Bei einigen der Ransomware-Angriffe im Jahr 2017, bei denen medizinische Einrichtungen betroffen waren[1], ist klar, dass Cybersicherheitsvorfälle nun reale, physische Auswirkungen auf Menschen haben. Angesichts der zunehmenden Digitalisierung bestehender Prozesse oder Systeme können wir nur noch mehr davon erwarten, was viele weitere Facetten des täglichen Lebens betreffen wird. Wie verändert das die Cybersicherheit? Es ist sehr wahrscheinlich, dass noch mehr Regulierungsschritte kommen werden, um die grundlegende Sicherheit weiter zu erhöhen und das Vertrauen in Cybersysteme zu gewährleisten, die Auswirkungen auf die Gesellschaft haben. Die Richtlinie zur Netzinformationssicherheit (Network Information Security, NIS), die 2018 in Kraft tritt, enthält eine neue Kategorie „Anbieter digitaler Dienste“. Da Cyberaktivitäten eine größere physische Auswirkung auf die Gesellschaft haben, müssen wir erwarten, dass mehr Kategorien entlang dieser Linien entwickelt werden. Diese gehen über die traditionell definierte, „kritische nationale Infrastruktur“ oder „Betreiber von grundlegenden Diensten“ hinaus.
In diesem Zusammenhang muss sich die Rolle von Führungskräften wie dem CSO oder CISO weiterentwickeln. Wenn es aufgrund von Technologieversagen zu Schäden für die Bürger kommt, wird die Öffentlichkeit wissen wollen, ob und warum etwas vernachlässigt wurde, wer die Verantwortung trägt und welche relevanten Maßnahmen ergriffen werden müssen. Waren CSOs vor kurzem noch besorgt, angesichts eines solchen Vorfalls gefeuert zu werden, könnte in Zukunft das Thema Haftung noch besorgniserregender werden. Könnte dies dazu führen, das CSOs eine Berufsversicherung in der gleichen Weise benötigen wie viele Ärzte heute? Wird eine formale Qualifikation und Registrierung als praktizierender CSO kommen, so wie es bei anderen Berufen, von denen Menschenleben abhängen, wie zum Beispiel Ärzte, heute bereits der Fall ist?
Diese Zeit des Jahres bietet immer eine Gelegenheit für ein wenig Reflexion über die letzten zwölf Monate und, was noch wichtiger ist, was als nächstes passieren wird. Ich erinnere mich noch daran, dass ich vor nicht allzu vielen Jahren an einer Reihe von Vorhersagen beteiligt war, die auf fünf oder zehn Jahre ausgelegt waren, aber das Tempo der technologischen Veränderung macht die Entwicklung in diesen Zeiträumen bereits kaum vorhersehbar. Ebenso erscheint ein Jahr wie ein Wimpernschlag. Hier sind einige meiner Gedanken zu dem, was wir im kommenden Jahr sehen werden, zusammen mit Vorschlägen zum Umgang mit diesen Risiken. Aller Wahrscheinlichkeit nach werden sich diese Auswirkungen über einige Jahre erstrecken.
[1] https://www.theregister.co.uk/2017/05/12/nhs_hospital_shut_down_due_to_cyber_attack/