Terrorismusbekämpfung

Datenstrategie für das Gefahrenmanagement


Terrorismusbekämpfung: Datenstrategie-Faktoren für das Gefahrenmanagement Comment

Als Reaktion auf die Attentate von Extremisten in Paris und San Bernadino (Kalifornien) wurde von einigen Kommentatoren ein komplettes Versagen der Geheimdienste angeprangert. Das ist sicherlich eine grobe Übertreibung, doch beide Angriffe zeigen, wie schwer es ist, die moderne demokratische Gesellschaft vor Angriffen durch kleine Gruppen und Einzeltäter zu schützen. Die Länder, in denen "Transparenz" und bürgerliche Freiheit einen hohen Stellenwert haben, sind dabei in einer besonderen Zwickmühle.

In einem Land, das keinen Überwachungsstaat nach dem Vorbild der STASI schaffen will, müssen sich Regierung und Industrie fragen, ob aus informationstechnologischer Sicht im Bereich der Beobachtung und Risikobewertung wirklich genug getan wird. Im Moment ist zu dem Zeitpunkt, an dem Beobachtungen durchgeführt werden, das Situationsbewusstsein oft schon zu sehr eingeschränkt.

Bei der Untersuchung von Gräueltaten durch Extremisten – seien es einheimische oder international aktive Täter – treten die Defizite in der Datenstrategie, die das Gefahrenmanagement und Beobachtungsverfahren beeinträchtigen, immer deutlicher zutage. Diese Mängel schränken die Fähigkeit von Behörden auf Landes- und regionaler Ebene ein, sich schnell weiterzuentwickeln und ihre Methoden an immer neue Bedrohungen anzupassen. Die Behörden haben dabei mit vier besonders drängenden Herausforderungen zu kämpfen.

Wucherung von Daten und IT-Systemen [Quelle: Stefano Marmonti, MarkLogic]

Herausforderung Nr. 1: Wucherung von Daten- und IT-Systemen

Behörden aller Art nutzen vielfältige Systeme, aus denen Informationen aggregiert werden müssen. Jedes dieser Systeme hat sich organisch entwickelt und wurde aus bestimmten Gründen zu einem bestimmten Zeitpunkt von einer bestimmten Abteilung erworben. Dabei wurden Marktstudien berücksichtigt und vor dem Kauf mögliche Alternativen analysiert. Es wurden Informationsanfragen ausgegeben und vielleicht auch Branchentage veranstaltet. Antworten auf Ausschreibungen wurden eingeholt, und vielleicht wurde sogar eine engere Auswahlliste anhand von Aspekten wie Funktionalität und Preis-Leistungs-Verhältnis bewertet. Anschließend wurden diese Systeme weitgehend planmäßig implementiert und erfüllten oder übertrafen sogar die festgelegten Anforderungen.

Eine Geheimdienstorganisation kann beispielsweise Geodaten-Informationssysteme, Linkanalyse, Case Management, Biometrik und Such-Tools angeschafft haben, alle zu unterschiedlichen Zeiten, aus verschiedenen Gründen und mit diversen Geldmitteln. Diese Systeme und Tools erfüllen genau oder annähernd, was von ihnen erwartet wird. Was jedoch nie in Betracht gezogen wurde, ist die Integration dieser Systeme auf eine Weise, mit der neue Informationsanwendungen erstellt werden könnten – Anwendungen, die flexibel genug wären, um auf neue Bedrohungen zu reagieren, neue Sensoren oder Beobachtungsverfahren aufzunehmen und mit neu entwickelten analytischen Ermittlungstechniken zu konkurrieren.

Die Lösung für dieses Problem kann nicht lauten, einfach alles zu ersetzen. Das ist nicht nur wirtschaftlich nicht vertretbar, sondern auch viel zu technozentrisch gedacht, denn dabei wird außer Acht gelassen, dass die Anwender in ihren alten Systemen geschult sind, dass sie daher relativ produktiv arbeiten und alle Macken ihrer Systeme kennen. Auch eine schrittweise Einzelintegration all dieser Systeme kann nicht die Antwort sein. Die Organisationen würden dadurch zu einem nie enden wollenden Zyklus von technischen Eingriffen und zunehmend komplexeren Wartungs- und Qualitätssicherungsvorgängen verdammt. Die Systemtechnik gewinnt in diesem Fall schon rein zahlenmäßig die Überhand.

Bei der Systemwucherung, verstärkt durch bürokratische Barrieren zwischen verschiedenen Abteilungen oder Organisationen, besteht die Gefahr, dass einige der Daten verwaisen oder sogar überhaupt nicht mehr verwaltet werden. Dies kann sich direkt auf die Fähigkeit eines Landes auswirken, seine Grenzen zu schützen.

Abschottung von Fachwissen [Quelle: Stefano Marmonti, MarkLogic]

Herausforderung Nr. 2: Abschottung von Fachwissen

Manchmal erfolgt die oben beschriebene Wucherung in Form von separaten analytischen Umgebungen. Diese an Anwendungen oder integrierten Systemen – wie Statistiken, Linkanalyse, GEOINT, Signalen oder OSINT – orientierten Umgebungen sind für Organisationen ein zweischneidiges Schwert. Um eine robuste Benutzerfreundlichkeit und Produktivität innerhalb jeder einzelnen Disziplin zu erhalten, müssen isolierte Daten-Feeds, Projekte oder sogar Ergebnisse im jeweiligen Fachgebiet in Kauf genommen werden. Diese Silo-Lösung erschwert die Interoperabilität, schafft Probleme bei der Synchronisation und Datenkonsistenz und verringert die Rentabilität von Initiativen wie der Konsolidierung von Rechenzentren und der Einführung von Cloud-Architekturen (ob private, gewerbliche oder Hybrid-Cloud).

Die Verwendung einzelner Anwendungen – jede mit ihrer eigenen Datenbank, in der Informationen wie Objekte und Entitäten zu Personen, Organisationen, Veranstaltungen, Orten und Chronologien erfasst werden, – schränkt die Fähigkeit von Extremismusbekämpfungs- und Grenzkontrollorganisationen ein, sich neuen Bedrohungen anzupassen. Außerdem werden hierbei Geld, Zeit und Ressourcen für die Pflege und Speisung der Infrastruktur statt für Projekte und Analysen aufgewendet.

Herausforderung Nr. 3: Vielfältige Interessengemeinschaften

Wenn man komplexe Funktionen wie Gefahrenmanagement, Beobachtung und die anschließende Überwachung betrachtet, sieht man, dass hier die Interessen von vielfältigen Gruppen oder Interessengemeinschaften ins Spiel kommen. Neben den Behörden für öffentliche Sicherheit und Strafverfolgung auf lokaler, bundesstaatlicher, nationaler und internationaler Ebene haben auch Organisationen, die für die Überwachung und den Betrieb kritischer Infrastrukturen verantwortlich sind, gute Gründe, ähnliche Daten abzurufen. Alle aber nutzen diese Daten auf sehr unterschiedliche Weise. Zudem können für viele dieser Informationen granulare Sicherheitskontrollen auf Attribut- oder Wert-Ebene erforderlich sein, damit die kooperierenden Organisationen Daten weitergeben können, ohne dabei sensible Inhalte wie ihre Quellen und Methoden zu gefährden. Darüber hinaus ist der Einfluss von Armut, Bildungsstand, Verfügbarkeit von Sozialleistungen und Transportwegen äußerst komplex, und all dies wirkt sich auf extremistische Handlungen wie organisiertes Verbrechen, Menschenschmuggel und Menschenhandel oder Drogen- und illegalen Waffenhandel aus. Es ist für Verteidigungs-, Geheimdienst- und Strafverfolgungsbehörden schon aus politischer Sicht schwer genug, Informationen auszutauschen. Aber wie sieht die Architektur aus, mit der alle Indikatoren und Warnsignale aus dem sozialen Gefüge erfasst werden können, um auch nur eine grobe Vorstellung davon zu vermitteln, was in jungen Männern und Frauen vorgeht, die mit Hoffnungslosigkeit, wirtschaftlichen Zwängen, Isolation sowie sprachlichen, kulturellen und religiösen Fragen konfrontiert sind? Hier muss größte Sorgfalt angewandt werden, um personenbezogene Daten, die Privatsphäre und beispielsweise auch Krankenakten zu respektieren.

Wenn Gefahrenmanagement-Systeme nicht von Anfang an in dem Bewusstsein entwickelt werden, dass vielfältige Interessengemeinschaften an der Bekämpfung des Extremismus beteiligt sein können, sind kein echter Informationsaustausch und keine echte Zusammenarbeit möglich.

Herausforderung Nr. 4: Umsetzung der Datenwissenschaft

Innovationen in den Bereichen Big Data und Datenwissenschaft werden zweifellos viele Aspekte des Staatsschutzes und der öffentlichen Sicherheit revolutionieren. Ein Blick auf Branchen wie Behörden, Finanzdienstleistungen, Gesundheitswesen und Life Sciences lässt jedoch darauf schließen, dass die derzeitigen Investitionen in die Datenwissenschaft eher experimenteller Natur sind. Damit sollen diese Bemühungen, vor allem in den Bereichen Staatsschutz, Grenzkontrollen und öffentliche Sicherheit, keinesfalls herabgesetzt werden. Es gibt jedoch zwei Lücken, für die bessere Lösungen gefunden werden müssen:

  1. Datenwissenschaft muss wissenschaftlichen Methoden entsprechen. Die Kriterien, die bei der Erstellung eines Überwachungsalgorithmus für Grenzkontrollen angewandt werden, müssen ebenso streng sein wie bei jedem anderen Experiment. Mit der Zeit und mit zunehmender Reife dieser Wissenschaft wird sich dieser Aspekt der Datenwissenschaft zweifellos verbessern. Doch im Moment wird die Datenwissenschaft in vielen Organisationen so gehandhabt, als würde man beobachten, was sich in einer Petrischale entwickelt, ohne die einzelnen Variablen zu isolieren.
  2. Die IT-Architektur für die Datenwissenschaft, häufig eine Ansammlung von Open-Source-Tools rund um Hadoop, erfordert so viel Aufwand und Zeit für Verknüpfungen, dass sie keine Plattform mehr ist, auf der Experimente durchgeführt werden, sondern selbst zum Experiment wird.

Was stattdessen gebraucht wird, ist eine Plattform, die einerseits den wissenschaftlichen Prozess ungehindert unterstützen kann und auf der andererseits die Algorithmen, Modelle, Filter und Musterdetektoren umgesetzt werden können, die "an der Werkbank" erstellt wurden.
Die bisher für die Datenwissenschaft angepriesenen und verwendeten Systemarchitekturen und Tools reichen vermutlich nicht aus, um die gewonnenen Erkenntnisse auf eine praktische Anwendungsumgebung zu übertragen. Beim Gefahrenmanagement muss der Austausch zwischen Algorithmus und Modellerstellung auf der einen Seite sowie der Anwendung in der wirklichen Welt auf der anderen Seite unbedingt zuverlässig und konsequent in Echtzeit erfolgen.

Die Antwort auf die obigen Herausforderungen beschränkt sich nicht auf die Technik. Es sind auch erhebliche organisatorische, kulturelle und prozessbezogene Änderungen erforderlich. Nach den Einblicken zu urteilen, die wir bei der Arbeit mit Dutzenden von Organisationen für Staatsschutz und öffentliche Sicherheit weltweit gewonnen haben, könnten viele Gefahrenmanagement- und Beobachtungsprozesse von einem neuen Blick auf die Datenstrategie profitieren.

Was verstehen wir unter Datenstrategie?

Organisationen müssen ein kohärentes Konzept für die Kuratierung, Integration, Steuerung, gemeinsame Nutzung und Sicherheit von Daten entwickeln. Doch dies wird durch die vier oben genannten Herausforderungen und durch die Vielfalt und Unbeständigkeit der Daten erschwert, die für das Situationsbewusstsein bei Einsätzen gegen Extremisten erforderlich sind. Wir brauchen daher eine Datenstrategie, die all diese Aspekte umfasst und dabei verschiedene Anwendungen, Systeme, Interessengemeinschaften, Organisationen und sogar Nationen einschließt. Die Daten sollten vor allem unabhängig von einzelnen Anwendungen verwaltet werden. Die Strategie muss den Daten-Lebenszyklus, Stakeholder-Attribute, Zugriffskontrollen und Masterdatenverwaltung einbeziehen und den geografischen, zeitlichen und semantischen Kontext berücksichtigen.

Wenn wir die Datenstrategie als Ganzes betrachten, wird deutlich, dass wir an einem Scheideweg stehen. Überall in Organisationen für Staatsschutz, Verteidigung und öffentliche Sicherheit gibt es Dutzende von Systemen, die ohne Synchronisierung angeschafft und implementiert wurden. Wie bereits erwähnt, kommt es nicht infrage, eine Modernisierung von Grund auf durchzuführen, bei der alle Systeme radikal ersetzt werden.

Es gibt einen anderen Weg.

Das Operational Data Hub

Eine mögliche Antwort ist ein Architekturmuster namens Operational Data Hub (ODH) für Unternehmen.

Ein ODH führt alle relevanten Einsatzdaten zusammen, unabhängig von ihrem Format oder Schema. Es bietet die Möglichkeit, alle strukturierten, unstrukturierten, semantischen, geografischen, zeitlichen, Meta- und Sicherheitsdaten zu indizieren und all diese Informationen sicher für Suchen, Datenabgleich/Benachrichtigungen und Untersuchungen über Tools wie Link-Analyse, Geodaten-Informationssysteme und statistische Pakete zu nutzen. Die Integration und Verbreitung werden durch Hooks für Daten und Funktionen vereinfacht, die über REST-Web-Services verfügbar sind.

Das ODH ist nicht für Analysen oder Business Intelligence konzipiert, doch die für ETL-Prozesse, Aggregation und das damit verbundene Datenmanagement aufgewendete Zeit, die erforderlichen Ressourcen und die Komplexität von Analysen oder Datenwissenschaft werden deutlich verringert. Das ODH ist eine Möglichkeit, die für alle komplexen Informationsumgebungen typische Punkt-zu-Punkt-Integration zu umgehen. Auch die kostspielige Notwendigkeit, IT-Systeme komplett zu modernisieren, wird durch das ODH reduziert.

Objektbasierte Intelligenz und Produktion

Ein ODH bietet zwar einen Mechanismus zum Organisieren, Durchsuchen und Kennzeichnen aller relevanten Daten, doch weil Entitäten wie Personen, Organisationen, Ereignisse, Beobachtungen und Chronologien bei der Extremismusbekämpfung und beim Gefahrenmanagement eine besondere Rolle spielen, reicht das allein nicht aus. Die Beteiligten an der Terrorismusbekämpfung und am Gefahrenmanagement müssen in der Lage sein, diese Entitäten oder Objekte auch selbst zu erstellen, weiterzugeben, zu erkennen und zueinander in Beziehung zu setzen.

Jede Entität und jedes Objekt besteht aus vielfältigen Attributen mit jeweils mehreren möglichen Werten. Auch spezialisierte Metadaten zu Abstammung, Herkunft, Zeitraum der Gültigkeit, Analystenkommentaren und Sicherheitskennzeichnungen können aufgenommen werden. Die objektbasierte Produktion bietet Organisationen in der Extremismusbekämpfung und öffentlichen Sicherheit eine Möglichkeit, den Lebenszyklus von Daten für den Staatsschutz dynamischer zu gestalten.

Sowohl ODH als auch diese Objekt- und Entitätsdienste zeigen grundlegende Mängel in RDBMS-Plattformen auf, denn diese würden unter derartig vielfältigen Inhalten und Benutzertypen zusammenbrechen.

Es gibt einen weiteren, ebenso überzeugenden Grund für den Umstieg auf einen objekt- oder entitätsbasierten Ansatz bei der Extremismusbekämpfung. Dies ist der Lebenszyklus der Daten bei Nachrichtendiensten, der durch folgende Phasen gekennzeichnet ist:

  • Erfassung
  • Verarbeitung
  • Auswertung
  • Veröffentlichung

Manche Länder geben Milliarden für die Erfassung und Hunderte von Millionen für die Verarbeitung aus, setzen ihre besten Leute und Analyse-Tools für die Auswertung ein und veröffentlichen dann alles in Form von PDF- und PPT-Dateien. Dabei werden die wichtigen gewonnenen Erkenntnisse und Daten über konkrete Gefahren, Personen, Organisationen und Orte in Dateien eingezwängt, in denen sie nur schwer zu erkennen und in Beziehung zueinander zu setzen sind.

Beim objekt- oder entitätsbasierten Ansatz dagegen werden die Fakten von den Einschränkungen durch die zugrundeliegenden Quellen oder Übersichtsdokumente befreit. Auf diese Weise können alle kooperierenden Organisationen und sogar Länder flexibler und sicherer genau die Informationen austauschen, die sie zur Extremismusbekämpfung benötigen.

Das falsche Gegensatzpaar – Enterprise RDBMS-Produkte und NoSQL-Projekte

Im Allgemeinen besteht kaum Uneinigkeit darüber, dass die Epoche der Relationalen Datenbank-Management-Systeme (RDBMS) ihrem Ende weit näher ist als ihrem Anfang. Die Innovation hat sich verlangsamt, und in Bereichen, in denen führende RDBMS-Anbieter Investitionen tätigen, entsteht nur geringer Nutzen. Die Maßnahmen der Anbieter sind häufig nicht viel mehr als defensive Taktiken, um eine Wettbewerbsfähigkeit des Produkts gegenüber neueren Ansätzen wie NoSQL vorzuspiegeln. Bei genauerer Betrachtung ist diese Einbeziehung neuerer Modalitäten rein oberflächlich und kaum mehr als der Versuch, unstrukturierte Daten in den RDBMS-Kern einzubinden.

Die auf RDBMS aufbauenden Enterprise-Architekturmuster wie Data Warehouses oder Data Marts haben Lösungen für einige der Herausforderungen im Datenbereich gefunden. Sie nutzen dabei jedoch weiterhin hoch strukturierte Quellen. RDBMS-basierte Data Warehouses und Data Marts sind unflexibel und zerklüftet. Das liegt vor allem daran, dass die Daten in einem harmonisierten und normalisierten "Stern"-Schema abgebildet und angeordnet werden müssen. Dabei werden alle Ad-hoc- und verschachtelten dokumentenbasierten Informationen, die für die Extremismusbekämpfung und das Gefahrenmanagement so wichtig sind, ausgegrenzt.

Viele NoSQL-Datenbanken werden sicherlich mit den Herausforderungen 1 und 2 fertig, da sie Daten aller Art berücksichtigen können. Doch die Mehrzahl der verfügbaren NoSQL-Systeme sind Open-Source- und keine Enterprise-Produkte. Open Source ist ein attraktives Konzept mit seinen scheinbar niedrigeren Lizenzkosten, Anpassungsmöglichkeiten für bestimmte Organisationen oder Einsätze und Innovationen durch eine Community, die gemeinsam an Problemlösungen arbeitet. Diese NoSQL-Datenbanken haben jedoch nicht viel zu bieten, wenn es um die Konsistenz der Daten, um Disaster Recovery und Backup, Replikation, den Umgang mit verschiedenen Datentypen und um Hochsicherheit geht. Dadurch wird die Herausforderung Nr. 3 nicht bewältigt – es sei denn, Organisationen widmen sich den weitreichenden Software-Engineering-Aufgaben, die üblicherweise von unabhängigen Softwareanbietern, nicht von Kunden, ausgeführt werden.

Unter dem Strich steht fest, dass Extremismusbekämpfung und Staatssicherheitsbelange mit Herausforderungen beim Datenmanagement verbunden sind, die weder Alt- (Legacy)-RDBMS- noch NoSQL-Systeme ohne Enterprise-Funktionalität bewältigen können. Die Lösung wäre eine Datenbank mit der Agilität von NoSQL und der Zuverlässigkeit von relationalen Enterprise-Datenbanken.

Neuorientierung der Datenstrategie

Wenn eine (überarbeitete) Datenstrategie im Mittelpunkt eines neuen Konzepts für Extremismusbekämpfung und Sicherheitsbelange steht, wie geht man dann vor? Einige Überlegungen kann man sofort anstellen:

  • Welche Datentypen sind für das Gefahrenmanagement erforderlich? Dokumente? Videos? Biometriedaten?
  • Sind die Quellen unbeständig und variabel?
  • Prüfen Sie vor der Einrichtung eines relationalen Data Warehouse, wie viele der Quellen aus dem JSON- oder XML-Format in Tabellen umgewandelt werden müssen.
  • Wenn Sie ein Data Warehouse haben, das nicht alle Dokumente, PDFs, PowerPoint-Folien und anderen Inhalte von Ihrem freigegebenen Netzlaufwerk enthält, stellen Sie sich vor, welchen Aufwand die Anwender betreiben müssen, um alle Daten zusammenzuführen.
  • Wenn es bei Ihren Prozessen um Entitätsmanagement und Geodaten-Analyse geht, überlegen Sie, wie die Abläufe verbessert werden könnten, wenn Entitäten und Geodaten-Funktionen anwendungsunabhängig wären und durch ein Operational Data Hub verwaltet würden.
  • Wenn Ihre Prozesse Business Intelligence-Berichte erfordern, um Fragen vom Typ "Wo finde ich …" zu beantworten, überlegen Sie, wie die Produktivität jedes Mitarbeiters durch integrierte Such- und DBMS-Dienste gesteigert werden könnte.
  • Und ein letzter Tipp: Datenstrategie-Initiativen sind oft mit vielen Veränderungen verbunden. Aber handeln Sie dabei nach dem Motto "Was nicht kaputt ist, sollte man nicht reparieren". Dies ist ein wichtiger Grundsatz bei Überlegungen zur Einführung eines Operational Data Hub (ODH). Häufig lassen sich Investitionen in Alt- (Legacy)-Systeme durch ein ODH verlängern, weil dafür keine Punkt-zu-Punkt-Interoperabilität in individuellen Anwendungen oder Systemen erforderlich ist.

Zusammenfassung

Wenn man bedenkt, welche Herausforderungen mit dem Gefahrenmanagement verbunden sind, kann das Prinzip "einfach Produkt X kaufen und implementieren" nicht die Antwort sein. Wir haben es hier mit komplexen Problemen mit vielen Einzelaspekten zu tun, darunter Gesetze, Richtlinien, Finanzierung, Organisationskultur, Prozessänderungen und Technologie. Behörden und staatliche Organisationen müssen überlegen, wie sie mit den Herausforderungen bei der Entwicklung einer neuen Datenstrategie umgehen sollen. Die Vorteile, die mit der Implementierung eines Operational Data Hub oder der Abwendung von statischen Daten-Lebenszyklen durch den Einsatz von Objekt- oder Entitätsmethoden verbunden sind, treten hierbei stärker in den Vordergrund – und nehmen an Wichtigkeit zu.

Autor:

Stefano Marmonti, DACH Sales Director bei MarkLogic

Stefano Marmonti, DACH Sales Director bei MarkLogic

[ Source of cover photo: © sakkmesterke - Fotolia.com ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.