Transparenz ist nicht das Problem: Öffentliche Stellen brauchen widerstandsfähige Strukturen und Informationsmanagement

CC by Erik van Dijk

Nach Angriffen auf Kritische Infrastruktur (KRITIS), wie jüngst auf die Berliner Stromversorgung, mehren sich Rufe aus der Politik nach einer Neubewertung von Transparenz und Offenheit. Statt um den Aufbau resilienter Strukturen geht es um einen Abbau von Veröffentlichungspflichten. Dabei ist ein besserer Informationsfluss für die Erstellung eines großen Lagebilds im Krisenfall unabdingbar. Auch nichtstaatliche Akteur:innen spielen bei Prävention und Versorgung eine große Rolle und müssen darüber hinaus in der Lage sein, die Vorkehrungen des Staates überprüfen zu können.

Regierungskoalition will Abbau von Veröffentlichungspflichten

Forderungen nach einem Rückbau von Transparenzregelungen kommen nicht aus dem luftleeren Raum. Bereits im Dezember wurde auf der Innenministerkonferenz der Beschluss (IMK) „KRITIS-Vulnerabilitäten verringern – Open-Data-Strategie überprüfen“ gefasst. Darin fordert die interministerielle Konferenz, sich auf allen Ebenen für einen Abbau bestimmter Veröffentlichungspflichten einzusetzen, um Sicherheitsbedürfnissen Rechnung zu tragen. In einer Protokollnotiz merkte das BMI an, dass es für KRITIS-Betreiber oftmals bereits Ausnahmeregelungen gäbe, die aber nur selten angewendet würden und rekurrierte dabei auf einen nicht für die Öffentlichkeit bestimmten Bericht zu einem „Ausgleich Transparenzpflichten mit Wirtschaftsschutzbelangen“.

Heute wurde nun der Entwurf für ein KRITIS-Dachgesetz im Bundestag diskutiert. Mit dem Gesetz möchte die Regierungskoalition unter anderem mehr Ausnahmeregelungen für KRITIS-Betriebe schaffen und in Abwägungsprozessen über Veröffentlichungen Sicherheit den Vorrang geben. In einem zusätzlichen Entschließungsantrag aus dem Innenausschuss, dem die Fraktionen der CDU/CSU, SPD und AfD zustimmten, wird Bezug auf den Anschlag in Berlin genommen. Darin wird unter anderem gefordert, “bereits veröffentlichte, öffentlich zugängliche Infrastrukturinformationen zu überprüfen und, wo möglich, konsequent aus den öffentlich zugänglichen Bereichen zu entfernen”. Zudem soll auch auf europäischer Ebene darauf hingearbeitet werden, die Veröffentlichungspflichten für KRITIS-Betreiber zu reduzieren.

Datengrundlage für Resilienz

Störungen in einer offenen, vernetzten Gesellschaft sind nicht komplett zu verhindern. Stattdessen gilt es, Systeme so zu gestalten, dass sie trotz Teilausfällen funktionsfähig bleiben und sich schnell von Schaden erholen. „Systeme“ sind dabei nicht rein technisch zu verstehen, sondern immer ein Zusammenspiel von Technik und Mensch.

Verlässliche und zugängliche Daten und Informationen sind von entscheidender Bedeutung, um Handlungsfähigkeit sicherzustellen – vor, während und nach Krisen. Im Sinne einer umfassenden Data Governance müssen dazu alle notwendigen Informationen zu einem großen Lagebild zusammengefügt werden. Nur auf dieser Grundlage können fundierte Entscheidungen getroffen werden.

  • Prävention und Vorsorge für den Krisenfall: Offene Daten ermöglichen es verschiedenen Akteur:innen, etwa aus Verwaltung, Wissenschaft und Zivilgesellschaft, sich für den Ernstfall vorzubereiten. Informationen zu Bevölkerungsdichte, demografischen Strukturen und Standorten kritischer Einrichtungen (wie Krankenhäuser oder Pflegeheimen) erlauben es, bessere Vorsorge- und Versorgungsstrategien zu entwickeln.

  • Daten für Versorgung und Koordination während des Krisenfalls: Sind von einer Krise viele Menschen betroffen, muss Hilfe gut organisiert und müssen Notfallmaßnahmen schnell koordiniert werden. Rettungskräfte sowie zivilgesellschaftliche Helfende benötigen ein präzises Bild der betroffenen Gebiete. Die Bevölkerung braucht Informationen über Notunterkünfte, Schutzanlagen, Trinkbrunnen und Standorte der sogenannten „Katastrophenschutz-Leuchttürme“. In der bisherigen Praxis bei Trinkbrunnen zeigen sich die Nachteile von eingeschränkter Verfügbarkeit von Informationen. Während der Zugang für die Öffentlichkeit erschwert wird, können Saboteure ohnehin an die Informationen gelangen. Dies verhindert ihre Einbindung in freie Karten- und Warnsysteme und kann im Ernstfall wertvolle Zeit kosten.

  • Daten für Unternehmen: Eine Geheimhaltung von Infrastrukturinformationen hätte auch weitreichende Folgen für im öffentlichen Raum tätige Unternehmen. Die AG KRITIS hat im Nachgang des Anschlags in Berlin bereits mehrfach auf etwa drohende „Baggerbisse“ bei Tiefbauarbeiten hingewiesen.

  • Lernen für die Zukunft: Eine resiliente Stadt zeichnet sich auch dadurch aus, dass sie aus einem Krisenfall lernt. Für eine systematische Aufarbeitung müssen Daten für unabhängige Forschung und die Öffentlichkeit zugänglich sein.

Wissen schafft Vertrauen

Wissen über die Versorgungslage sowie eine transparente Offenlegung darüber, was im Krisenfall funktioniert hat und wo Verbesserungsbedarf besteht, stärkt zudem auch das Vertrauen der Bürger:innen. Die Open-Data-Informationsstelle des Landes Berlin gibt in diesem Beitrag einen Überblick über die aktuelle Datenlage im Krisenfall sowie welche (offenen) Daten noch fehlen und welche Daten nur für den internen Gebrauch aufbereitet werden sollten (z. B. die technische Infrastruktur von Rechenzentren oder Notstrom- und Kraftstoffversorgung kritischer Einrichtungen wie Krankenhäuser).

Durch Geheimhaltung dieser Informationen ist für die Öffentlichkeit zudem nicht überprüfbar, ob der Staat die Katastrophenvorsorge im Sinne des Gemeinwohls angemessen durchführt. Werden Ressourcen nach Bedarf verteilt und gerecht eingesetzt? Oder gibt es Unterschiede je nach sozial-ökonomischer Struktur der Stadtviertel, beispielsweise bei vorhandenen Notbrunnen? Auch die Planung notwendiger Priorisierungen im Katastrophenfall sollte öffentlich diskutiert und unter Einbezug vielfältiger Interessen erarbeitet, und nicht in geheimen Aushandlungen von wenigen entschieden werden. Fragen der sozialen Gerechtigkeit im Krisenfall müssen transparent überprüfbar sein.

Auch wenn es in Zeiten von Wahlkampf und Aufmerksamkeit vielversprechend scheint: Die Illusion von Sicherheit durch Geheimhaltung schafft mehr Probleme als sie zu lösen vorgibt. Außerdem ist es illusorisch, durch das nachträgliche Entfernen von Infrastrukturinformationen, die bereits seit Jahren im Internet vorhanden sind, für mehr Sicherheit zu sorgen. Unterschiedlichste Bedrohungslagen, von gezielten Angriffen über Unfälle und Naturereignisse wie Extremwetter, lassen sich nicht durch Geheimhaltung abwehren (im Übrigen auch nicht durch Kameras). Zentrale Infrastruktur ist mit bloßem Auge sichtbar, sei es der Stromkasten in der Nachbarschaft oder ein Mobilfunkmast. Zu wissen, dass ein Angriff dank resilienter Strukturen nur geringen Schaden anrichtet, macht einen Angriff darauf weniger attraktiv und somit unwahrscheinlicher. Ausfälle könnten sich zudem auch durch die Klimakrise in Zukunft öfter ereignen. Für eine vernetzte Stadt wie Berlin bedeutet das, nun dringend in eine resiliente Infrastruktur zu investieren.

Auch Open Source Software und Hardware kann Resilienz erhöhen

Für eine resiliente Zukunft ist die Digitalpolitik, insbesondere der Umgang mit Daten und Informationen, von zentraler Bedeutung. Im Bündnis F5 haben wir darüber hinaus 20 elementare Bausteine einer resilienten digitalen Infrastruktur identifiziert. Darunter findet sich der konsequente Einsatz von freier und Open-Source-Software (FLOSS) sowie die Förderung von reparierbarer, verständlicher und reproduzierbarer Hardware (Open Hardware). Im neuen Forschungsprojekt „PODEST“ erforschen wir gemeinsam mit Partner:innen aus Technik- und Sozialwissenschaften Potenziale von Open Source Hardware für die dezentrale Energieversorgung.