“Hilfe, wir wurden gehackt!”

Immer wieder liest man, dass Teile deutscher Behörden, Unternehmen aber auch Privatpersonen Ziel von Cyberattacken wurden. Im allgemeinen Sprachgebrauch wird darunter nur allzu häufig ein direkter Angriff von außen verstanden. Bei genauerem Hinsehen gestaltet sich jedoch oft Ransomware, sogenannte Erpressungstrojaner, die über veraltete IT-Infrastruktur/-Software eingefangen wurden, als der Urheber.

Hintergrund ist oft nur eine Verlagerung der Schuld. Wenn das Narrativ auf äußere Gegner gelenkt wird, entzieht man sich der eigenen Verantwortung. Aber nur mit deren Annahme können wir befriedigende Antworten für das zumindest in der digitalen Welt wohl größte Themengebiet der Nachhaltigkeit, die Computer- bzw. Informationssicherheit, finden.

Bequemlichkeit, der erste Fehler

Die meisten Programmierer und Softwareentwickler geben sich aus ihrer ureigenen Bequemlichkeit damit zufrieden, Code in veralteten Programmiersprachen mit bekannten Sicherheitslücken zu schreiben. Eine Modernisierung erfordert einen hohen Aufwand, ganz zu schweigen von erheblichen Kosten. Aus Sicht des Einzelnen bedeutet ein Wechsel zu einer neuen Programmiersprache häufig einen gefühlten Neustart. Bisherige Kenntnisse verlieren an Bedeutung. Obwohl die überwiegende Mehrheit der Schwachstellen, die später entdeckt und ausgenutzt werden, sich genau aus diesem Grund ergeben, ist dies dennoch einer der Punkte, der trotzdem kaum jemals in Angriff genommen wird.

Softwarefehler? Da kann man nix machen

Wenn wir einen Wandel wollen, müssen wir Anreize schaffen. Zum Beispiel sollte man darüber sprechen, die gesetzliche Haftung für fehlerhafte Codes in einem kommerziellen Produkt zu verankern. Gleichzeitig müssen Unternehmen für den Verlust unserer persönlichen Daten stärker haftbar gemacht werden, wenn sie diese ausreichend schützen sollen. Wo es keine Haftung gibt, gibt es auch keine Verantwortlichkeit.

Der Staat verfehlt seinen Schutzauftrag komplett

Jedes Land prangert die Bemühungen der anderen als Verbrechen an, während es sich weigert, die Schuld für seine eigenen Verstöße zuzugeben. Ob es uns gefällt oder nicht, Gegner und Verbündete teilen sich ein gemeinsames Umfeld, d.h. die gleiche Hardware auf denen ein gemeinsamer Code läuft. Viel zu oft besteht aber gerade die Politik auf dem absichtlichen Offenlassen bzw. sogar der Einführung von Hintertüren und Schwachstellen. Damit wird, wie oben ausgeführt, jeder Angriffsvektor zum potentiellen Sicherheitsboomerang. An dieser Stelle sei die Legislative an die Schadsoftware WannaCry erinnert, als die Polizei einen Drogendealer per Staatstrojaner überwachte, während mit derselben Lücke der Bundestag gehackt wurde.

Entweder alle oder keiner

In der Computersicherheit wie im Gesundheitswesen gilt, um jemanden zu schützen, müssen wir alle schützen. Der erste Schritt in diese Richtung müsste darin bestehen, den kommerziellen Handel mit Intrusionssoftware zu verbieten. Eine Industrie deren einziger Zweck die Ausnutzung von Sicherheitslücken ist, sollte demontiert werden.

Zweitens müsste der Staat endlich aufhören, ein Schwachstellen-Management zu betreiben. Ein Anfang wäre, sämtlicher Sicherheitsbehörden zu verpflichten, bekannte Mängel und Lücken umgehend an die Hersteller melden zu müssen.

Weiterhin sollte der Gesetzgeber endlich geeignete Regeln zur Haftung finden. Denn, wie bereits erwähnt, ohne Haftung gibt es auch keine Verantwortlichkeit.

Die “Cyber security” ist im Global Risks Report des Weltwirtschaftsforums seit mehreren Jahren als Risiko anerkannt und wird in der neuesten Version als eines der zehn größten Risiken eingestuft, mit denen die Welt in den nächsten zehn Jahren konfrontiert sein wird.

Da die Häufigkeit von Cyberangriffen und die Kosten von Sicherheitsfehlern zunehmen, möchten gerade institutionelle Anleger bei der Bewertung von Portfoliorisiken im Zusammenhang mit Computer- und Informationssicherheit informiert sein.
Sie haben Fragen zur umfassenden, aber gleichzeitig pragmatischen Integration von Nachhaltigkeit in Ihre Unternehmens- oder Kapitalanlagestrategie? Sprechen Sie uns gerne an.