United Security Providers: Plan B Thinking Risikodenken in Zeiten der Digitalisierung
Zürich – Geben wir es ruhig zu, in unserem täglichen Denken spielen Risiken meist eine untergeordnete Rolle – sie passieren meist und hoffentlich nicht oder nur den Anderen. Wenn es passiert, hätte man sowieso nichts vorab tun können, und darüber nachzudenken, zieht das Unglück erst an. Wir sind Meister dieser mentalen Selbstberuhigung.
Von Prof. Dr. Hannes Lubich*
Erstaunlicherweise führt diese Strategie der Risikoignoranz zu bemerkenswerten, wenn auch nicht für die Vorhersage der Zukunft brauchbaren, Teilerfolgen: Jedes Jahr ohne Hausratversicherung, aber auch ohne Schaden, spart die jährliche Prämie, auch wenn diese nicht unbedingt zur Deckung dennoch immer möglicher Schäden zurückgelegt wird. In infrastrukturell, gesellschaftlich, politisch und finanziell gut gesicherten Verhältnissen, wie sie u.a. in der Schweiz herrschen, ist dieses Denken im privaten Umfeld häufig anzutreffen. Das Internet läuft fast immer, Strom- und sonstige Versorgungsausfälle sind selten. Seit im Juni 2005 die zuverlässige Schweizer Bundesbahn einmal das Unglück hatte, schweizweit nicht zu verkehren, hat zwar jeder, der damals mit öffentlichen Verkehrsmitteln unterwegs war, eine inzwischen lustige Geschichte zu erzählen, wie man nach Hause kam. Einen wirklich funktionierenden «Plan B», sollte so etwas noch einmal geschehen, fehlt jedoch nach wie vor den meisten.
Private: Tiefe Risikosensibilität
Mit einer fast immer fehlerfrei oder fehlerarm funktionierenden Infrastruktur ist es nicht verwunderlich, dass Ausfälle inzwischen mit grossem Unverständnis begegnet wird und in sozialen Medien ausführlich und aufgeregt darüber diskutiert werden. Wie können Internet-Dienste wie Netflix ausgerechnet an einem Wochenende die Unverschämtheit besitzen, auszufallen? Die mehr als 99 % Verfügbarkeit über eine notabene nicht garantierte, weil nicht für Dauerverfügbarkeit gebaute Internet-Infrastruktur sind mangels korrektem Management der eigenen Erwartungshaltung dann rasch einmal vergessen. Wenige beschäftigen sich zumindest mental einmal mit der Frage, wie denn das eigene Pflichtlager ausgestaltet sein soll, wenn wichtige Infrastrukturen wirklich einmal für längere Zeit ausfallen sollten. Selbst das vom Schweizer Fernsehen SRF zu Beginn des Jahres 2017 produzierte Special «Blackout» hat in diesem Sinne erstaunlich wenig nachhaltige Resonanz gefunden.
Hohe Erwartungen an Infrastruktur- und Dienstleistungsanbieter
Im Firmenumfeld findet diesbezüglich glücklicherweise ein Umdenken statt – natürlich wird auch hier nicht gerne mehr Geld als nötig für hoffentlich nur beübte und nie im Ernstfall benötigte Notfallpläne und Vorkehrungen ausgegeben. Dennoch erfordern Recht und Regulation über Grundkonzepte wie die Sorgfaltspflicht und die ordnungsgemässe und nicht delegierbare «Corporate Governance» inklusive der Verantwortung für Vorkehrungen zur Aufrechterhaltung der Firmentätigkeit bei physischen und logischen (d.h. u.a. IT-induzierten) Störungen den Aufbau, die Beübung und Aktualisierung/Verbesserung entsprechender Konzepte und Pläne. Wehe der Firma, die künftig verärgerten Kunden nach einem nicht durch entsprechende Massnahmen abgefederten Vorfall erklären muss, dass man aus Kostengründen, fehlendem Know-how oder reiner Nachlässigkeit keine entsprechenden Vorkehrungen getroffen hatte. Die geharnischten Reaktionen auf die durch „Denial of Service“-Angriffe auf Web-Shops in der Schweiz im letzten Jahr geben einen Vorgeschmack – einerseits auf zu erwartende Störungen des Normalbetriebs, andererseits auf das nicht (mehr) vorhandene Verständnis der Kundschaft und Öffentlichkeit für Ausfälle einer als inzwischen als selbstverständlich angenommenen Infrastruktur- und Dienstleistungspalette.
Diskrepanz der Erwartungshaltungen
Es scheint klar, dass das Problem der Diskrepanz zwischen der sehr implizierten Erwartungshaltung zu einer Grundversorgung mit ausreichender Service-Verfügbarkeit und Qualität einerseits, und der durch die stetig wachsende Bedrohungslage bedingten Aufwände für die Aufrechterhaltung dieser Dienste im Normal- wie im Krisenfall andererseits sich nicht von selbst lösen wird. Die Bedrohungslage wird sich nicht in Luft auflösen – im Gegenteil, der Report «The Global Risks Report 2016, 11th Edition» des World Economic Forum listet gerade für die infrastrukturell sichere, aber auch für Angreifer attraktive Schweiz Cyber-Attacken und ggf. dadurch bedingte Ausfälle kritischer Versorgungsinfrastrukturen als eine der «top five» Risiken auf. Auch wird ohne weitere aufklärende Massnahmen seitens der Dienstanbieter wie auch der zuständigen Behörden im Bereich der wirtschaftlichen Landesversorgung und des Bevölkerungsschutzes kein Umdenken seitens der von Ausfällen potentiell betroffenen Dienstnutzer stattfinden und so die sich immer weiter öffnende Schere zwischen Realität und Erwartungshaltung wieder ein wenig schliessen.
Plan «B» für das Unverzichtbare
Ist es nun also sinnvoll, in die Réduit-Mentalität des kalten Krieges zurückzukehren und zu Hause Notvorräte für wochenlange Ausfälle der Versorgungsinfrastrukturen anzulegen? Nun, zumindest teilweise lautet die wenig überraschende Antwort hier: «ja». Es ist im Privatbereich sicher nicht falsch, den täglichen oder auf ein bis zwei Wochen hochgerechneten Bedarf an physischen oder logischen (also meist IT-anhängigen) Versorgungsgütern und -leistungen einmal kritisch darauf zu überprüfen, wie «unverzichtbar» die entsprechenden Elemente wirklich sind und wie mit einer Nichtverfügbarkeit umgegangen werden soll. Sind die Güter oder Leistungen wirklich unverzichtbar, muss ein entsprechender Vorrat oder (vor allem im Fall virtueller Güter) ein brauchbarer Ersatzdienst bereitgestellt werden, sofern diese vorgehaltene Redundanz finanziell und bezüglich Aufwand tragbar erscheint. Sind Güter verzichtbar oder die Ersatzbereitstellung zu aufwändig, muss der Verzicht akzeptiert werden. Ist dies für Versorgungsgüter des täglichen Bedarfs wie Nahrung, Wasser, Energie usw. noch intuitiv begreifbar, muss das gleiche Denken nun für virtuelle Güter und Leistungen wie die Verfügbarkeit der (inzwischen mehrheitlich IP-basierten) Telefonie, der Mobiltelefonie oder des Internet mit seiner grossen Menge von Informations-, Kommunikations- und Unterhaltungsangeboten Einzug halten. Es muss also beurteilt werden, wie kritisch entsprechende längerfristige Ausfälle wirklich sind, und welche Ersatzdienste bis hin zum guten alten Buch oder Gesellschaftsspiel an einem Internet- und fernseh-freien Abend oder Wochenende vorhanden und akzeptabel sind. Der Autor jedenfalls ist froh um seinen physischen und virtuellen «Notvorrat» und hofft (wie der Rest der Bevölkerung sicher auch), diesen Vorrat selten bis nie im Ernstfall antasten zu müssen. Zusätzlich entscheidend und beruhigend ist jedoch auch die (bewusst zu erreichende) Erkenntnis, dass Ausfälle der IT-Infrastrukturen im privaten Bereich doch nicht so dramatisch sind, wie zunächst gefühlt. Den Anbietern wie den Behörden kommt im Sinne einer «public-private partnership» weiterhin die grosse Verantwortung zu, unsere für die Versorgung kritischen Infrastrukturen besonders gegen die zu erwartenden Instabilitäten und Angriffe zu härten, mögliche Ausfallszenarien zu identifizieren und durch regelmässig beübte und aktualisierte Gegenmassnahmen sowohl die Eintretenswahrscheinlichkeit als auch das zu erwartende Schadensausmass auf einem akzeptabel niedrigen Niveau zu halten. Zwar fördert dies ggf. wieder das eingangs beschriebene «das kann hier nicht passieren»-Denken, dennoch ist eine physisch und logisch versorgungssichere Schweiz trotz zusätzlicher Aufwände der instabilen Versorgunglage anderer Geografien jederzeit vorzuziehen. (USP/mc/hfu)
*Prof. Dr. Hannes Lubich
ist Mitglied des Verwaltungsrats von United Security Providers und Professor für Informatik im Institut für Mobile und Verteilte Systeme an der Hochschule für Technik an der Fachhochschule Nordwestschweiz FHNW. Frühere Stationen waren EMEA Head of Security Practice der British Telecom, Principal Consultant und IT-Security Strategist bei Computer Associates (CA) Inc. und CISO der Julius Bär Gruppe. Mit seinem beruflichen und akademischen Werdegang und seiner derzeitigen Tätigkeit in der Lehre sowie in der angewandten Forschung und Entwicklung an der FHNW gilt Prof. Dr. Hannes Lubich als Pionier und Koryphäe der IT-Sicherheit.
Über United Security Providers
United Security Providers schliesst Lücken in der Netzwerk- und Applikationssicherheit. Mit über 80 Spezialisten an den Standorten Bern, Zürich und London und einem breiten internationalen Vertriebs- und Partnernetzwerk ist United Security Providers einer der leistungsfähigste IT-Security-Anbieter Europas. Seit 1994 vertraut eine wachsende Anzahl Kunden auf die Zusammenarbeit mit United Security Providers. Zahlreich vertreten sind Finanzdienstleister, Spitäler, Rechenzentren, Verwaltungen sowie multinationale Industrie-, Energie- und Logistikunternehmen. www.united-security-providers.com