Infrastruktur in Deutschland: Dezentralität schützt

D urch Deutschland führen über 33.000 Kilometer Schienen, und zwar in Betrieb befindliche. Zwischen Finnland und Deutschland verlaufen mehr als 1.000 Kilometer Starkstromkabel durch die Ostsee. Auf den Meeresböden dieser Welt liegen Seekabel mit einer Gesamtlänge von rund 1,3 Millio­nen Kilometern. Und selbst diese Schienen und Kabel sind nur ein Bruchteil dessen, was sich unter „Kritischer Infrastruktur“ zusammenfassen lässt.

Es kommen Strom- und Gasleitungen dazu, Mobilfunkanlagen und Häfen, Krankenhäuser und Verwaltungen, Wasserrohre und Klärwerke. Was bei dieser notwendigerweise ebenfalls lückenhaften Aufzählung klar wird: Es ist unmöglich, jedes Stück wichtiger und angreifbarer Infrastruktur so zu schützen, dass ein Ausfall ausgeschlossen ist. Aber das ist auch nicht notwendig. Denn es gibt ein Konzept, dessen Name mit den Anschlägen auf die Gaspipeline in der Ostsee und auf neuralgische Punkte der Bahn-Infrastruktur in Deutschland die Runde gemacht hat: Resilienz.

Resilienz ist ein Begriff, den manche aus der Psychologie kennen. Ursprünglich stammt er aber aus der Materialkunde und ist damit viel näher am Thema Infrastruktur, als es zunächst aussieht. Resilienz bedeutet, dass ein Material, nachdem es unter extreme Spannung gesetzt wurde, wieder in seine Ausgangsform zurückfindet. Im Alltag kennt man das von Gummi – etwa als Türdichtung oder Reifen. Es geht also um die Fähigkeit, Extremzustände – Krisen, Umbrüche, äußere Stressfaktoren – zu überstehen, ohne zerstört zu werden. Und genau dieser Zustand ist es, in die Infrastruktur versetzt werden muss.

Es gibt strukturelle Faktoren, die Resilienz begünstigen. Was Infrastruktur angeht, ist vor allem ein Punkt hilfreich: Dezentralität. Ein gutes Beispiel ist die Stromversorgung: Würde ein Land wie Deutschland von einem einzigen Kraftwerk versorgt und würde dieses Kraftwerk ausfallen, sei es durch Defekt, Anschlag oder Unwetter – die Folgen wären gigantisch. Basiert die Stromversorgung aber auf dezentralen Komponenten, wäre so ein Ausfall zum einen lokal und zum anderen deutlich einfacher abzufedern durch andere Erzeuger. Die Versorgung ist resilienter. Spätestens in diesem Zusammenhang wird klar, welchen Strukturvorteil die erneuerbaren Energien mitbringen, bei denen Dezentralität quasi systemimmanent ist.

Nun gibt es eine Entwicklung, die den Dezen­tra­li­täts­ge­danken leider häufig konterkariert: die Digitalisierung. Der Befund ist erst einmal überraschend. Schließlich ist das Internet das Beispiel für Dezentralität. Nicht umsonst kommt das Wort Netz sowohl in „Internet“ als auch in „World Wide Web“ vor. Und ähnlich wie bei einem Spinnennetz, das noch funktionstüchtig ist, wenn ein Faden reißt, gilt auch beim Internet: Geht ein Kabel kaputt, ist eine Verbindung gestört, werden die Datenpakete eben über eine der unzähligen Alternativen geleitet. Im Grundgedanken des Internets ist also Dezentralität ähnlich systemimmanent wie bei erneuerbaren Energien.

In der Umsetzung sieht das leider völlig anders aus. Denn politische und wirtschaftliche Interessen wirken häufig sehr erfolgreich auf Zentralisierung hin – und in der Konsequenz auf eine Schwächung der Resilienz. Ein Beispiel: Vor etwa einem Jahr fielen in Schweden praktisch sämtliche Supermarktkassen der zweitgrößten Handelskette des Landes aus. Kun­d:in­nen konnten nicht mehr bezahlen, weder bar noch mit Karte. Die Läden mussten schließen. Laut auf Cybersicherheit spezialisierten Firmen wurden bei dem Angriff mit Ransomware – Erpressersoftware – weltweit um die 1.000 Unternehmen lahmgelegt.

Das grundsätzliche Problem: Viele Unternehmen greifen auf den gleichen IT-Dienstleister, die gleiche Software oder andere Komponenten digitaler Infrastruktur zurück. Für die Unternehmen ist das meist billiger, als eigene Lösungen zu entwickeln – und bequemer. Doch billiger, bequemer und vor allem lohnender kann es damit auch für An­grei­fe­r:in­nen sein, gerade wenn sie Zugriff auf eine un­gestopfte Sicherheitslücke haben. Einmal angegriffen, sind viele Ziele getroffen. Es ist eine Zentralisierung, die in der Regel unsichtbar ist. Die aber, wenn etwas schiefgeht, die Folgen gleich mitskaliert.

Ein Bereich, der bei der Diskussion in Deutschland zwischen Pipelines, Bahn und Stromversorgung bislang vernachlässigt wurde, ist der Gesundheitssektor. Grundsätzlich ist hier etwa die Versorgung durch die niedergelassenen Ärz­t:in­nen dezentral: Fällt eine Praxis aus, sollten zumindest dringende Fälle bei anderen Ärz­t:in­nen unterkommen. Nun wird diese Dezentralität aber von mehreren zentralen Ebenen überlagert – durch die Digitalisierung.

Gefahr für die Gesundheitsversorgung

Aktuelles Beispiel: das elektronische Rezept. Perspektivisch soll das für mehr Komfort für Ärztinnen, Apotheker und Pa­ti­en­t:in­nen sorgen. Was es aber schon zu Beginn bietet: ein echtes Angriffsrisiko. Denn die elektronischen Rezepte werden zentral gespeichert. Bequem für Forscher:innen, denen der Chef der „Gematik“, der Gesellschaft, die hinter der Digitalisierung des Gesundheitssystems in Deutschland steckt, gerne Zugriff darauf geben möchte.

Aber das ist schlecht in Sachen Resilienz: Gibt es Ausfälle in der IT-Infrastruktur, was durchaus schon passiert ist, und geschieht so ein Ausfall vielleicht während einer Pandemie, in der viele Pa­ti­en­t:in­nen schnell Medikamente für die Behandlung benötigen – die Folgen wären drastisch. Resilienz wurde hier offensichtlich von Anfang an nur unzureichend berücksichtigt.

Im Gesundheitssystem, wo die Digitalisierung noch verhältnismäßig am Anfang steht, ist es daher wichtig, schnell umzudenken – und umzuplanen. In anderen Bereichen wird angesichts der neu bewerteten Gefahrensituation nun mühevoll umgesteuert werden müssen. Denn es ist deutlich schwieriger, ein nicht resilientes System im Nachhinein auf Resilienz zu trimmen, als das Thema von vornherein mitzudenken.