Die aktuelle Corona-Krise verdeutlicht: Deutschland ist katastrophengefährdet. Informations- und Kommunikationstechnologie (IKT) spielt bei der Reaktion auf diese Krise und bei ihrer fortdauernden Bewältigung eine entscheidende Rolle. Der hohe Nutzen von IKT in der Krise begründet damit gleichzeitig aber auch eine starke Abhängigkeit von IKT.
Angesichts der steigenden Bedeutung von IKT in allen gesellschaftlichen Bereichen muss sichergestellt werden, dass IKT mit Funktionsstörungen und -beeinträchtigungen während einer Krise umgehen kann. Über IT-Sicherheit und Ausfallsicherheit hinaus muss IKT in die Lage versetzt werden, mit erheblichen System-Beeinträchtigungen, wie Überlastungen, technischen Fehlern, Cyberangriffen, längeren Stromausfällen oder materiellen Schäden, zurechtzukommen.
Hält die IKT solchen Belastungen nicht stand, so führt dies zum Zusammenbruch von kritischen Infrastrukturen (KRITIS). IKT vernetzt unterschiedliche KRITIS und schafft damit Interdependenzen, die im schlimmsten Fall zu kaskadierendem Versagen führen können. Seit Jahren zeigt IKT eine steigende Fragilität und abnehmende Resilienz, verursacht u. a. durch (i) Effizienz als primäres Optimierungsziel, die aufwändige Resilienzmaßnahmen verhindert; (ii) fehlende Diversität in vielen IKT-Systemen, die großflächige, systemweite und anbieterübergreifende Ausfälle begünstigt; (iii) fehlender Einbau der Möglichkeit eines “Notbetriebs”; (iv) Fehlen angemessener Governanceprozesse; und (v) nicht auf IKT-Resilienz fokussierte Regulierungsmechanismen.
Empfehlung zur nachhaltig verlässlichen IKT für ein krisenfestes Deutschland
- Resilienz und Effizienz müssen gleichrangige Optimierungsziele sein, d.h. Effizienzverbesserungen müssen unter Wahrung hinreichender Resilienzvorgaben erfolgen.
- IKT-Systeme müssen redundant, divers und für den Krisenfall adäquat dimensioniert sein.
- IKT-Systeme müssen wandlungsfähig konzipiert werden, um sich an eine Krise anpassen und die zur Bewältigung notwendigen Funktionalitäten zur Laufzeit ausbilden zu können.
- Resilienzvorgaben müssen durch Prozesse der positiven Koordination auf den jeweiligen Ebenen sowie ebenenübergreifend erarbeitet werden.
- Mittels technikadäquater Regulierung müssen Resilienzvorgaben gemacht werden, unter deren Wahrung eine Effizienzoptimierung nach Marktregeln erfolgen kann.
Es ist aus unserer Sicht dringend notwendig, die Resilienz heutiger und künftiger Informations- und Kommunikationstechnologie (IKT) zu erhöhen und nachhaltig zu gewährleisten. Wir bezeichnen IKT als resilient, wenn sie trotz signifikanter Beeinträchtigungen eine akzeptable Mindest- bzw. Ersatzfunktionalität aufrechterhalten kann und für die zügige Rückkehr zum Normalverhalten gerüstet ist.
Resilienz für und durch IKT
Unsere Empfehlungen zielen darauf ab, die Krisenresilienz unserer Gesellschaft nachhaltig zu erhöhen. Dabei kommt den (kritischen) Infrastrukturen eine Schlüsselrolle zu: Ohne resiliente KRITIS kann auch die Gesellschaft insgesamt nicht resilient werden. Mit unseren Empfehlungen sollen die KRITIS unter Einsatz von IKT auf ein krisenfestes Maß gehoben werden. Dies setzt voraus, dass die IKT selbst resilient ist: Als übergeordnetes Ziel muss unsere IKT jederzeit verfügbar, verständlich und beherrschbar bleiben, um im kompletten Verlauf einer Krise deren Management bestmöglich zu unterstützen.
Neben unseren Empfehlungen existieren eine Reihe von offenen Forschungsfragen, die in diesem Policy Paper nicht weiter detailliert werden. So sind bspw. die Abhängigkeit zwischen IKT und anderen KRITIS sowie die komplexen Systemzusammenhänge vernetzter KRITIS bisher nur unzureichend untersucht worden. Forschungsbedarf besteht ebenfalls hinsichtlich der verbesserten Messbarkeit und Bewertbarkeit von IKT-Resilienz, die Voraussetzung für eine gezielte Resilienzerhöhung auf ein vorgegebenes Maß ist.
Fazit
Es ist aus unserer Sicht dringend notwendig, die Resilienz heutiger und künftiger IKTInfrastrukturen zu erhöhen und nachhaltig sicherzustellen. Wir benötigen Resilienz für und durch IKT. Nur resiliente IKT kann im Sinne einer Allgefahrenabwehr sicherstellen, dass unsere Gesellschaft im Krisenfall handlungsfähig bleibt; gleichzeitig zeigt die aktuelle Corona-Krise, dass eine funktionierende IKT die Resilienz der Gesellschaft signifikant erhöhen kann.
Wir möchten die Dringlichkeit der in diesem Policy Paper behandelten Thematik nachdrücklich hervorheben. Deutschland liegt international nicht im Spitzenfeld bei der Digitalisierung von Infrastrukturen und generell in der öffentlichen Verwaltung. Um als führende Industrienation international wettbewerbsfähig zu bleiben, müssen in den nächsten Jahren große Anstrengungen zur Erneuerung dieser Infrastrukturen unternommen werden. Wir müssen Infrastrukturen dabei im Kern digital denken. Um gleichzeitig die Krisenfestigkeit dieser Infrastrukturen zu erreichen, muss IKT-Resilienz nachhaltig gewährleistet werden. Lösungen hierfür “aus der Schublade” existieren in weiten Teilen nicht, vielmehr besteht ein hoher Forschungs- und Entwicklungsbedarf, um Resilienz für und durch IKT zu erreichen sowie solide Grundlagen für die Betrachtung von Resilienz in komplexen und vernetzten IKT-Systemen bereitzustellen. Eine abgestimmte Governance und die verbindliche Festsetzung von Resilienzvorgaben durch Regulierung sind dabei notwendige Begleitmaßnahmen.
Das vollständige Policy Papers zum Thema „Resiliente Informations- und Kommunikationstechnologie für ein krisenfestes Deutschland“ finden Sie hier.
emergenCITY Policy Paper No. 1 | Oktober 2020
doi.org/10.5281/zenodo.4066319
policy@emergencity.de | www.emergencity.de
Matthias Hollick, Jens Ivo Engels, Cornelia Fraune, Bernd Freisleben, Gerrit Hornung, Michèle Knodt, Max Mühlhäuser