Cyber-Risikomanagement ist durch einen Wettlauf um sicherheitsrelevante Informationen zwischen Angreifern und Verteidigern von IKT-Systemen geprägt. Verteidiger können sich dabei einen Vorteil verschaffen, indem sie solche Informationen austauschen. Sie tauschen jedoch oft weniger Informationen aus, als es gesellschaftlich wünschenswert wäre, weil ihre Entscheidungen von egoistischen Motiven getrieben werden. Dies kann Staaten dazu motivieren, Informationsaustausch gesetzlich vorzuschreiben. Insbesondere in Europa verpflichten viele Gesetze Verteidiger zur Meldung von Informationen an Behörden, die wiederum andere Verteidiger beraten und dadurch die Sicherheit von IKT-Systemen in der Gesellschaft erhöhen können. Diese Dissertation behandelt ökonomische Aspekte des Austauschs sicherheitsrelevanter Informationen mit Behörden.

Cyber risk management largely reduces to a race for information between attackers and defenders of ICT systems. Defenders can gain advantage in this race by sharing cyber risk information with each other. Yet, defenders often exchange less information than is socially desirable, as their decisions are guided by selfish reasons. This can motivate regulators to enact laws mandating defenders' information exchange. In particular in Europe, many laws oblige defenders' information sharing with authorities, who in turn can advise others to strengthen the overall defense in the economy. This dissertation sheds first light into the economics of cyber risk information sharing with authorities.