Teil 3 meiner vierteiligen Serie: Aus der Geschichte lernen Cybersecurity und AI Governance

Warum du das lesen solltest: 1985 rebellierte die Privatwirtschaft gegen Cybersecurity-Standards als "zu teuer und unpraktisch." Heute kostet Cybercrime $10 Billionen jährlich. Als Cybersecurity-Experte, der jetzt in AI Governance arbeitet, erkenne ich die exakt gleichen Argumente wieder – mit potentiell noch dramatischeren Konsequenzen.

Zwischen den Welten: Wenn sich Geschichte reimt

Nach Jahren in der Cybersecurity-Branche erlebe ich beim Wechsel in die AI Governance ein beunruhigendes Déjà-vu. Die Kosten-Nutzen-Argumente, die Innovationsbremsen-Rhetorik, die Selbstregulierungs-Versprechen – alles schon mal gehört, wenn auch nicht selbst erlebt. Als jemand, der 1983 geboren wurde und die Cybersecurity-Szene seit 2011 professionell verfolgt, kenne ich die Orange Book-Geschichte aus intensiver Recherche und den Berichten der Zeitzeugen. Nur dass die Technologie heute exponentiell mächtiger ist und die Konsequenzen von Fehlentscheidungen unumkehrbar sein können.

Lass mich dir erzählen, was passiert, wenn "zu teuer" zur teuersten Entscheidung aller Zeiten wird.

1985: Als Standards angeblich "Innovation erstickten"

Das US-Verteidigungsministerium veröffentlicht das "Orange Book" – die Trusted Computer System Evaluation Criteria (als Teil der ‚Rainbow Book‘ Serie bei der jedes eine eigene Farbe erhielt). Das Ziel war simpel: Standards für sichere Computersysteme etablieren, klare Sicherheitslevel definieren, Best Practices kodifizieren. Die Reaktion der Privatwirtschaft war totale Verweigerung.

Die Argumente von 1985 bis 1990 klingen erschreckend vertraut: Diese Standards würden die Produktentwicklung um Jahre verzögern. Die Kosten seien prohibitiv – kein kommerzielles Unternehmen könne sich das leisten. Das sei für militärische Systeme gedacht, nicht für Business-Anwendungen. Zu rigoros für die reale Welt. Innovation würde erstickt werden. Die Kunden wollten Funktionalität, nicht Sicherheit. Selbstregulierung sei ausreichend.

Die Industrie lobbyte massiv gegen verpflichtende Standards. Das Orange Book wurde weitgehend ignoriert im privaten Sektor. "Der Markt wird es regeln" war das Mantra der Zeit.

Die vergessenen Verlierer: KMUs zahlen den höchsten Preis

Was in der Orange Book-Debatte unterging: Kleine und mittlere Unternehmen wurden doppelt bestraft. Einerseits hatten sie weder die Ressourcen für teure Compliance-Maßnahmen noch für eigene Sicherheitsexperten. Andererseits wurden sie später zu den bevorzugten Opfern von Cyberangriffen – weil sie die schwächsten Glieder in der Kette waren.

Die Großkonzerne konnten sich irgendwann eigene Security-Teams leisten. KMUs blieben schutzlos zurück. Die "zu teuren" Standards von 1985 hätten diese Unternehmen geschützt. Stattdessen zahlen sie heute den Preis in Form von harten operativen Verlusten: Laut einer Studie der HDI Versicherung führt ein erfolgreicher Cyberangriff bei einem kleinen Unternehmen zu einer durchschnittlichen Betriebsunterbrechung von 4,2 Tagen – eine existenzbedrohende Zeitspanne, in der keine Rechnungen geschrieben, keine Kunden bedient und keine Aufträge bearbeitet werden können.

Die Rechnung: $10 Billionen und counting

Was dann geschah, ist eine der teuersten Lektionen der Technikgeschichte. 1988 legte der Morris Worm 10% des Internets lahm – Schaden: $100 Millionen, inflationsbereinigt heute etwa $260 Millionen. In den 1990ern explodierten Viren, Würmer und Hacks. Die 2000er brachten massive Datenlecks als Normalität. Die 2010er Jahre: Equifax mit 147 Millionen Betroffenen, Yahoo mit 3 Milliarden kompromittierten Accounts, Target, Sony und unzählige andere. Die 2020er Jahre: Ransomware-Epidemie, die ganze Städte und Krankenhäuser lahmlegt.

Die Kosten für das Ignorieren der "zu teuren" Standards von 1985? Cybercrime kostet die Weltwirtschaft heute schätzungsweise $8-10 Billionen jährlich. Die "unpraktischen" Sicherheitsmaßnahmen von 1985 sind heute Mindeststandard – aber wir haben 30+ Jahre verloren und bezahlen immer noch den Preis.

2025: Déjà vu mit exponentiell höheren Einsätzen

Heute höre ich in AI Governance-Diskussionen die exakt gleichen Argumente, Wort für Wort: "AI-Regulierung würde Innovation ersticken." "Zu teuer für Startups und KMUs." "Unpraktisch in der realen Entwicklung." "China und andere Länder werden uns überholen." "Selbstregulierung ist ausreichend." "Der Markt wird es regeln." "Wir brauchen erst mehr Erfahrung, bevor wir Standards setzen."

Und wieder sind es die KMUs, die zwischen den Stühlen sitzen. Während Tech-Giganten eigene AI-Safety-Teams aufbauen und sich Compliance leisten können, stehen mittelständische Unternehmen vor der Wahl: Entweder AI-Innovation ohne ausreichende Governance-Strukturen oder Verzicht auf die Technologie aus Angst vor rechtlichen Konsequenzen.

Währenddessen werden AI-Systeme in kritische Infrastruktur integriert – ohne ausreichende Sicherheitstests. Foundation Models mit unverstandenen Capabilities werden deployed. "Move fast and break things" wird zur Philosophie bei gesellschaftsformender Technologie. "Safety-Washing" ersetzt echte Sicherheitsarchitektur.

Der entscheidende Unterschied zu 1985

Hier wird es kritisch: Bei Cybersecurity konnten wir Jahrzehnte lang "nachbessern". Systeme patchen, Firewalls nachträglich einbauen, Verschlüsselung ergänzen. Bei AI-Systemen sind viele Entscheidungen irreversibel. Einmal trainierte Modelle können nicht "gepatcht" werden wie Software. Emergente Capabilities können nicht vorhergesagt und kaum kontrolliert werden. Daten, die einmal zum Training verwendet wurden, können nicht "unlernt" werden. Gesellschaftliche Abhängigkeit schafft "too big to fail"-Szenarien.

Bei DECAID haben wir das verstanden. Unsere KI-Richtlinie verfolgt "interne Effizienz durch pragmatischen Compliance-Rahmen" – nicht trotz, sondern wegen der Kosten-Nutzen-Rechnung. Als jemand, der die Cybersecurity-Entwicklung seit 2011 professionell verfolgt und die historischen Fälle intensiv studiert hat, weiß ich: Präventive Governance ist immer günstiger als nachträgliche Katastrophenbewältigung.

Besonders für KMUs gilt: Pragmatische AI-Governance heute ist billiger als existenzbedrohende KI-Krisen morgen.

Die mathematische Gleichung aus 40 Jahren Tech-Geschichte

1985 hieß es "zu teuer" – 2025 zahlen wir $10 Billionen jährlich für Cybercrime. Die Gleichung ist simpel: Kosten präventiver Governance HEUTE sind kleiner als die Kosten katastrophaler Failures MORGEN. Aber wie 1985 gewinnt kurzfristiges Business-Denken gegen langfristige Systemsicherheit.

Die tragische Ironie? In 15 Jahren werden wir vermutlich LinkedIn-Posts lesen über "Was wir aus der AI-Governance-Krise lernen können" – geschrieben von Leuten, die 2025 dagegen lobbyt haben.

History doesn't repeat itself, but it rhymes

Als jemand, der die Cybersecurity-Entwicklung seit 2011 professionell verfolgt und die historischen Muster intensiv studiert hat, kann ich nur sagen: Wir kennen den Text bereits auswendig. Die Frage ist, ob wir diesmal klug genug sind, aus der Geschichte zu lernen, statt sie zu wiederholen. Bei KI haben wir nicht den Luxus einer zweiten Chance.

Bei diesem Artikel hatte ich digitale Unterstützung: KI hat beim Research und beim Formulieren geholfen, die Endredaktion und inhaltliche Verantwortung liegen bei mir als Autor.