Wer heute auf IT-Veranstaltungen sich umhört, bekommt nicht selten Aussagen aufgetischt, die sich widersprechen. Einerseits hat man aus seinem persönlichen Umfeld von Sicherheitsproblemen gehört und war schon selbst angriffen ausgesetzt. Der Handlungsdruck wird bejaht. Andererseits hat das Agieren im eigenen Sicherheitsrahmen noch viel Luft nach oben. Das fängt schon bei den Passwörtern an.
Dieses Bild bestätigen auch Studien und Veranstaltungen von ICTDachverbänden An der 40. Delegiertenversammlung des IT-Dachverbands ICTSwitzerland in diesem Frühjahr in Luzern blieb viel Zeit für gute Inhalte aus der aktuellen Umfrage zum Thema Cyberrisiken, durchgeführt vom Sozialforschungsinstitut gfs-Zürich.
Immerhin 15 Prozent der Befragten sagten, sie seien schon einmal Opfer eines Angriffs (zum Beispiel Virus, Malware, (Crypto-)Trojaner, Spam- oder PhishingMail) aus dem Internet geworden. Gefragt wurde nach Angriffen, die konkrete Folgen wie finanzielle Schäden, Aufwände für Schadensbereinigung oder emotionale Belastungen hatten. Trotzdem ist mehr als die Hälfte (59 Prozent) der Befragten der Meinung, dass sie gut darüber informiert sei, wie man sich vor Angriffen aus dem Internet schützen kann. Und ganze 80 Prozent fühlen sich im Umgang mit dem Internet sicher. Dies, obwohl rund die Hälfte der Befragten einfache Regeln oder Fachbegriffe (geschweige denn Angriffsvektoren oder «Stand der Technik») der CyberSecurity nicht kennt oder nicht anwendet. So verwendet rund die Hälfte der Befragten das gleiche Passwort bei mehreren oder sogar allen Internet-Anwendungen oder Datenzugängen. Die Anwendung von optimierenden, einfachen Basis-Schutzmöglichkeiten wie zum Beispiel Multi-Faktor-Authentifizierung (MFA), KennwortStrategie, Rechte- und Zugangstrennungen in privatem und geschäftlichem Umfeld, Kennwortmanagerprogrammen, CyberSecurity-Sensibilisierung scheint noch zu wenig verbreitet und nicht im Fokus der Agenda der Dringlichkeiten zu sein.
Einigermassen erschreckend
Das Gefühl der Mehrheit der Bevölkerung, gut informiert und vor Cyberrisiken geschützt zu sein, ist oft unbegründet. Die Schweizer Bevölkerung leidet in Sachen Cyberrisiken unter «unbewusster Inkompetenz» bei vermeintlich genügender Sicherheit. Die Ergebnisse sind einigermassen erschreckend, denn sie zeigen, dass grosse Teile der Bevölkerung ihre Kompetenz in Sachen CyberSecurity und Datenschutzthemen überschätzen. Teilweise basierend auf gefährlichem Halbwissen oder einem zu grossen Vertrauen in einen vermeintlich guten Basis-Schutz oder einen guten Verlauf bei einem entsprechenden Vorfall («wenn denn mal was überhaupt eintreffen würde»). Auch hier würde ein «UN-learning von gefährlichem Halbwissen bei gleichzeitiger Unkenntnis von «Stand der Technik» helfen können.
Die digital durchwachsende Gesellschaft mit unseren Medien und beherrschendem Plattformkapitalismus mit Internet-Angeboten, Social Media, Apps, Streams und anderen Inhalten treibt uns alle zum Konsum und nicht immer einfachen Herausforderungen rund um unseren persönlichen Datenschutz.
Das kann dazu führen, dass wir dadurch einen gewissen Anteil an Loyalität und Verbundenheit zu einem Produkt oder System bewusst verlieren und durch diese andere Art von Verbindlichkeit auch unser Vertrauen in Technologien beziehungsweise «Stand der Technik» (oder eben auch Datenschutz/ Datensicherheit) ändern oder sich suboptimal entwickeln.
Mitunter scheint aus solchen Betrachtungen die Einstellung vieler Konsumenten und Kunden zu sein, dass vieles in der Cloud als mittlerweile gegeben und genügend sicher ist. Dies auch aufgrund der sich anders entwickelnden Art von vermeintlichem Vertrauen in die Technologie. Trotz der Sicherheit, die in den Clouds passend orchestrierbar und erweiterbar ist, gehören das Datacenter, die Infrastruktur, die Rechner und Servers, die Netzwerke und andere Hardwarekomponenten einem Anbieter, welcher letzten Endes die vertraglich zu definierende (meist regulierte) Hoheit hat.
Werte helfen
Darum und trotz der entsprechenden Vertragsbestimmungen, Datenschutzerklärungen, allgemeinen Geschäftsbedingungen (AGB), Service Level Agreements (SLA), ICT Weisungen/ICT Security Policy braucht es nebst dem Vertrag auch ein gesundes und gegenseitig zu erarbeitendes Vertrauen in die entsprechenden Lösungsbetreiber und Plattformen.
Dadurch können wichtige Werte der Loyalität, Vertrauen und Verbindlichkeit helfen, die vermeintliche Kompetenz beziehungsweise die unbewusste Inkompetenz des Konsumenten/Kunden mittels bewährter Partnerschaften, «Stand der Technik» und «best practices» zu verbessern. Erst nach Klärung und Verständnis dieser Parameter kann sich der Konsument/ Kunde in guter Sicherheit und guten Händen fühlen.
Dadurch kann die Balance zwischen Freiheit und Loyalität, zwischen Alternativen und Verbindlichkeit, zwischen Abenteuer und Sicherheit zugunsten des Kunden neu definiert werden in gemeinsamer laufender Weiterentwicklung in der Zusammenarbeit und laufenden Nutzungs- und Kostenoptimierungen.
Vertrauen Aufbauen
Im Bereich des Datenschutzes und Datensicherheit beziehungsweise CyberSecurity im Allgemeinen kann dadurch das wichtige Basis-Vertrauen zum Anbieter erarbeitet und aufgebaut werden. Durch eine solche «relational leadership» können in einer Art von «Intelligenz von Beziehungen» auch weitergehende organisatorische oder technische Aspekte gemeinsam abgedeckt werden, bei zum Beispiel ICT Strategie, ICT Audit, ICT Compliance, ICT Contingency Planning, Risk Management, Versicherungswesen, DatenschutzRegulationen, «Stand der Technik» oder CyberSecurity-Sensibilisierung.
Dadurch gelingt es zunehmend, nicht «nur immer im (vorgegebenen) System», sondern gemeinsam «am System» arbeiten zu können. In gewissen Teilaspekten könnte man es mit einer solchen ernsthaften Partnerschaft von unterschiedlichen Akteuren gar schaffen, sich «vom (vorgegebenen) System zu befreien» und sich mittels Innovationen weitergehende Vorteile und Diversifikationen im Markt und gar auch in CyberSecurity-Aspekten zu schaffen.