Digitaler Stillstand: Die Verletzlichkeit der digital vernetzten Gesellschaft – Kritische Infrastrukturen und Systemperspektiven

28.April, 2017 | Cyber, Vernetzung und Komplexität | 0 Kommentare

Letzte Aktualisierung am 18. Mai 2017.

Quelle: ÖAW/Institut für Technikfolgen-Abschätzung/Projektbericht Nr. 2017-01 (siehe auch APA-Meldung)

Ausgangslage

Geplante Projektlaufzeit 01/2015 – 10/2015

Ob Energie, Wasser, Infrastruktur oder Kommunikation – Güter und Dienstleistungen werden durch IT-Systeme gesteuert. Dadurch wird ein Maß an Effizienz und Effektivität erreicht, das ohne Technik nicht vorstellbar wäre. Eine Begleiterscheinung dieser Technisierung ist jedoch eine zunehmende Komplexität und gesellschaftliche Abhängigkeit.Das Projekt „Digitaler Stillstand“ geht der Frage nach, was passiert, wenn alle oder ein Großteil dieser Systeme nicht mehr funktionieren. Verschiedene Szenarien sollen demonstrieren, welche Ursachen zu einem Ausfall der Versorgung und Kommunikation führen könnten. Haben Cyber-Attacken oder Naturkatastrophen dieses Schadenspotential? Wie würde sich ein Blackout auf die IT-Landschaft auswirken? Können Sonnenstürme ein Problem werden?

Für viele Katastrophenfälle gibt es Notfallpläne der einzelnen Infrastrukturbetriebe und der zuständigen staatlichen Stellen. Wie ist Österreich auf die konkreten Auswirkungen dieser Szenarien vorbereitet? In unterschiedlichen Bereichen des gesellschaftlichen Lebens sind verschiedene Rahmenbedingungen zu berücksichtigen. Wie die Primärversorgung mit Nahrung, Trinkwasser und medizinischer Hilfe aufrecht gehalten werden kann, unterscheidet sich von anderen Bereichen wie Verkehr, Kommunikation, Handel oder Produktion. Wie stark wären diese unterschiedlichen Sektoren betroffen?

Nach der Analyse der Meinungen von ExpertInnen zu diesen Fragen, ist es das Ziel des Projekts, unter Einbeziehung verschiedener Stakeholder Empfehlungen zu entwickeln.

Zusammenfassung

Die Funktionsfähigkeit gesellschaftlicher und wirtschaftlicher Prozesse ist heute hochgradig von verschiedenen Technologien und deren Zusammenspiel abhängig. Sie bilden dabei „kritische Infrastrukturen“, ein Begriff, der seit einigen Jahren an Bedeutung gewinnt. Kritische Infrastrukturen (KI) können als „Hauptschlagader“ von Wirtschaft und Gesellschaft verstanden werden. Dementsprechend schwerwiegend sind Ausfälle von Systemen, die zentral für die Funktionsfähigkeit der Daseinsvorsorge und Grundversorgung mit lebensnotwendigen Gütern sind. Unsichere Infrastrukturen gefährden das Funktionieren der Gesellschaft und damit die gesamte Bevölkerung. Zur Bewältigung dieser Herausforderungen gibt es eine wachsende Anzahl politischer Programme und Strategien zu diesem Thema auf europäischer und nationaler Ebene. Die Bedrohungslage ist insgesamt komplex und entsteht durch zwei miteinander verwobene Aspekte: Externe Risikofaktoren und systemimmanente Fehlerquellen. Eine Differenzierung und explizite Berücksichtigung beider Aspekte ist wesentlich, um die komplexe Sachlage besser verstehen und mit sinnvollen Maßnahmen bewältigen zu können. Insbesondere die Problematik von Systemabhängigkeiten ist bislang unterrepräsentiert. Eine stärkere Fokussierung darauf ist daher dringend notwendig. Die steigende Abhängigkeit wirkt sich letztlich negativ auf die Selbstorganisationsfähigkeit aller gesellschaftlichen Akteure (staatliche und private Institutionen, Unternehmen, Zivilgesellschaft, Bevölkerung etc.) aus, die jedoch essentiell ist, um Krisen aller Art bewältigen zu können. Eine Reduktion der Abhängigkeit geht daher einher mit einer Stärkung des Problembewusstseins und der Resilienz der Gesellschaft.

Der vorliegende Bericht befasst sich mit wesentlichen Herausforderungen für den Schutz kritischer Infrastrukturen und der Problematik der zunehmenden wechselseitigen technologischen Abhängigkeit in diesem Feld. Die hohe Komplexität der Thematik legt eine Fokussierung auf spezielle Bereiche nahe. Daher wurden vor allem zwei zentrale Querschnittstechnologien in den Blick genommen: Das Stromnetz als kritische Basis-Infrastruktur, von der praktisch alle anderen Bereiche abhängen, sowie Informations- und Kommunikationstechnologien (IKT) und deren Bedeutung für die Vulnerabilität (Verwundbarkeit) kritischer Infrastrukturen. Der Fokus der Untersuchung liegt auf Österreich, wobei die globale Perspektive schon aufgrund der untersuchten Risiken immer wieder deutlich wird.

Untersucht wurden zunächst Risiken, die äußerst selten sind, aber massiven und schwer abschätzbaren Schaden für Stromnetz und IKT anrichten können: Elektromagnetische Impulse (EMP) und Sonnenstürme (als spezielle Form von EMP). Künstlich erzeugte EMPs bedürfen zur Erzeugung in der Regel militärischer Ressourcen wie Nuklearwaffen. Zwar mag das Bedrohungspotenzial für Österreich aufgrund seiner geopolitischen Lage und Neutralität hier als eher gering gelten. Allerdings können EMPs mit neuartigen HPM-Waffen mit geringerem Aufwand erzeugt und für gezieltere Angriffe eingesetzt werden. Solarstürme und Weltraumwetterphänomene sind ebenfalls selten, deren Risiken können aber nicht politisch reduziert werden. Österreich ist durch seine geographische Lage deutlich weniger gefährdet als etwa die USA oder Skandinavien. Trotz ihrer Unwahrscheinlichkeit ist eine Berücksichtigung verschiedener EMP-Risiken sinnvoll, da bislang wenig über die potenziellen Auswirkungen auf heutige Infrastruktursysteme bekannt ist. Evident sind etwa Stromausfälle (mitunter beschädigte Transformatoren), Störungen der Satellitenkommunikation und des Flugverkehrs. Hier besteht dementsprechend international weiterer Forschungsbedarf für Frühwarnsysteme und die Erforschung ihrer Auswirkungen. Es ist nicht eindeutig, inwieweit bestehende Richtlinien zur elektromagnetischen Verträglichkeit (EMV) vor EMPs schützen können. Ebenso unklar ist, inwieweit hier faktisch wirksame Schutzmaßnahmen getätigt wurden, um kritische Infrastrukturen abzusichern. Hinzu kommt, dass durch eine generelle Zunahme an vernetzten Geräten mit mehr elektromagnetischen Störquellen zu rechnen ist.

EMPs und Solarstürme sind zudem exemplarische Risiken, um die Problematik technologischer Abhängigkeiten zu verdeutlichen, die mit weiterer Vernetzung zunehmen und die Gefahr von Kaskadeneffekten und größeren Folgeschäden deutlich verschärfen. Neben EMPs bestehen zunehmende Risiken durch gezielte Angriffe auf IT-Systeme (Cyber-Angriffe) von kritischen Infrastrukturen. Möglich werden solche Angriffe vor allem durch mangelnde Sicherheitskonzepte. Kritische Infrastrukturen, die übers Internet direkt erreichbar sind, stellen grundsätzlich ein massives Sicherheitsrisiko dar. Angreifer können Schwachstellen etwa gezielt ausnützen, um Schadsoftware (Trojaner, Viren etc.) einzuspeisen. Derartige Fälle sind belegt und reichen vom Virenfund in Atomkraftwerken bis zum großflächigeren Stromausfall durch gezielte Angriffe. Neben Angriffen gibt es hier auch erhebliche Gefahren durch mitunter unbekannte Systemfehler. Es besteht daher insgesamt Bedarf nach verbesserten Schutzkonzepten von kritischen Infrastrukturen. Das bedeutet mehr Bewusstsein von Sicherheitsstandards und deren Umsetzung. Das erfordert mehr IT-Expertise für den Schutz kritischer Infrastrukturen sowie verstärkten inter- und transdisziplinären Austausch, um mehr Wissen über die Unterschiede und Gemeinsamkeiten von Energie- und IKT-Netzen zu erlangen. Mittel- und längerfristig gibt es weiters Bedarf nach Innovationen, die die Systemsicherheit in Design und Architektur insgesamt erhöhen (Security-by-design). Hierbei ist auch ein stärkerer Dialog zwischen Wissenschaft, Wirtschaft und Politik wichtig.

Für das Erkennen und Beheben von Abhängigkeiten ist Wissen über Schnittstellen und das Zusammenspiel unterschiedlicher Infrastrukturkomponenten erforderlich. Die Faustregel lautet: Schnittstellen erhöhen die Komplexität des Systems und machen es somit potenziell anfälliger. Nicht in Sicherheitskonzepten berücksichtigte Schnittstellen können dementsprechend unbekannte Risiken in sich bergen. Im Rahmen der Untersuchung wurden auch verdeckte Abhängigkeiten identifiziert, über die noch relativ wenig Problembewusstsein herrscht: Die Abhängigkeit von GPS (Global Positioning System) und anderen Satellitensystemen. Diese werden neben der Navigation mittlerweile in vielen Bereichen eingesetzt, so auch zur Zeitsynchronisation. Diese Systeme können auch in Transformatoren und Umspannwerken integriert sein und bei Ausfall zu erheblichen Störungen führen und sollten daher stärker bei der Analyse kritischer Infrastrukturen berücksichtigt werden. Im Hinblick auf die absehbar weiter zunehmende Vernetzung und Automatisierung (z. B. Industrie 4.0, Smart Grids, Smart Home, autonome Fahrzeuge, Internet der Dinge etc.) ist davon auszugehen, dass integrierte Systeme generell weiter an Bedeutung gewinnen werden. Dies wird Systemabhängigkeiten grundsätzlich weiter verschärfen und damit auch die Verwundbarkeit dieser Systeme. Dafür sind mehr Problembewusstsein und Vulnerabilitätsanalysen notwendig, um kritische Komponenten zu erkennen und diese in Folge, abhängig vom konkreten Risiko, besser zu schützen.

Das Österreichische Programm zum Schutz kritischer Infrastrukturen (APCIP) beinhaltet strategische Maßnahmen, um die Resilienz Österreichs zu erhöhen. Hier wurde bereits einiges geleistet und Österreich zählt hier zu den Vorreitern in der EU. Eine Vielzahl an Strategien und Akteuren widmet sich der Thematik, was auf ein breites Problembewusstsein hindeutet. Diese Pluralität verdeutlicht einerseits die Komplexität der Problematik, bringt aber andererseits auch Unklarheiten hinsichtlich Kompetenzen und Zuständigkeiten mit sich. Der von Österreich gewählte funktionsorientiert-kooperative Ansatz zum Schutz kritischer Infrastrukturen zwischen Staat und Wirtschaft ist sinnvoll, um Sicherheit und Resilienz kritischer Infrastrukturen in Österreich zu stärken, und orientiert sich an der EU-EKI-Richtlinie. Das APCIP fokussiert auf kritische Infrastrukturen, womit eine Abgrenzung zum SKKM besteht: APCIP versteht sich als Ansatz, der staatliches Krisen- und Katastrophenschutzmanagement (SKKM) nicht ersetzt, sondern erweitert; etwa durch die Entwicklung umfassender Konzepte zum Risiko-, Krisen- und Sicherheitsmanagement. Um eine etwaige „Verdopplungsgefahr“ zwischen APCIP und SKKM zu vermeiden, sollte auf Synergien zwischen beiden Ansätzen, sowie die Präzisierung der jeweiligen Besonderheiten und Anforderungen (etwa der jeweils unterschiedlichen Beurteilung bzw. Bedeutung von Katastrophen und Krisen) geachtet werden. Eine Analyse (und gegebenenfalls Adaptierung) des Krisen- und Katastrophenschutzmanagements in Hinblick auf Überschneidungen, Synergien und Ressourcen mit APCIP und vice versa ist daher zweckmäßig und wird empfohlen.

Der funktionsorientierte Ansatz Österreichs setzt stark auf die Eigenverantwortung der KI-Betreiber. Daher sind Standards im Sicherheitsmanagement bzw. betrieblichen Krisenmanagement besonders relevant. Hierbei sollte evaluiert werden, inwieweit Anpassungsbedarf besteht. Krisenkommunikation ist jeweils zentral. Kritische Faktoren sind mangelnde Interoperabilität und Kompatibilität etwa aufgrund unterschiedlicher Standards in technischer wie auch organisatorischer Hinsicht (z. B. mögliche Unterschiede zu Behördenfunksystemen anderer Staaten). Eine Überprüfung und ggf. Verbesserung von Standards zur Krisenkommunikation auch in Hinblick auf IKT-Abhängigkeiten wird daher empfohlen.

Bei einem Ausfall informationstechnischer Systeme ist mit Störungen oder Nicht-Verfügbarkeit digitaler Kommunikationsnetze zu rechnen. Um die Kommunikation weiterhin zu ermöglichen, sind Alternativen erforderlich. Als krisenrobustes Kommunikationsmittel gilt insbesondere die Funktechnologie. Es sollte daher die Verfügbarkeit und Nutzbarkeit von Funktechnologie unter allen relevanten Akteuren auch im Krisenfall sichergestellt werden, sodass die Krisenkommunikation zwischen den Akteuren möglichst friktionsfrei funktioniert.

Die Stärkung der Selbstorganisationsfähigkeit aller gesellschaftlichen Akteure und der Bevölkerung (Bewusstseinsbildung) ist insgesamt zentral für den Schutz kritischer Infrastrukturen. Das erfordert ein Zusammenspiel aller relevanten Akteure und Umsetzung von Maßnahmen. Die sich aus dieser Analyse ergebenden wichtigsten Empfehlungen sind:

  • Kritische Zusammenschau vorhandener Aktivitäten und Planungsszenarien, d. h. Evaluierung der Unterschiede, Gemeinsamkeiten und Synergien von staatlichem Krisen- und Katastrophenschutzmanagement und dem Programm zum Schutz kritischer Infrastrukturen;
  • Erfassung, Gewährleistung und Dokumentation der Verfügbarkeit von Notfallressourcen, insb. von
    • Notstromaggregaten bei KI-Betreibern und in kritischen Einrichtungen (z. B. im Gesundheits- und Sozialwesen);
    • Krisenkommunikationssystemen zur raschen Koordination aller relevanten Akteure und
    • Kommunikationskanälen zur Information der Bevölkerung unter Einbeziehung der Zivilgesellschaft
  • Stärkung des Problembewusstseins für IT-Sicherheit und technologische Abhängigkeiten; Schnittstellen gelten dabei als neuralgische Punkte mit potenziellen Risiken in kritischen Infrastrukturen;
    • Bewusstseinsbildung und Hilfestellung bei der Umsetzung entsprechender Standards von KI-Betreibern
    • Erstellung von (Offline-)Notfallplänen
  • Durchführung von Vulnerabilitätsanalysen kritischer Infrastrukturen (insbesonders im Stromnetz und kritischer Komponenten wie Transformatoren) zur
    • Identifizierung von Schwachstellen, vor allem von Abhängigkeiten zu anderen Systemen (IKT) und ggfs.
    • Erhöhung des Schutzniveaus durch
    • Reduktion von kritischen Abhängigkeiten durch bewusstes Schaffen von Redundanzen
  • Evaluierung und eventuell Anpassung von Standards und Richtlinien
    • im Krisen- und Katastrophenschutzmanagement und
    • zur elektromagnetischen Verträglichkeit (EMV);
  • Stärkung von Wissenschaft und Forschung in den Bereichen:
    • Sicherheit kritischer Infrastrukturen, Security-by-design, steigender Vernetzung und Systemabhängigkeit zur Entwicklung von wirkungsvollen Schutzmaßnahmen,
    • Interdisziplinäres Systemwissen und entsprechender (Aus-)Bildung zur gesellschaftlichen Bewältigung der Problematik,
    • Frühwarnung für geomagnetische Sonnenaktivität und elektromagnetische Felder, um Reaktionszeiten zu verringern und
    • Wirkungsforschung dieser Phänomene, um Auswirkungen besser einschätzen und Schutzmechanismen entwickeln zu können.

Zentrale Herausforderungen und Empfehlungen

Wie obige Ausführungen zeigen, gibt es eine Reihe von Herausforderungen beim Schutz kritischer Infrastrukturen. Diese resultieren zum einen aus der hohen Komplexität moderner Infrastruktursysteme, die zwar mit Gefahren, die nur bedingt neu sind, konfrontiert sind, für die jedoch heute andere Rahmenbedingungen gelten als vor der Digitalisierung. Dadurch ergeben sich auch zumindest teilweise veränderte Anforderungen an die Risikobewertung. Eine Bewertung von Einzelbereichen ist durch die hohe Integration von Teilbereichen und die digitale Vernetzung zunehmend erschwert. Im Folgenden werden zusammenfassend die wichtigen Herausforderungen und Empfehlungen dargestellt, die im Rahmen dieser Studie erarbeitet wurden.

Komplexe Risiken mit potenziell hohem gesellschaftlichem Schaden

Die in dieser Studie untersuchten Risiken haben eine eher geringe Eintrittswahrscheinlichkeit, bei Eintritt der Ereignisse führen sie aber potenziell zu hohem gesellschaftlichen Schaden. Gefahren wie EMPs und Solarstürme sind zwar keine unbekannten Größen, aufgrund der Vielzahl heute schon vernetzter Technologien ist aber mit größeren Störungspotenzialen zu rechnen. Daher ist trotz geringer Eintrittswahrscheinlichkeit mehr Bewusstsein für die Problematik notwendig. Zudem erscheint die Identifizierung etwaiger Schwachstellen bezüglich elektromagnetischer Verträglichkeit in strategisch wichtigen Bereichen sinnvoll.

Da (N)EMPs (wie in Abschnitt 3.1 erläutert) militärische Ressourcen und Aktivitäten voraussetzen, ergeben sich für Österreich (auch aufgrund seiner geopolitischen Lage und Neutralität) zwar keine besonderen Herausforderungen, was den Einsatz von Nuklearmaterial betrifft. Derartige Gefahren sind vor allem Gegenstand der militärischen Landesverteidigung. Allerdings erscheint eine Berücksichtigung unterschiedlicher EMP-Risiken für den Schutz kritischer Infrastrukturen insgesamt dennoch sinnvoll, da die potenziellen Auswirkungen auf moderne Infrastrukturen heute andere sind, als etwa in den 1960er Jahren. [siehe dazu aber Wie nahe am Abgrund stehen wir gerade?] Zudem ergeben sich mit der Möglichkeit von HPM-Waffen neue Bedrohungen, die zwar verglichen mit NEMPs geringeren, aber dafür gezielteren Schaden anrichten können. Über die Entstehung von EMPs durch Weltraumwetterphänomene wie Solarstürme (die weitgehend EMPs des Typs E3 entsprechen) und deren Auswirkungen auf der Erde ist noch relativ wenig bekannt. Hier besteht international weiterer Forschungsbedarf, um derartige Ereignisse besser verstehen zu können, nicht zuletzt auch hinsichtlich ihrer Bedeutung bei steigender Vernetzung und Systemabhängigkeit. Zentral ist hierbei auch die Verbesserung von Frühwarnsystemen und Forecasting, besonders im Bereich von Geomagnetik und Solaraktivitäten, sowie deren Auswirkungen.

Auch über die tatsächlichen Gefährdungen durch EMP sowie der Wirksamkeit von Schutzvorkehrungen (EMP-Schutz und elektromagnetische Verträglichkeit (EMV), ist bislang wenig bekannt. Zwar existieren seit langem Vorgaben für EMV, inwieweit diese aber auch vor komplexen Risiken durch starke EMPs schützen, bedarf genauerer Detailanalysen in spezifischen KI-Bereichen. In weiterer Folge können dann Schutzmaßnahmen entwickelt bzw. erweitert werden. Das bedeutet nicht unbedingt, sämtliche KI-Systeme mit EMP-Schutz zu versehen. Vielmehr können hier, sofern tatsächlich dementsprechende Vulnerabilität festgestellt wurde, kritische Komponenten und Netzknotenpunkte (wie etwa Transformatoren und daran gekoppelte Schnittstellen) nachgerüstet werden (vgl. Baker 2015). Derartige Investitionen im Stromnetz als Art „Hauptschlagader“ kritischer Infrastrukturen können insgesamt deren Resilienz erhöhen. Österreich scheint zwar durch seine Lage weniger gefährdet als die USA oder Skandinavien.104 Dennoch gibt es Bedarf nach mehr Wissen über diese Problematik, um mehr Klarheit über die tatsächliche Gefahrenlage und die Notwendigkeit von Investitionen zu erlangen. Hier können Erfahrungen anderer Ländern, die stärker von geomagnetischen Phänomenen betroffen sind, genutzt werden. Beispielsweise wurden in Schweden Transformatoren umgerüstet105 und mit einem wirksameren Überspannungsschutz ausgestattet. Eine Fortführung bzw. Stärkung von Forschungskooperationen Österreichs erscheint beim globalen Phänomen Weltraumwetter jedenfalls sinnvoll. Zumal sich zeigt, dass es sich dabei um eine auch für ganz Europa relevante Thematik handelt. Auf europäischer wie auch nationaler Ebene besteht Bedarf nach Überprüfung und gegebenenfalls Anpassung von Richtlinien zur elektromagnetischen Verträglichkeit (EMV).

Vernetzung, Schnittstellen und Systemabhängigkeiten erfordern neue Ansätze

Wie in Abschnitt 4 ausgeführt, liegt eine Kernproblematik beim Schutz kritischer Infrastrukturen (weitgehend unabhängig von den jeweiligen Ausfallrisiken) in den Abhängigkeiten zwischen KI-Systemen. Ausfälle können zu Kaskadeneffekten führen und andere Netze beeinträchtigen. Technische Abhängigkeiten zu verschiedenen IKT-Systemen sind hierbei ein zentraler Aspekt. Ansätze, um diese Problematik zu reduzieren, sind nur in geringem Ausmaß vorhanden. Es ist wenig bekannt, in welchen Bereichen und welche Komponenten von KI-Systemen durch IKT besonders gefährdet sind. Dementsprechend gibt es insgesamt Bedarf nach einer stärkeren Berücksichtigung von Abhängigkeiten zwischen und innerhalb kritischer Infrastruktursysteme. Das betrifft einerseits die Bewusstseinsbildung bei allen Akteuren insbesondere in Politik und Verwaltung und KI-Betreibern. Andererseits besteht Bedarf nach Erarbeitung konkreter Schutz-Maßnahmen vor Abhängigkeiten.

Kaskadeneffekte können größere Folgeschäden auslösen, was dem zugrundeliegenden Problem höhere Brisanz verleiht. Insofern besteht Bedarf nach mehr IT-Expertise für den Schutz kritischer Infrastrukturen sowie für mehr inter- und transdisziplinären Austausch, um mehr Wissen über die Unterschiede und Gemeinsamkeiten von Energie- und IKT-Netzen zu erlangen. Bezüglich technischer Entwicklungen und Innovation gibt es mittel- und längerfristig Bedarf nach Ansätzen, die die Systemsicherheit im Design bzw. der Architektur erhöhen (Security by design).

Dabei sollten Abhängigkeiten und Schnittstellen besser berücksichtigt und geschützt werden. Das betrifft primär die Technologie-Hersteller, die KI-Betreiber könnten hier aber dementsprechend Bedarf signalisieren und dahingehend von öffentlichen Nachfragern bzw. Fördergebern unterstützt werden. Das gilt für IKT-Komponenten im Allgemeinen, aber insbesondere für solche beim Einsatz in kritischen Infrastrukturen. Insgesamt lässt sich ein steigender Bedarf nach Expertise im Bereich IKT-Sicherheit feststellen, um die zunehmende Integration dieser Systeme in kritische Infrastrukturen besser verstehen und absichern zu können. Entsprechende Ausbildungs- und Schulungsmaßnahmen bei KI-Betreibern erscheinen sinnvoll und können im Rahmen des APCIP und den darin vorgesehenen Sicherheitsbeauftragten umgesetzt werden.

Versteckte Abhängigkeiten durch integrierte Systeme

Wie in Kapitel 4.2 gezeigt, liegt eine der zentralen Herausforderungen in der weiteren Zunahme vernetzter Systeme. Für das Zusammenwirken innerhalb und zwischen KI-Systemen sind Schnittstellen erforderlich. Diese fungieren i.d.R. als Kopplungspunkte unterschiedlicher Komponenten und Systeme und können so die Vulnerabilität erhöhen. Die Faustregel lautet „Schnittstellen erhöhen die Komplexität des Systems und machen es somit potenziell anfälliger.“ In diesem Zusammenhang spielen Netzpläne eine zentrale Rolle, um neuralgische Punkte identifizieren und dann auch schützen zu können. Darin sollten Schnittstellen explizit sichtbar gemacht werden. Zudem ist eine Unterscheidung zwischen internen (innerhalb eines Systems) und externen Schnittstellen (Anbindung externer Systeme) zweckmäßig. Dies vor allem, um „nicht-offensichtliche“ Abhängigkeiten erkennen zu können. Ein konkretes Beispiel für eine bislang zu wenig beachtete Abhängigkeit resultiert aus dem Einsatz von GPS und anderen Satellitensystemen. Wie in Abschnitt 4.2 ausgeführt, ist nach derzeitigem Wissensstand auch in Österreich erst wenig über die Integration und die Abhängigkeit kritischer Infrastrukturen von Satellitensystemen (insbesondere GPS) bekannt. GPS-Komponenten werden nicht nur in der geläufigsten Anwendung Navigation eingesetzt, sondern auch in anderen Bereichen z. B. zur Zeitsynchronisation (siehe Abschnitt 4). Das kann z. B. auch bei Umspannwerken im Stromnetz der Fall sein. Die Integration dieser (und anderer) IKT-Systeme in KI ist ein Beispiel für eine bislang eher vernachlässigte System-Abhängigkeit. Bei einem Ausfall können diese Abhängigkeiten ohne verfügbare Alternativsysteme zu massiven Schwierigkeiten führen. Insbesondere dann, wenn Systeme nicht redundant ausgeführt sind und nicht ohne weiteres umrüstbar sind (etwa auf alternative Komponenten zur Navigation oder Zeitsynchronisation). Zudem kann mangelndes Bewusstsein für diese Problematik die Umsetzung von Notfallmaßnahmen bei Ausfällen erschweren.

Im Hinblick auf weiter zunehmende Vernetzung und Automatisierung (z. B. Industrie 4.0, Smart Grids, Smart Home, autonome Fahrzeuge, Internet der Dinge etc.) ist davon auszugehen, dass solche Systeme weiter an Bedeutung gewinnen werden. Dies wird Systemabhängigkeiten weiter verschärfen. Es ist daher besonders wichtig, diese und ähnliche Abhängigkeiten, beim Schutz kritischer Infrastrukturen besser zu berücksichtigen. Auf Betreiberseite können betroffene Komponenten und deren Bedeutung für die Funktionsfähigkeit der KI-Systeme identifiziert und gegebenenfalls (bei besonders kritischen Komponenten) nach- bzw. umgerüstet werden.

Nachdem Schnittstellen neuralgische Punkte sind, die Abhängigkeiten implizieren können, ist deren explizite Berücksichtigung in systematischen Vulnerabilitätsanalysen dringend notwendig. Das gilt vor allem für jene Netzkomponenten, bei deren Ausfall mehr als ein Netzbereich betroffen wäre und die Gefahr von Kaskadeneffekten besteht. So kann die frühzeitige Erkennung bislang unerkannter Gefahren von Kaskadeneffekten unterstützt werden.

Die Durchführung von Vulnerabilitätsanalysen und gegebenenfalls notwendige Maßnahmen zur Erhöhung des Schutzniveaus kritischer Infrastrukturen sind jedoch mit ökonomischem Aufwand verbunden und können kostspielige Investitionen erfordern. Um wirtschaftlichen Restriktionen zu genügen, empfiehlt es sich, Prioritäten zu setzen. Aufgrund der Kernproblematik – System-Abhängigkeiten und Kaskadeneffekte – ist es hierbei weder nötig noch zweckmäßig, ein gesamtes System umzurüsten. Es erscheint stattdessen sinnvoll, gezielte Schwachstellenanalysen durchzuführen, um kritische Komponenten zu erkennen und diese in Folge, abhängig von Vulnerabilität und Bewältigungskapazität, besser zu schützen.

Ein weiterer Aspekt der Vernetzungs- und Abhängigkeitsproblematik sind grenzüberschreitende Probleme, wie z. B. im Falle eines Blackouts. Daher ist Krisen- und Katastrophenschutzmanagement auch aus europäischer Ebene zu beachten. Dies erfordert einen geregelten Kommunikationsfluss zwischen Akteuren und KI-Betreibern im europäischen Kontext wofür die EKI-Richtlinie einen Rahmen vorgibt. Diese Aktivitäten sollten fortgeführt werden.

Redundanz und Substituierbarkeit als zentraler Aspekt der Krisenbewältigung

Redundanz ist ein wichtiger Faktor zur Erhöhung der Bewältigungskapazität. Redundanz wird gemeinhin in der mehrfachen Vorhaltung von Systemkomponenten gesehen. Ein modernes Verständnis von Redundanz sollte jedoch auch andere Ressourcen und Aktivitäten umfassen, die auf die Aufrechterhaltung der ursprünglichen Funktionalität abzielen. Dies kann alternative technische oder auch organisatorische Maßnahmen umfassen. Aufgrund ökonomischen Drucks sind redundante Systeme jedoch oftmals nicht vorhanden. Das ist auf längere Sicht eine problematische Entwicklung, die Systemunsicherheiten erhöht. Neben technischen Redundanzen ist auch personelle Redundanz ein maßgeblicher Faktor, um Krisen rasch bewältigen zu können. Dies umfasst klar definierte Zuständigkeiten (inklusive Ausfallvertretung).

Die Bewältigungskapazität von integrierten Systemen wird auch durch Kooperation und Vernetzung von Akteuren des Krisenmanagements und den Betreibern kritischer Infrastrukturen verbessert. Dies insbesondere, wenn Funktion und Leistungserbringung einer kritischen Infrastruktur im Krisenfall durch andere Betreiber erfolgen kann (Substituierbarkeit).

Fehlende Redundanz kann auch die Folge einer Krise sein und zum Problem werden. Konkret dann, wenn Redundanzen durch einen Schadensfall außer Funktion gesetzt werden. Das heißt, die Wiederherstellung einer kritischen Infrastruktur umfasst letztlich auch Nachrüstung und Wiederaufbau von Redundanzen, was mit zusätzlichem Kosten- und Ressourcenaufwand verbunden ist. Die Wirksamkeit von Redundanzen bedingt auch Wissen über ihre Verfügbarkeit. Das erscheint zunächst selbstverständlich, im Krisenfall kann allerdings mangelnde Transparenz über existierende bzw. nicht existierende Redundanzen aller Art zusätzliche Probleme bei der Bewältigung verursachen. Die Dokumentation von technischen und organisatorischen Redundanzen in einem KI-System sowie die regelmäßige Wartung redundanter Systemkomponenten sind daher ebenso wichtig.

Österreichs Strategie zum Schutz kritischer Infrastrukturen

In Österreich werden einige Aktivitäten und Initiativen für den Schutz kritischer Infrastrukturen verfolgt, und bei den relevanten Akteuren ist entsprechendes Problembewusstsein vorhanden. Die APCIP Strategie der Österreichischen Bundesregierung orientiert sich an der Europäischen Strategie (in deren Entwicklung Österreich involviert ist). Der gewählte funktionsorientierte Ansatz, der stark auf Kooperation zwischen Behörden und öffentlichen Einrichtungen sowie (privaten) Betreibern kritischer Infrastrukturen setzt, erscheint zweckmäßig, um Sicherheit und Resilienz kritischer Infrastrukturen in Österreich zu stärken. Die APCIP hat ihren Fokus in Abgrenzung zum SKKM auf dem Themenkomplex KI. APCIP versteht sich als Ansatz, der staatliches Krisen- und Katastrophenschutzmanagement (SKKM) nicht ersetzt, sondern erweitert; etwa durch die Entwicklung umfassender Konzepte zum Risiko-, Krisen- und Sicherheitsmanagement. SKKM als gesamtstaatliches Verfahren ist mit der Koordination der Maßnahmen relevanter Akteure zwischen Bund, Ländern und Gemeinden zur Katastrophenprävention, -vorsorge, -hilfe und Maßnahmen zur Schadensbegrenzung betraut. KIs fließen hierbei eher allgemein im Bereich Prävention und Vorsorge mit ein (BKA 2015). Um eine etwaige „Verdopplungsgefahr“ zwischen APCIP und SKKM zu vermeiden, sollte auf Synergien zwischen beiden Ansätzen, sowie die Präzisierung der jeweiligen Besonderheiten und Anforderungen (etwa der jeweils unterschiedlichen Beurteilung bzw. Bedeutung von Katastrophen und Krisen) geachtet werden. Eine Analyse (und gegebenenfalls Adaptierung) des Krisen- und Katastrophenschutzmanagements in Hinblick auf APCIP, Überschneidungen, Synergien und Ressourcen erscheint daher zweckmäßig. Gerade weil Österreich einen funktionsorientierten Ansatz verfolgt, der stark auf die Eigenverantwortung der KI-Betreiber setzt, sind Standards im Sicherheitsmanagement bzw. betrieblichen Krisenmanagement besonders relevant. Hierbei sollte evaluiert werden, inwieweit Anpassungsbedarf besteht.

Akteure und Bewusstseinsbildung

In Österreich beschäftigen sich zahlreiche Akteure aus dem öffentlichen und dem privaten Sektor seit mehreren Jahren mit der Thematik. Es existieren Kooperationen in Form von Arbeitsgruppen und Vernetzungsaktivitäten. Die Themen sind teilweise sehr breit gefächert bzw. stark an Angriffs- und Abwehrszenarien im Bereich Cyber-Attacken, Terrorismus etc. orientiert. Das ist zwar ein wichtiger Teilaspekt, allerdings erscheint allgemeine Ursachenbekämpfung und Verbesserung der Systemsicherheit durch Verringerung von Vulnerabilität und Erhöhung der Bewältigungskapazität kritischer Infrastrukturen bisher zu wenig beachtet. Gerade diese Aspekte sind aber wesentlich, um Ausfall- sowie Angriffsrisiken im Vorfeld besser zu fassen und eingrenzen zu können. Trotz der hohen Bedeutung von Cyber-Angriffsszenarien sollten systemimmanente Gefahren wie Systemfehler, abhängigkeitsbedingte Stör- und Ausfälle nicht unterschätzt werden. Dazu kommt, dass es auch Akteure gibt, die bislang kaum einbezogen wurden.

Insofern besteht Bedarf nach Bewusstseinsbildung, Austausch und Kooperation unter den KI-Betreibern. Die im APCIP vorgesehenen Notfallübungen, um das Zusammenspiel der verschiedenen Akteure zu trainieren, sind wichtig, weil dadurch die Bearbeitung von Szenarien größerer Ausfälle (drei oder mehr Tage) und von Szenarien mit IKT-bedingten Ausfällen ermöglicht wird. Insbesondere sollten auch die Abhängigkeiten verstärkt berücksichtigt werden. Das heißt die Zuständigkeiten und Rollenverteilung zwischen Akteuren bzw. relevanten Institutionen sollte besser nachvollziehbar sein. So sollten Meldeketten bei Blackout klar definiert sein. Wesentlich erscheint auch die Beachtung der europäische Ebene und die Zusammenarbeit und Kommunikation zwischen den Ländern. Kritische Aspekte der Krisenkommunikation können durch mangelnde Interoperabilität und Kompatibilität z. B. durch unterschiedliche Standards der Krisenkommunikation in technischer wie auch organisatorischer Hinsicht entstehen (wie etwa mögliche Unterschiede in Behördenfunksystemen anderer Staaten). Dies kann insbesondere bei Staatsgrenzen überschreitenden Krisen problematisch sein.

Krisenkommunikation und Notfallressourcen

Um im Ernstfall handlungsfähig zu bleiben, ist aber auch die Offline-Verfügbarkeit von Netzstrukturplänen und Alarmplänen wichtig. Es ist grundsätzlich davon auszugehen, dass die Krisen-Akteure und KI-Betreiber über solche verfügen. Die Verfügbarkeit sollte aber explizit von den jeweiligen Akteuren überprüft und gegebenenfalls nachgerüstet werden. Das bezieht sich vor allem auch auf IKT-Abhängigkeiten im Bereich der Krisenkommunikation. Hier besteht Bedarf Wissen über krisensichere und weniger krisensichere Systeme zu schaffen und die Verfügbarkeit der krisensicheren zu gewährleisten. Bei einem Ausfall informationstechnischer Systeme ist mit Störungen oder Nicht-Verfügbarkeit digitaler Kommunikationsnetze zu rechnen. Um die Kommunikation weiterhin zu ermöglichen, sind Alternatien erforderlich. Als krisenrobustes Kommunikationsmittel gilt insbesondere die Funktechnologie. Es sollte daher die Verfügbarkeit und Nutzbarkeit von Funktechnologie unter allen relevanten Akteuren auch im Krisenfall sichergestellt werden, sodass die Krisenkommunikation zwischen den Akteuren möglichst friktionsfrei funktioniert. Das gilt einerseits für staatliche Einrichtungen, die im Krisenfall zuständig sind als auch für Betreiber kritischer Infrastrukturen. Hier gilt es auch, mehr Transparenz über die Verfügbarkeit staatlicher Krisenkommunikationsmitteln zwischen den Akteuren zu schaffen. Dazu zählen etwa das Fernmeldesystem des Bundesheers (FMSys-ÖBH) oder priorisierte Leitungen für die staatliche Krisenkommunikation (ehemaliges Staatsgrundnetz oder Zivilschutznetz; in der Schweiz wird etwa die Reaktivierung eines solchen angedacht). Für die bessere Koordination erscheint die Errichtung eines gesamtstaatlichen Lagezentrums, wie sie im Regierungsprogramm 2013–2018 vorgesehen ist, sinnvoll, um die nationale Bewältigungskapazität zu erhöhen.

Für Notversorgung (neben Gütern wie Lebensmittel etc.) ist die Verfügbarkeit von Ressourcen für Energie und Kommunikation essentiell. Im Notfall ist Wissen darüber essentiell, welche Geräte, Komponenten etc. nutzbar sind (z. B. Mobile Sende- und Empfangsstationen, Fahrzeuge etc.). Das betrifft auch Ressourcen zur Notstromversorgung wie Notstromaggregate, die Bedeutung von Akkus und die Dauer der Verfügbarkeit bei begrenzten Laufzeiten etc. Fahrzeuge spielen hierbei eine zentrale Rolle da diese über eine eigene Stromversorgung und unabhängigen Radioempfang verfügen. Für diese Aspekte gilt es auch im Bereich des Zivilschutzes und in der Bevölkerung mehr Bewusstsein zu schaffen. Auch bezüglich der Notversorgung der Bevölkerung gibt es einige offene Fragen. Manche Experten gehen hier von erheblichen Engpässen bei Krisen, die länger als 3 Tage dauern aus. In Summe ist Österreich in vielerlei Hinsicht gut für diverse Krisen und Katastrophen gewappnet. Ein zentraler Aspekt im Ernstfall sind naturgemäß Resilienz und die Selbstorganisationsfähigkeit aller gesellschaftlichen Akteure. Diese gilt es mit Koordination und zeitnaher Bereitstellung von Ressourcen bzw. Möglichkeiten zur Beschaffung zu fördern, sodass die Funktionsfähigkeit der Gesellschaft auch im Krisenfall weitestgehend gewährleistet ist.

Trackbacks/Pingbacks

  1. VuK-Newsletter #26 – Selbsthilfe-Basis | Vernetzung & Komplexität - […] Digitaler Stillstand: Die Verletzlichkeit der digital vernetzten Gesellschaft – Kritische Infrastr… […]
  2. Wenn Sonnenstürme die Erde treffen | Vernetzung & Komplexität - […] auch Studie Digitaler Stillstand: Die Verletzlichkeit der digital vernetzten Gesellschaft – Kritische Infrastr…. Ein solches Ereignis würde definitiv zu verheerenden…
  3. Sichere Stromversorgung und Blackout-Vorsorge in Österreich - […] ist die „Studie“ – wie bereits die Vorgängerstudie Digitaler Stillstand: Die Verletzlichkeit der digital vernetzten Gesellschaft – Kritische Infrastr……
  4. Isidor: Institutionen sind wenig auf Internet-Blackout vorbereitet - […] etwa Digitaler Stillstand: Die Verletzlichkeit der digital vernetzten Gesellschaft – Kritische Infrastr… oder Sichere Stromversorgung und Blackout-Vorsorge in Österreich…

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Logo_SgH_VuK_120tr

Herbert Saurugg
Internationaler Blackout- und
Krisenvorsorgeexperte

THEMENFELDER

Strom-Blackout
Das Energiezellensystem
Vernetzung und Komplexität
Leistungen
Blog

.

Startseite
Kontakt
Impressum und Datenschutz
SiteMap

FOLGEN SIE MIR

CC
Newsletter