Ende Februar 2018 wurde öffentlich bekannt, dass das bisher als sicher geltende IT-Netzwerk der Bundesregierung (IVBB) infiltriert wurde. Der Angriff wurde zwar bereits im Dezember 2017 entdeckt, er soll jedoch schon seit Ende 2016 aktiv gewesen sein. Das bedeutet, dass das IT-Netzwerk der Bundesregierung fast ein ganzes Jahr unentdeckt kompromittiert wurde. Dabei spielt es aus IT-Sicht erst einmal eine weniger wichtige Rolle, wer hinter der Cyberattacke steckt. Vielmehr sollte man darüber nachdenken, welche Gründe solch einen Angriff überhaupt möglich machen:
Vor kurzem berichtete die Süddeutsche Zeitung (SZ) in einem Artikel, dass die Angreifer das Mailprogramm Microsoft Outlook verwendet haben, um mit der Schadsoftware auf den infizierten Systemen zu kommunizieren. Wie die Schadsoftware auf den Rechner gelangt war, ist bisher nicht öffentlich bekannt.
Das Ende von LiMux – oder wie mache ich mich zur Zielscheibe?
LiMux war ein Projekt der Stadtverwaltung München, in dem die rund 15.000 Arbeitsplatzrechner der städtischen Mitarbeiter mit quelloffener Software betrieben werden sollte. Das heißt anstatt Microsoft Windows, Office, Edge und Outlook wurden Derivate von Ubuntu, OpenOffice.org und Firefox bzw. Mozilla Thunderbird verwendet. Ein sicherlich ambitioniertes und aufwändiges Vorhaben, aber hinsichtlich IT-Sicherheit und Software-Unabhängigkeit ein längst überfälliger Schritt. Doch alles kam anders und aus der angepriesenen „IT-Evolution“ wurde die wohl teuerste Demonstration für die wirtschaftliche Abhängigkeit und politische Beeinflussbarkeit unserer Behörden.
Lernen wir daraus?
Die Rückmigration von LiMux zurück zu Microsoft Windows kostet dem Steuerzahler rund 89 Mio. Euro. Dafür kehrt München zurück in die Abhängig von Microsoft und bekommt einen neuen Microsoft-Standort. Aus wirtschaftlicher Sicht ist dies vielleicht ein gutes Geschäft – versteht man jedoch die Konsequenzen ist dies langfristig ein Rückschritt und wir stehen wieder am Anfang. Es liegt auf der Hand, dass diese Entscheidung politische Gründe hatte. Es ist eine Entscheidung, die Türen für Schadsoftware wie GoldenEye, und Wanna Cry sowie für weitere Cyberattacken wie den Bundeshack öffnen. Durch diesen Schritt legen wir unser Vertrauen in die Hände eines einzelnen Konzerns, der nahezu täglich bestätigt, dass seine Closed-Source-Software alles andere als sicher ist.
Angesicht dieser Entwicklung ist es mehr als fraglich, ob wir aus dem aktuellen Vorfall im IT-Netzwerk der Bundesregierung lernen werden. LiMux macht deutlich, dass die Politik eine entscheidende Rolle spielt und weitaus mehr investieren muss als die Stadt München in das LiMux Projekt. Dabei ist auch entscheidend in welche Technologie investiert wird. Ohne Frage ist das Open-Source Software. Aber das ist sicherlich für Dorothee Bär (CSU) die neue, erste und einzigste weibliche Ministerin der CSU im Kanzleramt für Digitalisierung kein Neuland.