Microsoft – Europas offene Flanke im Kampf gegen Hacker und Spione

Upgrade später starten - oder besser nie? Foto: dpa-tmn
Cyber-Attacken auf staatliche IT Europas fatale Abhängigkeit von Microsoft

Es ist keineswegs Zufall, dass alle großen Hackerangriffe der letzten Jahre auf staatliche Institutionen wie den Bundestag, die EU-Kommission oder das Europäische Parlament stets über Sicherheitslücken in Microsoft-Programmen erfolgten. Insbesondere die Bürosoftware von Microsoft und die damit hergestellten Dateien sind das wichtigste Einfallstor für Cyberattacken. Das berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2011. Demnach erfolgte die Hälfte aller „gezielten Angriffe“ mittels infizierter Dokumente in den Formaten von Microsoft wie „docx“, in denen die Angreifer ihre Schadsoftware versteckten. Das werde durch die besondere „Komplexität“ dieser Dateien erleichtert, berichteten die BSI-Experten. Sie enthalten weit mehr Code als eigentlich notwendig wäre, nicht zuletzt, um sie für andere Programme schwerer lesbar zu machen. „Diese Aussage ist weiterhin gültig“, bestätigt BSI-Sprecher Joachim Wagner. Das Format der Microsoft-Dateien sei „deutlich komplexer“ als das von quelloffenen Programmen (Open Source), „und bietet dem Angreifer dementsprechend mehr Angriffsfläche“, erklärt Wagner.

Dazu machte Italo Vignoli, einer der Fachleute hinter dem freien Büroprogramm LibreOffice, für Investigate Europe die Probe aufs Exempel mit einem einfachen Text von 5500 Zeichen. In der aktuellen Version von „Microsoft Word“ füllt der in der zugehörigen Datei enthaltene Code 390 Seiten. Im offenen Format „Open Document Text“ sind es dagegen gerade mal elf Seiten.

Microsoftprogramme sind komplex und verwundbar

Die besondere Verwundbarkeit der Büroprogramme von Microsoft spiegelt sich in der Zahl ihrer Sicherheitslücken. Für „Microsoft Office“ registrierte das amerikanische „National Institute for Standards and Technology“ 188 solcher neu gemeldeter „Exploits“ in den drei Jahren bis April 2017, davon drei Viertel in der schlimmsten Kategorie. Für LibreOffice wurden im gleichen Zeitraum dagegen nur elf Sicherheitslücken entdeckt. Das liege keineswegs daran, dass dieses viel weniger verbreitet sei, versichert Vignoli. Vielmehr hätten selbst Top-Experten mit hohem Aufwand einfach keine zusätzlichen Sicherheitslücken finden können.

Das ist auch nicht überraschend. Schließlich kann der zugrunde liegende Code von jedem Kundigen geprüft werden. Michael Waidner, Direktor des Fraunhofer-Instituts für sichere Informationstechnik und einer der führenden europäischen Experten, sieht darin den Schlüssel. „Wenn ein Staat oder die Europäische Union wirklich souverän sein wollen, dann müssen sie in der Lage sein zu testen, ob Hardware und Software ihrer Informationstechnik nur das tun, was sie sollen, und nichts sonst“, sagt Waidner. Das heiße nicht, dass Europa autark werden müsse. „Aber wir müssen darauf bestehen, dass unsere Experten alle nötigen Informationen haben, um die Software in sicherheitsempfindlichen Sektoren zu testen. Der Zugang zum Quellcode ist unverzichtbar“, fordert der Top-Experte. Ohne ihn gebe es „keine digitale Souveränität“.

Genau das aber verweigert Microsoft. Zwar richtete der Konzern in Brüssel ein „Transparenzzentrum“ ein, wo Regierungsvertretern Einsicht in den Code geboten wird. Aber das deutsche BSI lehnte das Angebot als unzureichend ab. „Um Vertrauen zu schaffen“ bedürfe es „umfangreicher fachlicher Voraussetzungen“, erklärte das Amt dem Fachmagazin „C‘t“. Die sind wohl nicht gegeben. Aber selbst wenn eine Prüfung möglich wäre, so könnte sie schon nach dem nächsten Programm-Update überholt sein. Denn die Microsoft-Produkte sind nicht nur technisch riskant, sondern auch politisch.

Schließlich unterliegt der Konzern amerikanischem Recht. Damit kann er jederzeit gezwungen werden, US-Behörden dabei zu zu helfen, Zugang zu den Daten ausländischer Behörden oder Bürger zu bekommen. Dazu kennt das US-Recht den „National Security Letter“, mit dem geheime Gerichte solche Anweisungen erteilen können, einschließlich der strafbewehrten Verpflichtung zur Geheimhaltung. Dass Amerikas Geheimdienste davon im großen Umfang Gebrauch machen, haben die Enthüllungen des Ex-Agenten Edward Snowden belegt. Die von ihm veröffentlichten Dokumente zeigen, dass der Konzern eng mit dem Geheimdienst NSA zusammenarbeitet.

So beschreibt ein Memo vom 8. März 2013 detailliert, dass Microsoft den US-Behörden sogar Zugang zum „Cloud“-Dienst des Konzerns verschaffte, jenen Datenspeichern, in die immer mehr Firmen und auch staatliche Behörden ihre IT auslagern, um sich eine eigene IT-Abteilung zu sparen. Gleichzeitig bewiesen die Snowden-Dokumente, dass die NSA mit ihren britischen Partnern eine Cyberwaffe mit dem Namen „Regin“ nutzte, um die EU-Kommission und das Europäische Parlament auszuforschen – durch eine Sicherheitslücke im Windows-Programm.

Dass dies kein Einzelfall war, belegen geheime Dokumente, die Wikileaks veröffentlichte. Demnach entwickelte die CIA sogar einen regelrechten Baukasten für Schadsoftware, die ausschließlich auf Windows-Programme zielt.

De facto sei darum der Einsatz der Microsoft-Produkte in staatlichen Behörden „mit dem Rechtsstaat nicht mehr vereinbar“, sagt der Jurist und grüne Europa-Abgeordnete Jan Philipp Albrecht, der als Vater des EU-Datenschutzrechts gilt. Steuerzahlungen, Gesundheitszustand, Polizeiakten, Sozialdaten; auf staatlichen Rechnern seien unendlich viele persönliche Daten der Bürger erfasst. „Die Behörden können aber nicht garantieren, dass diese Daten privat bleiben, solange sie mit Software arbeiten, die sie nicht unter Kontrolle haben“, warnt Albrecht. Das müsse sich ändern, „sonst degradieren wir Europa zur digitalen Kolonie“.

Damit steht Albrecht keineswegs allein. Mit großer Mehrheit forderte das Europäische Parlament schon 2014 nach den Snowden-Enthüllungen, dass die EU-Staaten gemeinsam „als strategische Maßnahme autonome IT-Schlüsselkapazitäten aufbauen“ und „diese auf offenen Standards sowie auf quelloffener Software basieren müssen“, um „überprüfbar“ zu sein. Ein Jahr später forderte das neu gewählte Parlament erneut eine „europäische Strategie für Unabhängigkeit im IT-Bereich“ und es wies auch den Weg, wie das zu erreichen wäre: Es gelte, „bei allen öffentlichen Vergabeverfahren im IT-Bereich einen öffentlich zugänglichen Quellcode als verbindliches Auswahlkriterium“ einzuführen, genauso wie es Sicherheitsforscher Waidner fordert.

Käme es dazu, meint Albrecht, würde das wirken „wie ein Airbus-Projekt“ für die Informationstechnik. So wie sich Europa einst beim Flugzeugbau unabhängig von Boeing machte, könne es auch die Abhängigkeit von Microsoft überwinden. Und das sogar zu weit geringeren Kosten: Würde Open Source für Standardsoftware zur Pflicht, „wären Europas Anbieter sofort wettbewerbsfähig“, versichert Albrecht. Schließlich seien die benötigten Alternativen längst entwickelt.

Doch bisher wissen Europas Regierungen nicht einmal, wie hoch die Tributzahlungen der Staatskassen an die Lizenzherren in Redmont sind. Anfragen von Investigate Europe von Norwegen bis Portugal beschieden die zuständigen Regierungsstellen mit der Antwort, dazu gebe es keine Statistik. Auch das Beschaffungsamt des Bundesinnenministeriums möchte lediglich einen „Schätzwert“ der Ausgaben der Bundesbehörden für Microsoft-Lizenzen mitteilen. Selbst zehn Wochen nach der Anfrage konnte die Behörde die Daten aber nicht ermitteln.

In Europa insgesamt, schätzt das unabhängige IT-Marktanalyse-Unternehmen Pierre Audoin Consultants , erzielte Microsoft mit dem öffentlichen Sektor an die zwei Milliarden Euro Umsatz im Geschäftsjahr 2015/16. So fließen pro Jahrzehnt mindestens 20 Milliarden Euro europäisches Steuergeld an den US-Konzern – allemal genug, eine eigene europäische Software-Industrie aufzubauen.

Von einem Airbus-Projekt für die IT-Branche wollen Europas Regierende aber bisher nichts wissen. Andrus Ansip, EU-Kommissar für den digitalen Binnenmarkt, mochte nicht einmal darüber sprechen. Sein erster Beamter, Generaldirektor Roberto Viola, wiegelte ab, das sei „nicht unsere Hauptsorge“.

Amerikas Internet-Konzerne dagegen wissen es besser. Gleich ob Facebook, Google oder Amazon, sie alle betreiben ihre IT-Infrastruktur ausschließlich mit Open-Source-Software, wie Unternehmenssprecher versichern. Denn nur so können sie sich schützen. Und genau das wollen auch Chinas Regenten. Nach dem NSA-Skandal starteten sie die Befreiung vom Microsoft-Monopol. Unter Führung der Nationalen Akademie für Ingenieurwesen entstand das offene Betriebssystem „NeoKylin“ nebst zugehöriger Bürosoftware. Die „De-Windowisierung“, wie es Projektleiter Professor Ni Guangang nennt, wird vorrangig in den sicherheitsempfindlichen Sektoren erfolgen. Für das Militär, die Regierungsbehörden und im Finanzwesen wird der Einsatz der offenen Programme daher zur Pflicht und soll bis 2020 abgeschlossen sein.

China macht sich unabhängig. Was tut Europa?

Zur Startseite