Quelle: “Der Offizier” (Beitrag als PDF), Autor Herbert Saurugg, weiter zum Teil 2

Seit dem Ende des Kalten Kriegs vor 25 Jahren haben sich die Bedrohungsbilder und -szenarien wesentlich verändert. Von einer relativ einfach überschaubaren bipolaren Welt sind wir heute in einer hochkomplexen, sehr dynamischen und zunehmend turbulenteren Zeit angelangt. Die Fachwelt verwendet dafür auch den Begriff VUCA – volatil, unsicher, komplex und ambivalent (Englisch: volatility, uncertainty, complexity and ambiguity). Diese Entwicklungen betreffen so gut wie alle Lebensbereiche. Gleichzeitig haben sich unsere altbewährten Denkmuster kaum verändert. Doch reicht das aus, um mit den neuen Herausforderungen zurechtzukommen?

Die vorliegende systemische Betrachtung wird mit einem Blick über den Tellerrand aktuelle und zukünftig erwartbare sicherheitspolitische Herausforderungen aus einem etwas anderen Blickwinkel beleuchten.

Ein wesentlicher Treiber für die Veränderungen nach dem Ende des Kalten Krieges war die exponentiell ansteigende Verbreitung von Informations- und Kommunikationstechnologien (IKT), der Basistechnologie des 5. Kondratieff-Zykluses, ab den 1990er Jahren. Mit den Kondratieff-Zyklen werden zyklische Wirtschaftsentwicklungen in der Dauer von rund 40-60 Jahren, wo je eine Basistechnologie/-innovation die Entwicklungen bestimmt hat, beschrieben. Demnach befinden wir uns aktuell im abklingenden 5. bzw. am beginnenden 6. Zyklus, also in einer Umbruchphase.

Eine solche Umbruchphase wird auch von verschiedenen anderen Autoren und mit unterschiedlichen Blinkwinkeln für diese Dekade erwartet, welche sich mit der Transformation von der Industrie- zur Netzwerkgesellschaft zusammenfassen lässt. Ausschlaggebend dafür ist die zunehmende technische Vernetzung auf Basis der Informations- und Kommunikationstechnik. Eine steigende Vernetzung in einem System führt zu mehr Dynamik und Komplexität.

Systeme

Ein System beschreibt die funktionale Zusammensetzung von verschiedenen Systemelementen zu einem Ganzen. Entscheidend dabei sind die Beziehungen zwischen den Systemelementen, das „Wirkungsgefüge“ bzw. die „unsichtbaren Fäden“. Ein System ist daher mehr als die Summe der Einzelelemente. Was unspektakulär klingt, hat dennoch weitreichende Folgen, wie unzählige Beispiele bezeugen. Ob das beim Ausbruch des Ersten Weltkrieges (es ging zu Beginn eigentlich nur um Serbien), im Umweltbereich (Wildbachverbauungen, Umweltverschmutzung), bei der Entwicklungshilfe (Brunnenbau), bei Großprojekten wie dem Berliner Flughafen oder auch beim Finanzcrash 2007/2008 war, immer wurden die „unsichtbaren Fäden“ zu anderen Systemen bzw. Umwelten unzureichend berücksichtigt bzw. unterschätzt.

Was konkret ein System ist, hängt von der jeweiligen Betrachtung und Detaillierung ab. Ob man etwa ein Molekül, eine Zelle, ein Organ, den Menschen, oder sein Sozialsystem betrachtet. Ein System kann auch eine inhaltliche, eine zeitliche und/oder eine soziale Grenze zu seiner Umwelt aufweisen. Daher darf ein System nicht als etwas Absolutes oder Starres verstanden werden.

Zudem wird zwischen einfachen, komplizierten und komplexen Systemen unterschieden. Einfache und komplizierte Systeme (etwa Maschinen) sind relativ einfach steuer-, manage-, und kontrollierbar. Komplizierte Systeme mögen unübersichtlich bzw. undurchschaubar erscheinen. Sie verfügen aber über einen standardisierten „Bauplan“ und lassen sich in ihre Einzelteile zerlegen und anschließend wieder zusammensetzen, ohne dass sich dadurch die Funktionalität oder das Systemverhalten ändert. Ganz im Gegensatz zu komplexen Systemen.

Komplexe Systeme

Steigt die Vernetzung in einem System bzw. mit der Umwelt, so entstehen komplexe Systeme mit einem differenzierten Systemverhalten. In komplexen Systemen kommt es zu laufenden Rückkopplungen, die den weiteren Prozessverlauf beeinflussen bzw. verändern. Es entstehen Eigendynamiken. Einfache Ursache-Wirkungszusammenhänge gehen verloren, die Steuerbarkeit (Management) sinkt bzw. wird unmöglich. Es kommt zu langen Ursache-Wirkungsketten. Eingriffe wirken sich häufig erst zeitverzögert aus und sind irreversible (zum Beispiel Klimawandel). Es entsteht die Gefahr einer Übersteuerung. Kleine Ursachen können zu großen Wirkungen führen und umgekehrt. Viel Aufwand mit wenig Ergebnis. Es kommt zu indirekten Wirkungen (Nebenfolgen), die im Vorhinein kaum abschätzbar sind und daher durch unsere etablierten Risikobewertungsmethoden nicht erfasst werden (können). Eine fehlende Reichweitenbegrenzung ermöglicht Domino- und Kaskadeneffekte, die umso verheerender ausfallen können, je größer das vernetzte System ist. Die Lösung eines Problems schafft leicht neue Probleme (Gefahr von Aktionismus). Es kommt zu exponentiellen Entwicklungen und zur Erhöhung der Dynamik, mit denen wir nur sehr schlecht umgehen können.

Das alles mag auf den ersten Blick wenig Praxisbezug aufweisen. Bei einer näheren Betrachtung finden sich jedoch unzählige Beispiele aus dem täglichen Leben, wo genau diese Aspekte eine ganz zentrale Rolle spiel(t)en. Hinzu kommt, dass wir erst seit sehr kurzer Zeit mit komplexen technischen Systemen konfrontiert sind und es noch wenig Erfahrungswissen gibt. Beispiele wie, die zeitverzögerten negativen Auswirkungen durch das Internet (Cyber-Angriffe, Sicherheitsschwachstellen), ein Terroranschlag der zwei Kriege zur Folge hatte (9/11) oder ein fehlgeleitetes Finanzsystem, immer spielt die unterschätzte Komplexität und Nicht-Steuerbarkeit eine Rolle. Zeitgleich sind wir permanent von komplexen Systemen umgeben, da die Natur nur aus offenen, dynamischen und damit komplexen Systemen besteht.

Emergenz

Hinzu kommt, dass mit dem Grad der Vernetzung auch die Emergenz in einem System steigt. Unter Emergenz wird die spontane Herausbildung von neuen Eigenschaften oder Strukturen infolge des Zusammenspiels der Elemente in einem System verstanden. Die Eigenschaften der Elemente lassen dabei keine Rückschlüsse auf die emergenten Eigenschaften des Systems zu, was wiederum dazu führt, dass es zu einer spontanen Selbstorganisation und zu einer Nichtvorhersagbarkeit der Entwicklungen kommt. Berücksichtigt man diese Aspekte bei der Betrachtung von aktuellen Entwicklungen, so erscheinen diese in einem neuen Licht.

Islamischer Staat

So wird etwa begreifbarer, wie faktisch aus dem Nichts eine Organisation wie der Islamische Staat (IS) unrühmliche Weltbekanntheit erlangen konnte. Nur durch die Möglichkeiten der technischen Vernetzung konnte eine spontane und weitreichende Selbstorganisation erfolgen. In diesem negativen Fall führte das innerhalb kürzester Zeit zu einer weiträumigen Destabilisierung und Schreckensherrschaft. Verstärkt wurde das Ganze durch die Desinformations- und Propagandamöglichkeiten, die durch das Internet bereit gestellt werden. Daran ist aber weniger das Transportmedium schuld, als viel mehr, wie wir uns selbst dadurch manipulieren (lassen).

Die Gegenreaktionen – insbesondere die Luftschläge – zeigen bisher wenig Wirkung. Ganz abgesehen davon, dass die Folgewirkungen kaum abschätzbar sind. Die steigende Sorge vor möglichen Anschlägen in anderen Ländern ist daher mehr als begründet, werden diese doch mit einer Zersplitterung deutlich wahrscheinlicher. Nichts zu tun, wäre aber genauso falsch, womit sich hier die Widersprüchlichkeit (VUC-Ambivalenz) widerspiegelt.

Terrorismus

Um Terrorismus begegnen zu können, muss man zuerst seine Funktionsweise verstehen, wenngleich es keinen homogenen Terrorismus gibt. Kurz und knapp dargestellt wirkt Terrorismus im Wesentlichen zweimal. Einmal durch die unmittelbaren Auswirkungen etwa eines Anschlages und das zweite Mal, durch die beim Opfer hervorgerufenen Reaktionen. Aus verschiedenen Untersuchungen ist etwa bekannt, dass in der Regel die Sekundärschäden wesentlich höher sind, als die Schäden durch das unmittelbare Ereignis. So geht man heute davon aus, dass die Folgekosten von 9/11 in die Billionen gehen. Damit führt eigentlich nicht das unmittelbare Ereignis, sondern die Reaktionen darauf zu den wesentlich größeren Schäden und dies nicht nur auf finanzieller Basis oder so offensichtlich, wie nach 9/11. Eine große Anzahl von unschuldigen Menschen verlor in Folge des „Kampfes gegen den Terror“ ihr Leben. Neben den unzähligen Soldaten eine noch viel größere Anzahl von Zivilisten – direkt, aber auch indirekt. Zudem haben wir erhebliche Freiheitseinschränkungen oder eine sehr weitgehende Überwachung in Kauf genommen, um vermeintlich die Sicherheit zu erhöhen, was aber eher einen Trugschluss darstellt, wie sich im weiteren Verlauf noch zeigen wird.

In den vergangenen Jahren gab es jedoch auch positive Beispiele, wo nicht sofort überreagiert wurde. Etwa nach den Anschlägen auf das öffentliche Verkehrssystem in London im Jahr 2005, da man Anschläge erwartet und sich darauf vorbereitet hat. Auch nach dem Einzeltäteranschlag in Norwegen, wo 2011 77 Menschen getötet wurden, wurde auf eine Anlassgesetzgebung und Überreaktion verzichtet.

Ein für die westliche Welt de facto unlösbares Problem stellen die geänderten Zielvorstellungen von aktuellen Terrorgruppen dar. Während im 20. Jahrhundert mit Terrorismus noch vorwiegend (regional)politische Ziele verfolgt wurden, wozu man etwa auch Rücksicht auf die (gegnerische) Bevölkerung nehmen musste, hat sich das seit 9/11 grundlegend geändert. Fundamentalistische, vorwiegend islamische Gruppierungen, verfolgen nicht mehr irdische Ziele, womit wichtige Hemmschwellen wegfallen. Es sollte daher mit deutlich höheren Schäden durch zukünftige terroristische Anschläge gerechnet werden.

Ursachen für Terrorismus

Die derzeitige „Terrorismusbekämpfung“ ist weitgehend nur eine Symptombekämpfung. Selten wird versucht, den möglichen Ursachen auf den Grund zu gehen und dort anzusetzen. Der deutsche Risikoforscher Ortwin Renn wie auch der Soziologe Ulrich Beck sehen gerade in der zunehmenden Unzufriedenheit mit ungerechten Vermögens- und Machtverhältnissen eine Ursache, die zu sozialer Unzufriedenheit bis hin zu aggressiven Handlungen, wie sozialem Aufruhr, Fanatismus und Terrorismus führen. Hier besteht wiederum ein unmittelbarer Bezug zu unserer westlichen Lebensweise und zu unserem Konsumverhalten. Eine reine militärische oder sicherheitspolitische Herangehensweise greift daher bei weitem zu Kurz und lässt viele Aspekte unberücksichtigt. Hinzu kommt, dass es hierfür keine einfachen technischen Lösungen, wie sie sonst gerne versprochen werden, gibt.

Cyber-Bedrohungen

Ähnlich wie beim Terrorismus erfolgt die Auseinandersetzung auch mit den Cyber-Bedrohungen. Während sie lange Zeit vernachlässigt wurden, ist hier nun ebenfalls sehr viel Aktionismus und Scheinsicherheit zu beobachten.

Während sich viele Organisationen und Initiativen auf die Erhöhung der Daten- und IT-Sicherheit fokussieren, bleiben andere weit wesentlichere Aspekte oft unberücksichtigt. So gibt es etwa seit Monaten Hinweise auf gezielte Cyber-Angriffe auf westliche Energieversorgungsunternehmen, die vermeintlich aus Russland kommen, was bei Cyber-Angriffen nie eindeutig feststellbar ist. Hier sollten auf jeden Fall die Alarmglocken läuten. 2007 hat die Versetzung eines russischen Denkmals zu einem massiven – nicht, wie häufig dargestellt wird, rein staatlich koordinierten – Cyber-Angriff auf Estland geführt, der auch gerne als erster Cyber-War dargestellt wird. Damals waren weitgehend „nur“ virtuelle Systeme betroffen. Heute könnte dabei unsere wichtigste und zugleich kritischste Infrastruktur zum Ausfall gebracht werden, geplant oder auch ungeplant. Dabei sollte dringend davon Abstand genommen werden, einen klaren Akteur auszumachen. Gerade Cyber-Angriffe können äußerst rasch außer Kontrolle geraten und unvorhergesehene Eigendynamiken entwickeln, da jeder, der sich gerade berufen fühlt und die Voraussetzungen mitbringt, daran teilnehmen kann, ohne dass es dazu einer zentralen Koordinierung bedarf – sozusagen eine spontane Selbstorganisation erfolgt.

In der Schweiz wurde dieses Szenario als Ausgang für die Sicherheitsverbundsübung 2014 (SVU 14) herangezogen, in Folge dessen es zu Instabilitäten im Stromversorgungssystem kommt, was wiederum zu einem Blackout – einen plötzlichen, überregionalen und länger andauernden Strom- und Infrastrukturausfall – führt. Dabei wurde als noch viel schlimmer die darauffolgende mehrwöchige Strommangellage identifiziert, da wir weder als Gesellschaft noch unsere Infrastrukturen auf ein solches mögliches strategisches Schockereignis vorbereitet sind. Auch der aktuelle Schweizer Risikobericht 2015 schätzt eine Pandemie und eine mehrwöchige Strommangellage bzw. ein Blackout als die wahrscheinlichsten und folgenschwersten Ereignisse für die Schweiz in absehbarer Zukunft ein. All diese Szenarien kennen keine Ländergrenzen. Zum anderen zeigt sich hier, dass die Betrachtung einer Domäne alleine nicht ausreicht, sondern auch die möglichen Querverbindungen („unsichtbaren Fäden“) erfasst und berücksichtigt werden müssen.

Auf der Hackerkonferenz Black Hat 2014 zeigten Forscher, wie es ihnen gelungen ist, einen in Spanien bereits millionenfach ausgerollten „intelligenten“ Stromzähler („Smart Meter“) zu kompromittieren und eine Fernabschaltung über das Netzwerk zu initiieren. Möglicherweise ein neues und finanziell lukratives Geschäftsmodell für die Organisierte Kriminalität, oder für Akteure, die nichts Gutes im Schilde führen.

Aber es muss gar nicht immer ein Angriff sein. Eine aktuelle deutsche Studie kommt zum Schluss, dass mit einem intendierten „Gierverhalten“ der Konsumenten beim Einsatz von „intelligenten“ Stromzählern Blackouts ausgelöst werden könnten. Das erfordert natürlich zusätzlich ein gerade instabiles System, was derzeit aber immer häufiger gegeben ist. Dabei spielt die Vernetzung und die reine Fokussierung auf monetäre Vorteile eine wesentliche Rolle. Ein solches Verhalten hat bereits 2012 auf der Stromhändlerseite beinahe zur Katastrophe geführt.

Ein anderes Beispiel für nicht intendierte Nebenfolgen passierte am 01.01.2010. Damals versagten in Deutschland rund 30 Millionen EC- und Kreditkarten, da die Mikrochips fehlerhaft programmiert waren. Die betroffenen Kunden konnten weder an Geldautomaten Bargeld abheben noch damit bargeldlos bezahlen. Ein solcher Fehler in einer wichtigen Komponente in einer hoch vernetzen Infrastruktur hätte wahrscheinlich verheerende Folgen.

Auch wenn es bisher überraschender Weise noch keine größeren Zwischenfälle gab, befinden wir uns hier in einer gefährlichen „Truthahn-Illusion“. Ein Truthahn, der Tag für Tag von seinem Besitzer gefüttert wird, nimmt aufgrund seiner täglich positiven Erfahrung an, dass die Wahrscheinlichkeit, dass etwas Gravierendes passiert, von Tag zu Tag kleiner wird. Sein Vertrauen steigt mit jeder positiven Erfahrung (Fütterung). Am Tag vor Thanksgiving (bei dem traditionell die Truthähne geschlachtet werden) erlebt der Truthahn allerdings eine fatale Überraschung. Auch wir orientieren uns gerne an der Vergangenheit und übersehen dabei leicht die sich vor uns veränderten Rahmenbedingungen.

Aktuelle Cyber-Sicherheitskonzepte berücksichtigen viele dieser Faktoren nur bedingt, geht es doch häufig vorwiegend um Datendiebstahl, Cyber-Kriminalität und Datenschutz bzw. nur um die Verhinderung oder Meldung von Ereignissen. Ganz abgesehen davon, dass Cyber-Defence in einem vernetzten System keine zweite Verteidigungslinie darstellt, wie das derzeit gerne gesehen wird.

Gasversorgung

Im Zusammenhang mit dem schwelenden Konflikt mit Russland wurde im Herbst 2014 ein europäischer Stresstest bei der Gasversorgung durchgeführt. Die Regulierungsbehörden versuchten zu beruhigen, indem festgehalten wurde, dass bei einer Gaslieferunterbrechnung aus Russland für mehrere Monate keine Gefahr droht. Gleichzeitig hätte 2012 der damalige Engpass in der Gasversorgung beinahe zum Blackout geführt. Zum anderen führt eine nähere Betrachtung der Gasversorgung zu Tage, dass wir eigentlich wider den Aussagen der Regulierungsbehörden kaum große Spielräume haben, um längere Gaslieferunterbrechungen kompensieren zu können. Besonders spannend dürfte daher der Winter 2015/16 werden, nachdem im Gegensatz zu 2014 Anfang August die österreichischen Speicher statt mit 81 % nur zu 48 % gefüllt waren. Auch auf europäischer Ebene gab es zu diesem Zeitpunkt eine erhebliche negative Bilanz von fast 20 %. Auch hier wissen wir meistens nicht, welche sonstigen Abhängigkeiten und Wechselwirkungen es noch gibt. Außer etwa, dass die Lebensmittelgrundversorgung massiv von einer funktionierenden Gasversorgung abhängig ist.

Sonnenstürme

Eine völlig andere Bedrohung für unsere moderne Lebensweise geht etwa von Sonnenstürmen (Koronaler Massenauswurf) aus. Die OECD hält dazu in ihrer Studie „Future Global Shocks – Geomagnetic Storms“ fest:

„Geomagnetic storms can be categorized as a global shock for several reasons: the effects of an extreme storm will be felt on multiple continents; the resulting damage to electric power transmission will require international cooperation to address; and the economic costs of a lengthy power outage will affect economies around the world.“

Flüchtlingsströme

Dieses Thema hat nur bedingt mit der Kritischen Infrastrukturen zu tun, führt aber vor Augen, wie schnell unsere bisher bewährten Bewältigungsmechanismen mit neuen Szenarien überfordert sein können. Wobei es hier wohl mehr am Willen und „Silodenken“ als am Können scheitert. Zudem zeigt sich, dass die Zivilgesellschaft durchaus bereit ist, die Dinge selbst in die Hand zu nehmen und zu helfen, wenngleich es dazu eine viel größere negativ eingestellte Gruppe gibt. Hier zeigt sich, dass man mit ignorieren – was lange genug passiert ist – Probleme nicht aus der Welt schaffen kann. (wird fortgesetzt)

Beitrag als PDF – weiter zum Teil 2