Resi­lienz kri­ti­scher Infrastrukturen

Keine Chance dem Blackout

Resi­lienz Kri­ti­scher Infrastrukturen

Es war ein kalter Febru­artag, als der Infor­ma­tiker Piero Manzano in einen Ver­kehrs­unfall ver­wi­ckelt wurde, weil alle Strom­netze in Europa aus­fielen und mit ihnen die Ampel­systeme, Kom­mu­ni­kation, Trink­was­ser­ver­sorgung. Der Beginn dieser Erzählung stammt aus dem Best­seller “Blackout” von Marc Elsberg, doch zeigen Ver­flech­tungen und Ver­netzung des Romans die Quellen einer gesell­schaft­lichen Ver­letz­lichkeit, die in der Sicher­heits­po­litik zu einem neuen Para­digma geführt haben: Resi­lienz. Ursprünglich von der Psy­cho­logie ver­wendet, um Men­schen mit hoher Kri­sen­be­last­barkeit zu beschreiben, zielt Resi­lienz in der IT-Sicherheit auf best­mög­liche Beherr­schung von Gefährdung und Scha­dens­wirkung, um im Kri­senfall schnell zur Nor­ma­lität zurückzukehren.

Heutige For­de­rungen nach Resi­lienz erfolgen meist im Zusam­menhang mit Kri­ti­schen Infra­struk­turen. Diese umfassen – in den Worten des frü­heren Bun­des­in­nen­mi­nisters – solche Systeme, bei denen es kri­tisch wird, wenn sie aus­fallen. Sie müssen schon heute besondere Sicher­heits­an­for­de­rungen erfüllen. Künftig wird es zusätzlich auf solche Akteure ankommen, die über digitale Ver­netzung in sons­tiger Weise mit Kri­ti­schen Infra­struk­turen zu tun haben – wie die hun­dert­tau­sende kleinen und mitt­leren Betriebe. Der Grund liegt in der stei­genden Wech­sel­sei­tigkeit von Gefährdung der und Abhän­gigkeit von der Digi­ta­li­sierung, die im Begriff der Industrie 4.0 abge­bildet werden, aber weit darüber hinausreichen.

Es geht um die Resi­lienz der Gesell­schaft, in der bewährte Scha­blonen der IT-Sicherheit ihre Gül­tigkeit ver­lieren. So beschreibt der BSI-Lage­­be­richt ein Bedro­hungs- und Gefähr­dungsbild, das durch Sabotage, Spionage, Tech­nik­ver­sagen, Natur­ka­ta­strophen sowie Sorg­lo­sig­keiten im Berufs­alltag geprägt ist und nicht länger nach Innen und Außen differenziert.

Auch klas­sische Ver­ant­wor­tungs­zu­schnitte der IT-Sicherheit büßen in dem Maße an Bedeutung ein, wie holis­tische Betrach­tungs­weisen an Bedeutung gewinnen. Und anstelle ein­zelner Gefähr­dungen wird die Ver­meidung von Scha­dens­ein­tritten zur zen­tralen Frage, die aus der all­ge­meinen Ver­wund­barkeit der digital ver­netzten Gesell­schaft erfolgt. Um dem Blackout Kri­ti­scher Infra­struk­turen und seinen Folgen ent­ge­gen­zu­wirken, wird es darauf ankommen, die Resi­lienz der digi­talen Gesell­schaft zu stärken. Alle Schutz­fak­toren von Wirt­schaft, Staat und Gesell­schaft müssen wirksam inein­ander greifen. Zur Ver­an­schau­li­chung hilft das Modell einer Zwiebel, deren Ringe den Ein­zelnen schützen und ihn zugleich ein­binden. Eine erste Annä­herung lässt vier Kreise erkennen:

Zwie­bel­modell: Resilienz

1) Der äußere Ring steht für die inter­na­tionale Ver­ant­wortung. Sie ermög­licht eine Ori­en­tierung zu grenz­über­schrei­tenden und global abge­stimmten Lösungs­an­sätzen. Platt­formen für ent­spre­chende Ver­ab­re­dungen bieten Gesprächs­foren der G20 und G7, das Inter­na­tionale Gover­nance Forum (IGF) sowie die Ver­einten Nationen (UN).

2) Regu­la­to­rische Schutz­me­cha­nismen werden dem zweiten Ring zuge­ordnet. Rechts­vor­gaben können Schutz und Sicherheit stärken. Die NIS-Direktive auf euro­päi­scher Ebene adres­siert vor­rangig Kri­tische Infra­struk­turen. Auch Son­der­ge­setze ent­halten rele­vante IT-Sicher­heits­­an­­for­­de­rungen sowie auch die EU-Daten­­­schutz-Grun­d­­ver­­­ordnung (DSGVO). Die Aus­sicht eines zweiten IT-Sicher­heits­­­ge­­setzes ist Gegen­stand des Fach­kon­gress PITS (Public-IT-Security) 2018.

3) Auf dem dritten Ring finden sich tech­no­lo­gisch getriebene Inno­va­tionen der Wirt­schaft als Schutz­faktor einer resi­li­enten Gesell­schaft. Sie wenden sich an KMU und bieten auch Kri­ti­schen Infra­struk­turen Lösungs­an­sätze. Sie stehen in gewisser Abhän­gigkeit zur Regu­lierung und können auch durch Sicher­heits­stan­dards oder Emp­feh­lungen wie dem BSI-Grun­d­­schutz beein­flusst werden.

4) Im Kern des Zwie­bel­mo­dells stehen Anwender und Nutzer – KMU, Behörden sowie Ein­zel­per­sonen. Sie tragen Ver­ant­wortung für eigene Betriebe sowie auch für Vor­keh­rungen gegen kleinere Vor­fälle bis hin zum Ausfall (kri­ti­scher) Ver­sor­gungs­leis­tungen. Über DDoS-Attacken können sie selbst zum Risiko auch für Betreiber Kri­ti­scher Infra­struk­turen werden.

Mehr Abwehr­fä­higkeit durch digitale Aufklärung

Die Wir­kungen und das Ver­hältnis der benannten Schutz­fak­toren zuein­ander bedürfen wei­terer Dis­kus­sionen. Augen­fällig ist aber das Nach­hol­be­dürfnis von KMU bei IT-Sicherheit im Kern des Modells: Es geht um nicht geschulte Mit­ar­beiter bis zu feh­lenden Not­fall­plänen. Angebote in der beruf­lichen Aus­bildung, wie das Projekt “Bottom-Up”, fördern das Grund­ver­ständnis für Sicherheit am Arbeits­platz. Auch der Erfah­rungs­aus­tausch unter­ein­ander, wie ihn die IT-Sicherheit@Mittelstand in Koope­ration mit dem Deut­schen Industrie- und Han­dels­kam­mertag ermög­licht, wird wich­tiger. Diese Angebote sollten von Betrieben stärker ange­nommen werden. Die Bun­des­re­gierung hat mit dem Beschluss im Koali­ti­ons­vertrag, die digitale Befä­higung in der Gesell­schaft und Wirt­schaft für mehr Cyber-Sicherheit zu ver­stärken, das Problem der digi­talen Auf­klärung klar adres­siert. Hier wird es darum gehen, The­men­felder, Akteure und Ziel­gruppen so ein­zu­binden, dass die Abwehr­fä­higkeit der Gesell­schaft gegen digitale Bedro­hungen in der Gesamtheit wirksam ver­bessert wird.

Dieser Beitrag erscheint auch in der August­ausgabe im Behörden Spiegel sowie in der Son­der­ausgabe des Behörden Spiegel News­letters „E‑Government“, der sich ganz der PITS 2018 widmet.