Public Private Partnership

Staaten im Fadenkreuz von Cyber-Kriminellen

| Autor / Redakteur: Martin Igler / Susanne Ehneß

Hindernisse

Dabei sind zunächst einmal einige Hindernisse aus dem Weg zu räumen. In vielen Ländern liegt der Betrieb kritischer Infrastrukturen sowie der physischen Komponenten (Kommunikations­netze) des Cyberspace in der Hand privater Unternehmen. Eine unmittelbare Kontrolle ist daher nicht oder aber nicht so einfach realisierbar. Selbst die Standardisierung und Regulierung des Internets liegt nicht immer in der Hand nationaler Regierungen, sondern zum Beispiel bei Normungsorganisationen wie beispielsweise der Internet ­Engineering Task Force, in der die Regierungen nur ein begrenztes Mitspracherecht haben.

Darüber hinaus haben Regierungen und private Unternehmen grundsätzlich unterschiedliche Interessen. Regierungen werden auch dafür gewählt, die nationale Sicherheit zu gewährleisten und für die Bevölkerung ein Umfeld zu schaffen und zu erhalten, das der Wirtschaft förderlich ist. Private Unternehmen dagegen werden von dem Ziel Gewinne zu erzielen und den Interessen ihrer Aktionäre zu dienen bestimmt.

In Sachen Cyber-Sicherheit tun sie viel zu oft nur das, was sie für ausreichend und vor allem wirtschaftlich vertretbar halten. In der Sicht einiger Unternehmenslenker verringert jeder zusätzlich für Sicherheit ausgegebene Dollar kurz­fristig die Bilanz und damit den Shareholder Value. Anreize für Investitionen in zusätzliche Sicherheitsmaßnahmen werden oft erst dann erkannt, wenn ein Schaden eingetreten ist. Das war zu Anfangs­zeiten der IT im Fall von Backup-Systemen der Fall und gilt heute für ­Cyber-Attacken.

Regulierung

Aktuell stehen Regierungen vor enormen Aufgaben, um für die Bürger der von ihnen repräsentierten Ländern auch nur ein Mindestmaß an Cyber-Sicherheit zu gewährleisten. Reflexartig wird relativ schnell nach umfangreichen Regulierungen gerufen. Ein Ansatz, den Sicherheitsexperte Kah-Kin Ho nicht für optimal hält. „Bei Regulierungen geht es zumeist um einen ‚One size fits all‘-Ansatz, durch den jede Branche identischen Schutzmaßnahmen unterliegt“, warnt Kah-Kin Ho. Und ein Patentrezept gebe es nicht, da sich sowohl Cyber-Attacken als auch Gegenmaßnahmen in rasantem Tempo entwickelten. Zudem würden Regulierungen die unterschiedlichen Anforderungen verschiedener Branchen nicht genügend berücksichtigen.

An der Schnittstelle zwischen Regierungsinteressen und den Sichtweisen privatwirtschaftlicher Unternehmen, die sich besonders stark beim Betrieb kritischer Infra­strukturen zeigen, lassen sich die unterschiedlichen Sichtweisen ­beider Interessengruppen gut verdeutlichen.

Verschiedene Interessen

Das Argument der Regierungen lautet, dass Unternehmen durch die IT-gestützte Automatisierung von Abläufen enorme Effizienz­gewinne erzielt haben.

Beispielsweise können Banken ihr Geschäft effizienter betreiben, indem sie ihren Kunden erlauben, Home-Banking durchzuführen, ­ohne mit einem Sachbearbeiter zu interagieren. Energieversorger schicken kein Personal mehr zur manuellen Betätigung von Ventilen oder Schaltern, die sich weit entfernt von zentralen Betriebsstätten befinden. Vielmehr wird die gleiche Operation von einer Maschine aus gesteuert, mit minimalem Eingriff durch Menschen.

Aus diesen Gründen wird argumentiert, dass der Privatsektor nicht nur die Effizienzgewinne einer solchen Automatisierung und Computerisierung nutzen dürfe, sondern auch an den Lasten bei der Absicherung der Infrastruktur beteiligt werden sollte.

Die Privatwirtschaft ist dagegen der Auffassung, dass die Sicherung der nationalen Infrastruktur eine der grundlegendsten Aufgaben von Regierungen ist. Niemand, so argumentieren sie, könne erwarten, dass der Betreiber eines Wasserkraftwerks seine Dämme gegen ballistische Raketen schütze. Es wird argumentiert, dass kein Unterschied gemacht werden dürfe zwischen konventionellen Angriffen und Cyber-Attacken, die in ­letzter Konsequenz zu ähnlichen Schäden führen könnten.

Auf der nächsten Seite: Eine Sache, die Regierungen niemals tun sollten.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
IT-Sicherheit muss weder kompliziert, noch teuer sein. Schon mit einfachen Mitteln kann der...  lesen
posted am 12.02.2019 um 12:37 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45737705 / Standards & Technologie)