Neue Unwägbarkeiten
Wer glaubt, Lieferketten in der industriellen Produktion seien lang und komplex, hatte bisher wohl wenig mit den neuen Dienstleisterpyramiden der IT zu tun. Ob einzelne Netzwerkdienste oder die komplette IT-Sicherheit, ob Monitoring as a Service oder die gesamte IT, ob Online-Payment oder gleich die ganze Buchhaltung: Was Firmen heute alles delegieren können, füllt Bibliotheken. Doch auch die Beauftragten lagern selbst immer mehr aus.
Jeder verlässt sich darauf, dass der andere einen guten Job macht und die vertraglich geregelten Aufgaben erfüllt. Das muss er wiederum seinem eigenen Auftraggeber garantieren können. Dass System- und Komponentenausfälle oder Konfigurationsfehler ihre Auswirkungen über mehrere Glieder dieser Dienstleisterketten entfalten, ist logisch und leider üblich. Und dass der Sand, den ein Angriff auf ein einzelnes Rad kippt, sich irgendwann weitläufig im gesamten Getriebe verteilt, war zumindest zu erwarten – und wurde durch die REvil-Attacke auf Kaseya eindrücklich bewiesen.
Doch welche Konsequenzen sind daraus zu ziehen und was ließe sich ändern? Die Cyberkriminalität eindämmen? Ein frommer Wunsch, solange Ländergrenzen für Cyberkriminelle geringere Hürden darstellen als für Ermittlungsbehörden, solange Gier und moralische Derangiertheit insgeheim als Kavaliersdelikte gelten und Großschurken und Despoten wie Wladimir P. nach Belieben schalten und walten können.
Das Rad zurückdrehen und die Ketten verkürzen? Für regional und nachhaltig agierende Selbstversorger ist in einer derart global verzahnten Branche kein Platz. Und selbst wenn der Einzelhändler oder die Arztpraxis sich in IT-Fragen vertrauensvoll an den Dienstleister in der Nachbarschaft wendet: Der spätestens bezieht seine IT-Ressourcen aus der ganzen Welt.
Das Rad stattdessen gezielt weiterdrehen und die Sicherheitsmechanismen und Standards erhöhen? Das scheint zumindest die logische und praktikabelste Konsequenz, doch dafür trägt irgendwer die Kosten. Üblicherweise fällt diese Aufgabe dem Endverbraucher zu. Er bezahlt das durch höhere Produktpreise, verursacht durch höhere Infrastrukturkosten, die samt und sonders an die IT-Branche fließen, womit zumindest dort die Welt wieder in Ordnung wäre.
Doch ist das nicht der einzige Preis, den die Gesellschaft dafür zu zahlen hat. Denn auch ein Weiterschrauben der Cyberrüstungsspirale wird nicht verhindern können, dass in Europa Lebensmittelgeschäfte schließen müssen, weil eine IT-Firma auf der anderen Seite des Globus einem Hackerangriff ausgesetzt ist. Das nächste Mal könnte es auch Apotheken, Krankenhäuser, Tankstellen, Verkehrsbetriebe oder andere Infrastrukturdienstleister treffen. Denn sollte dieses IT-Business-Modell Bestand haben, werden wir alle mit diesen neuen Unwägbarkeiten leben müssen.