Ähnlich wie im Gesundheitswesen, bei Bildung oder Transportsicherheit ist die Cybersicherheit kein Problem fehlender Lösungen, sondern der Umsetzung. In allen diesen Bereichen ist es durch die richtigen persönlichen, regulatorischen oder wirtschaftlichen Anreize gelungen, Vertrauen der Gesellschaft in das System aufzubauen. In der Cybersicherheit haben wir diese Aufgabe noch vor uns.
Zum Glück gibt es für nahezu alle Sicherheitsprobleme auch Lösungen. Auch die Tragweite dieses systemischen Risikos wird langsam besser wahrgenommen. Die einzelnen Unternehmen, die durch Ransomware ihr Geschäft für ein paar Tage herunterfahren, sind das eine. Aber die Sicherheitslücken bei beispielsweise populärer Software wie Log4J oder Lieferketten-Angriffen wie Solarwinds, MOVEit oder 3CX haben gezeigt, dass es mit einem einzelnen Angriff Tausende von Unternehmen treffen kann. Sicherheitslücken oder Lieferketten-Angriffe werden zunehmend ansteckend.
In der Cybersicherheit sitzen wir alle in einem Boot. Aber wie stellen wir sicher, dass auch alle Marktteilnehmer fleißig und gemeinsam im Takt paddeln? Alles eine Frage der richtigen Anreize.
Wie sieht es bei Unternehmen aus?
Bei Anwender-Organisationen variieren die Anreize je nach Industrie. Oft ist Cybersicherheit nur ein weiteres Thema, das irgendwo in der IT geparkt wird und oft nur dank des Chief Information Security Officers (Ciso) auf Vorstandsebene Gehör findet. Nehmen Sie ein hypothetisches Szenario: Der Chief Financial Officer (CFO) legt dem Vorstand enttäuschende Quartalszahlen vor. Statt die Probleme in Zusammenarbeit mit den verschiedenen Geschäftsbereichen anzugehen, wird er beauftragt, die Probleme allein zu lösen. Ein ähnliches Phänomen ist oft in Bezug auf Cybersicherheit zu beobachten und kann nicht funktionieren.
Cybersicherheit zu einem Vorstandsthema zu machen, bedeutet jedoch mehr als nur regelmäßige Berichte des Cisos an den Vorstand. Es erfordert, dass die Geschäftsführung selbst die Vorzüge und Risiken der Cybersicherheit an den Vorstand berichten kann und bei ihm Kapazitäten für die nächste Initiative einfordert.
Was wirklich notwendig ist, sind gezielte Fragen zur Cybersicherheit, die vom Aufsichtsrat oder Vorstand an die Geschäftsführung und nicht nur an den Ciso gestellt werden müssen. Möglicherweise können Initiativen wie der Vorschlag der Security Exchange Commission zum Risikomanagement oder die NIS-2-Richtlinie helfen, das Bewusstsein auf Vorstandsebene und diese Art von (verpflichtenden) Anreizen weiter zu verstärken.
Gehen die Technologieunternehmen mit gutem Beispiel voran?
Nur ein Problem der „Old Economy“? Mitnichten. Auch bei IT-Herstellern sieht es – mit Ausnahme der großen Technologiefirmen – leider weit schlechter aus. Weniger Cybersicherheit in ihren Produkten heißt fast immer mehr Profit, der am Ende übrigbleibt. Es gibt keine Gewährleistungspflicht für die Cybersicherheit.
Gerade im Bereich des Internet of Things wird die Rechnung für Cybersicherheit immer schwieriger. Eine smarte Waschmaschine, die man sich heute kauft, braucht auch nach fünfzehn Jahren weiterhin Patches und damit auch teure Ressourcen, die vorgehalten werden müssen. Einige der großen Unternehmen drehen den Spieß um und positionieren Cybersicherheit daher als Wettbewerbsvorteil (siehe beispielsweise Initiativen wie die Siemens Cybersecurity Charter of Trust). Für den größten Teil der Hersteller funktioniert die Zuckerbrot-Methode aber nicht. Der Staat hilft daher nach. Mit dem Cyber Resilience Act sollen die Hersteller in die Pflicht genommen werden, Security-by-Design-Prinzipien einzuführen.
Parallel ändern sich bei den Herstellern von Cybersicherheitsprodukten die Anreize zu mehr effektiven und integrierten Produkten. Bisher wird der Cybersicherheitsmarkt für jedes kleine Problem mit Produkten überflutet, weil die meisten Anwender nicht in der Lage sind, den Mehrwert der Sicherheitstechnologien zu überprüfen oder sie entsprechend einzubinden.
Wenn ich ein HR- oder CRM-Tool implementiere, sehe ich den Mehrwert innerhalb kürzester Zeit. Bei Cybersicherheitsprodukten jedoch meist erst nach einem Angriff. Das hat dazu geführt, dass viele Unternehmen dutzende oder gar hunderte von Sicherheitsprodukten im Einsatz haben, die nicht nur oftmals ineffektiv sind, sondern zudem nicht integriert. Mit den neuen Validierungstools und unabhängigen Tests wie MITRE ATT&CK ändert sich diese Intransparenz. Der Markt wird langsam bereinigt.
Plattformen als Antwort
Zudem ist das DIY-Zeitalter der Cybersicherheit, in dem man noch jedes Sicherheitsprodukt wie SIEM-Systeme selbst konfigurieren, mit dem eigenen Ökosystem integrieren und gefühlt für jede Gefahr eine eigene Regel schreiben muss, damit endgültig vorbei. Viele Kunden sind einfach nicht in der Lage, diese selbst zu verwalten. Laut Umfragen ist die IT-Sicherheitskonsolidierung für über 77 Prozent der Entscheidungsträger eine Top-Priorität. Dieser Rückenwind und die Möglichkeiten der Cloud und Künstliche Intelligenz helfen den Herstellern, integrierte Plattformen bereitzustellen, die Sicherheitskontrollen wie Angriffserkennung im gesamten Unternehmen im Plug- und Play-Ansatz einführen und ihre Systeme auch für zukünftige Innovationen oder Gefahren aktuell halten. Das Zeitalter der Plattformen bricht an.
Bei Managed Security Service Providern (MSSP) gibt es noch große Unterschiede, wie sie sich aufstellen. Grundsätzlich besteht das Problem, dass viele weder intrinsische noch vertragliche Anreize haben, an der Sicherheit ihrer Kunden zu partizipieren. Zum anderen beschränkt sich der Service auch oft nur auf die Detektion und Reaktion und es gibt wenig Feedback, wie die Prävention verbessert werden kann. Einige MSSPs sind spezialisiert und können dem Kunden über Economies of Scale einen Mehrwert bieten, die anderen versuchen stattdessen, mit jeder beliebigen Sicherheitstechnologie des Kunden zu arbeiten und spezialisieren sich nicht (oft ein Warnsignal).
Welche Anreize gibt es bei den anderen Marktteilnehmern?
Einen der größten intrinsischen Anreize, seine Kunden sicher zu halten, haben die Cyberversicherer. Jeder Angriff schmälert ihre Profitabilität, deshalb sind sie bereits gut aufgestellt. Daher sollte man immer ein offenes Ohr für deren Handlungsempfehlungen haben und Cyberversicherungen möglicherweise bald zur Pflicht machen, wie es einige Länder bereits überlegen.
Auch die akademische Welt hat in den meisten Fällen wenig Interessenkonflikte und ist intrinsisch motiviert, die besten Ansätze für die Cybersicherheit zu finden oder Schwachstellen in Sicherheitskonzepten ausfindig zu machen. Die einzige Hürde ist die Brücke zwischen Theorie und Praxis. Hier sind vor allem noch mehr Kooperationen mit den Herstellern für IT-Sicherheitsprodukte wünschenswert.
Die Wirtschaftlichkeit der Cybersicherheit kann nur vom Staat geregelt werden
Der wichtigste Marktteilnehmer in der Cybersicherheit ist der Staat, weil Sicherheit grundsätzlich ein gesellschaftliches Thema ist und selten vom Markt selbst reguliert wird. Unsicherheit ist oft rentabler als Sicherheit. Und zum Glück ist die Cybersicherheit hoch oben auf die Prioritätenliste gerückt. Das zeigt allein die Reihe an EU-Regularien wie etwa NIS-2, Cyber Resilience Act und DORA, die in den nächsten Jahren in Europa umgesetzt werden müssen.
Die Cybersicherheit soll ein Stück wirtschaftlicher werden, sodass es sich hoffentlich nicht mehr lohnt, darauf zu verzichten. Dabei bleibt zu hoffen, dass gerade für Cybersicherheit, als ein höchst dynamisches Feld, nicht das Wie, sondern das Was mehr in den Vordergrund der Diskussion rückt.
Bei der Umsetzung der NIS-2-Richtlinie steht bereits jetzt die Verantwortung der Geschäftsführung für das Cyberrisikomanagement im Fokus. Für zukünftige Regularien bleibt damit auch Raum für positive Anreize, wie beispielsweise Steuererleichterungen. Es ist immer einfacher, nicht vorzuschreiben, was zu tun ist, sondern den sicheren Weg als den einfachen und profitablen zu gestalten.
Was folgt daraus? Eine sichere digitale Zukunft in Deutschland erfordert eine gemeinsame Anstrengung, die nur durch eine Wirtschaftlichkeit der Cybersicherheit sichergestellt werden kann. Sicherheit muss sich ökonomisch lohnen. Wo es keine ökonomischen Anreize gibt, greift der Staat mittlerweile ein und schafft diese.
Sergej Epp ist Chief Security Officer beim IT-Sicherheitsunternehmen Palo Alto Networks.
