Bedingt abwehrbereit

Ein Leben ohne Energie, fließendes Wasser, ständige Erreichbarkeit, funktionierendes Gesundheitswesen. Nicht vorstellbar? Die meisten dieser (Dienst-) Leistungen nutzen wir tagtäglich. Doch wer macht sich Gedanken darüber, warum wir das können? Kaum jemand ist sich bewusst, welche Rolle Informationstechnik (IT) mittlerweile spielt, um uns diese ständige Verfügbarkeit zu ermöglichen.² Aber was geschieht, wenn aufgrund von Störungen der IT solche Leistungen nicht mehr zur Verfügung stehen? Einen Stromausfall in Wohnung oder Haus für ein paar Minuten oder Stunden haben die meisten schon erlebt. Die Schäden halten sich hier in Grenzen. Doch es gibt auch Zwischenfälle anderer Dimension: Mobilfunknetze brechen großflächig zusammen, der Luftverkehr wird empfindlich gestört, Banken können keine Transaktionen mehr vornehmen. Und das über viele Stunden hinweg, manchmal sogar über Tage.³ Die Ursachen können Störungen oder Ausfälle der Informationstechnik sein, die Folgen sich auf die Sicherheit eines Staates auswirken. Damit wird die Sicherheit der Informationstechnik zu einem Problem der Politik. Was in Deutschland von politischer Seite aus getan wird und getan werden kann, um solche Vorfälle zu verhindern bzw. um potenzielle Schäden möglichst gering zu halten, damit befasst sich diese Arbeit. Um die deutschen Maßnahmen besser bewerten zu können, werden diese mit denen der USA verglichen.⁴

Der vorliegenden Arbeit liegt die These zugrunde, dass der Schutz kritischer Informations-Infrastrukturen in westlichen Industrienationen wie den Vereinigten Staaten oder Deutschland mittlerweile ein entscheidendes Element zur Gewährleistung nationaler Sicherheit darstellt. Es entsteht jedoch ein Problem daraus, dass der Staat für die Wahrung der nationalen Sicherheit verantwortlich ist, 54 wohingegen kritische Infrastrukturen zum Großteil von der Privatwirtschaft betrieben werden. Will der Staat seiner Verantwortung nachkommen, muss er prüfen und bewerten, inwieweit die Betreiber ihre Informations-Infrastrukturen ausreichend schützen. Ist dieser Schutz nicht in ausreichender Form gewährleistet, stellt sich vor diesem Hintergrund die Frage, ob der Staat Maßnahmen zum Schutz kritischer Informations-Infrastrukturen ergreifen kann, um dieses Defizit auszugleichen. Sollte diese Frage positiv beantwortet werden können, gilt es weiterhin zu prüfen, in welchem Umfang der Staat überhaupt aktiv werden darf, bzw. wie sich die ergriffenen Maßnahmen gegenüber den Betreibern kritischer Infrastrukturen begründen lassen. Auch müsste geklärt werden, inwiefern einseitige Einforderungen des Staates gegenüber den Betreibern überhaupt durchzusetzen sind. Sind diese Grundvoraussetzungen geklärt, ist in einem weiteren Schritt zu diskutieren, wie mögliche staatliche Maßnahmen zum Schutz kritischer Informations-Infrastrukturen aussehen könnten.

Bei einer Arbeit, die sich mit einem Teilaspekt von Sicherheitspolitik befasst, ist es vorab erforderlich, den übergreifenden Terminus der Sicherheit zu klären und eine Definition zu finden, die Grundlage dieser Arbeit sein soil. Geht man von dem lateinischen Wort für Sicherheit „securitas“ aus, dann bedeutet Sicherheit „ohne Sorge sein“. Laut dieser Ableitung evoziert Sicherheit das Gefühl von Sorglosigkeit. Dabei gibt es Unterschiede, wie weit ein Individuum oder ein Staat Sorglosigkeit, eine Bedrohung oder eine Verletzung der eigenen Sicherheit empfindet. Für beide gilt, dass Sicherheit durch die „Abwesenheit von Stör- und Bedrohungsfaktoren [defmiert wird], wobei es ohne Bedeutung ist, ob dieser Zustand nun objektiv vorhanden oder im jeweils individuellen Kontext vorhanden ist“.83 Betrachtet man Sicherheit aus der Sicht von Staaten, so gilt:

„Security is, in historical terms, the field where states threaten each other, challenge each other’s sovereignty, try to impose their will on each other [and] defend their independence.“ 84 Sicherheit ist aber auch „ein menschliches Grundbedürfhis“, 85 ohne das ein soziales Zusammenleben nicht möglich erscheint. In den folgenden Kapiteln wird der Begriff der Sicherheit primär auf den gesamten Staat angewendet. Dabei kann der Aspekt der Sicherheit für das Individuum dennoch nicht völlig außer Acht gelassen werden, schließlich ist es das Individuum, das primär für Unsicherheit verantwortlich ist. 86

Sicherheit in der Informationstechnik liefert einen, wenn nicht sogar den entscheidenden Beitrag zum Schutz kritischer Informations-Infrastrukturen. Für den Fortgang dieser Arbeit ist es daher erforderlich, Fragen der IT-Sicherheit eingehend zu diskutieren, aufzuzeigen, wo mangelnde IT-Sicherheit zu Schwachstellen in kritischen Infrastrukturen führen kann und welche Möglichkeiten es gibt, bestehende Schadenspotenziale einzugrenzen.

Der Begriff „kritisch“ meint nicht, dass die Eintrittswahrscheinlichkeit von Störungen in Infrastrukturen hoch ist. Kritisch ist vielmehr so zu verstehen, dass Störungen oder Ausfälle in solchen Infrastrukturen genau die oben beschriebenen weit reichenden Folgen bis hin zu katastrophalen Auswirkungen für Staat, Wirtschaft und / oder große Teile der Bevölkerung haben können, die also eine makroskopische Dimension erreichen. Die Frage, ob eine Infrastruktur als kritisch bezeichnet werden kann, ist somit immer mit „ja“ oder „nein“ zu beantworten. Hingegen ist die Ausprägung der Kritikalität (das Verhältnis zwischen Eintrittswahrscheinlichkeit und prognostiziertem Schadensausmaß) einer Infrastruktur skalierbar.³⁶⁶

Ziel dieses Kapitels ist es, für die Vereinigten Staaten und für Deutschland die Historie des Schutzes kritischer Informations-Infrastrukturen zu skizzieren. Zeitlich beschränken sich die Ausführungen auf die Zeit von 1996 bis zum 11. September 2001.⁴⁶⁷ Der Politikfeld-Forschung folgend wird nach Inhalten und Ergebnissen (policy outputs, policy outcomes) sowie den Wirkungen der Politik (policy impacts) gefragt, die den Schutz kritischer Informations-Infrastrtukturen dieser Zeit kennzeichneten.⁴⁶⁸

Schutz kritischer Infrastrukturen kann nicht losgelöst von der Sicherheitspolitik des jeweiligen Staates betrachtet werden. Für die Vereinigten Staaten und Deutschland wird in diesem Kapitel untersucht, wie sich die heutigen sicherheitspolitischen Rahmenbedingungen darstellen: Auf welche Weise versuchen die Regierungen beider Länder, den Schutz kritischer Informations-Infrastrukturen in die eigene (Sicherheits-) Politik zu implementieren? Welche Ereignisse haben zu welchen Veränderungen geführt? Haben die Regierungen es geschafft, konsistente Strategien oder eine kohärente CIIP-Politik zu entwickeln, um den Schutz kritischer Informations-Infrastrukturen effektiv zu verfolgen?

In diesem Kapitel werden staatliche Institutionen in den USA und Deutschland analysiert, deren Aufgabe und Ziel der Schutz kritischer Infrastrukturen ist. Für die Politikfeld-Forschung ist dies wichtig, da es erforderlich ist, „jene Gruppen zu ermitteln, die von entscheidender Bedeutung für die Gestaltung eines Politikfeldes sind “. 651 Diskutiert werden dabei in erster Linie die wichtigsten Einrichtungen, die seit den Anschlägen des 11. September 2001 eine Rolle beim Schutz kiritischer Informations-Infrastrukturen spielen.

In diesem Kapitel wird der Frage nachgegangen, welche Möglichkeiten der Staat bzw. die verantwortlichen staatlichen Institutionen haben, um den Schutz kritischer Informations-Infrastrukturen zu verbessern. Kooperationen zwischen dem Staat und den Betreibern kritischer Infrastrukturen stellen dazu eine probate Möglichkeit dar. Inwiefern eine solche Zusammenarbeit notwendig ist und wie diese umgesetzt werden kann, ist Inhalt dieses Kapitels. Nachfolgend werden bestehende Kooperationen, aber auch Initiativen innerhalb des Privatsektors in den USA und Deutschland diskutiert.

Informationstechnologien leisten einen entscheidenden Beitrag zur Relativierung der Bedeutung klassischer Staatengrenzen. Früher dezidiert getrennte Definitionen wie innere und äußere Sicherheit sind heute nicht mehr klar von einander abzugrenzen. Durch die weltweite Vernetzung können in einem Land auftretende Probleme umgehend Auswirkungen auf andere Teile der Welt haben. Staaten sind in zunehmendem Maß von einander abhängig, Begriffe wie Autarkie nahezu gegenstandlos geworden.889 Betrachtet man diese Veränderung unter dem Aspekt, dass „Handlungsfähigkeit und Überleben eines Staates oder [eines] Bündnisses in internationalen Krisen nicht mehr in erster Linie durch militärische Gewalt gefährdet ist, sondern zunehmend auch vom störungsfreien Betrieb staatlicher und internationaler Informations- und Kommunikationssysteme, den ‚kritischen Informations-Infrastrukturen‘, abhängen“, 890 dann scheint es evident zu sein, dass alle Staaten daran interessiert sein müssten, nicht nur die zweifelsfrei großen Potenziale vernetzter Informationstechnik bestmöglich auszunutzen, sondern auch die mit der zunehmenden Vernetzung einhergehenden Gefahren einzugrenzen und gemeinsame Strategien gegen diese zu entwickeln.

Nachdem vorausgehend entscheidende Elemente des Schutzes kritischer Informations-Infrastrukturen in den USA und in Deutschland analysiert und diskutiert wurden, wird nun eine abschließende Bewertung vorgenommen. Ziel ist es, ein Bild des gegenwärtigen Status quo zu erhalten, von dem aus dann in Kapitel 12 für Deutschland Vorschläge für entsprechende Maßnahmen zur Verbesserung des Schutzes kritischer Informations-Infrastrukturen entwickelt werden können.

Nach der Analyse und Bewertung des Schutzes kritischer Informations-Infrastrukturen in den USA und in Deutschland und damit einer Standortbestimmung beider Staaten in dieser Frage soll nun die in Kapitel 1.2 aufgeworfene Frage beantwortet werden, wie der Schutz kritischer Informations-Infrastrukturen in Deutschland zukünftig zu gestalten ist, um die beschriebenen Defizite auszugleichen. Im Folgenden werden dazu direkte Handlungsvorschläge unterbreitet, die auf verschiedene Bereiche des Schutzes kritischer Informations-Infrastrukturen abzielen. Damit wird das in Kapitel 1.5 formulierte Ziel der Politikfeld-Analyse erreicht, praktische Erkenntnisse zu sammeln und diese in Form von direkter Politikberatung weiterzugeben.978 Die Vorschläge sind den bestimmenden Faktoren Mensch, Politik, Wirtschaft und Technik zugeordnet.

Die Anwendung der Theorie der öffentlichen Güter eröffnete eine Möglichkeit zur Klärung der Verantwortlichkeiten beim Schutz kritischer Informations-Infrastrukturen und trug damit zur Lösung eines zentralen Problems der vorliegenden Arbeit bei. Um die Anwendbarkeit der Theorie zu prüfen, galt es in einem ersten Schritt die notwendigen Kritierien abzuklären.

Ein Leben ohne Energie, fließendes Wasser, ständige Erreichbarkeit oder ein funktionierendes Gesundheitswesen ist nicht vorstellbar. Jedoch wurde im Verlauf dieser Arbeit Folgendes gezeigt: Die Sicherung dieser (Dienst-) Leistungen stellt ein hochkomplexes Unterfangen dar. Die zentrale Bedeutung der Informationstechnik in kritischen Infrastrukturen trägt entscheidend zu dieser Komplexität bei. Kritische Infrastrukturen bilden neuralgische Punkte eines Staates. Daran wird sich nichts ändern. Ändern wird sich aber die Schwierigkeit sie zu schützen — sie wird zunehmen. Was bedeutet dies nun für den Schutz kritischer Informations-Infrastrukturen in Deutschland?