Wenn IT-Sicherheit zum Risiko wird: Das Phänomen der Cyber-Seneszenz

Die digitale Welt steht vor einem Paradox: Während Unternehmen immer mehr in Cybersicherheit investieren, steigt gleichzeitig das operative Risiko. Der Grund liegt in einem Phänomen, das Forscher als „Cyber-Seneszenz“ bezeichnen – das schleichende Altern digitaler Sicherheitsinfrastrukturen durch die unkontrollierte Anhäufung von Schutzmaßnahmen, deren tatsächliche Wirksamkeit oft unklar bleibt.

Von den Anfängen zur globalen Abhängigkeit

In den 1970er Jahren verband das ARPANET erstmals Computer über Telefonleitungen. Forscher Bob Thomas entwickelte das Programm „Creeper“, das durch das Netzwerk wanderte. Ray Tomlinson antwortete mit „Reaper“, einem Tool zur Entfernung von Creeper. Damit waren der erste Computervirus und die erste Antivirensoftware geboren.

Der Film „War Games“ aus dem Jahr 1983 veranlasste das US-Verteidigungsministerium zur Veröffentlichung des „Orange Book“ – ein Regelwerk, das präzise definierte, welche Maßnahmen Softwareentwickler umsetzen mussten. Diese Prinzipien wurden 1999 zum internationalen Standard ISO/IEC 15408.

Wenn Schutzmaßnahmen zu Störfällen werden

Am 19. Juli 2024 veröffentlichte Crowdstrike ein Update für seine Falcon Sensor-Software, die Computersysteme vor Cyberangriffen schützt. Das Update enthielt jedoch einen Programmierfehler. Die Folge: Weltweit stürzten etwa 8,5 Millionen Computer ab. Rund 60 Prozent der Fortune-500-Unternehmen waren betroffen. Hotels, Krankenhäuser und Häfen mussten mit Betriebsstörungen umgehen oder komplett schließen.

Der Crowdstrike-Vorfall gilt als der größte IT-Ausfall der Geschichte. Im Oktober 2025 führte ein fehlerhaftes Update bei Cloudflare zu ähnlichen Ausfällen. Beide Vorfälle verbindet:

Sie wurden durch fehlerhafte Cybersicherheitssysteme verursacht – durch genau jene Tools, die Computer eigentlich schützen sollen.

Die Explosion der Kontrollmaßnahmen

Das Cybersecurity Framework (CSF) des US-amerikanischen National Institute of Standards (NIST) gilt als bekanntestes Regelwerk. Die aktuelle Version beschreibt etwa 1.200 Kontrollen – dreimal so viele wie die erste Version mit 400 Kontrollen.

Moderne Frameworks enthalten nicht mehr nur präventive Maßnahmen, sondern auch Kontrollen für Reaktion und Wiederherstellung. Diese Entwicklung spiegelt eine zentrale Erkenntnis wider: Es ist unmöglich, alle Sicherheitsvorfälle zu verhindern. Deshalb sprechen Fachleute heute eher von Cyber-Resilienz als von Cybersicherheit.

Die neueste NIST-Version führte zudem die Kategorie „Governance“ ein. Cybersicherheit ist längst kein rein technisches Thema mehr, sondern erfordert Management und Entscheidungsfindung in der gesamten Organisation.

Komplexität als Treiber der Alterung

Die Digitalisierung verändert alle Organisationen. Täglich berichten Medien über Datendiebstahl, Ransomware-Attacken oder DDoS-Angriffe. 2024 identifizierte die Europäische Zentralbank Cyberrisiken als größtes Risiko für den Bankensektor – früher dominierten Kreditrisiken.

Der Grund liegt in der zunehmenden Softwareabhängigkeit. Unternehmen sind über lange Lieferketten miteinander verflochten und bilden Knotenpunkte, die Schwachstellen und Risikokonzentrationen darstellen. Diese Anfälligkeiten überraschen nicht, denn das Ökosystem wächst durch individuelle Unternehmensentscheidungen, ohne zentrale Konstruktion.

Samuel Arbesman beschreibt in „Overcomplicated: Technology at the Limits of Comprehension“, wie Systeme immer komplexer werden. Ein Beispiel: Das US-Steuerformular 1040 wurde so komplex, dass Richter entschieden, Menschen könnten nicht für vorsätzliche Nichtabgabe bestraft werden.

Die Ökonomie der Unsicherheit

Softwareprodukte enthalten zahlreiche Schwachstellen. Täglich werden neue entdeckt. Größere Organisationen weisen Hunderttausende Schwachstellen auf.

Manche werden von Hackern gefunden und zwischen Kriminellen gehandelt, statt veröffentlicht zu werden.

Der Citrix-Vorfall veranschaulicht das Problem: Am 17. Dezember 2019 veröffentlichte Citrix eine Schwachstelle, die Unbefugten Zugriff ermöglichte. Obwohl Citrix Gegenmaßnahmen bereitstellte, riet das niederländische Cybersicherheitszentrum NCSC am 17. Januar 2020, Citrix-Implementierungen komplett zu deaktivieren. Die einzige Sicherungsmöglichkeit bestand im Abschalten.

Der niederländische Onderzoeksraad Voor Veiligheid untersuchte dies und stellte fest: Der Softwareentwicklungsprozess bringt naturgemäß Schwachstellen mit sich, hauptsächlich aus wirtschaftlichen Gründen. Testen und Reparieren kosten Geld und Zeit. Software-Endnutzer sind von Sicherheitsentscheidungen anderer abhängig und müssen die resultierende Unsicherheit akzeptieren.

Dadurch entstand ein lukrativer Markt für Sicherheitsprodukte.

Sicherheit wurde zum Umsatzmodell einer schnell wachsenden Branche, die darauf angewiesen ist, dass Software schwach bleibt.

Diese Branche ist nützlich, wird aber die Ursache des Problems nicht lösen, da die Anreize der beteiligten Parteien nicht übereinstimmen.

Regulatorische Antworten

Die europäische Richtlinie NIS2 und das Gesetz über digitale Betriebsstabilität (DORA) für die Finanzbranche reagieren auf diese Entwicklung. Sie behandeln Cyberresilienz statt nur Cybersicherheit, erkennen Ökosystem-Abhängigkeiten an und heben das Thema auf Vorstandsebene.

Um Cyberresilienz zu erhöhen, schreiben die Vorschriften Sicherheitstests vor. Parteien in Lieferketten müssen Informationen über ihre Sicherheitslage austauschen. Die Vorschriften machen zudem Führungskräfte persönlich für schuldhafte Sicherheitsmängel haftbar.

Die Grenzen des Risikomanagements

Die Komplexität nimmt durch Cloud-Dienste und Verflechtungen zu. Dies führte zur massiven Zunahme von Kontrollen und Sicherheitsmaßnahmen. Selbst wenn alle regelmäßig getestet werden, bleibt ihr tatsächlicher Beitrag zur Risikominderung ungewiss.

Risikomanagement verwendet die Formel R = P × I (Risiko = Wahrscheinlichkeit × Auswirkung). Doch beide Faktoren lassen sich nur mit hoher Unsicherheit bestimmen. Unsicherheit bedeutet, dass so wenige verlässliche Informationen vorliegen, dass sich nicht einmal Wahrscheinlichkeit oder Auswirkungen künftiger Ereignisse abschätzen lassen.

Risikomanagement funktioniert am besten bei hoher Vorhersagbarkeit. Die Vorhersagbarkeit im Bereich Cybersicherheit ist jedoch langfristig gering.

Philosophische Wurzeln der Entscheidbarkeit

Der deutsche Philosoph Gottfried Wilhelm von Leibniz (1646-1716) prägte das Zitat „calculemus!“ – „lasst uns rechnen!“. Er war überzeugt, dass jede Entscheidung in eine Berechnung übersetzt werden kann.

Cybersicherheit hat jedoch ein Maß an Komplexität und Unsicherheit erreicht, sodass viele Sicherheitsentscheidungen nicht mehr berechenbar sind. Cyber-Risikomanagement funktioniert nur in kleinen Zeiträumen und lokalen, klar definierten Umgebungen.

Forschungsagenda für die Zukunft

Drei Maßnahmen sind erforderlich:

Erstens: Bessere lokale Sicherheitsentscheidungen unter Unsicherheit durch verbesserte Vorfallserkennung, etwa mittels KI zur Analyse von Telemetriedaten, und bessere Bedrohungsanalysen.

Zweitens: Regulatorische Wege finden, um Selektionsdruck auf das globale System auszuüben und Widerstandsfähigkeit zu erhöhen.

Drittens: Den Umgang mit Cyber-Seneszenz erlernen. Wie lässt sich die Anhäufung von Abfall bewältigen? Wie kann Abfall erkannt werden? Wie lässt sich die Aufhebung von Kontrollen rechtfertigen?

Eine neue, ganzheitliche Analyse des gesamten Cybersicherheitssystems ist erforderlich. Es braucht Cybersicherheitsexperten, die Entscheidungsträger effektiv beeinflussen können, um eine widerstandsfähige digitale Zukunft zu gestalten.

Fazit

Der Cyberspace entwickelt sich durch wirtschaftliche und technische Entscheidungen weiter. Aufgrund von Unsicherheit und der Unvollkommenheit von Sicherheitsentscheidungen sammelt sich in Kontrollrahmenwerken Abfall an. Dies führt zu Cyber-Seneszenz – dem Verfall der digitalen Welt.

Die Mission besteht darin, an einer nachhaltigen digitalen Zukunft zu arbeiten, in der Menschen sicher, frei und glücklich sind. Dies erfordert Einblicke in die Mechanismen der Cyber-Seneszenz und Wege zu deren Bewältigung.

Ursprünglich veröffentlicht von Martijn Dekker / arXiv

Passend dazu:

---

Bild/Quelle: https://depositphotos.com/de/home.html