Die Bürosoftware als Sicherheitsrisiko

Die Informationstechnik macht Staaten verwundbar. Immer häufiger warnen Geheimdienste, Sicherheitsbehörden und Innenminister vor schweren Hackerangriffen oder gar einem Cyberkrieg. Zugleich aber betreiben alle europäischen Staaten ihre öffentliche Infrastruktur vornehmlich mit Microsoft-Software. Diese birgt  einen doppelten Sicherheitsnachteil: Sie ist überkomplex, und daher inhärent unsicher. Und der zu Grunde liegende Programmcode ist geheim. Niemand ausserhalb des Konzerns kann prüfen, was er enthält.

Hacker-Angriffe über Microsoft-Sicherheitslücken

Deshalb ist es keineswegs Zufall, dass alle grossen Hackerangriffe der letzten Jahre auf staatliche Institutionen wie den Bundestag, die EU-Kommission oder das Europäische Parlament stets die Sicherheitslücken in Microsoft-Programmen ausnutzten. Insbesondere die Bürosoftware von Microsoft und die damit hergestellten Dateien sind das wichtigste Einfallstor für Cyberattacken. Das berichtete das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2011.

Demnach erfolgte die Hälfte aller «gezielten Angriffe» mittels infizierter Dokumente in den Formaten von Microsoft wie «docx», in denen die Angreifer ihre Schadsoftware versteckten. Das werde durch die besondere Komplexität dieser Dateien erleichtert, berichteten die BSI-Experten. Sie enthalten weit mehr Code als eigentlich notwendig wäre, nicht zuletzt um sie für andere Programme schwerer lesbar zu machen.

Angriff auf Systeme im Zahlungsverkehr

In der Schweiz warnte die Meldestelle des Bundes (Melani) erst vor kurzem vor einem Angriff auf Zahlungsverkehrs-Systeme. Ermöglicht würde dieser über mit Schad-Software infizierte Dateien in MS-Office-Formaten.

Das Format der Microsoft-Dateien sei «deutlich komplexer» als das von quelloffenen Programmen (Open Source), sagt BSI-Sprecher Joachim Wagner. Daher biete es dem Angreifer dementsprechend mehr Angriffsfläche.

188 Schwachstellen in drei Jahren

Die besondere Verwundbarkeit der Büroprogramme von Microsoft spiegelt sich zudem in der Zahl ihrer Sicherheitslücken. Für «Microsoft Office» registrierte das amerikanische National Institute for Standards and Technology nicht weniger als 188 solcher neu gemeldeter «Exploits» in den drei Jahren bis April 2017, davon drei Viertel in der schlimmsten Kategorie.

Für das quelloffene LibreOffice wurden im gleichen Zeitraum dagegen nur elf Sicherheitslücken entdeckt. Das liege keineswegs daran, dass dieses viel weniger verbreitet sei, versichert Vignoli. Vielmehr hätten selbst Top-Experten mit hohem Aufwand einfach keine zusätzlichen Sicherheitslücken finden können.

Code einsehbar

Das ist auch nicht überraschend. Schliesslich kann der zu Grunde liegende Code von jedem Kundigen geprüft werden. Michael Waidner, Direktor des Fraunhofer-Instituts für sichere Informationstechnik und einer der führenden europäischen Experten sieht darin den Schlüssel. «Wenn ein Staat oder die Europäische Union wirklich souverän sein wollen, dann müssen sie in der Lage sein, zu testen ob Hardware und Software ihrer Informationstechnik nur das tun, was sie sollen und nichts sonst», sagt Waidner.

Das heisse nicht, dass Europa autark werden müsse. «Aber wir müssen darauf bestehen, dass unsere Experten alle nötigen Informationen haben, um die Software in sicherheitsempfindlichen Sektoren zu testen. Der Zugang zum Quellcode ist unverzichtbar», fordert der Top-Experte. Ohne ihn gebe es «keine digitale Souveränität».

Politische Risiken

Genau das aber verweigert Microsoft. Zwar richtete der Konzern in Brüssel ein «Transparenzzentrum» ein, wo Regierungsvertretern Einsicht in den Code geboten wird. Aber das deutsche BSI lehnte das Angebot als unzureichend ab. «Um Vertrauen zu schaffen» bedürfe es «umfangreicher fachlicher Voraussetzungen», erklärte das Amt dem Fachmagazin «C‘t». Die sind wohl nicht gegeben. Aber selbst wenn eine Prüfung möglich wäre, so könnte sie schon nach dem nächsten Programm-Update überholt sein. Denn die Microsoft-Produkte sind nicht nur technisch riskant, sondern auch politisch.

Schliesslich unterliegt der Konzern amerikanischem Recht. Damit kann er jederzeit gezwungen werden, US-Behörden dabei zu zu helfen, Zugang zu den Daten ausländischer Behörden oder Bürger zu bekommen. Dazu kennt das US-Recht den «National Security Letter», mit dem geheime Gerichte solche Anweisungen erteilen können, einschliesslich der strafbewehrten Verpflichtung zur Geheimhaltung.

Zugang zum Cloud-Server von Microsoft

Dass Amerikas Geheimdienste davon im grossen Umfang Gebrauch machen, haben die Enthüllungen des Ex-Agenten Edward Snowden belegt. Die von ihm veröffentlichten Dokumente zeigen, dass der Konzern eng mit dem dem Geheimdienst NSA zusammenarbeitet.

So beschreibt ein Memo vom 8. März 2013 detailliert, dass Microsoft den US-Behörden sogar Zugang zum Cloud-Dienst des Konzerns verschaffte, jenen Datenspeichern, in die immer mehr Firmen und auch staatliche Behörden ihre IT auslagern, um sich eine eigene IT-Abteilung zu sparen. Gleichzeitig bewiesen die Snowden-Dokumente, dass die NSA mit ihren britischen Partnern eine Cyberwaffe mit dem Namen «Regin» nutzte, um die EU-Kommission und das Europäische Parlament auszuforschen – durch eine Sicherheitslücke im Windows-Programm.

Geheime Dokumente

Dass dies kein Einzelfall war, belegen geheime Dokumente, die Wikileaks am vergangenen Freitag veröffentlichte. Demnach entwickelte die CIA sogar einen regelrechten Baukasten für Schadsoftware, die ausschliesslich auf Windows-Programme zielt.

De facto sei darum der Einsatz der Microsoft-Produkte in staatlichen Behörden «mit dem Rechtsstaat nicht mehr vereinbar», sagt der Jurist und grüne Europa-Abgeordnete Jan Philipp Albrecht, der als Vater des EU-Datenschutzrechts gilt. Steuerabrechnungen, Gesundheitszustand, Polizeiermittlungen, Gerichtsakten, Sozialdaten; auf staatlichen Rechnern seien unendlich viele persönliche Daten der Bürger erfasst. «Die Behörden können aber nicht garantieren, dass diese Daten privat bleiben, solange sie mit Software arbeiten, die sie nicht unter Kontrolle haben», warnt Albrecht.

Damit steht Albrecht keineswegs allein. Mit grosser Mehrheit forderte das Europäische Parlament schon 2014 nach den Snowden-Enthüllungen, dass die EU-Staaten gemeinsam «als strategische prioritäre Massnahme autonome IT-Schlüsselkapazitäten aufbauen» und «diese für die Wiederherstellung von Vertrauen auf offenen Standards sowie auf quelloffener Software basieren müssen», um überprüfbar zu sein.

Offener Code als Submissions-Bedingung

Ein Jahr später forderte das neu gewählte Parlament erneut eine «europäische Strategie für Unabhängigkeit im IT-Bereich» und es wies auch den Weg, wie das zu erreichen wäre: Es gelte, «bei allen öffentlichen Vergabeverfahren im IT-Bereich einen öffentlich zugänglichen Quellcode als verbindliches Auswahlkriterium» einzuführen, genauso wie Sicherheitsforscher Waidner und seine Kollegen es fordern.

Käme es dazu, mein Albrecht, würde das wirken «wie ein Airbus-Projekt» für die Informationstechnik. So wie wie sich Europa einst beim Flugzeugbau unabhängig von Boeing machte, könne es auch die Abhängigkeit von Microsoft überwinden. Und das sogar zu weit geringeren Kosten: Würde Open Source für Standardsoftware zur Pflicht, «wären Europas Anbieter sofort wettbewerbsfähig», versichert Albrecht. Schliesslich seien die benötigten Alternativen längst entwickelt.

Milliarden für Lizenzen

Doch bisher wissen Europas Regierungen nicht einmal, wie hoch die Tributzahlungen der Staatskassen an die Lizenzherren in Redmond sind. Anfragen von «Investigate Europe»* von Norwegen bis Portugal beschieden die zuständigen Regierungsstellen mit der Antwort, dazu gebe es keine Statistik. Auch das Beschaffungsamt des Bundesinnenministeriums möchte lediglich einen «Schätzwert» der Ausgaben der Bundesbehörden für Microsoft-Lizenzen mitteilen. Selbst zehn Wochen nach der Anfrage konnte die Behörde die Daten aber nicht ermitteln.

In Europa insgesamt, so schätzt das unabhängige IT-Marktanalyse- und Beratungsunternehmen Pierre Audoin Consultants (PAC), erzielte Microsoft mit dem öffentlichen Sektor an die zwei Milliarden Euro Umsatz im Geschäftsjahr 2015/16. So fliessen pro Jahrzehnt mindestens 20 Milliarden Euro aus  Steuergeld an den US-Konzern ab – allemal genug, eine eigene europäischen Software-Industrie aufzubauen.

Von einem Airbus-Projekt für die IT-Branche wollen Europas Regierende aber bisher nichts wissen. Andrus Ansip, EU-Kommissar für den digitalen Binnenmarkt, mochte nicht einmal darüber sprechen. Sein erster Beamter, Generaldirektor Roberto Viola, wiegelte ab, das sei «nicht unsere Hauptsorge».

Private setzen auf Open Source

Amerikas Internet-Konzerne dagegen wissen es besser. Glech ob Facebook, Google oder Amazon, sie alle betreiben ihre IT-Infrstaruktur ausschliesslich mit Open Source-Sofware, wie Unternehmenssprecher versichern. Denn nur so können sie sich schützen.

Und genau wollen auch die Chinas Regenten. Nach dem NSA-Skandal starteten sie edie Befreiung vom Microsoft-Monopol. Unter Führung der Nationalen Akademie für Ingenieurwesen entstand das offene Betriebssystem «NeoKylin» nebst zugehöriger Bürosoftware. Die «De-Windowisierung», wie es Projekt-Leiter Professor Ni Guangang nennt, wird vorrangig in den sicherheitsempfindlichen Sektoren erfolgen. Für das Militär, die Regierungsbehörden und im Finanzwesen wird der Einsatz der offenen Programme daher zur Pflicht und soll bis 2020 abgeschlossen sein. China macht sich unabhängig.