Den Ergebnissen einer Umfrage unter 100 Entscheidungsträger:inne:n auf C-Level in Unternehmen mit mehr als 1000 Mitarbeitern zufolge „bewertet die Führungsriege in Deutschland Cyberbedrohungen (47 %) zwar als ein ebenso großes Risiko für ihr Unternehmen wie das sich derzeit verschlechternde wirtschaftliche Umfeld (47 %), jedoch mangelt es gleichzeitig am Verständnis grundlegender Cybersicherheits-bezogener Begriffe. So sorgen beispielsweise vermeintlich gängige Begriffe wie Malware oder Ransomware für Verwirrung.“ (Kaspersky, Feb. 2023)
Wie bitte? Da können wir nur hoffen, dass Sie, werte:r Leser:in mit einer verständigeren Geschäftsführung gesegnet sind. Zyniker könnten auch befürchten, dass manche Unternehmenslenker:innen „das mit der Sicherheit“ gar nicht wirklich verstehen wollen, denn sonst müssten sie ja vielleicht mehr tun – oder lassen. Wie auch immer, könnte das andere Meldungen erklären wie: „Knapp die Hälfte aller Onlineshops verzichtet auf automatische Sicherheits-Updates und ganze 40 % verfügen über keinerlei Firewall- oder Filterstrukturen“ (Hiscox, Dez. 2022) – ok, diese Hälfte hat ziemlich sicher kein <kes>-Abo. Aber den von der nachfolgenden Schlagzeile Betroffenen würde man das schon zutrauen, wenn sie denn hierzulande ansässig wären: „Nearly 90% of the Pentagon supply chain fails basic cybersecurity requirements“ (Atlas VPN, Jan. 2023) – Whaaat?</kes>
Wenn also schon Rüstungszulieferer „versagen“, wundert es kaum noch, dass man auch Betreibern kritischer Infrastruktur (Anwesende natürlich ausgenommen) erst ein Gesetz widmen musste, damit diese auch in digitalen Zeiten als sicher gelten können (sollen würden müssten – Sie verstehen schon). Und auch auf europäischer Ebene vergrößert nun die NIS-2-Richtlinie den Kreis der von der Regulierung betroffenen Organisationen (vgl. S. 19). Digitalisierung kann nur mit Sicherheit und Datenschutz nachhaltig funktionieren (vgl. S. 16) – mehr Einsicht in diese schlichte Feststellung würde den Regulierungsdruck vermutlich senken.
Denn wo die Einsicht in solche Zusammenhänge fehlt, wird es früher oder später zu einer Regulierung kommen, die versucht, den gewünschten Zustand erst einmal mehr oder minder gut zu definieren und dann mit mehr oder minder drakonischen Bußgeldern und Strafen einzufordern. Die damit einhergehenden Auslegungs-Unsicherheiten, Bürokratisierungsoverloads sowie gelegentlichen „Kollateralschäden“ durch Über- oder Fehlregulierung sind in einem weniger guten Sinne dann meist ebenfalls „nachhaltig“ – ebenso wie der Aufwand, um die Einhaltung der Vorschriften zu kontrollieren, wenn sich denn wirklich etwas ändern soll.
Letztlich machen es Security und Compliance im eigenen Hause ja auch nicht anders: Wo Einsicht, Wille oder Befähigung fehlen, der gesunde Menschenverstand und/oder die Vernunft versagen, wird halt „reguliert“. Leider zeigt sich auf jedweder Ebene, dass zwischen „Einsicht“ und „Aufsicht“ aber kein Exklusiv-Oder steht: Denn auch bei bestehender Regulierung zeigen sich ohne Einsicht in deren Notwendigkeit oder zumindest Ziele vielfache Widerstände, gegen die man dann weiter mühsam ankämpfen muss – egal ob in der Chefetage oder auf der Nutzerebene.
Dabei sind „die Nutzer“ – zumindest in ihrer Rolle als Bürger – mit dem Stand der Dinge und der Regulierung offenbar auch nicht zufrieden: „Noch schlechter schneidet aus Sicht der Bevölkerung der Bereich Cybersicherheit ab: Hier rutschten die Zufriedenheitswerte seit September 2021 von 3,4 auf 1,6 Prozent. Zuletzt erklärte knapp jede:r Zweite die Cybersicherheit als dringlichste digitalpolitische Aufgabe der Bundesregierung.“ (eco, Dez. 2022) Hoffentlich gibt es bei den derart unzufriedenen Bürgern dann auch etwas mehr Einsicht dafür, dass in Sachen Sicherheit nicht nur andere tätig werden müssen.
