Statt Details zu verbergen oder Schuld abzuwälzen, sollte laut Shostack für alle Vorfälle das Leitprinzip gelten: Wer einen Fehler gemacht habe, solle ihn eingestehen und schildern, was geschehen sei. Genau das verhindere derzeit eine Kultur, in der Organisationen kaum brauchbare Erkenntnisse aus Sicherheitsvorfällen ziehen könnten.
Nach einem Vorfall gälten Unternehmen oft pauschal als fahrlässig. Dabei zeige die Forschung, dass viele erfolgreiche Angriffe auf einer Kette kleiner Versäumnisse beruhten — fehlende Patches, falsch konfigurierte Werkzeuge, schwaches Monitoring, unzureichende Tests — und nicht auf umfassender Inkompetenz, sagt Sanabria. “Es ist selten eine einzige Ursache”, so der Forscher. “Es gibt Dutzende Schutzmaßnahmen, die den Angreifer hätten stoppen sollen und es nicht taten.” Würden Organisationen solche Details offenlegen, statt sie aus Furcht vor Schuldzuweisungen zu verschweigen, profitiere die gesamte Branche.
Gesetze und Vorgaben zum Umgang mit Datenpannen unterscheiden sich in den USA von Bundesstaat zu Bundesstaat und von Organisation zu Organisation. Börsennotierte Unternehmen etwa müssen schwerwiegende Sicherheitsvorfälle in Meldungen an die SEC offenlegen — allerdings nur, wenn diese wesentliche Auswirkungen auf das Unternehmen haben.
Für die fehlende verbindliche Aufarbeitung machen die Forscher zwei Gründe aus. Zum einen die rechtlichen Folgen für Organisationen, die als verantwortlich und damit haftbar gelten könnten. Darin spiegele sich ein kultureller Gegensatz zwischen Ingenieuren und Juristen wider, erklärt Shostack: Anwälte seien ihrem Berufsethos nach verpflichtet, die Interessen ihrer Mandanten entschlossen zu vertreten, Ingenieure dagegen müssten Dinge wie die öffentliche Sicherheit berücksichtigen. Üblicherweise rieten die Juristen dem Vorstand nach einem Vorfall, nicht darüber zu sprechen, aus Angst vor Klagen. “Das tun wir nicht, wenn eine Brücke einstürzt oder ein Flugzeug vom Himmel fällt”, sagt Shostack. “Bei jedem anderen technisch vermittelten Systemversagen reden wir darüber, was passiert ist, und lernen daraus.”
Der zweite Grund ist das Fehlen einer bundesweiten Regulierung. Ein kurzlebiger Vorstoß war das Cyber Safety Review Board (CSRB), das nach dem Vorbild des National Transportation Safety Board große Vorfälle untersuchen und zeitnah Erkenntnisse veröffentlichen sollte. Das Gremium legte zwar mehrere Berichte vor, doch die Trump-Regierung entließ nach Amtsantritt im Januar alle Mitglieder — mitten in der Untersuchung des Angriffs auf zahlreiche US-Telekommunikationsunternehmen durch die China-gestützte APT-Gruppe Salt Typhoon. Formal existiere das Board weiter, sei aber unbesetzt.
Öffentlich zugängliche Daten gibt es laut Sanabria dennoch reichlich. Er hat über Monate Kongressberichte, behördliche Meldungen, Klageschriften und Nachbetrachtungen ausgewertet und spricht von einem “Berg an Gold” in den Vorfallsdaten. Das Problem: Die Erzählungen würden übersehen und vereinfacht. Beim Equifax-Vorfall 2017 hätten die Schlagzeilen eine ungepatchte Apache-Struts-Lücke als Ursache benannt, während spätere Kongressunterlagen tiefere kulturelle und prozessuale Mängel offenbarten, darunter Brüche in der internen Kommunikation und beim Testen. “Woran sich alle erinnern, ist Tag eins”, sagt Sanabria. “Die tieferen Lehren kommen oft erst 18 Monate später.” Bis dahin sei der Vorfall alte Nachricht, und selten lese jemand bis “Seite 171” eines Berichts.
Es gebe Beispiele für freiwillige Offenheit: Nach einem Ransomware-Angriff 2023 veröffentlichte die British Library einen detaillierten Bericht, der Fehler einräumte und Lehren benannte. In Kanada legte ein Datenschutzbeauftragter Erkenntnisse zu einer Panne bei der Bildungstechnologie PowerSchool vor. Auch die US-Handelsbehörde FTC hat ausführliche Beschwerden in Fällen mit Datenpannen veröffentlicht. Doch keine dieser Quellen gehe in die Tiefe, sagt Sanabria: “Sie können einem nicht die Erzählung oder das Wie der Panne schildern.”
Ohne bessere Daten drohe die Branche in “Beschäftigungsgeneratoren” zu investieren — Werkzeuge und Compliance-Aktivitäten, die das reale Risiko kaum senkten. “Jede andere sicherheitsbewusste Branche baut Rückkopplungsschleifen, um besser zu werden”, so Sanabria. Die beiden Forscher befürworten strukturierte, institutionalisierte Mechanismen, möglicherweise anonymisierte Meldungen, verzögerte Veröffentlichungen oder regulatorische Schutzräume für Offenheit in gutem Glauben. Ziel sei nicht öffentliche Bloßstellung, sondern gemeinsames Lernen. “Modernes Ingenieurwesen beruht auf dem Studium des Versagens”, sagt Shostack. “Davon haben wir in der Cybersicherheit nicht genug.”
