Die Umweltauswirkungen der Cybersicherheit reduzieren: Wie anfangen?
Veröffentlicht am 13. Mai 2024
- Cyber Security
Angesichts der Klimakrise sind Unternehmen aus der Digitalwirtschaft bestrebt, ihren ökologischen Fußabdruck zu verringern. Cybersicherheitsteams stehen dabei vor einer doppelten Herausforderung: Sie müssen die Sicherheit von Informationssystemen verbessern und gleichzeitig nachhaltigere Praktiken einführen.
Wavestone und der Campus Cyber haben im Rahmen der Arbeitsgruppe „Cyber4Tomorrow“ versucht, diese Frage zu beantworten. Gemeinsam haben wir erstmals eine Methode entwickelt, um die Treibhausgasemissionen (THG) der Cybersicherheit zu berechnen, die Maßnahmen mit den höchsten Emissionen zu identifizieren und Strategien zur Reduzierung vorzuschlagen. Darüber hinaus haben wir ein Selbstbewertungstool entwickelt, mit dem Sie die CO2-Belastung durch Ihre Sicherheitsmaßnahmen messen und reduzieren können (siehe unten). Vor Kurzem hat sich uns die ADEME (Agence de la transition écologique) angeschlossen, die ebenfalls die Cybersicherheit als zentralen Handlungsbereich sieht.
In diesem Artikel wird die angewandte Methodik detailliert beschrieben. Sie schafft einen ersten Rahmen, um Ihre Umweltauswirkungen zu bemessen und Handlungsmöglichkeiten zu ermitteln, um sie zu verringern.
Ermittlung der Sicherheitsmaßnahmen mit den höchsten Emissionen
Die Ergebnisse unserer Studie räumen mit einigen Vorurteilen auf: Die energie- und ressourcenintensivsten Cyberpraktiken sind nicht immer die offensichtlichsten …
Um eine umfassende und allgemeingültige Analyse zu gewährleisten, stützt sich unsere Studie auf internationale Standards, insbesondere auf die des NIST (National Institute of Standards and Technology). Aus 700 Empfehlungen des NIST haben wir die 50 kohlenstoffintensivsten Sicherheitsmaßnahmen anhand der „Emissionsbewertung“ der einzelnen Maßnahmen ausgewählt.
Dieser Emissionswert wurde anhand von drei Fragen für jede Sicherheitsmaßnahme berechnet. Dabei wurde die Aufschlüsselung des digitalen CO2-Fußabdrucks berücksichtigt, die in der ADEME/Arcep-Studie über die Umweltauswirkungen der Digitalisierung erstellt wurde.
- Wird für diese Maßnahme eine große Anzahl von Endgeräten benötigt?
- Erfordert diese Maßnahme den Einsatz einer großen Anzahl von Servern?
- Müssen für diese Maßnahme viele Netzwerkgeräte und Bandbreite genutzt werden?
Wenn eine Sicherheitsmaßnahme eine dieser drei Kriterien erfüllt, ist eine detaillierte Analyse erforderlich, um ihre Umweltauswirkungen zu bewerten.
Berechnung der Emissionen jeder Sicherheitsmaßnahme
Nachdem Sie die Sicherheitsmaßnahmen mit den höchsten Emissionen identifiziert haben, müssen Sie deren tatsächliche Treibhausgasemissionen (THG) abschätzen. Diese Schätzung beruht auf der ISO-Norm 14069 und konzentriert sich auf die Emissionen, die durch die Herstellung und den Betrieb von Endgeräten, Servern und Rechenzentrumsausrüstung, die Nutzung von Rechenzentren und Cloud-Diensten sowie durch Flug- und Bahnreisen des Cybersicherheitsteams verursacht werden.
Andere Umweltauswirkungen (z. B. auf die Biodiversität, die Verknappung natürlicher Ressourcen, die Luftverschmutzung usw.) werden in der Studie nicht berücksichtigt, da die Indikatoren, mit denen sie gemessen werden können, weniger zuverlässig sind. Die Treibhausgasemissionen bieten einen ausreichend repräsentativen Überblick über den ökologischen Fußabdruck.
Zur Schätzung der Emissionen müssen zwei Bereiche parallel untersucht werden:
- Sammeln von Daten über das Informationssystem: Anzahl der Server, auf denen Sicherheitslösungen installiert sind, Firewalls, Flug- und Bahnkilometer der Cyberteams etc.
- Sammeln von Emissionsfaktoren: Durchschnittswerte der Treibhausgase, die bei der Produktion oder Nutzung einer Ware oder einer Dienstleistung freigesetzt werden. Beispielsweise wird die Bereitstellung eines Arbeitsplatzes mit 232 kg CO2 veranschlagt, basierend auf der statistischen Studie von Boavizta aus dem Jahr 2022.
Diese Erhebung variiert natürlich je nach Umfeld und Reifegrad ihrer Organisation. Es handelt sich hierbei um den komplexesten Schritt bei der Umsetzung. Sie sollten sich daher an Ihre Green-IT-Teams wenden, um Unterstützung bei dieser Bewertungsphase zu erhalten.
Unternehmen mit überwiegend eigener Infrastruktur haben einen direkteren Zugang zu den benötigten Daten.
Diese Informationen sind oft intern verfügbar – wenn man die richtigen Ansprechpartner gefunden hat. Die räumliche Nähe ermöglicht eine relativ detaillierte Aufschlüsselung bei der Bewertung von Geräten und Infrastrukturen: Eigenschaften von Servern, Modelle und Leistung von Workstations usw. Um aussagekräftige Emissionsfaktoren zu erhalten, können Sie als Referenz die Standards von Organisationen wie ADEME (Agence de la transition écologique in Frankreich) oder Boavizta (organisationsübergreifende Arbeitsgruppe, die sich mit der Bewertung der Umweltauswirkungen der Digitalisierung von Organisationen befasst) verwenden.
Der Zugang zu genauen und zuverlässigen Daten kann schwierig sein, insbesondere bei öffentlichen Clouds, da die Anbieter nicht immer transparent über die Umweltauswirkungen ihrer Lösungen informieren. Wenden Sie sich zunächst an Ihren Cloud-Anbieter, um Informationen über die Infrastruktur zu erhalten, auf der Ihr Unternehmen betrieben wird (z. B. die Anzahl der physischen oder virtuellen Server oder die Anzahl der Netzwerkgeräte). Wenn Sie diese Informationen nicht erhalten können, sollten Sie die Verwendung einer geldwerten Kennzahl wie die des Carbon Disclosure Project in Erwägung ziehen. Damit lassen sich die durchschnittlichen Emissionen abschätzen, die mit einer Investition von 1.000 € in Cloud-Dienste verbunden sind.
Verringerung der Umweltauswirkungen Ihrer Cyber-Praktiken
Sie haben nun einen umfassenden Überblick über die Emissionen im Zusammenhang mit der Cybersicherheit in Ihrem Unternehmen. Stellen wir uns nun die Frage, wie wir diese Emissionen reduzieren können!
Identifizieren Sie zunächst unter den vorab ausgewählten Sicherheitsmaßnahmen die zehn mit den höchsten Treibhausgasemissionen. Anschließend können Sie diese nach Emissionsniveau und Risikoabsicherung darstellen. Auf diese Weise können Maßnahmen mit einem hohen CO2-Fußabdruck, aber einer relativ geringen Risikoabsicherung identifiziert werden.
Nachdem Sie diese Übersicht erstellt haben, organisieren Sie Workshops, um Möglichkeiten zur Verringerung der Treibhausgasemissionen zu identifizieren, ohne die Sicherheit zu beeinträchtigen. Notieren Sie die ausgewählten Maßnahmen und berechnen Sie deren Reduktionspotenzial. Als Ergebnis erhalten Sie eine Liste mit den Maßnahmen, die Sie mit höchster Priorität in Angriff nehmen müssen.
Wenn Sie mit einigen grundlegenden Maßnahmen beginnen möchten, orientieren Sie sich an unserer Liste der vier Maßnahmen, mit denen Sie Ihre Umweltauswirkungen bei gleichem Risikoniveau reduzieren können.
Handeln und Ergebnisse teilen
Mit der Studie „Cyber Sustainability“ und unserem Selbstbewertungstool möchten wir die Diskussion über die Umweltauswirkungen der Cybersicherheit voranbringen. Dieser vom Campus Cyber initiierte Ansatz richtet sich an alle Organisationen, die über neue, umweltfreundlichere und nachhaltigere Praktiken nachdenken möchten.
Haben Sie die Methode bereits angewendet und Ergebnisse erzielt? Wenn Sie Ihre Ergebnisse mit anderen teilen und die Methode weiterentwickeln möchten, kontaktieren Sie uns gerne!
Das Ziel von Cyber Campus, Wavestone und ADEME ist es, einen ersten Schritt in Richtung Nachhaltigkeit in der Cybersicherheit zu machen. Wenn Sie sich in der Campus-Arbeitsgruppe engagieren möchten, um die Entwicklung von Cybersicherheitspraktiken in Richtung Nachhaltigkeit zu unterstützen, werden Sie Mitglied der Campus Cyber-Arbeitsgruppe.