Cybersicherheit beginnt mit Eigenverantwortung – aber nicht nur

Jede Organisation und jede Privatperson ist primär dafür verantwortlich, die eigenen Systeme zu schützen. Dieses Grundprinzip hat sich in der Schutzpraxis für die Cybersicherheit bereits Ende der 1990er-Jahre etabliert. Es basiert auf individueller und grösstenteils freiwilliger Verantwortung und hat sich international durchgesetzt. Bis zu einem gewissen Punkt funktioniert diese Schutzpraxis gut. Doch für Gesellschaft und Wirtschaft als Ganzes genügt das so erreichte Schutzniveau nicht.

Vernetzung und Externalitäten

Der Grund liegt in der engen Vernetzung technischer Systeme wie industrieller Steuerungsanlagen, Cloud- und Plattformdienste, Lieferkettennetzwerke oder digitaler Zahlungssysteme. Sie führt dazu, dass externe Effekte entstehen: Individuelle Sicherheitsentscheidungen wirken sich auch auf andere aus – sowohl negativ als auch positiv.

Ein negativer externer Effekt entsteht etwa, wenn ein Unternehmen seine Systeme unzureichend absichert: Angreifer können diese Schwachstelle nutzen, um Partner, Kundinnen oder ganze Lieferketten anzugreifen. Das Unternehmen selbst trägt nur einen kleinen Teil der Schäden, der grössere Teil trifft andere.

Ein positiver externer Effekt liegt hingegen vor, wenn ein Unternehmen viel in Cybersicherheit investiert. Dadurch profitieren auch jene, die selbst wenig oder gar nichts investieren. Etwa, wenn Schadsoftware nicht weiterverbreitet wird oder Bedrohungsinformationen mit der Branche geteilt werden.

Klassisches Marktversagen

Diese Dynamik führt zu einem klassischen Marktversagen: Insgesamt wird zu wenig in Sicherheit investiert. Der Anreiz des Einzelnen ist kleiner als gesellschaftlich wünschenswert, weil ein Teil des Nutzens der Investitionen auf andere übergeht, ohne dass diese etwas dafür zahlen müssen. Dieses Phänomen des Trittbrettfahrens ist eng mit der Unterversorgung öffentlicher Güter verbunden: Alle profitieren von mehr Cybersicherheit, und niemand kann davon ausgeschlossen werden. Deshalb bestehen wenig Anreize, selbst in Schutz zu investieren.

Parallel dazu verschärft sich die Bedrohungslage. Angriffe lohnen sich zunehmend, weil die Angriffsfläche durch Digitalisierung, Clouddienste und mobile Arbeit stetig wächst. Das Entdeckungsrisiko jedoch bleibt gering. Angreifer agieren anonym, oft über Landesgrenzen hinweg, und können hohe finanzielle Erträge erzielen. Die Einstiegshürden sinken zugleich deutlich. Im Darknet werden fertige Angriffswerkzeuge und Ransomware-Kits als Cybercrime-as-a-Service angeboten. Automatisierte Tools ermöglichen auch technisch weniger versierten Tätern effektive Angriffe. Hinzu kommt, dass staatliche oder staatsnahe Akteure Cyberattacken zur Spionage, zur Sabotage oder zur geopolitischen Machtausübung strategisch nutzen. Da diese Akteure über Zeit, Ressourcen und Know-how verfügen, steigen die Kosten für Unternehmen und Institutionen sowohl durch die notwendigen Investitionen in Abwehrmassnahmen als auch durch die Schäden erfolgreicher Angriffe.

Eigenverantwortung als Fundament

Die Professionalität und die Schlagkraft heutiger Angriffe zeigen, dass kollektive Massnahmen – also koordinierte Anstrengungen von Staat, Wirtschaft und Gesellschaft – unverzichtbar sind. Dennoch bleibt das Grundprinzip bestehen: Ohne Eigenverantwortung funktioniert es nicht. Sie ist Voraussetzung, dass kollektive Massnahmen überhaupt wirken können. Denn die Basis kollektiver Sicherheit ist stets die individuelle Vorsorge. Wer Updates versäumt, schwache Passwörter nutzt oder andere grundlegende Schutzmassnahmen ignoriert, gefährdet nicht nur sich selbst, sondern öffnet Angreifern das Tor in das gesamte Netz.

Die entscheidende Frage lautet: Wie weit reicht diese Eigenverantwortung? Und ab wann muss der Staat eingreifen? Eine einfache Antwort darauf gibt es nicht. Bedrohungen, technische Möglichkeiten und ökonomische Anreize verändern sich laufend. Was heute noch als zumutbare Eigenleistung gilt, kann morgen schon eine Überforderung darstellen. Zum Beispiel wenn die Komplexität von Angriffen oder die Kosten für Schutzmassnahmen die Möglichkeiten einzelner Unternehmen oder Privatpersonen übersteigen. Umgekehrt können neue Technologien Schutzmassnahmen erleichtern, die bislang nicht praktikabel waren. Dazu gehören etwa automatisierte Sicherheitsupdates, KI-gestützte Angriffserkennung oder zentral bereitgestellte Clouddienste.

Der Staat greift ein, wenn der Markt versagt

Trotzdem lassen sich zwei Leitlinien benennen, die in Forschung und Praxis häufig herangezogen werden. Erstens: Eigenverantwortung reicht so weit, wie Schutzmassnahmen mit vertretbarem Aufwand umsetzbar sind – technisch, organisatorisch und finanziell. Es ist zumutbar, dass Unternehmen und Privatpersonen grundlegende Vorkehrungen treffen: Systeme aktuell halten, Zugangsdaten absichern, Back-ups erstellen, Mitarbeitende schulen. Diese Formen der Cyberhygiene sind heute Standard und Teil der digitalen individuellen Sorgfaltspflicht.

Zweitens: Der Staat greift ein, wenn der Markt versagt. Cybersicherheit ist – zumindest auf nationaler Ebene – ein öffentliches Gut. Denn wenn kritische Infrastrukturen, staatliche Dienste oder digitale Grundversorgung ausfallen, betrifft das die gesamte Gesellschaft. Der Staat muss daher durch klare gesetzliche Rahmenbedingungen, Aufsicht, Koordination und gegebenenfalls auch direkte Intervention für ein Mindestmass an Schutz sorgen.

Die Instrumente des Staats

Zu den zentralen Aufgaben des Staats gehört es, Mindeststandards festzulegen. Sie sollen das allgemeine Schutzniveau erhöhen und verhindern, dass Sicherheit zur freiwilligen Kür wird. Besonders exponierte Sektoren wie Energie, Gesundheit oder Verkehr benötigen spezifische Vorgaben, ebenso der Umgang mit sensiblen Daten.

Darüber hinaus muss der Staat Transparenz schaffen. Meldepflichten für Cybervorfälle verhindern, dass Sicherheitslücken aus Angst vor Reputationsverlusten verschwiegen werden. Nur wenn Informationen systematisch gesammelt und ausgewertet werden, entsteht ein verlässliches Lagebild, das Behörden erlaubt, schnell zu reagieren.

Eine weitere Aufgabe ist es, gemeinsame Ressourcen bereitzustellen. Dazu gehören Plattformen für den Austausch von Bedrohungsinformationen, staatlich unterstützte Frühwarnsysteme und zentrale Notfallzentren. Auch internationale Abkommen spielen eine zunehmende Rolle, da Cyberrisiken keine Landesgrenzen kennen und nur koordiniert wirksam bekämpft werden können.

Cybersicherheit lässt sich also weder allein durch Eigeninitiative noch allein durch staatliche Regulierung sichern. Individuelle Verantwortung ist das Fundament – ohne sie versagen auch kollektive Mechanismen. Deshalb braucht es eine Doppelstrategie: Jeder Einzelne muss grundlegende Cyberhygiene ernst nehmen, während der Staat verbindliche Regeln, Transparenz und Infrastruktur bereitstellt. Nur im Zusammenspiel beider Ebenen entsteht ein Sicherheitsniveau, das den wachsenden Bedrohungen standhält.