Cyberresilienz : Warum Cyberresilienz eine gesamtgesellschaftliche Aufgabe ist

Von der TikTok-Generation bis zu Senior:innen mit WhatsApp oder Smart-TV: Digitale Produkte  dominieren den Alltag und erfordern, dass alle Bürger:innen ihren Beitrag zur Sicherheit im Cyber- und Informationsraum leisten.

Kurzfristig muss die Zielsetzung angesichts der steigenden Bedrohungslage sein, das Bewusstsein aller für die Gefahren und Risiken im Cyber- und Informationsraum zu schärfen. Verträgliche Handlungsanleitungen zur Erhöhung des Schutzniveaus eigener IT-Systeme müssen übermittelt, über gegenwärtige Entwicklungen fortlaufend informiert werden. Dafür ist es notwendig, den Begriff „Cyber“ zu entmystifizieren. Auf mittlere und lange Sicht könnte so neben einer erhöhten Resilienz auch das Interesse an IT-spezifischen Berufen gesteigert und dem bestehenden akuten Fachkräftemangel entgegengewirkt werden. Hierzu bedarf es jedoch eines ganzheitlichen Ansatzes.

Informatik als Pflichtfach und Seminar- und Projektwochen an Schulen und Universitäten 

Niedersachsen hat jüngst vorgemacht, wie es geht. Das Kultusministerium teilte mit, ab Sommer 2023 werde die Möglichkeit geschaffen, Informatik als Pflichtfach einzuführen. Die anderen Bundesländer müssen nun nachziehen. Neben der Vermittlung von Informatik-Basiswissen sind die vertiefte Auseinandersetzung mit Medien sowie die frühe Schulung von Medienkompetenz unerlässlich und sollten verstärkt zum Gegenstand der Ausbildung gemacht werden.

Themenspezifische Seminar- und Projektwochen im Schuljahr oder universitären Semester sind darüber hinaus eine zusätzliche Gelegenheit zur Integration von IT-Inhalten in die Lehre – idealerweise begleitet durch Referent:innen aus Think-Tanks, politischen Organisationen oder Verbänden. Denn auch Lehrkräfte an Schulen und Universitäten könnten fachliche Unterstützung bei adäquater, legitimierter Wissensvermittlung benötigen.

Betriebliche Fort- und Weiterbildungen für Arbeitnehmer:innen anbieten

Cybersicherheit in Unternehmen muss zwar vordergründig „Chefsache“ bleiben. Dennoch darf ein gewisses Bewusstsein auch in den Köpfen von Arbeitnehmer:innen nicht fehlen. Aus dem Praxisreport Mittelstand 2021/22, den der Verein „Deutschland sicher im Netz“ erstellt hat, geht hervor, dass 64 Prozent der kleinen und mittelständischen Unternehmen keine Maßnahmen zur Angriffserkennung ergreifen würden und mehr als ein Drittel keine IT-Notfallpläne besäßen. Die Bereitschaft von Unternehmen zu größeren Investitionen in die IT-Sicherheit muss zunehmen.

Durch Informationseinheiten sowie Fort- und Weiterbildungen kann es gelingen, die Belegschaft fortwährend zu schulen, und sie auf Gefahren und Risiken aufmerksam zu machen. Regelmäßige Penetrationstests, etwa mit inszenierten Social-Engineering-Angriffen, müssen die Verwundbarkeit der Systeme und die menschlichen Schwachstellen sichtbar machen. Nur so kann eine tatsächliche Verhaltensänderung bewirkt werden. Sicherheit in vernetzten Systemen kann nur im Kollektiv gewährleistet werden. Auch die Abläufe und zu treffenden Vorkehrungen bei einem Cybervorfall müssen innerhalb des Unternehmens regelmäßig besprochen und vor allem praktisch geübt werden ­– sie sollten genauso zum Standard gehören wie Übungen zum Brandschutz.

Mittels Umschulungsangebote dem Fachkräftemangel entgegenwirken

Der IT-Fachkräftemangel am Arbeitsmarkt nimmt weiter zu, gleichzeitig werden neue Richtlinien wie etwa die NIS-2-Richtlinie die Anforderungen an Unternehmen deutlich erhöhen. Der Markt reagiert bereits auf die hohe Nachfrage und fehlende IT-Fachkräfte: Die Gehälter steigen und die Arbeitsbedingungen werden attraktiver, doch Unternehmen müssen gezielter eingreifen und alternativ tätig werden, da vorhandene Fachkräfte den Bedarf nicht ansatzweise decken. So sollten betrieblich geförderte Umschulungsangebote für Personal attraktiv gestaltet werden, um bereits kurz- oder mittelfristig dem Personalnotstand zumindest etwas zu begegnen.

Die gesamtgesellschaftliche Dimension durch den deutschlandweiten „Cyberday“ eröffnen

Darüber hinaus sollte es einen „Cyberday“ für alle geben. Im Rahmen eines bundesweiten Aktionstages mit Informationsveranstaltungen und Dialogprogrammen in Kommunen und Städten, auf Parkplätzen von Einzelhandelsgeschäften, vor Sportplätzen oder anderen Begegnungsstätten soll über den Cyberraum aufgeklärt werden. „Cyber“ entmystifizieren, Gefahren und Bedrohungen aufzeigen, Handlungsempfehlungen überbringen und Verhaltensänderungen herbeiführen, sollte dabei die Devise sein.

Die Information und Wissensvermittlung rund um IT-Sicherheit können nur der Anfang sein. Im Sinne einer human centered security muss allen bewusst werden, dass die kollektive Eigenverantwortlichkeit entscheidend ist und dass ein hohes Sicherheitsniveau privater und betrieblicher Systeme, nur gesamtgesellschaftlich erreicht werden kann. Während einige Akteure aus ihrer Position heraus in der Lage sind, Anreize zu schaffen und Impulse gezielt zu setzen, darf sich die Gesellschaft nicht auf dieser Delegation der Verantwortung ausruhen. Denn Top-Down-Ansätze allein werden nicht ausreichen, um die nationale Resilienz langfristig zu stärken. Sicherheit im Cyber- und Informationsraum ist Aufgabe der gesamten Gesellschaft, ganz gleich ob Politik, Verwaltung, Wirtschaft, Militär oder Zivilgesellschaft.

Ferdinand Alexander Gehringer ist Experte für Cybersicherheit in der Abteilung Internationale Politik und Sicherheit der Konrad-Adenauer-Stiftung e.V.