Ansichten eines Informatikers

Verlust der Digitalen Souveränität durch Microsoft und die USA

Hadmut
9.4.2017 13:40

Ein Leser weist mich gerade auf einen Artikel gegen Microsoft hin.

Eigentlich verweist er auf n-tv, aber die haben auch nur beim Tagesspiegel abgepinnt: Europas fatale Abhängigkeit von Microsoft. Aber der ist nur ein Anreißer, der Hauptartikel hinter einer Paywall.

In ganz Europa, von Finnland bis Portugal, von Irland bis Griechenland, basiert die Informationstechnik (IT) der staatlichen Verwaltungen auf Programmen des US-Softwarekonzerns. Weil aber die digitalen Systeme ständig wachsen und immer wichtiger werden, geraten die Staaten damit immer tiefer in die Abhängigkeit von diesem einen Konzern. Die EU-Kommission räumte sogar ein, sie befinde sich „in effektiver Gefangenschaft bei Microsoft“.

Also zurück zum n-tv-Artikel: Digitale Souveränität in Gefahr?: IT-Profis warnen vor Microsoft

Äh…ja. Genau das tun ich und ganz viele andere IT-Profis seit 25 Jahren.

Aber es hört niemand auf uns. Es ist in der Politik nicht üblich und im Journalismus sehr selten, auf Leute zu hören, die Ahnung vom Fach haben. Beide, Politik und Journalismus, sind so einem Inkompetenz-Fetisch verfallen. Lieber setzt man Gaukler, Lobbyisten und Clowns in Beraterkommissionen als Leute mit Ahnung.

Und jetzt merkt dann doch mal der eine oder andere, dass das irgendwas faul ist.

Personaldaten, Dossiers, brisante Zahlen: Auf vielen Rechnern in Ministerien und Ämtern läuft Software aus den USA. Der frühere IT-Chef der Bundesregierung schlägt Alarm. Europa, heißt es, laufe Gefahr, “die Kontrolle über die IT-Infrastruktur zu verlieren”.

So’n Quatsch.

Europa hatte nie eine Kontrolle über seine IT-Infrastruktur.

Der letzte Europäer, der seine IT voll unter Kontrolle hatte, war Konrad Zuse mit seiner Z3. Und die würde ich nicht als „Infrastruktur“ einstufen.

Die öffentlichen Verwaltungen in Europa nutzen auf ihren Computern fast ausschließlich Software des US-Konzerns Microsoft. Diese Abhängigkeit birgt nach Ansicht internationaler Experten große Risiken und gefährdet die europäische Souveränität, wie das Journalisten-Team “Investigate Europe” und der Berliner “Tagesspiegel” berichten.

Ja, aber genau das hat man ja unbedingt gewollt und alle Kritiker abgesägt.

Ich habe gerade mal nachgeschaut. Unmittelbar, bevor sie mich damals an der Uni durch den BND abgesägt haben, habe ich ein Gutachten für den Bundestag zur Sicherheit in der IT und im Medizinwesen geschrieben. In meiner Version vom 28.1.1998, in der ich das Ding zur ersten Vorlage fertiggestellt hatte, kommt Microsoft 16 Mal vor, mit deutlichen Warnungen vor der Monopolstellung von Microsoft und dem amerikanischen Einfluss auf unsere IT, im Anhang Literaturverweise auf kritische Artikel über das Gebaren von Microsoft.

Dann musste das überarbeitet werden, weil der Professor Beth das ja als seines ausgeben und wenigstens mal reingucken und was rummeckern wollte, und wir deshalb den Abgabetermin verpasst haben. Dann kam der Bundestag an und meinte, leider, leider hätten wir jetzt die Frist verpasst und müssten die im Auftrag angegebene Vertragsstrafe zahlen bzw. Honorarkürzungen hinnehmen, die nach wenigen Tagen schon so hoch ist, das vom Honorar (von dem ich sowieso nichts gesehen habe, das hat Beth eingesackt), aber es gäbe da einen Ausweg. Wenn wir nämlich das Gutachten nach den Wünschen des Bundestags änderten, dann träte diese Kürzung nicht ein, weil es dann ja als Änderung im Interesse des Bundestags gälte und nicht mehr unsere Schuld sei. Motto: Du kriegst Geld, wenn Du schreibst, was wir haben wollen.

Und zu den „Änderungswünschen“ gehörten einige Streichungen, unter anderem die Microsoft-Kritik. Die musste fast ganz raus. In der Abgabeversion vom 20.2.1998 kommt Microsoft nur noch dreimal und nicht als Kritik vor (Microsoft bietet einen Sicherheitspatch gegen Angreifer, Microsoft und Siemens erweitern die Zusammenarbeit, das Gutachten hätte als Microsoft Word 97 abgegeben werden sollen – ich bin aber bei TeX geblieben.)

Damit der Leser auch mal eine Vorstellung hat, wie die Gutachten für den Bundestag, die die dann als Beleg hernehmen, zustandekommen.

Kritik an Microsoft und den USA war nicht erlaubt. 6 Wochen vorher gab es einen Vorfall, bei dem jemand heimlich versucht hatte, einen Backup meines Arbeitsplatzrechners zu ziehen (es hieß nachher, es sei um das Gutachten gegangen), und drei Monate später war meine Promotion totgeschlagen worden. In der Dissertation hatte ich beschrieben, wie man sich gegen amerikanische Kryptokontrolle wehren kann.

Merkt Ihr was?

Nach Ansicht des früheren IT-Chefs der Bundesregierung, Martin Schallbruch, sind viele staatliche Verwaltungen so abhängig von Microsoft, “dass sie nicht mehr die Wahl haben, welche Software sie nutzen wollen”. Schallbruch zufolge laufen die Staaten Europas “Gefahr, die Kontrolle über ihre eigene IT-Infrastruktur zu verlieren”.

Der Jurist und Diplom-Informatiker Schallbruch war bis Februar 2016 Leiter der Abteilung Informationstechnik, Digitale Gesellschaft und Cybersicherheit im Bundesinnenministerium. Der 50-Jährige war damals ohne Angaben von Gründen überraschend in den Ruhestand versetzt worden, was in Fachkreisen einiges Aufsehen ausgelöst hatte.

Wer’s Maul aufmacht, dessen Karriere ist vorbei. (Nur ist es halt ein Unterschied, ob man mit 30 totgeschlagen wird oder mit 50 weich in den Ruhestand versetzt wird, es gibt wahrlich schlimmeres als mit 50 in den Ruhestand zu gehen und ausgesorgt zu haben.) Das Thema war beidesmal das gleiche.

Mit seiner Einschätzung zur Lage bleibt Schallbruch nicht alleine. Michael Waidner, Direktor des Fraunhofer-Instituts für sichere Informationstechnik und einer der führenden europäischen Experten für Cyber-Sicherheit, beklagte im Gespräch mit dem Rechercheteam den Verlust der “digitalen Souveränität” Europas.

Haben wir am E.I.S.S. schon vor 20 Jahren gesagt. Und wurden dafür erledigt.

Staaten und die Europäische Union müssten “in der Lage sein, zu testen ob Hardware und Software ihrer Informationstechnik nur das tun, was sie sollen und nichts sonst”. Darum sollten alle Staaten darauf bestehen, dass “ihre Experten alle nötigen Informationen haben, um die Software in sicherheitsempfindlichen Sektoren zu testen”.

Das sei aber mit den Produkten von Microsoft bisher nicht möglich, heißt es weiter. Das US-Unternehmen hält grundsätzlich den sogenannten Quellcode für seine Programme geheim. Bekannt ist, dass US-Softwareunternehmen von den verschiedenen Washingtoner Geheimdiensten bedrängt werden, ihre Produkte für staatliche IT-Experten zu öffnen.

Dass Microsoft Kunden in Europa diesen Zugang verwehrt, sehen Fachleute kritisch.

Die Sache ist noch wüster.

Als ich da in dem Promotionsstreit war, habe ich ja versucht, mich da im außeruniversitären Bereich zu etablieren und RMX gebracht (siehe Anhang in Adele und die Fledermaus). Da haben sie mich dann auch umgelegt, das Ding nämlich einfach übernommen und Microsoft hat mein Verfahren für sich patentiert (und dabei die Dreistigkeit besessen, mich im Patentantrag noch als Quelle anzugeben).

Deshalb war ich aber im Zeitraum von 2002 bis 2004 auf diversen Konferenzen in den USA, hauptsächlich IETF, und dort natürlich in den Fachbereichen für IT-Sicherheit. Und da ist etwas erstaunliches passiert. Dort nämlich waren Firmen wie Google, Microsoft und so weiter, und versuchten (neben den offiziellen Rekrutierungsständen) so unauffällig im persönlichen Gespräch mit ausgesuchten Sicherheitsfachleuten da welche für Spezialaufgaben zu rekrutieren. Sie würden nämlich von US-Geheimdiensten unterwandert, die ihnen in ihre Produkte Backdoors einbauten, von denen sie selbst nichts wissen. Es ist also ein Unterschied, ob einem beispielsweise Microsoft böse will oder ob sie Backdoors drin haben. Die großen US-Firmen wussten damals, dass sie Backdoors drin haben, von denen sie nichts wissen, weil sie Agenten unter den Mitarbeitern haben. Und sie suchten nun unauffällig Leute, deren Aufgabe es war, diese Agenten und Backdoors ausfindig zu machen.

Hat für mich leider nicht geklappt, obwohl sie mich auch angesprochen hatten. Über die offiziellen Rekrutierungswege bin ich da nicht reingekommen, weil die Promotion versaut war. Und in diese Spezialaufgaben kam ich nicht, weil sie da nur Amerikaner nehmen wollten und ich als Ausländer da zu auffällig war und mir das Gefühl fehlte, wer sich nach amerikanischem Schema ungewönlich verhält. Einige Tagen nach einer solchen Konferenz bekam ich dann (wieder in Deutschland) nachts um drei einen Anruf von Microsoft, wo sie dann doch fragten, ob ich für sie arbeiten wollte, und habe dann spontan eine Art Bewerbungsgespräch mit ihnen geführt, ihnen aber auch klargemacht, dass ich mich mit Windows nur eingeschränkt auskenne und Unix mein Ding sei und die Sache mit dem Promotionsverfahren erläutert, weil sie eben nach Lebenslauf gefragt hatten. Zwar sagten sie, dass sie ja eigentlich genau solche Leute suchten, die faule Dinger und staatliche Manipulationen im Bereich Krypto aufdecken, ich habe dann aber trotzdem nie wieder was von denen gehört. Unix war bei denen damals nicht beliebt, heute sehen sie das anders.

Das technische Risiko gehe einher mit einer politischen Gefahr, sagte der grüne Europa-Abgeordnete Jan Philipp Albrecht, der als Vater des EU-Datenschutzgesetzes gilt, dem “Tagesspiegel”. Microsoft unterliege US-amerikanischem Recht. Damit könne Washington das Unternehmen jederzeit zwingen, US-Behörden dabei zu helfen, Zugang zu den Daten ausländischer Behörden oder Bürger zu bekommen. Darum sei der Einsatz der Microsoft-Produkte in staatlichen Behörden “mit dem Rechtsstaat nicht mehr vereinbar”, meint Albrecht.

Auch das sagen wir seit 25 Jahren.

Das Europäische Parlament hatte bereits 2015 gefordert, dass die EU und ihre Mitgliedsländer bei Software für die staatliche Verwaltung die Offenlegung des Quellcodes von den Anbietern verlangen. Doch sowohl die EU-Kommission als auch die Regierungen verweigern die Umsetzung des Parlamentsbeschlusses. Microsoft verfügt in vielen EU-Staaten über hochrangige Kontakte in die Regierungsapparate, ergaben die Recherchen von Investigate Europe. Für Software-Anbieter ist die Ausstattung von Behörden mit sogenannten Office-Programmen ein Riesengeschäft. In Deutschland zum Beispiel gibt der Bund derzeit etwa drei Milliarden Euro für die IT-Ausstattung aus.

Auch das habe ich schon im Zusammenhang mit der Bundestagsanhörung zum Kryptoverbot von 1997 gesagt, dass es für Deutschland nicht nur besser, sondern vor allem auch billiger wäre, die Software selbst zu schreiben als sie in den USA zu kaufen.

Das aber wollte man überhaupt nicht hören.

Und es zieht sich wie ein roter Faden durch die Sache, dass jeder, der daran rührt, seine Karriere verliert.