Cyber-Attacken auf staatliche IT : Europas fatale Abhängigkeit von Microsoft

Die Cyber-Attacke mit "Wanna Cry" erfolgte über eine Sicherheitslücke bei Microsoft. Alle EU-Staaten nutzen Software des US-Konzerns. Das ist auch politisch höchst riskant. Eine Analyse.

von und
Das liegende Microsoft-Logo
Das liegende Microsoft-LogoFoto: Thomas Hawk/flickr

Zentausende Rechner in 99 Ländern lahmgelegt: Der Cyberangriff mit der Schadsoftware "Wanna Cry" hat bisher ungekannte Ausmaße angenommen. Einfallstor war eine Sicherheitslücke bei Microsoft - und betroffen sind auch große Unternehmen und staatliche Institutionen. Das Rechercheteam Investigate Europe hat genau davor vor wenigen Wochen noch gewarnt. Aus aktuellem Anlass veröffentlichen wir die Analyse an dieser Stelle erneut.

Wenn der Münchner Stadtrat tagt, dann interessiert das meist kaum jemanden jenseits der Stadtgrenze. Aber an diesem Tag im Februar ist alles anders. Die Presse- und Zuschauerbänke im großen Saal des prächtigen neogotischen Rathauses sind bis auf den letzten Platz besetzt. Wer keinen Platz findet, steht in den Gängen. Abgeordnete berichten von E-Mails und Medienanfragen aus ganz Deutschland und dem europäischen Ausland.

Der Anlass ist scheinbar rein technisch. Zehn Jahre lang haben Fachleute daran gearbeitet, das EDV-System der Stadt auf freie und offene Software umzustellen. Die teuren Programme des US-Konzerns Microsoft kommen nur noch für Ausnahmen zum Einsatz. Das hat nicht nur einen zweistelligen Millionenbetrag an Lizenzkosten gespart, sondern das System auch sicherer gemacht – „ein großer Erfolg“, wie die Stadtregierung 2014 bekannte. Doch nun wollen Oberbürgermeister Dieter Reiter und seine große Koalition aus SPD und CSU mit allen 24 000 Bürorechnern der Stadt zurück zu Microsoft.

Die Debatte verläuft hitzig. Reiter und seine Unterstützer können weder sachliche Gründe anführen noch die nötigen Ausgaben benennen. Die Entscheidung muss daher vertagt werden. Offenbar gehe es nur um ein „politisches Machtspiel“, ärgert sich Florian Roth, Chef der Grünen-Fraktion. Aber das sei höchst riskant. Wollen wir, so warnt er, „wollen wir wirklich unsere Verwaltung für immer abhängig machen vom amerikanischen Monopolisten Microsoft?“

In ganz Europa basiert die staatliche IT auf Microsoft-Programmen

Die Frage ist keineswegs übertrieben, und sie stellt sich nicht nur für München. In ganz Europa, von Finnland bis Portugal, von Irland bis Griechenland, basiert die Informationstechnik (IT) der staatlichen Verwaltungen auf Programmen des US-Softwarekonzerns. Weil aber die digitalen Systeme ständig wachsen und immer wichtiger werden, geraten die Staaten damit immer tiefer in die Abhängigkeit von diesem einen Konzern. Die EU-Kommission räumte sogar ein, sie befinde sich „in effektiver Gefangenschaft bei Microsoft“.

Welche Konsequenzen hat dieser „lock-in“, diese Kettung an einen Anbieter, wie es im Fachjargon heißt? Und was können Regierungen tun, um dem zu begegnen? Diesen Fragen ist das Journalisten-Team Investigate Europe drei Monate lang nachgegangen und hat Ökonomen, IT-Manager, Sicherheitsexperten und Politiker aus zwölf europäischen Ländern sowie EU-Kommission und Parlament dazu befragt. Die Ergebnisse sind beunruhigend.

Die Abhängigkeit der Staaten von Microsoft

- verursacht stetig steigende Kosten und blockiert den technischen Fortschritt in den staatlichen Behörden;

- untergräbt systematisch das europäische Beschaffungs- und Wettbewerbsrecht;

- geht einher mit einem erdrückenden politischen Einfluss für den Konzern;

- und setzt die staatlichen IT-Systeme samt den Daten ihrer Bürger einem hohen technischen und politischen Sicherheitsrisiko aus.

Fragen von Investigate Europe blieben unbeantwortet

Zu keinem dieser Themen wollte Microsoft Fragen von Investigate Europe beantworten. Insider der öffentlichen IT-Verwaltung wissen, warum.

Das Team

INVESTIGATE EUROPE ist ein paneuropäisches Pilotprojekt: ein Team mit neun Journalisten aus acht europäischen Ländern, das europaweit relevante Themen recherchiert, gemeinsam Thesen erarbeitet und alle Ergebnisse teilt. Unterstützt wird das Projekt durch die Hans-Böckler-Stiftung, die norwegische Stiftung Fritt Ord, die Stiftung Hübner & Kennedy, die Rudolf-Augstein-Stiftung und die Open Society Initiative forEurope. Das Team kooperiert mit den NGOs Journalismfund und N-Ost.

Die Recherchen zum Grenzregime werden in ganz Europa veröffentlicht. Entstanden sind zahlreiche Artikel, Webfeatures und ein Dokumentarfilm. Zu den Medienpartnern gehören neben dem Tagesspiegel unter anderem Newsweek Polska, Publico, Aftenposten, Corriere della Sera und Vice Griechenland. Außer den beiden Autoren arbeiten Crina Boros, Wojciech Cieśla, Ingeborg Eliassen, Leila Minano, Nikolas Leontopoulos, Maria Maggiore und Paulo Pena für „IE“. Mehr zum Projekt: www.investigate-europe.eu

„Viele staatliche Verwaltungen sind so abhängig von diesem einen Anbieter, dass sie nicht mehr die Wahl haben, welche Software sie nutzen wollen. Damit laufen die Staaten Europas Gefahr, die Kontrolle über ihre eigene IT-Infrastruktur zu verlieren“, warnt der Informatiker und Jurist Martin Schallbruch, der bis 2016 Abteilungsleiter für Informationstechnik und Cybersicherheit im Bundesinnenministerium war und die prekäre Lage nur zu gut kennt. Wolle man diese Gefahr abwenden und auf „eine unabhängige IT-Architektur umstellen“, dann seien dafür „riesige Investitionen“ nötig, sagt der erfahrene IT-Manager, der heute an der Berliner Wirtschaftshochschule ESMT forscht.

Doch so brennend das Problem ist, so komplex ist es auch. Im Kern steht das Geschäftsmodell von Microsoft. Der Software-Riese aus Redmond im US-Bundesstaat Washington verkauft seine Software, also vor allem das Betriebssystem Windows und die Büroprogramme Word, Excel, Powerpoint und Outlook als Lizenzprodukt. Dabei bleibt der zugehörige Programmcode geheim (siehe Kasten). Diese „proprietäre“ Form der Software, wie es im Branchenjargon heißt, verhindert auch, dass mögliche Wettbewerber mit ihrer Software all die Dateien richtig darstellen können, die mit Microsoft-Programmen erzeugt wurden. Überschriften, Tabellen oder Datumsangaben sehen dann plötzlich anders aus, die „Formatierung“ geht verloren. Jeder Computer-Nutzer kennt das Phänomen aus eigener Erfahrung.

Das ist der Schlüssel für das globale Microsoft – und ein sagenhaftes Geschäft. Jahr für Jahr kassiert der Konzern für die bloße Verteilung von Programm-Kopien an die 50 Milliarden Dollar an Lizenzgebühren. Weil Kollegen, Geschäftspartner und Freunde Microsoft-Dateien für den Austausch nutzen, liegt es nahe, dasselbe zu tun, auch wenn dafür immer wieder Gebühren fällig werden. Selbst die meisten Nutzer von Apple-Rechnern kaufen das Office-Paket von Microsoft.

Behörden sind Willkür von Microsoft ausgeliefert

Und genauso halten es die staatlichen IT-Verwalter. Aber diese Monokultur hat gravierende Nachteile. In anderen Sektoren folgt die Software-Entwicklung längst einem ganz anderen Prinzip. Google oder Siemens etwa arbeiten in erster Linie mit „Open-Source“-Programmen, also Software, deren Quellcode sie offen teilen. Das heißt, jeder Programmierer, jede Firma darf sie nutzen. Gleichzeitig müssen diese ihrerseits alle Verbesserungen, die sie vornehmen, öffentlich zugänglich machen. So können die Unternehmen zwar mit dem Verkauf solcher Software kein Geld verdienen. Gleichzeitig aber nutzen sie die Arbeit von Programmierern rund um die Welt, ohne dafür bezahlen zu müssen.

Video
Der Fall München
Der Fall München

Siemens etwa benötigt für alle Produkte vom Kraftwerk bis zum Röntgengerät umfangreiche Softwarepakete. Aber 90 Prozent davon dienen Standard-Aufgaben, erklärt der Informatiker Karsten Gerloff aus der zuständigen Abteilung des Konzerns. „Dafür nutzen wir selbstverständlich Open-Source-Lösungen.“ Lediglich für die speziellen Funktionen, die es nur bei Siemens-Maschinen gibt, werde „proprietärer Code“ genutzt. Müsste dagegen alle Software so geschrieben werden, „müssten wir 1000 Programmierer zusätzlich einstellen, dann wären wir nicht wettbewerbsfähig“, sagt Gerloff.

Die Beteiligung vieler kreativer Geister rund um die Welt erzeugt naturgemäß mehr Dynamik als die Beschränkung auf ein Unternehmen. Darum sei „Open Source in Wissenschaft und Wirtschaft inzwischen der Standard“, berichtet Matthias Kirschner, Präsident der Free Software Foundation Europe (FSFE), die sich für Selbstbestimmung im Umgang mit Informationstechnik einsetzt. Das gelte für Smartphones genauso wie für Supercomputer, für die Maschinensteuerung ebenso wie für Webserver. Nur bei Desktop und Bürosoftware halte sich das alte Monopol.

Genau darauf aber baut die öffentliche Verwaltung, und zwar nicht nur für die Büroprogramme. Dazu kommen tausende spezieller Anwendungen, die allein die Behörden benötigen. Gleich ob Steuern erhoben, Rente gezahlt oder die Müllgebühr abgerechnet wird, ob bei der Polizei, den Sozialkassen oder den Bauämtern; für fast alle Dienstleistungen des Staates ist eigens entwickelte Software im Einsatz. Weil aber überall nur das Betriebssystem Windows läuft, bauen all diese „Fachanwendungen“ auf diesem System auf – und liefern die Behörden so der Willkür des Herstellers aus.

Wie weit das geht, zeigte sich, als Microsoft Ende 2014 die Lieferung von Sicherheits-Updates für die Version „Windows XP“ einstellte. Plötzlich sahen sich staatliche Institutionen quer durch Europa gezwungen, teure Service-Verträge mit dem Konzern abzuschließen, damit dieser weiterhin Sicherheitslücken in seinem alten Programm schließt. Die britische Regierung zahlte 6,5 Millionen Euro, nur um noch ein Jahr Zeit für die Anpassung ihrer Rechner an „Windows 7“ zu bekommen. Auch die Niederlande sowie Niedersachsen und Berlin zahlten mehrere Millionen Euro für die Verlängerung. „Das Gleiche geschah überall in Europa“, bestätigte ein Experte der EU-Kommission. In drei Jahren droht die Fortsetzung der Misere. Dann enden auch die Updates für „Windows 7“.

Die EU-Kommission ignoriert ihre eigenen Experten

Gleichzeitig verlieren die Staaten wegen des „lock-in“ mit Microsoft den Anschluss. „Es ist noch nicht empirisch belegt, aber es ist logisch anzunehmen, dass die Abhängigkeit von dem einen Anbieter den technischen Fortschritt im öffentlichen Sektor bremst“, warnt Dietmar Harhoff, Direktor des Max-Planck-Instituts für Innovation und Wettbewerb in München. Wenn etwa die Kommunen ihre vielen hundert Fachprogramme auf Open-Source-Basis entwickeln würden, dann könnte jede Innovation sofort von allen anderen Stadtverwaltungen ohne zusätzliche Kosten genutzt werden. „Dieses Potenzial für die öffentliche Hand ist enorm“, meint Harhoff.

Schon 2012 startete die EU-Kommission darum ein Programm mit dem demonstrativen Titel „Against lock-in“. Das sah vor, künftig bei staatlichen Ausschreibungen für den Einkauf von Informationstechnik und Software keine Markennamen von Unternehmen oder deren geschützte technische Normen mehr zu verwenden. Stattdessen sollten öffentliche Institutionen nur noch die Erfüllung von „offenen Standards“ fordern, die jedem Hersteller zugänglich sind. Käme es dazu, würde das Microsoft-Monopol mit der Zeit verschwinden, weil es keine Probleme mehr mit der „Kompatibilität“ gäbe – die Dateien wären ohne Datenverlust auch mit Konkurrenzprodukten lesbar. Würden sämtliche Behörden die gleichen offenen Formate nutzen, könnten alle die Lizenzgebühren sparen. „Offene Standards erzeugen Wettbewerb, führen zu Innovation und sparen Geld“, erklärte die damalige Kommissarin für Wettbewerb, Nellie Kroes. „Der Mangel an Wettbewerb“ im IT-Bereich „kostet allein den öffentlichen Sektor 1,1 Milliarden Euro im Jahr“, kalkulierten ihre Fachleute.

Doch die Trägheit der Staatsbürokratie war stärker als die gute Absicht. Die Initiative verlief im Sande. Dabei setzt das EU-Recht klare Regeln. Zentrale Regierungsbehörden müssen alle Aufträge im Wert von mehr als 135 000 Euro europaweit öffentlich ausschreiben. Für alle anderen öffentlichen Stellen gilt das ab einem Volumen von 209 000 Euro. Beim Kauf der Standardsoftware für ihre Verwaltung setzen Europas Regierungen dieses geltende Recht zugunsten des Hoflieferanten Microsoft einfach kollektiv außer Kraft.

Bizarre Verfahren statt Wettbewerb

Dazu bedienen sie sich eines bizarren Verfahrens. Ohne Ausschreibung handeln sie mit dem US-Konzern Rabatte aus und schließen darüber Rahmenverträge ab. Denen können alle öffentlichen Körperschaften beitreten. In den folgenden Ausschreibungen suchen diese dann nur noch nach Händlern, die ihnen Microsoft-Lizenzen zu diesen Bedingungen verkaufen. Wettbewerb um diese öffentlichen Aufträge findet nicht statt.

So auch in Deutschland. Hier vereinbarte das Bundesinnenministerium (BMI) zuletzt 2015 neue „Konditionenverträge“ mit der irischen Niederlassung von Microsoft, über die der Konzern sein Europageschäft steuersparend abwickelt. Die darin genannten Rabatte können dann alle Behörden vom Bundesministerium bis zur kleinen Kommune in Anspruch nehmen. In einer „Ausschreibung“ sucht da zum Beispiel die Stadt Dortmund nur noch einen „Handelspartner zum Microsoft-Volumenlizenzvertrag BMI“.

Das sei etwa so, als wenn der Staat den Kauf von Autos nur unter den Händlern von Volkswagen ausschreibe, spottet der niederländische Jurist Matthieu Paapst, der die Software-Beschaffung der öffentlichen Hand für seine Doktorarbeit an der Universität Groningen untersucht hat. Sein Fazit: „Die Praxis, Microsoft-Produkte für die öffentliche Verwaltung ohne offene Ausschreibung zu beschaffen, bricht das geltende EU-Recht.“ Und eigentlich, so Paapst, müsste die EU-Kommission dagegen vorgehen. Dazu komme es nur deshalb nicht, weil sogar die EU-Behörde selbst sich nicht daran halte.

Tatsächlich hat sogar die EU-Kommission einen solchen Exklusivvertrag mit Microsoft, der für alle EU-Institutionen gilt – und ignoriert so die Empfehlungen der eigenen Experten. Das sei auch „völlig legal“, behauptet Gertrud Ingestad, Chefin der zuständigen Generaldirektion für Informatik (DG Digit) im Gespräch mit Investigate Europe. Es gebe „keine andere Möglichkeit“, die Kontinuität der Arbeit in der EU zu gewährleisten. Und für diesen Fall erlaube das Gesetz ausdrücklich das nicht-öffentliche „Verhandlungsverfahren“. Aber das stimmt so nicht. Diese Ausnahme gilt nämlich ausdrücklich „nur dann, wenn es keine vernünftige Alternative oder Ersatzlösung gibt“, wie es im Artikel 32 der zugehörigen EU-Richtlinie heißt. Genau das können Generaldirektorin Ingestad und ihre Kollegen aber nicht mehr belegen. Es gibt erprobte Alternativen.

Upgrade später starten - oder besser nie?
Upgrade später starten - oder besser nie?Foto: dpa-tmn

Darüber hat zum Beispiel der italienische General Camillo Sileo viel zu erzählen. Der Offizier arbeitet in Roms Militärbezirk und empfängt in einem kleinen Vortragssaal. Dort spricht er mit sanfter Stimme und einem kleinen Lächeln über sein Projekt, so, als ginge es nur um eine kleine Sache. Dabei leitet er das ungewöhnliche, fast revolutionäre Unternehmen „Libre Difesa“, freie Verteidigung. Dessen Ziel ist, für die gesamte italienische Armee mit rund 100 000 Büro-Rechnern auf quelloffene Software umzurüsten. „Wir haben festgestellt, dass für unsere Zwecke beide Programme gleichwertig sind“, erklärt der General. „Schauen Sie“, sagt er und zeigt auf die Projektion des Titelblatts einer jüngst erstellten Studie seines Ministeriums. „Dort steht es als Datei von Microsoft Word“, sagt er und klickt weiter. „Und hier ist die quelloffene LibreOffice-Version. Wappen, Überschrift Gliederung, alles ist da, kein Unterschied“, freut er sich. „Die Umstellung spart 28 Millionen Euro bis 2020“, verspricht Sileo. In Italien muss auch die Armee hart sparen.

Dass die Umstellung bisher reibungslos läuft, erklärt der General mit guter Planung. Das alternative Programm kann zwar alles, ist aber anders zu bedienen. Darum müssen die Nutzer geschult werden. Dafür haben Freiwillige der Open-Source-Bewegung Militärs aller Waffengattungen als Trainer und Ratgeber ausgebildet, die dann ihrerseits weitere Kollegen trainiert haben. Bald soll es an allen Armee-Standorten versierte Kenner geben. Die zentrale Bedingung für den Erfolg sei „gute Kommunikation“, versichert Sileo: „Wenn die Leute den Sinn verstehen, dann überwinden sie den Widerstand.“ Ob die Armee eines Tages auch das Betriebssystem umstellen und sich ganz aus der Abhängigkeit von Microsoft befreien werde, sei noch nicht entschieden. Aber auch das werde man „gründlich untersuchen“, sagt Sileo.

Open Source

Moderne Software wird in Programmiersprachen geschrieben, mit denen sich Befehlshierarchien nachvollziehbar darstellen lassen. Die Prozessoren eines Computers werden jedoch über einen einfachen Maschinencode gesteuert. Darum muss jedes Programm mittels eines Übersetzungsprogramms, eines „Compilers“, in diesen binären Code übertragen werden. Wie die Software konstruiert ist, lässt sich daraus nicht mehr ablesen. Darum liefern Hersteller wie Microsoft nur diese Prozessorbefehle und halten den „Quellcode“ geheim, um sich vor Nachahmern zu schützen. Dieses Geschäftsmodell nennen Kritiker „proprietär“: Sie setzen auf quelloffene Programme, zu deren Verbesserung jeder Kundige beitragen kann. Open-Source-Unternehmen erzielen ihre Einnahmen mit Service und Betreuung ihrer Kunden. Das Geschäftsmodell hat sich weitgehend durchgesetzt. Lediglich für Bürosoftware und komplexe Datenbanken halten Microsoft, SAP und Oracle am alten Modell fest.

Die französische Gendarmerie nationale hat das schon hinter sich. Dort begann der Umbau bereits 2005. Inzwischen operieren 72000 Computer der Staatspolizei mit einer eigens angepassten Variante des freien Betriebssystems Linux sowie LibreOffice. Bis 2014 habe man schon rund 20 Millionen Euro eingespart, gab die Behörde bekannt. Bis dahin erfolgte die „Migration“ allerdings beinahe klandestin. „Der Wechsel zu Linux könnte von Microsoft als Bedrohung des Monopols gesehen werden“, warnte die Direktion in einem internen Memo, das Investigate Europe vorliegt. Das könne zu „Aktionen führen, um diese Politik der Gendarmerie zu diskreditieren“. Darum müsse der Wechsel „ohne Publizität“ erfolgen. Diese dürfe erst geschehen, „wenn der Prozess irreversibel ist“.

Aussteigern wird zugesetzt

Die Vorsicht war gerechtfertigt. Selbst heute, zwölf Jahre nach dem Start des Projekts, stehe die Führung der Gendarmerie unter „permanentem Druck“, wieder umzukehren, berichtet ein Mitarbeiter der IT-Abteilung des Innenministeriums in Paris, der aus Furcht vor Sanktionen nicht genannt werden möchte. „Jeder Tag, den ihr System arbeitet, ist ein Schlag ins Gesicht unserer Verwalter, die behaupten, nur Microsoft funktioniere“, sagt er.

Den Machtkampf der Ministerialen mit den polizeilichen Linux-Fans bestätigt ein Schreiben des Ministeriums vom April 2016, das Investigate Europe einsehen konnte. Darin fordern die zuständigen Beamten von der Führung der Gendarmerie ultimativ, sie solle erneut auf Windows umstellen – eine Weisung, der die Polizeiführung bis heute nicht nachgekommen ist. Auf Anfrage teilte sie mit, man „bedaure, dazu keine Auskunft geben zu können“. Zugleich schrieb der Absender aber erkennbar subversiv, die Umstellung auf die freie Software „ist ruhig und nachhaltig erfolgt“, und „wir haben Linux gewählt, weil wir damit wirtschaftlicher sind und unabhängig werden“.

Der Konflikt dokumentiert ein Phänomen, wie es den Pionieren des Ausstiegs aus dem Monopol überall widerfährt. Europaweit gab und gibt es Hunderte von Behörden und Kommunen, die auf Open-Source-Software umgestiegen sind oder dies versucht haben. Das reicht von der Rentenkasse in Schweden über die Schulen im polnischen Jaworzno bis zur Stadtverwaltung in Rom, von der Londoner Bezirksgemeinde Borough of Camden über die Großstadt Nantes bis zur Regionalregierung in der spanischen Extremadura oder der portugiesischen Stadt Vieira do Minho. All diese Projekte sind bis heute Inseln im Microsoft-Ozean und geraten darum immer wieder unter Anpassungsdruck, weil sowohl die Produkte als auch die Lobbyisten von Microsoft omnipräsent sind und fortwährend neue Probleme schaffen können.

Lobbyisten arbeiten direkt in Ministerien

Das steht auch hinter dem Streit um die Münchner Stadtverwaltung. Dort ist der SPD-Oberbürgermeister auf die Stimmen der CSU angewiesen. Die Christenunion aber ist dem US-Konzern eng verbunden. Dafür steht etwa Dorothee Belz, die Microsoft Europe bis 2015 als Vizepräsidentin diente und Mitglied im Präsidium des Wirtschaftsrates der Union ist.

Ähnliche Verflechtungen finden sich europaweit. In Italien lenkt eine frühere Microsoft-Managerin die „digitale Transformation“ der Wirtschaftsmetropole Mailand. In Portugal leitete ein Microsoft-Manager die Wahlkampagne des konservativen Präsidenten. In Frankreich verfügt der Konzern gleich über sechs Manager und Berater mit engen Verbindungen zu Ministerien und Politikern. Gleichzeitig arbeiten technische Angestellte von Microsoft direkt in der IT-Verwaltung der Regierung. Mindestens fünf davon verfügen sogar über E-Mail-Adressen, die sie als Regierungsmitarbeiter ausweisen, mit denen sie „direkt in der Verwaltung Lobbyarbeit für Microsoft machen“, wie ein Beamter gegenüber Investigate Europe bestätigt. Auch der Zugang zu deutschen Regierungsrechnern steht weit offen. In den Rechenzentren des Bundes seien mehrere tausend externe Fachleute beschäftigt, auch von Microsoft und dessen Partnern, berichtet der frühere IT-Chef der Bundesregierung, Martin Schallbruch.

Gleichzeitig kann der Konzern Schulen und Universitäten ungehindert für sein Marketing instrumentalisieren. Schüler und Lehrpersonal erhalten Microsoft-Produkte zumeist kostenlos, sodass die Jugendlichen erst gar nichts anderes lernen. Nach der Ausbildung, so das Kalkül, zahlen sie dann für den Rest ihres Lebens Lizenzgebühren. Das sei „das klassische Drogendealer-Modell“, urteilt Rufus Pollock vom Zentrum für Informationsrecht der Universität Cambridge. Bis die Kunden abhängig sind, kriegen sie den Stoff gratis.

All das demonstriert, dass Europas Regierende ihre Abhängigkeit von Microsoft einfach billigend in Kauf nehmen, oder wie es Anna Strezynska, Polens Ministerin für Digitalisierung, ausdrückt, „ja, wir sind abhängig, aber ich halte das für hinnehmbar“. Doch damit liefern sie ihre Staaten und Bürger einem unkalkulierbaren Sicherheitsrisiko aus – technisch und politisch.

Upgrade später starten - oder besser nie?
Upgrade später starten - oder besser nie?Foto: dpa-tmn

Es ist keineswegs Zufall, dass alle großen Hackerangriffe der letzten Jahre auf staatliche Institutionen wie den Bundestag, die EU-Kommission oder das Europäische Parlament stets über Sicherheitslücken in Microsoft-Programmen erfolgten. Insbesondere die Bürosoftware von Microsoft und die damit hergestellten Dateien sind das wichtigste Einfallstor für Cyberattacken. Das berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2011. Demnach erfolgte die Hälfte aller „gezielten Angriffe“ mittels infizierter Dokumente in den Formaten von Microsoft wie „docx“, in denen die Angreifer ihre Schadsoftware versteckten. Das werde durch die besondere „Komplexität“ dieser Dateien erleichtert, berichteten die BSI-Experten. Sie enthalten weit mehr Code als eigentlich notwendig wäre, nicht zuletzt, um sie für andere Programme schwerer lesbar zu machen. „Diese Aussage ist weiterhin gültig“, bestätigt BSI-Sprecher Joachim Wagner. Das Format der Microsoft-Dateien sei „deutlich komplexer“ als das von quelloffenen Programmen (Open Source), „und bietet dem Angreifer dementsprechend mehr Angriffsfläche“, erklärt Wagner.

Dazu machte Italo Vignoli, einer der Fachleute hinter dem freien Büroprogramm LibreOffice, für Investigate Europe die Probe aufs Exempel mit einem einfachen Text von 5500 Zeichen. In der aktuellen Version von „Microsoft Word“ füllt der in der zugehörigen Datei enthaltene Code 390 Seiten. Im offenen Format „Open Document Text“ sind es dagegen gerade mal elf Seiten.

Microsoftprogramme sind komplex und verwundbar

Die besondere Verwundbarkeit der Büroprogramme von Microsoft spiegelt sich in der Zahl ihrer Sicherheitslücken. Für „Microsoft Office“ registrierte das amerikanische „National Institute for Standards and Technology“ 188 solcher neu gemeldeter „Exploits“ in den drei Jahren bis April 2017, davon drei Viertel in der schlimmsten Kategorie. Für LibreOffice wurden im gleichen Zeitraum dagegen nur elf Sicherheitslücken entdeckt. Das liege keineswegs daran, dass dieses viel weniger verbreitet sei, versichert Vignoli. Vielmehr hätten selbst Top-Experten mit hohem Aufwand einfach keine zusätzlichen Sicherheitslücken finden können.

Das ist auch nicht überraschend. Schließlich kann der zugrunde liegende Code von jedem Kundigen geprüft werden. Michael Waidner, Direktor des Fraunhofer-Instituts für sichere Informationstechnik und einer der führenden europäischen Experten, sieht darin den Schlüssel. „Wenn ein Staat oder die Europäische Union wirklich souverän sein wollen, dann müssen sie in der Lage sein zu testen, ob Hardware und Software ihrer Informationstechnik nur das tun, was sie sollen, und nichts sonst“, sagt Waidner. Das heiße nicht, dass Europa autark werden müsse. „Aber wir müssen darauf bestehen, dass unsere Experten alle nötigen Informationen haben, um die Software in sicherheitsempfindlichen Sektoren zu testen. Der Zugang zum Quellcode ist unverzichtbar“, fordert der Top-Experte. Ohne ihn gebe es „keine digitale Souveränität“.

Genau das aber verweigert Microsoft. Zwar richtete der Konzern in Brüssel ein „Transparenzzentrum“ ein, wo Regierungsvertretern Einsicht in den Code geboten wird. Aber das deutsche BSI lehnte das Angebot als unzureichend ab. „Um Vertrauen zu schaffen“ bedürfe es „umfangreicher fachlicher Voraussetzungen“, erklärte das Amt dem Fachmagazin „C‘t“. Die sind wohl nicht gegeben. Aber selbst wenn eine Prüfung möglich wäre, so könnte sie schon nach dem nächsten Programm-Update überholt sein. Denn die Microsoft-Produkte sind nicht nur technisch riskant, sondern auch politisch.

Video
Der General und die Software-Revolution
Der General und die Software-Revolution

Schließlich unterliegt der Konzern amerikanischem Recht. Damit kann er jederzeit gezwungen werden, US-Behörden dabei zu zu helfen, Zugang zu den Daten ausländischer Behörden oder Bürger zu bekommen. Dazu kennt das US-Recht den „National Security Letter“, mit dem geheime Gerichte solche Anweisungen erteilen können, einschließlich der strafbewehrten Verpflichtung zur Geheimhaltung. Dass Amerikas Geheimdienste davon im großen Umfang Gebrauch machen, haben die Enthüllungen des Ex-Agenten Edward Snowden belegt. Die von ihm veröffentlichten Dokumente zeigen, dass der Konzern eng mit dem Geheimdienst NSA zusammenarbeitet.

So beschreibt ein Memo vom 8. März 2013 detailliert, dass Microsoft den US-Behörden sogar Zugang zum „Cloud“-Dienst des Konzerns verschaffte, jenen Datenspeichern, in die immer mehr Firmen und auch staatliche Behörden ihre IT auslagern, um sich eine eigene IT-Abteilung zu sparen. Gleichzeitig bewiesen die Snowden-Dokumente, dass die NSA mit ihren britischen Partnern eine Cyberwaffe mit dem Namen „Regin“ nutzte, um die EU-Kommission und das Europäische Parlament auszuforschen – durch eine Sicherheitslücke im Windows-Programm.

Dass dies kein Einzelfall war, belegen geheime Dokumente, die Wikileaks veröffentlichte. Demnach entwickelte die CIA sogar einen regelrechten Baukasten für Schadsoftware, die ausschließlich auf Windows-Programme zielt.

De facto sei darum der Einsatz der Microsoft-Produkte in staatlichen Behörden „mit dem Rechtsstaat nicht mehr vereinbar“, sagt der Jurist und grüne Europa-Abgeordnete Jan Philipp Albrecht, der als Vater des EU-Datenschutzrechts gilt. Steuerzahlungen, Gesundheitszustand, Polizeiakten, Sozialdaten; auf staatlichen Rechnern seien unendlich viele persönliche Daten der Bürger erfasst. „Die Behörden können aber nicht garantieren, dass diese Daten privat bleiben, solange sie mit Software arbeiten, die sie nicht unter Kontrolle haben“, warnt Albrecht. Das müsse sich ändern, „sonst degradieren wir Europa zur digitalen Kolonie“.

Damit steht Albrecht keineswegs allein. Mit großer Mehrheit forderte das Europäische Parlament schon 2014 nach den Snowden-Enthüllungen, dass die EU-Staaten gemeinsam „als strategische Maßnahme autonome IT-Schlüsselkapazitäten aufbauen“ und „diese auf offenen Standards sowie auf quelloffener Software basieren müssen“, um „überprüfbar“ zu sein. Ein Jahr später forderte das neu gewählte Parlament erneut eine „europäische Strategie für Unabhängigkeit im IT-Bereich“ und es wies auch den Weg, wie das zu erreichen wäre: Es gelte, „bei allen öffentlichen Vergabeverfahren im IT-Bereich einen öffentlich zugänglichen Quellcode als verbindliches Auswahlkriterium“ einzuführen, genauso wie es Sicherheitsforscher Waidner fordert.

Käme es dazu, meint Albrecht, würde das wirken „wie ein Airbus-Projekt“ für die Informationstechnik. So wie sich Europa einst beim Flugzeugbau unabhängig von Boeing machte, könne es auch die Abhängigkeit von Microsoft überwinden. Und das sogar zu weit geringeren Kosten: Würde Open Source für Standardsoftware zur Pflicht, „wären Europas Anbieter sofort wettbewerbsfähig“, versichert Albrecht. Schließlich seien die benötigten Alternativen längst entwickelt.

Doch bisher wissen Europas Regierungen nicht einmal, wie hoch die Tributzahlungen der Staatskassen an die Lizenzherren in Redmont sind. Anfragen von Investigate Europe von Norwegen bis Portugal beschieden die zuständigen Regierungsstellen mit der Antwort, dazu gebe es keine Statistik. Auch das Beschaffungsamt des Bundesinnenministeriums möchte lediglich einen „Schätzwert“ der Ausgaben der Bundesbehörden für Microsoft-Lizenzen mitteilen. Selbst zehn Wochen nach der Anfrage konnte die Behörde die Daten aber nicht ermitteln.

In Europa insgesamt, schätzt das unabhängige IT-Marktanalyse-Unternehmen Pierre Audoin Consultants , erzielte Microsoft mit dem öffentlichen Sektor an die zwei Milliarden Euro Umsatz im Geschäftsjahr 2015/16. So fließen pro Jahrzehnt mindestens 20 Milliarden Euro europäisches Steuergeld an den US-Konzern – allemal genug, eine eigene europäische Software-Industrie aufzubauen.

Von einem Airbus-Projekt für die IT-Branche wollen Europas Regierende aber bisher nichts wissen. Andrus Ansip, EU-Kommissar für den digitalen Binnenmarkt, mochte nicht einmal darüber sprechen. Sein erster Beamter, Generaldirektor Roberto Viola, wiegelte ab, das sei „nicht unsere Hauptsorge“.

Amerikas Internet-Konzerne dagegen wissen es besser. Gleich ob Facebook, Google oder Amazon, sie alle betreiben ihre IT-Infrastruktur ausschließlich mit Open-Source-Software, wie Unternehmenssprecher versichern. Denn nur so können sie sich schützen. Und genau das wollen auch Chinas Regenten. Nach dem NSA-Skandal starteten sie die Befreiung vom Microsoft-Monopol. Unter Führung der Nationalen Akademie für Ingenieurwesen entstand das offene Betriebssystem „NeoKylin“ nebst zugehöriger Bürosoftware. Die „De-Windowisierung“, wie es Projektleiter Professor Ni Guangang nennt, wird vorrangig in den sicherheitsempfindlichen Sektoren erfolgen. Für das Militär, die Regierungsbehörden und im Finanzwesen wird der Einsatz der offenen Programme daher zur Pflicht und soll bis 2020 abgeschlossen sein.

China macht sich unabhängig. Was tut Europa?

241 Kommentare

Neuester Kommentar