Die Wahrnehmung der IT als latentes Konfliktfeld des 21. Jahrhunderts bezog sich bislang vor allem auf ihre Rolle als neues Werkzeug im Repertoire der Militärs. Quasi als Erweiterung und Ergänzung traditioneller Kampfformen zur hybriden Kriegsführung.
„Staats-Hacker“ erproben sich dabei in der Ausspähung von potenziell kritischem Wissen und Informationen bis hin zur temporären Lahmlegung wichtiger Infrastrukturen. Heute erscheint uns das im Rückblick fast rührend spielerisch. Denn spätestens mit dem Ukraine-Krieg muss uns allen klar geworden sein, dass in einer mehr oder weniger durchdigitalisierten Gesellschaft praktisch alle Lebens- und Arbeitsbereiche zu dieser digitalen Gefahrenzone gehören. Die IT ist ihr Gehirn und Rückgrat zugleich. Und je zentraler sie organisiert ist, desto anfälliger ist sie für Attacken. Anders als die Evolution des Lebens, die für ihre hoch- und höchstentwickelten Organismen aus guten Gründen nur ein einziges Gehirn und ein zentrales Rückgrat als optimal herausgemendelt hat, ist dieses Konzept für die IT viel zu gefährlich. Das gilt im Großen wie im Kleinen, für Staaten genauso wie für Unternehmen. Wenn mit einem einzigen Schlag die komplette IT-Infrastruktur lahmgelegt werden kann, gibt es kein Zurück mehr.
Das Zauberwort lautet Risikoverteilung. Und das gilt für alle Ebenen moderner IT. Also nicht nur für die Infrastruktur, sprich die Rechenzentren, sondern auch die darauf aufsetzenden Service-Plattformen und die darüber laufende Software. Ein schlüssiges, sicheres IT-Konzept muss die Dezentralisierung also auf allen drei Ebenen umsetzen – und sie sinnvoll und praktikabel miteinander verbinden. Auf der Infrastruktur-Ebene bedeutet das einen Mix aus regional und international lokalisierten Rechenzentren, deren Zusammenspiel so geschaltet ist, dass der Ausfall eines oder mehrerer Datacenter in Echtzeit von den verbleibenden kompensiert werden kann. Diese Aufgabe ist alles andere als trivial, reicht der Anforderungskatalog dafür doch von der gesicherten Energieversorgung an den Standorten bis zu ausgefeilten synchronen Replikationsmechanismen zur jederzeitigen Sicherung von Verfügbarkeit und Datenintegrität.
Auf Plattform-Level sprechen wir über robuste Cloud-Landschaften als Idealvorstellung. Daher ist auch hier eine dezentrale Aufstellung mit Hybrid- und Multi-Clouds zwingend geboten, also virtualisierte, verteilte Strukturen, die sowohl unabhängig von einem bestimmten Cloud-Anbieter, als auch von den darunterliegenden Rechenzentren sind. Angesichts der neuen Lage bekommt aber auch das Thema Backup und Disaster Recovery neue Brisanz. On-premises-Installationen können quasi die letzten Rettungsanker sein, wenn hier geschäftskritische Daten und Apps, etwa für Groupware oder Messaging, in Reserve liegen. Damit sind wir beim obersten Level des 3-Schichtenmodells, den Anwendungen. Software, die nicht mit dezentralen Infrastruktur- und Plattform-Landschaften harmoniert, ist aus dem aktuellen Zeitfenster schlicht herausgefallen. Nur Cloud-agnostische Software-Stacks bleiben in solchen Strukturen bei Störfällen funktionabel. Proprietäre Software-Lösungen sind mit einer dezentralen IT-Welt dagegen ebenso wenig vereinbar wie herstellerexklusive Bereitstellungsmodelle. Ein kritischer Review der Software-Landschaft gehört daher unbedingt ins Pflichtenheft von Dezentralisierungsprojekten.
Die IT nicht aktiv auf diese Szenarien vorzubereiten und fit zu machen für die Herausforderungen, vor denen wir aktuell stehen, kann bestenfalls als fahrlässig bezeichnet werden. De facto hängen Sicherheit und Prosperität von großen Teilen unserer Gesellschaft davon ab, dass IT-Attacken immer nur begrenzten Schaden anrichten können. Die Illusion, es sei ja noch immer irgendwie gut gegangen, taugt dagegen nicht mal mehr als Gute-Nacht-Lektüre.