www.ethlife.ethz.ch |
Rubrik: Mittwochs-Kolumnen Die andere Sicherheit |
Published: 11.10.2006 06:00 Modified: 11.10.2006 09:03 |
||||||||||||||
Andreas Wenger Der Wirtschaftsstandort Schweiz ist in der Informationstechnologie führend. Im Falle einer grösseren Störung der Informationsinfrastruktur hat sie viel zu verlieren: Mehr als 70 Prozent der Erwerbstätigen arbeiten im Dienstleistungssektor. Die Wirtschaft und der Staat, ja die Wohlfahrt aller Bürger sind immer stärker von der Verfügbarkeit der „digitalen Nervensysteme“ abhängig. Die ETH Zürich leistet seit langem einen gewichtigen Beitrag zur Informationssicherheit – dies allerdings schwergewichtig aus einer technischen und einer betriebswissenschaftlichen Perspektive. Was hat Sicherheitspolitik – mein Fachgebiet – mit Informationssicherheit zu tun? Sehr viel. Unter dem Schlagwort Critical Information Infrastructure Protection (CIIP) beschäftigen sich zunehmend auch Staaten mit dem Schutz von Computern, Informations-Kanälen, vernetzten Systemen und dem Inhalt, der in diesen Netzwerken fliesst. Das Thema ist damit auch für den Politikwissenschaftler hoch interessant. Doch wurde bisher kaum die Frage gestellt, was der Staat zur Produktion des öffentlichen Gutes der Informationssicherheit beitragen kann. (1) Zum einen wohl deshalb, weil staatliche Regulierung in diesem Fall schwierig ist. Andererseits wollen Wirtschaft und Gesellschaft den Staat eher aus diesem Bereich heraus halten. Ein Vergleich der CIIP-Politikbemühungen in 20 Ländern zeigt, dass keine Übereinstimmung besteht darüber „was wann wie und von wem geschützt werden muss“. Zu unterschiedliche Gesichtspunkte prägen die jeweilige nationale Politikformulierung: Setzen die einen CIIP mit IT-Sicherheit gleich, so zielen die andern auf eine möglichst permanente Verfügbarkeit von wichtigen Geschäftsprozessen. Wieder andere verstehen unter CIIP den Schutz der Gesellschaft vor Cyberkriminalität. Und eine letzte Gruppe versteht CIIP als Politik für den ausserordentlichen Fall und damit für Vorkommnisse, welche die ganze Gesellschaft akut gefährden. (2) Wann ist der Schutz kritischer Infrastrukturen eine ganz normale Aufgabe eines privaten Akteurs und wann Gegenstand einer nationalen und allenfalls sogar internationalen Sicherheitspolitik? Die Abgrenzung ist schwierig, weil die neuen Verwundbarkeiten der Informationsgesellschaft kaum berechenbar sind. Das Spektrum möglicher Angreifer reicht von unzufriedenen Mitarbeitern über Industriespione, das organisierte Verbrechen, Fanatiker und Terrorgruppen bis zu feindlichen Staaten. Bei den Angriffsoptionen ist alles denkbar zwischen Hackerangriffen und der gezielten Störung oder Zerstörung von zivilen oder militärischen Einrichtungen. Viele der sensitiven Infrastrukturen werden privatwirtschaftlich, teilweise sogar vom Ausland her kontrolliert. Dies macht die Abgrenzung noch komplexer. Tatsächlich verliert der Staat einen Teil seiner Autorität über das Kollektivgut Sicherheit an die Wirtschaft. Diese wird dadurch sowohl bei der Definition als auch bei der Umsetzung einer CIIP-Politik zum unverzichtbaren Partner. Unklar ist allerdings, ob auch die Wirtschaft eine Zusammenarbeit mit dem Staat wünscht. Eine von uns durchgeführte Umfrage zeigt, dass Schweizer Unternehmen im Bereich der Informationssicherheit zwar gerne mehr zusammenarbeiten würden, die Unternehmen aber je sehr unterschiedliche Bedürfnisse haben. (3) Hier liegt eine Chance für den Staat: Er kann die Gründung von so genannten Warning, Advice and Reporting Points (WARPs) initiieren und Anreizstrukturen für die Kooperation zwischen spezialisierten WARPs schaffen.
Informationssicherheit stellt eine interdisziplinäre Herausforderung dar – das diesbezügliche Forschungspotential ist eine Chance für die ETH Zürich. Denn mit technischen Lösungen allein ist das Problem nicht in den Griff zu bekommen. Und auch die Kräfte des Marktes vermögen keine befriedigende Lösung anzubieten: Alle wollen von der Informationssicherheit profitieren, nur wenige dagegen für die damit verbundenen Kosten aufkommen. Unweigerlich wird damit der Staat den strategischen Rahmen abstecken müssen, wie die wachsende Bedeutung der technischen für die nationale Sicherheit gewährleistet werden kann.
Footnotes:
|