Infrastruktur in Deutschland: Dezentralität schützt
Die Infrastruktur muss resilienter gegen Angriffe werden. Durch die Digitalisierung sind die Gefahren und Schwachpunkte aber noch größer geworden.
Der Dezentralitätsgedanke wird leider häufig durch die Digitalisierung konterkariert Foto: View Stock/imago
Durch Deutschland führen über 33.000 Kilometer Schienen, und zwar in Betrieb befindliche. Zwischen Finnland und Deutschland verlaufen mehr als 1.000 Kilometer Starkstromkabel durch die Ostsee. Auf den Meeresböden dieser Welt liegen Seekabel mit einer Gesamtlänge von rund 1,3 Millionen Kilometern. Und selbst diese Schienen und Kabel sind nur ein Bruchteil dessen, was sich unter „Kritischer Infrastruktur“ zusammenfassen lässt.
Es kommen Strom- und Gasleitungen dazu, Mobilfunkanlagen und Häfen, Krankenhäuser und Verwaltungen, Wasserrohre und Klärwerke. Was bei dieser notwendigerweise ebenfalls lückenhaften Aufzählung klar wird: Es ist unmöglich, jedes Stück wichtiger und angreifbarer Infrastruktur so zu schützen, dass ein Ausfall ausgeschlossen ist. Aber das ist auch nicht notwendig. Denn es gibt ein Konzept, dessen Name mit den Anschlägen auf die Gaspipeline in der Ostsee und auf neuralgische Punkte der Bahn-Infrastruktur in Deutschland die Runde gemacht hat: Resilienz.
Resilienz ist ein Begriff, den manche aus der Psychologie kennen. Ursprünglich stammt er aber aus der Materialkunde und ist damit viel näher am Thema Infrastruktur, als es zunächst aussieht. Resilienz bedeutet, dass ein Material, nachdem es unter extreme Spannung gesetzt wurde, wieder in seine Ausgangsform zurückfindet. Im Alltag kennt man das von Gummi – etwa als Türdichtung oder Reifen. Es geht also um die Fähigkeit, Extremzustände – Krisen, Umbrüche, äußere Stressfaktoren – zu überstehen, ohne zerstört zu werden. Und genau dieser Zustand ist es, in die Infrastruktur versetzt werden muss.
Es gibt strukturelle Faktoren, die Resilienz begünstigen. Was Infrastruktur angeht, ist vor allem ein Punkt hilfreich: Dezentralität. Ein gutes Beispiel ist die Stromversorgung: Würde ein Land wie Deutschland von einem einzigen Kraftwerk versorgt und würde dieses Kraftwerk ausfallen, sei es durch Defekt, Anschlag oder Unwetter – die Folgen wären gigantisch. Basiert die Stromversorgung aber auf dezentralen Komponenten, wäre so ein Ausfall zum einen lokal und zum anderen deutlich einfacher abzufedern durch andere Erzeuger. Die Versorgung ist resilienter. Spätestens in diesem Zusammenhang wird klar, welchen Strukturvorteil die erneuerbaren Energien mitbringen, bei denen Dezentralität quasi systemimmanent ist.
Nun gibt es eine Entwicklung, die den Dezentralitätsgedanken leider häufig konterkariert: die Digitalisierung. Der Befund ist erst einmal überraschend. Schließlich ist das Internet das Beispiel für Dezentralität. Nicht umsonst kommt das Wort Netz sowohl in „Internet“ als auch in „World Wide Web“ vor. Und ähnlich wie bei einem Spinnennetz, das noch funktionstüchtig ist, wenn ein Faden reißt, gilt auch beim Internet: Geht ein Kabel kaputt, ist eine Verbindung gestört, werden die Datenpakete eben über eine der unzähligen Alternativen geleitet. Im Grundgedanken des Internets ist also Dezentralität ähnlich systemimmanent wie bei erneuerbaren Energien.
Politische und wirtschaftliche Interessen wirken häufig sehr erfolgreich auf mehr Zentralisierung hin
In der Umsetzung sieht das leider völlig anders aus. Denn politische und wirtschaftliche Interessen wirken häufig sehr erfolgreich auf Zentralisierung hin – und in der Konsequenz auf eine Schwächung der Resilienz. Ein Beispiel: Vor etwa einem Jahr fielen in Schweden praktisch sämtliche Supermarktkassen der zweitgrößten Handelskette des Landes aus. Kund:innen konnten nicht mehr bezahlen, weder bar noch mit Karte. Die Läden mussten schließen. Laut auf Cybersicherheit spezialisierten Firmen wurden bei dem Angriff mit Ransomware – Erpressersoftware – weltweit um die 1.000 Unternehmen lahmgelegt.
Das grundsätzliche Problem: Viele Unternehmen greifen auf den gleichen IT-Dienstleister, die gleiche Software oder andere Komponenten digitaler Infrastruktur zurück. Für die Unternehmen ist das meist billiger, als eigene Lösungen zu entwickeln – und bequemer. Doch billiger, bequemer und vor allem lohnender kann es damit auch für Angreifer:innen sein, gerade wenn sie Zugriff auf eine ungestopfte Sicherheitslücke haben. Einmal angegriffen, sind viele Ziele getroffen. Es ist eine Zentralisierung, die in der Regel unsichtbar ist. Die aber, wenn etwas schiefgeht, die Folgen gleich mitskaliert.
Ein Bereich, der bei der Diskussion in Deutschland zwischen Pipelines, Bahn und Stromversorgung bislang vernachlässigt wurde, ist der Gesundheitssektor. Grundsätzlich ist hier etwa die Versorgung durch die niedergelassenen Ärzt:innen dezentral: Fällt eine Praxis aus, sollten zumindest dringende Fälle bei anderen Ärzt:innen unterkommen. Nun wird diese Dezentralität aber von mehreren zentralen Ebenen überlagert – durch die Digitalisierung.
Gefahr für die Gesundheitsversorgung
Aktuelles Beispiel: das elektronische Rezept. Perspektivisch soll das für mehr Komfort für Ärztinnen, Apotheker und Patient:innen sorgen. Was es aber schon zu Beginn bietet: ein echtes Angriffsrisiko. Denn die elektronischen Rezepte werden zentral gespeichert. Bequem für Forscher:innen, denen der Chef der „Gematik“, der Gesellschaft, die hinter der Digitalisierung des Gesundheitssystems in Deutschland steckt, gerne Zugriff darauf geben möchte.
Aber das ist schlecht in Sachen Resilienz: Gibt es Ausfälle in der IT-Infrastruktur, was durchaus schon passiert ist, und geschieht so ein Ausfall vielleicht während einer Pandemie, in der viele Patient:innen schnell Medikamente für die Behandlung benötigen – die Folgen wären drastisch. Resilienz wurde hier offensichtlich von Anfang an nur unzureichend berücksichtigt.
Im Gesundheitssystem, wo die Digitalisierung noch verhältnismäßig am Anfang steht, ist es daher wichtig, schnell umzudenken – und umzuplanen. In anderen Bereichen wird angesichts der neu bewerteten Gefahrensituation nun mühevoll umgesteuert werden müssen. Denn es ist deutlich schwieriger, ein nicht resilientes System im Nachhinein auf Resilienz zu trimmen, als das Thema von vornherein mitzudenken.
Alle Artikel zum Thema
Infrastruktur in Deutschland: Dezentralität schützt
Die Infrastruktur muss resilienter gegen Angriffe werden. Durch die Digitalisierung sind die Gefahren und Schwachpunkte aber noch größer geworden.
Der Dezentralitätsgedanke wird leider häufig durch die Digitalisierung konterkariert Foto: View Stock/imago
Durch Deutschland führen über 33.000 Kilometer Schienen, und zwar in Betrieb befindliche. Zwischen Finnland und Deutschland verlaufen mehr als 1.000 Kilometer Starkstromkabel durch die Ostsee. Auf den Meeresböden dieser Welt liegen Seekabel mit einer Gesamtlänge von rund 1,3 Millionen Kilometern. Und selbst diese Schienen und Kabel sind nur ein Bruchteil dessen, was sich unter „Kritischer Infrastruktur“ zusammenfassen lässt.
Es kommen Strom- und Gasleitungen dazu, Mobilfunkanlagen und Häfen, Krankenhäuser und Verwaltungen, Wasserrohre und Klärwerke. Was bei dieser notwendigerweise ebenfalls lückenhaften Aufzählung klar wird: Es ist unmöglich, jedes Stück wichtiger und angreifbarer Infrastruktur so zu schützen, dass ein Ausfall ausgeschlossen ist. Aber das ist auch nicht notwendig. Denn es gibt ein Konzept, dessen Name mit den Anschlägen auf die Gaspipeline in der Ostsee und auf neuralgische Punkte der Bahn-Infrastruktur in Deutschland die Runde gemacht hat: Resilienz.
Resilienz ist ein Begriff, den manche aus der Psychologie kennen. Ursprünglich stammt er aber aus der Materialkunde und ist damit viel näher am Thema Infrastruktur, als es zunächst aussieht. Resilienz bedeutet, dass ein Material, nachdem es unter extreme Spannung gesetzt wurde, wieder in seine Ausgangsform zurückfindet. Im Alltag kennt man das von Gummi – etwa als Türdichtung oder Reifen. Es geht also um die Fähigkeit, Extremzustände – Krisen, Umbrüche, äußere Stressfaktoren – zu überstehen, ohne zerstört zu werden. Und genau dieser Zustand ist es, in die Infrastruktur versetzt werden muss.
Es gibt strukturelle Faktoren, die Resilienz begünstigen. Was Infrastruktur angeht, ist vor allem ein Punkt hilfreich: Dezentralität. Ein gutes Beispiel ist die Stromversorgung: Würde ein Land wie Deutschland von einem einzigen Kraftwerk versorgt und würde dieses Kraftwerk ausfallen, sei es durch Defekt, Anschlag oder Unwetter – die Folgen wären gigantisch. Basiert die Stromversorgung aber auf dezentralen Komponenten, wäre so ein Ausfall zum einen lokal und zum anderen deutlich einfacher abzufedern durch andere Erzeuger. Die Versorgung ist resilienter. Spätestens in diesem Zusammenhang wird klar, welchen Strukturvorteil die erneuerbaren Energien mitbringen, bei denen Dezentralität quasi systemimmanent ist.
Nun gibt es eine Entwicklung, die den Dezentralitätsgedanken leider häufig konterkariert: die Digitalisierung. Der Befund ist erst einmal überraschend. Schließlich ist das Internet das Beispiel für Dezentralität. Nicht umsonst kommt das Wort Netz sowohl in „Internet“ als auch in „World Wide Web“ vor. Und ähnlich wie bei einem Spinnennetz, das noch funktionstüchtig ist, wenn ein Faden reißt, gilt auch beim Internet: Geht ein Kabel kaputt, ist eine Verbindung gestört, werden die Datenpakete eben über eine der unzähligen Alternativen geleitet. Im Grundgedanken des Internets ist also Dezentralität ähnlich systemimmanent wie bei erneuerbaren Energien.
Politische und wirtschaftliche Interessen wirken häufig sehr erfolgreich auf mehr Zentralisierung hin
In der Umsetzung sieht das leider völlig anders aus. Denn politische und wirtschaftliche Interessen wirken häufig sehr erfolgreich auf Zentralisierung hin – und in der Konsequenz auf eine Schwächung der Resilienz. Ein Beispiel: Vor etwa einem Jahr fielen in Schweden praktisch sämtliche Supermarktkassen der zweitgrößten Handelskette des Landes aus. Kund:innen konnten nicht mehr bezahlen, weder bar noch mit Karte. Die Läden mussten schließen. Laut auf Cybersicherheit spezialisierten Firmen wurden bei dem Angriff mit Ransomware – Erpressersoftware – weltweit um die 1.000 Unternehmen lahmgelegt.
Das grundsätzliche Problem: Viele Unternehmen greifen auf den gleichen IT-Dienstleister, die gleiche Software oder andere Komponenten digitaler Infrastruktur zurück. Für die Unternehmen ist das meist billiger, als eigene Lösungen zu entwickeln – und bequemer. Doch billiger, bequemer und vor allem lohnender kann es damit auch für Angreifer:innen sein, gerade wenn sie Zugriff auf eine ungestopfte Sicherheitslücke haben. Einmal angegriffen, sind viele Ziele getroffen. Es ist eine Zentralisierung, die in der Regel unsichtbar ist. Die aber, wenn etwas schiefgeht, die Folgen gleich mitskaliert.
Ein Bereich, der bei der Diskussion in Deutschland zwischen Pipelines, Bahn und Stromversorgung bislang vernachlässigt wurde, ist der Gesundheitssektor. Grundsätzlich ist hier etwa die Versorgung durch die niedergelassenen Ärzt:innen dezentral: Fällt eine Praxis aus, sollten zumindest dringende Fälle bei anderen Ärzt:innen unterkommen. Nun wird diese Dezentralität aber von mehreren zentralen Ebenen überlagert – durch die Digitalisierung.
Gefahr für die Gesundheitsversorgung
Aktuelles Beispiel: das elektronische Rezept. Perspektivisch soll das für mehr Komfort für Ärztinnen, Apotheker und Patient:innen sorgen. Was es aber schon zu Beginn bietet: ein echtes Angriffsrisiko. Denn die elektronischen Rezepte werden zentral gespeichert. Bequem für Forscher:innen, denen der Chef der „Gematik“, der Gesellschaft, die hinter der Digitalisierung des Gesundheitssystems in Deutschland steckt, gerne Zugriff darauf geben möchte.
Aber das ist schlecht in Sachen Resilienz: Gibt es Ausfälle in der IT-Infrastruktur, was durchaus schon passiert ist, und geschieht so ein Ausfall vielleicht während einer Pandemie, in der viele Patient:innen schnell Medikamente für die Behandlung benötigen – die Folgen wären drastisch. Resilienz wurde hier offensichtlich von Anfang an nur unzureichend berücksichtigt.
Im Gesundheitssystem, wo die Digitalisierung noch verhältnismäßig am Anfang steht, ist es daher wichtig, schnell umzudenken – und umzuplanen. In anderen Bereichen wird angesichts der neu bewerteten Gefahrensituation nun mühevoll umgesteuert werden müssen. Denn es ist deutlich schwieriger, ein nicht resilientes System im Nachhinein auf Resilienz zu trimmen, als das Thema von vornherein mitzudenken.
Fehler auf taz.de entdeckt?
Wir freuen uns über eine Mail an fehlerhinweis@taz.de!
Inhaltliches Feedback?
Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.
Kommentar von
Svenja Bergt
Redakteurin für Wirtschaft und Umwelt
schreibt über vernetzte Welten, digitale Wirtschaft und lange Wörter (Datenschutz-Grundverordnung, Plattformökonomie, Nutzungsbedingungen). Manchmal und wenn es die Saison zulässt, auch über alte Apfelsorten. Bevor sie zur taz kam, hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet. Autorin der Kolumne Digitalozän.
Themen
mehr von
Svenja Bergt