Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Cybersecurity im medialen Diskurs

Risikoeinschätzung als Herausforderung für Unternehmen

Einleitung

Die Digitalisierung hat in den letzten Jahren ein komplexes, sich scheinbar ständig veränderndes Feld möglicher Risiken hervorgebracht, dessen Ausmaße für Unternehmen zunehmend schwer erkennbar sind. Es ist auch deshalb schwierig dieser Bedrohungslandschaft effektiv entgegen zu treten, da rein technische Lösungen für die Sicherheit von Informationstechnologien aufgrund der hohen Relevanz menschlichen Verhaltens nicht mehr ausreichen. Entsprechend wichtig wird die Frage, wie EntscheidungsträgerInnen und MitarbeiterInnen Gefahren im digitalen Raum besser erkennen, adäquat einschätzen (im Folgenden auch „Awareness“ genannt) und auf diese reagieren können. Besonders in kleinen und mittleren Unternehmen (KMU) ist die Awareness für Cybersecurity-Risiken jedoch häufig eher gering ausgeprägt, obwohl über 90 % der KMU wesentliche Geschäftsprozesse über PC-Arbeitsplätze mit Internetzugang abwickeln. Akkurate Risikoeinschätzung stellt somit eine aktuelle kritische Aufgabe in Unternehmen dar, welche aber im wesentlichen Teil nur auf unsystematisch über diverse Medien aufgegriffene digitale Bedrohungslagen beruht. So informieren sich EntscheidungsträgerInnen in Deutschland in kleineren KMU mit weniger als 50 Angestellten meist über Internetrecherchen oder in der Tagespresse über Cybersecurity.

Welche Risiken wahrgenommen und welche Maßnahmen gesetzt werden, hängt aus diskurstheoretischer Sicht maßgeblich von medialen Diskursen ab, also wie Cybersecurity-Themen in den diversen Medien dargestellt und diskutiert werden. Trotz der potenziell starken Auswirkungen dieser Diskurse auf die unternehmerische Risikoeinschätzung liegen darauf fokussierte Analysen für den deutschsprachigen Raum nicht vor. Der vorliegende Beitrag bearbeitet diese Forschungslücke und zeichnet die diskursive Entwicklung im Themenbereich Cybersecurity im Unternehmenskontext auf Basis von Daten aus österreichischen Medien nach, wobei im nachfolgenden Abschnitt zur Methodik auch Hinweise für deren Relevanz in Deutschland erläutert werden. Es erfolgt eine Darstellung der im medialen Diskurs geschilderten Themen, Bedrohungen und der zentralen Akteure im Zeitverlauf, sowie eine Analyse der diskursiven Konstruktion von Sicherheit und Unsicherheit im Kontext von Cybersecurity für Unternehmen. Abschließend geht der Artikel auf die möglichen Implikationen für die Praxis ein, insbesondere hinsichtlich der Bedeutung von medialen Diskursen für die Risikoeinschätzung von Bedrohungen aus dem digitalen Raum.

Zur Entwicklung der medialen Berichterstattung: Themen und Bedrohungen

Wie Schwankungen im Ausmaß der Berichterstattung bereits bemerkbar machten, haben sich die Medien der Logik der Aufmerksamkeitsökonomie folgend weniger an langfristig bestehenden Bedrohungslagen orientiert, sondern vielmehr an den spektakulärsten Zwischenfällen (STUXNET, NSA-Affäre, FACC CEO Fraud, Wannacry, Petya/Not-Petya). Die Themen, die die österreichischen Medien in den letzten Jahren am meisten bewegt haben, waren einerseits Snowden und die NSA-Affäre im Jahr 2013. Die mediale Berichterstattung fokussierte sich dabei besonders stark auf den Spionagebegriff und sprach sowohl von staatlicher als auch von Wirtschaftsspionage. Ebenfalls, wenn auch wesentlich seltener wurde der seither konstant präsente Begriff der Überwachung in den Diskurs eingebracht sowie Sorge um Datendiebstahl ausgesprochen. Andererseits galt mit Petya und NotPetya besonders hohes mediales Interesse den Ransomware-Attacken des Jahres 2017, wo es zur Verschlüsselung von Daten und Erpressung zahlreicher Unternehmen kam. Weiters brachte der CEO-Fraud-Fall rund um den oberösterreichischen Luftfahrt-Zulieferer FACC 2016 überdurchschnittlich hohes Medieninteresse hervor. 2016 wurden verstärkt DDoS-Attacken und Botnet-Attacken thematisiert. Die Diskussion um Datendiebstahl verzeichnete zwischen 2013 und 2017 einen steten Zuwachs und scheint die meisten Cybersecurity-Zwischenfälle seither zu begleiten.

Um zu verstehen, inwiefern die Thematisierung von Zwischenfällen in den Medien die tatsächliche Gefahrenlage widerspiegelt, wurde ein Vergleich zu den von der Agentur der Europäischen Union für Cybersicherheit (ENISA) identifizierten Bedrohungslandschaft von 2012–2018 angestellt. Die seit 2012 jährlich erscheinenden ENISA Threat Landscape Reports enthalten Ranglisten mit den 15 wichtigsten Bedrohungsformen. Um die Einschätzung der Top-Bedrohungen der ENISA mit unseren Daten vergleichbar zu machen, wurden die ermittelten Ränge in eine Zeittafel transferiert. Aus dem Vergleich geht hervor, dass die mediale Aufmerksamkeit für das Thema Cybersecurity sich nicht an den (laut ENISA) tatsächlich höchsten Bedrohungen orientiert. Denn über die Jahre hinweg galten stets verschiedene Formen von Schadsoftware (Malware) und webbasierte Angriffe als die größten Bedrohungen aus dem Cyberraum, Spionage jedoch rangierte stets eher auf den untersten Rängen. Lediglich der Anstieg der Debatte um Ransomware in den Jahren 2016–2017 spiegelt sich auch in der Einschätzung der Bedrohungslage durch die ENISA wider.

Im Falle von Botnets scheint das mediale Interesse sogar gegenläufig zur durch die ENISA eingeschätzten Bedrohungslage zu sein. Während in den Medien in den Jahren 2010–2016 kaum von Botnets und DDoS-Attacken berichtet wurde, zählt die ENISA diese Formen von Attacken durchgängig zu den TOP-5-Bedrohungen aus dem Netz. Als das mediale Interesse an Botnets und DDoS-Attacken im Jahre 2017 plötzlich durch ein paar konkrete Zwischenfälle zunahm, fielen insbesondere Botnet-Attacken in den ENISA Rankings deutlich hinter Phishing und Spam zurück. EntscheidungsträgerInnen werden damit insgesamt durch den medialen Diskurs kaum bis gar nicht auf längerfristige bzw. kontinuierlich bestehende Bedrohungslagen sensibilisiert.

Zentrale Akteure im Cybersecurity-Diskurs

In ihren Berichten folgten die Medien in Bezug auf verschiedene Akteure im unternehmensnahen Cybersecurity-Diskurs dem klassischen Erzählschema der „Guten“ gegen die „Bösen“. Die Bösen waren dabei mit Abstand am häufigsten Hacker und Kriminelle. Aber auch MitarbeiterInnen wurden als Bedrohung für die Cybersecurity der Unternehmen dargestellt. Dementgegen wurden im medialen Diskurs IT-Sicherheitsdienstleistungs- und IT-Sicherheitsberatungsunternehmen sowie Cyber-Versicherungen in der Rolle der Guten, der Helfer in der Not betroffener oder sich in Gefahr befindlicher Unternehmen präsentiert. Die eigentlichen Aufklärungsinstanzen von Cyberkriminalität im Unternehmenskontext – Polizei, Bundeskriminalämter und deren auf Cybercrime spezialisierte Abteilungen wurden zwar auch durchwegs als helfende Hände bei Cybercrime-Zwischenfällen skizziert, jedoch deutlich seltener in den Diskurs eingebracht als IT-Sicherheitsberater und -Dienstleister.

Die mediale Aufmerksamkeit für unterschiedliche Akteursgruppen im Kontext von Cybersecurity hat sich über die Jahre 2010–2018 zudem stark verändert. Der Begriff des Hackers wurde im Laufe der Zeit durchaus ambivalent verwendet. So wurde von Superhackern und Hackerpreisträgern, Whitehat -Hackern und im Staatsdienst beschäftigten professionellen Hackern mit einem außergewöhnlichen Wissensschatz und anerkannter Expertenstellung gesprochen, die sich für mehr IT-Sicherheit einsetzen. Die spezielle Deutung von Whitehat-Hackern als nach ethischen/moralischen Prinzipien handelnde Akteure ohne Profitinteressen wurde ebenfalls zitiert, jedoch auch instrumentell dazu eingesetzt, für diverse Ausbildungen und staatliche Karrierechancen (inkl. sehr guter Einkünfte) zu werben. Demgegenüber stehen Verweise auf kriminelle Hacker Blackhat -Hacker bzw. Cracker, die als kaufbar, profitorientiert, unberechenbar und ausgeklügelt bzw. zu tausenden aus Fremdstaaten (v. a. aus dem Iran, Osteuropa/Russland, China, Nordkorea, aber auch Türkei, Israel und der USA) kommend dargestellt wurden. Diese wurden einerseits als Hobbyhacker belächelt, aber andererseits auch mit organisierter Kriminalität und Terrorismus in Verbindung gebracht. In diese Akteursgruppe werden zum Teil auch jene inkludiert, die sich vordergründig nicht persönlich bereichern wollen, sondern sich für politische Ziele wie Internetfreiheit einsetzen. Der Begriff des Kriminellen scheint ab ca. 2016 den Begriff des bösen Hackers als Gefahr für Unternehmen zu verdrängen. Cyberkriminelle wurden dabei insbesondere in den Tatbereichen Erpressung und Betrug als immer professioneller und profitorientierter handelnd dargestellt.

Infolge der Verbreitung des Verschlüsselungs- und Epressungstrojaners WannaCry gewannen 2017 auch diverse mit Cybersecurity befasste Polizeibehörden deutlich an Aufmerksamkeit. Sie ermahnten zu Sicherheitsmaßnahmen in Unternehmen, wiesen aber auch auf die teils mangelhafte personelle und technische Ausstattung der Polizei zur Verfolgung internationaler organisierter Cyberkriminalität hin.

Seit 2014 lässt sich ein starker Anstieg des medialen Interesses an den Personengruppen der bestehenden und ehemaligen MitarbeiterInnen sowie der Ebene der Geschäftsführung feststellen. Dabei hat sich über die Zeit die Rolle der Beschäftigten immer weiter weg vom Status der Betroffenen hin zu dem eines Risikofaktors im Unternehmen gewendet. Hervorzuheben ist, dass in den letzten Jahren auch verstärkt MitarbeiterInnen von Unternehmen zunehmend als möglicherweise mit krimineller Energie ausgestattete Akteure dargestellt wurden. Vor allem, wenn sie sich ungerecht behandelt fühlten, würden sie unter Umständen durchaus aus Rachegefühlen oder Geldgier heraus kriminelle Motive auf digitalen Wegen verfolgen. Auch die Geschäftsführung wurde zunehmend als Risikofaktor für die Cybersecurity von Unternehmen thematisiert, insbesondere wenn es sich nicht um ein Unternehmen aus dem IT-Sektor handelte. Führungskräfte von IT-Unternehmen (Dienstleistungen, Consulting und Entwicklung) nahmen hingegen häufig eine zunehmend prominente SprecherInnenrolle im Diskurs ein.

In Bezug auf Kunden fokussierte sich das Interesse der Medien zuerst eher auf Privatkunden, deren Daten vor dem Zugriff von Kriminellen wie auch vor zumindest im rechtlichen Graubereich agierenden Unternehmen zu schützen sind. Zu den Unternehmen mit unlauteren Absichten in Bezug auf Kundendaten zählten dabei im Cybersecurity-Diskurs häufig die Internet-Giganten Google, Amazon, Facebook, Apple und Microsoft (GAFAM). Es wurde argumentiert, dass durch die gute Sicherung von Kundendaten Privatkunden gegenüber eine hohe Unternehmensreputation aufrechterhalten werden muss, um ihr Vertrauen in die Organisation und damit ihren Status als Kunden für das Unternehmen zu erhalten sowie Haftungsrisiken zu minimieren. Privatkunden wurden dabei häufig als nicht in der Lage beschrieben, selbst für Cybersecurity zu sorgen. Parallel dazu verlief zwischen 2010 und 2014 jedoch auch ein Diskursstrang, der sowohl Business- als auch Privatkunden in der Eigenverantwortung sah, Sicherheitsrisiken in Bezug auf ihre von diversen Unternehmen verarbeiteten Daten selbst zu erkennen und entsprechendes Sicherheitshandeln an den Tag zu legen. Dabei sollten sie nicht nur ihre eigenen Daten schützen, sondern auch die an sie digital angeschlossenen Unternehmen weder in ihrer Sicherheit gefährden noch ihrer Reputation schaden. Kunden seien insbesondere dann an der Entstehung von Sicherheitsmängeln in digitalen Produkten und Dienstleistungen mitschuldig, wenn sie erwarten, die entsprechenden Services zu immer günstigeren Preisen oder sogar gratis zu bekommen.

Im Rahmen des Diskursstranges um die potentiell desaströsen Auswirkungen von Industrie- und Wirtschaftsspionage auf den Innovationsstandort Österreich im Schatten der NSA-Affäre 2013 wurden „Geheimdienste“, Länder wie Russland, China und die USA als zentrale Akteure eingeführt. Insbesondere der US-Geheimdienst „NSA“ dominierte hier den Diskurs mit 199 Nennungen. US-nahe IT-Dienstleistungsunternehmen wurden dabei durch ihre Anbindung an die NSA als Datenplünderer bezeichnet. In diesem Kontext wurde der Wunsch vieler Akteure nach Datensicherheitslösungen/Cloudlösungen made in Europe ohne Hintertüren für die NSA medial zum Ausdruck gebracht, wobei gleichsam eine unabhängige Umsetzung solcher europäischen Lösungen als eher schwierig bis unmöglich dargestellt wurde.

Die Konstruktion von Sicherheit und Unsicherheit

Im Cybersecurity-Diskurs wurde mitunter auch verhandelt, inwiefern der Cyberspace für Unternehmen als unsicherer oder sicherer Raum gelten kann und was die probaten Lösungsstrategien für etwaige problematische Cybersecurity-Situationen sind. Während einige, vor allem auch kleinere IT-Unternehmen mit der Betonung eines überbordenden Bedrohungspotentials für Unternehmen arbeiteten, konstruierten die Branchengiganten im IT-Sicherheitsbereich die digitale Welt als einen Raum relativer Unsicherheit mit bewältigbaren Risiken – soweit professionelle Hilfe hinzugezogen wird. Auf der einen Seite wurde also versucht, durch die Erzeugung von Unsicherheit und Angst Kunden zu gewinnen. Demgegenüber stand die Ansicht, dass das Zeichnen von so genannten Cyberdoom-Szenarien potenzielle Kunden eher von Investitionen in ihre IT-Sicherheit abhalten würde als diese zu fördern, da sie sich angesichts der überbordenden Bedrohungslage ohnehin machtlos fühlten. Medien beteiligten sich am diskursiven Prozess der Verunsicherung insofern, als dass sie der Logik der Aufmerksamkeitsökonomie entsprechend (also orientiert an einer Maximierung der Verkaufs- bzw. Klickzahlen) verstärkt über neue, besonders schwerwiegende oder bedrohliche Cybersecurity-Zwischenfälle berichteten. Um die polizeiliche Arbeit im Bereich Cybercrime zu erleichtern und um Unternehmen zu einer möglichst umfassenden Zusammenarbeit zu bewegen, betonten auch Akteure aus dem Bereich der Kriminalitätsbekämpfung (Polizei, Bundeskriminalamt, EUROPOL) das hohe Ausmaß des Gefährdungspotentials von Unternehmen durch Cyberkriminalität. Letztlich kamen zu diesem Diskursstrang auch noch Berichte hinzu, die den Cyberwar als etwas reales, versteckt vor den Augen aller in der digitalen Welt Ablaufendes konstruierten, indem entsprechende Akteure aus dem Bereich der österreichischen Landesverteidigung zitiert wurden. Von diesem postulierten Cyberwar seien Unternehmen auch betroffen (z. B. direkt als Angriffsziele oder indirekt als Unterstützter der Landesverteidigung, indem sie Softwarelösungen für das Heer entwickeln). Insgesamt ergibt sich aus dem Zusammenspiel der interessensgebundenen Aussagen dieser wortführenden Akteursgruppen (IT-Unternehmen, Polizei und Bundesheer) eine starke Dominanz von Aussagen im medialen Diskurs, welche die digitale Welt als übermäßig unsicheren Raum für Unternehmen darstellen.

Infolge der zunehmenden Darstellung der digitalen Welt als unsicher kämpften verschiedene, teilweise gegenläufige, Vorschläge zur Verbesserung der Sicherheit um Aufmerksamkeit. Hier hatten in der medialen Öffentlichkeit wiederum IT-Sicherheitsexperten die Wortführerschaft, wenn sie auch aufgrund ihrer unterschiedlichen Interessenslagen für unterschiedliche Strategien für Unternehmen plädierten. So hoben Anbieter von IT-Sicherheits-Dienstleistungen die fehlenden finanziellen Ressourcen und Kompetenzen von KMUs zur selbstständigen Problembewältigung hervor und setzten sich häufig für das Outsourcing der IT-Sicherheit ein. Beratungsunternehmen hingegen fokussierten im medialen Diskurs eher darauf, wie sich Betriebe selbst schützen können. Dabei betonten sie die Wichtigkeit der Aktualität der betrieblichen IT-Infrastruktur, aber auch die Wichtigkeit der Absicherung menschlichen Verhaltens für die IT-Sicherheit im Betrieb. Um diese zu verbessern, müsse der Faktor Mensch durch Awareness-Trainings, IT-Sicherheitsschulungen und Kontrolle bewältigt werden. Beide Sicherheitsstrategien stürzten sich damit implizit oder explizit auf MitarbeiterInnen als größten unter Kontrolle zu bringenden Risikofaktor für die IT-Sicherheit von Unternehmen.

Sicherheit sollte hauptsächlich über Technik, Kontrolle und verordnetes Lernen hergestellt werden, wobei den MitarbeiterInnen das Vertrauen in ihre Loyalität dem Unternehmen gegenüber sowie in ihre selbstständigen Lern- und Entwicklungsfähigkeiten entzogen wurde. Um finanzielle Risiken zu vermeiden, wurden sogar ethisch bedenkliche Mittel wie die versteckte Kontrolle von MitarbeiterInnen über die IT-Sicherheitsinfrastruktur diskursiv legitimiert. Der mediale Diskurs um Cybersecurity in Unternehmen ließ neben Argumenten hinsichtlich der Leistbarkeit von Maßnahmen und der potenziell hohen Kosten infolge von Cyberattacken kaum Raum für ethische bzw. grundrechtsorientierte Überlegungen.

Der starke Fokus auf technische Aspekte und Expertenlösungen im Cybersecurity-Diskurs und die übermäßige Betonung von Sicherheit (Hypersecuritization) angesichts der zunehmenden Unsicherheit in der digitalen Welt deckt sich mit den Ergebnissen früherer Diskursanalysen in anderen Sprachräumen. Neu ist die zunehmende Kriminalisierung von MitarbeiterInnen in der medialen Diskussion.

Resümee: Implikationen für die Praxis

Der vorliegende Beitrag zeigt, wie die mediale Aufmerksamkeit je nach Interessenskonstellation auf unterschiedliche Gefahrenmomente hinweist (z. B. Cyberkriminalität, staatliche Überwachung oder intensivierte Anschaffungen im Bereich Sicherheits-IT). Für IT-Unternehmen, Polizeibehörden und die Forschung, welche sich für eine umfassende Verbesserung von Cybersecurity in Unternehmen einsetzen, bedeutet der Nachvollzug des medialen Cybersecurity-Diskurses eine verbesserte Einsicht in die selektive und situative Behandlung von Bedrohungslagen durch Medien und die damit verbundenen Verzerrungen unternehmerischer Risikoeinschätzungen. Aus der vorliegenden Studie lassen sich Praxisimplikationen in drei zentralen Bereichen ableiten:

  • Risikoeinschätzung: Risiken für die digitale Infrastruktur von Unternehmen sollten nicht nur auf Basis von Medienberichten eingeschätzt werden. Während Medien aufgrund ihrer hohen Reichweite für akute Gefahrenmeldungen (z.  neuartige Malware-Varianten) hinreichend Aufmerksamkeit (Awareness) erzeugen können, bleiben konstante Bedrohungen im täglichen Auf und Ab medialer Berichterstattung nicht ausreichend präsent. Eine gewisse kritische Distanzierung zur Tagespresse ist aber auch insofern nötig, als dass hinter berichteten Gefahren und zugehörigen Statistiken konkrete Interessenslagen von Medien und Unternehmen stecken können und das Ausmaß einer Bedrohung entsprechend verzerrt dargestellt werden kann. Wichtig ist, hinreichend Sensibilität für kontinuierlich bestehende Risiken aufzubringen, zu denen es ggf. keine Berichterstattung in der Tagespresse gibt (siehe z. B. das Thema Wirtschafts- und Industriespionage).
  • Stärkung des Faktor Mensch: Worauf der mediale Diskurs einerseits durchaus treffend sensibilisiert, ist die Notwendigkeit, im Cybersecurity-Bereich nicht nur technische Maßnahmen vorzunehmen, sondern insbesondere den Faktor Mensch verstärkt im Auge zu behalten. Andererseits ist der medialen Einteilung zwischen „guten“ und „bösen“ Akteuren mit Vorsicht zu begegnen. Gerade die tendenzielle Kriminalisierung von MitarbeiterInnen kann für Unternehmen negative Konsequenzen haben – gilt es doch im Regelfall Vertrauen und Motivation im alltäglichen Betrieb aufrecht zu erhalten. So müssen nicht als Zeichen des Misstrauens zwingend Kontrollen der MitarbeiterInnen erhöht werden, sondern es können diese auch gleichermaßen positiv in Form von Kompetenzförderung im Bereich Cybersecurity Awareness adressiert werden.
  • Sicherheitskooperation: KMU sind aufgrund im Regelfall geringer personeller und technischer IT-Ressourcen auf Informationen und Dienstleistungen von außen angewiesen, um den jeweils aktuellen Risiken der digitalen Welt begegnen zu können. Sie brauchen Unterstützung jener Institutionen, die Cybersecurity als gesamtgesellschaftliche Aufgabe verstehen. Beispiele hierfür sind die Polizei, die sich mit verstärktem Fokus auf Prävention und Awareness bemerkbar macht, nationale „computer emergency response teams“ (CERTs), die aktuelle Risikomeldungen kommunizieren und in Österreich die Wirtschaftskammer, die eine eigene Cybersecurity-Hotline für Unternehmen eingerichtet hat. In diesem kooperativen Bereich ist auch die Sicherheitsforschung gefragt, zentrale Aspekte für robusteres Cybersecurity-Verhalten und Awareness zu identifizieren und darauf ausgerichtete Trainings zu entwickeln. Die Bemühungen dieser Institutionen sollten gestärkt und besser vernetzt werden, um eine zentrale Quelle für akkurate Risikoeinschätzungen zu schaffen.

Die Grafiken, die Erläuterungen zur Methodik und die Quellverweise wurden entfernt.

HMD Praxis der Wirtschaftsinformatik; Eva-Maria Griesbacher, Martin Griesbacher; 2020

https://link.springer.com/article/10.1365/s40702-020-00618-7

http://creativecommons.org/licenses/by/4.0/deed.de


© Swiss Infosec AG 2024