Ist der Cyberspace ein rechtsfreier Raum? Eigentlich nicht, aber irgendwie schon. Ein Appell für eine verbindliche Sicherheitsnorm für die digitale Welt.
Während in vielen Bereichen der Technik und ihrer Anwendung die Sicherheit durch entsprechende Gesetze und Normen sowie deren Durchsetzung gewährleistet wird, hinkt die digitale Welt weit hinterher. Beim Automobil und in der Elektrotechnik sorgten bereits innert weniger als 20 Jahren nach deren Einführung erste Gesetze und Normen für Sicherheit. Das World Wide Web feierte dieses Jahr seinen 30. Geburtstag und Computer gibt es schon viel länger. Wo stehen wir hier in Sachen Sicherheit?
Strassenverkehr und Elektrotechnik
1886 meldete Carl Friedrich Benz das Auto zum Patent an. In der Folge hatte man dieses revolutionäre Gefährt mehrfach kopiert und weiterentwickelt. Die ersten Automobile hatten noch erhebliche Sicherheitsmängel und machten Fussgängern, Pferden und Kutschen den Raum streitig. Immer wieder kam es zu mitunter auch tödlichen Unfällen, weil die Sicherheit der Fahrzeuge im Ermessen ihrer Erbauer lag und auch weil sich niemand für die Fahrkünste der enthusiastischen Lenker interessierte. Bereits 1899 wurde deshalb in Frankreich zusammen mit der ersten Strassenverkehrsordnung der Welt die Führerscheinpflicht eingeführt. Die Schweiz folgte ab 1904 mit interkantonalen Konkordaten, die mit den Bundesgesetzen von 1932 und 1959 eine Vereinheitlichung erfuhren. Seither hat sich sowohl die Sicherheit der Fahrzeuge als auch des Verkehrs laufend verbessert. Heute bildet sie einen wichtigen Aspekt in der Mobilität, die durch gesetzlich verankerte Sicherheitsvorschriften reglementiert und durch technische Normen standardisiert ist.
Das World Wide Web feierte dieses Jahr seinen 30. Geburtstag und Computer gibt es schon viel länger.
Ähnlich schnell hatte man auch die elektrische Sicherheit reguliert. Der Schweizerische Elektrotechnische Verein (SEV), die heutige Electrosuisse, hat 1896 die ersten Sicherheitsvorschriften für den Bau und Betrieb von Starkstromanlagen vorgelegt. Seit dem Bundesgesetz betreffend elektrischer Schwach- und Starkstromanlagen von 1902 hatte man viel für die Verbesserung der Sicherheit getan. Heute verweist die Niederspannungs-Installationsverordnung (NIV) zur Umsetzung des Elektrizitätsgesetzes (EleG) auf «anerkannte Regeln der Technik». Solche harmonisierte Sicherheitsstandards bestehen mit den Normen der internationalen elektrotechnischen Kommission (IEC) auf globaler und des Europäischen Komitees für elektrotechnische Normung (CENELEC) auf europäischer Ebene, die durch die Schweizer Niederspannungs-Installationsnorm (NIN) als anwendungsorientierte Umsetzungsnorm ergänzt werden.
Der digitale Wilde Westen
Mit seiner Z1, einem frei programmierbaren mechanischen Rechner, legte Konrad Zuse 1938 den Grundstein für das Zeitalter der Digitalisierung. Die ersten elektromechanischen Rechenmaschinen wurden zu miniaturisierten und leistungsfähigen Computern weiterentwickelt und 1981 mit dem Personal Computer massentauglich gemacht. Die globale Vernetzung über das Internet und die mobile Kommunikation haben die Nutzenpotentiale ermöglicht, die wir heute mit der digitalen Transformation erschliessen. Doch noch immer sind digitale Lösungen und der Datenverkehr weitgehend nicht reguliert. Die bisherige Duldung von Sicherheitsmängeln und sicherheitsfeindlichen Verhaltensweisen hat es ermöglicht, dass sich Cyber-Kriminalität zu einem lukrativen Geschäftsmodell entwickeln konnte. Das Vertrauen in die Sicherheit von digitalen Lösungen sinkt, während die Kosten für Cyber-Risiken explodieren.
Aktuelle Cybersecurity-Standards sind weder hinreichend noch einfach verständlich. Sie sind auch nicht einfach auf konkrete Rahmenbedingungen skalierbar und schon gar nicht verpflichtend. Etliche Organisationen veröffentlichen unzählige Empfehlungen für Anwender. Trotzdem erreichen diese die breite Masse nicht. Hersteller und Anbieter als eigentliche Gefahrenverursacher werden dabei vernachlässigt. Es wird viel Energie in die Symptombekämpfung investiert, während Cyber-Risiken zu immer mehr Schäden führen. Gleichzeitig fehlt es in der Schweiz an einer Regulierung für digitale Sicherheit. Während die Europäische Union 2016 mit der Datenschutzgrundverordnung (DSGVO) und der Richtlinie zur Netz- und Informationssicherheit (NIS) sowie 2019 mit dem EU Cybersecurity Act den Grundstein dafür gelegt hat, wird in der Schweiz erst das Datenschutzgesetz angepasst.
Heute ist die Sicherheit im Strassenverkehr klar reglementiert und nicht verhandelbar.
Sicherheit dank Normen
Beim Auto standen zu Beginn schienen- und zugtierunabhängige Mobilität, höhere Geschwindigkeit und Komfort sowie die pure Lust am Fahren im Vordergrund, während Sicherheitsaspekte schon bald danach durch die zunehmenden Probleme an Bedeutung gewannen. Heute ist die Sicherheit im Strassenverkehr klar reglementiert und nicht verhandelbar. Normenbasierte Sicherheitsvorschriften für Hersteller, Strassenverkehrsgesetze, regelmässige Fahrzeug- und Verkehrskontrollen sowie obligatorische Fahrprüfungen machen den Strassenverkehr sicher. Wer gegen die Regeln verstösst, muss Bussen hinnehmen.
Praktisch alle neuen Technologien haben neben ihrem Nutzen auch Risiken mit sich gebracht. Diese sind insbesondere für technische Laien, die den grössten Anteil der Anwender ausmachen, zu komplex und nur schwer abschätzbar. Um eine möglichst gefahrenlose Nutzung zu gewährleisten, sind sowohl Verhaltensnormen in Form von Gesetzen als auch technische Normen erforderlich. Diese sollen zweckmässig, verhältnismässig und zumutbar sein.
Die digitale Welt steht an einem vergleichbaren Punkt wie damals, als der Umgang mit Elektrizität noch viel lebensgefährlicher als heute war und jeder nach eigenem Gutdünken ein motorisiertes Gefährt bauen und fahren konnte. Es ist Zeit, auch die digitale Welt sicher zu machen. Dazu brauchen die Schweiz und auch der Rest der Welt eine klare Regulierung für digitale Sicherheit und verpflichtende Cybersecurity-Normen, wie dies bei anderen Technologien eine Selbstverständlichkeit ist.
Diskutieren Sie mit uns darüber im Electrosuisse Blog!
Text: Levente J. Dobszay, Cybersecurity Specialist bei Electrosuisse
Schreibe einen Kommentar