Letzte Aktualisierung am 16. Januar 2015.
Quelle: www.sicherheits-berater.de
Was sind „kritische Infrastrukturen“? Eigentlich ist diese Frage ganz einfach zu beantworten, denn das Bundesministerium des Inneren (BMI) hat das alles sehr schön definiert und in neun Sektoren mit entsprechenden Branchen strukturiert
Aber mit der Definition ist es bekanntlich nicht getan, denn viele, erstaunlich viele, Ereignisse lassen erkennen, dass bei den Konsequenzen des Schutzes der kritischen Infrastrukturen noch nicht viele Ergebnisse erkennbar sind.
Nehmen wir den nicht so seltenen Stromausfall durch Witterungseinflüsse: Schnee- und Eis-Katastrophen, wie sie auch bei uns schon vorgekommen sind (glücklicherweise nur mit Auswirkungen überwiegend in ländlichen Gebieten), werden auch künftig möglich sein. Auch wenn professionelle Entwarner behaupten, dass ein solches Szenario für eine Großstadt wie München, Berlin oder Hamburg auszuschließen sei, der Sicherheits-Berater glaubt nicht daran und kann es auch begründen:
- die meisten Vorsorgeüberlegungen gehen von einem „Fehler“ aus. Nur selten wird das gleichzeitige Zusammentreffen mehrerer Fehler erwogen, fast nie wird mit mehr als drei Gleichzeitigkeiten geplant.
- Die Analyse von Unternehmens-Großschäden zeigt durchweg, dass derartige Ereignisse durch das Zusammentreffen von mehreren Fehlern geprägt werden. Die Fehler sind zum Teil versteckt und spielen im laufenden Betrieb keine Rolle. Erst im Schadensprozess treffen sie mit anderen Fehlern zusammen, kumulieren oder multiplizieren sich gar.
- Übungen sind keine Härtetests. Wenn also eine Krisenübung angesetzt wird, sind zwar auch die dabei erzielten Ergebnisse oft erschreckend, aber selbst nach Behebung der festgestellten Mängel nicht gerade abschließend zielführend.
- Das Hauptproblem ist, dass Ereignisprozesse nicht zu Ende gedacht werden.
Nehmen wir den Bereich Gesundheit:
- Krankenhäuser haben Netzersatzanlagen. Sie haben teilweise Dieselaggregate. Aber es gibt auch Gasturbinen. Bei flächendeckendem Stromausfall sind der Gasdruck aber auch die Steuerung stromabhängig. Die Steuerung der Haustechnik – das zeigten Tests – hängt sehr oft nicht an der USV (unterbrechungslosen Stromversorgung), sondern an der Netzersatzanlage.
- Dialyse erfolgt nicht nur in Krankenhäusern, sondern auch und überwiegend bei niedergelassenen Spezialisten. Sie haben keine Netzersatzanlagen und die Krankenhauskapazitäten reichen nicht, die so zu erwartenden zusätzlichen Patienten aufzunehmen.
- Ein kleines Notstromaggregat für eine Praxis ist erschwinglich – aber: Die elektrotechnisch störungsfreie und mit der Medizintechnik kompatible Einbindung kostet schnell 10.000 Euro. Aber selbst, wenn man billigere Lösungen beschränkt auf die Dialyseapparaturen und eine notwendige Beleuchtung erreichen will, dann haben wir noch das Problem mit dem Sprit. Bei flächendeckendem und mehrtägig anhaltendem Stromausfall funktioniert z. B. in ganz Berlin nur eine einzige Tankstelle (die selbst über eine Notstromversorgung ihrer Pumpen verfügt).
Eines steht fest: Es fehlt an systematischen Analysen von Ereignisketten und Nebenwirkungen. Es fehlt an Systemanalyse und „Zu-Ende-Denken“. Es fehlt an Geld, zu Ende Gedachtes prozessfähig zu sichern. Keine Kasse zahlt dem Dialysearzt die Notstromversorgung – und vorgeschrieben ist sie auch nicht.
Im Grunde fängt das Problem aber nicht erst bei Großereignissen an. Der Ausfall örtlicher Telefone aufgrund eines Brandes einer Unterverteilung eines Telekommunikationsanbieters führte dazu, dass weder Feuerwehr noch Polizei erreichbar waren. Ein Backup der Provider und der Netze bereitzustellen – darüber denkt keiner nach.
Kommentar
Daher geht es längst nicht mehr nur um den Schutz Kritischer Infrastruktur (SKI), sondern auch um den Schutz VOR Kritischer Infrastruktur. Also um gesamtgesellschaftliche resilienzsteigernde Maßnahmen – wie kann die Gesellschaft bei einem Ausfall von Kritischer Infrastruktur die Schäden minimieren bzw. präventiv robuste Infrastruktursysteme gestalten. Fragen, die sich mit rein betriebswirtschaftlichen Überlegungen nicht beantworten lassen.
Wir sollten aber bei Infrastruktursystemen, wo unser Gemeinwohl ganz erheblich von deren Systemsicherheit abhängig ist, andere Maßstäbe anwenden.
Dazu gibt es beim Sicherheits-Berater ebenfalls ein sehr passendes Zitat: „Wer im Brustton der Überzeugung vor sinnlich nicht erfahrbaren Sicherheitsrisiken warnt, stößt oft genug auf völliges Unverständnis. Zugegeben, wenn dann später genau diese Sicherheitsrisiken in jeder Talkshow rauf und runter diskutiert werden, stellt sich doch zumindest ein Gefühl der Rehabilitierung ein. Schade nur, dass das meist erst dann passiert, wenn aus den Sicherheitsrisiken ernsthafte Sicherheitsprobleme erwachsen sind.“