Sicherheit von IT-Infrastrukturen als komplexe, nicht aber notwendig komplizierte, Aufgabe

Jede Gesellschaft baut auf möglichst fehlerarme und manipulationsfreie Funktion ihrer Infrastrukturen. Moderne Gemeinwesen sind mit zunehmender Vernetzung in zunehmendem Maße abhängig von der Funktion insbesondere kritischer Informationsinfrastrukturen. In der Informations- und Wissensgesellschaft sind sie Voraussetzung dafür, Daten, Information und Wissen jeglicher Art auszutauschen. Störungen oder ihr Ausfall können erhebliche Auswirkungen haben.^[1] Informations- und Kommunikationstechnologien können insoweit als die Nervenbahnen der Gesellschaft bezeichnet werden, gleichzeitig sind sie aber auch ihre Achillesverse. Das “Internet”, bestehend aus seinen vielen durch Peering verbundenen Netzwerken, hat enorme Bedeutung für den Einzelnen, die Gesellschaft, die Wertschöpfungsketten und die öffentliche Aufgabenerfüllung.

IT-Sicherheit unter Bedingungen der Vernetzung und des Internets ist Sicherheit unter den Bedingungen komplexer Systeme. Ein System kann zunächst beschrieben werden als Gebilde aus Elementen (Variablen), das mit anderen Systemen interagiert, etwa durch Vernetzung. Die Elemente stehen in bestimmten Beziehungen, Wechselwirkungen und Abhängigkeiten zueinander. Mit zunehmendem Grad der Vernetzung der Einzelelemente und der damit einhergehenden Dynamik steigt die Komplexität. Für Beobachter sind komplexe Systeme mit ihren Ursachen- und Wirkungsketten nicht immer überschaubar und transparent.^[2]

Die aktuellen Basisbedingungen von IT-Sicherheitsmodelllen sind Bedingungen komplexer Systeme.^[3] Ebenso wie bei der Entwicklung des Internets war auch bei kritischen Informationsinfrastrukturen die Sicherheit kein wesentlicher Parameter beim Design.^[4] Angreifer von außen (security als informationstechnische Sicherheit) waren im Gefahrenszenario kaum präsent. Vielmehr war man primär auf Stabilität des Betriebsablaufs konzentriert (safety als funktionelle Sicherheit). Die Situation ist heute eine andere. Computer sind ubiquitär, die Abhängigkeiten von IT machen unberechenbare Kaskadeneffekte wahrscheinlicher, Angreifer sind stark, innovativ und arbeiten höchst professionell und mit leichter bedienbaren Werkzeugen, vernetzte Systeme sind kaum isolierbar, IT-Sicherheitsumgebungen sind durch manipulierte Hardware und Software, technische Normen und Standards kompromittierbar und damit inhärent unsicher. Verschlüsselungen sind zu häufig und zu schnell mit Brute-Force-Methode zu knacken. Die Liste ließe sich beliebig erweitern. Wesentlich ist, dass die Anzahl der Sicherheitslücken in allen Informationstechnologien und Anwendungen von Experten unisono als kritisch eingestuft wird und diese zum Teil kaum auffindbar sind.

Mit der ‘intelligenten Vernetzung’, d.h. mit dem Einsatz fortentwickelter Informations- und Kommunikationstechnologien in weiteren Lebensbereichen zur Optimierung von Prozessen und Steigerung der Produktivität, wird die Komplexität tendenziell zunehmen. So werden bspw. mit Sensoren und Aktuatoren ausgestatte cyber-physische Systeme^[5] unter den Schlagwörtern wie  ‘Internet of Things’, ‘Industrie 4.0’, ‘Smart City’, ‘Smart Grids’ und ‘E-Health’ diskutiert. Die Trennung von physikalischer und virtuell Kommunikation ist nicht mehr nur als solche zwischen Menschen, sondern auch zwischen und unter Maschinen (machine to machine) zu denken.

Die Merkmale vernetzter Gesellschaften und komplexer Systeme wurden und werden in vielen Bereichen intensiv erforscht. Historisch betrachtet ist die Kybernetik, von der sich verbreitete Internet-Präfixe wie in Cyber-Sicherheit ableiten, die Grundlegung der Systemtheorien und  diejenige fächerübergreifende Disziplin, die sich mit der (Selbst-)Organisation, Regelung und Kontrolle von komplexen Systemen beschäftigt. Nicht zufällig erlebt einer der Gründerväter dieser Disziplin, Norbert Wiener, eine bemerkenswerte Renaissance.^[6] Ein wesentlicher Begriff der Kybernetik ist die Rückkopplung (feedback), d.h. ein Prozess, in dem eingegebene Informationen rückwirken und Einfluss auf ein bestimmtes Netzwerk haben.

Das Rechtssystem muss sich ebenfalls die auf Bedingungen der Netzwerkgesellschaft einstellen.^[7] Der aktuelle europäische Richtlinienvorschlag zur Erhöhung der Netz- und Informationssicherheit (NIS-RL-E)^[8] und das geplante IT-Sicherheitsgesetz (IT-SiG-E)^[9] sehen jeweils in ihren Entwürfen einen Mechanismus vor, der ähnlich einem feedback loop verstanden werden kann. Eingeführt werden sollen sog. Meldepflichten (incident notification) (Art. 14 Abs. 2 NIS-RL-E bzw. § 8b Abs. 4 IT-SiG-E). Die Betreiber kritischer Infrastrukturen sollen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Stelle schwerwiegende Beeinträchtigungen ihrer informationstechnischen Systemen und Komponenten oder Prozesse insbesondere durch Sicherheitslücken, Schadprogramme und erfolgte, versuchte oder erfolgreich abgewehrte Abgriffe auf die Sicherheit melden.

Einen solchen Informationsmechanismus einzuführen ist insofern konsequent, als die demokratisch legitimierten Akteure im Bereich der IT-Sicherheit nur auf Grundlage eines validen Lagebildes Entscheidungen treffen und danach handeln sollten.^[10] Die Meldepflichten stellen Informationen und Wissen dar, die es zumindest ermöglichen, einen verbesserten Überblick über den Status der komplexen Systeme zu erhalten. Da sowohl öffentliche als auch (mehrheitlich) private Akteure auf nationaler, europäischer und internationaler Ebene an der Gewährleistung von IT-Sicherheit beteiligt sind, wird es in Zukunft stärker auf einen optimalen Informationsfluss zwischen allen Beteiligten und Ebenen aus den Bereichen Recht, Technik und Politik ankommen. Das Wissen über die Sicherheitslücken kann dazu dienen, Anreize für den Bau sicherer Systeme zu schaffen.

Sodann läge die Herausforderung darin, wenn man im obigen Bild bleiben möchte, in der Architektur eines demokratischen Rückkopplungsmodells. Gestaltete man die Prozesse so, dass man das gesammelte Wissen auf eine breite Basis^[11] stellt und schüfe man Transparenz nach einem Prinzip abgestufter Öffentlichkeit, ließe sich mit Komplexität in sicherheitskritischen Systemen umgehen, Sicherheit durch öffentliche Diskussion, Code-Review und öffentliche Fehlerdatenbanken nachprüfbar machen, offene Standards entwickeln und damit IT-Sicherheit demokratischer gestalten.^[12]

^1. exemplarisch zur IKT-Infrastrukur und Abhängigkeit von der Meta-Infrastruktur Strom vgl. Bericht des Ausschusses für Bildung, Forschung und Technikfolgenabschätzung: Gefährdungen und Verletzungen morderner Gesellschaften – am Beispiel eines großräumigen und langandauernden Ausfall der Stromversorgung, 2011, Drucksache 17/5672; abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/056/1705672.pdf.
^2. vgl. Niklas Luhmann, Die Gesellschaft der Gesellschaft, 1998, S. 144: “Ohne Beobachter gibt es keine Komplexität”.
^3. dazu Sandro Gaycken, Cybersicherheit in der Wissensgesellschaft: Zum Zusammenhang epistemischer und physischer Unsicherheit, in: Christopher Daase, Stefan Engert, Julian Junk (Hrsg.), Verunsicherte Gesellschaft – Überforderter Staat – Zum Wandel der Sicherheitskultur, S. 109 ff.
^4. prägnant Marjory S. Blumenthal / David D. Clark, Rethinking the Design of the Internet: the End-to-end Arguments vs. the Brave New World,” ACM Transactions on Internet Technology, Vol. 1, No. 1 (Aug. 2001), S. 70 ff. (93), die das Modell des frühen Internets beschreiben als “a group of mutually trusting users attached to a transparent network”.
^5. https://ec.europa.eu/digital-agenda/en/cyber-physical-systems.
^6. http://www.theatlantic.com/technology/archive/2014/06/norbert-wiener-the-eccentric-genius-whose-time-may-have-finally-come-again/372607/; vgl. im Bereich der Governance-Forschung: Guy Peters, Information and Governing: Cybernetic Models of Governance, in: Oxford Handbook of Governance, S. 113 ff.
^7. dazu Karl-Heinz Ladeur, Das Recht der Netzwerkgesellschaft, hrsg. von Thomas Vesting und Ino Augsberg, 2013.
^8. http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security.
^9. http://www.bmi.bund.de/DE/Nachrichten/Dossiers/ITSicherheit/itsicherheit_node.html.
^10. vgl. in diesem Sinne etwas das Bundesverfassungsgericht im Volkzählungsurteil zur Erhebung und Verarbeitung von Daten zu statistischen Zwecken, BVerfGE 65, 1 (47): “Die Statistik hat erhebliche Bedeutung für eine staatliche Politik, die den Prinzipien und Richtlinien des Grundgesetzes verpflichtet ist. Wenn die ökonomische und soziale Entwicklung nicht als unabänderliches Schicksal hingenommen, sondern als permanente Aufgabe verstanden werden soll, bedarf es einer umfassenden, kontinuierlichen sowie laufend aktualisierten Information über die wirtschaftlichen, ökologischen und sozialen Zusammenhänge. Erst die Kenntnis der relevanten Daten und die Möglichkeit, die durch sie vermittelten Informationen mit Hilfe der Chancen, die eine automatische Datenverarbeitung bietet, für die Statistik zu nutzen, schafft die für eine am Sozialstaatsprinzip orientierte staatliche Politik unentbehrliche Handlungsgrundlage”.
^11. zur Tendenz vgl. die Vorhaben der Europäischen Kommission im Rahmen der sog. Public Sector Information-Richtlinie (PSI-Richtlinie): http://ec.europa.eu/digital-agenda/en/european-legislation-reuse-public-sector-information; ferner zur Idee der “Government As a Platform” Tim O’Reilly, in: Daniel Lathrop / Laurel Ruma (Hrsg.), Open Government – Collaboration, Transparency, and Participation in Practice, 2. Kapitel; abrufbar unter: http://chimera.labs.oreilly.com/books/1234000000774/index.html.
^12. instruktiv dazu Zehnter Zwischenbericht der Enquete-Kommission “Internet und digitale Gesellschaft” – Interoperabilität, Standards, Freie Software, BT-Drs. 17/12495, insbesondere S. 44 f.; abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/124/1712495.pdf.
^Bild flickr, Armando G Alonso, Complexity of Railways in Paris

Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institutes für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de.