Cyber-Attacken auf staatliche IT : Europas fatale Abhängigkeit von Microsoft

Die Cyber-Attacke mit "Wanna Cry" erfolgte über eine Sicherheitslücke bei Microsoft. Alle EU-Staaten nutzen Software des US-Konzerns. Das ist auch politisch höchst riskant. Eine Analyse.

von und
Das liegende Microsoft-Logo
Das liegende Microsoft-LogoFoto: Thomas Hawk/flickr

Zentausende Rechner in 99 Ländern lahmgelegt: Der Cyberangriff mit der Schadsoftware "Wanna Cry" hat bisher ungekannte Ausmaße angenommen. Einfallstor war eine Sicherheitslücke bei Microsoft - und betroffen sind auch große Unternehmen und staatliche Institutionen. Das Rechercheteam Investigate Europe hat genau davor vor wenigen Wochen noch gewarnt. Aus aktuellem Anlass veröffentlichen wir die Analyse an dieser Stelle erneut.

Wenn der Münchner Stadtrat tagt, dann interessiert das meist kaum jemanden jenseits der Stadtgrenze. Aber an diesem Tag im Februar ist alles anders. Die Presse- und Zuschauerbänke im großen Saal des prächtigen neogotischen Rathauses sind bis auf den letzten Platz besetzt. Wer keinen Platz findet, steht in den Gängen. Abgeordnete berichten von E-Mails und Medienanfragen aus ganz Deutschland und dem europäischen Ausland.

Der Anlass ist scheinbar rein technisch. Zehn Jahre lang haben Fachleute daran gearbeitet, das EDV-System der Stadt auf freie und offene Software umzustellen. Die teuren Programme des US-Konzerns Microsoft kommen nur noch für Ausnahmen zum Einsatz. Das hat nicht nur einen zweistelligen Millionenbetrag an Lizenzkosten gespart, sondern das System auch sicherer gemacht – „ein großer Erfolg“, wie die Stadtregierung 2014 bekannte. Doch nun wollen Oberbürgermeister Dieter Reiter und seine große Koalition aus SPD und CSU mit allen 24 000 Bürorechnern der Stadt zurück zu Microsoft.

Die Debatte verläuft hitzig. Reiter und seine Unterstützer können weder sachliche Gründe anführen noch die nötigen Ausgaben benennen. Die Entscheidung muss daher vertagt werden. Offenbar gehe es nur um ein „politisches Machtspiel“, ärgert sich Florian Roth, Chef der Grünen-Fraktion. Aber das sei höchst riskant. Wollen wir, so warnt er, „wollen wir wirklich unsere Verwaltung für immer abhängig machen vom amerikanischen Monopolisten Microsoft?“

In ganz Europa basiert die staatliche IT auf Microsoft-Programmen

Die Frage ist keineswegs übertrieben, und sie stellt sich nicht nur für München. In ganz Europa, von Finnland bis Portugal, von Irland bis Griechenland, basiert die Informationstechnik (IT) der staatlichen Verwaltungen auf Programmen des US-Softwarekonzerns. Weil aber die digitalen Systeme ständig wachsen und immer wichtiger werden, geraten die Staaten damit immer tiefer in die Abhängigkeit von diesem einen Konzern. Die EU-Kommission räumte sogar ein, sie befinde sich „in effektiver Gefangenschaft bei Microsoft“.

Welche Konsequenzen hat dieser „lock-in“, diese Kettung an einen Anbieter, wie es im Fachjargon heißt? Und was können Regierungen tun, um dem zu begegnen? Diesen Fragen ist das Journalisten-Team Investigate Europe drei Monate lang nachgegangen und hat Ökonomen, IT-Manager, Sicherheitsexperten und Politiker aus zwölf europäischen Ländern sowie EU-Kommission und Parlament dazu befragt. Die Ergebnisse sind beunruhigend.

Die Abhängigkeit der Staaten von Microsoft

- verursacht stetig steigende Kosten und blockiert den technischen Fortschritt in den staatlichen Behörden;

- untergräbt systematisch das europäische Beschaffungs- und Wettbewerbsrecht;

- geht einher mit einem erdrückenden politischen Einfluss für den Konzern;

- und setzt die staatlichen IT-Systeme samt den Daten ihrer Bürger einem hohen technischen und politischen Sicherheitsrisiko aus.

Fragen von Investigate Europe blieben unbeantwortet

Zu keinem dieser Themen wollte Microsoft Fragen von Investigate Europe beantworten. Insider der öffentlichen IT-Verwaltung wissen, warum.

Das Team

INVESTIGATE EUROPE ist ein paneuropäisches Pilotprojekt: ein Team mit neun Journalisten aus acht europäischen Ländern, das europaweit relevante Themen recherchiert, gemeinsam Thesen erarbeitet und alle Ergebnisse teilt. Unterstützt wird das Projekt durch die Hans-Böckler-Stiftung, die norwegische Stiftung Fritt Ord, die Stiftung Hübner & Kennedy, die Rudolf-Augstein-Stiftung und die Open Society Initiative forEurope. Das Team kooperiert mit den NGOs Journalismfund und N-Ost.

Die Recherchen zum Grenzregime werden in ganz Europa veröffentlicht. Entstanden sind zahlreiche Artikel, Webfeatures und ein Dokumentarfilm. Zu den Medienpartnern gehören neben dem Tagesspiegel unter anderem Newsweek Polska, Publico, Aftenposten, Corriere della Sera und Vice Griechenland. Außer den beiden Autoren arbeiten Crina Boros, Wojciech Cieśla, Ingeborg Eliassen, Leila Minano, Nikolas Leontopoulos, Maria Maggiore und Paulo Pena für „IE“. Mehr zum Projekt: www.investigate-europe.eu

„Viele staatliche Verwaltungen sind so abhängig von diesem einen Anbieter, dass sie nicht mehr die Wahl haben, welche Software sie nutzen wollen. Damit laufen die Staaten Europas Gefahr, die Kontrolle über ihre eigene IT-Infrastruktur zu verlieren“, warnt der Informatiker und Jurist Martin Schallbruch, der bis 2016 Abteilungsleiter für Informationstechnik und Cybersicherheit im Bundesinnenministerium war und die prekäre Lage nur zu gut kennt. Wolle man diese Gefahr abwenden und auf „eine unabhängige IT-Architektur umstellen“, dann seien dafür „riesige Investitionen“ nötig, sagt der erfahrene IT-Manager, der heute an der Berliner Wirtschaftshochschule ESMT forscht.

Doch so brennend das Problem ist, so komplex ist es auch. Im Kern steht das Geschäftsmodell von Microsoft. Der Software-Riese aus Redmond im US-Bundesstaat Washington verkauft seine Software, also vor allem das Betriebssystem Windows und die Büroprogramme Word, Excel, Powerpoint und Outlook als Lizenzprodukt. Dabei bleibt der zugehörige Programmcode geheim (siehe Kasten). Diese „proprietäre“ Form der Software, wie es im Branchenjargon heißt, verhindert auch, dass mögliche Wettbewerber mit ihrer Software all die Dateien richtig darstellen können, die mit Microsoft-Programmen erzeugt wurden. Überschriften, Tabellen oder Datumsangaben sehen dann plötzlich anders aus, die „Formatierung“ geht verloren. Jeder Computer-Nutzer kennt das Phänomen aus eigener Erfahrung.

Das ist der Schlüssel für das globale Microsoft – und ein sagenhaftes Geschäft. Jahr für Jahr kassiert der Konzern für die bloße Verteilung von Programm-Kopien an die 50 Milliarden Dollar an Lizenzgebühren. Weil Kollegen, Geschäftspartner und Freunde Microsoft-Dateien für den Austausch nutzen, liegt es nahe, dasselbe zu tun, auch wenn dafür immer wieder Gebühren fällig werden. Selbst die meisten Nutzer von Apple-Rechnern kaufen das Office-Paket von Microsoft.

Behörden sind Willkür von Microsoft ausgeliefert

Und genauso halten es die staatlichen IT-Verwalter. Aber diese Monokultur hat gravierende Nachteile. In anderen Sektoren folgt die Software-Entwicklung längst einem ganz anderen Prinzip. Google oder Siemens etwa arbeiten in erster Linie mit „Open-Source“-Programmen, also Software, deren Quellcode sie offen teilen. Das heißt, jeder Programmierer, jede Firma darf sie nutzen. Gleichzeitig müssen diese ihrerseits alle Verbesserungen, die sie vornehmen, öffentlich zugänglich machen. So können die Unternehmen zwar mit dem Verkauf solcher Software kein Geld verdienen. Gleichzeitig aber nutzen sie die Arbeit von Programmierern rund um die Welt, ohne dafür bezahlen zu müssen.

Video
Der Fall München
Der Fall München

Siemens etwa benötigt für alle Produkte vom Kraftwerk bis zum Röntgengerät umfangreiche Softwarepakete. Aber 90 Prozent davon dienen Standard-Aufgaben, erklärt der Informatiker Karsten Gerloff aus der zuständigen Abteilung des Konzerns. „Dafür nutzen wir selbstverständlich Open-Source-Lösungen.“ Lediglich für die speziellen Funktionen, die es nur bei Siemens-Maschinen gibt, werde „proprietärer Code“ genutzt. Müsste dagegen alle Software so geschrieben werden, „müssten wir 1000 Programmierer zusätzlich einstellen, dann wären wir nicht wettbewerbsfähig“, sagt Gerloff.

Die Beteiligung vieler kreativer Geister rund um die Welt erzeugt naturgemäß mehr Dynamik als die Beschränkung auf ein Unternehmen. Darum sei „Open Source in Wissenschaft und Wirtschaft inzwischen der Standard“, berichtet Matthias Kirschner, Präsident der Free Software Foundation Europe (FSFE), die sich für Selbstbestimmung im Umgang mit Informationstechnik einsetzt. Das gelte für Smartphones genauso wie für Supercomputer, für die Maschinensteuerung ebenso wie für Webserver. Nur bei Desktop und Bürosoftware halte sich das alte Monopol.

Genau darauf aber baut die öffentliche Verwaltung, und zwar nicht nur für die Büroprogramme. Dazu kommen tausende spezieller Anwendungen, die allein die Behörden benötigen. Gleich ob Steuern erhoben, Rente gezahlt oder die Müllgebühr abgerechnet wird, ob bei der Polizei, den Sozialkassen oder den Bauämtern; für fast alle Dienstleistungen des Staates ist eigens entwickelte Software im Einsatz. Weil aber überall nur das Betriebssystem Windows läuft, bauen all diese „Fachanwendungen“ auf diesem System auf – und liefern die Behörden so der Willkür des Herstellers aus.

Wie weit das geht, zeigte sich, als Microsoft Ende 2014 die Lieferung von Sicherheits-Updates für die Version „Windows XP“ einstellte. Plötzlich sahen sich staatliche Institutionen quer durch Europa gezwungen, teure Service-Verträge mit dem Konzern abzuschließen, damit dieser weiterhin Sicherheitslücken in seinem alten Programm schließt. Die britische Regierung zahlte 6,5 Millionen Euro, nur um noch ein Jahr Zeit für die Anpassung ihrer Rechner an „Windows 7“ zu bekommen. Auch die Niederlande sowie Niedersachsen und Berlin zahlten mehrere Millionen Euro für die Verlängerung. „Das Gleiche geschah überall in Europa“, bestätigte ein Experte der EU-Kommission. In drei Jahren droht die Fortsetzung der Misere. Dann enden auch die Updates für „Windows 7“.

Die EU-Kommission ignoriert ihre eigenen Experten

Gleichzeitig verlieren die Staaten wegen des „lock-in“ mit Microsoft den Anschluss. „Es ist noch nicht empirisch belegt, aber es ist logisch anzunehmen, dass die Abhängigkeit von dem einen Anbieter den technischen Fortschritt im öffentlichen Sektor bremst“, warnt Dietmar Harhoff, Direktor des Max-Planck-Instituts für Innovation und Wettbewerb in München. Wenn etwa die Kommunen ihre vielen hundert Fachprogramme auf Open-Source-Basis entwickeln würden, dann könnte jede Innovation sofort von allen anderen Stadtverwaltungen ohne zusätzliche Kosten genutzt werden. „Dieses Potenzial für die öffentliche Hand ist enorm“, meint Harhoff.

Schon 2012 startete die EU-Kommission darum ein Programm mit dem demonstrativen Titel „Against lock-in“. Das sah vor, künftig bei staatlichen Ausschreibungen für den Einkauf von Informationstechnik und Software keine Markennamen von Unternehmen oder deren geschützte technische Normen mehr zu verwenden. Stattdessen sollten öffentliche Institutionen nur noch die Erfüllung von „offenen Standards“ fordern, die jedem Hersteller zugänglich sind. Käme es dazu, würde das Microsoft-Monopol mit der Zeit verschwinden, weil es keine Probleme mehr mit der „Kompatibilität“ gäbe – die Dateien wären ohne Datenverlust auch mit Konkurrenzprodukten lesbar. Würden sämtliche Behörden die gleichen offenen Formate nutzen, könnten alle die Lizenzgebühren sparen. „Offene Standards erzeugen Wettbewerb, führen zu Innovation und sparen Geld“, erklärte die damalige Kommissarin für Wettbewerb, Nellie Kroes. „Der Mangel an Wettbewerb“ im IT-Bereich „kostet allein den öffentlichen Sektor 1,1 Milliarden Euro im Jahr“, kalkulierten ihre Fachleute.

Doch die Trägheit der Staatsbürokratie war stärker als die gute Absicht. Die Initiative verlief im Sande. Dabei setzt das EU-Recht klare Regeln. Zentrale Regierungsbehörden müssen alle Aufträge im Wert von mehr als 135 000 Euro europaweit öffentlich ausschreiben. Für alle anderen öffentlichen Stellen gilt das ab einem Volumen von 209 000 Euro. Beim Kauf der Standardsoftware für ihre Verwaltung setzen Europas Regierungen dieses geltende Recht zugunsten des Hoflieferanten Microsoft einfach kollektiv außer Kraft.

Bizarre Verfahren statt Wettbewerb

Dazu bedienen sie sich eines bizarren Verfahrens. Ohne Ausschreibung handeln sie mit dem US-Konzern Rabatte aus und schließen darüber Rahmenverträge ab. Denen können alle öffentlichen Körperschaften beitreten. In den folgenden Ausschreibungen suchen diese dann nur noch nach Händlern, die ihnen Microsoft-Lizenzen zu diesen Bedingungen verkaufen. Wettbewerb um diese öffentlichen Aufträge findet nicht statt.

So auch in Deutschland. Hier vereinbarte das Bundesinnenministerium (BMI) zuletzt 2015 neue „Konditionenverträge“ mit der irischen Niederlassung von Microsoft, über die der Konzern sein Europageschäft steuersparend abwickelt. Die darin genannten Rabatte können dann alle Behörden vom Bundesministerium bis zur kleinen Kommune in Anspruch nehmen. In einer „Ausschreibung“ sucht da zum Beispiel die Stadt Dortmund nur noch einen „Handelspartner zum Microsoft-Volumenlizenzvertrag BMI“.

Das sei etwa so, als wenn der Staat den Kauf von Autos nur unter den Händlern von Volkswagen ausschreibe, spottet der niederländische Jurist Matthieu Paapst, der die Software-Beschaffung der öffentlichen Hand für seine Doktorarbeit an der Universität Groningen untersucht hat. Sein Fazit: „Die Praxis, Microsoft-Produkte für die öffentliche Verwaltung ohne offene Ausschreibung zu beschaffen, bricht das geltende EU-Recht.“ Und eigentlich, so Paapst, müsste die EU-Kommission dagegen vorgehen. Dazu komme es nur deshalb nicht, weil sogar die EU-Behörde selbst sich nicht daran halte.

Tatsächlich hat sogar die EU-Kommission einen solchen Exklusivvertrag mit Microsoft, der für alle EU-Institutionen gilt – und ignoriert so die Empfehlungen der eigenen Experten. Das sei auch „völlig legal“, behauptet Gertrud Ingestad, Chefin der zuständigen Generaldirektion für Informatik (DG Digit) im Gespräch mit Investigate Europe. Es gebe „keine andere Möglichkeit“, die Kontinuität der Arbeit in der EU zu gewährleisten. Und für diesen Fall erlaube das Gesetz ausdrücklich das nicht-öffentliche „Verhandlungsverfahren“. Aber das stimmt so nicht. Diese Ausnahme gilt nämlich ausdrücklich „nur dann, wenn es keine vernünftige Alternative oder Ersatzlösung gibt“, wie es im Artikel 32 der zugehörigen EU-Richtlinie heißt. Genau das können Generaldirektorin Ingestad und ihre Kollegen aber nicht mehr belegen. Es gibt erprobte Alternativen.

241 Kommentare

Neuester Kommentar