Was ist unsere IT wert, wenn wir sie nicht unter Kontrolle haben? Digitale Souveränität ist ein Konzept das zunehmend in der europäischen und Schweizer Debatte auf die Agenda rückt. Um die Wichtigkeit dieser Debatte zu verstehen, sollte man sich vor Augen führen, was passiert wenn Abhängigkeiten zu Risiken werden. Was kann man tun um mit den Risiken umzugehen, die eine global vernetzte IT-Landschaft impliziert?
Ein Drehbuch für einen Horrorfilm
Wir schreiben das Jahr 2030. In der Schweiz bricht die IT-Infrastruktur zusammen. Der Zahlungsverkehr für diverse Dienste (u.A. Visa, Paypal, Apple Pay) ist ausgesetzt und Konsumenten müssen auf Bargeld umsteigen. Steuererklärungen, Arbeitslosenanträge, Betreibungsauskünfte von Millionen Schweizer Bürgern müssen mittels Brief an die Behörden gesandt werden, es kommt zu erheblichen Verzögerung. Zudem steht die E-Mail Kommunikation vieler Behörden und KMU komplett still.
Was ist passiert? Der schwelende Handelskonflikt zwischen den Vereinigten Staaten und der Schweiz ist eskaliert. Eine Schweizer Grossbank weigert sich eine Millionenstrafe wegen vorgeworfener Wahlkampfunterstützung eines Konkurrenten des amtierenden US-Präsidenten zu zahlen. Daraufhin hat der Präsident der Vereinigten Staaten per Dekret amerikanische IT- und Cloud-Provider dazu verpflichtet Dienste für Schweizer Bürger vorübergehend einzustellen.
Wir werden alle sterben!
Drama? Drama! Ich höre den Leser fragen und sagen: „Geht’s auch eine Nummer kleiner? Ja klar, der Weltuntergang steht vor der Tür und morgen kommen die Aliens. Was ist denn bitte so schlimm an Excel? Hast du gesehen, was ich mit PowerPoint zaubern kann?“
Zugegeben, dass morgen die IT-Infrastruktur zusammenbricht und alle Konserven in Migros und Coop ausverkauft sind, ist relativ unwahrscheinlich. Dass es Engpässe beim Toilettenpapier geben kann, war 2019 auch unwahrscheinlich.
Also: Unwahrscheinlich? Klar! Unmöglich? Nicht unbedingt.
Wie hortet man IT?
Zumindest sollten wir darüber nachdenken, was man tun könnte falls ein solches Krisenereignis eintrifft. Konserven und Wasser lassen sich gut in der Vorratskammer verstauen. Aber wie geht das mit Daten und IT? Für mich kein Problem: Ein paar USB-Sticks und die Festplatte mit allen Familienfotos in den Safe im Keller. Und die Unternehmen?
Meine mittelgrosse Firma kriegt das hin! E-Mails, Dokumente, Daten – ab in den Keller. Haben wir einen Keller? Ok, wohin auch immer. Alles auf USB-Sticks? Das wird schwer. Vielleicht wären Server besser – aber die brauchen Wartung, Infrastruktur und Security. Vielleicht doch nicht so einfach. Apropos Sicherheit, wie macht das die Armee und der Staat in meinem Horrorszenario? Noch grössere Keller und noch mehr USB-Sticks?
Data Governance am Ende des Tunnels
Für eine Krise braucht es Planung, eine Strategie, Konzepte und Richtlinien. Hier kommt unsere Data Governance ins Spiel. Um für eine Krise vorzubeugen, sollte man sich überlegen, wie man seine Infrastruktur plant und wie man im Krisenfall die eigenen Dienste aufrecht erhalten kann.
So gäbe es zum Beispiel folgende Handlungsoptionen, die man in einem Data Governance Framework integrieren kann:
- Entwickeln von Richtlinien und Kriterien um Souveränität der Dateninfrastruktur bereits im Planungsprozess mitzudenken
- Planung von Redundanzen um dem Krisenfall vorzubeugen
- Rollen schaffen, die Resilienz der Dateninfrastruktur überwachen und einfordern
Für Data Governance sollten daher zu bestehenden Fragen wie, „Wer ist verantwortlich und welchen Kriterien sollten unsere Daten genügen?“, Fragen zur Souveränität hinzukommen: „Wie gross ist das Risiko dass meine Daten nicht mehr genutzt werden können und welche Schritte muss ich unternehmen, um die Risiken und etwaige Kosten zu reduzieren?“
Ich sehe was, was du nicht siehst
Zugegeben, „Data Governance“ ist nicht unbedingt ein griffiger Name für einen Superhelden. Aber das muss es auch nicht. Vielleicht ist Data Governance vielmehr der heimliche Wichtel, der mit Fleiss und Planung im Hintergrund für ein glückliches und sicheres Zuhause sorgt.
Für unsere gegenwärtige Weltlage gilt jedenfalls: Nur wer selbstbestimmt mit seinen Daten umgehen kann, ist im Datenzeitalter souverän. Der Weg zu mehr Selbstständigkeit im digitalen Raum mag steinig erscheinen. Aber er muss begangen werden. Die Augen vor Risiken zu verschliessen, wird diese nicht auslöschen.
Wir haben gerade erst begonnen das Problem der Abhängigkeit bewusster wahrzunehmen. Wir stehen ganz am Anfang. Doch der Wille etwas zu verändern und sich eines Problems bewusst zu werden, ist bereits der erste Schritt.
