Zwischenruf Nr. 2

--- 09.03.2021 ---

Wenn Cyberspionage zur Lappalie wird

Können Sie sich noch an Edward Snowden erinnern? Vor sieben Jahren wirbelten die Enthüllungen des ehemaligen NSA-Agenten die Welt durcheinander. Die von Snowden veröffentlichten Geheim-Dokumente stellten die US-amerikanische IT-Industrie unter den Generalverdacht, eng mit den Nachrichtendiensten zu kooperieren.

Die Aufregung war groß, aber die Bundesregierung zog daraus nur eine Konsequenz. Um Spionage durch Hintertüren in IT-Produkten zu verhindern, formulierte der damalige Bundesinnenminister Thomas de Maizière im Sommer 2014 den sogenannten No-Spy-Erlass. Bei öffentlichen Ausschreibungen sollte nicht mehr nur der Preis eine zentrale Rolle bei der Auftragsvergabe spielen, sondern auch die Vertrauenswürdigkeit des Unternehmens. Wer mit Deutschland Geschäfte machen will, muss schriftlich die Garantie abgeben, nicht mit ausländischen Nachrichtendiensten bei Späh-Operationen zusammenzuarbeiten. Mit diesem Versprechen wollte die Bundesregierung versteckten Kooperationen ein Ende bereiten oder zumindest erschweren.

Das will sie offenbar immer noch. Denn in dem jetzt im Bundestag debattierten Entwurf des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetze 2.0) sind solche Selbst-Erklärungen zur Vertrauenswürdigkeit mit hohen Vertragsstrafen bei Verstößen weiterhin enthalten.

Inzwischen scheinen einige Behörden die guten Vorsätze nach den Snowden-Enthüllungen aber wieder zu vergessen. Die politischen Ziele des No-Spy-Erlasses werden jedenfalls nicht mehr so gelebt wie sich das die Autoren im Bundesinnenministerium damals vorgestellt haben. Das zeigt eine unterschriftsreife Rahmenvereinbarung des Landeskriminalamtes (LKA) in Bayern. Bei der anstehenden Modernisierung der IT-Systeme soll der US-amerikanische Ausrüster Cisco Systems den 40-Millionen-Euro-Auftrag zur Erneuerung der Router und andere Netzkomponenten bekommen — mit einer No-Spy-Klausel, die ihren Namen nicht verdient.

Denn ausgerechnet bei der obersten bayerischen Kriminalbehörde, die im Zuge ihrer Ermittlungen auch überaus sensible Daten auswertet, verkümmert der No-Spy-Erlass zum zahnlosen Papiertiger. Sollte das Landeskriminalamt feststellen, dass Cisco einem ausländischen Nachrichtendienst Zugang zu vertraulichen Ermittlungsakten verschafft, dann deckelt der Kaufvertrag die dann zu zahlende Vertragsstrafe auf 10.000 Euro. „Im vorliegenden Fall“, erklärt das LKA auf meine Nachfrage, sei eine Vertragsstrafe in dieser Höhe „ausreichend“ — zumal „der Vertrag mit einem Zwischenhändler und nicht mit Cisco Systems geschlossen wird“.

Im Klartext heißt das: Wer einen Zwischenhändler einschaltet, bekommt quasi einen Freibrief. Spionage durch versteckte Hintertüren wird dann zur Lappalie. Eine Strafe in Höhe von 10.000 Euro kann jedes größere IT-Unternehmen locker aus der Portokasse zahlen.

Das bayerische Landeskriminalamt sendet damit das falsche Signal. So eine No-Spy-Garantie kann jeder Spion abgeben.

 

Zwischenruf Nr. 1

--- 16.02.2021 ---

Ruiniert Solarwinds den Ruf der IT-Branche?

Der Cyberangriff auf den US-amerikanischen Netzmanagement-Spezialisten Solarwinds stürzt die IT-Industrie in eine Vertrauenskrise.

Wenn Unternehmen ihre Abläufe und Prozesse digitalisieren, dann hören sie bei der Suche nach dem passenden IT-Anbieter gerne auf ihr Bauchgefühl. Oft gehen dann Systemlieferanten als Sieger aus den Ausschreibungen hervor, die auch Spezialisten für Cybersecurity sind oder sich zumindest solch einen Ruf erarbeitet haben. Große IT- und Cloud-Anbieter wie Microsoft und IBM, aber auch die Deutsche Telekom profitieren von diesem Vertrauensvorschuss und freuen sich über hohe Zuwachsraten auf dem Cybersecurity-Markt. All die Erfahrungen beim Schutz der eigenen IT-Systeme, so die laut hinaus posaunte Marketing-Botschaft, sollen auch den Geschäftskunden zugute kommen.

Dieses Bauchgefühl entpuppt sich inzwischen als eine gefährliche Illusion.
Denn eine wichtige Lehre ziehen Sicherheitsspezialisten aus dem kurz vor Weihnachten 2020 bekannt gewordenen Cyberangriff auf die bislang wenig beachtete US-amerikanische IT-Firma Solarwinds: Auch in den Lieferketten der IT-Systeme gibt es schwarze Schafe, die die Sicherheit ihrer Produkte vernachlässigen. Solarwinds fällt nach Ansicht des US-amerikanischen Cybersicherheitsexperten Bruce Schneier genau in diese Kategorie. „Sehr miese IT-Sicherheit, hervorgerufen durch eine bewußte Geschäftsentscheidung zur Kostenreduktion“, stellt er dem Top-Management ein ganz schlechtes Zeugnis aus. Dabei müssten Produkte wie die von Solarwinds gebaute Netzmanagement-Software Orion behütet werden wie ein Goldschatz. Denn sie sind die ideale Plattform, um über die regelmäßigen Updates Millionen von Unternehmen und Behörden in aller Welt mit Malware zu infizieren.

Auch Solarwinds-Großkunden wie Microsoft und Cisco hatten diese offene Flanke nicht auf ihrem Radarschirm und trugen letztlich zur massenhaften Verbreitung der Hintertüren bei. Selbst die hoch gelobten, selbstlernenden Frühwarnsysteme der IT-Riesen schlugen viel zu spät Alarm. Neun Monate konnten sehr professionelle Cyberbanden Solarwinds als Basis für ihre versteckten Operationen nutzen. Es wird mehr als neun Monate dauern, bis wir einen genauen Überblick bekommen, bei welchen Solarwinds-Kunden sich die Cyberspione überall einnisten konnten, welche Geheimdienste hinter den Operationen stecken und wie hoch die Schäden sind.

Es ist bereits der zweite Fall, der die Reputation der IT-Branche schwer beschädigt. Vor vier Jahren gelang es der vermutlich von China gesteuerten Hackergruppe „Cloud Hopper“, die IT-Systeme von mehr als 45 Technologieunternehmen zu kompromittieren, um auf diesem Wege die doch nicht so gut bewachten Datenschätze gutgläubiger Cloud-Nutzer zu heben. Die US-Administration konnte sogar zwei chinesische Mitglieder dieser Bande aufspüren und vor Gericht stellen. Nur: Eine komplette, öffentlich zugängliche Übersicht, welche Cloud-Anbieter nun wegen versteckter Hintertüren ein Sicherheitsrisiko sind, gibt es bis heute noch nicht. Der IT-Branche ist so viel Transparenz offenbar zu gefährlich. Dabei wäre Transparenz das erste Gebot, damit die Vertrauensbasis für die vielen, noch bevorstehenden Digitalprojekte erhalten bleibt.