Cy­ber­si­cher­heit: Ko­ope­ra­ti­on schlägt staat­li­chen Zwang

Staat­li­cher Zwang und Über­re­gu­lie­rung sind meis­tens kon­tra­pro­duk­tiv, ge­ra­de in einem Be­reich wie der Cy­ber­si­cher­heit, in dem alle Ak­teu­re das­sel­be Ziel ver­fol­gen. Es braucht Zu­sam­men­ar­beit und pra­xis­na­he Lö­sun­gen. Das Thema ist ein Gebot der Stun­de, das hat die Bun­des­po­li­tik zu­letzt mit der Ver­schär­fung des In­for­ma­ti­ons­si­cher­heits­ge­set­zes (ISG) ge­zeigt. Auch die Wirt­schaft un­ter­stützt – nur schon aus Ei­gen­in­ter­es­se – ein star­kes Au­gen­merk auf die Cy­ber­si­cher­heit.

Bei der Cy­ber­si­cher­heit ver­fol­gen alle Be­tei­lig­ten aus Po­li­tik, Wirt­schaft und Ge­sell­schaft ein ge­mein­sa­mes In­ter­es­se: den Schutz sen­si­bler Daten und kri­ti­scher In­fra­struk­tu­ren. Trotz die­ser har­mo­ni­schen Aus­gangs­la­ge setzt die Bun­des­po­li­tik ver­mehrt auf staat­li­che Re­gu­lie­rung und Zwangs­mass­nah­men, wie zu­letzt bei der Ver­schär­fung des In­for­ma­ti­ons­si­cher­heits­ge­set­zes (ISG). Das Ver­trau­en in die Schwei­zer Un­ter­neh­men scheint ge­ring. Die Ein­füh­rung eines staat­lich ver­ord­ne­ten “Zwangs­pro­gramms” ist ge­ra­de in die­sem Be­reich aber keine gute Idee und weder ziel­füh­rend noch ef­fi­zi­ent. Der Weg zu mehr Si­cher­heit führt nicht über mehr De­tail­re­gu­lie­rung und darf auch nicht «gegen» die Un­ter­neh­men be­schrit­ten wer­den. Auch zu­sätz­li­che Mass­nah­men “mit dem Vor­schlag­ham­mer”, wie sie im Rah­men der Mo­ti­on 24.3810 ak­tu­ell dis­ku­tiert wer­den, sind vor die­sem Hin­ter­grund eher schäd­lich als nütz­lich.

«Statt auf Zwang zu set­zen, soll­te die Po­li­tik auf Ko­ope­ra­ti­on bauen.»

Be­reits die Re­vi­si­on des ISG und nun auch der Ent­wurf der ge­plan­ten Cy­ber­si­cher­heits­ver­ord­nung haben ge­zeigt, dass der Staat in die­sem hoch­sen­si­blen Be­reich stän­dig in ein Rol­len­ver­ständ­nis ver­fällt, das der Sache mehr scha­det als nützt. Ei­ner­seits zieht er mit Zwangs­mass­nah­men eine Ver­ant­wor­tung an sich, die er gar nicht über­neh­men kann, an­de­rer­seits schafft er un­nö­ti­gen Hürde für Un­ter­neh­men, die be­reits aktiv in ihre Si­cher­heit in­ves­tie­ren. Drit­tens hemmt er damit eine ge­sun­de Feh­ler­kul­tur. Statt auf Zwang zu set­zen, soll­te die Po­li­tik einen ko­ope­ra­ti­ven An­satz ver­fol­gen, bei dem alle Ak­teu­re ihre Ex­per­ti­se und Res­sour­cen ein­brin­gen kön­nen.

Es wäre wenig sinn­voll, wenn die Po­li­zei die Stär­ke der Fahr­rad­schlös­ser (auf Kos­ten der Ve­lo­be­sit­zer) an den Ve­lo­stän­dern über­prüft und die­je­ni­gen, die ver­meint­lich zu schwa­che Schlös­ser ver­wen­den, be­straft. Statt­des­sen soll­te es darum gehen, klar zu kom­mu­ni­zie­ren, wel­che Schlös­ser wel­che Si­cher­heits­vor­tei­le bie­ten. Die Ver­ant­wor­tung bleibt bei der Be­sit­ze­rin, die selbst ent­schei­det, wel­che Mass­nah­men für sie sinn­voll sind. Ge­nau­so ver­hält es sich auch bei der Cy­ber­si­cher­heit: Zwang und Stra­fen al­lein hel­fen nicht wei­ter. Wich­ti­ger ist, dass Un­ter­neh­men wis­sen, wel­che Mass­nah­men wirk­lich ef­fek­tiv sind, um ihre Sys­te­me zu schüt­zen.

Das Ziel soll­te sein, einen si­che­ren Rah­men zu schaf­fen, der auf Ver­trau­en, Ko­ope­ra­ti­on und prak­ti­ka­blen Mass­nah­men be­ruht. Denn Cy­ber­si­cher­heit kann nicht mit einer «Voll­kas­ko»-Men­ta­li­tät er­reicht wer­den, bei der jede Lücke durch staat­li­che Kon­trol­le ge­schlos­sen wer­den soll. Statt­des­sen ist ein aus­ge­wo­ge­nes Schlüs­sel­sys­tem not­wen­dig – wie im All­tag, wo wir un­se­re Häu­ser si­chern, ohne sie kom­plettt zu ver­bar­ri­ka­die­ren. Nur so kann eine ef­fi­zi­en­te und nach­hal­ti­ge Si­cher­heits­stra­te­gie ge­lin­gen.

Der tech­no­lo­gi­sche Fort­schritt in der Cy­ber­si­cher­heit ist ra­sant, und neue Lö­sun­gen ent­ste­hen durch Wett­be­werb und krea­ti­ve In­no­va­ti­on. Staat­li­che Über­re­gu­lie­rung könn­te diese Ent­wick­lung hem­men und den Markt in sei­ner An­pas­sungs­fä­hig­keit ein­schrän­ken. Cy­ber­si­cher­heit ist kein Selbst­zweck und auch kein Thema, das sich mit immer mehr Pa­ra­gra­phen lösen lässt. Das geht nur mit Pra­xis­nä­he, Ko­ope­ra­ti­on und Prag­ma­tis­mus.