Den Organisatoren ist mit dieser Konferenz ein guter Anfang gelungen. Dass “Cyber” gewissermassen einseitig als Risiko diskutiert wird, ist durch das Konferenzthema vorgegeben. Dennoch fragt sich, ob eine breitere Betrachtung nicht auch Risiken vermindern liesse.

Die Risiken im Cyber-Bereich sind schon seit längerem bekannt. Insofern kommt die erste Forschungs-Konferenz etwas spät. Aber einem kleinen Land mit bedeutenden Forschungs- und wirtschaftlichen Leistungen in den Informations- und Kommunikationstechnologien dürfte eine solche Konferenz gut anstehen. Sie könnte durchaus eine Wechselwirkung haben, wie Roulet als Bundes-Vertreter sagte: Sie dürfte positiv zu einem Austausch beitragen und mithelfen, eine Schweizer Cyber-Forschungsgemeinschaft aufzubauen.

Dass Cyber Risk als Thema vorgegeben war, mag man als einseitig ansehen. Das war nun mal die Vorgabe. Dennoch wird etwa mit dem Begriff “Gefahren” meist auch das gegensätzliche “Chancen” assoziiert. Aber wenn sowohl Risiken und Gefahren als auch Chancen beleuchtet werden, so kann oft weder das eine noch das andere genügend vertieft werden. Am Schluss bleiben keine konkreten Anhaltspunkte für Massnahmen, lautet eine häufige Kritik einer SWOT-Analyse. Immerhin könnte man eine Untervertretung der Social Sciences fesstellen. Man weiss sehr viel darüber, wie etwa Cyber-Angriffe funktionieren. Aber, so scheint es, recht wenig darüber, welche Massnahmen die wirksamsten sind, in die primär zu investieren wäre. Das dürften kaum nur technische sein.

Langner gibt Hinweise, wenn er etwa “Cyber-physical Attacks” dem Schlagwort “Hacking” gegenüber stellt. Was aber sind die erfolgreichsten Attacken und die erfolgreichste Abwehr wirklich? Es könnte ja sein, dass jede gute Abwehr zu einem grossen Teil davon abhängt, dass jemand irgendwo zum richtigen Zeitpunkt eine richtige Entscheidung trifft, und zwar nicht nur bei der Beschaffung eines technischen Produktes. Oder dass die Grundannahmen eben das scheinbar Undenkbare nicht berücksichtigen. Dass es auch heute noch möglich ist, mit unbedachten Klicks einen grösseren Einbruch in ein IT-System zu ermöglichen. Dass Sicherheit in der Software-Entwicklung immer noch wenig präsent ist.

Vereinzelt wurde darauf hingewiesen: Risiken dürften es einfach haben, zu Gefahren und vielleicht Katastrophen auszuwachsen, solange das Risiko-Bewusstsein höchstens im Hinterkopf des Durchschnits-Nutzers oder Programmierers angesiedelt ist.

Organisatorisch wurde die Konferenz gut vorbereitet. Vielleicht lag es an der ersten Durchführung einer solchen Konferenz, dass offenbar auch Fachleute recht spät davon erfuhren.

Vortragssparche war Englisch. Begrüssenswert sind die durchgehend dreisprachigen Präsentationen, die auf Schirmen des EPFL-Swiss Tech Convention Centers angezeigt wurden. Die Übersetzung ist allerdings so eine Sache: über falsche Freunde wie “faculty” und “Fakultäten” (aber korrekt auf französich) mag man hinwegsehen. Zugegeben schwierig zu übersetzen sind selbst häufig gebrauchte Begriffe wie Landscape, Intelligence, Agent, Devil, Vulnerability, Control usw., welche wörtlich übersetzt oft komisch klingen.

Die Forschungsgemeinschaft würde im weiteren Aufbau wohl unterstützt, wenn dies die erste, aber nicht die letzte SCRRC gewesen sein wird. Womöglich könnte sie einen zusätzlichen Ansporn geben, wenn Arbeiten und Poster beispielswiese in kleineren Podien präsentiert werden könnten. Je nach Ausrichtung einer solchen Konferenz könnte sogar die Politik und das interessierte Publikum etwas sensibilisiert werden, falls Forschungsthemen im positiven Sinne Beachtung finden.

(wue)