Mit Public Health Ansätzen Cybersicherheit fördern

Im Oktober 2014 findet zum dritten Mal der von der EU ausgerufene Europäische Monat der Cyber-Sicherheit statt (European Cyber Security Month, ECSM). Mit verschiedenen Aktionen auf europäischer und nationaler Ebene verfolgt der ECSM das Ziel, “sich für die Cybersicherheit unter Bürgern einzusetzen, deren Wahrnehmung von Cyberbedrohungen zu verändern und aktuelle Sicherheitsinformationen durch Bildung und Vermittlung von bewährten Praxislösungen bereitzustellen”. Die Autoren Svenja Post und Alexis Below vom Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) in Potsdam nehmen dies zum Anlass, um für eine bessere ‚digitale Hygiene‘ und eine stärkere analoge Heranziehung von Entwicklungen aus dem Gesundheitsbereich im Allgemeinen zu plädieren:

BIGS Logo

In der öffentlichen Debatte um Cybersicherheit spielt die Verbildlichung von Zusammenhängen und Herausforderungen im Cyberraum eine große Rolle. Analogien und Metaphern aus verschiedenen Forschungsdisziplinen und Themenfeldern werden herangezogen, um Wirkungszusammenhänge zu veranschaulichen und Handlungsstrategien abzuleiten. Metaphern dienen dabei auch der emotionalen Mobilisierung und Sensibilisierung. Gleichwohl vereinfachend, beeinflussen sie doch unser Denken und final auch unser Handeln. Bilder vom „Cyberkrieg“, „Cyber-Pearl Harbor“, „Cyber-9/11“, „Cyber-Blackout“, „Cyber-Kollaps“ wurden beschworen, haben den medialen Diskurs national wie international in den letzten Jahren dominiert und damit die Bedrohungswahrnehmung von öffentlichen wie privaten Akteuren wesentlich beeinflusst. In ihrer handlungsleitenden Wirkung können derartige Analogien aber auch irreführend und kontraproduktiv sein. Insbesondere das Heranziehen von Kriegs- und Katastrophenmetaphern als Referenzpunkte für die Analyse kollektiver oder individueller Cybersicherheit scheint häufig unangemessen, um die vielschichtigen Herausforderungen und wechselseitigen Abhängigkeiten zwischen Individuum, Wirtschaft und Staat adäquat beschreiben und Lösungsansätze entwickeln zu können (kritische Beiträge zur Kriegs-Metaphern gibt es z.B. von Peter W. Singer und Noah Shachtman, Thomas Rid und Eric Gartzke).

Auch der Bereich Public Health, also die Verbesserung der Bevölkerungsgesundheit durch gezielte Strategien und Maßnahmen der Krankheitsverhütung und Gesundheitsförderung, bietet analog nutzbare Einblicke und Erfahrungswerte, welche im Gegensatz zu den Kriegs- und Katastrophenmetaphern bisher eine eher untergeordnete Rolle spielen. Dennoch können gerade diese einen greifbaren Mehrwert für die Debatte um Cybersicherheit schaffen, der vom individuellen Risikoverhalten bis hin zur institutionellen Ausgestaltung staatlicher Aufsichts- und Regulierungsbefugnisse reicht. Schon seit langem werden Begriffe aus der Epidemiologie und Biologie im IT-Bereich genutzt, wie z.B. „Virus“, „Infektion“, „IT-Environment/IT-Ökosystem“ etc. Während die Zweckmäßigkeit entsprechender Ansätze und Inspirationen beispielsweise in den USA erkannt wurde (siehe z.B. die Arbeit von Mulligan und Schneider sowie Rowe, Halpern und Lentz), hinkt die Debatte hier in Deutschland hinterher.

Als Veranschaulichung soll an dieser Stelle das Beispiel der digitalen Hygiene dienen. Während menschliche Infektionskrankheiten lebensbedrohlich sein können, geht von den meisten Bedrohungen im Cyberspace (noch) keine derart akute Gefahr für Menschen aus. Für Opfer von böswilligen Angriffen können die persönlichen Konsequenzen jedoch bisweilen unangenehm (z.B. Versendung von Spam-Nachrichten an elektronische Kontakte) und verheerend sein (z.B. ernsthafte finanzielle oder anderweitige Verluste durch den Diebstahl sensibler Daten). Individuen, Netzwerke und Firmen können dabei sowohl Opfer als auch unfreiwillige Helfer von Internetkriminellen und Hackern werden. Sobald das eigene System kompromittiert ist, kann es für die Verbreitung von Malware missbraucht, Teil eines böswilligen Botnetzes werden oder die in ihm enthaltenen Informationen für zielgerichtete Phishing oder Social Engineering-Angriffe auf Freunde, Kollegen und Geschäftspartner eingesetzt werden. Eine effektive digitale Hygiene kann einen Großteil der üblichen Cyber-Bedrohungen ausschalten und ist ähnlich wie im Gesundheitsbereich nicht nur für die eigene Sicherheit, sondern für die einer ganzen Gruppe wichtig – analog zu von Impfungen erzeugter „Herdenimmunität“. So kann digitale Hygiene entsprechend der Gesundheitsförderung als ein Sammelbegriff für präventive Praktiken gesehen werden, die zu einer Abwehr und Verminderung von Cyberrisiken eingesetzt werden, z.B. durch den Einsatz von Antiviren- und Firewall-Programmen, das regelmäßige Updaten und Patchen von Software, die Nutzung von komplexen Passwörtern und den richtigen Umgang mit Spam- und Phishing-Mails.

Die digitale Hygiene zielt darauf ab, das Bewusstsein und die Selbsthilfefähigkeit von Internetnutzern gezielt zu stärken. Bereits existierende Maßnahmen wie der ECSM und Kampagnen wie „Deutschland sicher im Netz“ sind hierbei ein erster Anfang, um mittels entsprechender Sensibilisierungsmaßnahmen ein angemessenes Cyberrisikobewusstsein zu schaffen. Es bedarf jedoch deutlich mehr Investitionen von öffentlichen und privaten Akteuren, um zielgerichtet und präventiv auf Schwachstellen einzugehen und über diese zu informieren und so wirksame digitale Hygiene-Routinen in unseren Alltag zu integrieren und diese auch kontinuierlich anzupassen. Ebenso wie Krankheiten weiterhin existieren und Keime sich der Entwicklung neuer Medikamente anpassen, wird sich auch schadhafte Software weiterentwickeln. Regierungen sollten digitale Hygiene-Maßnahmen in Lehrpläne aufnehmen und maßgeschneiderte Kampagnen für mehr „Cyber Sanitation“ durchführen. Unternehmen müssen ihrerseits nicht nur ihre Mitarbeiter, sondern auch ihre Kunden regelmäßig über die Notwendigkeit von digitalen Hygienemaßnahmen informieren und erinnern. Maßnahmen der digitalen Hygiene haben erhebliche Berührungspunkte mit den Bereichen Datenschutz und Geheimhaltung und somit einen Synergieeffekt für das Gesamtsicherheitsgefüge.

Ein systematischer Vergleich der beiden Bereiche Cybersicherheit und Public Health ist dabei nicht nur eine akademische Übung, sondern kann den Blick freilegen auf neue Handlungsansätze und Strategien. Er verschiebt erstens den Fokus weg vom militaristischen Dreiklang Attacke-Verteidigung-Gegenattacke hin zu Fragen der Kooperation zwischen Staat, Wirtschaft, Wissenschaft und Gesellschaft; er ermöglicht zweitens bessere Modelle für die Klassifizierung von Bedrohungen und Risikofaktoren und daraus abzuleitender Präventions- und Behandlungsstrategien; er eröffnet drittens neue Sichtweisen auf ordnungspolitische und rechtliche Fragestellungen im Bereich Cybersicherheit, z.B. Konflikte zwischen den Rechten des Einzelnen und dem Allgemeinwohl; und er erlaubt viertens die Nutzbarmachung des großen Forschungswissen zu Risikowahrnehmung und -verhalten, das für die Analyse von Risikopräferenzen und die Entwicklung von Bildungs- und Präventionsmaßnahmen im Cyberbereich wertvolle Erkenntnisse bereithalten kann.

Für die individuelle und kollektive Cybersicherheit ist natürlich noch eine Vielzahl von Faktoren von Bedeutung. Dieser Beitrag schneidet nur an, welche Anleihen und Erfahrungswerte aus dem Bereich Public Health für die Debatte um Cybersicherheit genutzt werden können. Damit verbundene Fragestellungen setzen sich bspw. damit auseinander, wie eine Klassifizierung von Cyberbedrohungen und -risiken analog zum Gesundheitsbereich aussehen könnte (übertragbare/nicht-übertragbare Krankheiten, Risiko- und Umweltfaktoren etc.).

Welche Lehren können aus dem Forschungswissen des Public Health Bereichs gezogen werden, um die Cybersicherheit zu stärken (Design von Präventions- und Awareness-Kampagnen, Besonderheiten von individuellem Risikoverhalten etc.)? Hier kann insbesondere die Gestaltung und Nutzung von Präventions- und Abwehrmaßnahmen im Cyberbereich analog zu Public Health Maßnahmen interessante Denk- und Forschungsansätze bieten (individuelle/systemische Interventionen, Prävention/Behandlung/Eindämmung etc.).

Zur Beantwortung dieser Fragen sind sicherlich ganze Forschungsprojekte nötig. Dieser Beitrag soll daher vor allem dazu dienen, die Debatte hierfür anzustoßen – welche auch nicht auf den Public Health Bereich beschränkt bleiben, sondern generell die Augen für Lehren auch aus anderen Politikfeldern für Problemstellungen der Cybersicherheit öffnen soll.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code