Sicherheitsforschung

Was, wenn das Internet ausfällt?

Industrieanlagen und Kraftwerke werden über das Internet gesteuert. Ein Internetausfall würde deren Funktion beeinträchtigen.
Industrieanlagen und Kraftwerke werden über
das Internet gesteuert. Ein Internetausfall würde
deren Funktion beeinträchtigen.
© littlewolf1989 - stock.adobe.com

Im Forschungsprojekt Isidor wurde untersucht, wie sich ein Ausfall des Internets auf die kritische Infrastruktur und die Versorgungssicherheit auswirkt und was das für das staatliche Krisen- und Katastrophenschutzmanagement bedeutet.

In den vergangenen zwei Jahren hat sich das Forschungsprojekt Isidor, gefördert bzw. finanziert im Rahmen des FTI-Programms KIRAS, mit der Frage beschäftigt, welche Folgen es nach sich zieht, wenn das Internet groß-flächig und längerfristig ausfällt. Dies wurde anhand verschiedener Szenarien beobachtet, z. B. bei Ausfällen diverser Internetdienste oder eines Totalausfalls des Internets. Am 28. September 2022 wurden im Rahmen des Forschungsprojekts Isidor bei der Abschlussveranstaltung wesentliche Erkenntnisse sowie die Projektergebnisse vorgestellt. Am Projekt beteiligt ist auch das Institut für Technikfolgen-Abschätzung (ITA) der Österreichischen Akademie der Wissenschaften (ÖAW).

Im Projekt Isidor (Isidor von Sevilla wurde 2019 von der römisch-katholischen Kirche zum Schutzpatron des Internets auserwählt) werden die Folgen einer lang andauernden und großräumigen Einschränkung der Internet-basierten Dienste und Infrastrukturen untersucht. Während das Thema Internetausfall bisher primär aus Sicht der Cybersecurity betrachtet wurde, d. h. die Zeitspanne vor einem Ereignis, adressiert Isidor die Zeitspanne ab Eintritt eines Ereignisses. Dazu gehört das Aufzeigen von Wirkungszusammenhängen und von bisher unerkannten Kaskadeneffekten innerhalb unterschiedlicher Sektoren der kritischen In­frastruktur (KI) sowie sektorübergreifend.

All-Hazard-Ansatz.

Solchen vernetzten Krisen sind Organisationen bzw. Regionen im Alleingang nicht gewachsen, und es ist zu befürchten, dass eine massive Einschränkung von Internet-basierten Diensten eine Kette von Versorgungsengpässen auslösen könnte, die eine Gefahr für die öffentliche Ordnung darstellen. Diesen All-Hazard-Ansatz, der in der Sicherheitsvorsorge das gesamte Spektrum der potenziellen Bedrohungen umfasst, verfolgt auch das APCIP, Austrian Programme for Critical Infrastructure Protection.

Verknüpfung.

Eine entscheidende Rolle nimmt in Isidor das Zusammenbringen wissenschaftlicher Erkenntnisse mit Wissen von Bedarfsträgern und Expertinnen wie Experten ein. Dazu werden Beschäftigte innerhalb des staatlichen Krisen- und Katastrophenschutz-managements (SKKM-Community), KI-Betreiber, Vertreterinnen und Vertreter der Länder und der KI-Sektoren sowie weitere Stakeholder (z. B. A1 Telekom Austria AG, APG Power Grid AG und Verbund Trading GmbH) regelmäßig eingebunden. Eine strategische Krisenmanagementübung des BMI (Serious Game SKKM Isidor), mehrere Fachgruppentreffen sowie weitere Workshops sichern in Isidor einen weitreichenden Lernprozess und einen Mehrwert für potenziell betroffene Bedarfs­träger.
Durch die in Isidor vorgesehene Dokumentation von (Er-)Kenntnissen innerhalb der SKKM-Community sowie von etablierten Prozessen im Fall eines Ereignisses, können Bereiche aufgezeigt werden, die zukünftig verstärkt werden sollten. Simulationsmodelle erlauben außerdem das Durchdenken ausgewählter Handlungsmöglichkeiten des SKKM für einen Ereignisfall. Isidor soll zur Bewusstseinsschaffung der Komplexität vernetzter Krisen und zur Wissensgenerierung über den bestmöglichen Umgang mit vernetzten Krisen beitragen. Die erwarteten Ergebnisse dienen dem SKKM als Basis zur Weiterentwicklung des Resilienz-Managements in den Jahren 2022 und folgend.

SKKM.

Im Staatlichen Krisen- und Katastrophen­management gibt es einen entsprechenden Arbeitsschwerpunkt, der als Anstoß für das Projekt galt und den Ball ins Rollen brachte. Dass eine große Abhängigkeit in den Bereichen Infrastruktur und Technik besteht, ist bekannt. Bislang gab es allerdings keine detaillierte Erforschung, wie die Lage sich nach einem Ausfall auf verschiedene Sektoren auswirken könnte und welche sektorübergreifende Fragestellungen sich dabei stellen.
Das Ziel des Projekts bestand darin, Antworten auf solche Fragen zu finden und so auszuwerten, dass Maßnahmen in der Vorbereitung auf eine Krise die Handlungsfähigkeit verbessern. So würde auch der Impact der Krise im Ernstfall gemildert. Außerdem sollte das generelle Verständnis für den Umgang damit gefördert werden.

Erkenntnisse.

Wie sehr verschiedene Sektoren kritischer Infrastrukturen von einem Internetausfall betroffen sind und was voraussichtlich noch funktionieren würde, wurde ebenfalls erörtert. Etwa die Versorgung mit Trinkwasser und die Entsorgung des Abwassers wären weiterhin möglich. Zu erwarten wäre ebenfalls, dass die Stromversorgung in Österreich dadurch nicht eingeschränkt wird, wobei es trotzdem eine Ausnahmesituation für die Verwaltung der Netze darstellt. Diese könnte eventuelle weitere krisenhafte Ereignisse nicht mehr ausgleichen.

Größere Schwierigkeiten wären zu befürchten, wo im Vorhinein IT-Prozesse und -Ressourcen im Normalbetrieb ausgelagert wurden. Das wäre bei der Verwendung von Cloud-Diensten oder dem Outsourcing von IT-Personal der Fall. Auch mobile IT-Systeme wären betroffen, z. B. bei Patientendokumentationen im Rettungswesen. Der Banken- und Finanzsektor wären ebenfalls stark betroffen, da zahlreiche Geschäftsprozesse ohne Datenkommunikation nicht denkbar sind.

Interviews.

Im Zuge der KIRAS-Studie Isidor wurden bereits im ersten Halbjahr 2021 insgesamt 22 leitfadengestützte semistrukturierte Interviews mit 31 Expertinnen und Experten aus verschiedenen Sektoren durchgeführt. Die wesentlichen Erkenntnisse daraus waren u. a., dass sich viele Unsicherheiten nicht ausräumen lassen. Es kann nicht genau gesagt werden, was wann passieren wird. Unter Umständen ist es zielführender, die Fähigkeiten zum Handeln und sogenannte First Responder zu fördern, als an genauen Prognosen für die Zeit nach einem Schadensfall zu arbeiten. Der Trend zu Konvergenz und Effizienz in Infrastrukturen beseitigt derzeit Puffer im System, dies wirkt sich im Ernstfall negativ aus.
Die Expertinnen und Experten äußerten den Wunsch nach mehr Übungen. Außerdem sind persönliche Kontakte während der Krise wichtig, die allerdings schon vor der Krise geknüpft werden müssen. Das Erkennen der Größe eines Ausfalls bereitet Probleme, das Einbinden von Unterstützungskräften ist wesentlich sowie eine funktionierende Krisenkommunikation, welche vor der Krise eingeübt werden muss.
Ab Ende November 2022 ist der Abschlussbericht des Projekts, eine ausführliche Darstellung der Arbeit daran inklusive sämtlicher Ergebnisse und Empfehlungen verfügbar: https://short.boku.ac.at/Isidor 

Nicole Felicitas Antal


Öffentliche Sicherheit, Ausgabe 11-12/2022

Druckversion des Artikels (PDF 303 kB)