Cyberresilienz: Utopie von heute, Realität von morgen?
Illustration: piqsels.com
Von Stefan Hunziker
Es scheint überflüssig zu erwähnen, dass Cyberrisiken heute eine der weltweit relevantesten Risikokategorien darstellen. Nicht zuletzt hat die durch die Pandemie ausgelöste Verlagerung der Arbeit ins Homeoffice für neue Herausforderungen gesorgt. Generell nehmen wir u. a. Entwicklungen in Richtung digitale Geschäftsmodelle, vernetzte Informations‐, Kommunikations‐ und Lieferketteninfrastrukturen, Cloud‐Computing, Virtualisierung des Arbeits‐ und Privatlebens wahr, die nebst allen Vorteilen auch immer mehr Cyberrisiken bergen. Gelingt es uns, eine angemessene Cyberresilienz gegen die vielfältigen Bedrohungen aus dem Cyberraum zu erreichen?
Cyberrisiken sind hochgradig unvorhersehbar, komplex und entwickeln sich rasant. Diese Eigenschaften machen klassische Risikomanagementprozesse, wie sie heute in den meisten Organisationen gelebt werden, nahezu nutzlos. Viele Cyber-Risiken können im Rahmen der Risikoidentifikation gar nicht identifiziert werden, weil sie noch nicht existieren. Sie sind im Voraus schlicht nicht erkennbar und treten unerwartet ein. Und zum Zeitpunkt der Kenntnis ändern die Cyberangreifer ihre Taktik schon wieder – ein regelrechtes Katz-und-Maus-Spiel. Wenn die klassische Risikoanalyse versagt, kommt die Resilienz ins Spiel. Die Cyberresilienz hat nicht zum Ziel, Cyber-Vorfälle gänzlich zu verhindern, sondern vielmehr sicherzustellen, dass trotz Cybervorfällen die Geschäftsziele erreicht werden können. Dies bedingt u. a. eine schnelle Anpassung an die neue (negative) Situation und die Wiederherstellung der kritischen Geschäftsprozesse. Es wird offensichtlich, dass Cyberresilienz nicht eine reine «IT-Angelegenheit» ist (wie zu oft noch angenommen wird), sondern eine interdisziplinäre Management-Aufgabe mit wirtschaftlichen und menschlichen Dimensionen.
Unterinvestition in die menschlichen Faktoren
Bereits heute werden eine Fülle (primär) technischer Verfahren angewendet, um die Cyberresilienz zu prüfen und zu erhöhen (u. a. Verletzlichkeits-Scans, Penetrationstests, Bug-Bounty‐Programme, Notfall- und Krisenstabsübungen, Awareness-Kampagnen). Allerdings machen diese Massnahmen nur ein Puzzle-Teil der Cyberresilienz aus; die «menschliche Dimension» ist mindestens genauso wichtig. Paradoxerweise ist in der Praxis allerdings eine latente «Unterinvestition» in menschliche Verhaltensweisen zu beobachten. Dafür lassen sich einige Erklärungsansätze aus der Psychologie und Verhaltensökonomik anführen:
- «Übermässiger Optimismus»: Je komplexer und technischer etwas wirkt (Cyberrisiken), desto mehr neigen Menschen aus Selbstschutz dazu, die Dinge zu optimistisch und zu kontrollierbar sehen zu wollen. Für die Praxis bedeutet dies, dass Cyberrisiken in die Geschäftssprache «übersetzt» werden müssen, damit die Leitungsgremien die Auswirkungen von Cybervorfällen auf die Geschäftsziele verstehen.
- «Blindes Vertrauen in Technologie»: Das (übermässige) Vertrauen in die Technologie und die Sicherheitslage einer Organisation aufgrund von technischen Verteidigungsmassnahmen kann kontraproduktiv sein. Hier gilt es klarzustellen, dass in den meisten Fällen der Mensch ursächlich für das Eintreten von Cyberrisiken verantwortlich ist und nicht die Technologie per se.
- «Fluch des Wissens»: Cybersicherheitsexperten/-innen mit umfassender Erfahrung sind für Organisationen sehr wertvoll. Manchmal fällt es ihnen aber schwer, sich in die Lage von IT-Sicherheitslaien zu versetzen. Diese unbewusste Voreingenommenheit kann mitunter ein Hinderungsgrund sein, dass eine effektive, benutzerfreundliche IT-Sicherheit entwickelt wird.
- «Überschätzung der eigenen Cybersicherheit»: Leitungsgremien könnten das bisherige Ausbleiben von Cybervorfällen auf ausreichende Investitionen in die Cybersicherheit zurückführen. Allerdings könnte es aber auch einfach Glück sein, bis anhin von einem grösseren Vorfall verschont geblieben zu sein. Heute macht es Sinn, sich das «Assume-Breach-Paradigma» zu verinnerlichen und davon auszugehen, dass man selbst einmal betroffen sein wird.
- «Prävention vor Resilienz»: Cyberrisiken möglichst zu verhindern und deshalb viel in die Prävention zu investieren ist attraktiver als sich mit Schadensbegrenzung bei Risikoeintritt befassen zu müssen. Im klassischen Risikomanagement haben «präventive Massnahmen» einen hohen Stellenwert. Es könnte jedoch der falsche Eindruck entstehen, dass präventive Massnahmen Cyberrisikoeintritte verunmöglichen und sich Organisationen deshalb weniger auf Resilienz fokussieren müssen.
- «Geschäft vor Sicherheit»: Digitale Geschäftsmodelle und neue Technologien eröffnen Wachstumschancen, denen sich Unternehmen nicht entziehen können. Dies führt zu Entscheidungssituationen, in denen Erfolgsaussichten (zumindest kurzfristig) die Cybersicherheit dominieren können.
- «Verinnerlichung der (Cyber-)Hygiene»: In der Medizin weiss man schon lange (!), dass eingewöhnte menschliche Verhaltensweisen viele Ansteckungen und Übertragungen von Krankheiten verhindern (u. a. diszipliniertes Händewaschen, Abstand einhalten). Die Cyberhygiene ist heute unbestritten auch ein wichtiges Thema. Allerdings zeigen aktuelle Beispiele immer wieder, dass hier noch hohes Optimierungspotenzial besteht.
Fazit
Eine absolute Cyberresilienz ist und bleibt Utopie. Sie steht im Widerspruch zur Unvorhersehbarkeit der Zukunft, ist technisch und organisatorisch nicht zu bewerkstelligen und ökonomisch nicht tragbar. Eine «angemessene» Cyberresilienz in Abhängigkeit der Risikobereitschaft von Unternehmen ist jedoch durchaus realisierbar. Investitionen in die Cyberresilienz lohnen sich langfristig, weil sie Organisationen weniger fragil und anpassungsfähiger machen und einen Wettbewerbsvorteil verschaffen. Die Kentniss der Gründe für die latente Unterinvestition in den Menschen schaffen eine wichtige Basis auf dem Weg zu wirkungsvoller Cyberresilienz.