Kommentar: Chaos und Resilienz bei Kritischen Infrastrukturen

Nur wer den Krisenfall probt, lernt mit ihm umzugehen. Und wer die kleinen Katastrophen nicht akzeptiert, kann die großen erst recht nicht bewältigen.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Chaos Computer Clubs
Lesezeit: 5 Min.
Von
  • David Fuhr
Inhaltsverzeichnis

Hochverfügbarkeit war gestern. Seit geraumer Zeit wird bei Kritischen Infrastrukturen (KRITIS) und anderer vermeintlich oder real lebenswichtiger IT lieber von Resilienz gesprochen. Aber was hat das aus der Psychologie stammende Konzept, das vom lateinischen Wort für "zurückspringen" kommt, mit Angriffen auf Wasserwerke und technischem Versagen bei Stromnetzen zu tun?

Die Kognitionspsychologen Daniel Kahneman und Amos Tversky haben schon Ende der Siebzigerjahre experimentell bewiesen, dass Menschen Entscheidungen nicht rational treffen. So gehen wir beispielsweise größere Risiken ein, um den Status quo zu erhalten, als um eine Situation zu verändern (Status-quo-Verzerrung). Außerdem fürchten wir (auch unwahrscheinliche) Verluste mehr, als dass wir mögliche Gewinne wertschätzen. Während das in ökonomischen Situationen wie etwa bei der Geldanlage zu ungünstigen Strategien führen kann, geht es bei KRITIS um die Sicherheit der Versorgung mit lebenswichtigen Dienstleistungen.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Doch leider führt die Wirkung der unter dem Namen "Prospect Theory" (zu Deutsch etwa "Neue Erwartungslehre") bekannten Logik dazu, dass wir die Sorge um kleinere Compliance-Probleme überbetonen, während wir die Vorsorge für wahre Krisen vernachlässigen. Aus demselben Grund besteht wenig Motivation, wirklich starke Securityprogramme, die eventuell einen positiven Effekt haben könnten, umzusetzen.

Die Anreizstrukturen dafür sind in unsere Psyche eingeschrieben und sehr schwer zu verändern. Das gilt für Ratten wie für Menschen. Wahrscheinlich ist es evolutionär auch sinnvoll, dass wir auf vieles verzichtet haben, um bloß niemals dem Säbelzahntiger zu begegnen. Heute aber, in der modernen Welt, in der wir Strom, Digitalisierung, Konnektivität rund um die Uhr und überall wollen, braucht es ein Umdenken. Vor den digitalen Säbelzahntigern à la "Hack des Übertragungsnetzbetreibers" können wir nicht dauerhaft weglaufen. Wir müssen ihnen vielmehr ins Auge sehen. Und zwar ruhigen Blutes.

(Bild: Andrew Martin auf Pixabay)

Resilienz ist die Fähigkeit, Krisen zu bewältigen. Eine solche Fähigkeit muss geplant und vor allem eingeübt werden, immer wieder und möglichst realistisch. 1986 ist eine derartige reale Notfallübung schon einmal ganz böse schiefgegangen. Das sogenannte "Tschernobyl-Trauma" lähmt uns bis heute – und trägt mit dazu bei, zu verhindern, dass wir die Widerstandsfähigkeit unserer kritischen Infrastrukturen ernsthaft testen. Dabei stünden aus anderen Bereichen der IT Ansätze und Methoden dafür bereit: Im Chaos Engineering etwa werden chaotisch und unvorhersagbar Kabel gezogen und VMs oder Container abgeschossen – das Gesamtsystem muss damit klarkommen oder lernt es spätestens dann.

Das Auftreten eines Ereignisses, das die Bezeichnung "Super-GAU" verdient, zeigt schon, dass mit der Risikobewertung etwas im Argen lag: Wenn die Realität den größten anzunehmenden Unfall links überholt, waren offensichtlich die Annahmen naiv, unlauter oder fachlich daneben.

Bei KRITIS, auf die wir uns guten Gewissens verlassen können, dürfen aber ein paar verpeilte Planer, Betreiber oder Regulatoren gar nicht die Möglichkeit bekommen, Katastrophen über uns alle zu bringen. Dies ist der eine Anwendungsfall von IT, wo es unabdingbar ist, sich auf die Super-DAUs (dümmste anzunehmende Benutzer – und damit meine ich uns alle) vorzubereiten.

Natürlich muss so etwas im KRITIS-Umfeld in höchstem Maße sorgfältig und vorsichtig geplant und vorbereitet sein. Niemand will durch eine Notfallübung leichtfertig einen Stromausfall in Europa provozieren. Das macht ja gerade die Scheu so groß.

Aber solange wir nicht mit kleinen Krisen real umgehen müssen, werden wir nicht lernen, die großen zu bewältigen. Mehr noch, wir können sonst noch nicht einmal vorhersehen, wie wir uns selbst in echten Krisen verhalten werden. Das zeigen auch Studien aus den Branchen mit maximaler Safety-Awareness, etwa dem Luftverkehr.

Dazu kommt, dass Angreifer sich zukünftig wenig um die Sicherheitsgrenzen unserer Systeme scheren werden. Beziehungsweise wenn, dann von der anderen, unerwünschten Seite, im Sinn von wie sie zu überschreiten wären.

Hilfreich für ein solches Umdenken ist es auch, auf die Faktoren zu schauen, die Resilienz von Individuen oder Gruppen wahrscheinlicher machen. Neben der Akzeptanz von Krisen als Teil des Betriebs – bei KRITIS wäre das "Assume Breach": Nimm an, dass deine Systeme bereits kompromittiert sind und jederzeit ausfallen können – findet sich darunter auch die Netzwerkorientierung: Eine starke Verbindung mit anderen Betreibern, Behörden und der IT-Sicherheits-Community könnte demnach helfen, dass KRITIS-Betreiber Krisen besser und schneller durchstehen werden. Eine reine Meldepflicht von Incidents nützt hier nichts, vielmehr müssen wir Foren schaffen und fördern, in denen ein (Miteinander-)Lernen aus Vorfällen und Beinahe-Vorfällen (Near Misses) möglich ist.

Unrealistisch? Wahnsinn? Wir tun das Beschriebene längst! Manchmal, versehentlich bisher. Als der Logistikkonzern Maersk 2018 komplett in den Klauen der Malware NotPetya steckte, rettete allein ein Stromausfall in Ghana die einzige nicht vernichtete Kopie des Active Directory. Tun wir etwas dafür, dass wir in Zukunft viele kleine Strom- und sonstige Ausfälle haben werden – damit wir lernen, die ganz große Krise zu vermeiden.

Diese Kolumne ist erstmals in iX 3/2020 erschienen.

(ur)