„Es besteht kein `Maßnahmenmangel`, sondern ein `Umsetzungsmangel`“ – so das BSI zur Lage der Cybersicherheit in einem Beitrag auf Linkedin.
Woran aber scheitert die Umsetzung von sicherheitsstiftenden Maßnahmen in deutschen Unternehmen?
Wenn ein Manager technische Security Lösungen, oder noch schwieriger, Security Dienstleistungen, einkaufen möchte, steht er häufig vor einem Problem:
Es ist seine Aufgabe den geeigneten Anbieter und/oder Dienstleister aus einem Pool von Möglichkeiten herauszufinden. Um zu verstehen, welches Angebot die beste Leistung oder Preis/Leistung verspricht, müsste er sich tiefgehend mit der Thematik befassen, um letztlich eine qualifizierte und vor allem informierte Entscheidung treffen zu können.
In den meisten Unternehmen (besonders in KMU) ist der budgetverantwortliche Manager nicht selbst IT-Security Experte und hat bei der Evaluation entsprechend große Schwierigkeiten. Gerade Security-Dienstleistungen sind zusätzlich schwer zu bewerten, da die Güte von Dienstleistungen nicht im Vorhinein zu beurteilen ist. Ohne eigene Expertise sind die tatsächlich erwartbaren Auswirkungen einer Dienstleistung zunächst nur Versprechungen.
Dieses Problem der Informationsasymmetrie (Beauftragender kann die Güte des Produkts / der Dienstleistung nicht selbst abschätzen) existiert in mehreren Feldern. Das gilt beispielsweise auch für Arztbesuche oder aber juristische Unterstützung vor Gericht. Selbst eine sehr gute Leistung als Anwalt kann für den Angeklagten noch immer eine Verurteilung bedeuten. Da dieser in den allermeisten Fällen selbst kein Jurist ist, kann er ausschließlich das Ergebnis des Verfahrens für sich beurteilen, nicht aber die (Dienst)Leistung des Anwalts.
In der Betriebswirtschaftslehre existiert ein Begriff für das Phänomen der asymmetrischen Information in Wirtschaftsbeziehungen: Die Prinzipal-Agent-Theorie. Durch den Wissensvorsprung der einen Partei können Vertragsbildung und -durchführung behindert werden. Im äußersten Fall kann dies sogar zu Marktversagen führen.
Marktversagen aufgrund von stark eingeschränkter oder fehlender Möglichkeit Produkte oder Dienstleistungen in ihrer Güte und Qualität zu beurteilen, nennt sich „adverse Selektion“. Erklärt wird das Prinzip der adversen Selektion (gegenteilige Auswahl) am Beispiel des Gebrauchtwagenmarktes:
Die Nachfrager am Markt können die Qualität der angebotenen Gebrauchtwagen kaum bis gar nicht einschätzen, während die Anbieter genau wissen, ob sie einen guten oder schlechten Wagen anbieten (asymmetrische Information).
Da die Nachfrager ihrerseits maximal von einer durchschnittlichen Qualität der Wägen ausgehen können, werden sie nicht bereit sein einen hohen Preis auszugeben. Anbieter von Wägen mit guter Qualität und entsprechendem Preis werden damit sukzessiv aus dem Markt verdrängt, da die Nachfrager mangels Wissen über die Güte des Autos eher bereit sind mittlere und günstige Preise zu zahlen. Anbieter mit geringerer Qualität setzen sich also langfristig durch.
Für den IT-Security Markt könnte das verschiedene Probleme mit sich bringen. Wählen Kunden also tatsächlich eher günstige Lösungen und Dienstleistungen, da sie ausschließlich den Preis, nicht aber die Güte der Leistung beurteilen können, haben Anbieter von hochwertigen Lösungen und Services ein Problem, diese zu vermarkten.
Sollten die weniger hochwertigen Lösungen dann tatsächlich keinen ausreichenden Schutz bieten, könnten Nachfrager weiteres Vertrauen verlieren und zum Schluss kommen entsprechende Leistungen seien grundsätzlich zu teuer und minderwertig. Hinzu kommt, dass selbst vergleichsweise günstige Security-Lösungen in absoluten Zahlen kein unerheblicher Kostenpunkt sind. Wenn nun auch der Nutzen ausbleibt, bzw. ein Angriff dennoch Erfolg hat, kann man es den Managern kaum vorwerfen, wenn sie die Investition als unnötig empfinden.
Ein weiteres betriebswirtschaftliches Prinzip verstärkt die Bedeutung von Kosten bei asymmetrischer Informationslage weiter:
Das Einholen, Auswerten und Verstehen von Informationen zu IT-Security-Dienstleistungen sowie vorherige Termine und Vertragsverhandlungen stellt einen eigenen Kostenfaktor dar: Die Transaktionskosten. Dabei handelt es sich um diejenigen Kosten, die für das Umsetzen des eigentlichen Marktaustauschs anfallen.
Ganz einfach formuliert bedeutet das, dass die Zeit und der Aufwand, der betrieben wird, um eine geeignete Lösung oder Dienstleistung zu finden, das Unternehmen ebenfalls Geld kostet. Wer hier sparen will, läuft Gefahr, eine minderwertige oder sogar ungeeignete Lösung einzusetzen.
Unternehmen befinden sich beim Kauf von Security-Leistungen also in einer Zwickmühle: Die Asymmetrie von Information zu Produkten und Dienstleistungen im Bereich der IT-Security ist groß. Es fällt schwer eine fundierte und informierte Entscheidung zu treffen, die für das eigene Unternehmen die richtige Wahl darstellt. Im schlimmsten Fall könnten daher Anbieter von minderwertigen Lösungen sogar bevorzugt werden. Um dieses Szenario zu umgehen, müssten Unternehmen allerdings hohe Aufwände betreiben, um die Informationsasymmetrie abzubauen. Dabei steigen die Kosten für die Transaktion stetig an.