Regulierung der Cyber-Sicherheit: Nathan Howe fordert eine Vision

Aktuell mangelt es an einer Reaktion auf neue Technologien, welche über eine kurzfristige Anpassung des Cyber-Sicherheitsniveaus hinausgeht

[datensicherheit.de, 13.04.2024] „Die Fristen für die Einhaltung der NIS-2-Richtlinie und des ,Digital Operations Resilience Act’ (DORA) rücken rasch näher und dementsprechend stehen Bestrebungen zur Einhaltung der Auflagen rund um die Regulierung der Cyber-Sicherheit für viele Unternehmen derzeit im Fokus. Während diese Direktiven die Hoffnung auf positive Veränderungen hinsichtlich des Schutzniveaus der Betreiber Kritischer Infrastrukturen in Europa wecken, fehlt es ihnen dennoch an einer entscheidenden Komponente – einer Vision zur Transformation der weltweiten Cyber-Sicherheit“, moniert Nathan Howe, „GVP Innovation“ bei Zscaler, in seiner aktuellen Stellungnahme. Zwar seien Regulierungsbestrebungen von Natur aus immer eine Reaktion auf Veränderungen, aber dennoch könnten sie etwas visionärer ausfallen. Aktuell mangele es allerdings noch an einer Reaktion auf neue Technologien, welche über eine kurzfristige Anpassung des Sicherheitsniveaus hinausgehe. Howe kommentiert: „Wieder einmal überschreitet die Innovationstätigkeit die Geschwindigkeit, mit der Regularien implementiert werden können.“

Foto: Zscaler

Nathan Howe: Regulierung und Innovation sollten Hand in Hand gehen!

Es sind nicht Cyber-Regularien, welche Unternehmen zu höherer Innovationstätigkeit veranlassen

Auch die Diskussionen auf dem „World Economic Forum“ in Davos hätten einmal mehr gezeigt, dass Entscheidungsträger und Politiker Regularien eher aus Angst denn aus Innovationsfreude auf die Tagesordnung setzten. Howe: „Nicht bedacht wurde, dass Regulierung und Innovation Hand in Hand gehen sollten, um den Schritt in die Zukunft ohne Angst und mit weniger Risiken angehen zu können.“ Das Entstehen von Regularien sei ein zyklischer Prozess – angetrieben durch die Evolution neuer Standards. Hinter einem solchen Prozess stehe eine bestehende Technologie, welche in vielerlei Hinsicht vorhersehbar sein sollte.

KI-gestütztes „5G“ sei ein gutes Beispiel für eine solch neue Technologie, welche bald neue Regularien erforderlich machen werde, „wenn sie in Form von ,6G’ mit einer ganzen Reihe neuer Funktionen aufwartet“. Die technologische Marschrichtung von Unternehmen erhalte durch Regularien Vorschub, welche über die Reaktion auf Sicherheitsvorfälle hinausgehe und zu strategischer Planung führen sollte. „Es ist jedoch wichtig zu erkennen, dass es nicht die Regularien sind, die Unternehmen zu höherer Innovationstätigkeit veranlassen. Vielmehr zwingen sie jegliche Organisation dazu, den Status Quo einzuhalten“, so Howe.

Organisationen betrachten Cyber-Regulierung oft nur als Mittel, den Status Quo zu erhalten

Echte Innovation könne dann entstehen, „wenn Führungskräfte und Visionäre dazu bereit sind, herkömmliche Herangehensweisen angetrieben vom Wunsch nach dem Erhalt von Wettbewerbsfähigkeit grundlegend zu überdenken“. Er führt hierzu aus: „Ein Unternehmen, das Lebensmittel oder Getränke herstellt, wird normalerweise immer Technologien zur Verbesserung der Produktionsprozesse gegenüber IT-Sicherheitsprozessen den Vorrang geben.“ Solche Organisationen betrachteten die Regulierung als Mittel, um den Status Quo zu erhalten. Sie nutzten sie nicht als Gelegenheit, um eine Modernisierung der Abläufe und die Erschließung gänzlich neuer Möglichkeiten auf den Weg zu bringen.

Howe gibt zu bedenken: „Aus diesem Grund erfolgt ein größerer Wandel oft nur aufgrund eines katastrophalen Moments, der droht, ein unsinkbares Schiff zum Kentern zu bringen. Oder er erfolgt eben durch den Anstoß von außen, der durch Regularien losgetreten wird.“ In diesem Sinne spiele die Regulierung eine wichtige Rolle bei der Beschleunigung der technologischen Evolution von denjenigen Unternehmen, „deren Hauptaugenmerk darauf liegt, den Motor am Laufen zu halten, zu verkaufen und zu produzieren“.

NIS-2 und DORA u.a. haben ihre Berechtigung, denn sie fördern Wissen und Verständnis für Cyber-Sicherheit – aber es gebricht ihnen an visionärer Kraft

Regulierungen wie aktuelle NIS-2 und DORA hätten ihre Berechtigung, denn sie trügen dazu bei, das Wissen und das Verständnis für Cyber-Sicherheit zu beschleunigen. „Sie setzen neue Grenzen und führen zu neuen Kontrollmechanismen und aktualisierten Reports zum Datenverkehr. Schlussendlich sind sie aber nicht die transformative Kraft, die Unternehmen dabei hilft, mit dem Tempo der technologischen Entwicklung und der Innovation Schritt zu halten.“

Howe erläutert: „In ihrer jetzigen Form ist es unwahrscheinlich, dass diese Art der Regulierung die Welt unter dem Gesichtspunkt der Informationssicherheit grundlegend verbessern wird. Ohne eine Vision, die die Innovationstätigkeit in den Vordergrund stellt, wird sie das Sicherheitspostulat nicht revolutionieren.“ Sie diene lediglich dazu, Unternehmen bei der Problembeseitigung zu unterstützen, aber nicht bahnbrechend zu transformieren.

Sein Fazit: „Damit Unternehmen innovative Cyber-Sicherheit wirklich vorantreiben, müssen Innovation und Regulierung zusammenspielen und eine zukunftsorientierte Denkweise fördern!“ Nur so würden Unternehmen dazu befähigt, sich im Einklang mit dem Tempo neuer, transformativer Technologien zu modernisieren. Dazu bedürfe es einer echten Vision im heutigen Zeitalter, in dem kein Jahrzehnt hinsichtlich der technologischen Entwicklung mehr vergleichbar sei mit dem vorangegangenen.