Der Bericht The CYBER360: Defending the Digital Battlespace kommt zu dem Ergebnis, dass mehr als die Hälfte der nationalen Sicherheitsorganisationen sensible Daten weiterhin über manuelle Prozesse überträgt. Die Autoren bewerten dies nicht als technisches Detail, sondern als strategisches Risiko: In umkämpften Domänen seien solche Schwachstellen operativ und nicht bloß theoretisch. In Einzelfällen würden Operateure klassifizierte Dateien noch ausdrucken und persönlich transportieren, weil digitale Arbeitsabläufe als zu riskant gälten.
Als Ursachen für das Festhalten an manuellen Abläufen nennt der Bericht ein Bündel technischer, kultureller und organisatorischer Faktoren. Viele Verteidigungs- und Regierungsumgebungen liefen auf Altsystemen, die nie für die Integration mit Richtlinien-Engines oder Verschlüsselungs-Frameworks ausgelegt waren; ein Austausch sei teuer und störend. Hinzu kämen langsame Beschaffungszyklen, bei denen sich die Bedrohungslage bereits verschoben habe, bevor eine Lösung einsatzbereit ist. Manuelle Behelfslösungen würden so rasch zur dauerhaften Gewohnheit.
Auch die Übertragung von Daten zwischen Klassifizierungsstufen stützte sich historisch auf menschliches Urteil, da Automatisierung als zu starr für differenzierte Entscheidungen galt. Diese Wahrnehmung halte sich, obwohl moderne Lösungen granulare Richtlinien durchsetzen könnten. Verstärkt werde das durch tief verwurzeltes Vertrauen in Personen, durch nachhinkende Compliance-Rahmenwerke und durch die Furcht, dass Technologiewechsel während der Einführung Verzögerungen oder Fehler verursachen.
Als Antwort beschreibt der Bericht die sogenannte Cybersecurity Trinity aus drei zusammenwirkenden Prinzipien. Zero Trust Architecture (ZTA) verifiziere jeden Nutzer, jedes Gerät und jede Transaktion fortlaufend, beseitige implizites Vertrauen und setze das Prinzip der minimalen Rechtevergabe durch. Data-Centric Security (DCS) verlagere den Schutz von der Perimeterverteidigung auf die Daten selbst und wende Verschlüsselung, Klassifizierung und Richtliniendurchsetzung dort an, wo Daten liegen oder sich bewegen. Cross Domain Solutions (CDS) ermöglichten den kontrollierten Transfer zwischen Klassifizierungsstufen und operativen Domänen, setzten Freigabebefugnisse durch und verhinderten unbefugte Offenlegung.
Die spezifischen Herausforderungen seien erheblich: CDS verlange automatisierte Prüfung und Durchsetzung von Freigabebefugnissen, Koalitionseinsätze erforderten föderierte Identitäten und gemeinsame Standards, taktische Systeme bräuchten leichtgewichtige Agenten und widerstandsfähige Synchronisation für Umgebungen mit geringer Bandbreite. Die Exposition über die Lieferkette müsse durch Ausweitung der Automatisierung auf Auftragnehmer mit strengen Verifizierungs- und Audit-Anforderungen adressiert werden. Aufkommende Bedrohungen wie KI-gestützte Angriffe und durch Deepfakes manipulierte Daten machten manuelle Verifizierung obsolet.
Automatisierung mache laut Bericht qualifiziertes Personal nicht überflüssig, sondern verschiebe dessen Fokus: Menschen entwürfen Richtlinien, verwalteten Ausnahmen und untersuchten Warnmeldungen. Für einen erfolgreichen Übergang empfehlen die Autoren Investitionen in Schulung und Kultur, Pilotprogramme in risikoarmen Arbeitsabläufen sowie klare Führungsentscheidungen. Werde Automatisierung als Unterstützung statt als Überwachung empfunden, beschleunige sich ihre Annahme. Der nächste Konflikt, so das Fazit, werde nicht darauf warten, bis manuelle Prozesse aufgeholt hätten.
