Cyber risks and cybersecurity : risk communication and regulation strategies in the United States and Germany

Abstract

The dissertation explores and analyzes political communication and regulatory processes related to cyber risks and cybersecurity in the United States and Germany in the time period from 2007 to 2016 with a focus on cybersecurity-related risks for critical infrastructure. The dissertation follows a qualitative-interpretative research design based on Reiner Keller’s Sociology of Knowledge Approach to Discourse (SKAD) that is innovatively adapted by integrating frames and regulatory styles. The study proceeds in three steps: First, a context mapping reveals the institutional roles and responsibilities of the executive branches in both countries in the young field of cybersecurity policy. Second, official cybersecurity discourses in both countries are analyzed in order to identify which frames the respective executive actors use in their communication. Two overarching frames are found for each country: For the United States, a homeland security frame and a technological leadership frame can be identified; for Germany, a security of supply frame as well as a moderation frame are found. Third, the study sheds light on regulation in the field of cybersecurity, understood as discourse effect. Therefore, one regulatory example is examined for each country in order to assess its consistency with the traditional regulatory style of the respective country. In the case of the United States, the Cybersecurity Framework following executive order 13636 is examined; for Germany, the IT Security Law is selected as regulatory example.

Die Dissertation untersucht politische Kommunikations- und Regulierungsprozesse im Bereich von Cyberrisiken und Cybersicherheit in den USA und Deutschland im Zeitraum von 2007 bis 2016 mit einem Fokus auf Cybersicherheitsrisiken für kritische Infrastrukturen. Sie verwendet ein qualitativ-interpretatives Forschungsdesign auf Basis der Wissenssoziologischen Diskursanalyse (WDA) nach Reiner Keller, die durch die Integration von Frames und Regulierungsstilen innovativ erweitert wird. Die empirische Analyse erfolgt in drei Schritten: In einem ersten Schritt werden die institutionellen Strukturen und Kompetenzen im Bereich der Exekutive beider Länder für das junge Politikfeld Cybersicherheit anhand eines Kontextmappings dargestellt. In einem zweiten Schritt werden durch die Analyse der offiziellen Cybersicherheitsdiskurse in den USA und Deutschland die Frames herausgearbeitet, mit denen die Akteure über Cyberrisiken und Cybersicherheit kommunizieren. Hierbei zeigen sich jeweils zwei übergreifende Frames: Im Fall der USA ein Homeland Security Frame und ein Technological Leadership Frame, für Deutschland ein Security of Supply Frame sowie ein Moderation Frame. Schließlich untersucht die Arbeit für jedes Land ein regulatorisches Beispiel aus dem Bereich Cybersicherheit, verstanden als Diskurseffekt, im Hinblick auf dessen Konsistenz mit dem traditionellen Regulierungsstil des jeweiligen Landes. Im Fall der USA wird das Cybersecurity Framework untersucht, das im Zuge des Executive Order 13636 erstellt wurde, für Deutschland das IT-Sicherheitsgesetz.