https://www.faz.net/-iqb-a1oh4
Anzeigensonderveröffentlichung
Anzeigensonderveröffentlichung
Eine Initiative von

„Wir brauchen Security by Design – und zwar ab heute“

Das Interview führte Michael Hasenpusch
6:30 Minuten Lesezeit
27.07.2020
Eine Initiative von

Mit vier Szenarien führt Peter Wirnsperger eine von Cyberrisiken geprägte Welt im Jahr 2035 vor Augen. Wirnsperger leitet bei Deloitte den Bereich Civil Government und ist als Mitglied des Führungsteams von Risk Advisory verantwortlich für die Themen strategische Entwicklung und Innovation. Die vier Szenarien haben sein Team und er gemeinsam mit Deloitte-Experten und Kunden entwickelt. Im Interview erklärt er, wozu sie dienen, fordert, dass Unternehmen ihre Verantwortung für Cyberrisiken sofort übernehmen, und verrät, welches der vier Szenarien er am liebsten erleben würde.

Herr Wirnsperger, sind Politiker, Unternehmer und Privatpersonen gut auf die Cyberrisiken des Jahrhunderts der Digitalisierung vorbereitet?

Peter Wirnsperger: Nicht gut genug. Die Digitalisierung kommt bei vielen nur zeitverzögert an – und so stehen auch die damit einhergehenden Risiken und die Sicherheit, die man bräuchte, eher in der zweiten Reihe. Aus meiner Sicht besteht die drängendste Aufgabe zunächst aber darin, überhaupt zu digitalisieren, also Lösungsansätze zu finden, mit denen das analoge Leben und Arbeiten digital transformiert werden kann. Die Chancen, die sich dabei bieten, sollten im Vordergrund stehen und nicht durch Bedenken im Keim erstickt werden. Der Wunsch nach Sicherheit darf den Aufbruch ins digitale Zeitalter nicht behindern, mitgedacht werden sollte er aber schon. Wenn das heute oft nicht geschieht, liegt das auch daran, dass ein Sicherheitsbedürfnis immer auf dem Erfahrungsschatz beruht. Wessen Konten noch nie gehackt oder Daten noch nie gestohlen wurden, der hält die Chance, Opfer einer Cyberattacke zu werden, für eher klein. Das ist ein Irrtum. Ein Risiko existiert, auch wenn man persönlich noch nicht betroffen war. Deshalb haben wir diese Szenarien entwickelt, um unseren Kunden das „Was-wäre-wenn?“ zu zeigen.


Die Bandbreite der vier Szenarien von „Future of Cyber Risk 2035“ reicht von einer optimistischen bis hin zu einer katastrophalen Zukunft. Wie sind Sie bei der Entwicklung methodisch vorgegangen?

Wir haben mit unserem Future Foresight Team die Szenariotechnik unseres hauseigenen „Center for the Long View“ verwendet, mit der wir Entwicklungen in eine größere zeitliche Entfernung fortschreiben können. Am Anfang steht eine auf Experten und KI-basierte Tools gestützte Analyse, um die Treiber zu identifizieren, die im Umfeld von Cyberrisiken aktuell sind. Daraus priorisieren wir dann die wichtigsten Treiber, die einen Einfluss auf die Entwicklung haben könnten. Schließlich clustern wir diese Treiber und leiten aus den Clustern die Szenarien ab. In unserer Expertengruppe waren neben rund 20 europäischen Cyberexperten auch einige Kunden von Deloitte vertreten. Vorbereitet haben wir das mit Interviews und schriftlichen Fragebögen, getroffen haben wir uns – noch zu Vor-Corona-Zeiten – dann alle in unserem Berliner Deloitte Greenhouse. Im vorliegenden View Point haben wir den Szenarien bekannte Filmtitel gegeben, die gleich passende inhaltliche Assoziationen wecken sollen: Star Trek, Pandora’s Box, Mad Max und White Queen.


Alle Szenarien starten mit der Covid-19-Krise. Was hat die weltweite Pandemie mit der Digitalisierung und den damit verbundenen Cyberrisiken zu tun?

Gerade bei der digitalen Kommunikation waren zumindest wir in Europa eher zurückhaltend, schließlich war es die Pandemie, die uns einen Schubs gegeben hat. Die Techniken der Videokonferenzen waren seit Jahrzehnten erprobt, durchgesetzt hatten sie sich aber nicht. Das ist jetzt anders. Bei vielen unserer Kunden müssen wir heute nicht mehr direkt vor Ort präsent sein. Selbst im öffentlichen Bereich, wo Angebotspräsentationen noch sehr traditionell gehalten wurden, geht plötzlich alles digital. Ob das Bestand hat, muss sich zwar erst noch erweisen. Da die Pandemie aber nicht vom einen auf den anderen Tag verschwinden wird, könnte uns diese digitale Art der Kommunikation wohl noch länger erhalten bleiben oder sich endgültig so etablieren. Das bietet auch Cyberrisiken mehr Raum. Früher standen der digitalen Kommunikation in sogenannten unsicheren Räumen, also zu Hause oder am Flughafen, größte Bedenken entgegen. Jetzt mussten wir kurzfristig die Fahrtrichtung ändern, Gedanken zur Cybersecurity und zur Absicherung der Privacy machen wir uns aber erst im Nachhinein.


Weitere Beiträge der VOR:DENKER
Teaser empfohlener Artikel
INNOVATION
„Innovationen werden zunehmend von den Nutzern kommen“
Teaser empfohlener Artikel
MARKENVERANTWORTUNG
„Starke Marken haben einen Passion Point“

Im ersten, dem „Star Trek“-Szenario, sind die Cyberrisiken in der Zukunft gut gemanagt. Das klingt gut, Sie sehen dabei aber auch Nachteile.

Was das „Star Trek“-Universum auszeichnet ist ein solider Grundkonsens darüber, wie die Mitglieder der Gesellschaft miteinander umgehen. Auf Cyberrisiken übersetzt, hieße das: Politik wie auch Unternehmen kennen die Gefahren und kümmern sich auf ihre Weise entsprechend darum. Cyber steht auf dem Lehrplan der Universitäten, Unternehmen etablieren Compliance-Programme und betten das Thema in die Entwicklung von Software, Produkten und IT-Infrastrukturen ein. Es ist alles in bester Ordnung, und sollte einmal doch ein größeres Problem auftreten, kommt – im übertragenen Sinne – Jean-Luc Picard, Kapitän des Raumschiffs Enterprise, „to the rescue“. In dieser idealen Welt ist Cyber also in alle relevanten Bereiche integriert mit verantwortungsvollen Unternehmen und einem Staat, der seine regulatorische Rolle ausfüllt, ohne gleich diktatorisch für Sicherheit zu sorgen. Nachteilig an diesem Szenario ist, dass bei zu viel Einigkeit immer die Gefahr besteht, „eingelullt“ zu werden. Man genießt den Komfort und wiegt sich in Sicherheit, und plötzlich taucht jemand auf, der die allgemeine Harmonie ausnutzt. Denn Bösewichte gibt es auch in der schönsten Utopie – sogar bei Star Trek.

„Die drängendste Aufgabe besteht zunächst aber darin, überhaupt zu digitalisieren, also Lösungsansätze zu finden, mit denen das analoge Leben und Arbeiten digital transformiert werden kann.“

In „Pandoras Box“, dem zweiten Szenario, führen fehlende Regulierung und Standards zu einer rasanten Digitalisierung und stark steigenden Cyberrisiken. Welche Auswirkungen hätte das auf Wirtschaft und Gesellschaft?

Auch hier haben wir noch eine gute Balance zwischen den staatlichen und privatwirtschaftlichen Akteuren, aber es herrscht zu viel Patchwork. Im Gegensatz zum „Star Trek“-Szenario, in dem alles übergreifend funktioniert, existieren hier zu viele technische Standards nebeneinander her. Jeder macht, was er will, und eine Integration auf operativer Ebene findet nicht statt. Ein aktuelles Beispiel für das Gegenteil ist der Bankensektor, wo wir heute einen hohen Harmonisierungsgrad erreicht haben und ihn meist still genießen. Im öffentlichen Sektor hingegen haben wir es auf Länderebene noch zu oft mit Alleingängen zu tun. Das „Pandora’s Box“-Szenario wird von ganz einfachen Dingen geprägt. Zwar werden beispielsweise ständig Fortschritte bei der Cybersecurity gemacht, die Unternehmen kommen aber mit dem Aktualisieren ihrer technischen Ausstattung gar nicht hinterher und sind deshalb angreifbar. Für die IT-Verantwortlichen bedeutet das, in einer ständigen Defensivspirale gefangen zu sein, anstatt konstruktiv nach vorne planen zu können. Es existiert zwar ein Grundniveau an Sicherheit, dennoch werden Angreifer immer einen Schritt voraus sein.


Szenario 3, das Sie „Mad Max“ nennen, zeigt Cyber-Darwinismus und einen andauernden Cyber-Notstand. Wie kommt es dazu?

Hier ist die Balance of Power völlig aus dem Gleichgewicht geraten. Die Regierungen erfüllen ihre Aufgabe nicht, die Unternehmen schlagen sich komplett egoistisch durch. So wie im titelgebenden Film die Autos aus den unmöglichsten Ersatzteilen zusammengeschweißt herumfahren, so funktioniert auch hier die Sicherheit nur durch ein Höchstmaß an Improvisation. Um noch einmal zum Beispiel auf den Bankensektor zurückzugenommen: Gäbe es hier nicht die heute übliche Abstimmung – wir hören derzeit ja immer seltener von Banken-Hacks – , würde jede Bank ihre eigenen Maßstäbe an die Sicherheit stellen und dabei aufs eigene Überleben hoffen. Das „Mad Max“-Szenario ist das Gegenbeispiel zu regulierenden Behörden, die realistische Vorgaben machen, und Unternehmen, die diese nicht nur umsetzen, sondern auch aktiv an ihnen mitwirken. Jeder wird alleingelassen, und die Kosten für Sicherheit sind gewaltig. Am Ende ist nur der abgesichert, der es sich leisten kann. Das hat auch einen sehr negativen volkswirtschaftlichen Effekt, denn es fehlt die rechtliche Verbindlichkeit, die den globalen Handel heute funktionieren lässt. Es kann auch dazu führen, dass sich Teile der Gesellschaft aus der digitalen Welt zurückziehen.


„White Queen“ heißt das vierte Szenario, in dem zwar wieder Ordnung herrscht, das sich aber dennoch von der harmonischen „Star Trek“-Welt deutlich unterscheidet.

Hier bestimmen einige wenige privatwirtschaftliche Großkonzerne die technologischen Standards – und eben nicht der Staat und seine regulatorischen Behörden. Die Regierungen können nichts anderes tun, als die vorgegebenen Standards so gut es geht zu integrieren. Das hat nicht etwa mit einer intendierten Kriminalität der Unternehmen zu tun, sondern liegt an einer Schwäche im Kräfteausgleich, die sich durch Versäumnisse auf beiden Seiten entwickelt hat. Das bedeutet aber auch, dass eine Sozialpartnerschaft zwischen Politik und Wirtschaft, wie wir sie beispielsweise in Österreich und Deutschland genießen, nicht mehr funktionieren würde. Der Vorteil dieses Szenarios läge zwar in hohen und gut funktionierenden Sicherheitsstandards. Ich habe allerdings Zweifel daran, ob alle dann einen in einer Demokratie wünschenswerten paritätischen Zugang hätten. Das Szenario ist dem Chaos und der Anarchie von Mad Max vorzuziehen, aber die gesellschaftliche Macht ginge eben nicht mehr von den demokratisch legitimierten Institutionen aus.

„Unternehmen müssen jetzt schon ihre Verantwortung wahrnehmen und sollten sich nicht auf andere verlassen, die sich ihrer Problemstellungen annehmen.“ Tweet it

Was ist das Ziel dieser vier Szenarien? Wozu entwickeln Sie sie, wo werden sie eingesetzt?

Solche Szenarien sind sehr hilfreich in Diskussionen, in denen sich die Diskutanten nur zu gerne in Details verlieren. Zeigen wir sie unseren Kunden, dann liegt für die meisten natürlich nah, der nächste Jean-Luc Picard sein zu wollen – allerdings mit mehr Haar (lacht). Um in Richtung dieses Wunschszenarios zu gelangen, müssen sie aber schon jetzt ihre Verantwortung wahrnehmen und sollten sich nicht auf andere verlassen, die sich ihrer Problemstellungen annehmen. Für einen Mittelständler bedeutet das, nicht auf erste behördliche Schritte und Maßnahmen zu warten, sondern initiativ zu prüfen, wie die eigenen Geschäftsmodelle risikobasiert in die Zukunft transferiert werden können. Kein Geschäftsmodell endet an der Haustür, sondern beinhaltet immer eine Supply Chain. Unternehmer müssen sich fragen, was beispielsweise die Käufer ihrer Werkzeugmaschinen damit herstellen: nur ein harmloses Stück Metall oder vielleicht doch etwas, mit dem auch Schaden angerichtet werden kann? Wird diese Eigenverantwortung nicht zum Standard, besteht das Risiko, in eines der schlechten Szenarien abzugleiten. Wir brauchen Security by Design – und zwar ab heute. Alles andere wäre fahrlässig. Dafür sollen die Szenarien als Gedankenanstoß dienen und die Meinungsbildung erleichtern.


Welches von den vieren ist ihr Lieblingsszenario?

Meine Wunschwelt ist natürlich das „Star Trek“-Szenario. Das ist es, was ich uns allen eigentlich wünsche und worauf wir hinarbeiten sollten. Dieses Ziel verfolgen wir auch durch unser Engagement in vielen Verbänden und Gremien, die sich mit Cybersecurity beschäftigen. Nur wenn wir das Sicherheitsniveau allgemein heben und allen einen gleichberechtigten Zugang zu den Mitteln der Digitalisierung geben, werden wir verhindern können, dass wir zukünftig möglicherweise auch Entwicklungen aus den anderen drei Szenarien erleben.

Bild about
Peter J. Wirnsperger
Deloitte GmbH Wirtschaftsprüfungsgesellschaft
Peter J. Wirnsperger (Partner) leitet den Bereich Civil Government und ist als Mitglied des Führungsteams von Risk Advisory verantwortlich für die Themen strategische Entwicklung und Innovation. Er ist seit 2003 bei Deloitte und setzt seine mehr als 25 Jahre Erfahrung mit technischen und organisatorischen Implementierungsprojekten bei Unternehmen aller Sektoren und Größen ein.
Diesen Artikel teilen

Quelle: Vor:Denker

Veröffentlicht: 18.01.2019 13:19 Uhr