Chaos und Resilienz bei KRITIS

Hochverfügbarkeit war gestern. Seit geraumer Zeit wird bei kritischen In­frastrukturen (KRITIS) und anderer vermeintlich oder real ­lebenswichtiger IT lieber von Resilienz gesprochen. Aber was hat das aus der Psychologie stammende Konzept, das vom lateinischen Wort für „zurückspringen“ kommt, mit Angriffen auf Wasserwerke und technischem Versagen bei Stromnetzen zu tun?

Die Kognitionspsychologen Daniel Kahneman und Amos Tversky haben schon Ende der Siebzigerjahre experimentell bewiesen, dass Menschen Entscheidungen nicht rational treffen. So gehen wir beispielsweise größere Risiken ein, um den Status quo zu erhalten, als um eine Situation zu verändern (Status-quo-Verzerrung). Außerdem fürchten wir (auch un­wahrscheinliche) Verluste mehr, als dass wir mögliche Gewinne wertschätzen. Während das in ökonomischen Situationen wie etwa bei der Geldanlage zu ungünstigen Strategien führen kann, geht es bei KRITIS um die Sicherheit der Versorgung mit lebenswichtigen Dienstleistungen. Doch leider führt die Wirkung der unter dem Namen „Prospect Theory“ (zu Deutsch etwa „Neue Erwartungslehre“) bekannten Logik dazu, dass wir die Sorge um kleinere Com­pliance-Probleme überbetonen, während wir die Vorsorge für wahre Krisen vernachlässigen. Aus demselben Grund besteht wenig Motivation, wirklich starke Securityprogramme, die eventuell einen positiven Effekt haben könnten, umzusetzen.