Denn Sie wissen nicht, wie abhängig Sie sind

Es gibt Dinge, die lernst du einmal und sie bleiben immer richtig und brauchbar, zum Beispiel die Grundrechenarten, eine Sprache oder das Zehnfingersystem. Wunderbar verlässlich! Andere Dinge, die in einem Moment richtig sind, haben im nächsten ihre Gültigkeit verloren, etwa die Zahl der Erdenbürgeri*nnen: Was ich in der Volksschule gelernt habe, konnte ich im Gymnasium wieder kübeln. Anfang der 80er Jahre sang Georg Danzer noch: „Vier Milliarden Menschen, vier Milliarden Träume“ – so viele Menschen lebten damals auf der Welt. Vier Jahrzehnte später, im November 2022, haben wir schon die Acht-Milliarden-Marke überschritten. Aber auch wenn das ein exponentielles Wachstum ist, liegt immerhin eine Kontinuität in der Entwicklung. Damit sich das schlagartig ändern würde, müsste schon ein Supervulkan ausbrechen.

Von so einer Beständigkeit kann man in der IT-Security nur träumen: Hier kann etwas, das lange als Nonplusultra galt und in das Unternehmen viele Ressourcen gesteckt haben, plötzlich doch in Frage stehen. So könnte es auch mit der vielgepriesenen Cloud-Technologie sein, jedenfalls wenn es um kritische Infrastrukturen geht. Bernhard Haslhofer, Forschungsgruppenleiter am Complexity Science Hub Wien und Mitgründer des Blockchain-Analyse-Unternehmens Iknaio, sagt dazu: „In den letzten zehn bis 15 Jahren ist es zum Industriestandard geworden, auf Cloud-Dienstleister zu setzen. Mittlerweile funktionieren alle Logistikzentren, jedes Großhandelslager von jedem Supermarkt teilweise vollautomatisiert, computergesteuert, datengesteuert. Und Daten werden sehr oft standardmäßig in der Cloud gespeichert, aber auch die Applikationen, die die Abläufe steuern, werden in der Cloud betrieben.“ Das sei grundsätzlich nichts Negatives und aus betriebswirtschaftliche Gründen nachvollziehbar: „Es geht um Kosteneinsparung, Effizienzsteigerung und auch um technische Vorteile.“
Doch die meisten Cloud-Dienstleister sind Anbieter aus Drittländern mit anderen Jurisdiktionen. Und nun lassen die globalen Entwicklungen befürchten, dass irgendwann quasi geopolitisch ein Supervulkan ausbricht. Dann kann sich der Vorteil der Cloud-Services schnell als Nachteil entpuppen, weil Lieferketten kritischer Infrastrukturen sehr einfach durch andere Länder gestört werden können. Dafür muss sich noch nicht mal jemand in ein System hacken oder ein Kraftwerk anzugreifen – es reicht, das Steuerungssystem für ein Großwarenlager auszuschalten. Haslhofer: „Rein theoretisch könnte ein Cloud-Anbieter einem Kunden das Service abschalten. Das ist ein Befehl und schon steht ein neuralischer Punkt in der Lieferkette.“
„Jeder spricht vom Blackout, aber vom Cloudout spricht derzeit noch keiner“, sagt Haslhofer. Man sollte Abhängigkeiten in Lieferketten also unbedingt auch auf der IT-Ebene hinterfragen. Dazu braucht es aus seiner Sicht vor allem Transparenz: „Unsere Herangehensweise wäre zu versuchen, systematisch und datengesteuert zu messen, von wem und in welchem Ausmaß man abhängig ist und was passieren würde, wenn der Cloudanbieter ausfällt.“ Das Complexity Science Hub würde sich gern dieser Forschungsaufgabe annehmen, doch noch gebe es keinen geeigneten Rahmen dafür. Haslhofer geht aber davon aus, dass das Thema bald hohe Relevanz gewinnen werde, speziell im Zusammenhang mit der Debatte um die „Digitale Souveränität“ Europas.

Übrigens: Unternehmen, die nicht Teil der kritischen Infrastruktur sind, müssen nicht gleich ihren Cloud-Dienstleister kündigen. Aber sicher täten auch sie gut daran zu überlegen, wie sie ihre IT wieder unabhängiger und resilienter aufstellen könnten.