Bild: m00osfoto – Shutterstock
Digitale Realpolitik für die Cloud-Gesellschaft – Teil 1 des Beitrags veröffentlichten wir im letzten Magazin. Heute ergänzt der Autor seine Gedanken um drei Punkte.
Souveränität ist immer „organisierte Heuchelei“ wie Stephen Krasner in „Sovereignty: Organized Hypocrisy“ (1996) wortgewaltig argumentiert, aber genau deshalb ist es eins der mächtigsten Konzepte, das unser Handeln informiert und leitet.
Abstrakt gesprochen versteht man unter Souveränität die Fähigkeit einer natürlichen oder juristischen Person zur Selbstbestimmung. Geprägt ist das Konzept vom Eigentumskonzept im römischen Privatrecht und von einer territorialen Linse, durch die wir es sehen. Als normatives Konzept gibt es uns einen Rahmen, gegen den wir die Realität prüfen können, nicht aber eine realistische Perspektive auf unsere Realität. Digitale Souveränität umfasst also unsere Fähigkeit, selbstbestimmt im Netz zu agieren, und das ist erst einmal nichtterritorial.
Trotzdem ist, wenn wir nach digitaler Souveränität fragen, unser Denken überlagert von Vorstellungen aus dem Mittelalter, von Burggräben und Einfallstoren. Diese Metaphern sind an sich nicht falsch, können aber nur bis zu einem gewissen Grad handlungsleitend sein. Intelligente IT-Sicherheitspolitik bleibt nicht bei diesen nationalistischen Bildern stehen, sondern fängt da erst an zu fragen. Ein hämischer Blick auf die NSA, wo ein Mitarbeiter Geheimes ohne Probleme aus dem Burgfried der NSA mitnehmen konnte, erhöht nur unseren globalen Zynismus, nicht unsere Sicherheit. Wenn wir allerdings akzeptieren, dass Sicherheit nicht durch das Bild mittelalterlicher Burggräben geleitet werden sollte, dann müssen wir fragen, wovon dann? Und was können wir tun?
Es geht uns ja um die Sicherheit und das Vertrauen unserer Organisationen, ob privat- wirtschaftlich, öffentlich-rechtlich oder gesellschaftlich strukturiert. Und das kann nie absolut gesehen werden. Sicherheit ist immer in Relation zum Aufwand zu sehen: Wie viel Sicherheit brauche ich für welche Prozesse und Daten? Es bedarf also einer Kategorisierung und Festlegung von Schutzbedarfen. Ziel einer solchen Schutzbedarfsfeststellung ist es, zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Organisationen bestehen aus technischen Architekturen (Gebäuden, Maschinen, IT-unterstützten Prozessen, Kommunikationstechnologien), Regeln und Normen (Gesetzen, Verordnungen, Vorschriften etc.) und Kulturen (implizite und explizite Verhaltenskodizes). Organisationen definieren sich durch Prozesse, die Wertschöpfung generieren. Organisationelle Sicherheit in der Cloud-Gesellschaft kann also nur im Zusammenspiel dieser harten und weichen Faktoren generiert werden, von materieller Sicherheit, IT-Sicherheit und personeller Sicherheit.
Es geht also um technische, rechtliche und kulturelle Fragestellungen. In den meisten Organisationen sind diese in einzelne Disziplinen ausdifferenziert (bspw. Gebäudeschutz, Prozess-Architektur, IT-Sicherheit, Geheimschutz, Datenschutz, Vertragsgestaltung, Risiko-Management etc.), und das Zusammenspiel zwischen diesen Bereichen ist oft noch nicht optimiert. Wir müssen in allen Organisationen Querschnittsfunktionen einführen, die das Zusammenspiel dieser unterschiedlichen Disziplinen orchestrieren und damit einen multidisziplinären Kompetenzaufbau vorantreiben. Sicherheit ist aber nicht allein eine Fragestellung einer Organisation, sondern wird über das Zusammenspiel zwischen Organisationen gewährleistet, denn unsere Welt ist vernetzt geworden.
Ein Kernprinzip des IT-Sicherheitsdenkens ist, dass sich Angreifer natürlich immer das schwächste Glied in der Kette suchen werden. Deshalb ist die Realisierung eines Gesamtüberblicks über die Sicherheit der vernetzten Wertschöpfungskette einer Organisation (oder eines Staates) in der Cloud-Gesellschaft von größter Bedeutung. Dabei geht es nicht (allein) um die Verschiebung von Verantwortlichkeiten (denn was nützt es, wenn ich im Falle eines Angriffs auf einen Subunternehmer zeigen kann?), sondern um die Gewährleistung der funktionalen Integrität der gesamten Wertschöpfungskette meiner Organisation, sowohl innerhalb als auch außerhalb ihrer Grenzen.
Wir müssen weg vom Burggraben und hin zum Denken in vernetzten Wertschöpfungsketten bzw. in -flüssen. Diese können gesichert werden, indem wir multidisziplinäre Kompetenz aufbauen und mehrschichtig über Sicherheit nachdenken. Ein Schichtmodell hilft uns, dieses Zusammenspiel zwischen unterschiedlichen Abstraktionsniveaus und zwischen den unterschiedlichen Disziplinen zu visualisieren. Kurz angerissen geht es um Folgendes:
Wir brauchen (a) gehärtete Infrastrukturen und eine von uns kontrollierte Verschlüsselung aller relevanten Daten, (b) klassische Abwehrmechanismen wie Firewalls und Intrusion Detection. Darüber müssen wir (c) eine Auswertung aller Datenflüsse in Echtzeit legen, um Irregularitäten zu erkennen, und wir müssen (d) im Austausch mit anderen vertrauenswürdigen Partnern Sicherheit gewährleisten. Sicherheit kann nur im Zusammenspiel zwischen den Disziplinen und zwischen Organisationen, die sich mit technologischen Fragestellungen (Prozess-Architektur und Kommunikationssysteme), rechtlichen (Datenschutz, Geheimschutz und Vertragsgestaltung) und kulturellen (Kommunikation, Marketing) Fragestellungen beschäftigen, gewährleistet werden.
Auf ein höheres Niveau heben. Nur wenn es uns gelingt, uns von dem territorialen Verständnis von Sicherheit und ihren nationalistischen Politiken zu lösen, wenn wir die multidisziplinäre Kompetenz für Sicherheitspolitik in unseren Organisationen entwickeln, wenn wir Sicherheit als eine Aufgabe betrachten, im Zuge derer wir klar definierte Schutzbedarfe mit mehrschichtigen Sicherheitsmaßnahmen angehen, können wir Sicherheit in der Cloud-Gesellschaft gewährleisten. Das Thema ist zu wichtig, als dass wir es kurzfristigen politischen Interessen unterordnen sollten. Sonst besteht die Gefahr von nichtintendierten Konsequenzen von großer Tragweite. Und wir brauchen nur einen Blick zurück auf 1914, um zu verstehen, wie brutal diese sein können. Wir sollten versuchen, diese einfachen, aber realistischen Gedanken in den Diskurs einzubringen, und auch wieder mehr Gespräch mit unseren transatlantischen Partnern suchen.