Bundeshack – Was lernen wir daraus?

Ende Februar 2018 wurde öffentlich bekannt, dass das bisher als sicher geltende IT-Netzwerk der Bundesregierung (IVBB) infiltriert wurde. Der Angriff wurde zwar bereits im Dezember 2017 entdeckt, er soll jedoch schon seit Ende 2016 aktiv gewesen sein. Das bedeutet, dass das IT-Netzwerk der Bundesregierung fast ein ganzes Jahr unentdeckt kompromittiert wurde. Dabei spielt es aus IT-Sicht erst einmal eine weniger wichtige Rolle, wer hinter der Cyberattacke steckt. Vielmehr sollte man darüber nachdenken, welche Gründe solch einen Angriff überhaupt möglich machen:
Vor kurzem berichtete die Süddeutsche Zeitung (SZ) in einem Artikel, dass die Angreifer das Mailprogramm Microsoft Outlook verwendet haben, um mit der Schadsoftware auf den infizierten Systemen zu kommunizieren. Wie die Schadsoftware auf den Rechner gelangt war, ist bisher nicht öffentlich bekannt.

Das Ende von LiMux – oder wie mache ich mich zur Zielscheibe?

LiMux war ein Projekt der Stadtverwaltung München, in dem die rund 15.000 Arbeitsplatzrechner der städtischen Mitarbeiter mit quelloffener Software betrieben werden sollte. Das heißt anstatt Microsoft Windows, Office, Edge und Outlook wurden Derivate von Ubuntu, OpenOffice.org und Firefox bzw. Mozilla Thunderbird verwendet. Ein sicherlich ambitioniertes und aufwändiges Vorhaben, aber hinsichtlich IT-Sicherheit und Software-Unabhängigkeit ein längst überfälliger Schritt. Doch alles kam anders und aus der angepriesenen „IT-Evolution“ wurde die wohl teuerste Demonstration für die wirtschaftliche Abhängigkeit und politische Beeinflussbarkeit unserer Behörden.

2012: Kosteneinsparung von etwa 25% gegenüber einer Windows-Installation, Verringerung der Fehleranzahl. Eine im November veröffentlichte Vergleichsrechnung ergab sogar Einsparungen in Höhe von 10 Mio. Euro gegenüber einer vergleichbaren Microsoft-Lösung
2013: Migration auf LiMux abgeschlossen
2014: IT-Prüfung aufgrund eines Ausfalls des E-Mail Systems, ausgelöst durch einen Fehler in der eingesetzten kommerziellen Spamschutzsoftware UCEPROTECT
2017: Beschluss vom Stadtrat führt zum Ende von LiMux und Rückmigration zu Microsoft Windows bis 2020

Lernen wir daraus?

Die Rückmigration von LiMux zurück zu Microsoft Windows kostet dem Steuerzahler rund 89 Mio. Euro. Dafür kehrt München zurück in die Abhängig von Microsoft und bekommt einen neuen Microsoft-Standort. Aus wirtschaftlicher Sicht ist dies vielleicht ein gutes Geschäft – versteht man jedoch die Konsequenzen ist dies langfristig ein Rückschritt und wir stehen wieder am Anfang. Es liegt auf der Hand, dass diese Entscheidung politische Gründe hatte. Es ist eine Entscheidung, die Türen für Schadsoftware wie GoldenEye, und Wanna Cry sowie für weitere Cyberattacken wie den Bundeshack öffnen. Durch diesen Schritt legen wir unser Vertrauen in die Hände eines einzelnen Konzerns, der nahezu täglich bestätigt, dass seine Closed-Source-Software alles andere als sicher ist.

Angesicht dieser Entwicklung ist es mehr als fraglich, ob wir aus dem aktuellen Vorfall im IT-Netzwerk der Bundesregierung lernen werden. LiMux macht deutlich, dass die Politik eine entscheidende Rolle spielt und weitaus mehr investieren muss als die Stadt München in das LiMux Projekt. Dabei ist auch entscheidend in welche Technologie investiert wird. Ohne Frage ist das Open-Source Software. Aber das ist sicherlich für Dorothee Bär (CSU) die neue, erste und einzigste weibliche Ministerin der CSU im Kanzleramt für Digitalisierung kein Neuland.

Weiterführende Links

Bundeshack: Daten sollen über Outlook ausgeleitet worden sein
So schleusten die Hacker Daten aus dem Auswärtigen Amt
LiMux: Billiger und robuster als Windows
Linux in München: Über 10 Millionen Euro gespart
LiMux: Neuer Wirbel um Linux in München
LiMux – Die IT-Evolution
Das Microsoft-Dilemma, eine Reportage