Quelle: Pixabay, CC0
Der Cyberangriff „WannaCry“ ist jetzt eine Woche her – und nach kurzer Aufregung scheint alles vergessen und beruhigt. Das Ausbleiben von Konsequenzen macht mehr Sorgen als die Schadsoftware. Von Ludger Schmitz*
Eine Woche nach dem WannaCry-Angriff, herrscht vielleicht in den IT-Stäben von Unternehmen und öffentlich Verwaltungen noch große Hektik. Systeme sind wieder herzustellen, Sicherheitsupdates und Virenscanner zu aktualisieren. Nach außen aber herrscht wieder tiefster Frieden. Von Mitgliedern der Regierung ein paar Worte in staatsmännischer Gewichtigkeit (Dobrindt: „Existenzielle Frage“) und Forderungen nach besseren IT-Sicherheitsgesetzen. Das war‘s.
Was muss eigentlich noch passieren?
Seit wie vielen Jahren schon gibt es immer wieder Meldungen über schwere Sicherheitsprobleme in Microsoft-Software. Genau so lange warnen nicht ein paar Spinner mit Horrorvisionen, sondern ganze Scharen von Sicherheitsexperten vor den Gefahren einer IT-Monokultur. Vor etwas mehr als einem Monat hat das Journalistenteam „Investigate Europe“ ausführlich die Abhängigkeit der öffentlichen Verwaltungen von Microsoft beschrieben. Dies, so heißt es dort unter anderem „setzt die staatlichen IT-Systeme samt den Daten ihrer Bürger einem hohen technischen und politischen Sicherheitsrisiko aus“.
Wie selbstverständlich den Geiseln ihre Gefangenschaft durch Microsoft schon ist, zeigt sich daran, dass keine Stimme des Protestes sich erhob, als Microsoft seine Kunden und Anwender für die WannaCry-Schäden verantwortlich machte. Microsofts Rechtsvorstand Brad Smith schob die Schuld auf Geheimdienste, die Sicherheitslücken in Microsoft-Software ausgenutzt hatten, aber nicht geheim halten konnten: „Wir brauchen Regierungen, die sich des Schadens für Zivilpersonen bewusst sind, der aus dem Anhäufen und Ausnutzen solcher Software-Sicherheitsprobleme entsteht.“
Opfer wird zum Täter gemacht
Smith verschweigt natürlich tunlichst, was alle Welt seit den Snowden-Enthüllungen weiß: Microsoft hat eng mit Geheimdiensten kooperiert. Wenn diese nun einem Hersteller alle Angriffspunkte, die sie in dessen Software entdeckt haben, verraten würden, wären sie schlicht Nicht-mehr-so-geheim-Dienste. Noch zynischer ist, was Smith indirekt zum Ausdruck bringt: Eine Firma darf hochgefährliche Software auf den Markt bringen, erkannte Sicherheitslöcher monatelang nicht schließen. Und wenn der Anwender Opfer eines Angriffs wird, ist er selbst verantwortlich.
Die Argumentation von Smith ist geradezu ein Musterbeispiel für die Arroganz der Macht eines Monopolisten. Tatsächlich hat es den Anschein, als hätten sich die Geiseln von Microsoft in ihrer Abhängigkeit eingerichtet. Der für Digitalisierung zuständige EU-Kommissionsvize Andrus Ansip, hält Microsoft „aus Kosten-, Stabilitäts- und Kompatibilitätsgründen“ für unverzichtbar. So sieht das Stockholmsyndrom auf IT-politischer Ebene aus.
Für wen sprechen Kosten, Stabilität und Kompatibilität?
In allen drei Punkten hat Ansip Unrecht. Kompatibel sind Microsoft-Produkte nicht einmal von Version zu Version und auch nicht zu internationalen Standards. Stabil? Oha! Und was soll bei Microsoft bitte kostengünstig sein?
Alles halb so wild, weil es ja nur XP-Anwender erwischt hat, die Updates verbummelt haben, und weil es nur Clients, keine Server betraf? Fehler! Es traf nicht nur die Fußlahmen der IT, sondern auch jede Menge Systeme mit Windows 7. Und sind es nicht gerade Öffentliche Verwaltungen mit kritischen Infrastrukturen, die Microsoft extra dafür bezahlen, dass sie weiterhin XP verwenden dürfen? Wer jetzt unter dem Eindruck von WannaCry auf Windows 7 oder 10 wechselt, kann sich auf die nächsten Schläge schon gefasst machen. Ist jemand im Ernst sicher, Windows-Server seien unangreifbar?
Wenn Kosten, Stabilität und Kompatibilität die Kriterien einer IT-Politik seien sollen, müssten alle Verantwortliche nach Open-Source-Software verlangen. Falls Unabhängigkeit von einem Monopol und IT-Sicherheit auch noch wichtig sein könnten, erst recht. Günstige und stabile Software, Kompatibilität dank offener und standardisierter Schnittstellen, Unabhängigkeit und IT-Sicherheit wird es nur mit Open Source geben.
*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.
