Asymmetrie in der Cybersicherheit – "schön" ist nicht immer "sicher"

Hannes P. Lubich, Professor für ­Informatik, Fachhochschule Nordwestschweiz. (Source: zVg)

Hannes P. Lubich, Professor für ­Informatik, Fachhochschule Nordwestschweiz. (Source: zVg)

Lange galt Symmetrie als Schönheitsideal – sei es in der Architektur, der Kunst oder der Natur. Erst spät wurde die Asymmetrie zum Mittel des Ausdrucks von Individualität und gestalterischer Freiheit. Sätze wie "Symmetrie ist die Ästhetik der Dummen" des Architekten Mies van der Rohe dokumentieren dieses veränderte Weltbild. In der Cybersicherheit gilt dies leider nicht – die Verteidigung digitaler Umgebungen gleicht heute einem Spiel, bei dem Regeln, Spielfeld und Zeit zugunsten der Angreifer manipuliert sind. Diese Asymmetrie verschärft sich zusehends. Dies hat folgende Gründe:

1. Strukturelle Ungleichgewichte: Während Verteidiger alle potenziellen Einfallstore (Hardware, Software, Identitäten, ­Lieferketten, Menschen etc.) rund um die Uhr lückenlos schützen müssen, führt den Angreifer eine einzige Schwachstelle oder ein unachtsamer Klick zum Erfolg. Die Angreiferseite hat sich professionalisiert. Von staatlich alimentierten Akteuren bis hin zu "Ransomware-as-a-Service"-Anbietern ist das Ökosystem hochgradig arbeitsteilig. Die Motivation ist oft finanziell oder geopolitisch getrieben und kennt weder Feierabend noch Mitleid. 
2. Ressourcen und Technologie: Angreifer agieren oft mit minimalem Budget bei maximalem Schadenspotenzial durch geeignete Werkzeuge. Verteidiger hingegen müssen enorme Summen in Personal, Lizenzen und In­frastruktur investieren, oft ohne einen direkten "Return on Investment" nachweisen zu können – bis es zu spät ist. Angreifer nutzen neue Technologien wie KI und Automatisierung (und demnächst Quantencomputer), um Angriffe zu skalieren, gewonnene Daten auszuwerten usw. Die Verteidiger sind hingegen oft durch komplexe Legacy-Systeme, proprietäre Schnittstellen, langsame Change-Prozesse und akuten Fachkräftemangel gelähmt. 
3. Regulierung als zweischneidiges Schwert: Während Regulierungen wie NIS-2, DORA etc. die Resilienz von IT-Umgebungen langfristig stärken sollen, binden sie kurzfristig massiv Ressourcen in der Compliance-Arbeit. Angreifer operieren hingegen losgelöst von rechtlicher Verfolgung oder ethischen Rahmenbedingungen, was ihnen eine Agilität verleiht, die Unternehmen oder Behörden kaum kontern können.

Strategische Handlungsoptionen

Strategien müssen von der reinen Prävention hin zur Resilienz umschwenken. Hierfür sind die folgenden Punkte besonders zu berücksichtigen:

• Man muss akzeptieren und antizipieren, dass Kompromittierungen stattfinden werden. Hier liegt der Fokus auf Detektion und schneller, eingeübter Wiederherstellung von Not- und Regelbetrieb statt nur auf Schutzmauern. Dies darf jedoch nicht als "Kapitulation" verstanden werden – Awareness und Krisenresistenz der eigenen Organisation bleiben relevante Sicherheitsbausteine.
• KI-gestützte Systeme sind kein Luxus mehr, sondern die einzige Möglichkeit, der schieren Masse an automatisierten Angriffen zu begegnen – jedoch weiterhin in den Grenzen der rechtlichen und regulatorischen Machbarkeit, Zuverlässigkeit und Nachvollziehbarkeit.
• Da der Fachkräftemangel ein systemisches Risiko ist, müssen Unternehmen verstärkt auf spezialisierte "Managed Security Service"-Partner mit nachgewiesenen Fähigkeiten (7/24, Incident Response etc.) setzen, um Skaleneffekte der Verteidigung zu nutzen. Die finale Verantwortung und Governance bleibt jedoch undelegierbar.
• Je weniger Angriffsfläche vorhanden ist (z. B. durch die Migration und Abschaltung von Altsystemen oder die Umsetzung von "Security by Design"- und "Privacy by Default"-Konzepten in Projekten und Beschaffungen), desto geringer ist die asymmetrische Last.