Zuverlässig funktionierende Infrastrukturen wie Versorgungsketten, Verkehrswege und Kommunikationssysteme sind die Basis moderner Industriegesellschaften. Dennoch lässt sich deren Sicherheit nicht garantieren. Es genügt nicht, so zeigt die aktuelle Sicherheitsforschung, sich vor der Katastrophe abzuschotten. Man muss auch damit rechnen, dass man von ihr getroffen wird.
Herr Thoma, leben wir eigentlich in sicheren oder unsicheren Zeiten?
Als Sicherheitsforscher muss ich sagen: Wir leben, leider, in eher unsicheren Zeiten. Und dabei meine ich nicht die gefühlten Unsicherheiten, wie beispielsweise die Angst vor verunreinigten Lebensmitteln oder ähnlichen Ängsten, die in der Öffentlichkeit sehr präsent sind. Ich meine damit gerade die Risiken, die wir oft verdrängen.
Welche Risiken sind das?
Man braucht sich nur einmal die Statistiken von Munich RE, einem der weltweit führenden Rückversicherungsgesellschaften anzuschauen, mit welchen Problemen wir es in nächster Zeit zu tun haben: Die Schäden durch klimabedingte Naturkatastrophen nehmen deutlich zu. Hinzu kommen Trends wie die demografische Entwicklung, und dabei ist nicht nur die sogenannte alternde Gesellschaft gemeint, von der wir hier in Deutschland immer sprechen. Es geht unter anderem auch um die Gefahr einer globalen Überbevölkerung und Übernutzung unserer natürlichen Ressourcen. Laut Einschätzung des WWF wären bereits im Jahr 2030 zwei Erden notwendig, um den Ressourcenbedarf der Menschheit zu decken.
Ein weiteres Risiko, nämlich globale Migrationsbewegungen und geopolitische Verwerfungen bis hin zu kriegerischen Auseinandersetzungen sind gerade ziemlich präsent in der Öffentlichkeit.
Ja, das stimmt. Ich bin mir nur nicht sicher, ob wir das Problem schon in seiner ganzen Brisanz erkannt haben. Wir wissen beispielsweise nicht, wie sich die Situation in Afrika in den nächsten Jahrzehnten entwickeln wird. Es gibt Prognosen, die von einem drastischen Bevölkerungswachstum ausgehen. Bis 2050 könnte der afrikanische Kontinent auf zwei Milliarden Menschen angewachsen sein, bis 2100 gar auf vier Milliarden. Das Thema Migration wird uns nicht nur jetzt, sondern auch in den nächsten Jahrzehnten vor gewaltige Herausforderungen stellen. Und zu den geopolitischen Spannungen kann ich nur sagen: Wenn man sich vergegenwärtigt, wie China und die USA gerade im südchinesischen Meer aneinandergeraten, dann ist das alles andere als beruhigend.
Entschuldigen Sie, aber klingt das nicht alles etwas apokalyptisch? Müssen wir uns im Ernst Sorgen machen, dass demnächst zwischen den USA und China ein Krieg ausbricht?
Nein, die Wahrscheinlichkeit, dass so etwas in nächster Zeit passiert, ist relativ gering. Und tatsächlich mag die Aufzählung all jener globalen Risiken aus unserer Sicht momentan etwas hysterisch wirken. Zumindest aus deutscher Sicht. Und das ist im Grunde ja auch verständlich. Wir haben Anlass zu glauben, in einer relativ sicheren Umgebung zu leben. Das liegt natürlich auch vor allem daran, dass es auf deutschem Boden noch keinen größeren Terroranschlag gegeben hat.
Aber diese Sicherheit ist trügerisch?
Man könnte es ganz hart formulieren und sagen: Wir leben hier im Augenblick auf einer Insel der Glückseligen. Wir haben wirklich bedrohliche Situationen noch nicht erlebt und können es uns sozusagen leisten, Bedrohungen erst einmal relativ abstrakt zu diskutieren und Mahner als potentielle Hysteriker abzutun. Etwas diplomatischer gesprochen geht es um unsere grundsätzliche Haltung zu Sicherheit überhaupt: Wie denken wir Sicherheit? Was genau bedeutet es, sich vor Bedrohungen zu schützen? Und wie gehe ich mit der Tatsache um, dass man sich nie hundertprozentig auf alle Eventualitäten vorbereiten kann?
Sie sagen, wir müssen Sicherheit neu denken.
Ja. Damit meine ich: Wir müssen uns von der Vorstellung verabschieden, Schutz bestünde lediglich darin, sich möglichst gut auf Katastrophen vorzubereiten (prepare), Gefahren früh zu erkennen und wirksam gegenzusteuern (prevent) und die Schutzsysteme selbst so widerstandsfähig wie möglich zu gestalten (protect). Ein solches Schutzkonzept scheitert an unerwarteten Ereignissen. Doch genau diese muss man mitdenken. Das System muss auch unter größtem Stress noch funktionieren (respond) und sich, wenn alles überstanden ist, schnell erholen. Wenn alle diese Voraussetzungen erfüllt sind, nennen wir ein System resilient.
Können Sie uns hierfür ein Beispiel geben?
Als im April 2013 der Anschlag auf den Boston-Marathon verübt wurde, war eine Maßnahme, um die flüchtigen Täter leichter fassen zu können, das komplette U-Bahn-System der Stadt zu deaktivieren. Man hat also den sprichwörtlichen Schalter umgelegt. Als die Flucht beendet war, wollte man den Betrieb wieder aufnehmen und hat mit Erschrecken festgestellt: Man hatte für diesen Fall überhaupt keinen Plan. Es dauerte über eine Woche, bis die U-Bahnen wieder alle regulär fuhren. Resilienz hätte in diesem Fall bedeutet, sich auf genau solche Grenzfälle vorzubereiten, damit man am Ende zum Beispiel nicht mit Kollateralschäden zu kämpfen hat, die durch den Schutzmechanismus selbst ausgelöst werden.
Nun war das ja in Boston wirklich eine Extremsituation.
Das stimmt, aber das Thema Resilienz ist ja nicht nur für Extremereignisse wie Terroranschläge relevant. Nehmen Sie die folgende Situation: In einer Industrieanlage wird ein Brand gemeldet. Sofort rückt die Feuerwehr aus und löscht. Wer nun denkt, die Gefahr wäre damit gebannt, hat das Löschwasser vergessen! Wenn dies kontaminiert ist und nicht ordnungsgemäß aufgefangen werden kann und stattdessen in einen benachbarten Fluss gelangt, haben Sie zwar den Brand gelöscht, aber dennoch einen noch viel größeren Schaden verursacht.
Genau einen solchen Vorfall gab es ja vor wenige Wochen hier in Deutschland im Raum Stuttgart. Wer haftet eigentlich in solch einem Fall?
Mittlerweile grundsätzlich das Unternehmen. Das ist übrigens auch ein Grund, warum das Thema Resilienz auch für die deutsche Wirtschaft zunehmend relevant wird. Vielen Unternehmen, vor allem aus dem Mittelstand, ist noch gar nicht bewusst, dass sie, nach aktueller Gesetzeslage, für nicht resiliente Schutzsysteme haften. Nur dass man in einem solchen Fall nicht vom Aufbau resilienter Systeme, sondern von einem effektiven Business Continuity Management (BCM) spricht.
Wenn es also in unser aller Interesse liegt, uns resilienter gegen Risiken zu machen, wo stehen wir diesbezüglich in Deutschland?
Einerseits würde ich sagen, sind wir auf einem guten Weg. Ein wichtiger Schritt war die Entwicklung des Konzeptes der kritischen Infrastrukturen durch staatliche Stellen. Damit sind bestimmte Einrichtungen gemeint, die unbedingt notwendig sind, um öffentliche Ordnung und Sicherheit zu gewährleisten, also zum Beispiel die Sektoren Energie und Gesundheit, Informationstechnik und Telekommunikation, das Bankensystem sowie die Lebensmittel- und Wasserversorgung. Dafür wurde die Nationale Strategie zum Schutz kritischer Infrastrukturen (KRITIS) konzipiert.
Und andererseits?
Andererseits ist man in anderen Ländern schon einige Schritte weiter. In den USA oder Großbritannien ist Resilienz schon seit längerem Ausgangspunkt sowohl für Forschungsprogramme als auch für die Umsetzung in konkretes Regierungshandeln. Das ist vielleicht auch eine Frage der sicherheitsrelevanten Rahmenbedingungen in jedem Land. Ein Beispiel: Als ein französischer Anbieter von Sicherheitstechnik vor einiger Zeit den Auftrag bekam, in den wichtigen Straßen von Mexico City Videokameras zu installieren, kam es zu folgendem interessanten Vorfall. Eine der Straßen wurde irrtümlich und ungeplant ebenfalls mit Überwachungstechnik versehen, die Technik sollte deshalb wieder entfernt werden. Die Anwohner protestierten jedoch so lange, bis die Videokameras dennoch dort belassen wurden.
Das klingt natürlich aus unserer Sicht absurd, bei uns würden sich Anwohner dafür einsetzen, dass die Kameras so schnell wie möglich wieder entfernt werden. Aber schließlich kann man auch kaum Berlin oder München mit Mexico City vergleichen.
Das stimmt natürlich. Aber, und dabei geht es eben beim Aufbau resilienter Strukturen, man muss immer davon ausgehen, dass sich Randbedingungen grundsätzlich auch ändern können. Und das heißt, in gewissem Sinne die Katastrophe zumindest mental zuzulassen. Die Tatsache, dass wir dazu wenigstens im Augenblick noch wenig Anlass spüren, auch aufgrund der sehr guten Arbeit staatlicher Institutionen, ist kein Grund, es nicht zu tun.
Was also wäre zu tun?
Zu den wichtigsten Handlungsempfehlungen, die so auch in einem aktuellen Positionspapier der acatech, der deutschen Akademie der Technikwissenschaften, formuliert sind, gehört es, den Begriff Resilienz als ganzheitliches Konzept zu denken. Das heißt zum Beispiel, Resilienz in den Ingenieurswissenschaften zu verankern, als „Resilience Engineering“. Oder auch, Resilienz als Schlüsselkomponente nachhaltiger Entwicklung zu etablieren. Es ist durchaus wünschenswert, eine Stadt CO2-neutral zu designen. Aber wenn ein einziger Hacker sie lahmlegen könnte, indem er sich etwa in ihr nicht sicher ausgelegtes Smart Grid System hackt, kann man sie kaum nachhaltig nennen.
Weil Sie das Thema Cybersicherheit ansprechen: Auf der acatech-Liste steht auch eine Meldepflicht im Sinne eines Frühwarnsystems.
Ja. Und im Grunde hat die Bundesregierung mit dem kürzlich in Kraft getretenen IT-Sicherheitsgesetz genau diese Empfehlung auch umgesetzt. Das ist auch dringend notwendig, schließlich sind so gut wie alle kritischen Infrastrukturen mittlerweile von einer funktionierenden, verlässlichen und resilienten IKT abhängig.
Prof. Dr. Klaus Thoma; war von 1994 bis 2014 Leiter des Fraunhofer Ernst-Mach-Instituts. Aktuell berät er die EU-Kommisson im Bereich der Sicherheits- und Verteidigungsforschung.