Über Stringenz, Neusprech und Inklusion

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist heuer 30 Jahre alt geworden – zahlreiche Grußbotschaften gab es unter anderem auf dem 17. Deutschen IT-Sicherheitskongress (s. S. 22) und auch von uns an dieser Stelle: Herzliche Glückwünsche und alles Gute! Viel ist passiert in diesen 30 Jahren – besonders viel rund um die vormalige „elektronische Datenverarbeitung“ (EDV), die sich bereits zur Gründung des BSI zur „Informationstechnik“ (IT) ausgewachsen hatte. Heute bezeichnet sich das BSI als „Cyber-Sicherheitsbehörde“, die „Informationssicherheit in der Digitalisierung ... gestaltet.“

Hier zeigen sich gleich mehrere Paradigmenwechsel: EDV-/IT-/Daten-Sicherheit entspringen mit ihrer Ausrichtung auf verarbeitende oder speichernde Systeme noch der Zeit, als Computer die mehr oder minder allein stehende elektronische Variante von Schreib- oder Rechenmaschine, Aktenschrank oder Prozesssteuerung waren (bzw. Disketten, Bänder etc. eine Alternative zum Aktenordner). Mit zunehmender Leistungsfähigkeit und Vernetzung rückten später die eigentlichen Informationen als Schutzziel in den Mittelpunkt – als wesentliche Ressourcen, egal wo und in welchem Zustand sie sich gerade befinden. Folgerichtig sprach man zunehmend (auch) von Informationssicherheit. Die 1985 als Zeitschrift für „Kommunikations- und EDV-Sicherheit“ gegründete „KES“ hat diesen Schritt 2003 auch mit dem Wechsel zu ihrem jetzigen Untertitel vollzogen.

Ist „Cybersicherheit“ nun der nächste Schritt? Kommt drauf an: Seine Bedeutung der virtuellen Realität im Sinne einer Scheinwelt hat der Cyberspace wohl mittlerweile weitgehend abgelegt. Wer „cyber“ sagt, denkt wohl meist Cyber-/Informations-Raum im Sinne sämtlicher mit dem Internet und vergleichbaren Netzen verbundener IT inklusive darauf basierender Kommunikation, Anwendungen, Prozesse und verarbeiteten Informationen (so in etwa die Definition des BSI). Das ist einerseits mehr als die Summe der Technik und erfasst beispielsweise auch Ansätze wie „Big Data“ sowie das Internet der Dinge (IoT) und vernetzte „Operational Technology“ (OT, vgl. S. 46) – andererseits lässt es noch Raum für Informationen, die eben nicht von dieser Basis erfasst werden, sowie für Menschen und nicht-vernetzte Prozesse. Und zur Informationssicherheit, die häufig organsisationsspezifische Schutzziele benötigt, grenzt sich Cybersicherheit durch ihren eher holistischen Fokus ab.

Im Sinne der Kybernetik könnte man vielleicht auch noch den (bereits selbst mehr oder minder vernetzten) Menschen in seiner Steuerungs- und Schnittstellenfunktion zur IT mit einbeziehen und so den Cyberraum als noch größeres soziologisch-technisches System verstehen. Der Datenschutzpionier Wilhelm Steinmüller hatte bereits 1978 bei „riskanten Systemen“ eine Betrachtung des Gesamtsystems inklusive der Umwelt und der in und mit ihm handelnden Menschen propagiert. Dann hätten wir nicht länger als „Faktor Mensch“ Auswirkungen auf die Informations- und IT-Sicherheit, sondern wären „gleichberechtigter Sensor und Aktor“ innerhalb der Cybersicherheit. Ob man das nun als schön oder schaurig empfindet, sei dahingestellt – zumindest wäre der Mensch dann aber integraler Teil des Ganzen.