eine aktivere Auseinandersetzung mit diesen Risiken. Es gibt zahlreiche Belege für die Häufigkeit und die Auswirkungen von Vorfällen im Bereich der Cybersicherheit, und nicht auf die am besten dokumentierten Schwachstellen und Bedrohungen zu reagieren, kann daher als schädliche Strategie angesehen werden. Die Erfüllung der so genannten „Basis-Cybersicherheit“ ist für das Überleben von Unternehmen in einem Zeitalter allgegenwärtiger vernetzter, digitaler Technologien unerlässlich. Wenn „Nichtstun“ gleichbedeutend ist mit „Ignorieren von Cybersicherheitsrisiken“, erscheint dies unklug.

In vielen Unternehmen steht das Thema Cybersicherheit heute ganz oben auf der Tagesordnung. Gleichzeitig führt die Diskussion über die Herausforderungen der Cybersicherheit in den Vorstandsetagen noch nicht immer zu den richtigen Maßnahmen, da die Vorstände oft nicht wissen, welche Entscheidungen sie in Bezug auf die Cybersicherheit treffen sollen und welches Investitionsniveau ausreichend ist. In einigen Fällen handeln Unternehmen daher nicht bei Cybersecurity-Risiken, weil sie überfordert oder untermotiviert sind oder weil es ihnen an Fähigkeiten, Kapazitäten oder Mitteln fehlt. Dies mag zwar eine unkluge Strategie sein, ist aber auch verständlich, wenn man bedenkt, wie schnell sich neue Technologien und die damit verbundenen Risiken entwickeln und wie wenig technisches Fachwissen erforderlich ist, um sie zu verstehen.

Es kann aber auch andere Gründe dafür geben, angesichts der Unsicherheiten im Cyberspace nicht zu handeln, und in einigen Bereichen könnte dies als eine gültige Strategie angesehen werden. Nichts zu tun kann eine abwartende Haltung bedeuten. Diese Strategie ist vor allem dann von Bedeutung, wenn noch unklar ist, wie groß oder schwerwiegend eine bestimmte Schwachstelle oder ein Risiko ist. Wenn solide Daten fehlen, kann es rational sein, die Unsicherheit als gegeben hinzunehmen und nicht zu handeln. Außerdem sind Interventionen mit Kosten und Nutzen verbunden. Wenn erstere überwiegen, ist es vernünftig, Risiken zu ignorieren und bestimmte Ungewissheiten zu akzeptieren.

Natürlich kann eine Taktik der Untätigkeit nur für einige Organisationen, für einige Prozesse, Systeme und Netzwerke und für einige Arten von Unsicherheiten angewendet werden. Dies gilt für alle oben erörterten Strategien: Sie funktionieren unter bestimmten Bedingungen gut und können zur Bewältigung einiger spezifischer Unsicherheiten im Cyberspace eingesetzt werden, aber keine sollte pauschal eingesetzt werden. Tatsächlich wäre es am besten, eine Mischung aus verschiedenen Strategien für unterschiedliche Kontexte und Herausforderungen zu verwenden.

7. Verschiedene Strategien für verschiedene Probleme. oder nicht?

Wie dieser Artikel gezeigt hat, wird in der aktuellen Cybersicherheitslandschaft die Unsicherheit im Cyberspace hauptsächlich durch die Brille des Risikomanagements betrachtet. In den letzten Jahren ist eine deutliche Verschiebung hin zur Resilienz als zweite Strategie zu beobachten, die das Paradigma des Risikomanagements ergänzt. Risikomanagement und Resilienz können insofern als komplementär angesehen werden, als sich ersteres auf die Verhinderung von Zwischenfällen konzentriert, während letzteres eine Rolle spielt, wenn Zwischenfälle eingetreten sind. Auf einer Zeitachse konzentriert sich das Risikomanagement also auf das, was man als ‚links vom Knall‘ bezeichnen kann, während sich die Resilienz darauf konzentriert, auf den Knall vorbereitet zu sein und auf das, was wir als ‚rechts vom Knall‘ bezeichnen könnten. Zunehmend sehen Forscher und Praktiker auch das Potenzial der Regulierung als Strategie für den Umgang mit der Unsicherheit im Cyberspace. Lange Zeit galt die Regulierung als ein eher schwacher Mechanismus für den Cyberspace. Unter Hinweis auf die globale Natur des Cyberspace und die Macht privater Parteien, die die überwiegende Mehrheit aller Architekturen und Dienste im Cyberspace besitzen und betreiben, war die zentrale Annahme, dass die Beeinflussung des Verhaltens der Akteure im Cyberspace durch Regulierung keine effektive Strategie wäre. Im Laufe der Zeit hat sich diese Ansicht geändert, zum Teil, weil sich die Diskussionen konkreter auf z.B. die Festlegung von Standards und die Zertifizierung konzentrieren, zum Teil, weil die Regierungen eine klarere regulatorische Haltung gegenüber dem Cyberspace und insbesondere den großen Internetunternehmen eingenommen haben, und zum Teil aufgrund der spürbaren Auswirkungen von regulatorischen Eingriffen, wie unsere Diskussion über den Brüsseler Effekt zeigt.

Der Einsatz von Vertrauen oder das Nichtstun (im Sinne eines Aufschubs der Reaktion) werden derzeit nicht als gängige Strategien in nennenswertem Umfang betrachtet. Beide haben unter bestimmten Bedingungen ihre Vorzüge. Wie Keymolen hervorhebt, ist es natürlich unklug, die Sicherheitsprobleme eines Kernkraftwerks mit Hilfe von Vertrauensmechanismen anzugehen, aber Vertrauen könnte eine nützliche Strategie in all den Fällen sein, in denen normale Bürger oder Endnutzer mobilisiert werden könnten, um zu helfen, den Cyberspace sicherer zu machen. Das Gleiche gilt für das Nichtstun. In einer Realität, in der nicht nur die Schwachstellen, sondern auch alle Lösungen, die dafür angeboten werden, von Dringlichkeit und Geheimnissen umhüllt sind, ist es manchmal klug, sich etwas mehr Zeit zu nehmen, um das Ausmaß, die Wahrscheinlichkeit und die möglichen Auswirkungen von Vorfällen zu verstehen, bevor man den Entscheidungsträgern ein weiteres Problem aufbürdet. Dies gilt insbesondere für alle Probleme und Lösungen, für die keine aussagekräftigen Daten vorliegen oder die Kosten für Interventionen hoch sind.

8. Umgang mit Ungewissheit im Cyberspace: Nutzung aller Werkzeuge im Werkzeugkasten

Dieser Artikel zeigt, dass es im Cyberspace aufgrund seiner komplexen Struktur eine Vielzahl von Unsicherheiten gibt und dass es auch eine Reihe von möglichen Reaktionen auf diese Unsicherheiten gibt. Tatsächlich ist es oft so, dass Schwachstellen, Bedrohungen und Risiken am besten mit einer Mischung aus verschiedenen Strategien angegangen werden. Sie ergänzen und verstärken sich gegenseitig. Regulierung funktioniert am besten in einer Realität, in der es bereits gemeinsame Normen gibt, während gemeinsame Normen und Regulierung das Vertrauen fördern und aus ihm gespeist werden. Ebenso gedeiht die Widerstandsfähigkeit, wenn die grundlegenden Risiken richtig gehandhabt werden, während das Risikomanagement am besten in einem Umfeld funktioniert, das sich auch auf die Vorbereitung auf eventuelle Zwischenfälle konzentriert.

Jede der in diesem Artikel erörterten individuellen Reaktionen auf Ungewissheit hat ihre Vorzüge und Schwächen. Das Risikomanagement funktioniert am besten bei allen so genannten ‚Subway-Unsicherheiten‘: Unsicherheiten, die mit relativer Regelmäßigkeit auftreten, so dass sie mit Hilfe der Wahrscheinlichkeitsmathematik vorhergesagt werden können. Diese Art von Ungewissheiten folgt einem Bell-Kurven-Muster und tritt mit einer solchen Konstanz auf, dass ihr Auftreten quantifiziert werden kann. Wenn auch die Auswirkungen des Eintretens dieser Art von Risiken ziemlich gut bekannt sind, kann das Risikomanagement sein volles Potenzial entfalten: Es kann dazu beitragen, die Risiken mit der höchsten Dringlichkeit zu quantifizieren und zu priorisieren. Ein klares Beispiel für eine Art von Ungewissheit, die mit Risikomanagement gut angegangen werden kann, ist die Bekämpfung von DDoS-Angriffen. Aufgrund der Regelmäßigkeit und des Umfangs solcher Angriffe haben Unternehmen in den letzten Jahren gelernt, Anomalien im Netzwerkverkehr so gut zu verstehen, dass sie DDoS-Angriffe jetzt frühzeitig erkennen und Risikomanagementmaßnahmen ergreifen können, um die schwächenden Auswirkungen solcher Angriffe zu verhindern.

Resilienz kann genutzt werden, um sich auf sogenannte „Kokosnuss-Unsicherheiten“ vorzubereiten: für sehr seltene bekannte Unbekannte oder für unbekannte Unbekannte (auch bekannt als Schwarze Schwäne). Um der Komplexität des Cyberspace und dem Potenzial von Kaskadeneffekten, Schmetterlingseffekten und den Auswirkungen einer engen Kopplung gerecht zu werden, sind eine Planung von Zwischenfällen und Investitionen in Wiederherstellungsmaßnahmen erforderlich. Der aktuelle Trend zu Ransomware ist einer dieser Bereiche, in denen ein Resilienz-Ansatz am besten funktioniert. Defense-in-Depth und ein Swiss-Cheese-Modell ermöglichen es Unternehmen, Verteidigungsschichten zu schaffen, um dieser Herausforderung so gut wie möglich zu begegnen, und gleichzeitig Zeit, Aufwand und Mittel für das Krisenmanagement bereitzustellen, falls die Verteidigung versagt. Dasselbe gilt für hochentwickelte Angriffe durch APTs: Ein kombinierter Fokus auf mehrere Verteidigungsebenen in Verbindung mit der Vorbereitung auf Zwischenfälle ist derzeit die praktikabelste Strategie, um dieser Bedrohung zu begegnen.

Die Regulierung hat Potenzial für zwei Problembereiche: die Beseitigung von Unsicherheiten, die durch schwaches Design verursacht werden, und die Vereitelung der vorsätzlichen Ausnutzung von Schwachstellen durch böswillige Akteure. Schwaches Design führt zu Schwachstellen in Code, Konfigurationen, Prozessen und Kommunikation. Die Regulierung kann dazu beitragen, dieses Problem zu beheben, indem sie Standards für die Entwicklung von Technologien und die Bereitstellung von Diensten festlegt und das Vertrauen fördert, z.B. durch Zertifizierung, Standardisierung und Aufsicht. Böswillige Akteure verschiedenster Art können Schwachstellen im Cyberspace vorsätzlich ausnutzen und sind daher eine der größten Quellen der Unsicherheit in diesem Ökosystem. Eine Regulierung kann eine abschreckende Wirkung auf einen solchen Missbrauch haben und im Falle tatsächlicher Übertretungen zu einer strafrechtlichen Verfolgung und Bestrafung führen.

Vertrauen kann als praktikable Strategie zur Bewältigung von Unsicherheiten eingesetzt werden, wenn bereits implizite normative Rahmenbedingungen bestehen, in Kontexten, in denen zwischenmenschliche Beziehungen von entscheidender Bedeutung sind und in denen der Schaden im Falle einer Übertretung begrenzt ist. Ein Bereich, in dem dies fruchtbar ist, ist der Informationsaustausch in Bezug auf Bedrohungen, Zero-Days oder Schwachstellen. In verschiedenen Ländern rund um den Globus sind öffentlich-private Kooperationen entstanden, in denen Parteien Informationen zu diesen Themen austauschen. Einige dieser Kooperationen haben die Form von informellen Netzwerken, während andere eher formell organisiert sind. Gerade in der ersten Kategorie ist Vertrauen einer der wichtigsten Faktoren.

Nichtstun schließlich eignet sich für Unwägbarkeiten, bei denen Daten über die Wahrscheinlichkeit fehlen, es aber hinreichende Anhaltspunkte dafür gibt, dass im Falle von Zwischenfällen kein schwerer Schaden entsteht. Wenn neue Bedrohungen am Horizont auftauchen, ist es oft eine ganze Weile lang schwierig, ein Gefühl dafür zu bekommen, wie wahrscheinlich es ist, dass sie eintreten, und unter welchen Bedingungen dies geschieht. Verlässliche Daten über Vorfälle im Zusammenhang mit dieser Art von Bedrohung sind nicht leicht zu beschaffen. Wenn dann noch die Auswirkungen eines Vorfalls begrenzt sind, kann man getrost abwarten. Ein Beispiel für diese Art von Ungewissheit im Cyberspace ist die Entdeckung von Schwachstellen, die nicht zu ernsthaften Systemrisiken führen und von (inter)nationalen Organisationen, die aufkommende Bedrohungen kennzeichnen, als „gering“ eingestuft werden.

Risikomanagement, Widerstandsfähigkeit, Regulierung, Vertrauen und Nichtstun können als verschiedene Werkzeuge in einem Werkzeugkasten betrachtet werden. Für manche Herausforderungen ist ein Hammer am besten geeignet, für andere eine Säge oder eine Zange. Das Gleiche gilt für die Reaktion auf verschiedene Unsicherheiten im Cyberspace. Die Wahl des richtigen Werkzeugs für das richtige Problem würde die Bemühungen um die Cybersicherheit insgesamt stärken und die Unsicherheit im Cyberspace erheblich verringern.

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.

Übersetzung Boris Wanzeck, Swiss Infosec AG

Bibi van den Berg in: Computer & Sicherheit; Band 144; Elsevier; 2024

https://doi.org/10.1016/j.cose.2024.103939

http://creativecommons.org/licenses/by/4.0/


© Swiss Infosec AG 2024