We can only see a short distance ahead, but we can see plenty there that needs to be done.
-Alan Turing-
Aktuelle Forschung: Informationsdefizite in der Cybersicherheit
Valentin Schmidt, Juni 2022
Fehlende Informationen
Eine Grundlage der Cyber-Bedrohung ist die Unkenntnis über Schwachstellen in IT-Systemen. Während dem Benutzer die Information über eine Schwachstelle fehlt, weil sie ihm zur Verfügung steht, verfügt ein potenzieller Angreifer über diese Information, wodurch ein Ungleichgewicht in der Informationsverteilung entsteht, dass der Angreifer zu seinem Vorteil ausnutzen kann. Aus Nutzerseite betrachtet führen diese Informationsdefizite zu einem verminderten Risikobewusstsein, da Bedrohungen nicht rechtzeitig erkannt werden können. Die Erkenntnis kommt oft erst bei einem erfolgreichen Cyberangriff.
Problem der Messbarkeit
Zu diesem fehlenden Risikobewusstsein trägt auch das Problem der Messbarkeit von IT-Sicherheitsgütern bei, da eine fundierte Beurteilung oft nur durch entsprechende Fachkräfte erfolgen kann. Manchmal zeigt sich das return on investment in solche Güter mit der Zeit. Oft ist allerdings eine positive Wirkung, im Gegensatz zu einer negativen, von Cybersicherheitsgütern schlicht nicht messbar, da positive Erfolge kaum messbare Ergebnisse erzeugen.
Solange die Informationsdefizite bzgl. Cyberbedrohung vorherrschen, werden Unternehmen sich mit den Investitionen zurückhalten, da ein direkter Nutzen für sie nicht erkennbar ist.
Externer Effekt
Externen Effekte sind Auswirkungen der wirtschaftlichen Aktivität eines Wirtschaftssubjekts, die nicht vom Verursacher berücksichtigt werden und zwischen den Beteiligten keine Rechte auf Entgelt oder Kompensation begründen. In Bezug auf die IT-Sicherheit können sich sichere Computersysteme in eng vermaschten globalen Netzwerk positiv auf andere Teilnehmer auswirken, während fehlende Investitionen einzelner Wirtschaftssubjekte in die Cybersicherheit negative Auswirkungen auf die ganze Lieferkette haben können. Wird dieser Effekt bewusst ausgenutzt, spricht man vom Trittbrettfahrer-Effekt, da sie von den Schutzmaßnahmen der anderen profitieren.
Aktuell sind Tendenzen zu erkennen, dass besonders bei KMU vermehrt dieses Verhalten auftritt, wobei der positive externe Effekt mit sinkender Unternehmensgröße zunimmt. Anzumerken ist, dass mit steigender Unternehmensgröße die Kosten für Cybersicherheit durch den Skaleneffekte abnehmen und somit für kleine Unternehmen eine vergleichsweise größere finanzielle Hürde darstellten.
Die Wirtschaftssubjekte erwägen Kosten und Nutzen (siehe fehlende Informationen) bei der Investition in IT-Sicherheitsgüter ab und entscheiden individuell, vernachlässigen dabei jedoch den sozialen Nutzen, da sie oft nicht die vollen Kosten der Unachtsamkeit tragen. Dies mindert das gesamte Schutzniveau aller Kommunikationspartner.
Verminderte Investition
Die beschriebenen Informationsdefizite haben in der Vergangenheit zu einer verminderten Investition in IT-Sicherheitsgüter geführt, was auch die Differenz zwischen den Investitionen in Cybersicherheit und der Schadensumme aus Cyberangriffen aufzeigt. Während die Schadenssummen über 400 % in vier Jahren (2017-2021) zunahmen, stiegen die Investitionen nur um knapp 60 % im selbigen Zeitraum. Somit sind die Informationsdefizite zum Nachteil der Wirtschaftssubjekte und zum Vorteil der Cyberkriminellen.
Will man nachhaltig die Wirtschaft und Gesellschaft vor Cyberbedrohungen schützen, so müssen die Informationsdefizite ausgeglichen werden und ein Bewusstsein geschaffen werden.
Publikationen
| Publikation | Link |
Haus-, Bachelor- und Masterarbeit
Abschlussarbeiten
Studenten & Intressenten, welche sich mit dem Thema Cybersicherheit auseinandersetzten, bieten wir Unterstützung und Betreuung bei der Themenfindung sowie Ausarbeitung an. Auch können wir durch unser Netzwerk entsprechende Kontakte herstellen. Sprechen Sie uns gerne jederzeit an.