Die soziomaterielle Konstitution von Cybersicherheit in der Dynamik kritischer Informationsinfrastrukturen

Autor/innen

  • Alexandros Gazos Institut für Technikfolgenabschätzung und Systemanalyse (ITAS)

Schlagworte:

Cybersicherheit, Soziotechnische Systeme, Kritische Infrastrukturen, Resilienz, Organisationssoziologie, Techniksoziologie, Technikfolgenabschätzung, Science and technology studies

Abstract

Informations- und Kommunikationstechnologien dringen zusehends in gesellschaftliche Routinen vor und werden zu einem kritischen Faktor in ihrer Aufrechterhaltung. Als kritische Informationsinfrastrukturen sind sie zum essenziellen Bestandteil jeder anderen kritischen Infrastruktur geworden. Aufgrund dieser zunehmenden Verstrickungen und damit einhergehenden Interdependenzen wird Cybersicherheit geradezu zu einer existenziellen Aufgabe. Dabei sehen sich Organisationen, die kritische Informationsinfrastrukturen betreiben, mit einer Fülle an Herausforderungen in System und Umwelt konfrontiert: von der Konvergenz physischer und digitaler Infrastrukturen bis hin zu Cybercrime, -terror und -krieg. Trotz aller Widrigkeiten behaupten sich die Betreiber noch in dem Unterfangen eine hohe Verfügbarkeit ihrer Infrastruktur zu gewährleisten. Doch welche Strukturen und Fähigkeiten benötigen sie für einen sicheren Betrieb? Welche Bewältigungsstrategie wird einem so schwer zu antizipierendem Feld an potenziellen Bedrohungen noch gerecht? Mein Beitrag besteht in einem gegenstandsangemessenen, kohärenten sowie soziologisch informierten Resilienzkonzept, welches ein neues Licht auf die drängenden Fragen der Cybersicherheit wirft, ihre soziomaterielle Bedingung beleuchtet und so der Dynamik in digitalen und kritischen Infrastrukturen gerecht wird. Das Konzept ebnet möglichen Antworten den Weg, indem es organisationssoziologische Theorien mit Ansätzen aus dem Sicherheitsmanagement technischer Systeme verbindet und deren Aspekte einer sozialkonstruktivistischen Reflexion unterzieht.

Literaturhinweise

Bundesamt für Sicherheit in der Informationstechnik. 2022. Die Lage der IT-Sicherheit in Deutschland 2022. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2022.pdf?__blob=publicationFile&v=6 (Zugegriffen: 27.1.2023).

Bundesamt für Sicherheit in der Informationstechnik. 2023. Zero-Day-Exploit. https://www.bsi.bund.de/SharedDocs/Glossareintraege/DE/Z/Zero-Day-Exploits.html?nn=132646 (Zugegriffen: 27.1.2023).

Deibert, Ronald J. 2018. Toward a Human-Centric Approach to Cybersecurity. Ethics & International Affairs 32(4):411–24. https://doi.org/10.1017/S0892679418000618.

Derrida, Jacques. 2003. Eine gewisse unmögliche Möglichkeit, vom Ereignis zu sprechen. Berlin: Merve Verlag.

Endreß, Martin, und Benjamin Rampp. 2014. Resilienz als Prozess transformativer Autogenese. Schritte zu einer soziologischen Theorie. BEHEMOTH – A Journal on Civilisation 7(2):73–102. https://doi.org/10.6094/BEHEMOTH.2014.7.2.834.

Gioe, David V., Michael S. Goodman, und Alicia Wanless. 2019. Rebalancing cybersecurity imperatives: patching the social layer. Journal of Cyber Policy 4(1):117–37. https://doi.org/10.1080/23738871.2019.1604780.

Henschke, Adam. 2021. Terrorism and the Internet of Things: Cyber-Terrorism as an Emergent Threat. In: Counter-Terrorism, Ethics and Technology, Hrsg. Adam Henschke, Alastair Reed, Scott Robbins und Seumas Miller, 71–87. Advanced Sciences and Technologies for Security Applications. Cham: Springer International Publishing. https://doi.org/10.1007/978-3-030-90221-6_5.

Hollnagel, Erik. 2013. Resilience Engineering and the Built Environment. Building Research & Information 42(2):1–8. https://doi.org/10.1080/09613218.2014.862607.

Hopkins, Andrew. 1999. The Limits of Normal Accident Theory. Safety Science 32(2–3):93–102. https://doi.org/10.1016/S0925-7535(99)00015-6.

Hughes, Thomas P. 1987. The Evolution of Large Technological Systems. In: The Social Construction of Technological Systems. New Directions in the Sociology and History of Technology, Hrsg. Wiebe E. Bijker, Thomas P. Hughes und Trevor Pinch,51-82. Cambridge, Massachusetts & London, England: MIT Press,

Knop, Dirk. 2022. Versailler Krankenhaus muss nach Cyber-Angriff Patienten verlegen. heise online. https://www.heise.de/news/Franzoesisches-Krankenhaus-muss-nach-Cyber-Angriff-Patienten-verlegen-7367288.html (Zugegriffen: 27.1.2023).

Krüger, Marco, und Kristoffer Albris. 2020. Resilience Unwanted: Between Control and Cooperation in Disaster Response. Security Dialogue 52(4):343–60. https://doi.org/10.1177/0967010620952606.

La Porte, Todd M. 2006. Organizational Strategies for Complex System Resilience, Reliability, and Adaptation. In: Seeds of Disaster, Roots of Response, Hrsg. Philip E. Auerswald, Lewis M. Branscomb, Todd M. LaPorte und Erwann O. Michel-Kerjan, 1. Aufl., 135–54. Cambridge: Cambridge University Press. https://doi.org/10.1017/CBO9780511509735.012.

La Porte, Todd R., und Paula Consolini. 1991. Working in Practice But Not in Theory: Theoretical Challenges of “High-Reliability Organizations”. Journal of Public Administration Research and Theory 1(1):19–48, Januar. https://doi.org/10.1093/oxfordjournals.jpart.a037070.

Meyer, John W, und Brian Rowan. 1977. Institutionalized Organizations: Formal Structure as Myth and Ceremony. American Journal of Sociology 83(2):340–63.

Nachrichtendienst des Bundes. 2022. Sicherheit Schweiz 2022. https://www.newsd.admin.ch/newsd/message/attachments/72368.pdf (Zugegriffen: 27.1.2023).

Newman, Lily Hay. 2021. A Year After the SolarWinds Hack, Supply Chain Threats Still Loom. Wired. https://www.wired.com/story/solarwinds-hack-supply-chain-threats-improvements/ (Zugegriffen: 27.1.2023).

Perrow, Charles. 1987. Normale Katastrophen. Die unvermeidbaren Risiken der Großtechnik. In: Theorie und Gesellschaft, Hrsg. Axel Honneth, Hans Joas und Claus Offe, übersetzt von Udo Rennert, Bd. 8. Frankfurt/Main; New York: Campus Verlag.

Petermann, Thomas, Harald Bradke, Arne Lüllmann, Maik Poetzsch und Ulrich Riehm. 2011. Was bei einem Blackout geschieht. Folgen eines langandauernden und großflächigen Stromausfalls. Bd. 33. Studien des Büros für Technikfolgen-Abschätzung beim Deutschen Bundestag. Nomos Verlag, Berlin. http://www.tab-beim-bundestag.de/de/pdf/publikationen/buecher/petermann-etal-2011-141.pdf (Zugegriffen: 27.1.2023).

Stöcker, Christian. 2010. Angriff auf Irans Atomprogramm: Stuxnet-Virus könnte tausend Uran-Zentrifugen zerstört haben. Der Spiegel 26. Dezember 2010, Abschn. Netzwelt. https://www.spiegel.de/netzwelt/netzpolitik/angriff-auf-irans-atomprogramm-stuxnet-virus-koennte-tausend-uran-zentrifugen-zerstoert-haben-a-736604.html (Zugegriffen: 27.1.2023).

Weick, Karl E. 2004. Normal Accident Theory as Frame, Link, and Provocation. Organization & Environment 17(1):27–31. https://doi.org/10.1177/1086026603262031.

Weick, Karl E., Kathleen M. Sutcliffe und David Obstfeld. 1999. Organizing for high reliability: Processes of collective mindfulness. In: Research in Organizational Behavior, Hrsg. R. I. Sutton & B. M. Staw, Vol. 21, 81–123. US: Elsevier Science/JAI Press.

Zetter, Kim. 2016. Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid. Wired. https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/.

Downloads

Veröffentlicht

29.09.2023

Ausgabe

Rubrik

Ad-Hoc: Cybersicherheit und Soziologie? Infrastrukturelle Dynamiken der Gegenwartsgesellschaft