Folgende Empfehlungen haben wir:
Unsere Gesellschaft und Wirtschaft sind in kritischer Weise von einer Vielzahl digitaler Infrastrukturen abhängig geworden. Wir sind auf die ständige Verfügbarkeit von Konnektivität und das korrekte Funktionieren unzähliger Technologien und Dienste angewiesen, die wir nicht mehr direkt kontrollieren. Ereignisse, die in der Ferne stattfinden, können sofortige, langanhaltende und schwerwiegende lokale Auswirkungen haben. Für die gesamte Wirtschaft stellen kaskadenartige Netzwerkeffekte heute ein viel grösseres Risiko dar als jemals zuvor in der Geschichte.
Die Finanzkrise von 2007 hat uns viel über die undurchsichtigen und unterschätzten Risiken hochgradig vernetzter und voneinander abhängiger Systeme gelehrt. Seitdem haben wir unsere Abhängigkeiten nur noch verstärkt.
Die fortschreitende Digitalisierung und die Tendenz, alles miteinander zu verbinden, erhöht nicht nur die Effizienz, sondern verstärkt auch die Folgen eines zufälligen Ereignisses, einer Fehlfunktion, einer Fehlkonfigurationen, böswilliger Angriffe, politischer Machtspiele oder Sanktionen. Gegenwärtig läuft die Schweiz Gefahr, durch die verfrühte Nutzung und in einigen Fällen durch die unkontrollierte Beschaffung und Bereitstellung digitaler Produkte und Dienstleistungen kritische Abhängigkeiten und Probleme zu schaffen. Solche Probleme werden sich erst langfristig (oder im Krisenfall) zeigen und können dann nur mit grossem Aufwand korrigiert werden.
Mangelndes Bewusstsein für das Sicherheitsniveau und die zunehmende Abhängigkeit innerhalb und zwischen den Infrastrukturen führen mit fortschreitender Digitalisierung zu kritischen Bedrohungen (mehr zum Thema: Reference to Cyber Security “Wake-Up Calls”). Die engen Verbindungen, die Komplexität und die zunehmende Abhängigkeiten von wenigen und dominanten Akteuren, Diensten, Technologien und Infrastrukturen führen zu einer enormen Anhäufung kritischer Risiken in der digitalen Gesellschaft. Die Dinge werden in superlinearem Tempo immer komplexer, häufiger miteinander verbunden und voneinander abhängig.
Alles ist miteinander verbunden und wird immer komplexer. Wir können nicht länger isoliert handeln. Wirksame und nachhaltige Massnahmen zum Schutz und zur Bereitstellung von Produkten und Infrastruktur gehen über die Sicherung einzelner Systeme hinaus. Nach der Finanzkrise von 2008 entwickelten Ökonomen den Begriff «too big to fail», um Finanzunternehmen zu beschreiben, deren Scheitern katastrophale Folgen für die Wirtschaft hätte. Ihre Zahlungsunfähigkeit zuzulassen wäre unverantwortlich.
Wir müssen die «to critical to fail» digitalen Infrastrukturen identifizieren und bewerten und Strategien entwickeln, um Abhängigkeiten zu minimieren, diese Infrastrukturen zu schützen und die Belastbarkeit der digitalen Gesellschaft sowie der Industrie zu erhöhen. Wir sollten dies tun, bevor es zu einer Krise kommt.
Die Komplexität von Systemen und Infrastrukturen führt zu erhöhter Verwundbarkeit, Ausfällen, Fehlern, menschlicher Verwirrung und Schwierigkeiten bei der Bewältigung eines Problems (mehr zum Thema: Flash Crash). Wir müssen einfache und konsistente Architekturen, Entwürfe und Implementierungen bevorzugen, um unnötige Komplexität und Abhängigkeiten zu vermeiden. Es ist nicht möglich, mit solchen Systemen alle Bedingungen vollständig vorherzusagen, zu testen und zu modellieren. Deshalb müssen wir Ausfälle und Kompromisse akzeptieren, sie berücksichtigen und Systeme entwerfen, die sicher sind. Das Einzige, was jemals echte Sicherheitsgewinne gebracht hat, war die Beherrschung der Komplexität (mehr zum Thema: Security, Moore’s law, and the anomaly of cheap complexity, Thomas Dullien).