Warum reagieren Staaten eigentlich so vehement auf Terroristen, obwohl denen weniger Menschen zum Opfer fallen als zum Beispiel im Straßenverkehr? Die Frage mag zynisch klingen, ist aber durchaus zulässig angesichts des realen Gefährdungspotenzials. Auch ein Vergleich der Zahl der Corona-Opfer mit der der jährlichen Grippe-Opfer führt in die gleiche Richtung. Die Aufmerksamkeit, die Grippe-Toten oder Verkehrsopfern zukommt, ist ungleich geringer. Die Maßnahmen zu ihrem Schutz sind es allerdings auch. Maßnahmen gegen den Terror werden schnell und oft sogar um den Preis persönlicher Freiheiten eingeführt. Die Abbiegeassistenten für Lastkraftwagen, die Radfahrer im toten Winkel schützen könnten, werden dagegen gerade aus Rücksicht auf die Handlungsfreiheiten von Transportunternehmen nicht durchgesetzt.
Warum ist das so? Eine der Existenzgrundlagen eines Staates besteht in der Verantwortung für die Sicherheit seiner Bürger: ohne Sicherheit kein Staat. Das ist manifest für das Staatsverständnis. Deshalb kann ein Staat Freiheitsrechte für Einzelne einschränken mit der Begründung, die Sicherheit für die Mehrheit zu erhöhen. Terroristen führen einen asymmetrischen Krieg gegen den Staat. Sie operieren mit minimalem Einsatz und größtmöglicher Wirkung, während der Staat mit größtmöglichem Einsatz und meist minimaler Wirkung antwortet. „Größtmögliche Härte“ nennen das dann Politiker und offenbaren damit ihre größtmögliche Ohnmacht.
Auch Cyberkriminelle führen einen asymmetrischen Angriff auf den Staat, auf die Gesellschaft oder das Wirtschaftssystem, indem sie Sicherheitslücken nutzen, um Daten abzugreifen, IT-Systeme abzuschalten, Infrastrukturen lahmzulegen und Lösegelder von ihren Betreibern zu fordern. Der Schaden misst sich nicht in Menschenleben, aber in Milliarden Euro. Dabei zerstören Cyberkriminelle – auch hier eine wichtige Parallele zum Terrorismus – das Vertrauen in das System, egal ob „das System“ der Staat ist oder ein privatwirtschaftliches Ökosystem wie zum Beispiel die Cloud.
Es ist deshalb nicht verwunderlich, dass jetzt ein Gipfeltreffen zwischen Digitalwirtschaft und Bundesregierung im Weißen Haus in Washington einberufen wurde, um gegen Cyberkriminelle mit ebensolcher Verve vorzugehen, wie gegen den internationalen Terrorismus. Und es ist auch nicht überraschend, dass auf einmal bis zu 30 Milliarden Dollar aufgetrieben wurden, um diesen Kampf auch erfolgreich zu führen. Diese Summe wollen allein Google und Microsoft über fünf Jahre investieren, um ihre Systeme sicherer gegen den Angriff von Internet-Terroristen zu machen. Es liegt in ihrem ureigensten Interesse, ihren Bürgern – also den Nutzern – die Sicherheit zu bieten, die sie als Anwender der bereitgestellten Infrastrukturen auch erwarten können.
Schon jetzt arbeitet beispielsweise Microsoft intensiv daran, KI-Systeme so zu optimieren, dass sie Ungereimtheiten im normalen IT-Betrieb identifizieren und sofort Gegenmaßnahmen gegen Cyberangriffe einleiten können. Im auf den Kampf gegen den Terror übertragenen Sinne entspricht das der Geheimdiensttätigkeit, die übrigens auch immer stärker auf künstliche Intelligenz setzt, um auffällige Aktivitäten möglichst frühzeitig erkennen zu können.
Für Google, Microsoft, IBM und auch Amazon Web Services ist dabei klar: wenn sie diese Terrorgefahr aus dem Cyberspace nicht in den Griff bekommen, wankt ihr auf Cloud Computing basierendes Geschäftsmodell in den Grundfesten. Dabei ist auch dies längst klar: Wenn die globalen Cloud Service Provider die Cybersecurity nicht herstellen können, die IT-Abteilungen der Unternehmen, die ihre Lösungen nach wie vor in Eigenverantwortung „On Premises“ betreiben, werden diese Gefahr unter wirtschaftlich vertretbaren Bedingungen niemals bannen können.
Kein Wunder also, dass Unternehmen wie Google und Microsoft handeln wie Staaten. Sie haben inzwischen ihr Selbstverständnis auf dem Versprechen für ihre Nutzer aufgebaut, mehr Sicherheit und mehr Komfort – neben den klassischen IT-Argumenten Effizienz und Transparenz – zu liefern. Für die Anwender ist dies allerdings nur in Zeiten großer akuter Gefährdung ein Kaufargument. Auf lange Sicht wird Security eine „conditio sine qua non“ sein, eine Bedingung, ohne die nichts geht. Während also die Cloud Provider immer weiter und weit mehr als die zehn Milliarden von Google und die 20 Milliarden von Microsoft in die Sicherheit investieren müssen, um ihren „Cloud-Bürgern“ Sicherheit zu bieten, werden die Anwender früher oder später Sicherheit als gegeben voraussetzen. So, wie sie das auch jetzt schon gegenüber ihrem Staat erwarten.
Security ist damit ein klassischer Hygienefaktor, wie er aus Herzbergs Theorien zur Mitarbeitermotivation bekannt ist. Wenn Sicherheitssysteme greifen, gibt es auch keine Gefahr. Greifen sie aber nicht, führt das zur Unzufriedenheit – oder zu Milliardenschäden. Beides können sich die Internet-Giganten nicht mehr leisten. Sie übernehmen in dieser Sicherheitsfrage offensichtlich schon die Aufgaben des Staates. Das könnte zu ganz neuen Hygienefaktoren führen.
Gute Sicherheit kostet Geld – schlechte Sicherheit ist unbezahlbar!