Vertrauen statt Firewalls: Cybersicherheit mit Ethik und Recht stärken

Durch den rasanten technologischen Fortschritt entstehen ständig neue Sicherheitslücken, die es zum Beispiel erlauben, Computersysteme hacken.

Mit zunehmender Digitalisierung wächst die Abhängigkeit von IT-Systemen – und damit das Risiko von Cyberangriffen. Eine Studie zeigt, wie Cybersicherheit technisch, aber auch sozial, ethisch und rechtlich umgesetzt werden kann.

Die Cybersicherheit verändert sich rasant: Täglich offenbaren sich neue Sicherheitslücken und es braucht immer wieder neue technische Schutzmassnahmen. Dieses Tempo verhindert, dass Nutzer:innen informierte Entscheidungen über ihr Nutzungsverhalten treffen können. Und nicht nur das: Auch der Rechtsstaat sieht sich vielen Herausforderungen gegenüber, etwa weil Gesetzgebungsverfahren nicht mit der Geschwindigkeit der technologischen Entwicklung mithalten können. Das NFP 77-Forschungsprojekt unter der Leitung von Markus Christen (Universität Zürich) untersuchte die nicht-technischen Aspekte der Cybersicherheit und formulierte Empfehlungen für Politik und Fachleute.

Die wichtigsten Erkenntnisse

Das Forschungsteam zeigt auf: Erfolgreiche Cybersicherheit braucht nicht nur Technik, sondern auch klare Regeln für Informationsaustausch, Vertrauen und Kooperation. Insbesondere dem neuen Bundesamt für Cybersicherheit kommt eine entscheidende Bedeutung zu: Es soll klare Rahmenbedingungen und eine kompetente Steuerung gewährleisten. Ausserdem hat das Forschungsteam Gesetzeslücken im Informationssicherheitsgesetz identifiziert, vor allem in Bezug auf die Definition von und Anforderungen an kritische Infrastrukturen. Zudem hat das Projekt den Regulierungsbedarf im Bereich Cybersicherheit aufgezeigt, der sich aus den unterschiedlichen Geschwindigkeiten von technologischer Entwicklung und Gesetzgebung ergibt. Mit Umfragen bei Betreibern kritischer Infrastruktur und Fachleuten haben die Forschenden ausserdem Erkenntnisse gesammelt, welche die «Nationale Cyberstrategie NCS» unterstützen. Daraus und aus der Gesetzesanalyse wurden Empfehlungen für Gesetzgeber sowie für die Verfasser:innen von Ethik-Richtlinien formuliert.

Bedeutung für Politik und Praxis

Zu den zentralen Gesetzesempfehlungen für die Politik gehört, dass die Definition von «kritischer Infrastruktur» geschärft und Mindestanforderungen ausgeweitet werden sollten. Ausserdem hat das Forschungsteam Leitlinien für die Schaffung einer werteorientierten Cybersicherheits-Kultur entwickelt. Sie soll sicherstellen, dass ethische und rechtliche Unsicherheiten früh identifiziert werden können, damit im Ernstfall rasch Entscheidungen gefällt werden können. Und: Das Projekt empfiehlt, dass die Forschung einen Fokus auf die Analyse konkreter Entscheidungsprozesse bei Vorfällen legt. Dies soll das Vertrauen und die Zusammenarbeit verschiedener Akteure stärken.

Drei Hauptbotschaften

  1. Das staatliche Engagement für die Cybersicherheit kritischer Infrastrukturen sollte sich auf drei Aspekte konzentrieren:
    a. Die Gesetzgebung zur Cybersicherheit sollte einen stärkeren Schwerpunkt auf Präventivmassnahmen legen, während Soft Law kritische Infrastrukturen bei der Reaktion auf Cybervorfälle unterstützen kann.
    b. Eine Zusammenarbeit mit den Behörden ist sinnvoll; diese darf aber die Autonomie der kritischen Infrastrukturen nicht beeinträchtigen.
    c. Der Informationsaustausch sollte sowohl auf technischer als auch auf Management-Ebene durch geeignete Rechtsvorschriften unterstützt werden.
  2. Für kritische Infrastrukturen sollten im Informationssicherheitsgesetz verschärfte Mindestanforderungen an die Cybersicherheit gelten. Weiter sind in diesem Gesetz der Begriff der kritischen Infrastrukturen zu klären und zusätzliche Anforderungen an IT-Dienste zu stellen.
  3. Die Stellen, die bei Cybervorfällen zuerst kontaktiert werden, sollten durch vorbereitende Schritte eine wertorientierte Cybersicherheitskultur entwickeln. Dazu gehören offene Teamdiskussionen im Rahmen der gesetzlichen Vorschriften, insbesondere zur Frage, wie praktische Handlungen mit persönlichen und gesellschaftlichen Werten in Einklang stehen. Dies soll zu einer wirksamen Bewältigung von Cybervorfällen beitragen.

Wie die Forschenden methodisch genau vorgegangen sind und weitere Hintergründe zum Forschungsprojekt finden Sie auf der NFP 77-Projektwebseite:

Weitere Forschungsprojekte zum Thema «Digitale Transformation» im Rahmen des Nationalen Forschungsprogrammes NFP 77 finden Sie hier: