Cyberabwehr 2030: Deloitte zeigt vier Zukunftsszenarien
Wie gut sind Staaten weltweit in Sachen Cyberabwehr aufgestellt? Anhand des sogenannten European Cyber-Defense-Report hat das Beratungsunternehmen Deloitte „relevante nationale Sicherheitsstrategien“ aus 29 europäischen Staaten, den USA, Russland sowie China analysiert.
Ein systematischer Vergleich und die Analyse der öffentlich zugänglichen Strategiedokumente zeige, dass Cyberbedrohungen neben Terrorismus und organisierter Kriminalität als „Top-Risiken“ benannt werden, schreiben die Studienautoren. Im Hinblick darauf, wie „Cybersicherheit“ jeweils definiert und gehandhabt werde, gebe es länderübergreifend allerdings „so viele Unterschiede“, dass ein Vergleich „kaum möglich“ sei.
Besonders deutlich zeige das die Diskussion um offensive Maßnahmen. Dass ebendiese auch zur Cyberverteidigung gehörten, würden bestimmte Länder „deutlich erklären“. Andere wiederum würden diese zwar erwähnen, blieben aber „eine klare Aussage zur Rechtmäßigkeit und Wirksamkeit schuldig“.
Weiter heißt es, dass die Ansprüche an die nationalen Sicherheitsstrategien der europäischen Länder sich mit der Vielzahl und Volatilität möglicher Bedrohungsszenarien „verändern und erhöhen“ würden. Strategien, dem zu begegnen, müssten hiermit demzufolge Schritt halten, raten die Studienautoren.
Verteidigung: Schutz vor Reaktion
Wenig überraschend hätten nahezu alle Strategien die Sicherung der kritischen Infrastrukturen (97 Prozent) sowie die Gewährleistung sicherer und robuster Informationssysteme (93 Prozent) als Ziel. Kaum erwähnt werde hingegen eine schnelle Reaktion auf Cyberangriffe.
„Neben der Sicherung unserer Infrastrukturen und Systeme muss zunehmend auch die Fähigkeit zur adäquaten Reaktion im Falle eines Angriffs aus beziehungsweise auf den Cyberraum in den Fokus genommen werden. Dazu bedarf es einer politischen, rechtlichen und fähigkeitsbezogenen Rahmensetzung. Mit der Errichtung des Kommandos Cyber- und Informationsraum hat Deutschland hier bereits eine erste Grundlage geschaffen“, sagt Katrin Rohmann, Industry Leader Government & Public Services bei Deloitte.
Unklare Zuständigkeiten
Hinsichtlich der Cybersicherheitsstrategien der Staaten heißt es auch, dass diese unterschiedliche Akteure benennen. Deren Zahl variiere „von zwei bis zweistellig“. Im schlechtesten Fall könne daraus ein Verantwortungs- und Zuständigkeitsvakuum entstehen, befürchten die Studienautoren. Unweigerlich würden mit der Zahl der Akteure potenziell der Koordinationsbedarf zur Lageeinschätzung und die Reaktionszeit im Ernstfall steigen.
Grundsätzlich rät der Report zu „stärkeren internationalen Kooperationen“, „einheitlichen Definitionen“ und „klaren Verantwortungszuweisungen“. Strategien müssten „dynamisch mit der Gefährdung weiterentwickelt“ werden, dazu sei es notwendig, die Treiber künftiger Entwicklungen zu identifizieren und zu beobachten.
Cybersicherheitslandschaft 2030: 4 Szenarien
Der zweite Teil des Reports greift diese Handlungsfelder auf und nutzt die sogenannte Szenario-Methodik, um mögliche Zukunftsbilder aufzuzeigen.
Um in Europa die Weichen für eine sichere digitale Zukunft zu stellen und Antworten auf die Frage nach der Ausgestaltung der Cybersicherheitslandschaft 2030 zu finden, seien die Visionen nach einer auf künstlicher Intelligenz basierenden Analyse entstanden, schreiben die Studienautoren. Und zwar abhängig davon, ob ein national und international akzeptierter Rechtsrahmen bestehe oder nicht – und ob Cyberangriffe antizipiert und Angreifer wirksam verfolgt werden könnten.
Szenario eins betiteln die Autoren mit „Goldener Käfig“: Hier ist Europa sicher und stabil und sieht sich mit wenig Disruption konfrontiert. Es gibt eine klar definierte und funktionierende regelbasierte Ordnung sowie ausreichende Effektivität bei der Antizipation von Cyberbedrohungen und der Attribution von Cyberangriffen.
Szenario zwei: „Selbstschutz“: In dieser Welt ist Europa bürokratisch, extrem unsicher und technologisch fragmentiert. Obwohl es kleine thematische Inseln der Sicherheit gibt, ist Cybersicherheit außerhalb dieser Bereiche lückenhaft.
Szenario drei: „Cyber-Oligarchie“: Hier beherrscht eine kleine Elite von Cyberexperten die Cybersicherheitslandschaft in Europa. Cybersicherheit wird nicht mehr vom Staat gesteuert. Stattdessen wird sie privat nach den „Gesetzen des Stärkeren“ durchgesetzt.
Szenario vier: „Cyber-Darwinismus“: In dieser alternativen Zukunft ist Europa zu einem „Dschungel“ geworden, der auf der Basis einer Laissez-faire-Mentalität arbeitet. Während kleine Inseln mit einem hohen Maß an (Cyber-)Sicherheit innerhalb von „Gated Communities“ existieren, ist die Außenwelt unsicher. Daraus resultiert ein Zwei-Klassen-Sicherheitssystem, das niedrige Sicherheitsklassen stark diskriminiert und ausschließt.
„Auch wenn sich im digitalen Zeitalter niemand hundertprozentig gegen Cyberangriffe schützen kann, sind Vorbereitung und eine auf die aktuellsten Entwicklungen abgestimmte Cybersicherheitsstrategie essenziell. Es besteht Handlungsbedarf. Wir müssen bei der Gestaltung der digitalen Zukunft Europas und dieser Thematik ein gemeinsames Verständnis entwickeln, Komplexität reduzieren, die Dinge begreifbar machen und Unsicherheiten ausräumen“, sagt Katrin Rohmann.