Jusletter IT

Sicherheit ist gekennzeichnet durch den Spagat zwischen Schutzzielsetzungen, schutzwürdigen Bereichen, getroffenen oder geplanten Schutzmaßnahmen und dem Gegenpart von Angriffen, ein Wettlauf zwischen Angreifern und Verteidigern. Ein Realitätscheck zur aktuellen Situation unter Nutzung wissenschaftstheoretischer Analysen zur Bewertung von Methoden der Cybersecurity trifft auf die Gesellschaft, die Praxis in Behörden, Unternehmen, bei Service-Providern und Produktherstellern. Der Trend zur digitalen Gesellschaft und dem ständigen Einsatz von Informations- und Kommunikations-Technologie (IKT) verstärkt die Abhängigkeit von Cybersecurity. Normen (Gesetze) und Standards (Industrienormen) stützen Vorsorge, Aktionen im Problemfall und die Analyse von Sicherheitsvorfällen (Forensik). Die Bewertung bezieht den Nutzenbeitrag zur Stützung übergeordneter Schutz-Ziele ein. Technik, Betrieb, Nutzung, Standards und Normen sowie erweiterte IKT-Anforderungen stehen im Fokus zunehmender Attacken und der Akzeptanz in der Gesellschaft. Die Ergebnisse werden aus einer Metasicht der Wissenschaftstheorie¹ betrachtet.

Vor Beginn einer Analyse von Cybersecurity-Methoden steht die Betrachtung möglicher Ursachen von Sicherheitsverstößen. Im Ursachen-Umfeld finden sich nicht beeinflussbare oder vorhersagbare Auslöser wie Naturkatastrophen (Hochwasser, Erdbeben, Tsunami, Unwetter, etc.) oder politische Ereignisse (Streiks, Krieg, Aufstände). Vorsorge-Methoden konzentrieren sich auf physische Sicherheitsmaßnahmen, Standortwahl und -alternativen sowie Sicherheit für Daten und Menschen. Das Kernfeld zur Cybersecurity umfasst das permanent hohe Angriffsniveau z.B. mit neuer Malware² aus Terrorismus, Spionage, Geheimdiensten, politischen Organisationen (NGO), organisierter Kriminalität bis hin zur Hackerszene. Angreifer finden sich als Einzeltäter bis zu wohl organisierten Einheiten mit teils nicht vorstellbarer finanzieller und technischer Ausstattung. Weitere Risiken ergeben sich aus Eigenverschulden beim Verlust von IKT-Systemen (Smartphones, Tablets, USB-Sticks) und reichen bis zur kriminellen Energie (Diebstahl, heimlicher Zugriff, Ausspähung von Daten an Arbeitsplätzen, in öffentlichen Einrichtungen Anzapfen von Übertragungswegen oder ungeschützte WLANs). Künftige Zielgebiete werden autonome Systeme und intelligente Netze (Robotik, Steuerungen, Assistenzsysteme in Automobilen, Ausbau der E-Mobilität) sowie neue Anwendungen (digitales Gesundheitswesens, eGovernment, eBanking) mit neuen Angriffszielen und Sicherheitslücken. Das Kuratorium Sicheres Österreich (KSÖ) beschreibt heutige potentielle Risiken und stellt in einer Matrix gewichtete Ursachen aus Sicht von Betroffenen dar [KSÖ b, 2012]; dies ähnelt vergleichbaren Untersuchungen / Strategien³ in Deutschland.

Aktuell rückt der Terror⁴ gegenüber Menschen und Einrichtungen in den Vordergrund. Typische Handlungsweisen mit Terror und Aktionen des Extremismus zeigen als deren unverzichtbare Basis die Nutzung modernster Kommunikationswege über verschleierte IKT-Komponenten zur schnellen Koordination bei Terror-Anschlägen. Cyberangriffe betreffen auch die allgemeine Sicherheit (ein Angriff erhöht das Risiko einer Störung der öffentlich genutzten IKT Infrastruktur). Vorsorge erfordert präventiv wirkende Maßnahmen und über klassische Abwehrtechniken hinaus bereits im Vorfeld Auswertungen im Netz.

Auf Expertenebene ist klar, es kann keine 100%ige Sicherheit geben. In der Bevölkerung wächst die Sorge um öffentliches freies Leben, nimmt Angst zu und es wird mit Risiken und Einschränkungen⁵ der Freiheit des Menschen gerechnet bis zum Missbrauch gespeicherter Daten und Freiheitsverlust (z.B. Telekommunikationsgeheimnis). Dies ist unabhängig von der Zuordnung⁶ zu Begriffen wie Cyber-War, Cyber-Terrorismus, Cyber-Kriminalität oder Cyber-Spionage. Weltweite Attacken auf die Cybersecurity finden immer wieder auf unterschiedliche Ziele statt, verbunden mit sich rasch ändernden Randbedingungen. Mit Cybersecurity-Strategien, Methoden⁷ bis hin zu nationalen Cyber-Abwehrzentren, gemeinsamen Melde- und Lagezentren und Cybercrime-Kompeten-Zentren⁸ wird versucht, Angriffe koordiniert zu begegnen und zum Scheitern zu bringen. Ein großes Manko resultiert in Deutschland in Folge der föderalen Struktur und unterschiedlichsten zu beteiligenden Organisationen auf Bundes-, Landes und Kommunal-Ebene. Das Bundesamt für Sicherheit in der Informationstechnik in Deutschland (BSI) propagiert (ebenso wie das KSÖ) Bedarf zur Verbesserung einer «staatliche[n] und unternehmerische[n] Sicherheitsvorsorge» gestützt durch gegenseitige Information zur «Risikoanalyse und -bewertung, zu konkreten Sicherheitsstrategien⁹ und zu vorhandenen sicherheitsrelevanten Fähigkeiten» [KSÖ b, 2012, 2].

Zur Analyse sind die betroffenen Bereiche segmentiert zu betrachten, so die breite Bevölkerung, mittelständische Unternehmen, kleine Einrichtungen und andererseits große Behörden, Forschungseinrichtungen und Unternehmen. Eine andere Segmentierung gliedert die IKT-Systeme von klassischen Arbeitsplatzsystemen, Servern, Großrechnern bis hin zu neuen Technologien wie Robotik, autonome Systeme, neue allgemeine bzw. künftige Anwendungen (Gesundheitskarte, allgemeine Überwachungssysteme, Haus- und Senioren-Unterstützung) bis hin zu Drohnen mit ihren verschiedenartigen Einsatzgebieten, überall wird wesentlicher Einfluss vom Staat gefordert. Zu diesen Segmenten wurde durch viele Beteiligten in Österreich in der KSÖ-Studie Risikofelder und deren Bedeutung erarbeitet. Dabei fehlen noch eine Reihe der oben aufgezeigten Segmente (deren Bedeutung hat erst in den letzten Jahren zugenommen). KSÖ nennt als Topthemen «manipulierte IKT-Systeme der Energieerzeugung und -versorgung», gefolgt von «Cybercrime, Social Engineering, fahrlässiges Verhalten in strategischen Infrastrukturbetrieben und mangelndes Sicherheitsbewusstsein» [KSÖ b, 2012, 8]. Als großen Risikofaktor bezeichnet KSÖ unter den fünf Topthemen den Mensch und verweist dazu, die «Experten lassen damit keinen Zweifel daran, dass alle Bemühungen im Bereich der Cybersicherheit mit der Expertise der Mitarbeitenden – und in weiterer Folge aller IKT-Nutzer – stehen und fallen» [KSÖ b, 2012, 8]. Dies gilt bereits lange für das Thema Sicherheit in Unternehmen, ein Mensch gilt mit potentiellem Fehlverhalten immer als nicht analysierbar oder vorhersagbar und stellt damit ein unkalkulierbares Risiko dar.

Mit einem interdisziplinären Ansatz kann eine Bündelung entsprechender Methoden in Studien aufzeigen, «wie vorhandene Defizite in der Erkennung, der Abwehr und der Bewältigung von Cyberrisiken in Österreich überwunden und vorhandene Stärken ausgebaut werden können.» [KSÖ b, 2012, 7]. Passend verweist das KSÖ in seinem geschichtlichen Rückblick¹⁰ auf die gesellschaftlich Bedeutung [KSÖ a, 2015a].

Ein weiterer Methodenkomplex umfasst Austausch (Expertenebene, Foren, Kongressen) mittels Netzwerkbildung sowie Informationsverteilung in Medien. Die Methodenanalyse (beispielsweise BSI, KSÖ) identifiziert aus Sicht der Metaebene der Wissenschaftstheorie technische, organisatorische und kommunikative Ebenen und Betrachtungsweisen, sichtbare und verborgene Bereiche, Strukturen, Organisationsformen sowie Handlungsbereiche zu Bereichen von Sicherheit und Cybersecurity. Dabei stößt man in Bereiche vor, in denen Methoden bereits teilweise durch Algorithmen und Programme gestützt abgearbeitet oder komprimiert visualisiert werden, um unter hohem Zeitdruck zu helfen, notwendige Entscheidungen zu treffen und Sicherheitsrisiken zu verringern. 

Zur Frage nach der Tragweite der durch das BSI oder das KSÖ gestützten Methoden zu Sicherheitsstandards könnten empirische bzw. wissenschaftssoziologische Untersuchungen dies öffentlich nachweisen und konkrete Wirkungen auf die Nutzer von IKT zeigen. Es ist belegt¹¹, dass Wissensaustausch und Kommunikation auf Expertenebene durch Austausch von Ergebnissen, Entwicklungen, Erfolgen und Thesen zu Integration und neuen Ideen führen. Informelle Gespräche zwischen Teilnehmern liefern wesentliche Impulse zu künftigen Entwicklungen, Korrekturen und Weichenstellungen für die Zukunft. Insofern ist dieser Methodeneinsatz für die Expertenebene positiv zu bewerten.

Information zur Sicherheit von IKT in der Gesellschaft erreicht die Betroffenen nicht in ausreichender Wirkung. Menschen fühlen sich durch Maßnahmen im Umfeld der Cybersecurity eher behindert als unterstützt. Menschen verkennen die Wichtigkeit ihres von sich selbst zu leistenden Beitrags zum Aufbau eines höheren Sicherheitsniveaus. Deutlich wird dies z.B. bei der Passwortvergabe¹² beim Umgang mit Zugangsberechtigungen. Dies alles passiert, obwohl bekannt ist, dass die meisten der erfolgreichen Angriffe¹³ durch Malware auf Ausspähung von Zugriffsberechtigungen und zugehöriger Passwörter basieren. Offenbar sind die eingesetzten Kommunikations- und Schulungs-Methoden nicht ausreichend, um zur Erhöhung der Akzeptanz und zur Eigenleistung zur Sicherheit in der Gesellschaft zu motivieren. Dieses Angriffsniveau zeigt die Bedeutung der Forderung nach persönlicher Bereitschaft, selbst aktiv zu werden und nicht nur durch Restriktionen erzwungen zu handeln. Virenschutzanbieter wiegen Menschen in großer Sicherheit, obwohl dies nur teilweise¹⁴ zutrifft. Die Behebung originärer Schwachstellen in Betriebssystemen und Anwendungen passiert nur in noch zu grossen Zeitabständen, Sicherheitskopien und Sicherheitsgenerationen eigener Daten fehlen oft, aktueller Schutz und Verschlüsselung von Netzwerkkomponenten, WLAN und Rechnern ist oft nicht vorhanden. Nach einer Sicherheitsstörung (wie beim Hardware-Defekt) werden zuvor nicht beachtete Risiken und fehlende Wiederherstellungsbasis für die Betroffenen ersichtlich. Die Unkenntnis vieler Verbraucher ist erschreckend¹⁵. Schadensbeseitigung und Ermittlung¹⁶ eines Fremdverursachers sind dem Nutzer meist nicht möglich.

Ein ganzes Bündel von Standards (im üblichen Sprachgebrauch als Industrie-Normen bezeichnet) stützen Datenschutz und Cybersecurity. Dazu zählen ISO/EN-Normen und ihre Ausführungsbestimmungen/-Hinweise sowie Sicherheits-Portfolios¹⁷. Die Erstellung erfordert eine Abstimmung in Normierungsgremien für europäische Standards. Leider sind Forderungen mit Ausrichtung auf Technologien schon bei der Veröffentlichung teils veraltet oder in der Praxis überholt. Mit der Veröffentlichung einer Norm ist diese noch nicht etabliert, zuerst sind Experten zur Umsetzung und Überprüfung (Auditoren) zu qualifizieren, dann Umsetzungsprojekte und Lernkurven zu starten.

Rechtstheorie und Rechtsphilosophie liefern Methoden und Kriterien zur Beurteilung von Normen, allerdings lassen sie sich nicht einfach aus einer Dogmatik aufbereiten, sie erfordern nach Arthur Kaufmann¹⁸ auch heute noch kritisches Mitdenken und Nachdenken. Nach Kaufmann geht es in Deutschland bei der vielfältig auslegbaren Rechtsphilosophie um die Bandbreite zwischen den diametralen Standpunkten zu «Naturrecht und Rechtspositivismus» und der Weiterentwicklung zum «gerechten Gesetz» bis zur Zuordnung der «Rechtsphilosophie [… als] Teil der Philosophie» [Kaufmann, 1971, 6/7] und um das Spektrum¹⁹ zwischen Naturrecht und Rechtspositivismus. Zur Methodenanalyse liefert Niklas Luhmann mit seiner Systemtheorie, seinem Verständnis zu Recht als System und der Einbeziehung von Soziologie eine Definition von Legitimation [vgl. Luhmann, 1972, 259] und in den Untersuchungen an der Grenze zwischen empirischen und normativen Forschungsbereichen [vgl. Luhmann, 1972, 343] einen Fundus für rechtsphilosophische, soziologische und methodologische Maßstäbe²⁰ zur Bewertung. Einen weitergehenden Ansatz liefert Michel Foucault mit seiner Diskursanalyse [vgl. Dirk Verdicchio in: Maasen et al., 2012, 101] unter Einbeziehung von Praktiken, Artefakten, Bildern und Technologien neben sprachlichen Äußerungen. Nicht alle Ansätze sind in der Realität von Wissen und Macht angekommen. Daher wird nachfolgend die Frage nach Wirkung und Nutzen mit einem methodischen Nachdenken über Umgang und Handlungsfähigkeit auf den verschiedenen Arbeitsgebieten der Cybersecurity angewandt.

Auf Grund schneller technologischer Entwicklung in der IKT fehlen immer wieder aktuell passende Gesetze oder existierende Regeln sind technisch veraltet oder man trifft auf die bereits bei Industriestandards erörterten Probleme des Zeitverzugs zwischen technischer Entwicklung und Gesetzes-Formulierung. Erschwert bieten Gesetze durch nationale Ausprägung nur partielle Unterstützung für eine effektive Cybersecurity im internationalen Umfeld. Das deutsche «Gesetz²¹ zur Erhöhung der Sicherheit informationstechnischer Systeme (IT Sicherheitsgesetz)» macht bisher freiwillig vereinbarte Formen der Zusammenarbeit durch Änderung verschiedener Gesetze zu einer normativen Verpflichtung. Schwierigkeiten bei der Erarbeitung sind typisch für ein neu zu regelndes Umfeld mit hoher Dynamik und vielen Beteiligten und Betroffenen. Das neue IT-Sicherheitsrecht findet sich traditionell im klassischen «technischen Sicherheitsrecht» wieder, in dessen Rahmen sich ein «dichtes Kontrollnetz rechtlicher und nichtrechtlicher Instrumente [entwickelte, sowie sich …] Zivilrecht und öffentliches Recht mit Problemen der Risikovorsorge und Gefahrenabwehr ebenso wie mit Fragen von Schadenersatz und Haftung befasst» [Alfons Bora in: Maasen et al., 2012, 342]. So wird auch das IT-Sicherheitsgesetz zu detaillierten Ausführungs-Bestimmungen oder -Empfehlungen führen, charakterisiert durch vielfältige Anreize und Kontrollmechanismen bis hin zu freiwilligen Maßnahmen (wie z.B. Audits oder vertragsförmlichen Vereinbarungen) führen. Die Wissenschaftssoziologie verweist dabei auf folgende Trends, in die sich auch das neue Gesetz einzupassen hat: «von der Intervention zur Kooperation, 2. von der reinen Gefahrenabwehr zur Risikovorsorge und 3. von der Belastung der Allgemeinheit hin zur Belastung der Verursacher» [Alfons Bora in: Maasen et al., 2012, 343]. Dies wird ergänzt durch sich verstärkende Forderungen nach Partizipation der verschiedenen Gruppen der Gesellschaft. Das IT-Sicherheitsgesetz ist auch im Zusammenhang mit einer möglichen Steuerungskrise²² zu sehen, in der «die Instrumente staatlichen Handelns […] reflexiv, prozedural und temporal [werden]. Sie setzen in stärkerem Maß auf Verfahren, beanspruchen […] nur begrenzte Gültigkeit und versuchen, die Folgen regulierender Intervention […] einzubauen»; die Debatte dieser Änderungen spricht dann vom Übergang von politischer und «interventionalistischer Steuerungstheorie» in die Richtung von partizipativer Governance einer «polyzentrischen Gesellschaft» und einer Einbindung einer Vielzahl von Gremien, im «Vordergrund steht nun eine Betrachtungsweise, die eine Vielzahl von Akteuren, Ebenen der Entscheidung und möglicher Einflüsse voraussetzt, also eher netzwerkförmig, reflexiv und rekursiv gebaut ist» [Alfons Bora in: Maasen et al., 2012, 344 u. 345]. Passend dazu wird das deutsche Gesetzespaket aus 2015 bereits bei seiner Verabschiedung mit Kritik begleitet, die u.a. seine Verfassungsmäßigkeit, aber auch z.B. die Frage nach dem Nutzen (was kann mit Meldungen erreicht werden) oder einer Konkretisierung der Betroffenen (was gehört zu den kritischen Unternehmen) aufwirft.

Die unternehmerische Verantwortung aller Betreiber aber auch jeder einzelne Nutzer fordert durch geeignete Cybersecurity Maßnahmen den Missbrauch und den Effekt durch Störungen im IKT-Umfeld weitgehend zu verhindern und abzuwenden. Grundsätzlich beschreibt²⁶ Ferri Abolhassan, Schwächen in der Orientierung und Erwartungserfüllung und deren Messung bzw. Quantifizierung, Forderungen an IKT-Service-Provider, ihr Qualitätsniveau hoch zu halten und Erwartungen zu übertreffen, um erfolgreich zu sein. Dieser Maßstab hilft, Dienstleistungen durch geeignete Produkte und Services mit langfristiger Qualität sicherzustellen, Prozesse optimieren einschließlich der Beziehung zu Kunden. Mit neuer Technik werden Unternehmensprozesse und Innovation in neuer Form möglich, beispielsweise durch Cloud Services (auf höhere Rechnerkapazitäten zugreifen), Big-Data-Technologien (Marktanalysen und -prognosen), neue Angebote und Produkte am Markt bis hin zu verbesserter Kundenzufriedenheit unter Betrachtung der Wertschöpfungskette [vgl. Abolhassan, 2013]. Ein prinzipiell formulierter Qualitätsanspruch ist praktisch nicht immer zu realisieren oder nachzuweisen. Umsetzungsanalysen reichen nicht immer aus, Modelle wie Service Level Agreements (SLAs) sind nicht immer leicht zu definieren und zu vereinbaren²⁷. Grundlagen für nachhaltige Qualität und hochverfügbare Technik liefern Management und automatisierte Prozesse in der IKT [vgl. Abolhassan, 2014, 3].

Im Komplex Sicherheit bewegt sich die Umsetzung in einer Bandbreite zwischen unmöglich erreichbar (weil utopisch), akzeptabel, kritisch bzw. nicht akzeptabel. Über einen dafür notwendigen Grundstock an Sicherheitsspezialisten verfügen meist nur größere Unternehmen, die sich vorwiegend um Präventivmaßnahmen, Schadensanalyse und Beseitigung kümmern. Es verfügt über ein mehr oder weniger tiefes Wissen auf einzelnen Gebieten der Cybersecurity, kann keine Spezialanforderungen abdecken oder selber wesentlich zur Prävention beitragen. Unternehmen und Nutzer sind durch die Entwicklung der technischen IKT-Infrastruktur von singulären Systemen zu vernetzten Systemen einer wachsenden Komplexität ausgesetzt. Waren früher wesentliche IKT-Komponenten noch im lokalen eigenen Betrieb abzuschotten, wird dies nun an externe Betreiberfirmen unter Nutzung internationaler Netzwerke und damit fremder Rechtsräume übertragen.

Risiken sind in modernen Gesellschaften im Zusammenhang mit Handlungsoffenheit (und mit der Offenheit von Gesellschaften) zu sehen, die sich durch unterschiedliche Wahlmöglichkeiten ergeben, über deren Konsequenzen aber vorab nicht genug Wissen oder überhaupt Nichtwissen (welches prinzipiell eine Antizipation von Entscheidungsfolgen verhindert) vorliegt [vgl. Stefan Böschen in: Maasen et al., 2012, 317 u. 320]. Es stellt sich nun die Frage, ob es sich beim Wissen um Cybersecurity um «illusorische Sicherheitserwartungen» handelt, obwohl man sich «immer auf dem neuesten Stand unwiderlegten möglichen Irrtums» [BVerfGe 49, 89, Absatz 126]²⁸ bewegt [vgl. Stefan Böschen in: Maasen et al., 2012, 319]. Risiken, deren Objektivierung und Analysen zeigen einen unterschiedlichen Umgang mit Risiken und deren Bewertung bei Sicherheitsverletzungen auf. Oft spielen dabei übersehene oder blinde Flecken eine wichtige Rolle. Manipulationen von IKT-Systemen und deren Verhinderung oder Beseitigung sind nur eine Seite. Es finden sich immer wieder organisatorische Mängel, die von fehlender Zertifizierung und umgesetzter Sicherheit bis hin zu unzureichender Notfallvorsorge (Business Continuity Management) reichen [vgl. KSÖ b, 2012, 9].

Eine andere Risiko-Quelle liefern Produzenten von Hard- und Software. Die Freiheit der Wahl ist hier technisch eingeschränkt, es gibt kaum Alternativen im IKT-Einsatz. Produktfehler und Schwachstellen entsprechen nicht den Qualitätsanforderungen. Schlimm sind die für viele Cyber-Attacken offenen oder versteckten Hintertüren, deren Beseitigung sich oft monatelang hinzieht und Nutzer unnötigen Risiken aussetzt, ohne dass Produzenten für deren Folgen einzustehen haben.

Anforderungen an Cybersecurity bei Endnutzern, Privatwirtschaft und staatlichen Behörden zeigen vielfältige und unterschiedliche Bewertungen, damit verbundene Risiken und abzuleitende Maßnahmen. Durch die Umsetzung des neuen deutschen IT-Sicherheitsgesetzes aus 2015 wird zumindest ein Aspekt für wichtige Industrien und Einrichtungen angegangen, über den niemand gerne spricht, über Sicherheitsverletzungen. Nunmehr kann es leichter zur vertieften Diskussion über Auslöser, Wirkung und gemeinsame Lösungen kommen.

Anhand der wissenschaftstheoretischen Metabetrachtung und ihrer normativen, rationalen und idealen Orientierung und Ausrichtung auf kognitive Inhalte²⁹ ist erkennbar, dass viele der betrachteten Methoden sich auf Beschreibungen, Ausführungen und Lösungsansätze technischer und physischer Fragestellungen konzentrieren. Die normative Seite der IKT-Sicherheit wird durch Ungewissheit und Nichtwissen in der öffentlichen Meinung begleitet und sucht Antworten zur Verhinderung gravierender Störungen. Gleichzeitig blockieren sich nationale und europäische bzw. internationale Regelungen durch die Vielzahl zu beteiligender Interessen und Organisationen in komplexen Abstimmprozessen und sind der zunehmenden Beschleunigung von IKT Entwicklung und Digitalisierung der Gesellschaft mit verstärktem Zeitdruck ausgesetzt.

Das Risikofeld Mensch hat Einfluss auf Attacken und als großer Risikofaktor bei Sicherheitsvorfällen (wie auch in der Studie des KSÖ). Es hat mit dem Feld Organisation höhere Bedeutung als das technische Feld der IKT. Die effektiv wirksamen Methoden zur Beeinflussung der Menschen reichen nicht aus, um Sicherheitsverständnis und Akzeptanz zum eigenen Handeln zu etablieren. Die Wirkung in der Gesellschaft ist eher dürftig. Offenbar unterstellt die Vermittlung ein rezeptives und aufklärungsbedürftiges Publikum im Sinne von PUS und die Gesellschaft ist noch nicht im Stadium der Modelle von PEST³⁰ angekommen.

Obwohl viele Einzelsysteme immer wieder und sogar gehäuft Information über Sicherheitsverstöße durch Malware liefern, bleiben diese Informationen verstreut in unterschiedlichen Umgebungen; die Gesetzesänderung (wie in Deutschland Mitte 2015) zeigen noch keine Wirkung. Kommentatoren fragen, was man denn mit einer Information über die vielen Spams, Virenattacken usw. auf den einzelnen Systemen anfangen will und was man daraus lernen sollte. Seit Jahren pflegen lediglich Spezialunternehmen auf dem Gebiet der Cybersecurity solche Zusammenführungen im Rahmen ihres Produkt- und Beratungsgeschäfts und nutzen diese für ihre Geschäftstätigkeit. Eine integrierte gesamthafte Darstellung fehlt, steht für Entscheidungen nicht zur Verfügung oder trägt nicht zur akut notwendigen Prävention bei. Für Entscheidungen in Politik und Wirtschaft fehlen verlässliche integrierte oder visualisierte Informationen in Echtzeit. Prävention moderner Attacken bis hin zu massiven Angriffen wird wenigen im Krisenfall überforderten Einrichtungen überlassen. Das führt oft länger zur Blockade der Nutzbarkeit eigener oder nationaler IKT.

Positiv sind die Schaffung neuer normativer Regelungen wie beispielsweise in Deutschland (2015) und die internationale Zusammenarbeit zur Stützung der Cybersecurity, decken noch nicht alle Problemfelder der Cybersecurity ab, aber unterstützen die Entwicklung zu einer besser gesicherten Gesellschaft. Ausarbeitungen [wie KSÖ b] mit Einschätzungen zu Risikofeldern aus Wirtschaft und Behörden lösen bei ihrer Durchführung Handlungen bei den Beteiligten aus und führen so zur Verbesserung des Sicherheitstandes. Dokumentierte Profile zu Anfälligkeit und Angriffsrisiken bedürfen einer Fortschreibung unter Einbeziehung zwischenzeitlich geänderter Bedrohungsszenarien und eine Ergänzung durch eine Erhebung potentieller Risiken bei Zukunftstechnologien. Zu Technologien, die sich derzeit noch im Forschungsstadium befinden, empfiehlt sich die frühzeitige Einbeziehung in die Problemstellung Cybersecurity, um bereits entstehende Prototypen mit Sicherheitsfunktionen auszustatten und dies in künftigen Produkten und Anwendungen zu etablieren. Dies gilt auch für Produkte im Rahmen von Industrie 4.0, Big Data oder mit autonomen Systemen.

Eine Balance zwischen Freiheit und Restriktionen betrifft alle. Es ist unwichtig, welche Angreifer konkret welches Ziel auswählen oder ob die Auswahl zufällig passiert. Entscheidungsproblem und richtiges Handeln bleibt bei betroffenen Verantwortlichen. Ansätze³¹ zur Unterstützung der Entscheider im Problemfall und der Richter bei nachträglichen Überprüfungen sind auszubauen. Weiter sind die technische Sichtweise von Cybersecurity in der Informatik sowie die Leistungsfähigkeit von Methoden aus dem Logiversum wie beispielsweise Modal-Logik-Ansätze (mit temporalen Eigenschaften, die Strategisch Juristischen Entscheidungslogik SJDL) zusammenzubringen. 

Abolhassan, Ferri, Der Weg zur modernen IT-Fabrik. Wiesbaden: Springer, 2013.

Abolhassan, Ferri,. Kundenzufriedenheit im IT-Outsourcing. Wiesbaden: Springer, 2014.

BMI, Cy­ber-Si­cher­heits­s­tra­te­gie für Deutsch­land, http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/cyber.pdf?__blob=publicationFile, 2011, abgerufen 5. Februar 2016.

Kaufmann, Arthur, Hassemer, Winfried, Grundprobleme der zeitgenössischen Rechtsphilosophie und Rechtstheorie, Athenäum, 1971.

KSÖ a, Geschichte – KSÖ – Kuratorium Sicheres Österreich KSÖ, https://kuratorium-sicheres-oesterreich.at/verein/historie/, 2015, abgerufen 19. Dezember 2015.

KSÖ b, Cyber-Sicherheit in Österreich, http://kuratorium-sicheres-oesterreich.at/wp-content/uploads/2015/02/Cyberrisikoanalyse.pdf, 2012, abgerufen 5. Februar 2016.

Luhmann, Niklas, Rechtssoziologie, RoRoRo, 1972.

Luhmann, Niklas, Zweckbegriff und Systemrationalität, Suhrkamp, 1973.

Maasen Sabine, Kaiser Mario, Reinhart Martin, Sutter Barbara (Hrsg.), Handbuch der Wissenschaftssoziologie, Springer, 2012.