In den 1980er Jahren schrieb der Soziologe Ulrich Beck erstmals über „Modernisierungsrisiken“  und analysierte die Auswirkungen des Fortschrittes und damit einhergehende Risiken für die Gesellschaft im ausgehenden 20. Jahrhundert. Heute bringt die Digitalisierung neue Risiken mit sich. Um sie zu steuern, zu kontrollieren und zu minimieren, müssen diese zunächst identifiziert werden. Die Beck’sche Kategorisierung bietet sich hierzu an.

IT-Risiken betreffen alle …

Alle Bereiche des Staates, der Wirtschaft und der Gesellschaft wären ohne den Einsatz von IT nicht mehr funktionsfähig. IT-Lösungen verbreiten sich in allen Lebensbereichen: vom Privathaushalt („Smart Home“) über soziale und Kommunikationsplattformen (Social Networks und Mobile Devices), künftig noch verstärkt durch Konzepte wie eGovernment, Internet der Dinge (IoT), Smart City und Smart Grids. Damit einher geht die „Demokratisierung der IT-Risiken“. Auch industrielle Steuerungs- und Leitsysteme werden zunehmend in unterschiedlichste Daten- und Kommunikationsnetze eingebunden, was zu einer deutlich erhöhten Verletzlichkeit gegenüber Cyberattacken führt, wenn nicht Schutzmaßnahmen ergriffen und umgesetzt werden. IT-Risiken betreffen also uns alle, ob bei der Arbeit, daheim oder unterwegs: Die Kaffeemaschine kann zum Ausgangspunkt eines Angriffs auf die Steuerung des landesweiten Energienetzes werden, Kriminelle missbrauchen private Rechner als Teile von Botnetzen, um Millionen von Spammails zu versenden.

… weltweit

IT-Risiken kennen keine Unternehmens- und Ländergrenzen – sie sind überall. Dies ist die Konsequenz aus der weltweiten Verfügbarkeit von IT-Hard- und Software und der „Demokratisierung“ in dem Sinne, dass sich fast alle Menschen in Industrienationen und selbst viele in Schwellenländern einen PC und den Zugang zu Software und Wissen zur Nutzung leisten können. Diese Globalität der IT-Risiken hat zwei Aspekte: Bedrohungen und Auswirkungen.

Wie global Bedrohungen heute sind, lässt sich an der Verbreitung von Malware ablesen. Angriffe gegen IT-Infrastrukturen können von jedem Ort der Welt aus erfolgen, wie Berichte und Studien von Institutionen wie dem BKA, dem BSI und dem Verfassungsschutz belegen. Malware wie Stuxnet bedroht industrielle Steuerungs- und Leitsysteme, unabhängig davon, wo sich diese geografisch befinden. Die Risiken durch Malware sind darüber hinaus zugleich spezifisch und unspezifisch. So wurde Stuxnet weltweit verteilt, war aber spezifisch auf bestimmte Unternehmen und Branchen zugeschnitten. Die weltweite Bedrohung wird dadurch verstärkt, dass immer mehr internationale kriminelle Organisationen auf diesem Gebiet aktiv werden.

Wie wenig sich Sicherheitsvorfälle in industriellen Steuerungs- und Leitsystemen lokal oder regional begrenzen lassen, wird bei Energienetzen deutlich. Malware, injiziert an einer Stelle eines Smart Grid, kann sich in dieser kritischen Infrastruktur unter Umständen ungehindert ausbreiten. Ausfälle zentraler Komponenten wie etwa Kommunikationsknoten könnten dann zu massiven Störungen des Energienetzes bis hin zu einem Blackout von Teilbereichen in Europa führen, da die Energienetze auf europäischer Ebene eng miteinander verknüpft sind.

IT ist auf sich selbst bezogen …

Technologien, die die IT funktional erweitern und verbessern, können gleichzeitig effizientere und komplexere Angriffe auf dieselbe IT ermöglichen. Diese Tendenz zeigt sich heute schon durch das vermehrte Auftreten von Advanced Persistent Threats (APT), wie sie für industrielle Steuerungs- und Leitsysteme zu beobachten sind. Auf die Organisation bezogen bedeutet dies, dass die IT auf diejenigen zurückwirkt, die sie einführen – ein Bumerang-Effekt. Das Fatale: Jede neue Technologie kann sofort und mit hoher Kompetenz für neue Angriffe und neue Missbrauchsmöglichkeiten auf höherem technischem Level genutzt werden. Die Angreifer und damit die Angriffe nehmen so in Zahl und Qualität zu. Die Informationssicherheit hinkt den Angreifern immer weiter hinterher.

… und setzen Destruktivkräfte frei

Jede neue Technologie lässt wieder neue Mittel und Wege für Angriffe und Missbrauch entstehen. Die IT für sich genommen stellt keine Bedrohung dar; im Gegenteil: Sie ist für eine Steigerung der Produktivität und damit des allgemeinen Wohlstands in einem vorher unbekannten Ausmaß verantwortlich. Je weiter verbreitet die IT ist, je bedeutender sie für alle Lebensbereiche ist, desto „attraktiver“ ist es für Angreifer, sie zu missbrauchen – sei es, um sich zu bereichern, sei es, um anderen zu schaden. Vor dem Hintergrund des weltweiten sozialen Ungleichgewichts, den bestehenden strafrechtlichen Grauzonen, den Einschränkungen, denen Strafverfolgungsbehörden durch nationale Grenzen unterliegen, sowie der uneinheitlichen Rechtsprechungen weltweit ist zu befürchten, dass die Cyberkriminalität in Zukunft dramatisch anwachsen wird.

IT-Risiken sind kaum messbar …

IT-Risiken sind nicht sichtbar, „entziehen sich vollständig dem unmittelbaren menschlichen Wahrnehmungsvermögen“ . Sie werden „prinzipiell argumentativ vermittelt“ . IT-Risiken müssen daher mit Instrumenten der Informatik messbar gemacht werden. Diese Messungen bleiben aber interpretierbar, da es keine direkte Messgröße für IT-Risiken gibt. Sie sind deshalb nur schwer oder gar nicht berechenbar, was sie nicht zuletzt immer wieder zum Gegenstand von Auseinandersetzungen innerhalb von Unternehmen, in der Politik oder zwischen Interessenvertretungen macht. Im täglichen Geschäft werden IT-Risiken regelmäßig zu niedrig bewertet. Der Kostendruck und die vermeintliche Erfahrung – besser gesagt: die vermeintliche Nicht-Erfahrung mit Sicherheitsvorfällen – obsiegen über vernünftige Annahmen und Schätzungen. Hinzu kommt, dass das Management sich niedrige IT-Risiken „wünscht“, um kostspielige und aufwändige Maßnahmen zu vermeiden. Auch bei IT-Risiken gilt, dass „das Bewusstsein das Sein“ bestimmt. Letztlich bleibt die Frage zu klären, wer für Sicherheit bezahlt oder bezahlen soll. Erst wenn hier eine Lösung gefunden wird, scheint eine realitätsnähere Analyse möglich.

.. und werden als Schicksal wahrgenommen

IT-Risiken sind nicht sichtbar, bleiben interpretierbar und unterliegen den verschiedenen Spielkräften in Gesellschaft, Staat und Unternehmen. Zudem führen die Komplexität der IT, der Verantwortlichkeiten und Abhängigkeiten sowie die hoch differenzierte Arbeitsteilung in der IT dazu, dass Einzelursachen und Verantwortlichkeiten bei Sicherheitsvorfällen meistens nicht identifiziert werden können. Dies vergrößert wiederum den Raum der Interpretierbarkeit dieser Risiken. So gilt auch hier: „Man kann etwas tun und weitertun, ohne es persönlich verantworten zu müssen“ . IT-Risiken werden oftmals als Bürde wahrgenommen, zugleich entbindet dieses scheinbar unabwendbare Schicksal von aller Verantwortung. Anders ausgedrückt: Man steht IT-Risiken einerseits (scheinbar) hilflos gegenüber, gleichzeitig dienen sie aber dazu, sich von Verantwortung frei zu machen: konkret vor der Verantwortung, Sicherheitsmaßnahmen umzusetzen, was Geld, Zeit und Nerven kostet.

Folgerungen für die IT-Sicherheit im industriellen Bereich

Informationssicherheit muss heute gerade für den industriellen Bereich der Steuerungs- und Leitsysteme den beschriebenen Charakteristiken der IT-Risiken Rechnung tragen. Die Globalität der IT-Risiken zwingt zu einem gemeinsamen Handeln. So werden sowohl von staatlicher Seite als auch von der Unternehmensseite Institutionen wie ein CERT (Computer Emergency Response Team) betrieben werden müssen, die länder- und unternehmensübergreifend arbeiten. Nationale und internationale Behörden müssen den klaren Auftrag verfolgen, ein Bewusstsein für IT-Risiken zu schaffen und diese transparent darzustellen. Lösungen für die Informationssicherheit auf nationaler wie internationaler Ebene sind zu erarbeiten, aufeinander abzustimmen und schlussendlich zu implementieren. Außerdem müssen Standards bezüglich der Informationssicherheit – insbesondere für den industriellen Bereich der Steuerungs- und Leitsysteme – definiert und auch durchgesetzt werden (siehe etwa IEC 62443, IEC 62531) . Dabei ist es unumgänglich, einen ganzheitlichen Ansatz zu verfolgen, um systematische Sicherheitslücken auszuschließen. Bei all diesen Maßnahmen muss die Awareness für IT-Risiken bei Verantwortlichen in Gesellschaft, Politik und Unternehmen als Grundvoraussetzung für die Verbesserung der Informationssicherheit angesehen werden. Mit der NIS–RL Richtlinie 2016/1148, dem IT-Sicherheitsgesetz und den dazugehörigen Verordnungen sowie der Ausarbeitung und Anwendung entsprechender Normen, wie etwa der IEC 62443, sind die richtigen Schritte in diese Richtung getan und werden in Zukunft weiter ausgestaltet werden müssen.