Teil Digitalisierung, KI und Wirkungsdatenräume

Kapitel 84 - Cyberresilienz und operative Stabilität

Kapitel 84 - Cyberresilienz und operative Stabilität

Kapitel 83 hat algorithmische Fairness und digitale Rechte als Freiheitsbedingungen der Wirkungsökonomie beschrieben. Dieses Kapitel behandelt die Stabilität der digitalen Grundlagen selbst. Wenn Wirkungsdaten, Produktpässe, Scorecards, Register, Steuerlogik, Finanzierungsdaten, Versicherungsdaten, Verwaltung und öffentliche Infrastruktur digital verbunden sind, wird digitale Stabilität selbst zum Wirkungsfeld.

Cyberresilienz ist deshalb nicht IT-Abteilung. Sie ist Systemschutz.

Eine Wirkungsökonomie kann nur funktionieren, wenn ihre digitalen Grundlagen stabil, prüfbar und wiederherstellbar sind. Cyberresilienz schützt nicht nur Technik, sondern Vertrauen, Verwaltung, Märkte und demokratische Handlungsfähigkeit.

84.1 Digitale Verwundbarkeit

Digitale Verwundbarkeit entsteht nicht erst durch einen Angriff. Sie entsteht bereits durch Abhängigkeit ohne ausreichende Ausweichfähigkeit.

Eine Verwaltung, die nur noch digital funktioniert, aber keine Notfallprozesse besitzt, ist verwundbar. Ein Krankenhaus, dessen IT ausfällt und dessen Behandlungsabläufe brechen, ist verwundbar. Ein Energie- oder Wassersystem, dessen Steuerung digital angegriffen werden kann, ist verwundbar. Ein Finanzsystem, dessen Zahlungsverkehr, Börsen, Versicherungsverwaltung, Risikomodelle und Kreditprüfung von wenigen technischen Dienstleistern abhängen, ist verwundbar. Ein Wirkungsdatenraum, dessen Daten manipuliert werden können, ist verwundbar. Ein Produktpasssystem, dessen Register unsicher ist, ist verwundbar. Eine KI-Governance, deren Modelle durch manipulierte Daten oder feindliche Eingaben verzerrt werden können, ist verwundbar.

Digitale Verwundbarkeit ist also nicht nur die Wahrscheinlichkeit eines Hacks. Sie ist die Frage, welche Zustände beschädigt werden, wenn digitale Systeme ausfallen, verfälscht, gesperrt, manipuliert oder nicht mehr vertrauenswürdig sind.

Ein Cyberangriff auf eine Kommune wirkt nicht nur auf Server. Er wirkt auf Bürgervertrauen, Verwaltungsgeschwindigkeit, Sozialleistungen, Gesundheitsversorgung, Medienkommunikation, politische Schuldzuweisung und Sicherheitsempfinden. Ein Angriff auf ein Krankenhaus wirkt nicht nur auf Daten. Er wirkt auf Leben, Behandlung, Pflege, Angehörige, Personalstress, Vertrauen und regionale Versorgung. Ein Angriff auf Wirkungsdaten wirkt nicht nur auf Tabellen. Er wirkt auf Produktbewertungen, Steuerklassen, Kapitalzugang, Versicherungsprämien, Beschaffung und öffentliche Legitimität.

Wirkungsökonomisch lautet der zentrale Satz: Wenn Wirkungsdaten manipulierbar sind, wird die Wirkungsökonomie selbst angreifbar [I-K84-6].

Das gilt für jede digitale Schicht der Wirkungsarchitektur. WÖk-IDs müssen eindeutig bleiben. Scorecards müssen nachvollziehbar bleiben. Digitale Produktpässe müssen Herkunft, Version, Prüfstatus und Datenqualität sichern. Wirkungsregister müssen verlässlich sein. Schnittstellen müssen geschützt werden. KI-Modelle müssen gegen Datenmanipulation, Modellmissbrauch, Prompt-Injection, Drift und unerkannte Fehlsteuerung gesichert werden. Steuer- und Beschaffungssysteme müssen auch dann entscheidungsfähig bleiben, wenn einzelne Datenquellen ausfallen.

Digitale Verwundbarkeit hat mehrere Formen.

Die erste Form ist Verfügbarkeitsverwundbarkeit. Systeme fallen aus, werden durch DDoS-Angriffe überlastet, durch Ransomware gesperrt, durch Fehlkonfiguration unterbrochen oder durch Dienstleisterprobleme unzugänglich. Dann geht es nicht nur um Technik. Es geht um Versorgung, Verwaltung, Zahlungen, Pflege, Kommunikation und Vertrauen.

Die zweite Form ist Integritätsverwundbarkeit. Daten bleiben verfügbar, sind aber falsch. Das ist für die Wirkungsökonomie besonders gefährlich. Ein falscher Wirkungswert kann ein Produkt zu gut oder zu schlecht erscheinen lassen. Ein manipuliertes Lieferkettendatum kann Menschenrechtsrisiken verdecken. Ein verfälschtes Register kann Steuerung verzerren. Ein manipuliertes KI-Modell kann Fehlentscheidungen systematisch vorbereiten.

Die dritte Form ist Vertraulichkeitsverwundbarkeit. Sensible Daten werden offengelegt: Personendaten, Gesundheitsdaten, Geschäftsgeheimnisse, Lieferanteninformationen, Sicherheitsdaten, Versicherungsdaten oder Verwaltungsinformationen. Dann entsteht nicht nur Datenschutzschaden, sondern Vertrauensschaden.

Die vierte Form ist Abhängigkeitsverwundbarkeit. Wenn zu viele kritische Prozesse von wenigen Cloud-Anbietern, Softwarehäusern, Identitätsdiensten, KI-Modellen, Plattformen, Halbleiterketten oder Sicherheitsdienstleistern abhängen, entsteht Konzentrationsrisiko. Ein Ausfall kann viele Systeme zugleich treffen.

Die fünfte Form ist Wahrnehmungsverwundbarkeit. Wenn nach einem Angriff nicht klar ist, was geschehen ist, welche Daten betroffen sind, welche Systeme funktionieren und welchen Quellen geglaubt werden kann, entsteht Desorientierung. Dann verbindet sich Cyberrisiko mit Informationsrisiko. Hybride Angriffe trennen Information, Cyberraum und Infrastruktur nicht sauber. Gerade diese Kopplung macht sie wirksam [I-K84-2].

Cyberresilienz darf daraus aber keine Angstarchitektur machen. Eine Wirkungsökonomie braucht sichere Systeme, aber keinen Sicherheitsstaat. Sie braucht Zweckbindung, Datensparsamkeit, Audits, Transparenz, Rechtsweg und demokratische Kontrolle. Sie schützt Freiheit nicht dadurch, dass alles überwacht wird. Sie schützt Freiheit dadurch, dass kritische digitale Systeme stabil, überprüfbar und wiederherstellbar bleiben [I-K84-8].

Cyberresilienz ist nicht die Maximierung staatlicher Kontrolle. Sie ist die Fähigkeit digitaler Systeme, Freiheit, Versorgung und Vertrauen auch unter Angriff zu erhalten.

84.2 Kritische Systeme

Kritische Systeme sind digitale oder digital abhängige Systeme, deren Ausfall Mensch, Planet oder Demokratie in tragenden Funktionen trifft.

Dazu gehören Verwaltung, Gesundheit, Pflege, Energie, Wasser, Verkehr, Zahlungssysteme, Finanzsystem, Versicherungen, Datenräume, digitale Produktpässe, Wirkungsregister, öffentliche Beschaffung, Steuerverwaltung, Gerichte, Kommunikationsnetze, Rechenzentren, Forschungssysteme, Bildung, Medieninfrastruktur und Krisenkommunikation [I-K84-3].

Kritisch ist ein System nicht, weil es groß ist. Kritisch ist es, weil sein Ausfall Wirkung erzeugt.

Ein Ausfall der Wasserversorgung wirkt anders als der Ausfall eines Freizeitdienstes. Ein Ausfall eines Krankenhauses wirkt anders als der Ausfall einer Shoppingplattform. Ein Ausfall lokaler Medien in einer Krise wirkt anders als der Ausfall eines Unterhaltungskanals. Ein Ausfall des Zahlungsverkehrs wirkt anders als der Ausfall einer App. Ein Ausfall eines Wirkungsregisters wirkt anders als der Ausfall eines internen Dashboards.

Kritische Systeme müssen daher nach Ausfallwirkung bewertet werden, nicht nur nach technischer Ausfallwahrscheinlichkeit. Die zentrale Frage lautet nicht nur: Wie wahrscheinlich ist ein Angriff? Die zentrale Frage lautet: Was geschieht, wenn das System ausfällt, manipuliert wird oder nicht mehr vertrauenswürdig ist?

Eine wirkungsökonomische Prüfung kritischer Systeme fragt: Welche Menschen sind betroffen? Welche Grundrechte sind betroffen? Welche Versorgungsfunktionen sind betroffen? Welche Folgeschäden entstehen? Welche Ersatzwege existieren? Welche analogen Rückfallebenen bleiben? Welche Gruppen sind besonders verletzlich? Welche Datenabhängigkeiten bestehen? Welche Lieferketten sind kritisch? Welche Institutionen müssen weiterarbeiten? Welche Kommunikationswege bleiben glaubwürdig? Welche Wiederanlaufzeit ist akzeptabel? Welche Datenverluste sind tolerierbar? Welche Entscheidungen dürfen in einer Störung nicht automatisiert werden?

Diese Fragen führen zu einer anderen Priorisierung als klassische IT-Sicherheit. Ein System mit mäßiger technischer Komplexität kann hochkritisch sein, wenn es in Pflege, Verwaltung, Wasser oder Zahlungsfähigkeit eingebettet ist. Ein technisch anspruchsvolles System kann weniger kritisch sein, wenn sein Ausfall nur Komfort betrifft. Kritikalität ist also nicht die technische Größe eines Systems, sondern seine Wirkung auf Grundfunktionen.

Das gilt besonders für das Finanzsystem. Zahlungsverkehr, Banking, Börsen, Versicherungsverwaltung, Risikomodelle, Kreditprüfung, Cloud-Infrastruktur, KI-Systeme, Datenräume, Produktpässe und Wirkungsregister sind digital abhängig. Wenn sie ausfallen, entsteht nicht nur technischer Schaden. Es entsteht Vertrauensschaden [I-K84-5]. DORA ist dafür ein wichtiger EU-Rahmen, weil die Verordnung seit dem 17. Januar 2025 die digitale operative Resilienz von Finanzunternehmen stärken soll [E-K84-3]. Wirkungsökonomisch ist diese Logik breiter: Ein Finanzsystem, das Wirkung steuern soll, muss selbst resilient, transparent und prüfbar sein.

Auch der Staat ist betroffen. Verwaltung, Gerichte, Register, Sozialleistungen, Gesundheitsakten, Steuerdaten, öffentliche Beschaffung, Wahlorganisation, Bürgerdienste und Krisenkommunikation brauchen robuste digitale Systeme, klare Zuständigkeiten, Backups, Notfallmodi, sichere Identitäten und Wiederanlaufpläne. Ein Staat, der digital handlungsunfähig wird, verliert nicht nur Effizienz. Er verliert Autorität, Vertrauen und Schutzfähigkeit.

Auch Unternehmen sind betroffen. Lieferkettenprüfung von Software und Hardware wird zur Wirkungsfrage. Ein unsicheres digitales Produkt ist nicht nur ein Produktproblem. Es ist ein Einfallstor. Ein vernetztes Gerät, ein unsicheres Update, eine schlecht abgesicherte Schnittstelle oder ein manipulierbarer Sensor kann Produktdaten, Produktionsprozesse, Lieferketten und Nutzer:innen gefährden. Der Cyber Resilience Act der EU setzt hier an, indem er gemeinsame Cybersicherheitsanforderungen für Produkte mit digitalen Elementen schafft und stärker auf Sicherheit über den Lebenszyklus zielt [E-K84-6].

Kritische Systeme brauchen daher nicht nur Schutz, sondern Betriebsfähigkeit unter Stress. Das bedeutet: Redundanz, Backups, Notfallpläne, Zero-Trust-Architekturen, Zugriffskontrolle, kryptografische Signaturen, Monitoring, Modellmanipulationsschutz, Übungen, Kompetenz und Haftung. Redundanz schafft alternative Wege. Backups machen Daten wiederherstellbar. Notfallpläne klären Entscheidung, Priorität und analoge Rückfallebenen. Zero Trust verhindert blindes Vertrauen in Zugriffe. Zugriffskontrolle begrenzt Schaden. Kryptografische Signaturen sichern Registereinträge, Daten und Versionen. Monitoring erkennt Anomalien. Modellmanipulationsschutz sichert KI-Systeme gegen Datenvergiftung, Prompt-Angriffe und unzulässige Anschlussverwendungen. Übungen machen Notfallpläne wirksam. Kompetenz verankert Cyberresilienz in Schulen, Unternehmen, Verwaltungen, Kommunen und Bürger:innen. Haftung verhindert, dass Risiken unsicherer Systeme vollständig auf Nutzer:innen, Staat oder Gesellschaft verlagert werden.

Diese Liste ist keine technische Anleitung. Sie beschreibt die wirkungsökonomische Mindestlogik: Kritische Systeme müssen so gebaut sein, dass Störungen nicht sofort in gesellschaftliche Handlungsunfähigkeit übersetzen.

Operative Stabilität heißt nicht, dass nie etwas ausfällt. Operative Stabilität heißt, dass ein System auch bei Störungen entscheidungsfähig bleibt.

84.3 Resilienzindikatoren

Was nicht beobachtet wird, wird zu spät gesteuert. Deshalb braucht Cyberresilienz Indikatoren.

Resilienzindikatoren messen nicht nur, ob ein System „sicher“ ist. Sicherheit als Zustand ist zu absolut. Kein digitales System ist vollkommen sicher. Resilienzindikatoren messen, ob ein System Risiken erkennt, Angriffe begrenzt, Ausfälle verkraftet, Datenintegrität schützt, Wiederanlauf ermöglicht und aus Störungen lernt.

Eine wirkungsökonomische Resilienz-Scorecard für digitale Systeme kann mehrere Indikatorfamilien enthalten.

Erstens: Verfügbarkeitsindikatoren. Dazu gehören Ausfallzeiten, Wiederanlaufzeiten, maximal tolerierbare Unterbrechung, Backup-Wiederherstellbarkeit, Redundanzgrad, Ersatzprozesse, Notfallbetrieb und Servicekontinuität. Maßgeblich ist nicht nur, ob ein Server verfügbar ist, sondern ob die gesellschaftliche Funktion erhalten bleibt.

Zweitens: Integritätsindikatoren. Dazu gehören Datenherkunft, Versionierung, kryptografische Signatur, Änderungsprotokolle, Audit-Trails, Datenqualitätsklassen, Plausibilitätsprüfung, Manipulationsmeldungen und Wiederherstellbarkeit des letzten vertrauenswürdigen Zustands. Für Wirkungsdaten ist diese Familie besonders wichtig. Eine verfügbare, aber falsche Dateninfrastruktur ist nicht resilient.

Drittens: Vertraulichkeitsindikatoren. Dazu gehören Datensparsamkeit, Zugriffskontrolle, Rechteverwaltung, Verschlüsselung, Rollenmodelle, Schutz personenbezogener Daten, Schutz von Geschäftsgeheimnissen, Schutz sicherheitskritischer Informationen und Protokollierung sensibler Zugriffe.

Viertens: Erkennungsindikatoren. Dazu gehören Zeit bis zur Angriffserkennung, Anomalieerkennung, Monitoring-Abdeckung, Logging-Qualität, Meldestrukturen, Lagebildfähigkeit und Schnittstellen zwischen IT, Fachbereichen, Verwaltung, Aufsicht und Krisenkommunikation.

Fünftens: Reaktionsindikatoren. Dazu gehören Reaktionszeit, Krisenstab, Eskalationswege, Kommunikationsfähigkeit, Verantwortlichkeitsklarheit, Notabschaltung, Isolationsfähigkeit betroffener Systeme und Umgang mit Betroffenen.

Sechstens: Wiederherstellungsindikatoren. Dazu gehören Recovery Time Objective, Recovery Point Objective, Backup-Tests, Wiederanlaufübungen, Priorisierung kritischer Funktionen, analoge Rückfallebenen und Wiederherstellung der Datenintegrität.

Siebtens: Abhängigkeitsindikatoren. Dazu gehören Konzentrationsrisiken bei Cloud, Software, Hardware, Rechenzentren, Identitätsdiensten, KI-Modellen, Zahlungsdienstleistern, Plattformen, Lieferanten und Wartungsdienstleistern. Ein System kann intern gut gesichert sein und dennoch durch externe Abhängigkeiten fragil werden.

Achtens: Modell- und KI-Indikatoren. Dazu gehören Modellversion, Drift, Prompt-Injection-Risiken, Datenvergiftung, Bias-Veränderungen, unzulässige Anschlussnutzung, Modellzugriffe, automatisierte Entscheidungspfade und menschliche Aufsicht.

Neuntens: soziale Wirkungsindikatoren. Dazu gehören Vertrauen in digitale Dienste, Nutzungsausfälle für vulnerable Gruppen, Zugänglichkeit von Ersatzwegen, Verständlichkeit der Krisenkommunikation, Beschwerdewege, Rechtsweg und Auswirkungen auf Teilhabe.

Zehntens: Lernindikatoren. Dazu gehören dokumentierte Vorfälle, Beinahe-Vorfälle, Lessons Learned, umgesetzte Verbesserungen, Wiederholungsfehler, Übungshäufigkeit, Aktualisierung von Notfallplänen, Training und Budgetbindung an Resilienzverbesserung.

Diese Indikatoren verhindern zwei Fehler. Der erste Fehler wäre reine Symbolpolitik. Ein System gilt als geschützt, weil Sicherheitssoftware gekauft wurde, obwohl Prozesse, Personal, Wartung, Interoperabilität, Backups, Rechteverwaltung und Übungen fehlen. Das ist Technologieblindleistung [I-K84-4]. Der zweite Fehler wäre reine Angstrhetorik. Alles wirkt gefährlich, aber nichts wird steuerbar. Resilienzindikatoren machen digitale Sicherheit praktisch: Welche Verwundbarkeit sank? Welche Wiederanlaufzeit verbesserte sich? Welche Datenintegrität wurde gesichert? Welche Ersatzwege funktionieren? Welche Gruppen bleiben erreichbar? Welche Abhängigkeit wurde reduziert?

Die Wirkungsökonomie braucht für kritische Systeme daher ein nationales Wirkungsresilienz-Dashboard oder vergleichbare föderierte Resilienzberichte. Es verbindet Energie, Wasser, Ernährung, Gesundheit, Pflege, Wohnen, Klima, Cyber, Lieferketten, kritische Infrastruktur, Versicherbarkeit, soziale Kohäsion, Medienqualität, Rechtsstaat und Finanzstabilität. Für digitale Systeme bedeutet das: Cyberresilienz darf nicht isoliert neben anderen Risiken stehen. Sie muss mit Versorgung, Vertrauen, Datenqualität, Kapital, Verwaltung und Demokratie verbunden werden [I-K84-7].

Das WÖk-ID-Register enthält dafür relevante Indikatorfamilien: Datenschutz, IT-Sicherheit, Cyberresilienz, kritische Infrastruktur, Privacy by Design, Model Governance, offene Standards, Technologieverantwortung, physisches Klimarisiko, Lieferkettenresilienz und Governance [I-K84-9]. Diese Indikatoren sind nicht nur Compliance-Felder. Sie sind Frühwarnsensoren der Wirkungsarchitektur.

Resilienzindikatoren müssen verhältnismäßig bleiben. Eine kleine Kommune, ein mittelständisches Unternehmen, ein globaler Konzern, eine Bank, ein Krankenhaus, eine Plattform und ein Wirkungsregister brauchen unterschiedliche Prüftiefen. Die Grundlogik ist dieselbe, aber die Pflichten müssen nach Kritikalität, Datenrisiko, Reichweite, Systemabhängigkeit und Ausfallwirkung gestuft werden.

Resilienz wird nicht daran gemessen, dass nichts passiert. Sie wird daran gemessen, ob ein System auch dann trägt, wenn etwas passiert.

84.4 Lernen aus Störungen

Störungen sind nicht nur Fehler. Sie sind Rückkopplung.

Ein System, das Störungen nur versteckt, sanktioniert oder kommunikativ glättet, lernt nicht. Es wiederholt Schwächen. Es schützt Zuständigkeiten statt Funktionen. Es bewahrt Gesichter statt Vertrauen. Es produziert nach dem Vorfall eine Pressemitteilung, aber keine bessere Architektur.

Die Wirkungsökonomie verlangt eine andere Störungskultur.

Cybervorfälle, Ausfälle, Datenfehler, Modellmanipulationen, Backup-Probleme, Fehlalarme, Beinahe-Ausfälle und Kommunikationspannen müssen so ausgewertet werden, dass daraus bessere Systeme entstehen. Lernen aus Störungen bedeutet nicht Schuldlosigkeit. Grobe Fahrlässigkeit, Vertuschung, Manipulation oder Pflichtverletzung müssen Folgen haben. Aber der Normalfall technischer und organisatorischer Komplexität verlangt eine Kultur, die Fehler sichtbar macht, bevor sie katastrophal werden.

Lernen aus Störungen hat mehrere Stufen.

Die erste Stufe ist Erkennung. Ein System muss bemerken, dass etwas nicht stimmt: Anomalien, Ausfälle, Datenabweichungen, ungewöhnliche Zugriffe, Modellverhalten, Nutzerbeschwerden, Fehlklassifikationen, Lieferkettenstörungen oder Kommunikationsbrüche.

Die zweite Stufe ist Begrenzung. Betroffene Systeme müssen isoliert, Ersatzprozesse aktiviert, Datenzugriffe beschränkt, falsche Ausgaben gestoppt, Notfallkommunikation gestartet und kritische Funktionen priorisiert werden.

Die dritte Stufe ist Wiederherstellung. Es reicht nicht, Systeme wieder einzuschalten. Die letzte vertrauenswürdige Datenlage muss festgestellt werden. Datenintegrität muss geprüft werden. Betroffene müssen informiert werden. Entscheidungen, die auf fehlerhaften Daten beruhten, müssen korrigierbar bleiben.

Die vierte Stufe ist Analyse. Was war die Ursache? Technischer Fehler, menschlicher Fehler, Prozessfehler, Lieferantenproblem, Angriff, Datenqualität, fehlendes Training, unklare Zuständigkeit, fehlender Ersatzweg, falscher Anreiz, Budgetmangel oder organisatorische Überlastung?

Die fünfte Stufe ist Wirkungsanalyse. Wer war betroffen? Welche Grundfunktionen wurden beeinträchtigt? Welche Gruppen waren besonders verletzlich? Welche Folgekosten entstanden? Welches Vertrauen wurde beschädigt? Welche Entscheidungen waren falsch oder verzögert? Welche Rückwirkungen auf Märkte, Verwaltung, Gesundheit, Kapital, Versicherbarkeit oder Demokratie entstanden?

Die sechste Stufe ist Korrektur. Notfallpläne werden angepasst. Rechte werden neu gesetzt. Systeme werden gepatcht. Datenqualität wird verbessert. Lieferanten werden geprüft. Redundanz wird erhöht. Übungen werden verändert. Beschaffung wird nachjustiert. WÖk-IDs und Resilienzindikatoren werden aktualisiert. KI-Modelle werden neu geprüft. Kommunikationswege werden geklärt.

Die siebte Stufe ist öffentliche Rechenschaft. Kritische Vorfälle dürfen nicht vollständig im Dunkeln bleiben. Nicht jede technische Detailinformation gehört in die Öffentlichkeit, weil sie neue Angriffe erleichtern könnte. Aber die demokratisch relevante Information muss sichtbar sein: Was ist passiert? Welche Funktion war betroffen? Welche Folgen entstanden? Welche Korrektur folgt? Wer trägt Verantwortung? Welche Rechte haben Betroffene?

Das NIST Cybersecurity Framework 2.0 beschreibt Cybersecurity-Risikomanagement mit den Kernfunktionen Govern, Identify, Protect, Detect, Respond und Recover [E-K84-7]. Diese Logik passt wirkungsökonomisch, weil sie Cyberresilienz als Governance- und Lernprozess versteht, nicht nur als technische Schutzmaßnahme. Auch NIS2 und DORA folgen dieser Richtung: Es geht nicht nur um technische Abwehr, sondern um Risikomanagement, Meldung, Reaktionsfähigkeit, Widerstandsfähigkeit und Wiederherstellung [E-K84-1; E-K84-3].

Für die Wirkungsökonomie kommt eine zusätzliche Ebene hinzu: Wirkung. Lernen aus Störungen heißt nicht nur, den nächsten Angriff abzuwehren. Es heißt, die Ausfallwirkung zu senken. Ein System lernt erst dann, wenn die nächste Störung weniger Menschen trifft, weniger Vertrauen zerstört, schneller begrenzt wird, bessere Ersatzwege aktiviert, weniger Daten verliert, weniger falsche Entscheidungen erzeugt und demokratisch besser erklärt wird.

Diese Lernlogik schützt auch vor Sicherheitsstaatlichkeit. Wer aus jeder Störung nur mehr Kontrolle ableitet, verengt Freiheit. Wer aus jeder Störung bessere Zweckbindung, bessere Redundanz, bessere Datensparsamkeit, bessere Wiederherstellung, bessere Kommunikation und bessere Rechtsschutzwege ableitet, stärkt Freiheit.

Cyberresilienz ist deshalb Teil des lernenden Kreislaufs der Wirkungsökonomie. Handlung erzeugt digitale Abhängigkeit. Digitale Abhängigkeit erzeugt Verwundbarkeit. Verwundbarkeit wird durch Daten, Indikatoren und Vorfälle sichtbar. Sichtbarkeit erlaubt Bewertung. Bewertung führt zu Resilienzmaßnahmen. Resilienzmaßnahmen verändern Systeme. Störungen prüfen, ob diese Maßnahmen tragen. Das System lernt.

Eine Wirkungsökonomie ohne Cyberresilienz wäre naiv. Eine Cyberresilienz ohne Wirkungslogik wäre technisch eng. Eine Sicherheitsarchitektur ohne Freiheit wäre gefährlich.

Die richtige Ordnung lautet: sichere Systeme, klare Rechte, überprüfbare Daten, transparente Verantwortung, schnelle Wiederherstellung und demokratische Kontrolle.

84.5 Wirkungs-Sicherheit und Daten-Sabotage

Wenn Wirkungsdaten zur Rückkopplungsinfrastruktur werden, werden sie zum Angriffsziel. Das betrifft nicht nur Datenschutz oder IT-Sicherheit. Es betrifft die Wahrheitsfähigkeit des Systems. Wer Wirkungsdaten manipuliert, kann Preise, Steuern, Kapitalzugang, Versicherbarkeit, Beschaffung, Lieferkettenbewertungen und öffentliche Debatten verzerren [I-K84-6; I-K84-10].

Daten-Sabotage kann viele Formen annehmen. Emissionsdaten können gefälscht werden. Lieferkettendaten können verschleiert werden. Produktpässe können manipuliert werden. Bilder, Zertifikate oder Prüfberichte können synthetisch erzeugt werden. Plattformen können Quellen unauffindbar machen. Staaten oder Konzerne können Wettbewerber durch falsche Wirkungsdaten beschädigen. Angreifer können Datenräume stören, um Vertrauen in die Wirkungsökonomie zu schwächen.

Damit entsteht ein neues Sicherheitsfeld: Wirkungs-Sicherheit. Sie schützt nicht nur Systeme vor Ausfall, sondern Rückkopplung vor Fälschung. Sie verbindet Cyberresilienz, Datenherkunft, Signaturen, Audit-Trails, Registervalidierung, Prüfinstitutionen, Redundanz, offene Standards, Zugriffskontrolle, Krisenprotokolle und öffentliche Korrekturwege [I-K84-6; I-K84-10].

Vier Ebenen sind nötig. Die erste Ebene ist technische Integrität: Daten müssen signiert, versioniert, unverändert nachweisbar und gegen unbefugte Veränderung geschützt sein. Die zweite Ebene ist institutionelle Integrität: Prüfstellen, Wirkungsrat, Aufsicht und Gerichte müssen Manipulation erkennen, sanktionieren und korrigieren können. Die dritte Ebene ist epistemische Integrität: Daten brauchen Kontext, Unsicherheitsangaben, Quellenklarheit und Revisionswege. Die vierte Ebene ist demokratische Integrität: Bürger:innen, Unternehmen und Medien müssen erkennen können, ob ein Wirkungsdatum geprüft, vorläufig, bestritten oder widerlegt ist.

Wirkungs-Sicherheit bedeutet, dass Datenintegrität, Prüfbarkeit, Versionierung und Rechtsschutz Teil der Architektur sind. Ein Wirkungswert muss zurückverfolgbar bleiben: Datenquelle, Einheit, Systemgrenze, WÖk-ID, Benchmark, Modellversion, Prüfstatus, Änderungshistorie, Unsicherheit und verantwortliche Stelle. Ohne Audit-Trail wird Wirkung angreifbar.

Die Schutzarchitektur braucht digitale Signaturen, unabhängige Prüfstellen, redundante Datenquellen, Plausibilitätsprüfungen, Whistleblower-Schutz, offene Korrekturwege, Registerschutz, Cyberabwehr, Modell-Audits und Sanktionen gegen Wirkungssimulation. Sie braucht außerdem öffentliche Bildung: Menschen müssen verstehen können, dass ein Wirkungswert kein Orakel ist, sondern ein geprüfter, korrigierbarer Daten- und Bewertungsprozess.

Eine Wirkungsökonomie mit manipulierten Daten wäre schlimmer als ein wirkungsblindes System, weil sie falsche Präzision erzeugen würde. Deshalb muss jede Wirkungsdatenarchitektur von Anfang an als kritische Infrastruktur betrachtet werden.

Wirkungsökonomie ist damit auch Verteidigung der Rückkopplung. Wer Wirkungsdaten sabotiert, greift nicht nur eine Datenbank an. Er greift die Fähigkeit einer Gesellschaft an, Wirklichkeit in Entscheidung zu übersetzen.

84.6 Zwischenfazit

Cyberresilienz ist eine Grundbedingung der Wirkungsökonomie. Wenn Wirkungsdaten, Produktpässe, Scorecards, Register, Steuerlogik, Finanzierungsdaten, Versicherungsdaten, Verwaltung und öffentliche Infrastruktur digital verbunden sind, wird digitale Stabilität selbst zum Wirkungsfeld.

Dieses Kapitel hat fünf Linien gezogen.

Erstens: Digitale Verwundbarkeit entsteht durch Abhängigkeit ohne ausreichende Ausweichfähigkeit. Sie betrifft Verfügbarkeit, Integrität, Vertraulichkeit, Abhängigkeiten und Wahrnehmung.

Zweitens: Kritische Systeme müssen nach Ausfallwirkung bewertet werden. Verwaltung, Gesundheit, Pflege, Energie, Wasser, Verkehr, Zahlungssysteme, Finanzsystem, Datenräume, Produktpässe und Wirkungsregister sind nicht nur technische Systeme. Sie sind gesellschaftliche Grundfunktionen.

Drittens: Resilienzindikatoren machen Cyberresilienz steuerbar. Sie messen Verfügbarkeit, Integrität, Vertraulichkeit, Erkennung, Reaktion, Wiederherstellung, Abhängigkeiten, Modellrisiken, soziale Wirkung und Lernfähigkeit.

Viertens: Lernen aus Störungen ist Rückkopplung. Vorfälle, Beinahe-Vorfälle und Ausfälle müssen zu besseren Systemen führen: weniger Verwundbarkeit, bessere Wiederherstellung, klarere Verantwortung, stärkere Datenintegrität und mehr Vertrauen.

Fünftens: Wirkungs-Sicherheit schützt die Rückkopplung selbst. Wenn Wirkungsdaten manipuliert werden, werden Preise, Steuern, Kapitalzugang, Versicherbarkeit, Beschaffung, Produktbewertungen und öffentliche Entscheidungen angreifbar.

Cyberresilienz schützt nicht nur Technik. Sie schützt die Bedingungen, unter denen Wirkung geprüft, gesteuert und demokratisch verantwortet werden kann.

Die nächste Frage lautet: Wie wird die technische Umsetzung digitaler Produktpässe so gebaut, dass Produktdatenketten, Schnittstellen, Register, Validierung und Skalierung der Wirkungsarchitektur zusammenfinden?

Diese Frage führt zu Kapitel 85: DPP-Infrastruktur und technische Umsetzung.

Endnoten und Quellen zu Kapitel 84

Interne WÖk-Quellen

[I-K84-1] Weber, Natalie: Die neue Ordnung des Wohlstands, Arbeitsfassung 2026, Abschnitt zu Cyber- und Informationssicherheit. Grundlage für die Formulierung, dass Cybersecurity nicht IT-Abteilung, sondern Gesellschaftsschutz ist, und für die Einordnung von Cyberresilienz als technische und demokratische Freiheitsbedingung.

[I-K84-2] Weber, Natalie: Die neue Ordnung des Wohlstands, Arbeitsfassung 2026, Abschnitt zu Cyber- und Informationssicherheit. Grundlage für den Kernsatz: „Cyberangriffe treffen Technik. Informationsangriffe treffen Wirklichkeit. Beides zusammen trifft Demokratie.“

[I-K84-3] Weber, Natalie: Die neue Ordnung des Wohlstands, Arbeitsfassung 2026, Abschnitt „Kritische Infrastruktur und Versorgungsfähigkeit“. Grundlage für kritische Infrastruktur als Vertrauen in Funktion, für die Liste Energie, Wasser, Lebensmittel, Gesundheit, Pflege, Medikamente, Verkehr, Kommunikation, digitale Infrastruktur, Verwaltung, Finanzsysteme, Medien und öffentliche Sicherheit sowie für die Bewertung nach Ausfallwirkung.

[I-K84-4] Weber, Natalie: Die neue Ordnung des Wohlstands, Arbeitsfassung 2026, Abschnitt zu Sicherheitsökonomie. Grundlage für die Unterscheidung von Ausgaben und Schutzwirkung sowie für Budgetblindleistung, Technologieblindleistung und die Frage, welche Verwundbarkeit tatsächlich sinkt.

[I-K84-5] Weber, Natalie: Die neue Ordnung des Wohlstands, Arbeitsfassung 2026, Abschnitt „Digitale Resilienz des Finanzsystems“. Grundlage für Zahlungsverkehr, Banking, Börsen, Versicherungsverwaltung, Risikomodelle, Kreditprüfung, Cloud-Infrastruktur, KI-Systeme, Datenräume, Produktpässe und Wirkungsregister als digital abhängige Finanzsysteme sowie für den Satz, dass Ausfälle Vertrauensschaden erzeugen.

[I-K84-6] Weber, Natalie: Die neue Ordnung des Wohlstands, Arbeitsfassung 2026, Abschnitt „Digitale Resilienz des Finanzsystems“. Grundlage für die Aussage, dass Wirkungsdaten sicher verarbeitet werden müssen und WÖk-IDs, Produktpässe, Scorecards, Kreditdaten, Versicherungsdaten, Lieferkettendaten und Wirkungssteuerdaten Vertrauen brauchen; außerdem für den Satz: „Wenn Wirkungsdaten manipulierbar sind, wird die Wirkungsökonomie selbst angreifbar.“

[I-K84-7] Weber, Natalie: Systemmodell der Wirkungsökonomie, 2025, Abschnitt „Katastrophenschutz & Systemresilienz“. Grundlage für nationale Resilienzstrategie mit Risikoindikatoren, Notfallplänen, Wasser-, Klima-, Energie-, Gesundheits- und Digitalsicherheit sowie systemischer Redundanz.

[I-K84-8] Weber, Natalie: Die neue Ordnung des Wohlstands, Arbeitsfassung 2026, Abschnitt zu Resilienz, Sicherheit und Gegenargumenten. Grundlage für die Abgrenzung gegen Sicherheitsstaatlichkeit: Resilienzpolitik braucht Rechtsstaat, Parlament, Öffentlichkeit, Datenschutz, Wirkungsrat, Gerichte, Medienfreiheit und Bürgerbeteiligung; Resilienz ohne Freiheit wäre keine Wirkungsökonomie.

[I-K84-9] Weber, Natalie: WÖk Master Items final v1.2, 2025. Grundlage für Indikatorfamilien zu Datenschutz, IT-Sicherheit, Cyberresilienz, kritischer Infrastruktur, Privacy by Design, Model Governance, offenen Standards, Datenqualität, Lieferketten-Transparenz, KI-Risiko-Assessments und Governance-Indikatoren.

[I-K84-10] Weber, Natalie: Grundlagenpapier Wirkungsökonomie WÖk, 2025. Grundlage für Wirkungstransparenz, offene Wirkungsplattformen, demokratische Kontrolle, Missbrauchsrisiken, Machtkonzentration und Wirkungssimulation als Schutzanforderungen digitaler Wirkungsarchitektur.

Externe Quellen

[E-K84-1] Europäische Kommission: NIS2 Directive: securing network and information systems, Stand Januar 2026. Bezugspunkt für NIS2 als EU-Rahmen zur Erhöhung des Cybersicherheitsniveaus in der EU; Mitgliedstaaten hatten bis 17. Oktober 2024 Zeit zur Umsetzung, NIS1 wurde ab 18. Oktober 2024 aufgehoben. NIS2 - Richtlinie (EU) 2022/2555: https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

[E-K84-2] Europäische Kommission: Meldung zur NIS2-Umsetzung, 7. Mai 2025. Bezugspunkt für die Sektoren, die NIS2 abdeckt, darunter öffentliche elektronische Kommunikationsdienste, ICT-Service-Management, digitale Dienste, Abwasser- und Abfallmanagement, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste sowie öffentliche Verwaltung. NIS2 - Richtlinie (EU) 2022/2555: https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

[E-K84-3] EIOPA: Digital Operational Resilience Act (DORA), Stand 2026. Bezugspunkt für DORA als EU-Verordnung zur Stärkung der digitalen Resilienz von Finanzunternehmen; sie gilt seit 17. Januar 2025 und soll sicherstellen, dass Banken, Versicherungen, Investmentfirmen und andere Finanzakteure ICT-Störungen wie Cyberangriffe oder Systemausfälle aushalten, beantworten und sich davon erholen können. DORA - Verordnung (EU) 2022/2554: https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng - EIOPA - Climate risk / insurance supervision: https://www.eiopa.europa.eu/

[E-K84-4] Europäische Kommission: Digital Operational Resilience Regulation - DORA, Stand 2026. Bezugspunkt für delegierte und durchführende Rechtsakte zu DORA und die Spezifizierung, wie Behörden und Marktteilnehmer die Pflichten der Verordnung erfüllen sollen. DORA - Verordnung (EU) 2022/2554: https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng

[E-K84-5] ENISA: ENISA Threat Landscape 2025, 1. Oktober 2025. Bezugspunkt für 4.875 analysierte Vorfälle im Zeitraum vom 1. Juli 2024 bis 30. Juni 2025 und für die Breite des europäischen Cyberbedrohungsraums. ENISA Threat Landscape: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025

[E-K84-6] Europäische Kommission: Cyber Resilience Act, Stand Dezember 2025. Bezugspunkt für den Cyber Resilience Act als EU-Rechtsrahmen für gemeinsame Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, einschließlich Hardware und Software; der CRA trat am 10. Dezember 2024 in Kraft, Meldepflichten gelten ab 11. September 2026 und Hauptpflichten ab 11. Dezember 2027. Cyber Resilience Act - Verordnung (EU) 2024/2847: https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng

[E-K84-7] NIST: The NIST Cybersecurity Framework 2.0, 2024. Bezugspunkt für die Kernfunktionen Govern, Identify, Protect, Detect, Respond und Recover als Struktur für Cybersecurity-Risikomanagement.

[E-K84-8] Europäische Kommission: EU Preparedness Union Strategy, 2025. Bezugspunkt für den EU-Ansatz zur Stärkung ziviler und militärischer Vorsorge und Bereitschaft für künftige Krisen sowie zur Förderung einer Resilienzkultur auf allen Ebenen der Gesellschaft. Europäische Kommission - Preparedness Union Strategy: https://commission.europa.eu/topics/defence-and-security/preparedness-union-strategy_en