Die Karikatur zeigt ein Risikoszenario: Abhängigkeiten werden zu Gefahren, wenn Zugänge zu Plattformdiensten durch Jurisdiktion eingeschränkt werden können. Spätestens dann haben wir ein Sicherheitsthema. Genau dort wird es für die Gefahrenabwehr ernst, da wir längst digitale Kernprozesse und Abhängigkeiten haben: beispielsweise bei Alarmierung, Kommunikation, Lageführung.
Einige typische Abhängigkeiten, die man als Risikokette prüfen sollte:
📱 Alarmierungs-Apps, die auf Apple Push oder Google Push als Plattformkanal angewiesen sind: Was ist die Redundanz, wenn Zustellung, Priorisierung oder Verfügbarkeit regional eingeschränkt werden oder Rahmenbedingungen sich ändern?
☁️ Fachanwendungen und Daten-/Geoinformationsplattformen, die auf US-Hyperscaler-Infrastruktur betrieben werden und/oder im Zweifelsfall als US-amerikanisches Unternehmen dortigen politischen Realitäten Rechnung tragen müssen (z.B. AWS, Google): Was ist der Notbetrieb, wenn Services in bestimmten Regionen limitiert werden? Reicht die Zusicherung der Unternehmen vor dem Hintergrund des Cloud-Acts, alle Daten und Prozesse auf europäischem Boden abzubilden, aus?
💻 Cloud-Desktop- oder Identity-Abhängigkeiten in der Verwaltung (z.B. Windows 365 bzw. zentrale Microsoft-Cloud-Dienste): Was ist der handlungsfähige Offline-/Degraded Mode, wenn Kernservices nicht mehr verfügbar sind?
🛰️ Redundante digitale Kommunikationskanäle: dürfen Kostengründe der Hauptausschlag sein, sich von einem US-amerikanischen Anbieter für Satellitenkommunikation abhängig zu machen?
Gefahrenabwehr braucht digitale Souveränität als Architekturprinzip. Beginnend beim Hosting über die Datenversorgung bis zur Kommunikation. Kritische Prozesse müssen auch dann funktionieren, wenn einzelne externe Plattformen plötzlich neue Leitplanken setzen.
Auch die Hersteller müssen sich in meinen Augen mit der Fragestellung beschäftigen, inwieweit man sich durch Integration kritischer, da beeinfluss- oder einschränkbarer Technikkomponenten, in Abhängigkeiten begibt oder ob man beispielsweise Geoinformationssysteme nicht besser selbst entwickelt und nicht den Core des eigenen Produkts um einen amerikanischen Datenprovider herum aufbaut.
Klar ist: Die Realität auf Hersteller- und Bedarfsträgerseite ist vielfach durch genau diese skizzierten Abhängigkeiten geprägt. Nachvollziehbar, aber die Fragen sind: Kann/muss/darf/soll das so bleiben?
Prüffrage an jede Organisation:
Welche Funktion darf bei Dir niemals von einem externen Ökosystem abhängen und wie sieht die geübte Redundanz aus?
(Aus einem Beitrag von Björn Vetter)
#Resilienz #Bevölkerungsschutz #Gefahrenabwehr #DigitalSovereignty #Krisenmanagement #ITSecurity #Unabhängigkeit #DRK #Feuerwehr #THW #BOS #KRITIS
